Web系统的风险等级评估

在实现了对Web信息系统的安全扫描后，便可根据扫描结果，对Web信息系统的安全性能进行评估，从而给出Web信息系统的风险状况。这里，风险评估的依据是根据扫描结果，根据Web信息系统所具有的漏洞数目及漏洞的危害程度，将Web信息系统的安全状态进行分级。

划分的风险评估级别如下：

1.A级：扫描结果显示没有漏洞，但这并不表明系统没有漏洞，因为有许多漏洞是尚未发现的，我们只能针对已知的漏洞进行测试。

2.B级：具有一些泄漏服务器版本信息之类的不是很重要内容的漏洞，或者提供容易造成被攻击的服务，如允许匿名登录，这种服务可能会造成许多其它漏洞。

3.C级：具有危害级别较小的一些漏洞，如可以验证某账号的存在，可以造成列出一些页面目录、文件目录等，不会造成严重后果的漏洞。

4.D级：具有一般的危害程度的漏洞。如拒绝服务漏洞，造成Web信息系统不能正常工作；可以让黑客获得重要文件的访问权的漏洞等。

5.E级：具有严重危害程度的漏洞。如存在缓冲区溢出漏洞，存在木马后门，存在可以让黑客获得根用户权限或根用户的shell漏洞，根目录被设置一般用户可写等一些后果非常严重的漏洞。

另外，我们需要强调的是：漏洞的产生主要源于Web信息系统的不正当配置以及其提供的服务自身的弱点。前面我们详细介绍了如何使用漏洞扫描来进行风险评估。其实还有一个非常重要的问题我们不能忽略，那就是需要检测Web信息系统到底提供了哪些服务，因为它直接关系到系统的漏洞的产生以及危害。一方面，Web信息系统为用户提供了多种优质的网络服务，包括Http、Ftp、Smtp、Pop3等；另一方面，服务的增多意味着更多的风险。每种服务本身都必然存在着某些缺陷，而这些缺陷很有可能被高明的黑客利用来对系统进行攻击。所以，提供特定服务的服务器应该尽可能开放提供服务必不可少的端口，而将与服务器服务无关的服务关闭，比如：一台作为www和ftp服务器的机器，应该只开放80和25端口，而将其他无关的服务如关掉，以减少系统漏洞。

因此，我们需要针对Web系统的实际用途使用相关的工具来对系统开放的网络服务及其端口等进行有效地检测和适时的处理，以及时关闭那些不必需要的服务和端口，以免为黑客和不法用户利用，从而侵入信息系统。显然，这是一项非常艰巨和长期的工作，管理者们需要在技术和管理两个层面上投入相当的物力和财力，从而保证Web信息系统的安全性。