以下的文章主要向大家講述的是正確保證WEB站點(diǎn)安全評(píng)估成功的4個(gè)主要因素，如今，針對(duì)WEB應(yīng)用的安全威脅日益增多。這些安全威脅有些是利用WEB站點(diǎn)所在的服務(wù)器系統(tǒng)漏洞，有些是利用WEB應(yīng)用程序本身的漏洞，有些是利用數(shù)據(jù)庫(kù)的漏洞來(lái)進(jìn)行攻擊的。

比特網(wǎng)專家特稿：如今，針對(duì)WEB應(yīng)用的安全威脅越來(lái)越多。這些安全威脅有些是利用WEB站點(diǎn)所在的服務(wù)器系統(tǒng)漏洞，有些是利用WEB應(yīng)用程序本身的漏洞，有些是利用數(shù)據(jù)庫(kù)的漏洞來(lái)進(jìn)行攻擊的。因此，使用一些方法和工具，對(duì)整個(gè)WEB站點(diǎn)進(jìn)行詳細(xì)的安全評(píng)估，找出目前WEB服務(wù)器系統(tǒng)、WEB應(yīng)用程序及數(shù)據(jù)庫(kù)中存在的弱點(diǎn)，才有可能將安全威脅抹殺在最初狀態(tài)。

在對(duì)WEB站點(diǎn)進(jìn)行安全評(píng)估之前，還必需滿足四個(gè)最關(guān)鍵的因素，它們是安全評(píng)估人員、評(píng)估工具、評(píng)估方法和評(píng)估對(duì)象。

1、安全評(píng)估人員

安全評(píng)估人員，應(yīng)當(dāng)包括WEB站點(diǎn)的領(lǐng)導(dǎo)、管理員及安全評(píng)估實(shí)施人員。安全評(píng)估實(shí)施人員的技術(shù)和經(jīng)驗(yàn)，以及工作態(tài)度一定程度上決定了評(píng)估的效果和可信性。

安全評(píng)估人員通常由WEB站點(diǎn)的領(lǐng)導(dǎo)指定，領(lǐng)導(dǎo)主要負(fù)責(zé)協(xié)調(diào)所有評(píng)估人員的相互工作，解決評(píng)估過(guò)程中遇到的疑難問(wèn)題，以組織大家確定評(píng)估策略、工具、方法和評(píng)估內(nèi)容。而評(píng)估人員就是進(jìn)行WEB站點(diǎn)安全評(píng)估的具體實(shí)施人員，他們完成所有安全評(píng)估任務(wù)，并給出評(píng)估報(bào)告和修復(fù)建議。

2、 安全評(píng)估工具

三分技術(shù)，七分工具。要想高效率地完成對(duì)WEB站點(diǎn)的安全評(píng)估任何，在開(kāi)始之前為其準(zhǔn)備恰當(dāng)?shù)陌踩u(píng)估工具總是應(yīng)該的。

安全評(píng)估工具應(yīng)當(dāng)根據(jù)所要評(píng)估的具體對(duì)象來(lái)選擇，不同的評(píng)估對(duì)象，所使用的評(píng)估工具并不完全相同的。

另外，在選擇安全評(píng)估工具時(shí)，還要仔細(xì)了解評(píng)估工具本身的功能和適合范圍等特性。這是因?yàn)橛行┌踩u(píng)估工具只是針對(duì)某種服務(wù)或軟件，而有些是針對(duì)整個(gè)主機(jī)或網(wǎng)絡(luò)的;有些安全評(píng)估工具只能在某種操作系統(tǒng)平臺(tái)下運(yùn)行，例如Windows XP系統(tǒng)或Linux系統(tǒng)，而有些安全評(píng)估工具卻能在許多流行的操作系統(tǒng)平臺(tái)下運(yùn)行;一些安全評(píng)估工具是軟件方式的，還有一些是以獨(dú)立的硬件方式存的;有些安全軟件是免費(fèi)的，而有一些是商業(yè)的。

因此，我們?cè)谶x擇WEB站點(diǎn)的安全評(píng)估工具時(shí)，必需根據(jù)此次具體的評(píng)估對(duì)象，以及WEB站點(diǎn)的具體情況，例如操作系統(tǒng)的類型，來(lái)選擇恰當(dāng)?shù)陌踩u(píng)估工具。

現(xiàn)在，市面上已經(jīng)有許多功能強(qiáng)大的免費(fèi)的評(píng)估工具可以供我們選擇，這些工具有：Nessus、Nikto、N-Stealth、X-scan3.3、WebInject1.41和Acunetix WVS Free Edition，以及一款功能全面且性能強(qiáng)大的商業(yè)安全掃描軟件ISS Internet Scanner等。

3、 安全評(píng)估方法

安全評(píng)估方法就是具體的安全評(píng)估實(shí)施方式，在每一次安全評(píng)估任務(wù)開(kāi)始之前，我們必需根據(jù)安全評(píng)估的內(nèi)容，來(lái)確定通過(guò)哪些方法來(lái)評(píng)估它們。

