33、SecTOOL:助力访问控制需求工程

最新推荐文章于 2025-10-02 13:07:16 发布
最新推荐文章于 2025-10-02 13:07:16 发布
阅读量16 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全前沿:ETRICS2006精要 文章标签: SecTOOL 访问控制 UML
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/linux/article/details/154277522

SecTOOL:助力访问控制需求工程

在软件开发的漫长历程中,安全曾长期被视为软件系统的附加功能,往往在开发后期才被考虑,甚至有时被忽视。然而,一系列安全事故促使人们重新审视安全的重要性,安全工程的概念应运而生,强调在软件开发的早期阶段就将安全因素纳入考量,并贯穿整个软件生命周期。本文将聚焦于在基于UML的软件开发中如何考虑访问控制需求,同时介绍一款名为SecTOOL的工具,它为访问控制工程提供了有力支持。

1. 引言

过去,安全常被视为软件系统的非功能性属性,在系统开发的后期才被考虑,甚至有时被忽略。但一系列安全灾难促使人们重新思考,安全工程的概念应运而生,强调安全应从开发早期就作为软件系统的一部分,并贯穿整个生命周期。

在基于UML的软件开发中,访问控制需求可通过UML图自然表达。虽然模型驱动开发中的访问控制工程方法不断涌现,但工具支持和执行基础设施仍滞后。为改善这一状况,我们开发了SecTOOL,它是Rational UML案例工具的插件,支持早期开发阶段,反映了Raccoon项目的访问控制管理方法。

SecTOOL与SecureUML插件有相似之处,但也有三点不同:涵盖所有早期开发步骤、支持特权的动态修改以及设计具有平台独立性。它提高了访问控制工程各阶段的可靠性,受Raccoon项目的View Policy Language(VPL)影响。

2. VPL回顾
2.1 基于视图的访问控制(VBAC)

VBAC是基于角色的访问控制(RBAC)的面向对象版本,旨在克服标准Corba安全模型的弱点。它使用角色、类型和视图等分组机制,视图是接口操作集的子集,可包含访问控制相关信息。视图可静态或动

