2022年CISP教材知識點整理：威脅建模

CISP共有共包括信息安全保障、信息安全技術、信息安全管理、信息安全工程和信息安全標準法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點梳理，詳情如下：

10.2知識子域：軟件安全需求及設計

安全需求分析應當以風險管理為基礎

安全設計內容一般包括系統(tǒng)安全框架、訪問控制機制、主體權力和權限、加密方法和算法、數(shù)據(jù)完整性機制、敏感數(shù)據(jù)處理機制、內部通信機制等

10.2.1威脅建模

1.威脅建模作用

威脅建?；顒涌蓭椭R別安全目標、相關威脅、相關漏洞和對策

威脅建模也是一種風險管理模型，可以適用于所有的軟件產品和系統(tǒng)的開發(fā)

2.威脅建模流程

威脅建模主要流程包括四步：確定建模對象、識別威脅、評估威脅和消減威脅

（1）確定建模對象

（2）識別威脅

威脅并不等于漏洞

（3）評估威脅

（4）消減威脅

3.STRIDE模型

微軟提出使用STRIDE模型來進行威脅建模的實踐，STRIDE由Spoofing（假冒）、Tampering（篡改）、Repudiation（否認）、Information Disclosure（信息泄露）、Denial of Service（拒絕服務）和Elevation of Privilege（提升權限）的第一個字母組合而成

注：以上內容來源于網(wǎng)絡，如有侵權，可聯(lián)系客服刪除