高健媛，彭明田，李永進(jìn)

（中國(guó)民航信息網(wǎng)絡(luò)股份有限公司研發(fā)中心，北京 101318）

隨著民航信息化的不斷發(fā)展和航空企業(yè)對(duì)信息網(wǎng)絡(luò)依賴的不斷加強(qiáng)，網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)越來(lái)越高。軟件安全漏洞給攻擊者提供了非授權(quán)訪問(wèn)和攻擊系統(tǒng)的入口點(diǎn)，達(dá)到控制或破壞系統(tǒng)的目的。同時(shí)，業(yè)務(wù)風(fēng)險(xiǎn)如機(jī)票爬取、惡意占座等，也會(huì)影響業(yè)務(wù)正常開(kāi)展，增加經(jīng)營(yíng)成本。目前，企業(yè)大都采用安全代碼審計(jì)和滲透測(cè)試兩種最為常見(jiàn)的發(fā)現(xiàn)威脅方式[1]。但這兩種方式的缺點(diǎn)是只能在系統(tǒng)開(kāi)發(fā)完成后才能進(jìn)行審計(jì)和測(cè)試，大大增加了開(kāi)發(fā)成本，且很難識(shí)別業(yè)務(wù)風(fēng)險(xiǎn)。

為提高信息系統(tǒng)安全性，更好地為民航旅客提供服務(wù)，針對(duì)旅客服務(wù)系統(tǒng)實(shí)施和推廣的安全性，基于STRIDE 模型和民航威脅知識(shí)庫(kù)開(kāi)展軟件威脅建模。該方法可避免攻擊樹(shù)模型對(duì)設(shè)計(jì)人員要求較高的劣勢(shì)，選取了幾乎能覆蓋絕大部分安全問(wèn)題的STRIDE模型進(jìn)行建模，通過(guò)建立民航威脅知識(shí)庫(kù)解決威脅建模難以實(shí)施落地和無(wú)法進(jìn)行業(yè)務(wù)風(fēng)險(xiǎn)分析的問(wèn)題，可有效降低威脅分析門(mén)檻，降低軟件開(kāi)發(fā)維護(hù)成本。

1 威脅建模

威脅建模是軟件安全開(kāi)發(fā)生命周期（SDL,security development lifecycle）中設(shè)計(jì)階段的一個(gè)關(guān)鍵部分，安全設(shè)計(jì)人員站在攻擊者的角度，通過(guò)建模方式將威脅抽象化和結(jié)構(gòu)化，以圖表方式確定威脅范圍，識(shí)別產(chǎn)品架構(gòu)和功能設(shè)計(jì)中潛在的安全問(wèn)題和威脅并實(shí)施相應(yīng)緩解措施，規(guī)避風(fēng)險(xiǎn)，確保產(chǎn)品的安全性。在業(yè)務(wù)安全維度，通過(guò)定位攻擊目標(biāo)和可利用的業(yè)務(wù)安全漏洞來(lái)提高系統(tǒng)安全性，然后定義防范或減輕系統(tǒng)業(yè)務(wù)風(fēng)險(xiǎn)的對(duì)策。

在軟件的設(shè)計(jì)開(kāi)發(fā)過(guò)程中，威脅建模能夠幫助開(kāi)發(fā)設(shè)計(jì)人員早期發(fā)現(xiàn)安全缺陷，了解安全需求，設(shè)計(jì)和交付更安全的產(chǎn)品，有助于威脅全面有效地解決，同時(shí)也有助于降低開(kāi)發(fā)和后期維護(hù)的成本。

