Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估及其輔助工具設(shè)計(jì)

歐瑪

摘要：近年來，國(guó)家和群眾對(duì)于安全風(fēng)險(xiǎn)評(píng)估的關(guān)注度逐漸提高，而評(píng)估工具的設(shè)計(jì)和開發(fā)能夠進(jìn)一步加強(qiáng)國(guó)家Web服務(wù)的水平。該文通過對(duì)Web傳統(tǒng)安全技術(shù)發(fā)展的現(xiàn)狀進(jìn)行了簡(jiǎn)單分析，進(jìn)一步提出了Web風(fēng)險(xiǎn)評(píng)估的必要性，深入研究了風(fēng)險(xiǎn)評(píng)估的流程和所使用的算法步驟，提出了一種輔助工具的數(shù)據(jù)庫(kù)、評(píng)估功能的設(shè)計(jì)思路、設(shè)計(jì)方法，通過對(duì)Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估的研究進(jìn)而完善解決安全評(píng)估問題的方法。

關(guān)鍵詞：信息安全；風(fēng)險(xiǎn)評(píng)估；SQL數(shù)據(jù)庫(kù)；函數(shù)計(jì)算；層次分析法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）25-0039-03

現(xiàn)階段國(guó)家Web安全風(fēng)險(xiǎn)評(píng)估的發(fā)展還處于初級(jí)階段，而風(fēng)險(xiǎn)評(píng)估的過程較為復(fù)雜，需要收集大量數(shù)據(jù)作為基礎(chǔ)，因此國(guó)家在對(duì)風(fēng)險(xiǎn)評(píng)估仍然存在很大的缺陷和不足，加強(qiáng)對(duì)評(píng)估輔助工具的設(shè)計(jì)和實(shí)踐，能夠讓W(xué)eb服務(wù)安全問題得到科學(xué)合理的解決，進(jìn)一步完善相關(guān)理論對(duì)提高Web服務(wù)具有重要的意義。

1 Web傳統(tǒng)安全技術(shù)的現(xiàn)狀

國(guó)家對(duì)于Web的安全保護(hù)仍停留在傳統(tǒng)技術(shù)層面上，通過SSL、防火墻、IP安全協(xié)議以及VPN等方法對(duì)網(wǎng)絡(luò)連接和網(wǎng)絡(luò)信息傳輸層進(jìn)行保護(hù)。其中SSL被廣泛應(yīng)用在對(duì)HTTP的安全保護(hù)中，通過保護(hù)用戶和服務(wù)器之間的信息通信傳輸?shù)耐ǖ?，加?qiáng)了對(duì)信息數(shù)據(jù)的保護(hù)，保障了用戶信息的安全完整不被外泄盜取的同時(shí)也提供了對(duì)于點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)對(duì)話的認(rèn)證功能，但是SSL技術(shù)還存在很大的漏洞，SSL技術(shù)只能在相關(guān)傳輸協(xié)議上進(jìn)行使用，這就要求Web服務(wù)使用的協(xié)議必須和SSL相同否則就不能夠使用，除此之外SSL無法對(duì)于個(gè)別信息選擇性保護(hù)，一旦面對(duì)用戶大批量傳輸文件的時(shí)候，SSL的性能問題就會(huì)凸顯出來。其他的安全技術(shù)包括防火墻、IP安全協(xié)議等技術(shù)雖然提供了對(duì)網(wǎng)絡(luò)層面的數(shù)據(jù)認(rèn)證功能、保證了信息數(shù)據(jù)的完整傳輸，但是這些技術(shù)都對(duì)Web服務(wù)的安全保護(hù)存在一定的不足和缺陷，無法從根本上確保Web服務(wù)的安全性。

