网站安全测评服务的安全评估研究
本文选题:网站安全 + 安全测评 ; 参考:《北京邮电大学》2017年硕士论文
【摘要】:网站安全测评是一种新兴的第三方服务,可以提供信息安全评估,帮助企业及时发现网站存在的安全漏洞和威胁,提供隐私和数据保护等。然而,有些网站安全测评服务留有“后门”,嵌入了非测评的商业服务,泄露了用户信息,引入了新的安全问题。针对网站安全测评服务本身存在的安全问题,本文开展的研究工作如下:(1)研究了主流的网站安全测评服务,并具体分析其测评内容、方法和过程等。(2)提出了网站安全测评服务中可能存在的信息安全问题,重点针对服务对象安全(网站安全)、测评工具安全、服务过程安全、服务人员安全四方面总结其信息安全问题,并根据这些信息安全问题列出了网站安全测评服务应满足的安全要求和原则。(3)设计了一种面向网站安全测评服务的信息安全度量模型。该模型中,本文针对网站安全测评服务可能存在的安全问题,提出了面向网站安全测评服务的安全度量指标体系,该体系包含70个左右的安全度量指标,具有全面性和具体性。该模型采用对偶加权法来确定各度量指标的权重,最终使用模糊综合评估法结合专家可信度加权法来对网站安全测评服务进行安全评估。该模型将定性的安全评价转为定量评分,有效地降低了专家的主观性及其评价的不确定性。(4)设计并实现了面向网站安全测评服务的专家安全评估软件。该软件将专家的安全评价使用上述模型来对网站安全测评服务进行综合安全评估,现已被采用。本文采用不同数目的度量指标进行安全评估仿真实验,仿真结果表明,该安全度量指标体系具有全面性,可以在不同的环境下较好地覆盖关键指标。然后,本文采用该安全评估软件对32家网站安全测评服务进行安全评估,实验结果显示,仍有25%的测评服务处于安全隐患较高的状态,对测评服务进行安全评估是迫切和必要的。本文的研究不仅可以使用户、网站和政府意识到对网站安全测评服务进行安全评估的重要性,而且对政府评估认证这些第三方服务的信息安全有一定的指导意义。
[Abstract]:Website security evaluation is a new kind of third party service, which can provide information security evaluation, help enterprises to discover the security vulnerabilities and threats, provide privacy and data protection and so on. However, some website security evaluation services have "backdoor", embedded non-evaluation business services, leaked user information, and introduced new security issues. In view of the security problems existing in the website security evaluation service itself, the research work in this paper is as follows: 1) the mainstream website security assessment service is studied, and its evaluation content is analyzed concretely. Methods and procedures, etc.) this paper puts forward the possible information security problems in the website security assessment service, focusing on the security of the service object (website security, evaluation tool security, service process security). Four aspects of the security of service personnel summarized their information security issues, According to these information security problems, this paper lists the security requirements and principles that should be met by the website security assessment service, and designs a kind of information security measurement model for the website security evaluation service. In this model, aiming at the possible security problems of website security evaluation service, this paper puts forward a security measurement index system for website security evaluation service. The system includes about 70 security metrics, which is comprehensive and concrete. The model uses dual weighting method to determine the weights of each metric, and finally uses the fuzzy comprehensive evaluation method combined with the expert credibility weighting method to evaluate the security of the website security evaluation service. The model converts the qualitative security evaluation into the quantitative evaluation, effectively reduces the subjectivity of the experts and the uncertainty of the evaluation. It designs and implements the expert security assessment software for the website security evaluation service. The software uses the above model to evaluate the security of the web site. The simulation results show that the security metric system is comprehensive and can cover the key indexes in different environments. Then, this paper uses the security assessment software to evaluate the security of 32 websites. The experimental results show that 25% of the evaluation services are still in the state of high security hidden danger. It is urgent and necessary to evaluate the safety of the evaluation service. The research in this paper can not only make users, websites and governments realize the importance of security assessment of website security assessment services, but also have certain guiding significance for government evaluation and certification of information security of these third-party services.
