信息安全工程师考试重点之Web安全风险与体系结构

世界上不存在没有风险的信息服务。

Web安全风险一般分为两类， 机密信息被窃取，数据和软硬件系统被破坏。两类风险的危害都不可低估。尽管不可能保证绝对安全，但是应采取一些方法列出在各种情况下可能因为信息服务而带来的系统不安全性

对于Web安全风险来说，可以细分为以下几种类型:

1)Web服务器的信息被破译

Web服务器的信息(如口令、密匙等)被破译，最终导致闯入者进入服务器。最常见也是最有效的保护是使用防火墙来保护Web站点，防止入侵者的袭击

2) Web上的文件被未经授权的个人访问

Web上的文件被未经授权的个人访问，损害了文件的隐私性、机密性和完整性。所以，必须采取口令、加密和防火墙等措施

3)信息被截获

当远程用户向服务器传输信息时，交易被截获。在站点上进行交易时，可以通过数字化签名，确信该交易是可靠的

4)系统中的bug

系统中的bug，使得黑客可以远程对Web服务器发出指令。由此导致对系统进行修改和破坏

5) 用CGI脚本编写的程序

用CGI脚本编写的程序涉及远程用户从浏览器中在主机上直接操作命令时，会给Web主机系统造成危险。尽量避免CGI程序中存在漏洞

Web服务器软件和客户端软件是一个大系统的一小部分，这个系统大都由以下构件组成：客户端软件(就是Web浏览器)、客户端的操作系统、客户端的局域网(LAN)、Internet、服务器端的局域网(LAN)和服务器上的Web服务器软件。在分析和评估Web服务的安全性时要考虑所有这些成分。它们互相联系，每一个部分都会影响Web服务器的安全性，其中安全性最差的决定了给定服务的安全级别