國(guó)家在發(fā)展Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估技術(shù)的過程中，雖然獲得了極大的成效，但是因?yàn)閲?guó)家發(fā)展時(shí)間較短、起步較晚，和其他發(fā)達(dá)國(guó)家還存在很大的差距，還需要不斷的加緊腳步解決安全問題。現(xiàn)階段絕大部分的Web服務(wù)的實(shí)現(xiàn)采用的SSL技術(shù)，在Web服務(wù)功能逐漸增多的今天，已經(jīng)難以跟上發(fā)展的腳步，必須盡快開發(fā)出全新的安全保護(hù)技術(shù)。國(guó)家部分技術(shù)人員對(duì)于信息安全風(fēng)險(xiǎn)評(píng)估上存在認(rèn)知錯(cuò)誤，認(rèn)為系統(tǒng)風(fēng)險(xiǎn)評(píng)估僅是對(duì)Web服務(wù)的漏洞查找，但實(shí)際上風(fēng)險(xiǎn)評(píng)估應(yīng)該起到更大的作用，要涵蓋Web服務(wù)功能方方面面的安全評(píng)估。風(fēng)險(xiǎn)評(píng)估作為Web服務(wù)中的一個(gè)體系，他是一個(gè)評(píng)估的過程，在評(píng)估過程中保持客觀、實(shí)際正確的判斷能夠從根本上提高風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確性。

2 Web風(fēng)險(xiǎn)評(píng)估的必要性

Web服務(wù)系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估作為保護(hù)Web服務(wù)運(yùn)行的基礎(chǔ)工作，其自身的重要性不言而喻，只有Web服務(wù)的安全得到了保障才能夠從根本上提高國(guó)家Web服務(wù)能力?，F(xiàn)代社會(huì)信息技術(shù)的飛速發(fā)展，提高系統(tǒng)對(duì)數(shù)據(jù)的保護(hù)能力是信息發(fā)展過程中的必經(jīng)之路。只有全面的了解風(fēng)險(xiǎn)評(píng)估的作用和意義，才能夠更好地利用相關(guān)評(píng)估工具對(duì)Web服務(wù)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估工作，從而在國(guó)家范圍內(nèi)建立健全Web服務(wù)信息安全保障體系。因?yàn)樵u(píng)估風(fēng)險(xiǎn)系統(tǒng)本身的特殊性，各界對(duì)評(píng)估風(fēng)險(xiǎn)概念的定義各不相同，大部分學(xué)家認(rèn)為評(píng)估風(fēng)險(xiǎn)概念是對(duì)Web服務(wù)中信息流通的保密性和完整性遭到破壞的概率進(jìn)行判斷并且根據(jù)不同系統(tǒng)對(duì)于信息安全產(chǎn)生的相關(guān)影響的評(píng)價(jià)。

但是Web服務(wù)無法做到絕對(duì)安全的特性，要求技術(shù)人員只能通過對(duì)Web服務(wù)安全風(fēng)險(xiǎn)進(jìn)行科學(xué)合理的評(píng)估，從風(fēng)險(xiǎn)的源頭進(jìn)行遏制，對(duì)癥下藥，最大程度的降低信息系統(tǒng)受到侵害的可能。通過不斷地發(fā)展，國(guó)外已建立起了較為完善的風(fēng)險(xiǎn)評(píng)估體系，規(guī)定了評(píng)估標(biāo)準(zhǔn)，并且形成了相關(guān)的Web服務(wù)產(chǎn)業(yè)鏈[1]。而現(xiàn)在國(guó)家所實(shí)行的信息風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)體系，雖然是在綜合考慮了安全等級(jí)等影響因素下制定而成的相關(guān)保護(hù)、管理的標(biāo)準(zhǔn)制度，在國(guó)家在計(jì)算機(jī)信息安全保護(hù)上起到了標(biāo)桿作用，但是國(guó)家標(biāo)準(zhǔn)中的評(píng)估方面還存在細(xì)節(jié)規(guī)定上的殘缺。目前，國(guó)家的相關(guān)部門已經(jīng)開始根據(jù)風(fēng)險(xiǎn)評(píng)估的原則不斷地進(jìn)行修改轉(zhuǎn)換。風(fēng)險(xiǎn)評(píng)估必須要對(duì)計(jì)算機(jī)信息中存在威脅的數(shù)量、發(fā)生的概率進(jìn)行精確預(yù)測(cè)，并且確保評(píng)估過程不會(huì)對(duì)計(jì)算機(jī)現(xiàn)有的信息和設(shè)備造成破壞，開發(fā)的技術(shù)人員要不斷地更新評(píng)估數(shù)據(jù)庫(kù)，確保信息評(píng)估沒有漏洞，只有做到上述條件才是完善的評(píng)估系統(tǒng)。

