超级会员免费看
网络应用安全风险评估与典型电商应用案例解析
1. 网络应用风险管理基础
在网络应用的环境中,并非所有风险都能被完全缓解。由于存在各种约束条件,有些风险不得不被接受。比如,缓解风险的成本可能过高,甚至超过了不处理风险所带来的损失;第三方的限制也可能导致某些风险难以缓解;此外,缓解风险可能需要关键系统停机,无法快速实现。通常,组织会优先处理高、中影响的威胁,而低影响威胁可能会被推迟处理或不做处理。
2. 现有网络应用的风险评估
对于已开发和部署的网络应用,如果之前未考虑风险评估和缓解策略,如今需要对风险评估阶段的子流程进行微调,以确保评估的有效性和全面性。其中,需要添加的关键流程是漏洞评估,该流程位于系统特征化之后、威胁分析之前。
- 漏洞评估的操作方法
- 使用工具 :包括Web应用漏洞扫描器、Web应用代理、爬虫工具等。
- 手动审查 :如访问控制审查、加密实现审查和安全代码审查。
通过这些方法,全面评估现有应用中存在的漏洞,并将其用于威胁建模阶段,进而确定安全功能。以下是现有网络应用风险评估的流程:
graph LR
A[系统特征化] --> B[漏洞评估]
B --> C[威胁分析]
C --> D[风险缓解策略]
3. 典型电商应用的风险评估——以Panthera为例
3.1 系统特征化:识别关键信息资产
识别
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
