保证WEB站点安全评估成功的四个关键因素

　　如今，针对WEB应用的安全威胁越来越多。这些安全威胁有些是利用WEB站点所在的服务器系统漏洞，有些是利用WEB应用程序本身的漏洞，有些是利用数据库的漏洞来进行攻击的。因此，使用一些方法和工具，对整个WEB站点进行详细的安全评估，找出目前WEB服务器系统、WEB应用程序及数据库中存在的弱点，才有可能将安全威胁抹杀在最初状态。

　　在对WEB站点进行安全评估之前，还必需满足四个最关键的因素，它们是安全评估人员、评估工具、评估方法和评估对象。

　　1、安全评估人员

　　安全评估人员，应当包括WEB站点的领导、管理员及安全评估实施人员。安全评估实施人员的技术和经验，以及工作态度一定程度上决定了评估的效果和可信性。

　　安全评估人员通常由WEB站点的领导指定，领导主要负责协调所有评估人员的相互工作，解决评估过程中遇到的疑难问题，以组织大家确定评估策略、工具、方法和评估内容。而评估人员就是进行WEB站点安全评估的具体实施人员，他们完成所有安全评估任务，并给出评估报告和修复建议。

　　2、 安全评估工具

　　三分技术，七分工具。要想高效率地完成对WEB站点的安全评估任何，在开始之前为其准备恰当的安全评估工具总是应该的。

　　安全评估工具应当根据所要评估的具体对象来选择，不同的评估对象，所使用的评估工具并不完全相同的。

　　另外，在选择安全评估工具时，还要仔细了解评估工具本身的功能和适合范围等特性。这是因为有些安全评估工具只是针对某种服务或软件，而有些是针对整个主机或网络的;有些安全评估工具只能在某种操作系统平台下运行，例如Windows XP系统或Linux系统，而有些安全评估工具却能在许多流行的操作系统平台下运行;一些安全评估工具是软件方式的，还有一些是以独立的硬件方式存的;有些安全软件是免费的，而有一些是商业的。

　　因此，我们在选择WEB站点的安全评估工具时，必需根据此次具体的评估对象，以及WEB站点的具体情况，例如操作系统的类型，来选择恰当的安全评估工具。

　　现在，市面上已经有许多功能强大的免费的评估工具可以供我们选择，这些工具有：Nessus、Nikto、N-Stealth、X-scan3.3、WebInject1.41和Acunetix WVS Free Edition，以及一款功能全面且性能强大的商业安全扫描软件ISS Internet Scanner等。

　　3、 安全评估方法

　　安全评估方法就是具体的安全评估实施方式，在每一次安全评估任务开始之前，我们必需根据安全评估的内容，来确定通过哪些方法来评估它们。

　　对于WEB站点安全评估来说，目前主要有下列五种评估方式：

　　(1)、由外向内测试

　　这种安全评估方式就是以攻击者的角度从WEB站点所在网络结构中的外部，对它进行安全扫描工作。以此来检测WEB站点防范来自互联网远程攻击的能力。此种测试方式可以使用上述评估工具中的N-stealth、X-Scan和WebInject等工具来进行。

　　(2)、由内向外测试

　　由内向外的安全检测方式是指从WEB站点所在网络结构的内部，对它进行安全扫描工作。这种安全检测方式主要用来检验WEB站点对来自内部的攻击防范能力，以及检测对用户权限分配情况和内部数据传输过程中的安全性。此时可使用一些操作系统内部网络命令，例如Netstat，以及Hping和Nikto、X-scan、Nmap、Acunetix WVS Free Edition等工具。

　　(3)、模拟攻击测试

　　模拟攻击测试是指在实际的测试过程中并不对WEB站点所在服务器系统及WEB应用程序、网络设备进行真正的攻击事件。这种测试方式并不会对WEB站点的性能产生影响，平时大部分的安全评估工作应当使用模拟攻击的测试方式。

　　(4)、真实攻击测试

　　当使用模拟攻击测试不能真正检验到网站的安全状况时，就可以使用真实的攻击测试。由于攻击是真实的，因此会对WEB站点的性能造成影响，因而这种方式最好在WEB开发的实验阶段，以及没有WEB业务的时候进行。现在有很多的网站都会请一些专门的黑客来对自己的站点进行真实的攻击，以便最大程度地检测出WEB站点中存在的安全漏洞问题。

　　(5)、社会工程攻击测试

　　有许多人认为社会工程只是攻击者用来进行攻击的一种手段，却不知它也是一种很好的检测企业内部员工及站点管理员反社会工程攻击能力强度的评测工具。你可以通过电话、手机短信及电子邮件的方式对评测的人员进行与攻击相同的社会工程攻击，同样，你还可以通过直接接触被评测者的方式进行。但要注意的是，如果你是企业内部熟习的人员，在使用社会工程进行安全评估时，最好让可信的第三方来进行，这样达到的效果和可信度是最好的。

　　4、 安全评估的对象

　　评估对象是指评估过程中具体的评估实施目标，包括WEB服务器主机操作系统、WEB

　　应用程序框架、数据库系统及网络基础设施等。

　　确定安全评估的对象后，还必需将具体对象中的具体评估内容也确定下来，并将所涉及

　　的评估内容一一列出，制定一个具体的评估内容表。这样，在具体评估工作开始后，就可以按评估内容表中的项目一一进行评估了。

　　上述这四个因素是WEB站点安全评估工作中缺一不可的，缺少任何一个或任何一个出现问题，都会使整个评估工作中断或使评估结果不可信。

　　还有就是评估工具的使用并不一定得一次只使用一种工具，我们可以根据要评估的对象和评估的内容进行组合应用。毕竟，就像雪源梅香在安全评估工具一项中描述的，有时一种工具只在某一个方面比较有效，而且，评估软件还存在误报和漏报的问题，组合使用不同的评估工具，再加上评估人员自己的经验判断，就能将评估结果的有效性提高到较高的水平。