威胁模型分析

此条目已列出参考文献，但因为没有文内引注而使来源仍然不明。 (2014年2月14日) 请加上合适的文内引注来改善这篇条目。

威胁模型分析 （threat modeling）是寻找系统潜在威胁以建立对抗的策略，以建立安全的系统。它属于资讯安全的议题，并将问题划分成“寻找针对特定技术的威胁模型”与“基于威胁模型建置更安全的系统”。

威胁模型分析的概念是基于值得保护的具有有价值资产之系统与组织。这些资产具有明确的弱点，而内部或外部的威胁能使之曝露出来并造成资产的损失。威胁模型分析亦能用来寻找合适的对抗方式，以降低可能的威胁。

分析方式[编辑]

这里介绍三种常见的威胁模型分析方式：

攻击者导向（Attacker-centric）：

攻击者导向的威胁模型分析是以一位攻击者为出发点，评估攻击者的目的与他们如何达成目的。在这种分析下，攻击者的动机最常列入考量，比如：某甲想读某邮件、某乙想盗版某DVD。这种分析方式通常从侵入点或是目标的资产着手思考。

软件导向（Software-centric）

这类分析方式又称系统导向（system-centric）、设计导向（design-centric）或架构导向（architecture-centric）。思考点是系统的设计方式与系统的运作目的，并寻找对此系统或其内部模组相关类型的攻击方式。微软的SDL（Security Development Lifecycle）便是利用此方式。

资产导向（Asset-centric）

资产导向的分析方式是从系统所托管的资源着手分析。比如系统收集到的敏感性个人资讯。

参见[编辑]

• 资讯安全
• 网络安全
• 风险管理
• 软件工程
• 软件架构
• STRIDE

参考文献[编辑]

Dan Griffin's Blog. "MS08-067 and the ripple effect of Windows security bugs". Retrieved from: http://www.jwsecure.com/2008/10/24/ms08-067-and-the-ripple-effect-of-windows-security-bugs/

（页面存档备份，存于互联网档案馆）

ThreatModeler. Retrieved from http://www.myappsecurity.com/ （页面存档备份，存于互联网档案馆）

外部链接[编辑]

• Threat Modeling from OWASP （页面存档备份，存于互联网档案馆）
• 必须建立威胁模型分析的五大理由
• 威胁模型分析是基础 - NCASSR Publications^{[永久失效链接]}
• ThreatModeler: MyAppSecurity's Software-Centric Threat Modeling Product
• Microsoft's Application Consulting & Engineering Team's Threat Modeling Blog （页面存档备份，存于互联网档案馆）
• 微软SDL威胁模型分析工具 （页面存档备份，存于互联网档案馆）
• 使用STRIDE揭露安全设计问题
• Guerrilla威胁模型分析 （页面存档备份，存于互联网档案馆）
• 威胁模型分析方式的比较