4.安全设计方法
1)威胁建模
威胁建模是一种工程技术,威胁建模是以结构化的方式,识别、评估应用系统面临的威胁,其目的是在设计阶段充分了解各种可能的安全威胁,对可能的风险进行管理,并指导选择适当的应对措施,根据设计和测试情况对安全架构和设计进行验证,从而有助于降低软件的攻击面。威胁建模在软件生命周期需求设计阶段就介入进行全面的威胁分析,使得安全防护成本更低,避免在软件开发后期进行成本高昂的补救。威胁建模活动可帮助识别:
◇安全目标◇相关威胁
◇相关漏洞和对策
一个开发团队首先需要明确项目需要保护的目标,了解有哪些威胁和漏洞能够影响保护目标,找到缓解这些威胁和漏洞的具体措施,才有可能开发出安全的软件。因此,威胁建模也是一种风险管理模型,可以适用于所有的软件产品和系统的开发。
通过执行威胁建模来确定何时何地需要(或合理)资源以减少风险。有许多可台旨的漏洞,威胁和攻击,但实际应用程序不太可能会遇到所有这些漏洞。组织也不太可禽邑需要解决所有这些问题。威胁建模可帮助识别组织应用中所需要具体针对的威胁进行防护。