2.2　4個問題

很多年來，在微軟公司執掌安全建模的專家亞當·肖斯塔克（Adam Shostack）針對安全建模總結了下列4個問題。

● 我們的工作是什么？

● 哪里有可能出錯？

● 我們打算怎么辦？

● 我們干得怎么樣？

第一個問題旨在建立項目的背景和范圍。回答這個問題需要描述清楚項目需求和設計方案、項目的各個組件和它們之間的互操作，以及對操作方面的問題和用例的考慮。第二個問題是這種方法的核心，旨在盡可能地判斷有可能發生的問題。第三個問題則旨在設法緩解我們發現的問題（本書第3章會進一步探討降低風險的措施，但是我們會首先搞清楚它們與威脅之間的關系）。第四個問題則旨在讓我們對整個流程發問——軟件承擔了什么工作、軟件可能產生什么問題，以及我們在應對這些威脅的時候發揮得如何？這些內容都是為了評估危機在多大程度上得到了緩解，同時確認系統目前已經足夠安全了。如果還有問題沒有得到解決，我們就可以再次考慮上述問題，以便解決遺留的問題。

威脅建模當然遠不止于此，但通過上述4個問題可以大幅度簡化威脅建模的工作。借助這些概念，結合本書中介紹的其他理念和方法，我們就可以讓自己搭建和運維的系統在安全性方面獲得大幅提升。