Web服務(wù)安全風險評估研究.pdf

1、Web服務(wù)是近年提出的一種新的面向Web的分布應(yīng)用開發(fā)與集成框架，它基于面向服務(wù)的體系結(jié)構(gòu)，采用Internet通信協(xié)議和XML編碼傳輸消息，具有系統(tǒng)平臺無關(guān)、開發(fā)語言無關(guān)、松散耦合以及可伸縮等優(yōu)點，具有極大的發(fā)展與應(yīng)用潛力。盡管Web服務(wù)有許多優(yōu)點，但安全性比較差是其主要缺點，安全性問題已經(jīng)逐漸引起人們的重視。然而單靠技術(shù)不可能從根本上解決Web服務(wù)的安全問題，Web服務(wù)安全更應(yīng)從系統(tǒng)工程的角度來看待。而在系統(tǒng)工程中，風險評估占有重要

2、地位，它是Web服務(wù)安全的基礎(chǔ)和前提，因此，對Web服務(wù)進行安全風險評估是十分必要的。
　　 本文分析了web服務(wù)的安全技術(shù)和web服務(wù)安全規(guī)范，在詳細研究信息安全風險評估相關(guān)理論和技術(shù)的基礎(chǔ)上，對Web服務(wù)安全風險評估進行了有益的探索，設(shè)計并實現(xiàn)了一個可信的Web服務(wù)安全風險評估系統(tǒng)。該評估系統(tǒng)主要從資產(chǎn)評估、脆弱性評估、威脅性評估三個模塊展開，用戶通過進行資產(chǎn)識別完成資產(chǎn)評估模塊；通過完成問卷調(diào)查來實現(xiàn)威脅性評估模塊；脆弱性

3、評估模塊則通過用戶在Nessus Client設(shè)置掃描規(guī)則，由系統(tǒng)調(diào)用Nessus Server對目標主機進行掃描，然后將掃描結(jié)果進行分析后放入數(shù)據(jù)庫。最后評估系統(tǒng)根據(jù)各個模塊評估結(jié)果算出最后的風險值，并給出建議和改進措施。
　　 最后本文介紹了實驗的環(huán)境、過程和結(jié)果分析。實驗結(jié)果表明，Web服務(wù)安全風險評估系統(tǒng)給出了目標系統(tǒng)的風險等級，實現(xiàn)了預(yù)期的設(shè)計目標。應(yīng)用該工具進行風險評估較好地滿足了風險評估工具發(fā)展的新要求，為用戶下一