3 Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估的流程以及算法

（1） 風(fēng)險(xiǎn)評(píng)估的流程

Web風(fēng)險(xiǎn)安全評(píng)估的流程與算法是建立完善評(píng)估系統(tǒng)的主要根據(jù)，想要建立評(píng)估系統(tǒng)必須要制定一個(gè)合理的評(píng)估流程。實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估需要多個(gè)方面的結(jié)合，作為綜合性的評(píng)估過程，需要針對(duì)Web服務(wù)的多種角度和漏洞進(jìn)行考慮。Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估的方法和相關(guān)工具在評(píng)估過程中只能夠起到一定的輔助作用和技術(shù)支持，風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容是對(duì)信息資產(chǎn)的弱點(diǎn)和威脅進(jìn)行評(píng)估，弱點(diǎn)具體是指Web服務(wù)被威脅利用后對(duì)信息數(shù)據(jù)可能造成的影響程度，威脅則是指漏洞發(fā)生的可能性，大部分的風(fēng)險(xiǎn)評(píng)估系統(tǒng)采用的是定量定性的相互結(jié)合的方法進(jìn)行分析，利用定量的方法找出對(duì)Web服務(wù)中存在的漏洞，再用定性的方法對(duì)漏洞可能造成的損害程度進(jìn)行識(shí)別。制定出合理的風(fēng)險(xiǎn)評(píng)估流程，能夠降低主觀因素對(duì)風(fēng)險(xiǎn)評(píng)估中的影響，風(fēng)險(xiǎn)評(píng)估流程主要包括評(píng)估模型、標(biāo)準(zhǔn)、參考依據(jù)、標(biāo)準(zhǔn)的定義等方面進(jìn)行綜合收集制定。風(fēng)險(xiǎn)評(píng)估的流程如下：

第一步，對(duì)信息系統(tǒng)中所有可能存在的風(fēng)險(xiǎn)進(jìn)行數(shù)據(jù)采集建立相關(guān)數(shù)據(jù)庫(kù)。根據(jù)用戶所填寫的制定表格，結(jié)合計(jì)算機(jī)的實(shí)際情況，通過漏洞掃描器對(duì)于系統(tǒng)的配置和運(yùn)行情況進(jìn)行初步的了解。第二步，對(duì)系統(tǒng)所做的相關(guān)業(yè)務(wù)產(chǎn)生的數(shù)據(jù)進(jìn)行相關(guān)分析，第三步，將所有風(fēng)險(xiǎn)發(fā)生的可能性和帶來的影響分類排列，利用定性定量結(jié)合法進(jìn)行評(píng)估，要注意在評(píng)估過程中提出主觀性的影響，最終得到綜合風(fēng)險(xiǎn)評(píng)估的數(shù)據(jù)，生成評(píng)估報(bào)告。endprint

（2） 風(fēng)險(xiǎn)評(píng)估的算法

風(fēng)險(xiǎn)計(jì)算算法，首先要考慮漏洞級(jí)別和漏洞權(quán)重，漏洞級(jí)別和權(quán)重又被分為流行、容易、損害、冒險(xiǎn)四個(gè)級(jí)別，結(jié)合兩者最終求得漏洞風(fēng)險(xiǎn)最大值。除此之外還要考慮漏洞的損害程度和被利用的可能性，在此處還要考慮到Web服務(wù)中特有的漏洞，最后對(duì)各種漏洞不同的風(fēng)險(xiǎn)值做求和動(dòng)作。用A來代表風(fēng)險(xiǎn)最大值，B來代表風(fēng)險(xiǎn)值的和，將A和B通過算法模型的計(jì)算公式求得系統(tǒng)的風(fēng)險(xiǎn)值，用字母R來代替，因此可知風(fēng)險(xiǎn)值R的計(jì)算公式如下：

在求和公式中，Q作為Web服務(wù)過程中可能出現(xiàn)的特有漏洞而存在，Q在Web服務(wù)過程中存在的可能性較大，因而使得在風(fēng)險(xiǎn)評(píng)論中占的比重較多，加重對(duì)特殊漏洞風(fēng)險(xiǎn)值得考慮不僅是出于全面評(píng)估Web服務(wù)安全風(fēng)險(xiǎn)的因素，更是要保證最終風(fēng)險(xiǎn)值的準(zhǔn)確客觀，因此，在最大值A(chǔ)和求和值B中加入特殊風(fēng)險(xiǎn)漏洞被利用的可能性Q，最終形成了全新的對(duì)于風(fēng)險(xiǎn)值R的風(fēng)險(xiǎn)評(píng)估計(jì)算公式，并且在A的公式中加入對(duì)于n的數(shù)值規(guī)律[2]。

