预订演示
前页 后页

威胁建模和网络安全

任何项目、开发或系统都可能遇到多种物理、生物或电子危害,这些危害可以在模型中进行识别和审查。您可以使用风险分类特征执行此类建模。然而,随着世界各地的业务和流程越来越计算机化和分布式,面临最大风险的目标是电子数据的存储和流动,最大的威胁是对数据的故意破坏或渗透,以及识别和缓解业务的增长。这种威胁就是网络安全。

Enterprise Architect通过提供基于 STRIDE 方法论的威胁建模功能来支持您组织内的网络安全评估(在本主题后面讨论)。

威胁建模覆盖了诸如UML活动、BPMN 流程、ArchiMate 流程和数据流图等领域的流程建模。您使用威胁建模特征来涵盖流程模型的各个区域并评估可能利用流程中的弱点的威胁。威胁模型描述了业务或其他系统中的流程、数据存储、外部实体及其连接数据流,以直观地说明系统的潜在漏洞。威胁建模旨在识别可能损害电子资产的威胁,并确保安全要求涵盖减轻这些威胁的充分控制。从本质上讲,威胁建模是一种用于识别缺失的安全需求的间隙分析形式。威胁建模练习确定了攻击者可以利用的正在开发的系统的入口和出口点。它从攻击者或敌对用户的角度为开发团队提供了系统的视角。它还通过深入了解需要从安全方面进一步调查的领域,为团队提供设计和测试整体项目权衡决策所需的信息。

威胁建模:

  • 为构建解决机密性、完整性和可用性的安全解决方案奠定了坚实的基础
  • 主动识别潜在的安全威胁并在生产前解决它们
  • 识别现有解决方案中的漏洞
威胁模型封装A信任图中,即数据流图的特定版本。从图中可以识别潜在威胁,并针对每种威胁提出缓解措施。在某些情况下,缓解是设计本身的更改,在这种情况下,必须在额外的迭代中分析新的或更改的元素。实施缓解措施后,产品或服务将根据威胁模型进行验证,以确保缓解措施有效且设计功能和性能高于标准。如果设计存在严重的安全问题,重新审视设计和威胁模型将是合适的。您可以使用威胁建模来塑造应用程序的设计、满足公司的安全目标并降低风险。

访问 Threat建模功能

模式

方法

模型模式

在浏览器窗口中选择父根、视图或包,然后:

  1. 单击Enterprise Architect屏幕右上角的Choose perspective button.
  2. 选择管理 > 威胁建模。
将显示首页'从模式创建'选项卡(模型向导),显示“威胁建模蓝图模型”和“具有多个信任边界的威胁”模式。

单击模型(s) 按钮将模式加载到选定的包中。

图表模板

在浏览器窗口中选择父视图、包或元素,然后:

  • 单击浏览器窗口工具栏中的Add diagram.图标,或
  • 右键单击并选择“添加图表”(用于视图或包)或“添加 |添加图表'(用于元素)菜单选项,或
  • 选择“设计>图表>添加图表”功能区选项
将显示“新图表”对话框。
  1. 为图表提供名称,在“类型”字段中,单击下拉箭头并选择“管理 |威胁建模”。
  2. 在“Select From”面板中单击“Threat Model图表图表建模中单击“Trust diagram”。
  3. 点击确定按钮。
图表视图显示已准备好填充对象,并且“信任图表”页面在图表工具箱中打开(请参阅本主题中的信任图表工具箱页面部分)。

图表模式

当您打开信任图时,“信任图表建模”页面会在图表工具箱中打开。这伴随着一个“威胁模式”页面,其中包含用于为每个 STRIDE 威胁类型生成威胁元素和缓解检查清单元素的图标(请参阅接下来的基于 STRIDE 方法的安全威胁分类部分)。单击所需的模式图标并将其拖到图表上以生成元素。

基于 STRIDE 方法的安全威胁分类

威胁

描述

欺骗

属性:认证

欺骗威胁涉及对手制造和利用关于谁在与谁交谈的混淆。欺骗威胁适用于被欺骗的实体,而不是被冒充的实体。因此,当外部元素对与他们交谈的对象或对象感到困惑时,他们就会受到欺骗威胁。

篡改

属性:校正

篡改威胁涉及攻击者修改数据,通常是在数据流经网络、驻留在内存或存储在磁盘或数据库中时。

否认

属性:不可否认性

否认威胁涉及一个对手否认某事发生

信息披露

属性:保密

将信息暴露给无权查看的人

拒绝服务

属性:可用性

拒绝或降低对用户的服务

特权提升

属性:授权

未经适当授权获得能力

信任图表工具箱页面

您通常将工具箱的信任图表页面与您正在使用的流程建模语言的工具箱页面固定在一起 - UML 、BPMN 或 Archimate。

注记,为了在此工具箱页面中自由创建关系,您可能需要取消选中“首选项”对话框的“链接”页面上的“严格连接器语法”复选框。

图标

代表

外部系统

外部交互者。

人类参与者

A用户。

数据存储

A数据存储

进程

A通用的过程

数据流

元素之间A定向或单向数据流

边界

与A或多个威胁相关的信任边界的边界。您使用边界来封闭系统或进程的一部分,这些部分要么面临受到攻击的风险,要么不受攻击。关键object是跨越两个信任边界边界的关系。例如,元素A可能有一个固有的弱点,因此包含在一个边界。元素B是安全的,并且包含在一个单独的信任边界。但是,数据在A和B之间流动,跨越了信任边界,因此使B面临来自A的威胁。

威胁

特定类型A威胁。

缓解

A关系将通过缓解清单实现的对策分配给威胁元素。

威胁跟踪

A关系定义了威胁元素和信任图的受威胁元素之间的跟踪。

缓解检查清单

检查清单元素表示预定义A威胁缓解措施。

学到更多