3)威脅建?；顒?dòng)概述

威脅建模主要流程包括五步：確定安全目標(biāo)、確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅：

◇確定安全目標(biāo)

清晰的目標(biāo)可幫助實(shí)施者調(diào)整威脅建模活動(dòng)，并確定在后續(xù)步驟上花費(fèi)多少努力。 ◇確定建模對(duì)象

確定要保護(hù)和評(píng)估的對(duì)象，了解軟件應(yīng)用的可信任邊界之內(nèi)的所有功能組件。威脅建模中常用“資產(chǎn)”來(lái)描述對(duì)象，這里資產(chǎn)可能指軟件系統(tǒng)本身、信息的可用性、或者信息內(nèi)容本身，例如客戶(hù)數(shù)據(jù)。

◇識(shí)別威脅

發(fā)現(xiàn)組件或進(jìn)程存在的威脅。威脅是一種不希望發(fā)生、對(duì)資產(chǎn)目標(biāo)有害的事件。從本質(zhì)上看，威脅是潛在事件，它可能是惡意的，也可能不是惡意的。因此，威脅并不等于漏洞。

◇評(píng)估威脅

對(duì)威脅進(jìn)行分析，評(píng)估被利用和攻擊發(fā)生的概率，了解被攻擊后資產(chǎn)的受損后果，并計(jì)算風(fēng)險(xiǎn)。

◇消減威脅

根據(jù)威脅的評(píng)估結(jié)果，確定是否要消除該威脅以及消減的技術(shù)措施。在設(shè)計(jì)階段，可以通過(guò)重新設(shè)計(jì)，以直接消除威脅，或設(shè)計(jì)采用技術(shù)手段來(lái)消減威脅。在本階段，應(yīng)在確定消減威脅手段后繼續(xù)評(píng)估是否可以接受殘余的安全風(fēng)險(xiǎn)。

在威脅建模實(shí)施過(guò)程中，可供參考的一些建議如下：

確保所有的威脅模型符合起碼的威脅模型質(zhì)量要求。所有的威脅模型必須包含數(shù)據(jù)流程圖，資產(chǎn)描述，威脅與漏洞描述、緩解措施。威脅建模可以使用各種不同的方式和工具、文檔來(lái)定義和創(chuàng)建。

確保威脅模型輸出的數(shù)據(jù)和文件（功能／設(shè)計(jì)規(guī)范要求等）都已經(jīng)被文檔控制系統(tǒng)存儲(chǔ)并正確地被軟件開(kāi)發(fā)人員所使用。

針對(duì)威脅上的每個(gè)漏洞形式和緩解措施。建立一個(gè)獨(dú)立的工作小組進(jìn)行檢查和驗(yàn)證。這樣可以讓質(zhì)量管理組織確保每個(gè)緩解措施都得以真正地實(shí)施。

針對(duì)所有的威脅模型以及提出的緩解措施，應(yīng)該由至少一個(gè)開(kāi)發(fā)人員，一個(gè)測(cè)試人員，一個(gè)項(xiàng)目經(jīng)理參與審查并批準(zhǔn)。咨詢(xún)軟件架構(gòu)師、開(kāi)發(fā)人員、測(cè)試人員、項(xiàng)目經(jīng)理、用戶(hù)或者其他軟件相關(guān)的人員有助于威脅模型和緩解措施盡可全面。

微軟提出使用STRIDE模型來(lái)進(jìn)行威脅建模的實(shí)踐，STRIDE由Spoofing（假冒）、Tampering（篡改）、Repucliation（否認(rèn)）、Information Disc,losure（信息泄漏）、Denial of Service（拒絕服務(wù)）和Elevatio，，of Privilege（提升權(quán)限）的第一個(gè)字母組合而成，如下表所