2 STRIDE 威脅模型

業(yè)界比較流行的威脅建模方法有兩種：①基于攻擊樹(shù)模型的威脅建模；②采用STRIDE（STRIDE 的每個(gè)字母即為每種威脅的首字母）模型和方法。攻擊樹(shù)模型對(duì)設(shè)計(jì)攻擊樹(shù)人員的安全技能和攻防經(jīng)驗(yàn)要求較高。采用STRIDE 模型對(duì)各系統(tǒng)進(jìn)行威脅建模更具優(yōu)勢(shì)，其核心是在數(shù)據(jù)流元素和威脅之間建立結(jié)構(gòu)化的映射關(guān)系。所謂威脅，可理解為攻擊者使用某種方法利用系統(tǒng)安全缺陷（脆弱點(diǎn)）對(duì)系統(tǒng)進(jìn)行攻擊，從而對(duì)系統(tǒng)造成負(fù)面影響，這樣一個(gè)潛在的、有可能發(fā)生的事件，就是一條安全威脅。STRIDE 模型將威脅分為6大類(lèi)，如表1所示。

表1 六類(lèi)威脅及說(shuō)明Tab.1 Six types of threats and descriptions

數(shù)據(jù)流圖具有4 個(gè)元素：外部實(shí)體、過(guò)程、數(shù)據(jù)流、數(shù)據(jù)存儲(chǔ)。STRIDE 威脅建模方法已明確每個(gè)數(shù)據(jù)流圖元素具有不同的威脅，其中，外部實(shí)體只有假冒（S）、抵賴（R）兩種威脅，過(guò)程具有所有的6 種威脅，具體如表2所示。

表2 各元素對(duì)應(yīng)威脅Tab.2 Corresponding threats of each element

3 威脅建模工作流程

威脅建模是一個(gè)抽象且復(fù)雜的過(guò)程，對(duì)相關(guān)人員能力要求較高，因此，很多企業(yè)經(jīng)常面臨落地、推廣困難等問(wèn)題。一般軟件團(tuán)隊(duì)人員的安全儲(chǔ)備并不豐富，而從事信息安全的人員對(duì)軟件內(nèi)部的了解也不是很全面，在開(kāi)展威脅建模工作時(shí)溝通成本較高。因此，在試行階段，安全人員和軟件團(tuán)隊(duì)一起搜集整理了數(shù)據(jù)流圖四大元素面臨的STRIDE 威脅，結(jié)合民航業(yè)務(wù)風(fēng)險(xiǎn)，建立了民航威脅建模知識(shí)庫(kù)。知識(shí)庫(kù)有利于只具備基本安全知識(shí)的軟件開(kāi)發(fā)設(shè)計(jì)人員梳理威脅點(diǎn)，查缺補(bǔ)漏，降低了威脅建模推廣難度，能夠?qū)⑼{建模作為各軟件團(tuán)隊(duì)日常開(kāi)展設(shè)計(jì)工作中的一部分。工作流程如圖1所示。

圖1 威脅建模工作流程圖Fig.1 Threat modeling work flow

1）識(shí)別資產(chǎn) 根據(jù)具體的業(yè)務(wù)特征、真實(shí)用例及上下游系統(tǒng)來(lái)明確業(yè)務(wù)場(chǎng)景；由信息安全經(jīng)理填寫(xiě)軟件信息提供單（表3和表4示例）中的軟件信息，包括軟件上下游產(chǎn)品、規(guī)模、敏感數(shù)據(jù)的傳輸和存儲(chǔ)方式等。

表3 軟件上下游模塊信息Tab.3 Software upstream and downstream information

2）繪制數(shù)據(jù)流圖 各軟件信息安全經(jīng)理根據(jù)軟件設(shè)計(jì)說(shuō)明書(shū)繪制數(shù)據(jù)流圖，幫助理解業(yè)務(wù)場(chǎng)景和系統(tǒng)，清晰展示該軟件中STRIDE 模型的四大元素，識(shí)別系統(tǒng)邊界和攻擊面。

