日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
保證WEB站點(diǎn)安全評(píng)估成功的4個(gè)主要因素

以下的文章主要向大家講述的是正確保證WEB站點(diǎn)安全評(píng)估成功的4個(gè)主要因素,如今,針對WEB應(yīng)用的安全威脅日益增多。這些安全威脅有些是利用WEB站點(diǎn)所在的服務(wù)器系統(tǒng)漏洞,有些是利用WEB應(yīng)用程序本身的漏洞,有些是利用數(shù)據(jù)庫的漏洞來進(jìn)行攻擊的。

我們擁有10余年網(wǎng)頁設(shè)計(jì)和網(wǎng)站建設(shè)經(jīng)驗(yàn),從網(wǎng)站策劃到網(wǎng)站制作,我們的網(wǎng)頁設(shè)計(jì)師為您提供的解決方案。為企業(yè)提供成都網(wǎng)站設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、小程序開發(fā)、移動(dòng)網(wǎng)站建設(shè)html5、等業(yè)務(wù)。無論您有什么樣的網(wǎng)站設(shè)計(jì)或者設(shè)計(jì)方案要求,我們都將富于創(chuàng)造性的提供專業(yè)設(shè)計(jì)服務(wù)并滿足您的需求。

比特網(wǎng)專家特稿:如今,針對WEB應(yīng)用的安全威脅越來越多。這些安全威脅有些是利用WEB站點(diǎn)所在的服務(wù)器系統(tǒng)漏洞,有些是利用WEB應(yīng)用程序本身的漏洞,有些是利用數(shù)據(jù)庫的漏洞來進(jìn)行攻擊的。因此,使用一些方法和工具,對整個(gè)WEB站點(diǎn)進(jìn)行詳細(xì)的安全評(píng)估,找出目前WEB服務(wù)器系統(tǒng)、WEB應(yīng)用程序及數(shù)據(jù)庫中存在的弱點(diǎn),才有可能將安全威脅抹殺在最初狀態(tài)。

在對WEB站點(diǎn)進(jìn)行安全評(píng)估之前,還必需滿足四個(gè)最關(guān)鍵的因素,它們是安全評(píng)估人員、評(píng)估工具、評(píng)估方法和評(píng)估對象。

1、安全評(píng)估人員

安全評(píng)估人員,應(yīng)當(dāng)包括WEB站點(diǎn)的領(lǐng)導(dǎo)、管理員及安全評(píng)估實(shí)施人員。安全評(píng)估實(shí)施人員的技術(shù)和經(jīng)驗(yàn),以及工作態(tài)度一定程度上決定了評(píng)估的效果和可信性。

安全評(píng)估人員通常由WEB站點(diǎn)的領(lǐng)導(dǎo)指定,領(lǐng)導(dǎo)主要負(fù)責(zé)協(xié)調(diào)所有評(píng)估人員的相互工作,解決評(píng)估過程中遇到的疑難問題,以組織大家確定評(píng)估策略、工具、方法和評(píng)估內(nèi)容。而評(píng)估人員就是進(jìn)行WEB站點(diǎn)安全評(píng)估的具體實(shí)施人員,他們完成所有安全評(píng)估任務(wù),并給出評(píng)估報(bào)告和修復(fù)建議。

2、 安全評(píng)估工具

三分技術(shù),七分工具。要想高效率地完成對WEB站點(diǎn)的安全評(píng)估任何,在開始之前為其準(zhǔn)備恰當(dāng)?shù)陌踩u(píng)估工具總是應(yīng)該的。

安全評(píng)估工具應(yīng)當(dāng)根據(jù)所要評(píng)估的具體對象來選擇,不同的評(píng)估對象,所使用的評(píng)估工具并不完全相同的。

另外,在選擇安全評(píng)估工具時(shí),還要仔細(xì)了解評(píng)估工具本身的功能和適合范圍等特性。這是因?yàn)橛行┌踩u(píng)估工具只是針對某種服務(wù)或軟件,而有些是針對整個(gè)主機(jī)或網(wǎng)絡(luò)的;有些安全評(píng)估工具只能在某種操作系統(tǒng)平臺(tái)下運(yùn)行,例如Windows XP系統(tǒng)或Linux系統(tǒng),而有些安全評(píng)估工具卻能在許多流行的操作系統(tǒng)平臺(tái)下運(yùn)行;一些安全評(píng)估工具是軟件方式的,還有一些是以獨(dú)立的硬件方式存的;有些安全軟件是免費(fèi)的,而有一些是商業(yè)的。

因此,我們在選擇WEB站點(diǎn)的安全評(píng)估工具時(shí),必需根據(jù)此次具體的評(píng)估對象,以及WEB站點(diǎn)的具體情況,例如操作系統(tǒng)的類型,來選擇恰當(dāng)?shù)陌踩u(píng)估工具。

現(xiàn)在,市面上已經(jīng)有許多功能強(qiáng)大的免費(fèi)的評(píng)估工具可以供我們選擇,這些工具有:Nessus、Nikto、N-Stealth、X-scan3.3、WebInject1.41和Acunetix WVS Free Edition,以及一款功能全面且性能強(qiáng)大的商業(yè)安全掃描軟件ISS Internet Scanner等。

