希賽小編為考生整理了2022年信息安全工程師考試知識點（二十四）：Web安全，希望對大家備考信息安全工程師考試會有幫助。

Web安全

【考法分析】

本知識點主要是對Web安全相關(guān)內(nèi)容的考查。

【要點分析】

1．Web 安全威脅：從其來源說Web 威脅還可以分為內(nèi)部攻擊和外部攻擊兩類。前者主要來自信任網(wǎng)絡(luò)，可能是用戶執(zhí)行了未授權(quán)訪問或是無意中定制了惡意攻擊；后者主要是由于網(wǎng)絡(luò)漏洞被利用或者用戶受到惡意程序制定者的專一攻擊。

2．最具危險性的Web 威脅：① 可信任站點的漏洞；② 瀏覽器和瀏覽器插件的漏洞；③終端用戶；④ 可移動的存儲設(shè)備；⑤ 網(wǎng)絡(luò)釣魚；⑥ 僵尸網(wǎng)絡(luò)；⑦ 鍵盤記錄程序；⑧ 多重攻擊；以上這些威脅并不代表全部。

3．Web 訪問控制技術(shù)：訪問控制是Web 站點安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法訪問者訪問。訪問Web 站點要進行用戶名、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。只要其中任何一關(guān)未過，該用戶便不能進人某站點進行訪問。

4．Web 服務(wù)器一般提供了如下三種類型的訪問控制方法。

① 通過IP地址、子網(wǎng)或域名來進行控制；

② 通過用戶名/口令來進行訪問控制；

③ 通過公鑰加密體系PKI-智能認證卡來進行訪問控制。

5．單點登錄技術(shù)：單點登錄系統(tǒng)的目的就是為這樣的應用系統(tǒng)提供集中統(tǒng)一的身份認證，實現(xiàn)"一點登錄、多點漫游"的目標，方便用戶使用。

6．單點登錄系統(tǒng)采用基于數(shù)字證書的加密和數(shù)字簽名技術(shù)，基于統(tǒng)一的策略的用戶身份認證和授權(quán)控制功能，從而實現(xiàn)"一點登錄、多點漫游"。但是在實際應用中，一些理論上不錯的方案卻在實際中無法實現(xiàn)，這里總結(jié)三個主要的方面：計算環(huán)境相關(guān)的問題；組織結(jié)構(gòu)的問題和電子身份認證方法的問題。

7．幾種常用的單點登錄模型：

① 基于網(wǎng)關(guān)的SSO 模型；

② 基于驗證代理的SSO 模型；

③ 基于Kerberos 的sso 模型。

8．常見的網(wǎng)頁防篡改技術(shù)有以下三種:

① 時間輪詢技術(shù)：時間輪詢技術(shù)是利用一個兩頁檢測程序，以輪詢方式讀出要監(jiān)控的網(wǎng)頁，與真實網(wǎng)頁相比較，來判斷網(wǎng)頁內(nèi)容的完整性，對于被篡改的網(wǎng)頁進行報警和恢復。

② 核心內(nèi)嵌技術(shù)+事件觸發(fā)技術(shù)：所謂事件觸發(fā)技術(shù)就是利用操作系統(tǒng)的文件系統(tǒng)或驅(qū)動程序接口，在網(wǎng)頁文件的被修改時進行合法性檢查，對于非法操作進仔報警和恢復。

所謂核心內(nèi)嵌技術(shù)即密碼水印技術(shù)。該技術(shù)將篡改檢測模塊內(nèi)嵌在Web 服務(wù)器軟件里，它在每一個網(wǎng)頁流出時都進行完整性檢查，對于篡改網(wǎng)頁進行實時訪問阻斷，井予以報警和恢復。

③ 文件過濾驅(qū)動技術(shù)十事件觸發(fā)技術(shù)：其原理是將篡改監(jiān)測的核心程序通過微軟文件底層驅(qū)動技術(shù)應用到Web 服務(wù)器中，通過事件觸發(fā)方式進行自動監(jiān)測，對文件夾的所有文件內(nèi)容，對照其底層文件屬性，經(jīng)過內(nèi)置散列快速算法，實時進行監(jiān)測，若發(fā)現(xiàn)屬性變更，通過非協(xié)議方式，純文件安全拷貝方式將備份路徑文件夾內(nèi)容拷貝到監(jiān)測文件夾相應文件位置，通過底層文件驅(qū)動技術(shù)，整個文件復制過程毫秒級，使得公眾無法看到被篡改頁面，其運行性能和檢測實時性都達到較高的水準。

9．內(nèi)容安全管理技術(shù)可以細分為電子郵件過濾、網(wǎng)頁過濾、反間諜軟件三大技術(shù)。針對反間諜軟件危害性，應從三方面加以防范。一是預防，二是設(shè)置障礙，三是殺毒。

【備考點撥】

了解并理解相關(guān)知識點內(nèi)容。