3)威脅建模活動概述

威脅建模主要流程包括五步：確定安全目標、確定建模對象、識別威脅、評估威脅和消減威脅：

◇確定安全目標

清晰的目標可幫助實施者調整威脅建模活動，并確定在后續步驟上花費多少努力。 ◇確定建模對象

確定要保護和評估的對象，了解軟件應用的可信任邊界之內的所有功能組件。威脅建模中常用“資產”來描述對象，這里資產可能指軟件系統本身、信息的可用性、或者信息內容本身，例如客戶數據。

◇識別威脅

發現組件或進程存在的威脅。威脅是一種不希望發生、對資產目標有害的事件。從本質上看，威脅是潛在事件，它可能是惡意的，也可能不是惡意的。因此，威脅并不等于漏洞。

◇評估威脅

對威脅進行分析，評估被利用和攻擊發生的概率，了解被攻擊后資產的受損后果，并計算風險。

◇消減威脅

根據威脅的評估結果，確定是否要消除該威脅以及消減的技術措施。在設計階段，可以通過重新設計，以直接消除威脅，或設計采用技術手段來消減威脅。在本階段，應在確定消減威脅手段后繼續評估是否可以接受殘余的安全風險。

在威脅建模實施過程中，可供參考的一些建議如下：

確保所有的威脅模型符合起碼的威脅模型質量要求。所有的威脅模型必須包含數據流程圖，資產描述，威脅與漏洞描述、緩解措施。威脅建模可以使用各種不同的方式和工具、文檔來定義和創建。

確保威脅模型輸出的數據和文件（功能／設計規范要求等）都已經被文檔控制系統存儲并正確地被軟件開發人員所使用。

針對威脅上的每個漏洞形式和緩解措施。建立一個獨立的工作小組進行檢查和驗證。這樣可以讓質量管理組織確保每個緩解措施都得以真正地實施。

針對所有的威脅模型以及提出的緩解措施，應該由至少一個開發人員，一個測試人員，一個項目經理參與審查并批準。咨詢軟件架構師、開發人員、測試人員、項目經理、用戶或者其他軟件相關的人員有助于威脅模型和緩解措施盡可全面。

微軟提出使用STRIDE模型來進行威脅建模的實踐，STRIDE由Spoofing（假冒）、Tampering（篡改）、Repucliation（否認）、Information Disc,losure（信息泄漏）、Denial of Service（拒絕服務）和Elevatio，，of Privilege（提升權限）的第一個字母組合而成，如下表所