一种面向任务的网络风险评估模型

摘要

针对网络业务安全风险评估问题,提出了一种基于STRIDE威胁建模和隐式马尔科夫模型理论的STRIDE-HMM风险评测方法,该方法以网络业务为切入点,给出了任务描述模型、任务资产模型、任务风险评估模型的构建方法及其联系。任务描述模型给出了任务阶段划分及相应的资产集、漏洞集和威胁集;任务资产模型给出了任务各阶段所依赖的资产集合,在此基础上采用隐式马尔科夫模型方法给出了资产安全状态量化计算方法;任务风险评估模型按照资产分类集合的结果,采用聚合分析方法给出了任务风险值计算方法,进而实现面向网络业务的风险评测。为了验证提出方法的有效性,采用TMT威胁建模工具典型web应用给出的资产、漏洞、威胁示例,利用提出的模型和方法对该示例进行了仿真验证,实验结果表明:该方法可为面向任务的安全计划制定和调度提供决策支持。