信息安全工程師考試重點之Web安全風(fēng)險與體系結(jié)構(gòu)

世界上不存在沒有風(fēng)險的信息服務(wù)。

Web安全風(fēng)險一般分為兩類， 機密信息被竊取，數(shù)據(jù)和軟硬件系統(tǒng)被破壞。兩類風(fēng)險的危害都不可低估。盡管不可能保證絕對安全，但是應(yīng)采取一些方法列出在各種情況下可能因為信息服務(wù)而帶來的系統(tǒng)不安全性

對于Web安全風(fēng)險來說，可以細分為以下幾種類型:

1)Web服務(wù)器的信息被破譯

Web服務(wù)器的信息(如口令、密匙等)被破譯，最終導(dǎo)致闖入者進入服務(wù)器。最常見也是最有效的保護是使用防火墻來保護Web站點，防止入侵者的襲擊

2) Web上的文件被未經(jīng)授權(quán)的個人訪問

Web上的文件被未經(jīng)授權(quán)的個人訪問，損害了文件的隱私性、機密性和完整性。所以，必須采取口令、加密和防火墻等措施

3)信息被截獲

當(dāng)遠程用戶向服務(wù)器傳輸信息時，交易被截獲。在站點上進行交易時，可以通過數(shù)字化簽名，確信該交易是可靠的

4)系統(tǒng)中的bug

系統(tǒng)中的bug，使得黑客可以遠程對Web服務(wù)器發(fā)出指令。由此導(dǎo)致對系統(tǒng)進行修改和破壞

5) 用CGI腳本編寫的程序

用CGI腳本編寫的程序涉及遠程用戶從瀏覽器中在主機上直接操作命令時，會給Web主機系統(tǒng)造成危險。盡量避免CGI程序中存在漏洞

Web服務(wù)器軟件和客戶端軟件是一個大系統(tǒng)的一小部分，這個系統(tǒng)大都由以下構(gòu)件組成：客戶端軟件(就是Web瀏覽器)、客戶端的操作系統(tǒng)、客戶端的局域網(wǎng)(LAN)、Internet、服務(wù)器端的局域網(wǎng)(LAN)和服務(wù)器上的Web服務(wù)器軟件。在分析和評估Web服務(wù)的安全性時要考慮所有這些成分。它們互相聯(lián)系，每一個部分都會影響Web服務(wù)器的安全性，其中安全性最差的決定了給定服務(wù)的安全級別