【摘要】：該文提出了一種基于事件分解的威脅建模方法,并對(duì)該方法在網(wǎng)銀盾USBKey的脆弱性分析中的應(yīng)用進(jìn)行了分析。從應(yīng)用需要保護(hù)的資產(chǎn)出發(fā),此建模方法先標(biāo)識(shí)出資產(chǎn)可能面臨的威脅,通過將威脅視為事件,對(duì)事件進(jìn)行逐步分解直至原子事件,以此簡(jiǎn)化威脅分析過程。該方法以事件樹的方式來組織分解過程,通過該樹狀結(jié)構(gòu),可獲得產(chǎn)生威脅的所有可能的攻擊路徑,以便檢查威脅分析的完備性。對(duì)選取的攻擊路徑,還提出了計(jì)算威脅成功概率的方法。結(jié)合事件分解模型和通用評(píng)估準(zhǔn)則中攻擊潛力的計(jì)算方法,以USBKey中的PIN碼安全為例,對(duì)USBKey產(chǎn)品進(jìn)行了脆弱性分析。分析表明:事件分解模型為脆弱性分析提供了一套合理可行的方法,可用于提升信息產(chǎn)品安全評(píng)估過程的完備性。
[Abstract]:In this paper, a threat modeling method based on event decomposition is proposed, and its application in vulnerability analysis of silver shield USBKey is analyzed. Starting from the assets that need to be protected, this modeling method first identifies the threats that the assets may face. By treating the threats as events, the events are decomposed step by step until the atomic events, so as to simplify the process of threat analysis. In this method, the decomposition process is organized by event tree. By using the tree structure, all possible attack paths to generate threats can be obtained in order to check the completeness of threat analysis. A method to calculate the probability of threat success is also proposed for the selected attack path. Based on the event decomposition model and the calculation method of attack potential in general evaluation criteria, the vulnerability analysis of USBKey products is carried out by taking the security of PIN code in USBKey as an example. The analysis shows that the event decomposition model provides a set of reasonable and feasible methods for vulnerability analysis and can be used to improve the completeness of information product security assessment process.
【作者單位】： 中國信息安全測(cè)評(píng)中心;
【基金】：國家自然科學(xué)基金資助項(xiàng)目(61202493)
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 蔡洪亮;盧昱;;基于拓?fù)浣Y(jié)構(gòu)的空間信息網(wǎng)絡(luò)脆弱性分析[J];軍械工程學(xué)院學(xué)報(bào);2010年05期

2 韓穎;張鑒;;互聯(lián)網(wǎng)脆弱性分析和安全保障體系的思考[J];信息網(wǎng)絡(luò)安全;2008年09期

3 王剛;楊任農(nóng);;戰(zhàn)術(shù)數(shù)據(jù)鏈網(wǎng)絡(luò)脆弱性分析方法研究[J];計(jì)算機(jī)工程與應(yīng)用;2008年31期

4 張凱;;小議IP路由協(xié)議及其脆弱性分析[J];今日科苑;2010年02期

5 李宏宇;;幾種網(wǎng)絡(luò)互連設(shè)備的脆弱性分析[J];通信技術(shù);2008年03期

6 李永明;;基于攻擊圖的網(wǎng)絡(luò)安全脆弱性分析技術(shù)研究[J];華章;2010年18期

7 李菁;劉嘉勇;胡勇;;幾種網(wǎng)絡(luò)互連設(shè)備的脆弱性分析[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2006年10期

8 李海強(qiáng);;網(wǎng)絡(luò)安全及網(wǎng)絡(luò)安全評(píng)估的脆弱性分析[J];硅谷;2008年01期

9 章軼;劉皖;陳琳;;RFID系統(tǒng)脆弱性分析及其攻擊者模型設(shè)計(jì)[J];微計(jì)算機(jī)信息;2008年05期

10 呂鎮(zhèn)邦,張軍才,張軍;網(wǎng)絡(luò)安全漏洞掃描與脆弱性分析研究[J];航空計(jì)算技術(shù);2005年02期

相關(guān)會(huì)議論文 前9條

1 李波;伊瑞海;盧昱;;空間信息網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)脆弱性分析系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[A];2006通信理論與技術(shù)新進(jìn)展——第十一屆全國青年通信學(xué)術(shù)會(huì)議論文集[C];2006年

2 張熙;谷利澤;李忠獻(xiàn);;基于USBKEY的Kerberos認(rèn)證協(xié)議的研究與實(shí)現(xiàn)[A];中國電子學(xué)會(huì)第十五屆信息論學(xué)術(shù)年會(huì)暨第一屆全國網(wǎng)絡(luò)編碼學(xué)術(shù)年會(huì)論文集（上冊(cè)）[C];2008年

3 胡鴻鵠;谷利澤;楊榆;鈕心忻;;基于USBKey和ICE的局域網(wǎng)文件安全傳輸方案的設(shè)計(jì)與實(shí)現(xiàn)[A];2009通信理論與技術(shù)新發(fā)展——第十四屆全國青年通信學(xué)術(shù)會(huì)議論文集[C];2009年

4 劉克勝;;Windows 2000安全帳號(hào)的加密技術(shù)及脆弱性分析[A];2005年“數(shù)字安徽”博士科技論壇論文集[C];2005年

5 季輝;;人民檢察院網(wǎng)絡(luò)信息安全體系建設(shè)思考[A];第十八次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2003年

6 曲成義;;計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)安全系統(tǒng)[A];第五次全國計(jì)算機(jī)安全技術(shù)交流會(huì)論文集[C];1990年

7 石磊;王勇軍;;面向攻擊圖的攻擊模式研究[A];第十六屆全國青年通信學(xué)術(shù)會(huì)議論文集（上）[C];2011年

8 許榕生;劉寶旭;;入侵取證的國際技術(shù)動(dòng)態(tài)[A];第十七次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)暨電子政務(wù)安全研討會(huì)論文集[C];2002年

9 曹岳;尤揚(yáng);;淺析網(wǎng)上銀行客戶身份鑒別安全[A];第26次全國計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2011年

相關(guān)重要報(bào)紙文章 前6條

1 ;脆弱性掃描產(chǎn)品功能指標(biāo)說明[N];網(wǎng)絡(luò)世界;2001年

2 劉宏偉;IMS統(tǒng)一IDS[N];中國計(jì)算機(jī)報(bào);2004年

3 本報(bào)記者 邊歆;管理漏洞 擁有安全[N];網(wǎng)絡(luò)世界;2008年

4 天融信公司副總裁 陳愛鋒;全網(wǎng)安全要完全[N];中國計(jì)算機(jī)報(bào);2004年

5 ;安全威脅管理技術(shù)（Security Threat Management)[N];網(wǎng)絡(luò)世界;2005年

6 陳飛雪;淺談網(wǎng)銀大盜及其防范措施[N];中國計(jì)算機(jī)報(bào);2005年

相關(guān)博士學(xué)位論文 前7條

1 王W，

本文編號(hào)：2354544