订阅专栏 解锁全文 会员秒杀 ¥9.9 重磅福利 超级会员免费看
练习:SQL注入——PostgreSQL
m0_51322401的博客
02-01 2062
不同于mysql数据库的union select 1,2,3,4,该i数据库的使用null来替代,union select null,null,null,null,在中间输入之后同样使用and1=2来进行报错即使and 1=2 union select null,null,null,null。and 1=2 union select ‘null’,null,null,null 错误。and 1=2 union select null,null,null,‘null’ 错误。依次序使其测出显位。
域控知识与安全02:初始访问
weixin_44283446的博客
02-22 2656
初始访问前言信息收集Nmap使用方法 前言     攻击者首先通过初始访问入侵目标用户网络,可以通过有针对性的网络钓鱼攻击或者利用互联网应用程序上的漏洞进行攻击,这也会影响整个攻击是否能持久化。攻击者不仅可以使用有效地凭证进行登录并远程控制,还可以更改密码导致原用户无法登陆。     在域中,初始访问的过程就是攻击者成为与用户进入内网的过程。整个过程可以分为信息收集和破解两个部分 信息收集   &nbsp
pyMagic:用python控制的Geek入门神器
weixin_30632899的博客
05-22 113
http://www.freebuf.com/sectool/103374.html 转载于:https://www.cnblogs.com/zengkefu/p/5517970.html
Kali Linux渗透基础知识整理(四):维持访问
Grey的博客
02-27 554
*本文原创作者:sysoremKali Linux渗透基础知识整理系列文章回顾维持访问在获得了目标系统的访问权之后,攻击者需要进一步维持这一访问权限。使用木马程序、后门程序和rootkit来达到这一目的。维持访问是一种艺术形式,思想比渗透更加重要。NetcatCryptcatweevelycymothoaNetcatNetCat是一个非常简单的Unix工具,可以读、写TCP或UDP网络连接(net...
34、访问控制与信息流控制技术解析
linux的博客
10-02 15
本文深入解析了访问控制与信息流控制技术,重点介绍了基于UML访问控制工具SecTOOL及其策略生成、转换与部署机制,支持平台无关的XACML标准。同时探讨了MAKS框架下的信息流控制方法,结合配置结构实现并发系统的动作细化,并确保安全属性在细化过程中得以保留。文章还对比了多种访问控制与信息流控制技术的优缺点,提供了实际应用场景的选择建议,并通过会议管理和文件系统案例展示了技术实践路径。最后展望了未来在方法学支持、形式化应用及技术融合方面的发展方向。
探索安全世界的神奇工具箱:sec-tools
gitblog_00091的博客
05-19 628
探索安全世界的神奇工具箱:sec-tools 去发现同类优质开源项目:https://gitcode.com/ 在信息安全领域,拥有一套强大且全面的工具是必不可少的。这就是sec-tools项目的核心价值所在。这个被广泛使用的集合,由经验丰富的安全研究者eugenekolo精心整理,不仅包含了各类安全工具,还提供了方便的一站式安装和管理方案。 项目简介 sec-tools是一个活跃的开源项目,尽管...
小兵传奇三:scoket网络编程传输图片
直到世界的尽头
07-15 2918
做一个传输图片的的scoket,遇到了各种各样的问题(附录中给出)   后来用一个比较稳定的框架后得到解决,这里记录该网络框架的用法: 服务端中的接收类: FileServer.cs代码 using System; using System.Collections.Generic; using System.Linq; using System.Text; using SA
安全工程师转正面试题
蚁景网安学院
03-27 6051
原创作者:3s_NwGeek 安全工程师转正面试题 最近我们公司准备有几个实习生要转正了,领导让我亲自出一些结合实际安全工作的题目,题目的由来都是从工作中遇到过的问题到解决的的过程中产生的。从简单到难的题目,既能考到实习生的知识基础,又能考到他们的学习能力(面对不同未接触过的难题如何去应对),还有就是情景开放式答题,网上能查到一点资料,但是又需要自己思考的,结合实际工作来回答的。好的话不多说,由简...
ElasticSearch未授权访问
打代码的小女孩
11-17 7880
0x00 漏洞描述: Elasticsearch是一款java编写的企业级搜索服务。越来越多的公司使用ELK作为日志分析,启动此服务默认会开放9200端口,可被非法操作数据 0x01 一些利用的URL http://101.198.161.130:9200/_cat/indices/ http://101.198.161.130:9200/_plugin/head/ http://101.198....
Python安全工具库sectool-0.0.2发布
sectool-0.0.2.tar.gz”是一个以Python语言开发的安全工具类库,其资源全名为`sectool-0.0.2.tar.gz`,属于典型的Python第三方库发布格式之一。该库通过`.tar.gz`压缩包形式进行分发,是Python生态系统中常见的...
Python库 | sectool-0.0.2.tar.gz
04-14
资源分类:Python库 所属语言:Python 资源全名:sectool-0.0.2.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.youkuaiyun.com/article/details/101784059
Python库 | sectool-0.0.8-py3-none-any.whl
02-19
在这个场景中,我们关注的是一个名为"sectool"的Python库,其版本为0.0.8,对应的whl文件是"sectool-0.0.8-py3-none-any.whl"。这个文件是一个Python的可分发包格式,用于在Python环境中安装和使用该库。 首先,让...
PyPI 官网下载 | sectool-0.0.8-py3-none-any.whl
01-07
资源来自pypi官网。 资源全名:sectool-0.0.8-py3-none-any.whl
live-player组件使用技巧[代码]
11-24
本文详细介绍了在小程序中使用live-player组件实现直播流播放的各种操作技巧,包括全屏切换、播放暂停、静音外放等功能。作者首先明确了live-player组件的基本属性和方法,然后通过UI图和代码演示展示了如何自定义操作栏,实现播放控制。文章还提供了完整的HTML、Script和CSS代码示例,帮助开发者快速掌握live-player组件的使用。最后,作者总结了实现过程中的关键点,并鼓励读者点赞、收藏加关注。
Aegisub特效字幕插件教程[代码]
11-24
本文详细介绍了Aegisub特效字幕制作中常用的插件使用方法,包括渐变插件和抖动插件的安装与操作步骤。渐变插件支持水平渐变和垂直渐变,可调整填充色、边缘描边等效果;抖动插件则能实现字幕的随机抖动或手动选择抖动,支持x轴、y轴或同时抖动。文章还提供了插件的下载链接,帮助用户快速上手制作动态字幕效果。
Golang开发Android应用[可运行源码]
11-24
本文介绍了如何使用Golang开发Android应用的基本环境配置。文章首先探讨了Golang与Android的关系,指出Golang可以编译成Android的可执行文件和动态库,适合用于编写运行库、后台服务或工具程序。接着,作者提供了一个简单的Golang代码示例,展示了如何用Golang编写Android应用。随后,详细讲解了在Windows 7/10 64位系统上配置Golang编译环境和Android NDK编译器的步骤,包括下载NDK、设置环境变量等。最后,文章还提到了命令行环境设置和编译过程,并提供了测试编译的步骤。整个配置过程虽然复杂,但通过本文的指导,读者可以顺利完成环境搭建,开始用Golang开发Android应用。
基于Simscape的纯电动汽车电机冷却系统建模与分析
11-24
本资源提供MATLAB多个发行版本(2014/2019a/2024a)的技术支持,并配套完整的案例数据集,确保程序可直接执行。代码架构采用模块化设计理念,具备以下技术特性:参数变量均通过独立配置模块实现灵活调整;程序逻辑采用分层结构,确保执行流程清晰可溯;关键算法段均配有标准化注释说明。本资源适用于计算机科学、电子信息技术、应用数学等专业的课程实践、综合课题研究及学位论文开发等学术场景。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
LUA loadstring用法[项目代码]
最新发布
11-24
本文详细介绍了LUA脚本中loadstring函数的用法,包括基本用法和复杂用法。基本用法如`assert(loadstring(script))()`,用于加载和运行给定的字符串。复杂用法展示了如何动态加载字符串并执行,结果可以是table或方法。例如,动态加载字符串生成table后,可以通过索引访问其中的数据;动态加载字符串生成方法后,可以直接调用该方法并输出结果。这些示例帮助开发者更好地理解和使用loadstring函数。
html5游戏源码挠痒痒
11-24
html5游戏源码挠痒痒
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值