随着Internet的发展,网站安全问题日益严重,引起了全社会的广泛关注,而网站安全风险评估则在网站安全建设过程中具有重要的地位。 本文首先介绍了网站安全的定义、目标和国内外风险评估的研究现状;然后对信息安全风险评估的基本概念和理论进行了阐述.同时简要介绍了国际风险评估标准的发展现状,并详细阐述了通用准则CC (Common Criteria),在将CC和其他风险评估标准进行比较分析的基础上,发现CC标准可以根据具体的系统作定制开发,比较适合网站风险评估;接下来,本文结合CC标准下制定的Web Server Protection Profile,分析了Web网站的安全需求;随后,本文通过借鉴相关的风险评估标准和模型,以及CC的Web Server ProtectionProfile,提出网站风险评估模型,确定网站的资产、威胁和脆弱性的识别方法和评价准则,并构造出半定量的风险分析方法,最终制定风险等级判定准则:最后,通过一个实例来验证本文所提出的基于模型的半定量风险分析方法的实用性。通过实例证实该方法能够反映网站实际存在的可能风险及其相对危害程度,对于网站安全建设具有一定参考价值.
展开▼