注1：本文系"概念解析"系列之一，致力于简洁清晰地解释、辨析复杂而专业的概念。本次辨析的概念是：威胁建模和DREAD模型

概念解析 | 威胁建模与DREAD评估：构建安全的系统防线

What Is Threat Modeling? Definition, Process, Examples, and Best Practices - Spiceworks

一、什么是威胁建模？

在信息安全领域，威胁建模（Threat Modeling）就像是一位睿智的军师，他审时度势，为系统安全布局。这位军师会仔细分析系统的架构，找出其中潜在的薄弱环节，预判可能出现的安全威胁。他会问自己这样的问题：“如果我是敌人，我会从哪里发起进攻？我的目标是什么？我会利用系统的哪些漏洞？”

通过这样的分析，威胁建模可以帮助我们更全面、更系统地评估系统面临的安全风险，找出最需要防范的威胁，并有针对性地制定防御策略。这就像是在城墙上加固门禁，在易受攻击的地方布置更多的守卫。