电话

    0411-39943997

仟亿科技
客服中心
  • 电话
  • 电话咨询:0411-39943997
  • 手机
  • 手机咨询:15840979770
    手机咨询:13889672791
网络营销 >更多
您现在的位置:首页 > 新闻中心 > 常见问题

Web系统风险等级分类

作者:billionnet 发布于:2013/1/18 11:35:49 点击量:

 

   网站制作中,会有各种各样的问题,网站漏洞是当前危害网络的最重要的一项,漏洞扫描器的出现为修补漏洞提供了好的条件,漏洞扫描仪的发展趋势是什么样的,对于漏洞的等级又是怎么区分的呢?

  漏洞扫描软件从最初的专门为UNIX系统编写的一些只具有简单功能的小程序,发展到现在,已经出现了多个运行在各种操作系统平台上、具有复杂功能的商业程序。今后的发展趋势主要有以下几点,可以根据实际Web信息系统风险评估的需求进行选用:

  1.使用插件或者叫功能模块技术。每个插件都封装一个或者多个漏洞的测试手段,主扫描程序通过调用插件的方法来执行。仅仅是添加新插件就可以使软件增加新功能,扫描更多漏洞。在插件编写规范公布的情况下,用户或者第三方公司甚至可以自己编写插件来扩充软件功能。同时这种技术使软件升级维护都变得简单,并具有非常强的扩展性。

 

 2.使用专用脚本语言。这其实就是一种更为高级的插件技术,用户可以使用专用脚本语言来扩充软件功能。这些脚本语言语法通常都比较简单易学,往往用十几行代码就可以定制成一个简单的测试,为软件添加新的测试项。脚本语言的使用,简化了编写新插件编程的工作,使扩充软件功能工作变得更加容易,也更加有趣。

  3.由漏洞扫描程序到安全评估专家系统。最早的漏洞扫描程序只是简单地把各个扫描测试项的执行结果排列出来,直接提供给测试者而不对信息进行任何分析处理。当前较成熟的扫描系统都能将对单个主机的扫描结果整理,形成出报表,能够对具体漏洞提出一些解决方法。不足之处是对网络的状况缺乏一个整体的评估,对网络安全没有系统的解决方案。未来的安全扫描系统,应该不但能够扫描安全漏洞,还能够智能化协助网络信息系统管理人员评估本网络的安全状况,给出安全建议,成为一个安全评估专家系统。

  在实现了对Web信息系统安全扫描之后,便可依据扫描结果,对Web信息系统的安全性能进行评估,从而给出Web信息系统的风险状况。风险评估的依据是根据扫描结果,根据Web信息系统所具有的漏洞数目及漏洞的危害程度,将Web信息系统的安全状态进行分级。 A级:扫描结果显示没有漏洞,但这并不表明系统没有漏洞,因为有许多漏洞是尚未发现的,我们只能针对已知的漏洞进行测试。

  B级:具有一些泄漏服务器版本信息之类的不是很重要内容的漏洞,或者提供容易造成被攻击的服务,如允许匿名登录,这种服务可能会造成许多其它漏洞。

  C级:具有危害级别较小的一些漏洞,如可以验证某账号的存在,可以造成列出一些页面目录、文件目录等,不会造成严重后果的漏洞。

  D级:具有一般的危害程度的漏洞。如拒绝服务漏洞,造成Web信息系统不能正常工作;可以让黑客获得重要文件的访问权的漏洞等。

  E级:具有严重危害程度的漏洞。如存在缓冲区溢出漏洞,存在木马后门,存在可以让黑客获得根用户权限或根用户的shell漏洞,根目录被设置一般用户可写等一些后果非常严重的漏洞。



分享到:


Copyright@ 2011-2016 版权所有:大连千亿科技有限公司 辽ICP备11013762-3号   google网站地图   百度网站地图   网站地图

公司地址:大连市沙河口区中山路692号辰熙星海国际2317 客服电话:0411-39943997 QQ:2088827823 37482752

法律声明:未经许可,任何模仿本站模板、转载本站内容等行为者,本站保留追究其法律责任的权利! 隐私权政策声明