安全编程精品课件（吉林大学）第一章 威胁建模.pptVIP

第一章 威胁建模 将分解、威胁树、STRIDE、DREAD结合起来 实例：威胁#6 威胁#6 欺骗Web服务器 6.1 创建相同名称的服务器 访问电源开关 与 6.2.1 DNS劫持 6.2 破坏合法服务器 6.2.2 用坏的IP包对服务器进行洪水攻击 对受限区域的物理访问 6.2.3 关闭服务器电源 6.2.4 重命名服务器 访问计算机房电源 对计算机的物理访问 对受限区域的物理访问 对受限区域的物理访问 第一章 威胁建模 将分解、威胁树、STRIDE、DREAD结合起来 实例：威胁#6 威胁描述 欺骗计算机执行客户请求进程 威胁目标 服务客户请求过程（5.0） 威胁类型 欺骗S 风险 潜在破坏性：10 可再现性：2 可利用性：2 受影响用户：8 可发现性：10 总计：6.4 注释 让一台合法机器脱离网络意味着或者物理地脱离，或者使用攻击技术使之不可访问。 第一章 威胁建模 计算总体风险 根据一个或多个子威胁成为攻击的可能性，可以得出总体风险机率。在考虑总体风险机率时，必须考虑最有可能的攻击途径。 在威胁树中寻找抵抗最薄弱的路径。这并不意味着攻击者沿着其他途径攻击，只是他们更可能利用这条容易的途径。 第一章 威胁建模 威胁建模的过程 步骤1：通过一种分析方法，如数据流图，将应用程序分解为威胁目标。在DFD的情况下，威胁目标是每个数据源、过程、数据流、以及交互者或参与者。 步骤2：使用STRIDE，给每个威胁目标标识威胁。这些将作为威胁树的根，每个威胁目标都有一棵树。 步骤3：如果合适，为每个威胁目标创建一个或多个威胁树。 步骤4：使用DREAD或其他某种威胁分级方法，确定每棵威胁树的安全风险。 步骤5：将威胁以从高到低的顺序按风险排序。 第一章 威胁建模 选择缓和威胁的方法 下一步是决定如何减轻你已经标识出的威胁。这个过程有两个步骤。第一步是判断哪些方法（technique）可以起到缓和威胁的作用；第二步是选择适当的技术（technology）。 方法不同于技术。方法是对那些用于缓和威胁的技术进行的高层次抽象。例如，认证是一种安全方法，Kerberos是一种具体的认证技术。 第一章 威胁建模 部分基于技术的威胁缓和方法 威胁类型 缓和方法 威胁类型 缓和方法 欺骗标识 认证 保护秘密 不存储秘密 信息泄露 授权 加强必威体育官网网址的协议 加密 保护秘密 不存储秘密 篡改数据 适当的授权 散列（Hash）表 消息认证代码 数字签名 抗篡改的协议 拒绝服务 适当的认证 适当的授权 过滤 节流（Throttling） 服务质量 否认 数字签名 时间戳 审核跟踪 特权提升 以最小权限运行 第一章 威胁建模 安全技术 在设计一个安全系统时，首先必须分析已经存在的安全机制。如果这些已经存在的安全机制有受到攻击的漏洞，那么就应该重新设计这些机制，或者将它从系统中删除。 2.1 身份认证 身份认证（Authentication）是这样一个过程：一个实体，也被称为主体（principal），验证另一个实体是它自己声称的那个人或事物。主体可以是用户、一些可执行代码、或一台计算机。认证需要证书（credential）形式的证据（evidence）。证据可以是多种形式的，例如口令、私钥，或者使用生物技术来做认证，例如指纹。 第一章 威胁建模 下表是常有的一些认证技术 认证协议 认证客户 认证服务器 基本认证 是 否 摘要认证 是 否 表单认证 是 否 Passport认证 是 否 NTLM(NT LAN Manager) 是 否 Kerberos 是 是 X.509证书 是 是 IPSec 是（计算机） 是（计算机） RADIUS 是 否 第一章 威胁建模 2.2 授权 一旦通过确定了主体的身份，主体通常希望访问资源。授权是通过执行一个访问检查，来判断这个已被认证的主体是否有权访问他请求的资源。对同样一个资源，某些主体会比其他主体有更多的访问权。 访问控制表(Access Control List, ACL) 在Windows NT及以后的版本中，所有的对象都可以用ACL保护。一个ACL是一系列的访问控制项(Access Control Entry, ACE),每一个ACE决定了一个主体能够对一个资源做什么处理。 特权 特权是赋予用户的权利，用户可以执行系统范围内的操作。一些操作被认为是特许的，并且只应该授予受信任的个人。 IP限制 IP限制是IIS（Internet信息服务）的一个功能。你可以限制Web站点的一部分（例如一个目录），也可以限制整个的Web站点，使得只有专门的IP地址、子网和DNS名可以访问它。 服务专用权限 许多服务提供了它们自己的访问控制形式，来保护它们自己的对象类型。例如Microsoft SQL Server提供了权