一种基于STRIDE威胁模型的风险评估方法被引量：11

Information Security Risk Assessment Approach Based on STRIDE Threat Model

导出

摘要信息系统风险评估是信息安全保障机制建立过程中的重要评价方法和决策机制,已成为国际上考察信息系统安全性的一个重要环节。文中针对信息系统风险评估提出了一种基于威胁模型的评估方法,通过对信息系统中涉及关键资产的数据流构建STRIDE威胁模型来识别威胁,并量化威胁发生的可能性和严重程度,从而进一步评估信息系统的安全风险。 This paper presents an information security assessment approach based on threat model. Through building a STRIDE threat model for the data streams of the information system involving the key assets, the threat is identified, and the probability and seriousness of the threat is quantified, thus to further assess the security risk of the information system.

作者何伟谭曙光陈平

机构地区联想网御科技(北京)有限公司中国科学院软件研究所

出处《信息安全与通信保密》 2009年第10期47-49,共3页 Information Security and Communications Privacy

基金 2008年度电子信息产业发展基金第一批项目"联想网御智能化安全评估系统"基金资助项目

关键词风险评估威胁模型 STRIDE risk assessment threat model STRIDE

分类号 TP393.08 [自动化与计算机技术—计算机应用技术]

引文网络
相关文献

参考文献2

1GB/T 20984-2007.信息安全技术信息安全风险评估规范[S].中国国家质量监督检验检疫局,2007.
2Mimhael H. David L. Writing Secure Code[M]. Beijing: China Machine Press, 2002.

共引文献37

1孙飞显,王建红,董智勇.FNSEM:基于FCM的网络安全评估模型[J].河南工程学院学报（自然科学版）,2009,21(2):58-61. 被引量：2
2廖辉,凌捷.网络终端安全状况评估指标体系的研究[J].计算机工程与设计,2010,31(5):961-964. 被引量：23
3吕俊杰,王元卓.信息安全风险模糊群决策评估方法[J].计算机工程与应用,2010,46(12):17-20. 被引量：11
4吕俊杰,董红.基于区间数判断矩阵的模糊信息安全风险评估模型[J].统计与决策,2010,26(16):22-25. 被引量：5
5石峰,干露.基于场景校验的风险评估算法研究[J].信息安全与通信保密,2010,7(9):70-72.
6刘明生,孙树静.基于WNN和EGA的信息安全风险评估[J].计算机工程,2010,36(22):125-128. 被引量：2
7杨浩.协同OA系统信息安全评估及建模研究[J].办公自动化（综合月刊）,2011(1):39-40. 被引量：5
8吴叶科,宋如顺,陈波.基于博弈论的综合赋权法的信息安全风险评估[J].计算机工程与科学,2011,33(5):9-13. 被引量：27
9唐作其,陈选文,戴海涛,郭峰.多属性群决策理论信息安全风险评估方法研究[J].计算机工程与应用,2011,47(15):104-107. 被引量：21
10刘琦,孔金生,谢宗晓,朱金娥.企业安全生产风险处置量测模型的建立与应用[J].中国安全科学学报,2011,21(2):48-52. 被引量：3

同被引文献46

1周英,曲海鹏,冯庆云,郭忠文.信息安全风险评估中权重优化方法研究[J].信息安全与通信保密,2008,30(2):63-64. 被引量：4
2王勇,李丹,郭红.基于风险评估的涉密网络安全体系研究探讨[J].信息安全与通信保密,2008,30(11):84-86. 被引量：4
3储颖,郝林.STRIDE威胁模型在认证中心CA设计中的应用[J].云南大学学报（自然科学版）,2004,26(B07):54-57. 被引量：4
4闵京华,王晓东,邵忠岿,朱卫国.信息系统安全风险的概念模型和评估模型[J].信息安全与通信保密,2004,26(8):26-28. 被引量：4
5GB/T 20984-2007.信息安全技术信息安全风险评估规范[S].中国国家质量监督检验检疫局,2007.
6GB/T 20984-2007,信息安全风险评估规范[S].
7ISO/IEC-2008, ISO/IEC TR 13335: Guidelines for the Management of IT Security (GMITS)[S].
8ISO/IEC17799-2000, Information Technology-code of Practice for Information Security Management[S].
9BS7799-2-2002, Information Security Managementspecification for Information Security Management Systems[S].
10ZHANG Pei, LEE S T, SOBAJIC D. Moving Toward Probabilistic Reliability Assessment Methods[C]. International Conference on Probabilistic Methods Applied to Power Systems. AMES, USA: [s.n.], 2004: 906-913.

