《白帽子讲Web安全》笔记 - 如何实施安全评估？-优快云博客

本文介绍了一种信息安全评估的四步法：资产等级划分、威胁分析、风险分析及设计安全方案。通过对资产进行等级划分，明确保护重点；使用STRIDE模型进行威胁分析；采用DREAD模型进行风险评估；最后设计出既安全又不影响业务的解决方案。

4步：资产等级划分->威胁分析->风险分析->确认解决方案

在互联网的基础设施已经比较完善的今天，互联网的核心其实是由用户数据驱动的——用户产生业务，业务产生数据。互联网公司除了拥有一些固定资产，如服务器等死物外，最核心的价值就是其拥有的用户数据。互联网安全的核心问题，是数据安全的问题。

每个公司因为业务不同对数据的侧重也不同。做资产等级划分的过程，需要与各个业务部门的负责人一一沟通，了解公司最重要的资产是什么，他们最看重的数据是什么。通过访谈的形式，安全部门才能熟悉、了解公司的业务，公司所拥有的数据，以及不同数据的重要程度，为后续的安全评估过程指明方向。

最简单的划分方式，就是从网络逻辑上来划分。比如最重要的数据放在数据库里，那么把数据库的服务器圈起来；Web 应用可以从数据库中读/写数据，并对外提供服务，那再把 Web 服务器圈起来；最外面是不可信任的 Internet

威胁分析就是把所有的威胁都找出来。怎么找？一般是采用头脑风暴法。当然，也有一些比较科学的方法，比如使用一个模型，帮助我们去想，在哪些方面有可能会存在威胁，这个过程能够避免遗漏，这就是威胁建模。
一种威胁建模的方法，它最早是由微软提出的，叫做 STRIDE 模型。

STRIDE 是 6 个单词的首字母缩写，我们在分析威胁时，可以从以下 6 个方面去考虑。

威胁	定义	对应的安全属性
Spoofing（伪装）	冒充他人身份	认证
Tampering（篡改）	修改数据或代码	完整性
Repudiation（抵赖）	否认做过的事情	不可抵赖性
InformationDisclosure（信息泄露）	机密信息泄露	机密性
Denial of Service（拒绝服务）	拒绝服务	可用性
Elevation of Privilege（提升权限）	未经授权获得许可	授权

在进行威胁分析时，要尽可能地不遗漏威胁，头脑风暴的过程可以确定攻击面（Attack
Surface）。
在维护系统安全时，最让安全工程师沮丧的事情就是花费很多的时间与精力实施安全方
案，但是攻击者却利用了事先完全没有想到的漏洞（漏洞的定义：系统中可能被威胁利用以造
成危害的地方。）完成入侵。这往往就是由于在确定攻击面时，想的不够全面而导致的。

科学地衡量风险
DREAD 模型，它也是由微软提出的

风险分析例子
以《智取华山》为例，如果国民党在威胁建模后发现存在两个主要威胁：第一个威胁是从
正面入口强攻，第二个威胁是从后山小路爬悬崖上来。那么，这两个威胁对应的风险分别计算
如下：
走正面的入口：
Risk = D(3) + R(3) + E(3) + A(3) + D(3) = 3+3+3+3+3=15
走后山小路：
Risk = D(3) + R(1) + E(1) + A(3) + D(1) = 3+1+1+3+1=9
如果我们把风险高低定义如下：
高危：12～15分中危：8～11分低危：0～7分
那么，正面入口是最高危的，必然要派重兵把守；而后山小路竟然是中危的，因此也不能
忽视。之所以会被这个模型判断为中危的原因，就在于一旦被突破，造成的损失太大，失败不
起，所以会相应地提高该风险值。
在任何时候都应该记住——模型是死的，人是活的，再好的模型也是需要人来使用的，在
确定攻击面，以及判断风险高低时，都需要有一定的经验，这也是安全工程师的价值所在。

安全评估的产出物，就是安全解决方案。解决方案一定要有针对性，这种针对性是由资产
等级划分、威胁分析、风险分析等阶段的结果给出的。
设计解决方案不难，难的是如何设计一个好的解决方案。设计一个好的解决方案，是真正
考验安全工程师水平的时候。
很多人认为，安全和业务是冲突的，因为往往为了安全，要牺牲业务的一些易用性或者性
能，笔者不太赞同这种观点。从产品的角度来说，安全也应该是产品的一种属性。一个从未考
虑过安全的产品，至少是不完整的。
作为安全工程师，要想的就是如何通过简单而有效的方案，解决遇到的安全问题。安全方
案必须能够有效抵抗威胁，但同时不能过多干涉正常的业务流程，在性能上也不能拖后腿。
最终，一个优秀的安全方案应该具备以下特点：
能够有效解决问题；
用户体验好；
高性能；
低耦合；
易于扩展与升级。

转载于:https://www.cnblogs.com/greycdoer0/p/11203050.html