通過上述算法對(duì)微博服務(wù)中可能存在的風(fēng)險(xiǎn)進(jìn)行計(jì)算，講得出的相關(guān)數(shù)值生成對(duì)應(yīng)的風(fēng)險(xiǎn)值報(bào)告，并且對(duì)風(fēng)險(xiǎn)值進(jìn)行模糊化處理，形成流程中的最終評(píng)估報(bào)告，保存評(píng)估的相關(guān)信息，以備下次評(píng)估時(shí)參考使用。

（3） 風(fēng)險(xiǎn)漏洞的確定

通過對(duì)風(fēng)險(xiǎn)評(píng)估流程的制定以及對(duì)風(fēng)險(xiǎn)評(píng)估算法運(yùn)算后，就要根據(jù)風(fēng)險(xiǎn)值對(duì)維保服務(wù)中的風(fēng)險(xiǎn)漏洞進(jìn)行確定，由上文可知，Web服務(wù)漏洞可以分為兩大類型，第一大類是Web服務(wù)的常見漏洞，第二大類是Web服務(wù)的特有漏洞。Web服務(wù)常見的漏洞可以使用相關(guān)工具對(duì)漏洞進(jìn)行掃描，但是Web服務(wù)中特有的漏洞無法使用普通的掃描工具識(shí)別，因此在流程制定中往往會(huì)通過X-Scan掃描工具和調(diào)差問卷兩種方式，達(dá)到雙管齊下的目的。問卷調(diào)查往往會(huì)通過相關(guān)人員對(duì)于Web服務(wù)的多種使用規(guī)范的執(zhí)行情況，進(jìn)行細(xì)致評(píng)估，分析可能出現(xiàn)的特有漏洞，根據(jù)相關(guān)標(biāo)準(zhǔn)細(xì)則，完整的問卷調(diào)查應(yīng)該分為七個(gè)部分對(duì)應(yīng)七個(gè)不同的安全原則，分別是認(rèn)證、授權(quán)、不可否認(rèn)、機(jī)密、可用、機(jī)密、完整，這七個(gè)原則較為全面的覆蓋了微博服務(wù)中可能會(huì)遇到的安全問題[3]。再通過三個(gè)角度設(shè)置問題，三個(gè)角度包括技術(shù)、安全基礎(chǔ)、經(jīng)驗(yàn)總結(jié)，所謂技術(shù)既是對(duì)Web服務(wù)所采用的安全技術(shù)進(jìn)行提問，而安全基礎(chǔ)則是為了了解微博服務(wù)中石油擁有SOAP和XML的相關(guān)的加密認(rèn)證授權(quán)等，再參考之前評(píng)估中出現(xiàn)的特殊漏洞的情況是否出現(xiàn)。隨著Web服務(wù)的不斷發(fā)展，從頁(yè)面到程序的轉(zhuǎn)變，使得Web服務(wù)更加開放，但也提高了Web服務(wù)中可能有潛藏風(fēng)險(xiǎn)的幾率。聽過漏洞掃描和問卷調(diào)查這兩種形式更夠更加合理的確定Web服務(wù)的風(fēng)險(xiǎn)。

4 Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估輔助工具的設(shè)計(jì)

（1） 總體架構(gòu)的設(shè)計(jì)

Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)的設(shè)計(jì)能夠幫助風(fēng)險(xiǎn)評(píng)估系統(tǒng)能夠有條理的完成評(píng)估工作，并且從根本上提高風(fēng)險(xiǎn)評(píng)估的工作效率，得出客觀爭(zhēng)取的結(jié)論。風(fēng)險(xiǎn)評(píng)估的輔助工具主要分為對(duì)安全管理、系統(tǒng)軟件以及系統(tǒng)風(fēng)險(xiǎn)這三種不同方面的評(píng)估輔助軟件。其中安全按管理評(píng)價(jià)工具是側(cè)重于評(píng)估Web服務(wù)的安全管理方面，最終根據(jù)評(píng)估情況給出相應(yīng)的解決辦法或者控制對(duì)策。系統(tǒng)軟件評(píng)估工具側(cè)重的是對(duì)系統(tǒng)軟件硬件中存在的安全漏洞進(jìn)行掃描分析，查找這些漏洞是否可能遭受到襲擊，確定系統(tǒng)中的薄弱點(diǎn)，在薄弱點(diǎn)出建立相應(yīng)的安全防護(hù)墻，此類評(píng)估工具中還會(huì)包括相應(yīng)的漏洞掃描和滲透相關(guān)的測(cè)試工具。風(fēng)險(xiǎn)評(píng)估輔助工具在Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估中最為常見，此類輔助工具對(duì)Web服務(wù)中存在漏洞進(jìn)行收集，建立監(jiān)測(cè)評(píng)估所需的數(shù)據(jù)知識(shí)庫(kù)，只有通過數(shù)據(jù)知識(shí)庫(kù)的支撐，工具才能對(duì)風(fēng)險(xiǎn)進(jìn)行合理的評(píng)估。

常見的輔助工具總體架構(gòu)主要由三個(gè)模塊組成，分別是數(shù)據(jù)庫(kù)模塊、評(píng)估模塊、評(píng)估處理模塊，其中評(píng)估模塊是輔助工具最重要的功能，評(píng)估模塊主要包括六個(gè)功能，利用不同功能之間的相互合作進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。這種能夠架構(gòu)的設(shè)計(jì)可以讓風(fēng)險(xiǎn)評(píng)估任務(wù)即停即開，還可以選擇詳細(xì)評(píng)估和快速評(píng)估，滿足不同客戶對(duì)系統(tǒng)評(píng)估的不同需求。輔助工具可以將評(píng)估結(jié)果通過不同的形式表現(xiàn)出來，并且通過輔助工具將評(píng)估過程完整的展現(xiàn)給相關(guān)人員，幫助技術(shù)人員結(jié)合過程和評(píng)估結(jié)果，得出更加完善的解決方式，保存評(píng)估信息，為以后的風(fēng)險(xiǎn)評(píng)估作參考。在評(píng)估模塊系統(tǒng)采用多種方式結(jié)合的方法對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行評(píng)估，不在使用單一的定性定量結(jié)合法，還包括了故障樹、層次分析等綜合評(píng)估方法，保證評(píng)估結(jié)果更加客觀全面[4]。

（2） 數(shù)據(jù)庫(kù)的設(shè)計(jì)

上文中提高了數(shù)據(jù)庫(kù)對(duì)于風(fēng)險(xiǎn)評(píng)估系統(tǒng)的重要性，由于Web服務(wù)中存在漏洞種類較多、復(fù)雜性較強(qiáng)，建立完善的數(shù)據(jù)庫(kù)系統(tǒng)，才能夠保證風(fēng)險(xiǎn)評(píng)估系統(tǒng)的運(yùn)行，數(shù)據(jù)庫(kù)不需要過于復(fù)雜的結(jié)構(gòu)，本文選取的為Access數(shù)據(jù)庫(kù)，Access數(shù)據(jù)庫(kù)的適應(yīng)能力較強(qiáng)，更適合中小型的系統(tǒng)規(guī)模使用。將數(shù)據(jù)庫(kù)分為八個(gè)大表，分別為評(píng)估系統(tǒng)表、掃描結(jié)果表、漏洞值表、服務(wù)安全因素表、評(píng)估問卷表、問卷答案表和結(jié)果表以及最重要的評(píng)估結(jié)果表[5]。八個(gè)表涵蓋了輔助評(píng)估工具運(yùn)行過程中所有運(yùn)用到的數(shù)據(jù)。其中漏洞值表實(shí)際上是對(duì)掃描結(jié)果的進(jìn)一步分析，涵蓋了系統(tǒng)中所有存在的漏洞，將不同的漏洞使用數(shù)字進(jìn)行標(biāo)識(shí)，再通過風(fēng)險(xiǎn)系統(tǒng)的算法的出相應(yīng)的漏洞級(jí)別。服務(wù)安全要素表則是對(duì)Web服務(wù)特有的安全問題的分類，區(qū)別去評(píng)估問卷表，安全要素表中的安全問題所對(duì)應(yīng)的是問卷中多個(gè)評(píng)估問題。有一部分的輔助工具中的數(shù)據(jù)庫(kù)還包括了評(píng)估方法表的列舉。數(shù)據(jù)庫(kù)新技術(shù)最為管理信息資源最有效重要的手段，數(shù)據(jù)庫(kù)內(nèi)容的完整程度直接決定了風(fēng)險(xiǎn)評(píng)估系統(tǒng)的整體工作情況，因此數(shù)據(jù)庫(kù)設(shè)計(jì)師系統(tǒng)整體模塊設(shè)計(jì)最為重要的部分。

