《威胁建模:设计和交付更安全的软件》——2.5 小结

2.5 小结

威胁建模的方法不止一种,可以采用资产建模、攻击者建模或软件建模。“你的威胁模型是什么”和集体研讨方法,适用于安全专家,但是对没什么经验的威胁建模者来说,结构化不足。集体研讨有一些更为系统化的方法,包括场景分析、事前剖析、电影情节回放、文献检索,可以增添一些框架结构,但还不是最好的。
如果是从资产开始威胁建模,相互重叠的术语定义,包括攻击者想要的、你想保护的和垫脚石等,可能会让你寸步难行。资产会在哪里出问题,在以资产为中心的方法中没有提供相应的解决路径。
攻击者建模也是很有吸引力的,但是试图预测一个人将怎样攻击是很困难的,此方法还会招致“没人会那么做”这样的争论。此外,以人为中心的建模方法会产生以人为主的威胁,这种威胁又很难解决。
软件建模的重点在于人们是如何正确理解软件。最好的威胁建模模型是图表,它可以帮助参与者理解软件和发现针对软件的威胁。用图表展现软件的方法有很多,数据流图是使用最广泛的。
一旦你有了软件的模型,就需要有一种找到软件面临威胁的方法,这是本书第二部分的主题。

时间: 2024-12-02 02:20:46

《威胁建模:设计和交付更安全的软件》——2.5 小结的相关文章

《云安全原理与实践》——1.4 小结

1.4 小结 云计算是一种计算资源的新型应用模式,客户以购买服务的方式,通过网络获得计算.存储.软件等不同类型的资源,仅需较少的使用成本即可获得优质的IT资源和服务,避免了前期基础设施建设的大量投入.云计算技术已经成为当前的研究热点.通过本章的学习,你可以对云计算的发展.云计算的基本概念有一定的了解.云计算给客户带来灵活性和经济效益的同时也引入了新的安全风险.在学习和应用云计算技术的同时,了解云计算存在的安全问题和面临的安全风险,以及提高云计算的安全性的相关技术是非常必要的.本书后续的章节将分析

《云安全原理与实践》——2.5 小结

2.5 小结 云计算的灵活性和经济性吸引着越来越多的客户,但也有大量潜在客户因为担心云计算面临的安全风险而驻足不前.因此,在云计算建设和应用时采用多种安全设计,可以大大降低这些风险,逐渐消除客户的疑虑.解决了云计算的安全问题,云计算的发展前景将更为广阔,更好地为我们的工作.生活服务.

《云安全原理与实践》——导读

**前言**近几年,云计算(Cloud Computing)迅速发展,从美国的亚马逊到我国的阿里云,国内外的云计算服务提供商提供了类型繁多.性价比高的IT服务模式,新的服务类型还在不断推出,并在各行各业得到了广泛应用.云计算是信息技术发展过程中的一次巨大变革,众多国家政府以及大型 IT 企业都制定了云计算发展战略规划,以引领或适应技术变革的趋势.在云计算发展的同时,其安全问题也日益凸显.CSA(Cloud Security Alliance,云安全联盟)在2016年2月发布了<2016 年 12

《云安全原理与实践》——2.1 云计算面临的技术风险

2.1 云计算面临的技术风险 云计算服务模式将硬件.软件甚至应用交给经验丰富的云服务商来管理,客户通过网络来享受云服务商提供的服务,并可按需定制.弹性升缩.降低成本.但是,传统信息技术所面临的安全风险依然威胁着云计算的安全,并且云计算所使用的核心技术在带来诸多新特性的同时也带来了一些新的风险.2.1.1 物理与环境安全风险 物理与环境安全是系统安全的前提.信息系统所处的物理环境的优劣直接影响信息系统的安全,物理与环境安全问题会对信息系统的保密性.完整性.可用性带来严重的安全威胁. 物理安全是保障

