SDL威胁建模示例.pptVIP

威胁建模和STRIDE

软件安全属性属性说明机密性数据只限应具有权限的人员访问。完整性数据和系统资源只限适当的人员以适当的方式进行更改。可用性系统在需要时一切就绪，可以正常执行操作。身份验证建立用户身份（或者接受匿名用户）。授权明确允许或拒绝用户访问资源。认可用户无法在执行某操作后否认执行了此操作。

STRIDE威胁安全性属性假冒（Spoofing）身份验证篡改（Tampering）完整性否认（Repudiation）认可信息泄漏（Informationdisclose）机密性拒绝服务（Dos）可用性提升权限（EoP）授权

建模对象功能描述创建一个系统来收集销售人员的会计文件，在数据库服务器上计算销售收据，并生成每周报表。该系统目标很简单：从一组系统中获取文件，并在一台中央服务器上对文件进行一定的分析。这是客户所要求的业务目标，但您需要将此问题描述转换为规格和计划。

数据流图（DFD）

DFD元素与STRIDE的关系元素假冒篡改抵赖信息泄露拒绝服务特权提升数据流???数据存储???进程??????交互方??信任边界

威胁消减措施威胁类型消减机制消减技术假冒认证Windows认证Kerberos认证数字签名篡改完整性访问控制列表数字签名消息认证码抵赖非抵赖性服务强认证安全审计数字签名安全时间戳信息泄露保密性访问控制列表加密拒绝服务可用性访问控制列表过滤配额授权特权提升授权访问控制列表组或角色成员特权属主权限管理

威胁建模的好处进入编码之前发现系统威胁有助于指导整个代码审核过程有助于整个测试过程