互联网 类型
可以朗读 语音朗读
117千字 字数
2022-10-01 发行日期
展开全部

主编推荐语

本书将帮助你更好地理解如何将威胁建模应用到实践中,以保护你的系统免受网络攻击威胁。

内容简介

本书的主要重点是如何使用威胁建模来分析系统设计,以便你可以识别系统实施和部署中固有的风险,并规避这种风险。

本书不提供用于安全设计或特定拓扑、系统、算法分析的方法,而是提供识别风险情况所需的工具、解决这些风险情况的具体方法选项,并为你提供更多信息来源,以帮助你扩展威胁建模技能。

目录

  • 版权信息
  • O'Reilly Media, Inc.介绍
  • 业界评论
  • 前言
  • 第0章 引言
  • 0.1 威胁建模
  • 0.1.1 什么是威胁建模
  • 0.1.2 为什么需要威胁建模
  • 0.1.3 障碍
  • 0.1.4 系统开发生命周期中的威胁建模
  • 0.2 基本安全性原则
  • 0.2.1 基本概念和术语
  • 0.2.2 计算严重性或风险
  • 0.2.3 核心属性
  • 0.2.4 基本控制
  • 0.2.5 安全系统的基本设计模式
  • 0.3 小结
  • 第1章 系统建模
  • 1.1 为什么要创建系统模型
  • 1.2 系统模型类型
  • 1.2.1 数据流图
  • 1.2.2 序列图
  • 1.2.3 过程流图
  • 1.2.4 攻击树
  • 1.2.5 鱼骨图
  • 1.3 如何构建系统模型
  • 1.4 好的系统模型是什么样子的
  • 1.5 小结
  • 第2章 威胁建模的通用方法
  • 2.1 基本步骤
  • 2.2 你在系统模型中寻找的是什么
  • 2.2.1 通常的嫌疑犯
  • 2.2.2 你不应该期待的发现
  • 2.3 威胁情报收集
  • 2.4 小结
  • 第3章 威胁建模方法论
  • 3.1 在我们深入之前
  • 3.2 三种主要方法
  • 3.3 方法论
  • 3.3.1 STRIDE方法
  • 3.3.2 STRIDE-per-Element方法
  • 3.3.3 STRIDE-per-Interaction方法
  • 3.3.4 PASTA方法
  • 3.3.5 TARA方法
  • 3.3.6 Trike方法
  • 3.4 专业的方法论
  • 3.4.1 LINDDUN方法
  • 3.4.2 SPARTA方法
  • 3.4.3 INCLUDES-NO-DIRT方法
  • 3.5 我们可以玩游戏吗
  • 3.5.1 游戏:权限提升卡牌
  • 3.5.2 游戏:权限提升和隐私性卡牌
  • 3.5.3 游戏:OWASP聚宝盆卡牌
  • 3.5.4 游戏:安全和隐私威胁发现卡牌
  • 3.5.5 游戏:LINDDUN GO卡牌
  • 3.6 小结
  • 第4章 自动化威胁建模
  • 4.1 为什么要自动化威胁建模
  • 4.2 基于代码的威胁建模
  • 4.3 使用代码进行威胁建模
  • 4.3.1 工作原理
  • 4.3.2 pytm工具
  • 4.3.3 Threagile工具
  • 4.4 其他威胁建模工具概述
  • 4.4.1 IriusRisk工具
  • 4.4.2 SD Elements工具
  • 4.4.3 ThreatModeler工具
  • 4.4.4 OWASP Threat Dragon工具
  • 4.4.5 Microsoft威胁建模工具
  • 4.4.6 CAIRIS工具
  • 4.4.7 Mozilla SeaSponge工具
  • 4.4.8 Tutamen威胁模型自动化工具
  • 4.5 基于ML和AI的威胁建模
  • 4.6 小结
  • 第5章 持续威胁建模
  • 5.1 为什么要进行持续威胁建模
  • 5.2 持续威胁建模方法
  • 5.3 演进:不断进步
  • 5.4 Autodesk持续威胁建模方法
  • 5.4.1 基线
  • 5.4.2 基线分析
  • 5.4.3 做到什么程度
  • 5.4.4 威胁模型的所有故事
  • 5.4.5 实地调查结果
  • 5.5 小结
  • 第6章 领导组织的威胁建模
  • 6.1 如何通过威胁建模获得领导地位
  • 6.2 如何克服产品团队中其他成员的阻力
  • 6.3 如何克服威胁建模中的失败感
  • 6.4 如何从许多类似的方法中选择威胁建模方法
  • 6.5 如何传递“坏消息”
  • 6.6 采取什么行动才能获得公认的发现
  • 6.7 错过了什么
  • 6.8 小结
  • 6.9 进一步阅读
  • 附录 实例
  • 关于作者
  • 关于封面
展开全部

评分及书评

尚无评分
目前还没人评分

出版方

机械工业出版社

机械工业出版社是全国优秀出版社,自1952年成立以来,坚持为科技、为教育服务,以向行业、向学校提供优质、权威的精神产品为宗旨,以“服务社会和人民群众需求,传播社会主义先进文化”为己任,产业结构不断完善,已由传统的图书出版向着图书、期刊、电子出版物、音像制品、电子商务一体化延伸,现已发展为多领域、多学科的大型综合性出版社,涉及机械、电工电子、汽车、计算机、经济管理、建筑、ELT、科普以及教材、教辅等领域。