以下的文章主要向大家講述的是正確保證WEB站點安全評估成功的4個主要因素，如今，針對WEB應(yīng)用的安全威脅日益增多。這些安全威脅有些是利用WEB站點所在的服務(wù)器系統(tǒng)漏洞，有些是利用WEB應(yīng)用程序本身的漏洞，有些是利用數(shù)據(jù)庫的漏洞來進(jìn)行攻擊的。

比特網(wǎng)專家特稿：如今，針對WEB應(yīng)用的安全威脅越來越多。這些安全威脅有些是利用WEB站點所在的服務(wù)器系統(tǒng)漏洞，有些是利用WEB應(yīng)用程序本身的漏洞，有些是利用數(shù)據(jù)庫的漏洞來進(jìn)行攻擊的。因此，使用一些方法和工具，對整個WEB站點進(jìn)行詳細(xì)的安全評估，找出目前WEB服務(wù)器系統(tǒng)、WEB應(yīng)用程序及數(shù)據(jù)庫中存在的弱點，才有可能將安全威脅抹殺在最初狀態(tài)。

在對WEB站點進(jìn)行安全評估之前，還必需滿足四個最關(guān)鍵的因素，它們是安全評估人員、評估工具、評估方法和評估對象。

1、安全評估人員

安全評估人員，應(yīng)當(dāng)包括WEB站點的領(lǐng)導(dǎo)、管理員及安全評估實施人員。安全評估實施人員的技術(shù)和經(jīng)驗，以及工作態(tài)度一定程度上決定了評估的效果和可信性。

安全評估人員通常由WEB站點的領(lǐng)導(dǎo)指定，領(lǐng)導(dǎo)主要負(fù)責(zé)協(xié)調(diào)所有評估人員的相互工作，解決評估過程中遇到的疑難問題，以組織大家確定評估策略、工具、方法和評估內(nèi)容。而評估人員就是進(jìn)行WEB站點安全評估的具體實施人員，他們完成所有安全評估任務(wù)，并給出評估報告和修復(fù)建議。

2、 安全評估工具

三分技術(shù)，七分工具。要想高效率地完成對WEB站點的安全評估任何，在開始之前為其準(zhǔn)備恰當(dāng)?shù)陌踩u估工具總是應(yīng)該的。

安全評估工具應(yīng)當(dāng)根據(jù)所要評估的具體對象來選擇，不同的評估對象，所使用的評估工具并不完全相同的。

另外，在選擇安全評估工具時，還要仔細(xì)了解評估工具本身的功能和適合范圍等特性。這是因為有些安全評估工具只是針對某種服務(wù)或軟件，而有些是針對整個主機(jī)或網(wǎng)絡(luò)的;有些安全評估工具只能在某種操作系統(tǒng)平臺下運行，例如Windows XP系統(tǒng)或Linux系統(tǒng)，而有些安全評估工具卻能在許多流行的操作系統(tǒng)平臺下運行;一些安全評估工具是軟件方式的，還有一些是以獨立的硬件方式存的;有些安全軟件是免費的，而有一些是商業(yè)的。

因此，我們在選擇WEB站點的安全評估工具時，必需根據(jù)此次具體的評估對象，以及WEB站點的具體情況，例如操作系統(tǒng)的類型，來選擇恰當(dāng)?shù)陌踩u估工具。

現(xiàn)在，市面上已經(jīng)有許多功能強(qiáng)大的免費的評估工具可以供我們選擇，這些工具有：Nessus、Nikto、N-Stealth、X-scan3.3、WebInject1.41和Acunetix WVS Free Edition，以及一款功能全面且性能強(qiáng)大的商業(yè)安全掃描軟件ISS Internet Scanner等。

3、 安全評估方法

安全評估方法就是具體的安全評估實施方式，在每一次安全評估任務(wù)開始之前，我們必需根據(jù)安全評估的內(nèi)容，來確定通過哪些方法來評估它們。

對于WEB站點安全評估來說，目前主要有下列五種評估方式：

(1)、由外向內(nèi)測試

這種安全評估方式就是以攻擊者的角度從WEB站點所在網(wǎng)絡(luò)結(jié)構(gòu)中的外部，對它進(jìn)行安全掃描工作。以此來檢測WEB站點防范來自互聯(lián)網(wǎng)遠(yuǎn)程攻擊的能力。此種測試方式可以使用上述評估工具中的N-stealth、X-Scan和WebInject等工具來進(jìn)行。

