软考信息安全工程师学习笔记二十五(5.1 Web 安全)
第5章应用系统安全基础
5.1 Web 安全
一.大纲要求
5.1 Web安全
5.1.1 Web安全威胁
* 掌握Web安全概念
* 熟悉Web安全分类
5.1.2 Web安全威胁防护技术
* 熟悉Web访问安全和Web内容安全
* 熟悉网页防篡改技术
二.思维导图
三.备考知识要点
5.1 Web 安全
5.1.1 Web 安全威胁
5.1.1.1 概念
从其来源说Web 威胁还可以分为内部攻击和外部攻击两类。前者主要来自信任网络,可能是用户执行了未授权访问或是无意中定制了恶意攻击;后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。
最具危险性的Web 威胁:★
(1)可信任站点的漏洞
(2) 浏览器和浏览器插件的漏洞
(3)终端用户
(4) 可移动的存储设备
(5) 网络钓鱼
(6) 僵尸网络
(7)键盘记录程序
(8) 多重攻击
以上这些威胁并不代表全部。
5.1.2 Web 威胁防护技术
5.1.2.1 WEB 访问安全
- Web 访问控制技术
访问控制是Web 站点安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法访问者访问。访问Web 站点要进行用户名、用户口令的识别与验证、用户账号的缺省限制检查。只要其中任何一关未过,该用户便不能进人某站点进行访问。
Web 服务器一般提供了如下三种类型的访问控制方法。★
(1)通过IP地址、子网或域名来进行控制
(2) 通过用户名/口令来进行访问控制
(3)通过公钥加密体系PKI-智能认证卡来进行访问控制
- 单点登录技术
单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现”一点登录、多点漫游”的目标,方便用户使用。
单点登录系统采用基于数字证书的加密和数字签名技术,基于统一的策略的用户身份认证和授权控制功能,从而实现”一点登录、多点漫游”。
(3)实现难点
但是在实际应用中,一些理论上不错的方案却在实际中无法实现,这里总结三个主要的方面:计算环境相关的问题;组织结构的问题和电子身份认证方法的问题。
(4) 几种常用的单点登录模型★
①基于网关的SSO 模型
②基于验证代理的SSO 模型
(3)基于Kerberos 的sso 模型
5.1.2.2 两页防篡改技术
常见的网页防篡改技术有以下三种:★
1.时间轮询技术
时间轮询技术是利用一个两页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。
- 核心内嵌技术+事件触发技术
所谓事件触发技术就是利用操作系统的文件系统或驱动程序接口,在网页文件的被修改时进行合法性检查,对于非法操作进仔报警和恢复。
所谓核心内嵌技术即密码水印技术。该技术将篡改检测模块内嵌在Web 服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,井予以报警和恢复。
- 文件过滤驱动技术十事件触发技术
其原理是:将篡改监测的核心程序通过微软文件底层驱动技术应用到Web 服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高的水准。
5.1.2.3 WEB 内容安全
内容安全管理技术可以细分为电子邮件过滤、网页过滤、反间谍软件三大技术。★
针对反间谍软件危害性,应从三方面加以防范。一是预防,二是设置障碍,三是杀毒。★