等级保护制度是国内网络安全领域的基本制度，需要对等保安全保障方案防护能力进行分析评估，要求安全保障机制形成体系，满足“可信、可控、可管”的要求。在等级保护信息系统的特点和能力要求下，针对信息系统时刻面临的网络安全问题，提出了一种以业务流程为保护对象，通过轻量级软件重建应用场景，在应用场景下，从安全属性和信息流角度模拟攻击行为和部署纵深防御机制，通过安全攻防的推演来判断系统安全防护能力的安全分析方法。该方法针对等级保护对网络系统安全防御的要求提出，可以低成本模拟多种应用场景，分析应用的安全性并尝试不同安全保障改进方案的效果。最后，通过工业控制系统震网病毒应用实例说明了该方法的实施方式和验证效果。