信息安全工程師考試重點(diǎn)之Web安全風(fēng)險(xiǎn)與體系結(jié)構(gòu)

世界上不存在沒(méi)有風(fēng)險(xiǎn)的信息服務(wù)。

Web安全風(fēng)險(xiǎn)一般分為兩類(lèi)， 機(jī)密信息被竊取，數(shù)據(jù)和軟硬件系統(tǒng)被破壞。兩類(lèi)風(fēng)險(xiǎn)的危害都不可低估。盡管不可能保證絕對(duì)安全，但是應(yīng)采取一些方法列出在各種情況下可能因?yàn)樾畔⒎?wù)而帶來(lái)的系統(tǒng)不安全性

對(duì)于Web安全風(fēng)險(xiǎn)來(lái)說(shuō)，可以細(xì)分為以下幾種類(lèi)型:

1)Web服務(wù)器的信息被破譯

Web服務(wù)器的信息(如口令、密匙等)被破譯，最終導(dǎo)致闖入者進(jìn)入服務(wù)器。最常見(jiàn)也是最有效的保護(hù)是使用防火墻來(lái)保護(hù)Web站點(diǎn)，防止入侵者的襲擊

2) Web上的文件被未經(jīng)授權(quán)的個(gè)人訪問(wèn)

Web上的文件被未經(jīng)授權(quán)的個(gè)人訪問(wèn)，損害了文件的隱私性、機(jī)密性和完整性。所以，必須采取口令、加密和防火墻等措施

3)信息被截獲

當(dāng)遠(yuǎn)程用戶向服務(wù)器傳輸信息時(shí)，交易被截獲。在站點(diǎn)上進(jìn)行交易時(shí)，可以通過(guò)數(shù)字化簽名，確信該交易是可靠的

4)系統(tǒng)中的bug

系統(tǒng)中的bug，使得黑客可以遠(yuǎn)程對(duì)Web服務(wù)器發(fā)出指令。由此導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和破壞

5) 用CGI腳本編寫(xiě)的程序

用CGI腳本編寫(xiě)的程序涉及遠(yuǎn)程用戶從瀏覽器中在主機(jī)上直接操作命令時(shí)，會(huì)給Web主機(jī)系統(tǒng)造成危險(xiǎn)。盡量避免CGI程序中存在漏洞

Web服務(wù)器軟件和客戶端軟件是一個(gè)大系統(tǒng)的一小部分，這個(gè)系統(tǒng)大都由以下構(gòu)件組成：客戶端軟件(就是Web瀏覽器)、客戶端的操作系統(tǒng)、客戶端的局域網(wǎng)(LAN)、Internet、服務(wù)器端的局域網(wǎng)(LAN)和服務(wù)器上的Web服務(wù)器軟件。在分析和評(píng)估Web服務(wù)的安全性時(shí)要考慮所有這些成分。它們互相聯(lián)系，每一個(gè)部分都會(huì)影響Web服務(wù)器的安全性，其中安全性最差的決定了給定服務(wù)的安全級(jí)別