首页 > 代码库 > 【STRIDE】【2】安全威胁分析设计
【STRIDE】【2】安全威胁分析设计
STRIDE威胁分析方法的核心是在数据流元素和威胁之间建立结构化的映射关系,非常适合工程化;这里提及威胁这个概念,让我想去年英国的安全专家花了约1.5h解释什么叫威胁、什么叫漏洞,这里把专家的说明转述一下:
1、脆弱点
脆弱点是一种系统缺陷,可以在安全开发的各个阶段引入,包括需求分析、需求设计、编码实现等阶段
2、漏洞
漏洞是一个或多个可以被利用的脆弱点,利用这些脆弱点,可能会导致系统被非法访问、服务中断,或者执行一些不正确的动作
3、威胁
威胁是对系统潜在的任何危险。是潜在的,有可能会发生,也有可能不发生,一旦发生就危害到系统的安全性
4、攻击
为实现某种目标而实施的一系列动作,这里重点强调动作(比如XSS攻击动作、内存溢出攻击动作等)。如果这些动作实施成功,会对保护的资产造成损失
5、影响
是指攻击行为得以成功实施,对目标系统带来的后果
脆弱点、攻击和威胁的关系是怎么样的呢?
攻击者使用某种方法利用系统的安全缺陷(脆弱点)对系统进行攻击(攻击),从而对系统造成负面影响(影响),这么一个潜在的、有可能发生的事件,就是一条安全威胁(威胁)
本文出自 “青客” 博客,转载请与作者联系!
【STRIDE】【2】安全威胁分析设计
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。