面向Web信息系统安全威胁和风险评估分析

doi:10.13190/j.jbupt.2016.s.020

北京邮电大学学报 ›› 2016, Vol. 39 ›› Issue (s1): 87-93.doi: 10.13190/j.jbupt.2016.s.020

面向Web信息系统安全威胁和风险评估分析

雷敏^1,2, 刘晓明³, 张鸿³, 王勉^1,2, 杨榆^1,2

1. 北京邮电大学信息安全中心, 北京 100876;
2. 灾备技术国家工程实验室, 北京 100876;
3. 国家计算机网络应急技术处理协调中心, 北京 100029

收稿日期:2015-08-20 出版日期:2016-06-28 发布日期:2016-06-28
作者简介:雷敏(1979-),男,博士,讲师,E-mail:zymcliu@foxmail.com.
基金资助:
国家科技支撑计划课题（2015BAH08F02）

Research on Security Threats and Risk Assessment of Web Information System

LEI Min^1,2, LIU Xiao-ming³, ZHANG Hong³, WANG Mian^1,2, YANG Yu^1,2

1. Information Security Center, Beijing University of Posts and Telecommunications, Beijing 100876, China;
2. National Engineering Laboratory for Disaster Backup and Recovery, Beijing 100876, China;
3. National Computer Network Emergency Response Technical Team/Coordination Center of China, Beijing 100029, China

Received:2015-08-20 Online:2016-06-28 Published:2016-06-28

摘要/Abstract

摘要：

将Web信息系统所面临的安全威胁按照威胁所属的类型进行分类，并根据每种威胁的危害程度、发生的概率以及威胁发生后采取措施进行补救的概率等方面对这些威胁进行分级，用模糊综合评价法，构建了一个安全分析的模型，并提出一个通用的Web信息系统安全的分析框架，对Web信息系统进行安全评估分析.

关键词: Web信息系统, 安全评估, 风险评估, 模糊综合评价法

Abstract:

An increasing numbers of web information systems are deployed on the Internet to provide service, however, the web information system is facing various security threats, from physical security on bottom layer to communications and operations management, system security, application security and data security. The article gave out classifications of security threats faced by type of threats in web applications and set up grade for each threat according to its extent of danger, probability of occurrence and remediation. The article also uses fuzzy comprehensive evaluation to build a security analysis model aiming at constructing common analysis framework for web information system security assessment.

Key words: web information system, security assessment, risk assessment, fuzzy comprehensive evaluation

中图分类号:

TN919

雷敏, 刘晓明, 张鸿, 王勉, 杨榆. 面向Web信息系统安全威胁和风险评估分析[J]. 北京邮电大学学报, 2016, 39(s1): 87-93.

LEI Min, LIU Xiao-ming, ZHANG Hong, WANG Mian, YANG Yu. Research on Security Threats and Risk Assessment of Web Information System[J]. JOURNAL OF BEIJING UNIVERSITY OF POSTS AND TELECOM, 2016, 39(s1): 87-93.

[1]	杨宏宇, 袁海航, 张良. 一种基于主机重要度的网络主机节点风险评估方法[J]. 北京邮电大学学报, 2022, 45(2): 16-21.
[2]	杨宏宇, 张乐, 张良. 一种基于风险传播的信息系统风险评估方法[J]. 北京邮电大学学报, 2021, 44(4): 41-48.
[3]	赵健, 王瑞, 李正民, 雷敏, 马敏耀. 物联网系统安全威胁和风险评估[J]. 北京邮电大学学报, 2017, 40(s1): 135-139.
[4]	张峰, 付俊, 杨光华, 景奕昕, 唐威. Web访问日志安全分析技术研究[J]. 北京邮电大学学报, 2014, 37(2): 93-98.
[5]	亓峰, 李琪, 韩骞, 杜益, 邱雪松. 基于神经网络的电力通信网风险评估方法[J]. 北京邮电大学学报, 2014, 37(1): 90-93.
[6]	葛海慧, 郑世慧, 陈天平, 杨义先. 信息安全威胁场景模糊风险评估方法[J]. 北京邮电大学学报, 2013, 36(6): 89-92,107.
[7]	钟尚勤徐国胜姚文斌杨义先. 基于主机安全组划分的网络安全性分析 [J]. 北京邮电大学学报, 2012, 35(1): 19-23.
[8]	吴焕潘林王晓箴许榕生. 应用不完整攻击图分析的风险评估模型[J]. 北京邮电大学学报, 2010, 33(3): 57-61.
[9]	陆峰;郑康锋;钮心忻;杨义先. 构建风险敏感的对等网安全信任模型[J]. 北京邮电大学学报, 2010, 33(1): 33-37.
[10]	吕镇邦;周　波. 基于Shapley熵和Choquet积分的层次化风险评估[J]. 北京邮电大学学报, 2009, 32(6): 83-87.
[11]	王晓箴1,2，卢志刚1,2，刘宝旭1. 结合OCTAVE和灰色系统的信息安全风险评估方法[J]. 北京邮电大学学报, 2009, 32(5): 128-131.
[12]	张平, 谷利泽, 杨义先. 灰色聚类评估模型在安全评估中的应用[J]. 北京邮电大学学报, 2006, 29(s2): 93-95.
[13]	彭俊好，徐国爱，杨义先，汤永利. 基于效用的安全风险度量模型[J]. 北京邮电大学学报, 2006, 29(2): 59-61.
[14]	闫强,舒华英,陈钟,段云所. 一种面向对象的信息系统安全评估方法[J]. 北京邮电大学学报, 2005, 28(4): 69-73.

面向Web信息系统安全威胁和风险评估分析

Research on Security Threats and Risk Assessment of Web Information System

PDF

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 14

编辑推荐

Metrics

本文评价