對(duì)于WEB站點(diǎn)安全評(píng)估來(lái)說(shuō)，目前主要有下列五種評(píng)估方式：

(1)、由外向內(nèi)測(cè)試

這種安全評(píng)估方式就是以攻擊者的角度從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)中的外部，對(duì)它進(jìn)行安全掃描工作。以此來(lái)檢測(cè)WEB站點(diǎn)防范來(lái)自互聯(lián)網(wǎng)遠(yuǎn)程攻擊的能力。此種測(cè)試方式可以使用上述評(píng)估工具中的N-stealth、X-Scan和WebInject等工具來(lái)進(jìn)行。

(2)、由內(nèi)向外測(cè)試

由內(nèi)向外的安全檢測(cè)方式是指從WEB站點(diǎn)所在網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部，對(duì)它進(jìn)行安全掃描工作。這種安全檢測(cè)方式主要用來(lái)檢驗(yàn)WEB站點(diǎn)對(duì)來(lái)自內(nèi)部的攻擊防范能力，以及檢測(cè)對(duì)用戶權(quán)限分配情況和內(nèi)部數(shù)據(jù)傳輸過(guò)程中的安全性。此時(shí)可使用一些操作系統(tǒng)內(nèi)部網(wǎng)絡(luò)命令，例如Netstat，以及Hping和Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具。

(3)、模擬攻擊測(cè)試

模擬攻擊測(cè)試是指在實(shí)際的測(cè)試過(guò)程中并不對(duì)WEB站點(diǎn)所在服務(wù)器系統(tǒng)及WEB應(yīng)用程序、網(wǎng)絡(luò)設(shè)備進(jìn)行真正的攻擊事件。這種測(cè)試方式并不會(huì)對(duì)WEB站點(diǎn)的性能產(chǎn)生影響，平時(shí)大部分的安全評(píng)估工作應(yīng)當(dāng)使用模擬攻擊的測(cè)試方式。

(4)、真實(shí)攻擊測(cè)試

當(dāng)使用模擬攻擊測(cè)試不能真正檢驗(yàn)到網(wǎng)站的安全狀況時(shí)，就可以使用真實(shí)的攻擊測(cè)試。由于攻擊是真實(shí)的，因此會(huì)對(duì)WEB站點(diǎn)的性能造成影響，因而這種方式最好在WEB開(kāi)發(fā)的實(shí)驗(yàn)階段，以及沒(méi)有WEB業(yè)務(wù)的時(shí)候進(jìn)行。現(xiàn)在有很多的網(wǎng)站都會(huì)請(qǐng)一些專門(mén)的黑客來(lái)對(duì)自己的站點(diǎn)進(jìn)行真實(shí)的攻擊，以便最大程度地檢測(cè)出WEB站點(diǎn)中存在的安全漏洞問(wèn)題。

(5)、社會(huì)工程攻擊測(cè)試

有許多人認(rèn)為社會(huì)工程只是攻擊者用來(lái)進(jìn)行攻擊的一種手段，卻不知它也是一種很好的檢測(cè)企業(yè)內(nèi)部員工及站點(diǎn)管理員反社會(huì)工程攻擊能力強(qiáng)度的評(píng)測(cè)工具。你可以通過(guò)電話、手機(jī)短信及電子郵件的方式對(duì)評(píng)測(cè)的人員進(jìn)行與攻擊相同的社會(huì)工程攻擊，同樣，你還可以通過(guò)直接接觸被評(píng)測(cè)者的方式進(jìn)行。但要注意的是，如果你是企業(yè)內(nèi)部熟習(xí)的人員，在使用社會(huì)工程進(jìn)行安全評(píng)估時(shí)，最好讓可信的第三方來(lái)進(jìn)行，這樣達(dá)到的效果和可信度是最好的。

4、 安全評(píng)估的對(duì)象

評(píng)估對(duì)象是指評(píng)估過(guò)程中具體的評(píng)估實(shí)施目標(biāo)，包括WEB服務(wù)器主機(jī)操作系統(tǒng)、WEB

應(yīng)用程序框架、數(shù)據(jù)庫(kù)系統(tǒng)及網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。

確定安全評(píng)估的對(duì)象后，還必需將具體對(duì)象中的具體評(píng)估內(nèi)容也確定下來(lái)，并將所涉及

的評(píng)估內(nèi)容一一列出，制定一個(gè)具體的評(píng)估內(nèi)容表。這樣，在具體評(píng)估工作開(kāi)始后，就可以按評(píng)估內(nèi)容表中的項(xiàng)目一一進(jìn)行評(píng)估了。

上述這四個(gè)因素是WEB站點(diǎn)安全評(píng)估工作中缺一不可的，缺少任何一個(gè)或任何一個(gè)出現(xiàn)問(wèn)題，都會(huì)使整個(gè)評(píng)估工作中斷或使評(píng)估結(jié)果不可信。

還有就是評(píng)估工具的使用并不一定得一次只使用一種工具，我們可以根據(jù)要評(píng)估的對(duì)象和評(píng)估的內(nèi)容進(jìn)行組合應(yīng)用。畢竟，就像雪源梅香在安全評(píng)估工具一項(xiàng)中描述的，有時(shí)一種工具只在某一個(gè)方面比較有效，而且，評(píng)估軟件還存在誤報(bào)和漏報(bào)的問(wèn)題，組合使用不同的評(píng)估工具，再加上評(píng)估人員自己的經(jīng)驗(yàn)判斷，就能將評(píng)估結(jié)果的有效性提高到較高的水平。