3、 安全評(píng)估方法

安全評(píng)估方法就是具體的安全評(píng)估實(shí)施方式,在每一次安全評(píng)估任務(wù)開始之前,我們必需根據(jù)安全評(píng)估的內(nèi)容,來確定通過哪些方法來評(píng)估它們。

對于WEB站點(diǎn)安全評(píng)估來說,目前主要有下列五種評(píng)估方式:

(1)、由外向內(nèi)測試

這種安全評(píng)估方式就是以攻擊者的角度從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)中的外部,對它進(jìn)行安全掃描工作。以此來檢測WEB站點(diǎn)防范來自互聯(lián)網(wǎng)遠(yuǎn)程攻擊的能力。此種測試方式可以使用上述評(píng)估工具中的N-stealth、X-Scan和WebInject等工具來進(jìn)行。

(2)、由內(nèi)向外測試

由內(nèi)向外的安全檢測方式是指從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部,對它進(jìn)行安全掃描工作。這種安全檢測方式主要用來檢驗(yàn)WEB站點(diǎn)對來自內(nèi)部的攻擊防范能力,以及檢測對用戶權(quán)限分配情況和內(nèi)部數(shù)據(jù)傳輸過程中的安全性。此時(shí)可使用一些操作系統(tǒng)內(nèi)部網(wǎng)絡(luò)命令,例如Netstat,以及Hping和Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具。

(3)、模擬攻擊測試

模擬攻擊測試是指在實(shí)際的測試過程中并不對WEB站點(diǎn)所在服務(wù)器系統(tǒng)及WEB應(yīng)用程序、網(wǎng)絡(luò)設(shè)備進(jìn)行真正的攻擊事件。這種測試方式并不會(huì)對WEB站點(diǎn)的性能產(chǎn)生影響,平時(shí)大部分的安全評(píng)估工作應(yīng)當(dāng)使用模擬攻擊的測試方式。

(4)、真實(shí)攻擊測試

當(dāng)使用模擬攻擊測試不能真正檢驗(yàn)到網(wǎng)站的安全狀況時(shí),就可以使用真實(shí)的攻擊測試。由于攻擊是真實(shí)的,因此會(huì)對WEB站點(diǎn)的性能造成影響,因而這種方式最好在WEB開發(fā)的實(shí)驗(yàn)階段,以及沒有WEB業(yè)務(wù)的時(shí)候進(jìn)行?,F(xiàn)在有很多的網(wǎng)站都會(huì)請一些專門的黑客來對自己的站點(diǎn)進(jìn)行真實(shí)的攻擊,以便最大程度地檢測出WEB站點(diǎn)中存在的安全漏洞問題。

(5)、社會(huì)工程攻擊測試

有許多人認(rèn)為社會(huì)工程只是攻擊者用來進(jìn)行攻擊的一種手段,卻不知它也是一種很好的檢測企業(yè)內(nèi)部員工及站點(diǎn)管理員反社會(huì)工程攻擊能力強(qiáng)度的評(píng)測工具。你可以通過電話、手機(jī)短信及電子郵件的方式對評(píng)測的人員進(jìn)行與攻擊相同的社會(huì)工程攻擊,同樣,你還可以通過直接接觸被評(píng)測者的方式進(jìn)行。但要注意的是,如果你是企業(yè)內(nèi)部熟習(xí)的人員,在使用社會(huì)工程進(jìn)行安全評(píng)估時(shí),最好讓可信的第三方來進(jìn)行,這樣達(dá)到的效果和可信度是最好的。

4、 安全評(píng)估的對象

評(píng)估對象是指評(píng)估過程中具體的評(píng)估實(shí)施目標(biāo),包括WEB服務(wù)器主機(jī)操作系統(tǒng)、WEB

應(yīng)用程序框架、數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。

確定安全評(píng)估的對象后,還必需將具體對象中的具體評(píng)估內(nèi)容也確定下來,并將所涉及

的評(píng)估內(nèi)容一一列出,制定一個(gè)具體的評(píng)估內(nèi)容表。這樣,在具體評(píng)估工作開始后,就可以按評(píng)估內(nèi)容表中的項(xiàng)目一一進(jìn)行評(píng)估了。

上述這四個(gè)因素是WEB站點(diǎn)安全評(píng)估工作中缺一不可的,缺少任何一個(gè)或任何一個(gè)出現(xiàn)問題,都會(huì)使整個(gè)評(píng)估工作中斷或使評(píng)估結(jié)果不可信。

還有就是評(píng)估工具的使用并不一定得一次只使用一種工具,我們可以根據(jù)要評(píng)估的對象和評(píng)估的內(nèi)容進(jìn)行組合應(yīng)用。畢竟,就像雪源梅香在安全評(píng)估工具一項(xiàng)中描述的,有時(shí)一種工具只在某一個(gè)方面比較有效,而且,評(píng)估軟件還存在誤報(bào)和漏報(bào)的問題,組合使用不同的評(píng)估工具,再加上評(píng)估人員自己的經(jīng)驗(yàn)判斷,就能將評(píng)估結(jié)果的有效性提高到較高的水平。


分享文章:保證WEB站點(diǎn)安全評(píng)估成功的4個(gè)主要因素
轉(zhuǎn)載來源:http://www.dlmjj.cn/article/dpjdies.html