【技术实现步骤摘要】
本专利技术属于软件开发,尤其涉及基于stride威胁建模的多维威胁分析方法及系统。
技术介绍
1、本部分的陈述仅仅是提供了与本专利技术相关的
技术介绍
信息,不必然构成在先技术。
2、近年来,随着互联网应用的普及和软件工程的发展,软件系统的功能和结构都愈加复杂,系统面临的威胁也在不断增加;威胁建模作为一种在软件设计初期发现系统结构中潜在风险的技术,已经成为解决软件安全问题的重要手段;业内诸多企业从开发者角度出发,使用stride威胁建模技术进行威胁分析以预防和消除企业系统中的威胁。
3、stride威胁建模是由微软提出的一种威胁建模方法,将威胁类型分为spoofing(仿冒)、tampering(篡改)、repudiation(抵赖)、information disclosure(信息泄漏)、denial of service(拒绝服务)和elevation of privilege(权限提升),是对系统的已知威胁进行分类并采取相应的缓解措施;但是,stride安全威胁模型在应用于数据安全的解决方案时,存在局限性:分...
【技术保护点】
1.基于STRIDE威胁建模的多维威胁分析方法,其特征在于,对STRIDE威胁建模方法进行改进,增加威胁组件和威胁类型之间的关联关系,从而识别到发生威胁的威胁组件,对威胁组件进行缓解措施,包括:
2.如权利要求1所述的基于STRIDE威胁建模的多维威胁分析方法,其特征在于,所述业务场景的分解,是对待分析软件所涉及的业务进行场景划分;
3.如权利要求1所述的基于STRIDE威胁建模的多维威胁分析方法,其特征在于,所述为每个场景绘制数据流图,是对场景进行数据流分析,得到数据流图的四个核心要素:外部实体、进程、数据流、数据存储,从而得到数据流图。p>
4.如权利...
【技术特征摘要】
1.基于stride威胁建模的多维威胁分析方法,其特征在于,对stride威胁建模方法进行改进,增加威胁组件和威胁类型之间的关联关系,从而识别到发生威胁的威胁组件,对威胁组件进行缓解措施,包括:
2.如权利要求1所述的基于stride威胁建模的多维威胁分析方法,其特征在于,所述业务场景的分解,是对待分析软件所涉及的业务进行场景划分;
3.如权利要求1所述的基于stride威胁建模的多维威胁分析方法,其特征在于,所述为每个场景绘制数据流图,是对场景进行数据流分析,得到数据流图的四个核心要素:外部实体、进程、数据流、数据存储,从而得到数据流图。
4.如权利要求1所述的基于stride威胁建模的多维威胁分析方法,其特征在于,所述威胁知识库,存储着各种威胁类型和对应的威胁缓解措施。
5.如权利要求1所述的基于stride威胁建模的多维威胁分析方法,其特征在于,所述建立威胁字典,具体为:
...【专利技术属性】
技术研发人员:苗功勋,唐孝军,刘志远,张庆亮,崔新安,
申请(专利权)人:中孚安全技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。