4.安全設(shè)計方法

1)威脅建模

威脅建模是一種工程技術(shù)，威脅建模是以結(jié)構(gòu)化的方式，識別、評估應(yīng)用系統(tǒng)面臨的威脅，其目的是在設(shè)計階段充分了解各種可能的安全威脅，對可能的風險進行管理，并指導(dǎo)選擇適當?shù)膽?yīng)對措施，根據(jù)設(shè)計和測試情況對安全架構(gòu)和設(shè)計進行驗證，從而有助于降低軟件的攻擊面。威脅建模在軟件生命周期需求設(shè)計階段就介入進行全面的威脅分析，使得安全防護成本更低，避免在軟件開發(fā)后期進行成本高昂的補救。威脅建模活動可幫助識別：

◇安全目標◇相關(guān)威脅

◇相關(guān)漏洞和對策

一個開發(fā)團隊首先需要明確項目需要保護的目標，了解有哪些威脅和漏洞能夠影響保護目標，找到緩解這些威脅和漏洞的具體措施，才有可能開發(fā)出安全的軟件。因此，威脅建模也是一種風險管理模型，可以適用于所有的軟件產(chǎn)品和系統(tǒng)的開發(fā)。

通過執(zhí)行威脅建模來確定何時何地需要（或合理）資源以減少風險。有許多可臺旨的漏洞，威脅和攻擊，但實際應(yīng)用程序不太可能會遇到所有這些漏洞。組織也不太可禽邑需要解決所有這些問題。威脅建模可幫助識別組織應(yīng)用中所需要具體針對的威脅進行防護。