威脅模型分析

十二月 27, 2023

此條目已列出參考文獻，但因為沒有文內引註而使來源仍然不明。 (2014年2月14日)
请加上合适的文內引註来改善这篇条目。

威脅模型分析 （threat modeling）是尋找系統潛在威脅以建立對抗的策略，以建立安全的系統。它屬於資訊安全的議題，並將問題劃分成「尋找針對特定技術的威脅模型」與「基於威脅模型建置更安全的系統」。

威脅模型分析的概念是基於值得保護的具有有價值資產之系統與組織。這些資產具有明確的弱點，而內部或外部的威脅能使之曝露出來並造成資產的損失。威脅模型分析亦能用來尋找合適的對抗方式，以降低可能的威脅。

分析方式编辑

這裡介紹三種常見的威脅模型分析方式：

攻擊者導向（Attacker-centric）：: 攻擊者導向的威脅模型分析是以一位攻擊者為出發點，評估攻擊者的目的與他們如何達成目的。在這種分析下，攻擊者的動機最常列入考量，比如：某甲想讀某郵件、某乙想盜版某DVD。這種分析方式通常從侵入點或是目標的資產著手思考。

軟體導向（Software-centric）: 這類分析方式又稱系統導向（system-centric）、設計導向（design-centric）或架構導向（architecture-centric）。思考點是系統的設計方式與系統的運作目的，並尋找對此系統或其內部模組相關類型的攻擊方式。微軟的SDL（Security Development Lifecycle）便是利用此方式。

資產導向（Asset-centric）: 資產導向的分析方式是從系統所托管的資源著手分析。比如系統收集到的敏感性個人資訊。

參見编辑

參考文獻编辑

Dan Griffin's Blog. "MS08-067 and the ripple effect of Windows security bugs". Retrieved from: http://www.jwsecure.com/2008/10/24/ms08-067-and-the-ripple-effect-of-windows-security-bugs/

（页面存档备份，存于互联网档案馆）

ThreatModeler. Retrieved from http://www.myappsecurity.com/ （页面存档备份，存于互联网档案馆）

外部連結编辑

Threat Modeling from OWASP （页面存档备份，存于互联网档案馆）
威脅模型分析是基礎 - NCASSR Publications^{[永久失效連結]}
Microsoft's Application Consulting & Engineering Team's Threat Modeling Blog （页面存档备份，存于互联网档案馆）
微軟SDL威脅模型分析工具（页面存档备份，存于互联网档案馆）
Guerrilla威脅模型分析（页面存档备份，存于互联网档案馆）

十二月 27, 2023

威脅模型分析, 此條目已列出參考文獻, 但因為沒有文內引註而使來源仍然不明, 2014年2月14日, 请加上合适的文內引註来改善这篇条目, threat, modeling, 是尋找系統潛在威脅以建立對抗的策略, 以建立安全的系統, 它屬於資訊安全的議題, 並將問題劃分成, 尋找針對特定技術的威脅模型, 基於威脅模型建置更安全的系統, 的概念是基於值得保護的具有有價值資產之系統與組織, 這些資產具有明確的弱點, 而內部或外部的威脅能使之曝露出來並造成資產的損失, 亦能用來尋找合適的對抗方式, 以降低可能的威脅, 目. 此條目已列出參考文獻但因為沒有文內引註而使來源仍然不明 2014年2月14日请加上合适的文內引註来改善这篇条目威脅模型分析 threat modeling 是尋找系統潛在威脅以建立對抗的策略以建立安全的系統它屬於資訊安全的議題並將問題劃分成尋找針對特定技術的威脅模型與基於威脅模型建置更安全的系統威脅模型分析的概念是基於值得保護的具有有價值資產之系統與組織這些資產具有明確的弱點而內部或外部的威脅能使之曝露出來並造成資產的損失威脅模型分析亦能用來尋找合適的對抗方式以降低可能的威脅目录 1 分析方式 2 參見 3 參考文獻 4 外部連結分析方式编辑這裡介紹三種常見的威脅模型分析方式攻擊者導向 Attacker centric 攻擊者導向的威脅模型分析是以一位攻擊者為出發點評估攻擊者的目的與他們如何達成目的在這種分析下攻擊者的動機最常列入考量比如某甲想讀某郵件某乙想盜版某DVD 這種分析方式通常從侵入點或是目標的資產著手思考軟體導向 Software centric 這類分析方式又稱系統導向 system centric 設計導向 design centric 或架構導向 architecture centric 思考點是系統的設計方式與系統的運作目的並尋找對此系統或其內部模組相關類型的攻擊方式微軟的SDL Security Development Lifecycle 便是利用此方式資產導向 Asset centric 資產導向的分析方式是從系統所托管的資源著手分析比如系統收集到的敏感性個人資訊參見编辑資訊安全網路安全風險管理軟體工程軟體架構 STRIDE參考文獻编辑Dan Griffin s Blog MS08 067 and the ripple effect of Windows security bugs Retrieved from http www jwsecure com 2008 10 24 ms08 067 and the ripple effect of windows security bugs 页面存档备份存于互联网档案馆 ThreatModeler Retrieved from http www myappsecurity com 页面存档备份存于互联网档案馆外部連結编辑Threat Modeling from OWASP 页面存档备份存于互联网档案馆必須建立威脅模型分析的五大理由威脅模型分析是基礎 NCASSR Publications 永久失效連結 ThreatModeler MyAppSecurity s Software Centric Threat Modeling Product Microsoft s Application Consulting amp Engineering Team s Threat Modeling Blog 页面存档备份存于互联网档案馆微軟SDL威脅模型分析工具页面存档备份存于互联网档案馆使用STRIDE揭露安全設計問題 Guerrilla威脅模型分析页面存档备份存于互联网档案馆威脅模型分析方式的比較取自 https zh wikipedia org w index php title 威脅模型分析 amp oldid 67545557, 维基百科，wiki，书籍，书籍，图书馆，

文章

，阅读，下载，免费，免费下载，mp3，视频，mp4，3gp， jpg，jpeg，gif，png，图片，音乐，歌曲，电影，书籍，游戏，游戏。