电信运营商的Web网站安全评估

文档发布

电信运营商的Web网站安全评估
张高山, 杜雪涛, 张晨
（中国移动通信集团设计院有限公司，北京 100080）
摘　要　本文简要介绍了电信运营商的业务发展趋势，分析了Web网站所面临的安全风险，重点对Web网站安全评估
进行了深入探讨，从安全评估准则、评估框架、评估内容和评估方法及过程等方面进行关键分析和归纳，提
出对评估目标的评估要求要点，为Web网站的安全评估提供了一种思路和工作方法。
关键词　Web网站；安全评估；移动互联网

随着互联网和电子商务的飞速发展，运营商需要
采用新的经营模式来满足客户数量的爆发式增长和客
户对高服务质量的需求。网上营业厅等 Web 网站以自
助的方式为客户提供一站式全天候的业务受理、营销推
广、信息查询等便捷服务，成为了电信运营商与客户沟
通的重要桥梁，不仅为客户提供了更多、更好、更便捷
的服务，而且也节约了公司的运营成本，所以 Web 网
站的安全性为运营商业务可靠、健康运营起到了十分重
要作用。
1 Web 网站安全现状
运营商已经部署了大量面向互联网的 Web 网站，
这些网站系统或承载着企业的核心业务、或代表了企业
的品牌形象、或维护着大量的客户隐私数据，这些已经
成为运营商最重要的信息资产。然而，随着黑客攻击
的趋势逐渐由传统的网络层转向 Web 层，根据 CVE、
OWASP 等权威安全机构的统计，Web 网站的安全攻击
已经超过了其它层面安全攻击的总和。因此，本文重点
对面向互联网提供服务的 Web 网站的安全评估进行探
讨，分析出对 Web 网站安全评估的技术要点，将有利
提高 Web 网站的安全运营水平，保障电信运营商在移
动互联网时代健康高效的发展。
2 Web 安全评估
2.1 安全评估准则
Web 安全评估同样遵守信息安全风险评估准则 ：
（1）标准性原则 ：风险评估工作的指导性原则，指
遵循通信行业相关标准开展系统的安全风险评估工作。
（2）可控性原则 ：在评估过程中，应保证参与评估
的人员、使用的技术和工具、评估过程都是可控的。
（3）完备性原则 ：严格按照被评估方提供的评估范
围进行全面的评估。
（4）最小影响原则 ：从项目管理层面和工具技术层
面，将评估工作对系统正常运行的可能影响降低到最低