表4 敏感數(shù)據(jù)信息Tab.4 Sensitive data information

3）威脅建模分析 各軟件信息安全經(jīng)理采用STRIDE 模型，基于民航威脅知識(shí)庫(kù)和專(zhuān)家經(jīng)驗(yàn)對(duì)數(shù)據(jù)流圖中的各元素進(jìn)行威脅分析，結(jié)合威脅的影響范圍和危害程度進(jìn)行評(píng)級(jí)，對(duì)識(shí)別出的威脅，選擇其消減措施，最終將分析結(jié)果編制成威脅分析報(bào)告。報(bào)告內(nèi)容包括：軟件名稱/版本、威脅分類(lèi)、威脅名稱、威脅分析描述、緩解措施等。

4）發(fā)起評(píng)審 各軟件信息安全經(jīng)理將經(jīng)由軟件負(fù)責(zé)人確認(rèn)的威脅分析報(bào)告提交架構(gòu)管理小組評(píng)審。

5）消減風(fēng)險(xiǎn) 各軟件團(tuán)隊(duì)根據(jù)威脅建模結(jié)果改進(jìn)系統(tǒng)設(shè)計(jì)，實(shí)施風(fēng)險(xiǎn)消減措施。

6）測(cè)試驗(yàn)證 測(cè)試團(tuán)隊(duì)驗(yàn)證風(fēng)險(xiǎn)消減結(jié)果，測(cè)試是否已經(jīng)對(duì)相關(guān)威脅進(jìn)行有效控制，達(dá)到威脅建模結(jié)果收斂、系統(tǒng)安全性有效提高的目的。

4 數(shù)據(jù)流圖分析

威脅建模最關(guān)鍵的步驟就是對(duì)數(shù)據(jù)流圖進(jìn)行建模分析，下面僅以某民航企業(yè)的前端系統(tǒng)與內(nèi)部核心系統(tǒng)為例進(jìn)行威脅分析。

4.1 前端系統(tǒng)威脅分析

一個(gè)典型的前端系統(tǒng)數(shù)據(jù)流圖如圖2所示。

圖2 前端系統(tǒng)數(shù)據(jù)流圖Fig.2 Front end system data flow

外部實(shí)體即為該網(wǎng)站的用戶，通過(guò)HTTP 協(xié)議訪問(wèn)站點(diǎn)，可能面臨假冒與抵賴的威脅，這里僅列舉出民航威脅建模知識(shí)庫(kù)中較為典型的幾種情況：①攻擊者可能暴力破解網(wǎng)站用戶口令、對(duì)網(wǎng)站進(jìn)行撞庫(kù)攻擊、口令猜測(cè)等；②攻擊者可通過(guò)修改Cookie 參數(shù)或利用“萬(wàn)能密碼”等方式進(jìn)行登錄繞過(guò)；③同一賬戶可在多地同時(shí)登錄使用；④未授權(quán)訪問(wèn)管理頁(yè)面；⑤日志信息量不足或被攻擊者刪除等。

過(guò)程即為網(wǎng)站提供相應(yīng)服務(wù)的過(guò)程，對(duì)應(yīng)圖2中間的“Website”。過(guò)程面臨所有的6 種威脅，如：①系統(tǒng)存在SQL 注入、XSS、CSRF、SSRF、任意文件上傳、下載等Web 漏洞；②系統(tǒng)使用的中間件存在相關(guān)漏洞；③系統(tǒng)的重要文件如配置文件未使用ACL 保護(hù)；④系統(tǒng)使用的密鑰可能泄露；⑤系統(tǒng)未使用安全的隨機(jī)函數(shù)；⑥系統(tǒng)響應(yīng)或存儲(chǔ)過(guò)多信息；⑦過(guò)度消耗服務(wù)器資源；⑧網(wǎng)站備份文件被下載等。

數(shù)據(jù)流為F(用戶-Website)、F(Website-A)，面臨篡改、信息泄露、拒絕服務(wù)的威脅。篡改主要是由于未使用安全的通訊協(xié)議，可能被攻擊者使用中間人攻擊的方式，攔截到網(wǎng)絡(luò)數(shù)據(jù)包，進(jìn)行針對(duì)性的篡改。信息泄露是敏感數(shù)據(jù)傳輸時(shí)未進(jìn)行加密或未使用安全通訊協(xié)議，攻擊者可從數(shù)據(jù)包中獲取敏感信息。拒絕服務(wù)可由數(shù)據(jù)流激增引起，如攻擊者發(fā)起DDoS 攻擊，從而造成拒絕服務(wù)。

