希賽小編為考生整理了2022年信息安全工程師考試知識點（二十四）：Web安全，希望對大家備考信息安全工程師考試會有幫助。

Web安全

【考法分析】

本知識點主要是對Web安全相關內容的考查。

【要點分析】

1．Web 安全威脅：從其來源說Web 威脅還可以分為內部攻擊和外部攻擊兩類。前者主要來自信任網絡，可能是用戶執行了未授權訪問或是無意中定制了惡意攻擊；后者主要是由于網絡漏洞被利用或者用戶受到惡意程序制定者的專一攻擊。

2．最具危險性的Web 威脅：① 可信任站點的漏洞；② 瀏覽器和瀏覽器插件的漏洞；③終端用戶；④ 可移動的存儲設備；⑤ 網絡釣魚；⑥ 僵尸網絡；⑦ 鍵盤記錄程序；⑧ 多重攻擊；以上這些威脅并不代表全部。

3．Web 訪問控制技術：訪問控制是Web 站點安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法訪問者訪問。訪問Web 站點要進行用戶名、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。只要其中任何一關未過，該用戶便不能進人某站點進行訪問。

4．Web 服務器一般提供了如下三種類型的訪問控制方法。

① 通過IP地址、子網或域名來進行控制；

② 通過用戶名/口令來進行訪問控制；

③ 通過公鑰加密體系PKI-智能認證卡來進行訪問控制。

5．單點登錄技術：單點登錄系統的目的就是為這樣的應用系統提供集中統一的身份認證，實現"一點登錄、多點漫游"的目標，方便用戶使用。

6．單點登錄系統采用基于數字證書的加密和數字簽名技術，基于統一的策略的用戶身份認證和授權控制功能，從而實現"一點登錄、多點漫游"。但是在實際應用中，一些理論上不錯的方案卻在實際中無法實現，這里總結三個主要的方面：計算環境相關的問題；組織結構的問題和電子身份認證方法的問題。

7．幾種常用的單點登錄模型：

① 基于網關的SSO 模型；

② 基于驗證代理的SSO 模型；

③ 基于Kerberos 的sso 模型。

8．常見的網頁防篡改技術有以下三種:

① 時間輪詢技術：時間輪詢技術是利用一個兩頁檢測程序，以輪詢方式讀出要監控的網頁，與真實網頁相比較，來判斷網頁內容的完整性，對于被篡改的網頁進行報警和恢復。

② 核心內嵌技術+事件觸發技術：所謂事件觸發技術就是利用操作系統的文件系統或驅動程序接口，在網頁文件的被修改時進行合法性檢查，對于非法操作進仔報警和恢復。

所謂核心內嵌技術即密碼水印技術。該技術將篡改檢測模塊內嵌在Web 服務器軟件里，它在每一個網頁流出時都進行完整性檢查，對于篡改網頁進行實時訪問阻斷，井予以報警和恢復。

③ 文件過濾驅動技術十事件觸發技術：其原理是將篡改監測的核心程序通過微軟文件底層驅動技術應用到Web 服務器中，通過事件觸發方式進行自動監測，對文件夾的所有文件內容，對照其底層文件屬性，經過內置散列快速算法，實時進行監測，若發現屬性變更，通過非協議方式，純文件安全拷貝方式將備份路徑文件夾內容拷貝到監測文件夾相應文件位置，通過底層文件驅動技術，整個文件復制過程毫秒級，使得公眾無法看到被篡改頁面，其運行性能和檢測實時性都達到較高的水準。

9．內容安全管理技術可以細分為電子郵件過濾、網頁過濾、反間諜軟件三大技術。針對反間諜軟件危害性，應從三方面加以防范。一是預防，二是設置障礙，三是殺毒。

【備考點撥】

了解并理解相關知識點內容。