Web服務安全風險評估研究.pdf

1、Web服務是近年提出的一種新的面向Web的分布應用開發(fā)與集成框架，它基于面向服務的體系結構，采用Internet通信協(xié)議和XML編碼傳輸消息，具有系統(tǒng)平臺無關、開發(fā)語言無關、松散耦合以及可伸縮等優(yōu)點，具有極大的發(fā)展與應用潛力。盡管Web服務有許多優(yōu)點，但安全性比較差是其主要缺點，安全性問題已經逐漸引起人們的重視。然而單靠技術不可能從根本上解決Web服務的安全問題，Web服務安全更應從系統(tǒng)工程的角度來看待。而在系統(tǒng)工程中，風險評估占有重要

2、地位，它是Web服務安全的基礎和前提，因此，對Web服務進行安全風險評估是十分必要的。
　　 本文分析了web服務的安全技術和web服務安全規(guī)范，在詳細研究信息安全風險評估相關理論和技術的基礎上，對Web服務安全風險評估進行了有益的探索，設計并實現了一個可信的Web服務安全風險評估系統(tǒng)。該評估系統(tǒng)主要從資產評估、脆弱性評估、威脅性評估三個模塊展開，用戶通過進行資產識別完成資產評估模塊；通過完成問卷調查來實現威脅性評估模塊；脆弱性

3、評估模塊則通過用戶在Nessus Client設置掃描規(guī)則，由系統(tǒng)調用Nessus Server對目標主機進行掃描，然后將掃描結果進行分析后放入數據庫。最后評估系統(tǒng)根據各個模塊評估結果算出最后的風險值，并給出建議和改進措施。
　　 最后本文介紹了實驗的環(huán)境、過程和結果分析。實驗結果表明，Web服務安全風險評估系統(tǒng)給出了目標系統(tǒng)的風險等級，實現了預期的設計目標。應用該工具進行風險評估較好地滿足了風險評估工具發(fā)展的新要求，為用戶下一