數(shù)據(jù)存儲(chǔ)即為圖2中的數(shù)據(jù)庫(kù)存儲(chǔ)。攻擊者可利用已披露的已知漏洞對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊，從而導(dǎo)致篡改、信息泄露的威脅。未使用低權(quán)限用戶連接數(shù)據(jù)庫(kù)，同樣可帶來(lái)數(shù)據(jù)被篡改的風(fēng)險(xiǎn)。數(shù)據(jù)庫(kù)未開(kāi)啟記錄日志策略或沒(méi)有進(jìn)行其他數(shù)據(jù)庫(kù)審計(jì)方式，可能存在抵賴威脅。敏感數(shù)據(jù)未加密存儲(chǔ)、數(shù)據(jù)庫(kù)未啟用ACL，會(huì)帶來(lái)信息泄露的威脅。數(shù)據(jù)庫(kù)鎖缺陷、不支持動(dòng)態(tài)擴(kuò)容的機(jī)制，會(huì)造成拒絕服務(wù)的風(fēng)險(xiǎn)。

以上是數(shù)據(jù)流圖各元素可能面臨的風(fēng)險(xiǎn)示例，在建模分析中，結(jié)合各軟件的實(shí)際設(shè)計(jì)和實(shí)現(xiàn)情況分析是否存在此風(fēng)險(xiǎn)，并結(jié)合風(fēng)險(xiǎn)發(fā)生的可能性和危害程度對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)，軟件團(tuán)隊(duì)優(yōu)先處理風(fēng)險(xiǎn)性較高、影響范圍和程度較大的威脅。

4.2 內(nèi)部核心系統(tǒng)威脅分析

一個(gè)精簡(jiǎn)的內(nèi)部核心系統(tǒng)數(shù)據(jù)流圖，如圖3所示。

圖3 內(nèi)部核心系統(tǒng)數(shù)據(jù)流圖示例Fig.3 Data flow example of internal core system

企業(yè)內(nèi)部子系統(tǒng)很少與其他系統(tǒng)直接交互，都是通過(guò)總線（如SIH）進(jìn)行交互。由于SIH 存在身份認(rèn)證（IP 認(rèn)證）、流量控制等功能，因此相對(duì)外部實(shí)體更為安全。

如果存在內(nèi)部系統(tǒng)與其他系統(tǒng)通過(guò)FTP 協(xié)議交互，實(shí)際情況是：這兩個(gè)系統(tǒng)不直接交互，一個(gè)系統(tǒng)通過(guò)FTP 服務(wù)器上傳（下載）數(shù)據(jù)，另一系統(tǒng)在FTP 服務(wù)器下載（上傳）數(shù)據(jù)。由于系統(tǒng)本身不開(kāi)放FTP 服務(wù)，自然也減小了風(fēng)險(xiǎn)點(diǎn)。

內(nèi)部系統(tǒng)相對(duì)于前端系統(tǒng)威脅要少，最主要的威脅在于信息泄露。如系統(tǒng)數(shù)據(jù)庫(kù)與日志中是否存在明文的旅客信息，一些密碼信息如數(shù)據(jù)庫(kù)、FTP 賬戶密碼是否明文存儲(chǔ)在配置文件中。

