51学通信技术论坛
标题:
电信运营商的Web网站安全评估
[打印本页]
作者:
文档发布
时间:
2015-2-16 11:02:22
标题:
电信运营商的Web网站安全评估
电信运营商的Web网站安全评估
张高山, 杜雪涛, 张晨
(中国移动通信集团设计院有限公司,北京 100080)
摘 要 本文简要介绍了电信运营商的业务发展趋势,分析了Web网站所面临的安全风险,重点对Web网站安全评估
进行了深入探讨,从安全评估准则、评估框架、评估内容和评估方法及过程等方面进行关键分析和归纳,提
出对评估目标的评估要求要点,为Web网站的安全评估提供了一种思路和工作方法。
关键词 Web网站;安全评估;移动互联网
随着互联网和电子商务的飞速发展,运营商需要
采用新的经营模式来满足客户数量的爆发式增长和客
户对高服务质量的需求。网上营业厅等 Web 网站以自
助的方式为客户提供一站式全天候的业务受理、营销推
广、信息查询等便捷服务,成为了电信运营商与客户沟
通的重要桥梁,不仅为客户提供了更多、更好、更便捷
的服务,而且也节约了公司的运营成本,所以 Web 网
站的安全性为运营商业务可靠、健康运营起到了十分重
要作用。
1 Web 网站安全现状
运营商已经部署了大量面向互联网的 Web 网站,
这些网站系统或承载着企业的核心业务、或代表了企业
的品牌形象、或维护着大量的客户隐私数据,这些已经
成为运营商最重要的信息资产。然而,随着黑客攻击
的趋势逐渐由传统的网络层转向 Web 层,根据 CVE、
OWASP 等权威安全机构的统计,Web 网站的安全攻击
已经超过了其它层面安全攻击的总和。因此,本文重点
对面向互联网提供服务的 Web 网站的安全评估进行探
讨,分析出对 Web 网站安全评估的技术要点,将有利
提高 Web 网站的安全运营水平,保障电信运营商在移
动互联网时代健康高效的发展。
2 Web 安全评估
2.1 安全评估准则
Web 安全评估同样遵守信息安全风险评估准则 :
(1)标准性原则 :风险评估工作的指导性原则,指
遵循通信行业相关标准开展系统的安全风险评估工作。
(2)可控性原则 :在评估过程中,应保证参与评估
的人员、使用的技术和工具、评估过程都是可控的。
(3)完备性原则 :严格按照被评估方提供的评估范
围进行全面的评估。
(4)最小影响原则 :从项目管理层面和工具技术层
面,将评估工作对系统正常运行的可能影响降低到最低
欢迎光临 51学通信技术论坛 (http://51xuetongxin.com/bbs/)
Powered by Discuz! X2