应用安全评估方法计划.docx

应用安全评估方法计划
应用安全评估方法计划
1 / 221
应用安全评估方法计划
袄应用平安评估
蒂应用评估概述
膁针对企业关键应用的平安性进行的评估，分析 XXX应用程序体系结构、设计思想和功能模
块，从中估方法计划
葿画出端对端的部署方案。
应用安全评估方法计划
应用安全评估方法计划
22 / 2222
应用安全评估方法计划
莇确定角色。
蒆确定主要使用方案。
肄确定技术。
蕿确定应用程序的平安机制。
袈下面几局部将对此逐一进行说明：
羃画出端对端的部署方案：
袃画出一个描述应用程序的组成和结构、它的子系统以及部署特征的粗略图。随着对身份验证、授权和通信机制的发现来添加相关细节。
虿部署关系图通常应当包含以下元素：
艿
端对端的部署拓扑： 显示效劳器的布局，并指示 Intranet、Extranet或
Internet访问。从逻辑网络拓扑入手，然后在掌握详细信息时对其进行细化，以显示物理拓扑。根据所选的特定物理拓扑来添加或删除威胁。
蚅逻辑层:显示表示层、业务层和数据访问层的位置。知道物理效劳器的边界后，对此进行细化以将它们包括在内。
蚁主要组件:显示每个逻辑层中的重要组件。明确实际流程和组件边界后，对此进行细化以将它们包括在内。
羇主要效劳:确定重要的效劳。
袇通信端口和协议。显示哪些效劳器、组件和效劳相互进行通信，以及它们如何进行通信。了解入站和出站信息包的细节后，显示它们。
莁标识：如果您有这些信息，那么显示用于应用程序和所有相关效劳帐户的主要
标识。
应用安全评估方法计划
应用安全评估方法计划
7 / 227
应用安全评估方法计划
袂外部依赖项：显示应用程序在外部系统上的依赖项。在稍后的建模过程中，这会帮助您确定由于您所作的有关外部系统的假设是错误的、或者由于外部系统发生任何更改而产生的漏洞。
肆随着设计的进行，您应当定期复查威胁模型以添加更多细节。例如，最初您可能不了解所有的组件。应根据需要细分应用程序，以获得足够的细节来确定威胁。
羄确定角色：
肃确定应用程序的角色：即，确定应用程序中由谁来完成哪些工作。用户能做什么？您有什么样的高特权用户组？例如，谁可以读取数据、谁可以更新数据、谁可以删除数据？利用角色标识来确定应当发生什么以及不应当发生什么。
蚁确定主要的使用方案：
肆确定的应用程序的主要功能是什么？它可以做什么？利用应用程序的用例来获得这些信
息。确定应用程序的主要功能和用法，并捕获 Create、Read、Update和Delete等方面。
莅经常在用例的上下文中解释主要功能。可以帮助理解应用程序应当如何使用，以及怎样是误用。用例有助于确定数据流，并可以在稍后的建模过程中确定威胁时提供焦点。在这些用例中，您可以考察误用业务规那么的可能性。例如，考虑某个用户试图更改另一个用户的个人详细资料。您通常需要考虑为进行完整的分析而同时发生的几个用例。
螅确定技术:
莀只要您能确定，就列出软件的技术和主要功能，以及您使用的技术。确定以下各项：
膆操作系统。
螆效劳器软件。
应用安全评估方法计划
应用安全评估方法计划
8 / 228
应用安全评估方法计划
膃数据库效劳器软件。
应用安全评估方法计划
应用安全评估方法计划
22 / 2222
应用安全评估方法计划
腿在表示层、业务层和数据访问层中使用的技术。
芆开发语言。
***确定技术有助于在稍后的威胁建模活动中将主要精力放在特定于技术的威胁上，有助于确定正确的和最适当的缓解技术。
羅步骤3：系统分解
膂通过分解应用程序来确定信任边界、数据流、入口点和出口点。对应用程序结构了解得越多，就越容易发现威胁和漏洞。
莆分解应用程序按如下步骤：
芄确定信任边界。
莂确定数据流。
羁确定入口点。
蒆确定出口点。
蚄下面几局部将对此逐一进行说明。
肄确定信任边界：
蝿确定应用程序的信任边界有助于将分析集中在所关注的区域。信任边界指示在什么地方更改信任级别。可以从机密性和完整性的角度来考虑信任。例如，在需要特定的角色或特权级别才能访问资源或操作的应用程序中，更改访问控制级别就是更改信任级别。另一个例子是应用程序的入口点，您可能不会完全信任传递到入口点的数据。
螀如何确定信任边界：
1.
2.
肅
从确定外部系统边界入手。例如，应用程序可以写效劳器
X上的文件，可以调用服
应用安全评估方法计划
应用安全评估方法计划
10 / 2210
应用安全评估方法计划
务器Y上的数