4.安全設計方法

1)威脅建模

威脅建模是一種工程技術，威脅建模是以結構化的方式，識別、評估應用系統面臨的威脅，其目的是在設計階段充分了解各種可能的安全威脅，對可能的風險進行管理，并指導選擇適當的應對措施，根據設計和測試情況對安全架構和設計進行驗證，從而有助于降低軟件的攻擊面。威脅建模在軟件生命周期需求設計階段就介入進行全面的威脅分析，使得安全防護成本更低，避免在軟件開發后期進行成本高昂的補救。威脅建模活動可幫助識別：

◇安全目標◇相關威脅

◇相關漏洞和對策

一個開發團隊首先需要明確項目需要保護的目標，了解有哪些威脅和漏洞能夠影響保護目標，找到緩解這些威脅和漏洞的具體措施，才有可能開發出安全的軟件。因此，威脅建模也是一種風險管理模型，可以適用于所有的軟件產品和系統的開發。

通過執行威脅建模來確定何時何地需要（或合理）資源以減少風險。有許多可臺旨的漏洞，威脅和攻擊，但實際應用程序不太可能會遇到所有這些漏洞。組織也不太可禽邑需要解決所有這些問題。威脅建模可幫助識別組織應用中所需要具體針對的威脅進行防護。