这六种威胁和系统安全属性是密切相关的,理解威胁也就是理解软件系统的安全目标, 威胁对应影响的安全属性及其说明如下表所示。
使用STRIDE模型进行威胁建模,应按照确定建模对象、识别威胁、评估威胁以及消减威胁四个步骤反复循环进行,直到所有的威胁所带来的风险都在可接受范围之内。
◇确定建模对象
数据流关系图将软件系统分为过程、数据存储、数据流以及外部实体(即交互方)四类组件,这四类组件都具有一组自己易受攻击的威胁。应用STRIDE模型最简单的方式是考虑每种威胁如何影响每类组件以及与其他应用程序组件的每个连接或关系,即查看应用程序的每个部分并确定相应组件或进程是否存在任何STRIDE威胁类别。
◇识别威胁
对过程、数据存储、数据流以及外部实体四类组件,考虑STRIDE所列出的所有已知的
威胁,确定组件是否存在S、T、R、I、D或E威胁,并研究每种威胁如何影响系统,以此得到系统的总体威胁。如下表所示。