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2017
【分类号】:TP393.092
【相似文献】
相关期刊论文 前10条
1 熊平兴;;如何成功构建单位网站?[J];金融电子化;2002年12期
2 甘信建;;推进网站安全管理 四川管局开发建设全省网站分析系统[J];通信与信息技术;2008年02期
3 ;四川省普查政府网站安全状况[J];信息安全与通信保密;2009年03期
4 党军;;网站安全的威胁与防护[J];河南科技;2010年10期
5 方晓斌;杨凤琼;胡朝彬;盛永昆;;气象网站安全隐患及解决方法[J];计算机光盘软件与应用;2012年24期
6 于艳杰;;网站安全防范浅析[J];科技创新与应用;2013年16期
7 ;构建安全的企业网站[J];信息网络安全;2001年03期
8 张艳红;我国“政府网站”建设的问题与建议[J];中国信息导报;2002年05期
9 邓世忠;抚州气象网站的结构及实现[J];江西气象科技;2003年02期
10 朱飞;;小型网站的安全与维护[J];江苏航空;2003年03期
相关会议论文 前9条
1 李蒙;;气象信息网站安全隐患及防范[A];2006年华南地区学术交流会论文集[C];2006年
2 杨雪;;关于网站安全相关问题的探讨[A];安全生产与可持续发展论文选编[C];2004年
3 李蒙;金燕;;气象信息网站安全隐患及防范[A];中国气象学会2006年年会“卫星遥感技术进展及应用”分会场论文集[C];2006年
4 季民;;渗透测试在网站安全维护中的实践[A];中国新闻技术工作者联合会2013年学术年会、五届五次理事会暨第六届“王选新闻科学技术奖”和优秀论文奖颁奖大会论文集(广电篇)[C];2013年
5 夏钧;;上海财税网站总体设计框架[A];全国计算机网络应用年会论文集(2001)[C];2001年
6 王笑天;王鹤鹏;尚鸣石;;简论电子商务网站的安全控制[A];第二十七届中国(天津)2013IT、网络、信息技术、电子、仪器仪表创新学术会议论文集[C];2013年
7 张越;张硕文;邓卫杰;王欣欣;;中国省会城市政府门户网站测评分析[A];信息经济学与电子商务:第十三届中国信息经济学会学术年会论文集[C];2008年
8 罗勇;;asp.net在开发网站中存在的安全漏洞及防范措施[A];四川省通信学会2006年学术年会论文集(一)[C];2006年
9 冉敏;刘宝旭;;网站防黑客安全措施分析[A];第十届全国核电子学与核探测技术学术年会论文集[C];2000年
相关重要报纸文章 前10条
1 记者 甘信建;四川:“拉网式”检查政府网站安全[N];人民邮电;2009年
2 山东省泰安市泰山区人民医院 张秀英;实时阻止网站被篡改[N];计算机世界;2007年
3 本报记者 李好宇 熊雯琳;做一个网站要多少钱?[N];电脑报;2010年
4 编译 沈建苗;雅虎网站安全被质疑[N];计算机世界;2013年
5 《网络世界》记者 董培欣;强强联手 打造网站云安全[N];网络世界;2013年
6 记者 陈雁;市府部署政府网站集约化建设[N];邯郸日报;2014年
7 吴绍辉 么志洁;内蒙古:电信业网站正式开通[N];人民邮电;2006年
8 ;吉林永吉县政府网站现雷人语 工作人员称被黑已报案[N];中国县域经济报;2010年
9 启明星辰总工程师 万卿;难以被察觉的网站风险[N];中国计算机报;2008年
10 本报记者 姜姝;导购网站遭伏击 如何化险为夷[N];中国电脑教育报;2013年
相关博士学位论文 前2条
1 陈美;中国政府网站服务体系重构研究[D];武汉大学;2015年
2 陈传红;网站制度管控对消费者信任的影响研究[D];华中科技大学;2013年
相关硕士学位论文 前10条
1 彭丽;网站安全测评服务的安全评估研究[D];北京邮电大学;2017年
2 曹博;轻工职业技术学院网站的设计与实现[D];天津大学;2013年
3 李博博;基于.NET的网站安全研究[D];西安工业大学;2015年
4 葛伟;基于DEA和外部认可的中文军事网站效率评价[D];南昌大学;2015年
5 刘殿岫;面向下一代互联网的科技部门户网站升级改造方案的设计与实现[D];北京工业大学;2015年
6 徐肖肖;基于Web的代谢组学数据库软件设计与实现[D];济南大学;2015年
7 张超;WEB网站安全检测系统设计与实现[D];东南大学;2015年
8 吕莎莎;基于ASP.NET的“红色网站”系统的设计与开发[D];中国海洋大学;2014年
9 桂虹;公众使用政府网站的影响因素研究[D];安徽大学;2016年
10 史保华;基于应用网关的网站防篡改系统设计与实现[D];中国科学院大学(工程管理与信息技术学院);2016年
,本文编号:1819459
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1819459.html