在外部實(shí)體方面，身份認(rèn)證大多通過(guò)SIH 來(lái)完成，如若增強(qiáng)安全性，內(nèi)部系統(tǒng)可引入身份認(rèn)證功能，如IP認(rèn)證。在過(guò)程方面，相對(duì)于前端的過(guò)程而言，少了常見(jiàn)的Web 漏洞（如XSS 漏洞，但SQL 注入，XXE的風(fēng)險(xiǎn)依然存在）。在數(shù)據(jù)流方面，是否使用安全的通訊協(xié)議如HTTPS、SFTP、SSL SOCKET 等，系統(tǒng)是否引入限流策略（如傳輸敏感數(shù)據(jù)），是否先加密后傳輸。在數(shù)據(jù)存儲(chǔ)方面，威脅如上述的信息泄露，前端系統(tǒng)里的數(shù)據(jù)存儲(chǔ)存在的威脅也同樣存在。

5 民航威脅知識(shí)庫(kù)

微軟的STRIDE 模型和方法主要用于操作系統(tǒng)的開(kāi)發(fā)，并不具有通用性，不適用于業(yè)務(wù)系統(tǒng)的威脅分析。因此，采用STRIDE 模型對(duì)軟件進(jìn)行威脅建模分析的過(guò)程中，結(jié)合民航信息系統(tǒng)的功能與業(yè)務(wù)風(fēng)險(xiǎn)，對(duì)于可能存在的威脅，建立了民航威脅知識(shí)庫(kù)，降低了威脅建模實(shí)施的難度，大大提高可操作性。通過(guò)對(duì)威脅知識(shí)庫(kù)的不斷積累，使威脅建模技術(shù)和流程更科學(xué)，不再完全依賴于專(zhuān)家頭腦風(fēng)暴。在軟件開(kāi)發(fā)生命周期的設(shè)計(jì)階段，開(kāi)發(fā)人員即可運(yùn)用知識(shí)庫(kù)進(jìn)行拉網(wǎng)式安全風(fēng)險(xiǎn)排查。此外，知識(shí)庫(kù)中還針對(duì)不同風(fēng)險(xiǎn)提出了有效的緩解措施，不必要求設(shè)計(jì)人員一定具備安全專(zhuān)業(yè)知識(shí)，改進(jìn)的威脅模型如圖4所示。

知識(shí)庫(kù)是基于STRIDE 模型關(guān)于外部實(shí)體、過(guò)程、數(shù)據(jù)流、數(shù)據(jù)存儲(chǔ)4 個(gè)元素的可能風(fēng)險(xiǎn)點(diǎn)集合，作為軟件威脅建模的風(fēng)險(xiǎn)參考列表。其中，包括民航業(yè)務(wù)安全風(fēng)險(xiǎn)表和按軟件類(lèi)型（前端類(lèi)、總線類(lèi)、框架類(lèi)、接口類(lèi)和后臺(tái)服務(wù)類(lèi)）區(qū)分的安全風(fēng)險(xiǎn)表。每類(lèi)風(fēng)險(xiǎn)表中有4 部分，分別對(duì)應(yīng)4 個(gè)元素，每部分有6 類(lèi)內(nèi)容：威脅分類(lèi)（如假冒或抵賴）、安全控制措施（如身份認(rèn)證、輸入校驗(yàn)、加密技術(shù)等）、威脅名稱（如暴力破解、SQL 注入等）、威脅場(chǎng)景分析、緩解建議措施、研發(fā)階段（設(shè)計(jì)階段、編碼階段、發(fā)布階段、非研發(fā)階段）。

圖4 基于民航威脅知識(shí)庫(kù)的威脅模型Fig.4 Threat model with civil aviation threat knowledge base

建立的民航威脅知識(shí)庫(kù)共積累了幾百種安全威脅，較全面地覆蓋了假冒、篡改、抵賴、信息泄露、拒絕服務(wù)、權(quán)限提升等6 類(lèi)威脅。由于知識(shí)庫(kù)中威脅較多，以下針對(duì)每類(lèi)威脅給出具有代表性的威脅場(chǎng)景進(jìn)行分析。

