希賽小編為考生整理了2022年信息安全工程師考試知識(shí)點(diǎn)（二十四）：Web安全，希望對(duì)大家備考信息安全工程師考試會(huì)有幫助。

Web安全

【考法分析】

本知識(shí)點(diǎn)主要是對(duì)Web安全相關(guān)內(nèi)容的考查。

【要點(diǎn)分析】

1．Web 安全威脅：從其來(lái)源說(shuō)Web 威脅還可以分為內(nèi)部攻擊和外部攻擊兩類。前者主要來(lái)自信任網(wǎng)絡(luò)，可能是用戶執(zhí)行了未授權(quán)訪問(wèn)或是無(wú)意中定制了惡意攻擊；后者主要是由于網(wǎng)絡(luò)漏洞被利用或者用戶受到惡意程序制定者的專一攻擊。

2．最具危險(xiǎn)性的Web 威脅：① 可信任站點(diǎn)的漏洞；② 瀏覽器和瀏覽器插件的漏洞；③終端用戶；④ 可移動(dòng)的存儲(chǔ)設(shè)備；⑤ 網(wǎng)絡(luò)釣魚；⑥ 僵尸網(wǎng)絡(luò)；⑦ 鍵盤記錄程序；⑧ 多重攻擊；以上這些威脅并不代表全部。

3．Web 訪問(wèn)控制技術(shù)：訪問(wèn)控制是Web 站點(diǎn)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法訪問(wèn)者訪問(wèn)。訪問(wèn)Web 站點(diǎn)要進(jìn)行用戶名、用戶口令的識(shí)別與驗(yàn)證、用戶賬號(hào)的缺省限制檢查。只要其中任何一關(guān)未過(guò)，該用戶便不能進(jìn)人某站點(diǎn)進(jìn)行訪問(wèn)。

4．Web 服務(wù)器一般提供了如下三種類型的訪問(wèn)控制方法。

① 通過(guò)IP地址、子網(wǎng)或域名來(lái)進(jìn)行控制；

② 通過(guò)用戶名/口令來(lái)進(jìn)行訪問(wèn)控制；

③ 通過(guò)公鑰加密體系PKI-智能認(rèn)證卡來(lái)進(jìn)行訪問(wèn)控制。

5．單點(diǎn)登錄技術(shù)：?jiǎn)吸c(diǎn)登錄系統(tǒng)的目的就是為這樣的應(yīng)用系統(tǒng)提供集中統(tǒng)一的身份認(rèn)證，實(shí)現(xiàn)"一點(diǎn)登錄、多點(diǎn)漫游"的目標(biāo)，方便用戶使用。

6．單點(diǎn)登錄系統(tǒng)采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù)，基于統(tǒng)一的策略的用戶身份認(rèn)證和授權(quán)控制功能，從而實(shí)現(xiàn)"一點(diǎn)登錄、多點(diǎn)漫游"。但是在實(shí)際應(yīng)用中，一些理論上不錯(cuò)的方案卻在實(shí)際中無(wú)法實(shí)現(xiàn)，這里總結(jié)三個(gè)主要的方面：計(jì)算環(huán)境相關(guān)的問(wèn)題；組織結(jié)構(gòu)的問(wèn)題和電子身份認(rèn)證方法的問(wèn)題。

7．幾種常用的單點(diǎn)登錄模型：

① 基于網(wǎng)關(guān)的SSO 模型；

② 基于驗(yàn)證代理的SSO 模型；

③ 基于Kerberos 的sso 模型。

8．常見(jiàn)的網(wǎng)頁(yè)防篡改技術(shù)有以下三種:

① 時(shí)間輪詢技術(shù)：時(shí)間輪詢技術(shù)是利用一個(gè)兩頁(yè)檢測(cè)程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁(yè)，與真實(shí)網(wǎng)頁(yè)相比較，來(lái)判斷網(wǎng)頁(yè)內(nèi)容的完整性，對(duì)于被篡改的網(wǎng)頁(yè)進(jìn)行報(bào)警和恢復(fù)。

② 核心內(nèi)嵌技術(shù)+事件觸發(fā)技術(shù)：所謂事件觸發(fā)技術(shù)就是利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動(dòng)程序接口，在網(wǎng)頁(yè)文件的被修改時(shí)進(jìn)行合法性檢查，對(duì)于非法操作進(jìn)仔報(bào)警和恢復(fù)。

所謂核心內(nèi)嵌技術(shù)即密碼水印技術(shù)。該技術(shù)將篡改檢測(cè)模塊內(nèi)嵌在Web 服務(wù)器軟件里，它在每一個(gè)網(wǎng)頁(yè)流出時(shí)都進(jìn)行完整性檢查，對(duì)于篡改網(wǎng)頁(yè)進(jìn)行實(shí)時(shí)訪問(wèn)阻斷，井予以報(bào)警和恢復(fù)。

③ 文件過(guò)濾驅(qū)動(dòng)技術(shù)十事件觸發(fā)技術(shù)：其原理是將篡改監(jiān)測(cè)的核心程序通過(guò)微軟文件底層驅(qū)動(dòng)技術(shù)應(yīng)用到Web 服務(wù)器中，通過(guò)事件觸發(fā)方式進(jìn)行自動(dòng)監(jiān)測(cè)，對(duì)文件夾的所有文件內(nèi)容，對(duì)照其底層文件屬性，經(jīng)過(guò)內(nèi)置散列快速算法，實(shí)時(shí)進(jìn)行監(jiān)測(cè)，若發(fā)現(xiàn)屬性變更，通過(guò)非協(xié)議方式，純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測(cè)文件夾相應(yīng)文件位置，通過(guò)底層文件驅(qū)動(dòng)技術(shù)，整個(gè)文件復(fù)制過(guò)程毫秒級(jí)，使得公眾無(wú)法看到被篡改頁(yè)面，其運(yùn)行性能和檢測(cè)實(shí)時(shí)性都達(dá)到較高的水準(zhǔn)。

9．內(nèi)容安全管理技術(shù)可以細(xì)分為電子郵件過(guò)濾、網(wǎng)頁(yè)過(guò)濾、反間諜軟件三大技術(shù)。針對(duì)反間諜軟件危害性，應(yīng)從三方面加以防范。一是預(yù)防，二是設(shè)置障礙，三是殺毒。

【備考點(diǎn)撥】

了解并理解相關(guān)知識(shí)點(diǎn)內(nèi)容。