引证文献11

1杨杉,李云雄,曹波,高飞.基于ISO13335的信息安全管理平台[J].信息安全与通信保密,2010,7(10):78-79. 被引量：3
2佟鑫,张利,闵京华.层次化的信息系统风险评估方法研究[J].信息安全与通信保密,2012,10(8):59-61. 被引量：4
3吕欣鸿.面向“业务安全”的全生命周期风险管理[J].信息安全与通信保密,2014,12(7):106-108. 被引量：1
4姚蕾.新型互联网技术下的安全方法分析[J].信息技术与信息化,2016(10):59-61.
5姚蕾.新型互联网技术下的安全方法分析[J].成都职业技术学院职教研究,2016,10(4):32-33.
6陈平,双锴,皇甫大鹏.基于STRIDE威胁模型的教育云安全风险评估研究[J].中国教育信息化,2017,23(5):15-19. 被引量：6
7王晖.基于移动应用安全风险分析与策略的研究[J].电子技术与软件工程,2019(2):180-181. 被引量：3
8冯泽冰,司培培.面向5G资产的统一安全评测模型与体系构建[J].信息安全研究,2021,7(5):436-442. 被引量：8
9郝晶晶,韩光省.智能网联汽车信息安全威胁识别和防护方法研究[J].现代电子技术,2021,44(23):62-66. 被引量：14
10周鋆,符鹏涛.基于贝叶斯网络及STRIDE模型的XSS风险分析[J].指挥与控制学报,2024,10(1):38-46.

二级引证文献48

1韩彬霞,李晓鹏,曹领祺.基于排队论的ISMS运行参数分析[J].通信技术,2012,45(7):97-99.
2郭锡泉.信息安全管理体系的评价研究[J].信息安全与通信保密,2013,11(7):50-52.
3潘胜,马兆丰,蒋铭.安全管理平台核心业务监控模型研究[J].信息安全与通信保密,2014,12(1):90-96.
4郭祖华,李扬波,徐立新,张晓.面向云计算的网络安全风险预测模型的研究[J].计算机应用研究,2015,32(11):3421-3425. 被引量：16
5顾兆军,韩迎亚.可量化的信息系统安全性水平评估[J].计算机工程与设计,2016,37(7):1729-1733. 被引量：7
6柴继文,王胜,梁晖辉,胡兵,向宏.基于层次分析法的信息安全风险评估要素量化方法[J].重庆大学学报（自然科学版）,2017,40(4):44-53. 被引量：22
7刘伟,邵宝杭.保密系统风险评估模型及方法研究[J].数学的实践与认识,2017,47(20):108-112. 被引量：1
8陈宇,王亚弟,王晋东,王坤.马尔科夫逻辑网在信息安全风险管理中的应用[J].计算机工程与应用,2016,52(18):104-110. 被引量：1
9孔姝睿,赵艳.基于Web的网络信息安全风险评估模型研究[J].信息与电脑,2020,32(9):200-202. 被引量：2
10刘冬兰,刘新,张昊,王睿,高通.基于大数据业务场景的数据安全分析及防泄露技术研究[J].山东电力技术,2020,47(9):7-13. 被引量：14

1黄磊.基于STRIDE威胁模型的潜在威胁分析及对策探究——以网站群管理平台为例[J].莆田学院学报,2016,23(5):58-61. 被引量：2
2陈单英,任凤君,黄磊,张小霞.基于STRIDE威胁模型的高校关键业务系统潜在风险分析及对策研究[J].福建广播电视大学学报,2016(5):60-65. 被引量：4
3储颖,郝林.STRIDE威胁模型在认证中心CA设计中的应用[J].云南大学学报（自然科学版）,2004,26(B07):54-57. 被引量：4
4李坤成,江亮,鲜明.一种面向云计算环境下虚拟机的威胁建模方法[J].现代电子技术,2012,35(19):70-72. 被引量：2
5李娜,张艳琴.访问控制技术在信息系统中的应用[J].科技风,2011(5):49-49.
6chulong.威胁情报助力安全防御更加高效[J].信息安全与通信保密,2016,0(3):44-45. 被引量：1
7陈平,双锴,皇甫大鹏.基于STRIDE威胁模型的教育云安全风险评估研究[J].中国教育信息化,2017,23(5):15-19. 被引量：6
8刘靖.浅析Web应用程序安全规划[J].科技信息,2007(20):89-89. 被引量：3
9张健,陈未如,关慧.基于网络应用程序分类方法的威胁研究[J].沈阳化工大学学报,2011,25(3):273-277.
10D.J. Evans(Parallel Algorithms and Architectures Research Centre department of Computer Studies University of Technology Loughborough, Letes., U.K. and Institute of Software Engineering mahan University Wuhan P.R. China.).ON INCREASING THE PARALLELISM IN NUMERICAL ALGORITHMS[J].Wuhan University Journal of Natural Sciences,1996,1(Z1):292-308. 被引量：1

信息安全与通信保密

2009年第10期

浏览历史

内容加载中请稍等...

一种基于STRIDE威胁模型的风险评估方法被引量：11

参考文献2

共引文献37

同被引文献46

引证文献11

二级引证文献48

相关作者

相关机构

相关主题

浏览历史

一种基于STRIDE威胁模型的风险评估方法 被引量：11

参考文献2

共引文献37

同被引文献46

引证文献11

二级引证文献48

相关作者

相关机构

相关主题

浏览历史

一种基于STRIDE威胁模型的风险评估方法被引量：11