1）假冒 如系統(tǒng)未采取多因子認(rèn)證方式，或系統(tǒng)缺乏賬戶鎖定策略，可能面臨著暴力破解風(fēng)險(xiǎn)，攻擊者基于口令字典，通過(guò)Hydra 等暴力破解工具，自動(dòng)化爆破系統(tǒng)的弱口令信息；基于常見(jiàn)的用戶設(shè)置口令習(xí)慣，通過(guò)手動(dòng)輸入常見(jiàn)的弱口令信息，嘗試訪問(wèn)系統(tǒng)，若系統(tǒng)存在弱口令，可能被攻擊者獲取并接入系統(tǒng)，從而造成進(jìn)一步的風(fēng)險(xiǎn)。

2）篡改 若系統(tǒng)未使用安全通信協(xié)議，或在通信過(guò)程中未對(duì)關(guān)鍵身份信息進(jìn)行完整性校驗(yàn)，攻擊者可能在通信過(guò)程中對(duì)會(huì)話進(jìn)行篡改，或通過(guò)中間人攻擊的方式對(duì)會(huì)話內(nèi)容進(jìn)行篡改。

3）抵賴 若系統(tǒng)日志信息量不足，工作人員無(wú)法通過(guò)日志對(duì)用戶行為進(jìn)行有效審計(jì)，造成抵賴的風(fēng)險(xiǎn)。

4）信息泄露 如AMQ、FTP、數(shù)據(jù)庫(kù)等賬號(hào)密碼明文存儲(chǔ)于在配置文件中，可能存在泄露風(fēng)險(xiǎn)，攻擊者若獲取到相應(yīng)的配置文件，則會(huì)獲取到明文的賬號(hào)及密碼，攻擊者很有可能利用賬號(hào)及密碼獲取到內(nèi)網(wǎng)的更多敏感信息，實(shí)施進(jìn)一步的攻擊；系統(tǒng)數(shù)據(jù)庫(kù)中，若存在著明文存儲(chǔ)的敏感信息（如旅客身份證號(hào)、手機(jī)號(hào)、銀行卡等），若攻擊者得到了數(shù)據(jù)庫(kù)訪問(wèn)權(quán)限或利用SQL 注入等方式獲取到數(shù)據(jù)庫(kù)內(nèi)容，即可獲取明文的敏感信息，從而造成進(jìn)一步威脅。

5）拒絕服務(wù) 若系統(tǒng)不支持動(dòng)態(tài)擴(kuò)容機(jī)制，臨時(shí)文件、日志文件、業(yè)務(wù)數(shù)據(jù)等內(nèi)容有可能占滿硬盤(pán)的空間，可導(dǎo)致應(yīng)用運(yùn)行異常。

6）權(quán)限提升 若系統(tǒng)業(yè)務(wù)邏輯存在缺陷，如未對(duì)每個(gè)頁(yè)面或請(qǐng)求作權(quán)限校驗(yàn)，或URL 中判斷身份的字符串被猜解，可能存在平行越權(quán)、垂直越權(quán)、任意文件上傳等漏洞，攻擊者可利用系統(tǒng)自身業(yè)務(wù)邏輯漏洞進(jìn)行提權(quán)，提權(quán)成功可對(duì)系統(tǒng)造成更大危害；若業(yè)務(wù)系統(tǒng)運(yùn)行的操作系統(tǒng)、中間件等環(huán)節(jié)存在可提權(quán)的安全漏洞，或應(yīng)用軟件存在Bug，攻擊者可以利用這些漏洞及Bug 進(jìn)行提權(quán)，若攻擊成功可造成進(jìn)一步的風(fēng)險(xiǎn)。

與威脅相對(duì)應(yīng)的，自然有相應(yīng)的安全控制措施。根據(jù)威脅的類(lèi)型，從知識(shí)庫(kù)中總結(jié)出一些通用的緩解措施如下。

