——域human-res CWRAF装饰图案细节
http://cwe.mitre.org/cwraf/
|
|
CWRAF版本:0.8.3 |
日期:2013年4月3日 |
项目协调员:
Bob Martin(斜方) |
文档编辑器:
史蒂夫Christey(斜方) |
CWRAF小品文——human-res
CWRAF小品文——human-res
在常见的弱点风险分析框架(CWRAF),一个装饰图案提供了一个可共享的,正式的方式来定义一个特定的环境中,软件在该环境中所扮演的角色,一个组织的优先级对软件安全。它识别必要的资源与能力,以及其重要性相对于安全原则如机密性、完整性和可用性。例如,在电子商务背景下,99.999%正常运行时间可能是一个强大的业务需求驱动的解释发现缺陷的严重程度。 小插曲让水煤浆支持不同的观众可能有不同的要求,如何优先的弱点。水煤浆得分可能发生装饰图案的上下文中。 目前这个页面包含细节1“human-res”域中的小插曲。这些只是说明;CWRAF社区将有助于完善这些和其他发展。反馈是受欢迎的。 |
| 的名字 |
描述 |
| 员工薪酬 |
产品管理员工的工资和奖金。PII包括工资、财务事务(例如直接存款),社会安全号码,家庭住址等。 |
装饰图案定义:员工薪酬
| 的名字 |
员工薪酬 |
| ID |
emp-comp |
| 成熟 |
存根 |
| 域 |
human-res |
| Desc |
产品管理员工的工资和奖金。PII包括工资、财务事务(例如直接存款),社会安全号码,家庭住址等。 |
| 原型 |
Web服务器、Web浏览器的数据库 |
| 业务价值的上下文(BVC) |
Confidentialiy减少暴露于诉讼,是重要的不利影响士气,身份盗窃。诚信是至关重要的,以确保员工工资不修改,或资金转移的目的地(例如,修改银行账户号码直接存款)。可用性是重要的及时分配工资;否则卡压在士气和不利影响可能较高的人员流失率如果员工不认为他们可以信赖被支付。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
10 |
潜在的工资或修改帐户信息等金融交易直接存款。 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
7 |
工资信息的泄漏,不利影响士气。 |
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
5 |
延迟或无法,薪水问题;不良影响士气和可能较高的人员流失率如果员工不认为他们可以信赖被支付。 |
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
5 |
延迟或无法,薪水问题;不良影响士气和可能较高的人员流失率如果员工不认为他们可以信赖被支付。 |
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
10 |
潜在的工资或修改帐户信息等金融交易直接存款。 |
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
7 |
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
7 |
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
4 |
无法确定攻击源;不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
网络 |
4 |
无法确定攻击源;不能获得足够的证据刑事起诉。 |
| 隐藏活动 |
企业 |
|
|
|