《云安全原理与实践》——3.1 主机虚拟化技术概述

3.1 主机虚拟化技术概述 虚拟化技术经过半个多世纪的发展,已日趋成熟并逐渐得到广泛的应用,成为云计算的基础技术. 1959年,在国际信息处理大会上,著名科学家克里斯托弗(Christopher Strachey)发表了一篇名为"大型高速计算机中的时间共享"(Time Sharing in Large Fast Computers)的学术报告.在该报告中,他提出了虚拟化的基本概念,同时这篇文章也被认为是对虚拟化技术的最早的论述. 1965年,IBM公司发布IBM7044,它被认为是最早

《云安全原理与实践》——2.6 参考文献与进一步阅读

2.6 参考文献与进一步阅读 [?1?] 徐蓉. 理解云计算漏洞 [J] . 网络安全技术与应用,2015(08):79-80. [?2?] 周勇. 移动网络中的云计算及其安全问题探讨 [J] . 信息通信,2015(07):229-230. [?3?] 王冉晴,范伟. 云计算安全威胁研究初探 [J] . 保密科学技术,2015(04):13-18. [?4?] 贾创辉,韦勇,颜颀. 基于 Xen 架构的桌面云安全研究 [J] . 网络安全技术与应用,2014(09):127-128. [?5?

《云安全原理与实践》——1.5 参考文献与进一步阅读

1.5 参考文献与进一步阅读 [?1?] 蒋永生,彭俊杰,张武. 云计算及云计算实施标准: 综述与探索 [J] . 上海大学学报 (自然科学版),2013(01):5-13. [?2?] 骆祖莹. 云计算安全性研究 [J] . 信息网络安全,2011(06):33-35. [?3?] 刘黎明. 云计算起源探析 [J] . 电信网技术,2010(09):8-11. [?4?] 马云致投资者公开信:大数据云计算是阿里未来十年核心战略之一[EB/OL] . [?5?] 王惠莅,上官晓丽. SC27 云

《云安全原理与实践》——1.2 云计算的基本概念

1.2 云计算的基本概念 1.2.1 云计算的定义与术语 云计算本身是一个非常抽象的概念,要准确地为其进行定义并不是一件容易的事.国内外的公司.标准组织和学术机构对它的定义也不尽相同. 1)亚马逊将云计算定义为:通过互联网以按使用量定价方式付费的IT资源和应用程序的按需交付. 2)IBM的定义为:①一种新的用户体验和业务模式.云计算是一种新出现的计算模式,它是一个计算资源池,并将应用.数据及其他资源以服务的形式通过网络提供给最终用户.②一种新的架构管理方法.云计算采用一种新的方式来管理大量的虚拟

《云安全原理与实践》——2.4 云计算安全设计原则

2.4 云计算安全设计原则 云计算作为一种新兴的信息服务模式,尽管会带来新的安全风险与挑战,但其与传统IT信息服务的安全需求并无本质区别,核心需求仍是对应用及数据的机密性.完整性.可用性和隐私性的保护.因此,云计算安全设计原则应从传统的安全管理角度出发,结合云计算自身的特点,将现有成熟的安全技术及机制延伸到云计算安全设计中,满足云计算的安全防护需求.2.4.1 最小特权最小特权原则是云计算安全中最基本的原则之一,它指的是在完成某种操作的过程中,赋予网络中每个参与的主体必不可少的特权.最小特权原则

《云安全原理与实践》——1.1 云计算的发展历程

1.1 云计算的发展历程 云计算的出现是技术和计算模式不断发展和演变的结果.云计算的基础思想可以追溯到半个世纪以前.1961年,MIT(美国麻省理工学院)的教授John McCarthy提出"计算力"的概念,认为可以将计算资源作为像电力一样的基础设施按需付费使用:1966年,Douglas Parkhill在<计算机工具的挑战>(The Challenge of the Computer Utility)一书中对现今云计算的几乎所有特点,如作为公共设施供应.弹性供应.实时供