主界面
翻译
详细描述
选择了 "SDL TM Knowledge Base (Core)" 模板并打开了一个新的威胁模型。这个界面主要用于绘制数据流图(Data Flow Diagram, DFD),它帮助您可视化系统的组成部分和它们之间的交互。以下是界面中各个部分的功能介绍:
当然,这个界面是Microsoft Threat Modeling Tool中的数据流图(DFD)绘制界面,配合了"Stencils"(模板)和"Element Properties"(元素属性)窗格,用于详细描述您的系统架构。我会详细介绍这个界面上的功能和如何使用它们来建立威胁模型:
-
数据流图(DFD)绘制区域:
- 这是界面的中心部分,您可以在这里直观地绘制您的系统组件及其之间的交互关系。您可以通过拖拽或点击操作来添加元素,如进程、数据存储、外部实体和数据流等。
-
"Stencils"(模板)窗格:
- 在这个窗格中,您会看到不同的系统组件图形,这些是构建DFD的基础元素。
- 每个图形代表了系统中的一个特定元素,比如:
- "Generic Process"(通用进程)可以代表后端服务的一个部分。
- "Web Server"(网页服务器)可以代表处理来自设备的数据请求的服务器。
- "Browser Client"(浏览器客户端)可以代表Web端用户接口。
- 您可以选择这些图形,并将它们拖放到中心的DFD绘制区域中,来构建您系统的结构表示。
-
"Element Properties"(元素属性)窗格:
- 当您在DFD绘制区域中选择一个元素时,这个窗格就会激活,让您能够为选中的元素添加或编辑属性。
- 例如,如果您在DFD中添加了一个代表服务器的元素,您可以在这里添加服务器的名称、描述或其他自定义属性,这些信息可以在分析威胁时提供上下文。
-
菜单栏:
- 位于界面顶部,包含了文件和编辑操作,比如新建(New)、打开(Open)、保存(Save)、复制(Copy)、粘贴(Paste)等。
- "View"(视图)菜单允许您放大或缩小视图,调整您对绘制区域的视角。
- "Diagram"(图表)菜单提供了管理DFD元素和布局的工具。
- "Reports"(报告)菜单可以生成和管理威胁模型报告。
-
消息和注释区域:
- 在屏幕底部,通常在这里显示关于您绘制的DFD的消息,例如系统自动生成的威胁分析结果或警告信息。
在创建DFD时,您应该首先绘制代表系统的关键组件的元素,然后定义这些组件之间的数据流。例如,设备上传数据到后端存储可以通过 "Data Flow"(数据流)元素来表示,然后您可以进一步分析这些数据流可能的安全威胁。
使用 "SDL TM Knowledge Base (Core)" 模板开始威胁建模工作之后,您可以通过 "Analyze"(分析)功能来识别潜在的威胁,并为这些威胁定义缓解措施。最后,可以使用 "Reports"(报告)功能来生成一个包含所有发现和缓解措施的报告文档。