基于STRIDE威胁模型的教育云安全风险评估研究

教育领域云计算平台是教育行业对云计算技术的应用,为教育行业提供IT,存储,应用等服务,在行业内部日常工作中占据重要地位。随着教育云的广泛应用,其安全性的问题也越来越突出。安全风险分析是教育云安全研究的重要的环节。通过对云平台各部分进行全面的风险分析和挖掘,可以对教育云安全体系的设计提供重要的数据支撑和安全策略。本文通过构建STRIDE安全威胁模型,对系统可能受到的风险通过分类、识别、量化等过程对系统威胁风险进行评价。本文基于风险分析结果,结合云计算安全技术的发展趋势,提出了教育云系统安全防护架构,为教育云计算安全问题提供数据支撑和安全策略的参考。

基于STRIDE威胁模型的高校关键业务系统潜在风险分析及对策研究

解决高校关键业务系统潜在的风险和漏洞的方法有很多种,现利用STRIDE威胁模型对高校关键业务系统所面临的威胁进行实践研究。通过建立STRIDE安全威胁模型,对关键业务系统的数据流进行梳理和风险分析,量化和细化各类安全威胁,并结合OWASP TOP 10进行漏洞验证,进而有针对性地提出各类威胁相应的解决方法和应对策略。

基于STRIDE威胁模型的安全级DCS信息安全风险评估

随着计算机技术在核电厂安全级数字化系统(DCS)的发展与应用,信息安全威胁和信息安全事件也日益增多,提前发现系统的潜在风险,采取针对性措施显得至关重要.STRIDE威胁模型是一种风险分析和评估工具,其风险分析和评估几乎可以涵盖所有的安全问题.根据STRIDE威胁模型对安全级DCS开展风险评估,可对其资产进行识别并建立架构;按照安全级DCS组件的接口和应用过程将系统分解,对每个组件进行威胁识别并分类,根据安全级DCS的特点提出风险评估计算公式以量化各种风险;同时,针对识别的6类威胁提出相应的风险消除或减轻方法,为风险处理的优先级和处理措施提供依据.

基于Microsoft威胁建模工具的医疗健康场景下医疗器械网络安全问题分析方法

目的 模拟构建医疗健康场景,针对医疗器械设备及整个场景存在的威胁制定检测方法和评分标准,为医疗健康场景下医疗器械网络安全问题提供解决思路。方法 根据医疗健康场景的特殊性,对模拟的医疗健康场景进行分析并构建出数据流图,运用Microsoft威胁建模工具根据STRIDE模型生成漏洞列表,对其中的漏洞和风险进行分析,制定针对医疗器械场景特殊性的评分标准和渗透测试方法,提出解决办法并进行风险降级。结果 根据场景的数据流图生成漏洞列表,共66个威胁,包含15个S(假冒)、3个T(篡改)、10个R(否认)、4个I(信息泄露)、14个D(拒绝服务)和20个E(权限提升)。对以上威胁进行分类并分析原因,提出解决办法缓解威胁并进行风险降级。结论 通过Microsoft威胁建模工具对医疗健康场景下医疗器械网络安全进行分析,可以科学有效地分析出场景下可能遇到的网络安全问题,在一定程度上避免或预防由网络安全问题带来的后果及影响。

基于攻击树的LoRaWAN安全威胁建模

针对目前LoRaWAN的安全性能研究没有全面、系统的研究模型这一问题,提出一种基于攻击树的LoRaWAN安全威胁研究方法。根据信息安全威胁研究方法和物联网安全性特点,针对LoRaWAN系统进行威胁建模,然后根据概率风险评估方法对攻击序列进行风险值量化,结合攻击目标实现后的影响,即可得到最终风险值。该方法基于成熟的信息系统安全威胁分析框架,使得分析工作更加系统全面,同时树型结构的优势使得攻击方法的分类更具层次性,易于从深度、广度扩展研究成果,便于后续研究工作的跟进。量化风险系数为LoRaWAN协议的改进和信息系统的安全建设提供了有力参考。

基于分层威胁分析模型框架的风电场工控系统网络安全分析

风电场工控系统的网络安全威胁识别和分析是安防工作的重要环节。文章创新提出以STRIDE威胁模型作为基本结构,建立起信息系统网络安全分层威胁分析模型框架,用于识别、分析风电场工控系统网络安全威胁。该模型框架体系涵盖三个层面和六个维度,三个层面指数据流层、Context层和应用层,分别对应系统组件、信任边界(接口层)和软件过程三个部分;六个维度指假冒、篡改、抵赖、信息泄露、拒绝服务和权限提升六个维度。通过该模型框架对典型风电场工控网络环境中的系统分析,不但可准确识别、分析网络安全威胁,而且通过可视化威胁的方法为威胁消减和系统设计提供有效依据。