（3） 其他模塊的設(shè)計(jì)

評(píng)估主模塊包括評(píng)估技術(shù)人員的登錄、評(píng)估任務(wù)的信息填寫、掃描漏洞工具的建立、對(duì)漏洞風(fēng)險(xiǎn)值模糊處理等多個(gè)模塊。其中風(fēng)險(xiǎn)值模糊處理是系統(tǒng)設(shè)計(jì)的次重點(diǎn)，通過風(fēng)險(xiǎn)計(jì)算模型算法中得到的風(fēng)險(xiǎn)值R，風(fēng)險(xiǎn)值的計(jì)算中并沒有包括對(duì)于評(píng)估程度主觀性的考慮，就需要引入模糊數(shù)來處理，通過模糊數(shù)的引入，處理風(fēng)險(xiǎn)值，能夠保證對(duì)評(píng)估對(duì)象的可觀性處理，進(jìn)一步的保證風(fēng)險(xiǎn)值的客觀正確性。除此之外評(píng)估結(jié)果處理模塊中還有對(duì)于評(píng)估報(bào)告的生成，從技術(shù)人員登錄的路開始，生成的評(píng)估報(bào)告要包括評(píng)估的詳細(xì)信息。目前國(guó)家信息管理評(píng)估產(chǎn)業(yè)的市場(chǎng)上有很多優(yōu)秀的評(píng)估輔助工具，最大程度地保證了國(guó)家Web服務(wù)的良好發(fā)展，但是技術(shù)人員還要不斷地研究發(fā)展更加完善的輔助工具，使得風(fēng)險(xiǎn)評(píng)估的功能進(jìn)一步的提高，才能夠真正實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估在Web服務(wù)中的作用。

5 總結(jié)

Web安全日益引起人們的重視，市場(chǎng)上針對(duì)Web安全風(fēng)險(xiǎn)評(píng)估的相關(guān)工具也越來越多，但是部分評(píng)估工具還存在很多的漏洞，需要技術(shù)人員深入研究Web服務(wù)安全風(fēng)險(xiǎn)評(píng)估的流程和算法，不斷完善輔助工具的數(shù)據(jù)庫(kù)設(shè)計(jì)，通過對(duì)Web評(píng)估功能的完善，加強(qiáng)相關(guān)工具的科學(xué)實(shí)用性，進(jìn)而滿足用戶的需求，并且從根本上保證Web服務(wù)的安全。

參考文獻(xiàn)：

[1] 雷敏，劉曉明，張鴻，王勉，楊榆. 面向Web信息系統(tǒng)安全威脅和風(fēng)險(xiǎn)評(píng)估分析[J]. 北京郵電大學(xué)學(xué)報(bào)，2016，39（S1）：87-93.

[2] 項(xiàng)文新. 基于信息安全風(fēng)險(xiǎn)評(píng)估的檔案信息安全保障體系構(gòu)架與構(gòu)建流程[J]. 檔案學(xué)通訊，2012（2）：87-90.

[3] 郭創(chuàng)新，陸海波，俞斌，馬韜韜. 電力二次系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估研究綜述[J]. 電網(wǎng)技術(shù)，2013，37（1）：112-118.

[4] 劉剛. 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、控制和預(yù)測(cè)技術(shù)研究[D].南京理工大學(xué)，2014.

[5] 張秋瑾. 云計(jì)算隱私安全風(fēng)險(xiǎn)評(píng)估[D].云南大學(xué)，2015.endprint