操作流程
1.分析项目需求流程,功能,架构文档
2.安全风险,stride威胁建模,隐私保护(GDPR)
3.根据流程,功能,架构等提出安全需求【要求能落地】
4.建立草稿
5.建立文档[根据1,2,3 +名词解释,安全需求对应的作用等]
6.平台录入存档
风险模型[例子]
1.1 数据威胁模型[数据属性:id,name]
注入攻击
越权攻击
XXE攻击
SSRF攻击
未授权攻击
....
1.2 数据安全需求
数据验证
权限控制
数据加密
...
2.1 通讯威胁模型[传输协议:htttp; 传输方式: json]
中间人挟持
DDOS
爬虫
重放攻击
...
2.2 通讯安全需求
数据加密传输[https]
数据签名+加密+时间戳
会话级别通讯
传输双向验证
...
3.1 流程威胁模型
...
3.2 流程安全需求[动作:注册过程,验证码验证过程, 加解密验证过程]
...
如下图:
隐私保护:
- 基本的身份信息,如姓名、地址和身份证号码等;
- 网络数据,如位置、IP地址、Cookie数据和RFID标签等;
- 医疗保健和遗传数据;
- 生物识别数据,如指纹、虹膜等;
- 种族或民族数据;
- 政治观点;
- 性取向。
正式文档期:
todo
平台存档:
todo
参考链接:
http://www.aqniu.com/learn/30670.html
http://www.owasp.org.cn/OWASP_Events/SSDL.pdf