【STRIDE】【3】安全威胁分析设计

2023-01-31 04:01:31 分析 设计 威胁

本文谈一下STRIDE数据流图的四个元素:外部实体、处理过程、存储、数据流


    为了描述方便,以下图为例进行说明,该数据流图是“斗医”系统解析业务配置规则的一个功能,即客户端启动系统时会通过PwmLauncher调用到PwmBusinessUtil从XML文件中读取规则,然后把规则转换为PwmBusiness对象存储在PwmCache缓存



wKiom1Rgw7jynQUyAAE7Y3Ya158377.jpg


这个数据流图比较简单,麻雀虽小但五脏俱全,其中:

对象名称描述
Client外部实体来自系统的外部,用长方形表示

PwmLauncher

PwmBusinessUtil

PwmBusiness

PwmCache

处理过程系统内部,一般是一个进程内的业务处理模块或逻辑处理对象,用圆形表示
business config xml存储系统内部,一般是指数据库或文件,用两横线表示

Http/https

Read

Create

Write等连线

数据流系统内部或者系统内部与外部实体的连接,可以是双向也可以是单向,用连线表示


这里有一个红色的虚线框(Pwm Bounder),用于表明系统信任边界,故名思义,表示虚线框内的元素都是可以信任的,系统外面的外体实体不可信任,所以画数据流图的关键就在于确认信任边界



画数据流图使用什么工具

这个因人而异,可以使用visio、也可以使用微软专用的数据流图工具、当然也可以使用Enterprise Architect



相关文章