Web应用安全的集成风险评估方法

针对Web应用的安全风险,提出模糊综合评价与信息熵相结合的集成风险评估方法。对于Web应用的技术维度,采用层次分析法确定评估指标的权重;为更好地反映安全漏洞的潜在风险,在多级模糊评价的过程中引入峰值评判的准则。对于Web应用的管理维度,采用信息熵挖掘评估指标的权重和专家意见的权重,获取专家群体的一致性评判意见。通过应用实例证明了评估方法的可行性和有效性。该集成评估方法吸收了当前网络安全众测的理念,体现了网络安全等级保护和信息安全体系建设的要求,有利于组织快速评估Web应用安全风险并进行持续的改进。

大数据环境下情报驱动的网络安全漏洞管理

研究大数据环境下情报在网络安全漏洞管理中的应用.分析组织进行网络安全漏洞管理的方法和相关的情报资源,指出当前存在不重视漏洞管理、不重视漏洞情报和忽视大数据特点的弊端.提出情报驱动的网络安全漏洞闭环管理机制,构建大数据环境下情报驱动的网络安全漏洞管理框架.校园网的应用实践表明,该框架是有效的,充分发挥了情报的作用和价值.

强化网络安全和安全情报意识,共筑网络安全防线--基于OWASP和CNCERT相关项目的分析

网络安全需要全社会的共同参与。文章分析了OWASP的安全意识Top 10项目和OWASP Top 10项目,阐明了个人层面网络安全意识和组织层面Web应用的薄弱环节。介绍了CNCERT我国互联网网络安全态势综述报告和CNVD原创漏洞证书项目,深入分析了网络安全态势、CNVD收录漏洞情况、网站被篡改情况等。研究发现应用安全、Web安全是当前网络安全防护的重中之重,建议社会公众强化网络安全意识,各行各业关注和利用网络安全情报,国家构建网络安全情报体系,全社会共筑网络安全防线。