51学通信技术论坛

 找回密码
 立即注册
搜索
查看: 902|回复: 0

[其他] 电信运营商的Web网站安全评估 [复制链接]

Rank: 9Rank: 9

发表于 2015-2-16 11:02:22 |显示全部楼层
一键分享 一键分享
电信运营商的Web网站安全评估
张高山, 杜雪涛, 张晨
(中国移动通信集团设计院有限公司,北京 100080)
摘 要 本文简要介绍了电信运营商的业务发展趋势,分析了Web网站所面临的安全风险,重点对Web网站安全评估
进行了深入探讨,从安全评估准则、评估框架、评估内容和评估方法及过程等方面进行关键分析和归纳,提
出对评估目标的评估要求要点,为Web网站的安全评估提供了一种思路和工作方法。
关键词 Web网站;安全评估;移动互联网

随着互联网和电子商务的飞速发展,运营商需要
采用新的经营模式来满足客户数量的爆发式增长和客
户对高服务质量的需求。网上营业厅等 Web 网站以自
助的方式为客户提供一站式全天候的业务受理、营销推
广、信息查询等便捷服务,成为了电信运营商与客户沟
通的重要桥梁,不仅为客户提供了更多、更好、更便捷
的服务,而且也节约了公司的运营成本,所以 Web 网
站的安全性为运营商业务可靠、健康运营起到了十分重
要作用。
1 Web 网站安全现状
运营商已经部署了大量面向互联网的 Web 网站,
这些网站系统或承载着企业的核心业务、或代表了企业
的品牌形象、或维护着大量的客户隐私数据,这些已经
成为运营商最重要的信息资产。然而,随着黑客攻击
的趋势逐渐由传统的网络层转向 Web 层,根据 CVE、
OWASP 等权威安全机构的统计,Web 网站的安全攻击
已经超过了其它层面安全攻击的总和。因此,本文重点
对面向互联网提供服务的 Web 网站的安全评估进行探
讨,分析出对 Web 网站安全评估的技术要点,将有利
提高 Web 网站的安全运营水平,保障电信运营商在移
动互联网时代健康高效的发展。
2 Web 安全评估
2.1 安全评估准则
Web 安全评估同样遵守信息安全风险评估准则 :
(1)标准性原则 :风险评估工作的指导性原则,指
遵循通信行业相关标准开展系统的安全风险评估工作。
(2)可控性原则 :在评估过程中,应保证参与评估
的人员、使用的技术和工具、评估过程都是可控的。
(3)完备性原则 :严格按照被评估方提供的评估范
围进行全面的评估。
(4)最小影响原则 :从项目管理层面和工具技术层
面,将评估工作对系统正常运行的可能影响降低到最低
附件: 你需要登录才可以下载或查看附件。没有帐号?立即注册
您需要登录后才可以回帖 登录 | 立即注册

站长邮箱|Archiver|51学通信 ( 粤ICP备11025688 )

GMT+8, 2018-12-10 06:11 , Processed in 0.048347 second(s), 15 queries .

Powered by Discuz! X2

© 2001-2011 Comsenz Inc.

回顶部