【資料名稱】：電信運(yùn)營商的Web網(wǎng)站安全評(píng)估

【資料作者】：張高山, 杜雪濤, 張晨

【資料日期】：201301

【資料語言】：中文

【資料格式】：DOC/DOCX

【資料目錄和簡(jiǎn)介】：

運(yùn)營商已經(jīng)部署了大量面向互聯(lián)網(wǎng)的Web 網(wǎng)站，
這些網(wǎng)站系統(tǒng)或承載著企業(yè)的核心業(yè)務(wù)、或代表了企業(yè)
的品牌形象、或維護(hù)著大量的客戶隱私數(shù)據(jù)，這些已經(jīng)
成為運(yùn)營商最重要的信息資產(chǎn)。然而，隨著黑客攻擊
的趨勢(shì)逐漸由傳統(tǒng)的網(wǎng)絡(luò)層轉(zhuǎn)向Web 層，根據(jù)CVE、
OWASP 等權(quán)威安全機(jī)構(gòu)的統(tǒng)計(jì)，Web 網(wǎng)站的安全攻擊
Web 安全評(píng)估同樣遵守信息安全風(fēng)險(xiǎn)評(píng)估準(zhǔn)則：
（1）標(biāo)準(zhǔn)性原則：風(fēng)險(xiǎn)評(píng)估工作的指導(dǎo)性原則，指
遵循通信行業(yè)相關(guān)標(biāo)準(zhǔn)開展系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估工作。
（2）可控性原則：在評(píng)估過程中，應(yīng)保證參與評(píng)估
的人員、使用的技術(shù)和工具、評(píng)估過程都是可控的。
（3）完備性原則：嚴(yán)格按照被評(píng)估方提供的評(píng)估范
圍進(jìn)行全面的評(píng)估。
（4）最小影響原則：從項(xiàng)目管理層面和工具技術(shù)層
面，將評(píng)估工作對(duì)系統(tǒng)正常運(yùn)行的可能影響降低到最低
限度，不會(huì)對(duì)被評(píng)估網(wǎng)絡(luò)上的業(yè)務(wù)運(yùn)行產(chǎn)生顯著影響。
（5）保密原則：評(píng)估方應(yīng)與被評(píng)估的網(wǎng)絡(luò)和業(yè)務(wù)運(yùn)
營商簽署相關(guān)的保密協(xié)議和非侵害性協(xié)議，以保障被評(píng)
估方的利益。
2.2 安全評(píng)估框架
2.2.1 Web 網(wǎng)站通用邏輯架構(gòu)
Web 網(wǎng)站的通用邏輯架構(gòu)主要包括Web 網(wǎng)站系統(tǒng)、
外部系統(tǒng)和客戶端3 部分組成，如圖1 所示。
圖1