“Threat model”(威胁建模):在安全工程中,系统性地识别一个系统/应用可能面临的威胁、攻击者、攻击面与潜在影响,并据此制定缓解措施与安全优先级的过程与产物(如文档、图表)。也可泛指“对威胁的结构化分析框架”。
/θrɛt ˈmɑːdəl/(美式常见)
/θrɛt ˈmɒdəl/(英式常见)
A threat model helps us find security risks early.
威胁建模能帮助我们尽早发现安全风险。
Before launching the API, the team built a threat model to map attack surfaces, likely adversaries, and mitigations for authentication and data storage.
在上线该 API 之前,团队做了威胁建模,用来梳理攻击面、可能的对手,以及针对身份验证和数据存储的缓解措施。
“Threat”来自古英语 þrēat,原意与“威胁、恐吓、压迫”相关;“Model”来自拉丁语 modulus(“尺度、模板”)经法语进入英语,指“模型/范式”。组合成“Threat model”后,在信息安全领域固定为“用模型化方式分析威胁”的术语,强调结构化与可复用的分析方法。
Select Language