应用安全评估方法计划.docx

袄应用安全评估
蒂应用评估概括
膁针对公司重点应用的安全性进行的评估，剖析XXX应用程序体系构造、设计思想和功能模
块，从中发现可能的安全隐患。全面的认识应用系统在网络上的“表现”，将有助于对应用系统的维护与支持工作。认识XXXt接见。从逻辑网络拓扑下手，然后在掌握详尽信息时对其进行细化，以显示物理拓扑。根据所选的特定物理拓扑来增添或删除威胁。
蚅逻辑层:显示表示层、业务层和数据接见层的地点。知道物理服务器的边界后，对此进行细化以将它们包括在内。
蚁主要组件:显示每个逻辑层中的重要组件。明确实际流程和组件边界后，对此进行细化以将它们包括在内。
羇主要服务:确定重要的服务。
袇通信端口和协议。显示哪些服务器、组件和服务相互进行通信，以及它们怎样进行通信。认识入站和出站信息包的细节后，显示它们。
莁表记：如果您有这些信息，则显示用于应用程序和所有有关服务帐户的主要
表记。
袂外部依靠项：显示应用程序在外部系统上的依靠项。在稍后的建模过程中，这会帮助您确定由于您所作的有关外部系统的假定是错误的、或许由于外部系统发生任何更改而产生的破绽。
肆随着设计的进行，您应当定期复查威胁模型以增添更多细节。比如，最初您可能不认识所有的组件。应根据需要细分应用程序，以获得足够的细节来确定威胁。
羄确定角色：
肃确定应用程序的角色：即，确定应用程序中由谁来达成哪些工作。用户能做什么？您有什么样的高特权用户组？比如，谁能够读取数据、谁能够更新数据、谁能够删除数据？利用角色表记来确定应当发生什么以及不应当发生什么。
蚁确定主要的使用方案：
肆确定的应用程序的主要功能是什么？它能够做什么？利用应用程序的用例来获得这些信
息。确定应用程序的主要功能和用法，并捕获Create、Read、Update和Delete等方面。
莅经常在用例的上下文中解释主要功能。能够帮助理解应用程序应当怎样使用，以及怎样是误用。用例有助于确定数据流，并能够在稍后的建模过程中确定威胁时提供焦点。在这些用例中，您能够考察误用业务规则的可能性。比如，考虑某个用户试图更改另一个用户的个人详尽资料。您往常需要考虑为进行完整的剖析而同时发生的几个用例。
螅确定技术:
莀只需您能确定，就列出软件的技术和主要功能，以及您使用的技术。确定下列各项：
膆操作系统。
螆服务器软件。
膃数据库服务器软件。
腿在表示层、业务层和数据接见层中使用的技术。
芆开发语言。
***确定技术有助于在稍后的威胁建模活动中将主要精力放在特定于技术的威胁上，有助于确定正确的和最适合的缓解技术。
羅步骤3：系统分解
膂经过分解应用程序来确定信任边界、数据流、入口点和出口点。对应用程序构造认识得越多，就越容易发现威胁和破绽。
莆分解应用程序按如下步骤：
芄确定信任边界。
莂确定数据流。
羁确定入口点。
蒆确定出口点。
蚄下面几部分将对此逐一进行说明。
肄确定信任边界：
蝿确定应用程序的信任边界有助于将剖析集中在所关注的地区。信任边界指示在什么地方更改信任级别。能够从机密性和完整性的角度来考虑信任。比如，在需要特定的角色或特权级别才能接见资源或操作的应用程序中，更改接见控制级别就是更改信任级别。另一个例子是应用程序的入口点，您可能不会完全信任传达到入口点的数据。
螀怎样确定信任边界：
1.
2.
肅
从确定外部系统边界下手。比如，应用程序能够写服务器
X上的文件，能够调用服
务器Y上的数据库，并且能够调用Web服务Z。这就定义了系统边界。
3.
。比如，某个特殊页可能只限于管理人员使用。该页要求经过身份考证的接见，还要求调用方是某个特定角色的成员。
5.
。关于每个子系统，考虑是否信任上游数据流或用户输入，如果不信任，则考虑怎样对数据流和输入进行身份考证和授权。认识信任边界之间存在哪些入口点能够使您将威胁辨别集中在这些重点入口点上。比如，可能需要在信任边界处对经过入口点的数据履行更多的考证。
袀确定数据流：
蒆从入口到出口，追踪应用程序的数据输入经过应用程序。这样做能够认识应用程序怎样与外部系统和客户端进行交互，以及内部组件之间怎样交互。要特别注意跨信任边界的数据流，以及怎样在信任边界的入口点考证这些数据。还要亲密注意敏感数据项，以及这些数据怎样流过系统、它们经过网络传达到哪处以及在什么地方保存。一种较好的方法是从最高级别下手，然后经过剖析各个子系统之间的数据流来解构应用程序。比如，从剖析应用程序、中间层服务器和数据库服务器之