CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:
10.2知识子域:软件安全需求及设计
安全需求分析应当以风险管理为基础
安全设计内容一般包括系统安全框架、访问控制机制、主体权力和权限、加密方法和算法、数据完整性机制、敏感数据处理机制、内部通信机制等
10.2.1威胁建模
1.威胁建模作用
威胁建模活动可帮助识别安全目标、相关威胁、相关漏洞和对策
威胁建模也是一种风险管理模型,可以适用于所有的软件产品和系统的开发
2.威胁建模流程
威胁建模主要流程包括四步:确定建模对象、识别威胁、评估威胁和消减威胁
(1)确定建模对象
(2)识别威胁
威胁并不等于漏洞
(3)评估威胁
(4)消减威胁
3.STRIDE模型
微软提出使用STRIDE模型来进行威胁建模的实践,STRIDE由Spoofing(假冒)、Tampering(篡改)、Repudiation(否认)、Information Disclosure(信息泄露)、Denial of Service(拒绝服务)和Elevation of Privilege(提升权限)的第一个字母组合而成
注:以上内容来源于网络,如有侵权,可联系客服删除