(2)、由內(nèi)向外測試

由內(nèi)向外的安全檢測方式是指從WEB站點所在網(wǎng)絡(luò)結(jié)構(gòu)的內(nèi)部，對它進(jìn)行安全掃描工作。這種安全檢測方式主要用來檢驗WEB站點對來自內(nèi)部的攻擊防范能力，以及檢測對用戶權(quán)限分配情況和內(nèi)部數(shù)據(jù)傳輸過程中的安全性。此時可使用一些操作系統(tǒng)內(nèi)部網(wǎng)絡(luò)命令，例如Netstat，以及Hping和Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具。

(3)、模擬攻擊測試

模擬攻擊測試是指在實際的測試過程中并不對WEB站點所在服務(wù)器系統(tǒng)及WEB應(yīng)用程序、網(wǎng)絡(luò)設(shè)備進(jìn)行真正的攻擊事件。這種測試方式并不會對WEB站點的性能產(chǎn)生影響，平時大部分的安全評估工作應(yīng)當(dāng)使用模擬攻擊的測試方式。

(4)、真實攻擊測試

當(dāng)使用模擬攻擊測試不能真正檢驗到網(wǎng)站的安全狀況時，就可以使用真實的攻擊測試。由于攻擊是真實的，因此會對WEB站點的性能造成影響，因而這種方式最好在WEB開發(fā)的實驗階段，以及沒有WEB業(yè)務(wù)的時候進(jìn)行?，F(xiàn)在有很多的網(wǎng)站都會請一些專門的黑客來對自己的站點進(jìn)行真實的攻擊，以便最大程度地檢測出WEB站點中存在的安全漏洞問題。

(5)、社會工程攻擊測試

有許多人認(rèn)為社會工程只是攻擊者用來進(jìn)行攻擊的一種手段，卻不知它也是一種很好的檢測企業(yè)內(nèi)部員工及站點管理員反社會工程攻擊能力強(qiáng)度的評測工具。你可以通過電話、手機(jī)短信及電子郵件的方式對評測的人員進(jìn)行與攻擊相同的社會工程攻擊，同樣，你還可以通過直接接觸被評測者的方式進(jìn)行。但要注意的是，如果你是企業(yè)內(nèi)部熟習(xí)的人員，在使用社會工程進(jìn)行安全評估時，最好讓可信的第三方來進(jìn)行，這樣達(dá)到的效果和可信度是最好的。

4、 安全評估的對象

評估對象是指評估過程中具體的評估實施目標(biāo)，包括WEB服務(wù)器主機(jī)操作系統(tǒng)、WEB

應(yīng)用程序框架、數(shù)據(jù)庫系統(tǒng)及網(wǎng)絡(luò)基礎(chǔ)設(shè)施等。

確定安全評估的對象后，還必需將具體對象中的具體評估內(nèi)容也確定下來，并將所涉及

的評估內(nèi)容一一列出，制定一個具體的評估內(nèi)容表。這樣，在具體評估工作開始后，就可以按評估內(nèi)容表中的項目一一進(jìn)行評估了。

上述這四個因素是WEB站點安全評估工作中缺一不可的，缺少任何一個或任何一個出現(xiàn)問題，都會使整個評估工作中斷或使評估結(jié)果不可信。

還有就是評估工具的使用并不一定得一次只使用一種工具，我們可以根據(jù)要評估的對象和評估的內(nèi)容進(jìn)行組合應(yīng)用。畢竟，就像雪源梅香在安全評估工具一項中描述的，有時一種工具只在某一個方面比較有效，而且，評估軟件還存在誤報和漏報的問題，組合使用不同的評估工具，再加上評估人員自己的經(jīng)驗判斷，就能將評估結(jié)果的有效性提高到較高的水平。