文章详情

短信预约信息安全工程师 报名、考试、查分时间动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

2022年信息安全工程师考试知识点(二十四):Web安全

代码小侠客

代码小侠客

2024-04-19 02:27

关注

  为帮助考生备考2022年信息安全工程师考试,编程学习网小编为考生整理了2022年信息安全工程师考试知识点(二十四):Web安全,希望对大家备考会有帮助。

  很多考生在备考2022年信息安全工程师考试,编程学习网小编为考生整理了2022年信息安全工程师考试知识点(二十四):Web安全,希望对大家备考信息安全工程师考试会有帮助。

  Web安全

  【考法分析】

  本考点主要是对Web安全相关内容的考查。

  【要点分析】

  1.Web 安全威胁:从其来源说Web 威胁还可以分为内部攻击和外部攻击两类。前者主要来自信任网络,可能是用户执行了未授权访问或是无意中定制了恶意攻击;后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。

  2.最具危险性的Web 威胁:① 可信任站点的漏洞;② 浏览器和浏览器插件的漏洞;③终端用户;④ 可移动的存储设备;⑤ 网络钓鱼;⑥ 僵尸网络;⑦ 键盘记录程序;⑧ 多重攻击;以上这些威胁并不代表全部。

  3.Web 访问控制技术:访问控制是Web 站点安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法访问者访问。访问Web 站点要进行用户名、用户口令的识别与验证、用户账号的缺省限制检查。只要其中任何一关未过,该用户便不能进人某站点进行访问。

  4.Web 服务器一般提供了如下三种类型的访问控制方法。

  ① 通过IP地址、子网或域名来进行控制;

  ② 通过用户名/口令来进行访问控制;

  ③ 通过公钥加密体系PKI-智能认证卡来进行访问控制。

  5.单点登录技术:单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现"一点登录、多点漫游"的目标,方便用户使用。

  6.单点登录系统采用基于数字证书的加密和数字签名技术,基于统一的策略的用户身份认证和授权控制功能,从而实现"一点登录、多点漫游"。但是在实际应用中,一些理论上不错的方案却在实际中无法实现,这里总结三个主要的方面:计算环境相关的问题;组织结构的问题和电子身份认证方法的问题。

  7.几种常用的单点登录模型:

  ① 基于网关的SSO 模型;

  ② 基于验证代理的SSO 模型;

  ③ 基于Kerberos 的sso 模型。

  8.常见的网页防篡改技术有以下三种:

  ① 时间轮询技术:时间轮询技术是利用一个两页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。

  ② 核心内嵌技术+事件触发技术:所谓事件触发技术就是利用操作系统的文件系统或驱动程序接口,在网页文件的被修改时进行合法性检查,对于非法操作进仔报警和恢复。

  所谓核心内嵌技术即密码水印技术。该技术将篡改检测模块内嵌在Web 服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,井予以报警和恢复。

  ③ 文件过滤驱动技术十事件触发技术:其原理是将篡改监测的核心程序通过微软文件底层驱动技术应用到Web 服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高的水准。

  9.内容安全管理技术可以细分为电子邮件过滤、网页过滤、反间谍软件三大技术。针对反间谍软件危害性,应从三方面加以防范。一是预防,二是设置障碍,三是杀毒。

  【备考点拨】

  了解并理解相关知识点内容。

  >>>>>>点击进入软考报名专题

 

  相关推荐:2022年信息安全工程师考试知识点汇总

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-考试认证-考试信息-考试时间
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