信息安全工程師考試重點之Web安全風險與體系結構

世界上不存在沒有風險的信息服務。

Web安全風險一般分為兩類， 機密信息被竊取，數據和軟硬件系統(tǒng)被破壞。兩類風險的危害都不可低估。盡管不可能保證絕對安全，但是應采取一些方法列出在各種情況下可能因為信息服務而帶來的系統(tǒng)不安全性

對于Web安全風險來說，可以細分為以下幾種類型:

1)Web服務器的信息被破譯

Web服務器的信息(如口令、密匙等)被破譯，最終導致闖入者進入服務器。最常見也是最有效的保護是使用防火墻來保護Web站點，防止入侵者的襲擊

2) Web上的文件被未經授權的個人訪問

Web上的文件被未經授權的個人訪問，損害了文件的隱私性、機密性和完整性。所以，必須采取口令、加密和防火墻等措施

3)信息被截獲

當遠程用戶向服務器傳輸信息時，交易被截獲。在站點上進行交易時，可以通過數字化簽名，確信該交易是可靠的

4)系統(tǒng)中的bug

系統(tǒng)中的bug，使得黑客可以遠程對Web服務器發(fā)出指令。由此導致對系統(tǒng)進行修改和破壞

5) 用CGI腳本編寫的程序

用CGI腳本編寫的程序涉及遠程用戶從瀏覽器中在主機上直接操作命令時，會給Web主機系統(tǒng)造成危險。盡量避免CGI程序中存在漏洞

Web服務器軟件和客戶端軟件是一個大系統(tǒng)的一小部分，這個系統(tǒng)大都由以下構件組成：客戶端軟件(就是Web瀏覽器)、客戶端的操作系統(tǒng)、客戶端的局域網(LAN)、Internet、服務器端的局域網(LAN)和服務器上的Web服務器軟件。在分析和評估Web服務的安全性時要考慮所有這些成分。它們互相聯(lián)系，每一個部分都會影響Web服務器的安全性，其中安全性最差的決定了給定服務的安全級別