【STRIDE】【2】安全威胁分析设计
2014-11-09 21:52
405 查看
STRIDE威胁分析方法的核心是在数据流元素和威胁之间建立结构化的映射关系,非常适合工程化;这里提及威胁这个概念,让我想去年英国的安全专家花了约1.5h解释什么叫威胁、什么叫漏洞,哪个吐沫星子乱溅迷人眼呀,这里把专家的说明转述一下:
1、脆弱点 脆弱点是一种系统缺陷,可以在安全开发的各个阶段引入,包括需求分析、需求设计、编码实现等阶段2、漏洞 漏洞是一个或多个可以被利用的脆弱点,利用这些脆弱点,可能会导致系统被非法访问、服务中断,或者执行一些不正确的动作3、威胁
威胁是对系统潜在的任何危险。是潜在的,有可能会发生,也有可能不发生,一旦发生就危害到系统的安全性
4、攻击
为实现某种目标而实施的一系列动作,这里重点强调动作(比如XSS攻击动作、内存溢出攻击动作等)。如果这些动作实施成功,会对保护的资产造成损失
5、影响
是指攻击行为得以成功实施,对目标系统带来的后果
脆弱点、攻击和威胁的关系是怎么样的呢?
攻击者使用某种方法利用系统的安全缺陷(脆弱点)对系统进行攻击(攻击),从而对系统造成负面影响(影响),这么一个潜在的、有可能发生的事件,就是一条安全威胁(威胁)
1、脆弱点 脆弱点是一种系统缺陷,可以在安全开发的各个阶段引入,包括需求分析、需求设计、编码实现等阶段2、漏洞 漏洞是一个或多个可以被利用的脆弱点,利用这些脆弱点,可能会导致系统被非法访问、服务中断,或者执行一些不正确的动作3、威胁
威胁是对系统潜在的任何危险。是潜在的,有可能会发生,也有可能不发生,一旦发生就危害到系统的安全性
4、攻击
为实现某种目标而实施的一系列动作,这里重点强调动作(比如XSS攻击动作、内存溢出攻击动作等)。如果这些动作实施成功,会对保护的资产造成损失
5、影响
是指攻击行为得以成功实施,对目标系统带来的后果
脆弱点、攻击和威胁的关系是怎么样的呢?
攻击者使用某种方法利用系统的安全缺陷(脆弱点)对系统进行攻击(攻击),从而对系统造成负面影响(影响),这么一个潜在的、有可能发生的事件,就是一条安全威胁(威胁)
相关文章推荐
- 【STRIDE】【4】安全威胁分析设计
- 【STRIDE】【1】安全威胁分析设计
- 【STRIDE】【3】安全威胁分析设计
- 安全设计原则与Microsoft的STRIDE威胁建模
- 大数据如何解决传统安全分析面对新型威胁的缺陷
- VoIP面临的四大安全威胁分析
- 安全威胁分类STRIDE
- 对宽带帐号安全威胁分析以及防范的方法
- 20145325 《信息安全系统设计基础》实验四 外设驱动程序设计(添加代码分析)
- [典型漏洞分享]从一个手动分析的反射型XSS漏洞看待一个安全设计原则【中危】
- 极路由安全设计分析姐妹篇
- 系统安全分析与设计---基本概念
- 2007上半年度 电脑病毒疫情和互联网安全报告之互联网用户安全威胁分析
- 20145223《信息安全系统设计基础》 GDB调试汇编堆栈过程分析
- 《信息安全系统设计基础》代码调试分析
- 技术分析:智能硬件蠕虫威胁互联网安全(转)
- 安全测试系列一:用实例来解释安全威胁分类 (STRIDE)
- Unix主机安全漏洞分析及漏洞扫描器的设计与实现
- RFID芯片的攻击技术分析及安全设计策略
- 电子商务的安全分析、设计及JAVA实现