【STRIDE】【3】安全威胁分析设计
短信预约 -IT技能 免费直播动态提醒
本文谈一下STRIDE数据流图的四个元素:外部实体、处理过程、存储、数据流
为了描述方便,以下图为例进行说明,该数据流图是“斗医”系统解析业务配置规则的一个功能,即客户端启动系统时会通过PwmLauncher调用到PwmBusinessUtil从XML文件中读取规则,然后把规则转换为PwmBusiness对象存储在PwmCache缓存中
这个数据流图比较简单,麻雀虽小但五脏俱全,其中:
| 对象 | 名称 | 描述 |
| Client | 外部实体 | 来自系统的外部,用长方形表示 |
PwmLauncher PwmBusinessUtil PwmBusiness PwmCache | 处理过程 | 系统内部,一般是一个进程内的业务处理模块或逻辑处理对象,用圆形表示 |
| business config xml | 存储 | 系统内部,一般是指数据库或文件,用两横线表示 |
HTTP/HTTPS Read Create Write等连线 | 数据流 | 系统内部或者系统内部与外部实体的连接,可以是双向也可以是单向,用连线表示 |
这里有一个红色的虚线框(Pwm Bounder),用于表明系统信任边界,故名思义,表示虚线框内的元素都是可以信任的,系统外面的外体实体不可信任,所以画数据流图的关键就在于确认信任边界
画数据流图使用什么工具?
这个因人而异,可以使用visio、也可以使用微软专用的数据流图工具、当然也可以使用Enterprise Architect
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