1）假冒 使用強(qiáng)身份驗(yàn)證，避免系統(tǒng)存在弱口令，限制登陸錯(cuò)誤次數(shù)，對(duì)于重要的電子商務(wù)網(wǎng)站，應(yīng)使用雙因素認(rèn)證，如U 盾，短信口令等認(rèn)證方式；在線路上以加密的形式傳遞憑據(jù)；用安全套接字層（SSL）保護(hù)身份驗(yàn)證Cookie。

2）篡改 驗(yàn)證、過(guò)濾用戶的輸入和輸出，防止SQL注入、XSS 攻擊等；確保限制會(huì)話/Cookie 的有效期；執(zhí)行關(guān)鍵功能時(shí)，重新進(jìn)行身份驗(yàn)證；規(guī)范記錄日志文件；規(guī)范數(shù)據(jù)存儲(chǔ)（如數(shù)據(jù)庫(kù)）輸入；在通信鏈路之間使用防篡改協(xié)議；重要文件、數(shù)據(jù)使用ACL 保護(hù)。

3）抵賴 規(guī)范日志文件記錄的內(nèi)容，記錄重要的應(yīng)用程序操作，審核登陸和注銷(xiāo)事件，訪問(wèn)文件系統(tǒng)及失敗的對(duì)象訪問(wèn)嘗試；保證日志機(jī)密性完整性；備份日志文件，并定期分析可疑活動(dòng)的記錄；重要業(yè)務(wù)使用數(shù)字簽名。

4）信息泄露 不以明文存儲(chǔ)機(jī)密信息，對(duì)敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，并使用ACL 保護(hù)；基于身份和角色的授權(quán)，確保只具有適當(dāng)授權(quán)級(jí)別的用戶允許訪問(wèn)敏感數(shù)據(jù)；使用內(nèi)置的加密規(guī)程，并定期使密鑰過(guò)期；隨機(jī)數(shù)的生成使用強(qiáng)隨機(jī)函數(shù)；使用具有保密性的安全通訊協(xié)議（如SSL、HTTPS）；不暴露用戶名，關(guān)閉錯(cuò)誤信息的顯示，設(shè)置統(tǒng)一的出錯(cuò)頁(yè)面，返回給客戶端一般的錯(cuò)誤信息。

5）拒絕服務(wù) 使用資源與帶寬調(diào)節(jié)技術(shù)，系統(tǒng)并發(fā)數(shù)限制；優(yōu)化程序，避免死鎖；輸入有效性校驗(yàn)；在整個(gè)應(yīng)用程序代碼庫(kù)中使用異常處理。

6）特權(quán)提升 遵循最低特權(quán)原則，并使用最低特權(quán)服務(wù)賬戶運(yùn)行進(jìn)程及訪問(wèn)資源。

威脅知識(shí)庫(kù)需要不斷更新以達(dá)到輔助威脅建模盡可能多地識(shí)別出威脅的目的。

6 結(jié)語(yǔ)

基于STRIDE 威脅模型和民航威脅知識(shí)庫(kù)對(duì)軟件進(jìn)行威脅建模的過(guò)程和方法，列舉了前端及核心系統(tǒng)兩類(lèi)代表性軟件產(chǎn)品開(kāi)展威脅分析的實(shí)例，并對(duì)民航威脅知識(shí)庫(kù)進(jìn)行了舉例介紹。采用此威脅模型開(kāi)展威脅建模的過(guò)程中，較為系統(tǒng)地對(duì)可能存在的風(fēng)險(xiǎn)進(jìn)行了識(shí)別、標(biāo)定，各軟件團(tuán)隊(duì)針對(duì)可能存在的風(fēng)險(xiǎn)采取了相應(yīng)的緩解措施，有效降低了系統(tǒng)面臨假冒、篡改、抵賴、信息泄露、拒絕服務(wù)、權(quán)限提升等方面的安全問(wèn)題。同時(shí)，探索出了一套便于落地推廣實(shí)施的工作流程，對(duì)民航企事業(yè)單位的業(yè)務(wù)系統(tǒng)具備一定的參考價(jià)值。