改进的STRIDE威胁模型研究

近年来,随着互联网的广泛应用,互联网上软件系统的安全问题已成为倍受关注的问题之一。互联网因其所具有的开放性、互连性等特性使得位于它之上的软件系统容易成为恶意人员攻击的目标,进而导致系统的机密数据泄漏、用户的个人隐私泄漏等严重后果。因此,针对如何评估和提升一个软件系统的安全性的研究是非常有必要的。目前使用较广泛的安全系统设计技术是威胁建模技术,即考虑入侵者攻击系统的可能方式。STRIDE安全威胁模型是由微软的安全性工程和通信小组开发的一种系统化的威胁建模方法,它将系统面临的威胁分为假冒威胁、篡改威胁、否认威胁、信息泄漏威胁、拒绝服务威胁和提升权限威胁,能够确保系统具有身份验证、机密性、不可否认性、完整性、可用性以及授权这些安全属性。通过对STRIDE安全威胁模型的分析与研究发现,该模型在应用于确定系统的安全解决方案时存在局限性:STRIDE模型对威胁的分类是一维的,经分析只能知道系统可能会面临某类威胁的攻击,但不能确定这类威胁的攻击发生在系统的何处。显然,同一类威胁的攻击可能发生在系统的多个位置,而威胁发生的位置影响着系统安全解决方案的选择。在此基础上,提出了一种基于STRIDE模型的改进模型即STRIDE-improved模型(文中简写为iSTRIDE),该模型是具有层次结构的威胁分类模型,从两个维度上考虑系统所面临的威胁:一是威胁所属的类别,即上面提到过的六种威胁类别;二是威胁发生的位置,即系统核心、系统边界、系统外部这三个地方。此外,对iSTRIDE模型的有效性进行了理论分析,并基于iSTRIDE模型对实际软件系统的潜在威胁进行了分析,结果表明该模型具有一定的参考价值。