CWRAF——装饰图案的总结
http://cwe.mitre.org/cwraf/
|
|
CWRAF版本:0.8.3 |
日期:2013年4月3日 |
项目协调员:
Bob Martin(斜方) |
文档编辑器:
史蒂夫Christey(斜方) |
CWRAF——装饰图案的总结
CWRAF——装饰图案的总结
|
在常见的弱点风险分析框架(CWRAF),一个装饰图案提供了一个可共享的,正式的方式来定义一个特定的环境中,软件在该环境中所扮演的角色,一个组织的优先级对软件安全。它识别必要的资源与能力,以及其重要性相对于安全原则如机密性、完整性和可用性。 小插曲让水煤浆支持不同的观众可能有不同的要求,如何优先的弱点。水煤浆得分可能发生装饰图案的上下文中。 目前这个页面包含23个小插曲的细节为CWRAF正在积极的开发。CWRAF社区将有助于完善这些和其他发展。反馈是受欢迎的。
| 银行贷款 |
| 金融交易 |
apple,电子商务零售商品或服务的提供者。以数据为中心的——PII数据库包含,信用卡号码,和库存。 |
| 网上银行 |
之间的网络交互银行,信用合作社,或其他金融机构和消费者管理账户,支付账单,进行金融交易。 |
| 化学 |
| 化学流控制 |
化工厂SCADA-based流控制系统。底层技术-重C使用。系统开发的互联网时代的管理控制台接口。 |
| ecomm |
| 网络零售供应商 |
apple,电子商务零售商品或服务的提供者。以数据为中心的——PII数据库包含,信用卡号码,和库存。 |
| emerg-svc |
| 首先回应的 |
第一响应者(如消防、警察和紧急医疗人员)灾难或灾难。 |
| 能源 |
| 家庭智能电表 |
计智能电网中电力消费记录和定期传达这个信息给供应商。 |
| 智能电网远程工具服务器 |
通过社区网关获取信息从智能电表。 |
| 智能电网的社区门户 |
设备智能电表和远程工具服务器之间。 |
| 区域电力流控制 |
流控制的电力网络中一个相对较大的地区,进一步联系供应商和消费者。现在进入电网两边(经典的提供者,而且home-to-provider如国内的光伏和风力涡轮机在家庭和整个景观)。系统需要有“智慧”的电网的负载均衡功能基本上是一个大型分布式SCADA-type系统。 |
| SCADA历史学家 |
历史学家服务器归档和SCADA系统的数据分析。包含一个数据库后端,并通过一个web界面。访问服务器通常局限于一个DMZ或内部网络。 |
| 分布式生产设备管理使用SCADA网络快捷 |
一个基于web的SCADA系统的人机界面(HMI)。用户可以想象和控制工业自动化过程的实时控制接口直接与远程传感器和通信数据收集点。所有的生产方面都可以从web浏览器监控和管理。人机界面使用各种框架(Java、。net、等)与Restful架构(AJAX、XML、SOAP、XSL和WML)。 |
| evoting |
| 州选举政府使用远程网络投票通过缺席选举人票 |
apple投票系统支持大容量事务、高可用性、以数据为中心的数据库包含投票信息,审计日志生成每个选民。 |
| 国家或地方选举通过直接记录使用eVoting选举机器。 |
DRE系统不直接与互联网相连。投票通过调制解调器数据上传到集中式服务器。选举工人从机器中检索硬拷贝的投票记录,并将选举官员的打印输出。DRE机器与固件程序上传简易闪存卡。人们普遍认为计算机固件上传使用flash卡不应该连接到互联网。 |
| 国家或地方选举通过互联网使用eVoting web应用程序 |
apple轮询系统连接到互联网和旨在支持大容量事务和高可用性。以数据为中心的数据库被用来收集投票信息,审计日志生成每个选民。 |
| 互联网公司股东投票 |
公司股东投票使用远程网络投票。 |
| human-res |
| 员工薪酬 |
产品管理员工的工资和奖金。PII包括工资、财务事务(例如直接存款),社会安全号码,家庭住址等。 |
| natl-defense |
| 武器系统传感器 |
武器系统的传感器连接到全球信息网格(GIG)。 |
| pub-health |
| 医疗帐单 |
医疗编码和计费。数据包括电子健康记录(EHR),财务管理,与保险公司的互动。 |
| 人类的医疗设备 |
部分医疗设备——“植入”或“嵌入式”在人类中,以及在诊所或医院环境中使用(“病人护理”设备)。包括心脏起搏器和自动给药。控制或监视设备的可能执行的智能手机。设备不在身体上的安全环境。 |
| soc-media |
| 社交网络 |
网站启用一个大型社区的人发表评论,创建配置文件,交换信息或图片,并加入所属团体,如Facebook, MySpace, Twitter、LinkedIn。自由格式的内容,用户之间连通性高,私人信息。沉重的Web 2.0的使用。 |
| 电子约会 |
网站电子约会。用户可以创建概要文件和图片,交换私人邮件,参与论坛,执行搜索。沉重的Web 2.0。 |
| 电信 |
| 电子办公,远程访问服务器 |
远程访问服务器用于支持员工在企业之外,包括电子办公/远程办公。 |
| 电子办公,网络邮件 |
对远程访问使用基于web的电子邮件。 |
|
