希賽小編為考生整理了2022年信息安全工程師考試知識點(diǎn)（二十四）：Web安全，希望對大家備考信息安全工程師考試會(huì)有幫助。

Web安全

【考法分析】

本知識點(diǎn)主要是對Web安全相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．Web 安全威脅：從其來源說Web 威脅還可以分為內(nèi)部攻擊和外部攻擊兩類。前者主要來自信任網(wǎng)絡(luò)，可能是用戶執(zhí)行了未授權(quán)訪問或是無意中定制了惡意攻擊；后者主要是由于網(wǎng)絡(luò)漏洞被利用或者用戶受到惡意程序制定者的專一攻擊。

2．最具危險(xiǎn)性的Web 威脅：① 可信任站點(diǎn)的漏洞；② 瀏覽器和瀏覽器插件的漏洞；③終端用戶；④ 可移動(dòng)的存儲設(shè)備；⑤ 網(wǎng)絡(luò)釣魚；⑥ 僵尸網(wǎng)絡(luò)；⑦ 鍵盤記錄程序；⑧ 多重攻擊；以上這些威脅并不代表全部。

3．Web 訪問控制技術(shù)：訪問控制是Web 站點(diǎn)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法訪問者訪問。訪問Web 站點(diǎn)要進(jìn)行用戶名、用戶口令的識別與驗(yàn)證、用戶賬號的缺省限制檢查。只要其中任何一關(guān)未過，該用戶便不能進(jìn)人某站點(diǎn)進(jìn)行訪問。

4．Web 服務(wù)器一般提供了如下三種類型的訪問控制方法。

① 通過IP地址、子網(wǎng)或域名來進(jìn)行控制；

② 通過用戶名/口令來進(jìn)行訪問控制；

③ 通過公鑰加密體系PKI-智能認(rèn)證卡來進(jìn)行訪問控制。

5．單點(diǎn)登錄技術(shù)：單點(diǎn)登錄系統(tǒng)的目的就是為這樣的應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證，實(shí)現(xiàn)"一點(diǎn)登錄、多點(diǎn)漫游"的目標(biāo)，方便用戶使用。

6．單點(diǎn)登錄系統(tǒng)采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù)，基于統(tǒng)一的策略的用戶身份認(rèn)證和授權(quán)控制功能，從而實(shí)現(xiàn)"一點(diǎn)登錄、多點(diǎn)漫游"。但是在實(shí)際應(yīng)用中，一些理論上不錯(cuò)的方案卻在實(shí)際中無法實(shí)現(xiàn)，這里總結(jié)三個(gè)主要的方面：計(jì)算環(huán)境相關(guān)的問題；組織結(jié)構(gòu)的問題和電子身份認(rèn)證方法的問題。

7．幾種常用的單點(diǎn)登錄模型：

① 基于網(wǎng)關(guān)的SSO 模型；

② 基于驗(yàn)證代理的SSO 模型；

③ 基于Kerberos 的sso 模型。

8．常見的網(wǎng)頁防篡改技術(shù)有以下三種:

① 時(shí)間輪詢技術(shù)：時(shí)間輪詢技術(shù)是利用一個(gè)兩頁檢測程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁，與真實(shí)網(wǎng)頁相比較，來判斷網(wǎng)頁內(nèi)容的完整性，對于被篡改的網(wǎng)頁進(jìn)行報(bào)警和恢復(fù)。

② 核心內(nèi)嵌技術(shù)+事件觸發(fā)技術(shù)：所謂事件觸發(fā)技術(shù)就是利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動(dòng)程序接口，在網(wǎng)頁文件的被修改時(shí)進(jìn)行合法性檢查，對于非法操作進(jìn)仔報(bào)警和恢復(fù)。

所謂核心內(nèi)嵌技術(shù)即密碼水印技術(shù)。該技術(shù)將篡改檢測模塊內(nèi)嵌在Web 服務(wù)器軟件里，它在每一個(gè)網(wǎng)頁流出時(shí)都進(jìn)行完整性檢查，對于篡改網(wǎng)頁進(jìn)行實(shí)時(shí)訪問阻斷，井予以報(bào)警和恢復(fù)。

③ 文件過濾驅(qū)動(dòng)技術(shù)十事件觸發(fā)技術(shù)：其原理是將篡改監(jiān)測的核心程序通過微軟文件底層驅(qū)動(dòng)技術(shù)應(yīng)用到Web 服務(wù)器中，通過事件觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測，對文件夾的所有文件內(nèi)容，對照其底層文件屬性，經(jīng)過內(nèi)置散列快速算法，實(shí)時(shí)進(jìn)行監(jiān)測，若發(fā)現(xiàn)屬性變更，通過非協(xié)議方式，純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測文件夾相應(yīng)文件位置，通過底層文件驅(qū)動(dòng)技術(shù)，整個(gè)文件復(fù)制過程毫秒級，使得公眾無法看到被篡改頁面，其運(yùn)行性能和檢測實(shí)時(shí)性都達(dá)到較高的水準(zhǔn)。

9．內(nèi)容安全管理技術(shù)可以細(xì)分為電子郵件過濾、網(wǎng)頁過濾、反間諜軟件三大技術(shù)。針對反間諜軟件危害性，應(yīng)從三方面加以防范。一是預(yù)防，二是設(shè)置障礙，三是殺毒。

【備考點(diǎn)撥】

了解并理解相關(guān)知識點(diǎn)內(nèi)容。