安全设计方法之威胁建模

4.安全设计方法

1)威胁建模

威胁建模是一种工程技术，威胁建模是以结构化的方式，识别、评估应用系统面临的威胁，其目的是在设计阶段充分了解各种可能的安全威胁，对可能的风险进行管理，并指导选择适当的应对措施，根据设计和测试情况对安全架构和设计进行验证，从而有助于降低软件的攻击面。威胁建模在软件生命周期需求设计阶段就介入进行全面的威胁分析，使得安全防护成本更低，避免在软件开发后期进行成本高昂的补救。威胁建模活动可帮助识别：

◇安全目标◇相关威胁

◇相关漏洞和对策

一个开发团队首先需要明确项目需要保护的目标，了解有哪些威胁和漏洞能够影响保护目标，找到缓解这些威胁和漏洞的具体措施，才有可能开发出安全的软件。因此，威胁建模也是一种风险管理模型，可以适用于所有的软件产品和系统的开发。

通过执行威胁建模来确定何时何地需要（或合理）资源以减少风险。有许多可台旨的漏洞，威胁和攻击，但实际应用程序不太可能会遇到所有这些漏洞。组织也不太可禽邑需要解决所有这些问题。威胁建模可帮助识别组织应用中所需要具体针对的威胁进行防护。