首页 > 代码库 > 【STRIDE】【3】安全威胁分析设计
【STRIDE】【3】安全威胁分析设计
本文谈一下STRIDE数据流图的四个元素:外部实体、处理过程、存储、数据流
为了描述方便,以下图为例进行说明,该数据流图是“斗医”系统解析业务配置规则的一个功能,即客户端启动系统时会通过PwmLauncher调用到PwmBusinessUtil从XML文件中读取规则,然后把规则转换为PwmBusiness对象存储在PwmCache缓存中
这个数据流图比较简单,麻雀虽小但五脏俱全,其中:
| 对象 | 名称 | 描述 |
| Client | 外部实体 | 来自系统的外部,用长方形表示 |
PwmLauncher PwmBusinessUtil PwmBusiness PwmCache | 处理过程 | 系统内部,一般是一个进程内的业务处理模块或逻辑处理对象,用圆形表示 |
| business config xml | 存储 | 系统内部,一般是指数据库或文件,用两横线表示 |
HTTP/HTTPS Read Create Write等连线 | 数据流 | 系统内部或者系统内部与外部实体的连接,可以是双向也可以是单向,用连线表示 |
这里有一个红色的虚线框(Pwm Bounder),用于表明系统信任边界,故名思义,表示虚线框内的元素都是可以信任的,系统外面的外体实体不可信任,所以画数据流图的关键就在于确认信任边界
画数据流图使用什么工具?
这个因人而异,可以使用visio、也可以使用微软专用的数据流图工具、当然也可以使用Enterprise Architect
本文出自 “青客” 博客,请务必保留此出处http://qingkechina.blog.51cto.com/5552198/1575164
【STRIDE】【3】安全威胁分析设计
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。