2022年CISP教材知識(shí)點(diǎn)整理：威脅建模

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：

10.2知識(shí)子域：軟件安全需求及設(shè)計(jì)

安全需求分析應(yīng)當(dāng)以風(fēng)險(xiǎn)管理為基礎(chǔ)

安全設(shè)計(jì)內(nèi)容一般包括系統(tǒng)安全框架、訪問控制機(jī)制、主體權(quán)力和權(quán)限、加密方法和算法、數(shù)據(jù)完整性機(jī)制、敏感數(shù)據(jù)處理機(jī)制、內(nèi)部通信機(jī)制等

10.2.1威脅建模

1.威脅建模作用

威脅建?；顒?dòng)可幫助識(shí)別安全目標(biāo)、相關(guān)威脅、相關(guān)漏洞和對(duì)策

威脅建模也是一種風(fēng)險(xiǎn)管理模型，可以適用于所有的軟件產(chǎn)品和系統(tǒng)的開發(fā)

2.威脅建模流程

威脅建模主要流程包括四步：確定建模對(duì)象、識(shí)別威脅、評(píng)估威脅和消減威脅

（1）確定建模對(duì)象

（2）識(shí)別威脅

威脅并不等于漏洞

（3）評(píng)估威脅

（4）消減威脅

3.STRIDE模型

微軟提出使用STRIDE模型來進(jìn)行威脅建模的實(shí)踐，STRIDE由Spoofing（假冒）、Tampering（篡改）、Repudiation（否認(rèn)）、Information Disclosure（信息泄露）、Denial of Service（拒絕服務(wù)）和Elevation of Privilege（提升權(quán)限）的第一個(gè)字母組合而成

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除