STRIDE

STRIDE是微软的Praerit Garg和Loren Kohnfelder建立的威胁模型^[1]，目的是在找出电脑安全上的威胁（英语：Threat (computer)）^[2]。是六种安全威胁分类英文的字首组成的助忆词^[3]。

这六种威胁是：

• 欺骗（Spoofing）
• 篡改（Tampering）：也就是资料修改
• 否认（Repudiation）
• 资讯泄露（Information disclosure），可能是隐私泄露（英语：data privacy）或是资料外泄
• 阻断服务攻击（Denial of service）
• 特权提升（Elevation of privilege）^[4]

STRIDE一开始是设计作为威胁模型分析程序的部分。STRIDE是威胁模型，让分析者可以理解威胁系统的方式，并设法找出威胁。STRIDE可以和目标系统的模型一起使用。分析过程会将程序、资料储存、资料流及信任边界（Trust boundaries）进行完整的拆解^[5]。

安全专家会用STRIDE来回答这个问题：“目前运作的系统中，哪些地方可能会有问题？”

每一个的威胁都会影响理想的系统属性：

威胁	理想属性
欺骗	身份验证
篡改	完整性
否认	不可否认
资讯泄露	保密
阻断服务	可用性
特权提升	授权

有关威胁的说明

“否认”这个威胁比较特殊，在安全的观点上这是威胁，但是在一些私用系统上，是系统希望要有的特性（例如Goldberg的不留记录即时通讯系统）。

特权提升（Elevation of Privilege）有时也会称为escalation of privilege或privilege escalation。

相关条目

• 攻击树：另一种安全威胁建模的作法，从依赖树延伸的概念。
• 计算机安全
• DREAD（英语：DREAD (risk assessment model)）：安全威胁有关的助忆词。
• OWASP：透过教育提升网页安全性的组织
• 信息安全中的CIA，也称为AIC，也是IT系统安全性的助忆词。