计划看好久了,一直没看,现在终于简单过了一遍。
我的安全世界观
威胁分析
- STRIDE模型
| 威胁 | 定义 | 对应的安全属性 |
|---|---|---|
| Spoofing(伪装) | 冒充他人身份 | 认证 |
| Tampering(篡改) | 修改数据或代码 | 完整性 |
| Repudiation(抵赖) | 否认做过的事情 | 不可抵赖性 |
| InformationDisclosure(信息泄露) | 机密信息泄露 | 机密性 |
| Denial of Service(拒绝服务) | 拒绝服务 | 可用性 |
| Elevation of Privilege(提升权限) | 未经授权获得许可 | 授权 |
风险分析
- DREAD模型
windows Vista的UAC功能,询问用户是否允许该行为,这里说如果用户能分辨什么样的行为是安全的,那么还要安全软件做什么。这里说的很对,不过也是存在一种解释,这里的提醒只是一种用户个人对行为承担责任的方式吧,已经予以提醒,之后的操作的安全保障已经不是操作系统层面的安全性能够提供了。