点击报名后领取>>>软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包
第5章:应用系统安全基础
考点1、Web安全
【考法分析】
本考点主要是对Web安全相关内容的考查。
【要点分析】
1.Web 安全威胁:从其来源说Web 威胁还可以分为内部攻击和外部攻击两类。前者主要来自信任网络,可能是用户执行了未授权访问或是无意中定制了恶意攻击;后者主要是由于网络漏洞被利用或者用户受到恶意程序制定者的专一攻击。
2.最具危险性的Web 威胁:① 可信任站点的漏洞;② 浏览器和浏览器插件的漏洞;③终端用户;④ 可移动的存储设备;⑤ 网络钓鱼;⑥ 僵尸网络;⑦ 键盘记录程序;⑧ 多重攻击;以上这些威胁并不代表全部。
3.Web 访问控制技术:访问控制是Web 站点安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法访问者访问。访问Web 站点要进行用户名、用户口令的识别与验证、用户账号的缺省限制检查。只要其中任何一关未过,该用户便不能进人某站点进行访问。
4.Web 服务器一般提供了如下三种类型的访问控制方法。
① 通过IP地址、子网或域名来进行控制;
② 通过用户名/口令来进行访问控制;
③ 通过公钥加密体系PKI-智能认证卡来进行访问控制。
5.单点登录技术:单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证,实现"一点登录、多点漫游"的目标,方便用户使用。
6.单点登录系统采用基于数字证书的加密和数字签名技术,基于统一的策略的用户身份认证和授权控制功能,从而实现"一点登录、多点漫游"。但是在实际应用中,一些理论上不错的方案却在实际中无法实现,这里总结三个主要的方面:计算环境相关的问题;组织结构的问题和电子身份认证方法的问题。
7.几种常用的单点登录模型:
① 基于网关的SSO 模型;
② 基于验证代理的SSO 模型;
③ 基于Kerberos 的sso 模型。
8.常见的网页防篡改技术有以下三种:
① 时间轮询技术:时间轮询技术是利用一个两页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。
② 核心内嵌技术+事件触发技术:所谓事件触发技术就是利用操作系统的文件系统或驱动程序接口,在网页文件的被修改时进行合法性检查,对于非法操作进仔报警和恢复。
所谓核心内嵌技术即密码水印技术。该技术将篡改检测模块内嵌在Web 服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,井予以报警和恢复。
③ 文件过滤驱动技术十事件触发技术:其原理是将篡改监测的核心程序通过微软文件底层驱动技术应用到Web 服务器中,通过事件触发方式进行自动监测,对文件夹的所有文件内容,对照其底层文件属性,经过内置散列快速算法,实时进行监测,若发现属性变更,通过非协议方式,纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置,通过底层文件驱动技术,整个文件复制过程毫秒级,使得公众无法看到被篡改页面,其运行性能和检测实时性都达到最高的水准。
9.内容安全管理技术可以细分为电子邮件过滤、网页过滤、反间谍软件三大技术。针对反间谍软件危害性,应从三方面加以防范。一是预防,二是设置障碍,三是杀毒。
【备考点拨】
了解并理解相关知识点内容。
◆ ◆ ◆ ◆ ◆
考点2、电子商务安全
【考法分析】
本考点主要是对电子商务安全相关内容的考查。
【要点分析】
1.电子商务安全概念、特点:电子商务安全从整体上可分为两大部分:网络安全和商务交易安全。
2.网络安全的内容包括:网络设备安全、网络系统安全、数据库安全等。
3.电子商务安全是以网络安全为基础的。电子商务安全与肉络安全又是有区别的:首先,网络不可能绝对安全,在这种情况下,还需要运行安全的电子商务。其次,即使网络绝对安全,也不能保障电子离务的安全。
4.电子商务安全具有如下四大特性:
① 电子离务安全是一个系统概念;
② 电子商务安全是柏对的;
③ 电子商务安全是有代价的;
④ 电子商务安全是发展的、动态的。
5.安全需求:
① 交易实体身份可认证性需求;
② 信息保密性的需求;
③ 信息完整性的需求;
④ 交易信息的不可抵赖性需求;
⑤ 商务服务的有效性需求;
⑥ 访问控制性需求。
电子商务要安全地展开,以上几个最基本的安全要素必须实现。也就是说,数据和信息的隐私必须受到保护,交易者身份必须得到认证,并且具有可认证性,未被授权的进入应该进行控制和拒绝。
6.身份认证过程指的是当用户试匮访问资源的时候,系统确定用户的身份是否真实的过程。认证对所有需要安全的服务来说是至关重要的,因为认证是访问控制执行的前提,是判断用户是否有权访问信息的先决条件,同时也为日后追究责任提供不可抵赖的证据。
7.通常可以根据以下5 种信息进行认证:
① 用户所知道的。
② 用户所拥有的。
③ 用户本身的特征。
④ 根据特定地点(或特定时间)。
⑤ 通过信任的第三方。
认证技术决定了系统的安全程度。
8.所谓数字证书就是在互联网通信中标志通信各方身份信息的一系列数据,提供了一种在Intemet 上验证用户身份的方式,其作用类似于司机的驾驶执照或日常生活中的身份证。它是由一个由权威机构一CA机构,又称为证书授权中心发行的,人们可以在网上用它来识别彼此的身份。
9.CA机构,又称为证书授权中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
10.数字证书采用公钥体制,即利用一对互相匹配的密铝进行加密、解密。
11.数字证书与传输密钥和签名密钥对的产生相对应。对每一个公钥做一张数字证书,私钥用最安全的方式交给用户或用户自己生产密钥对。在公开密钥密码体制中,常用的一种是RSA体制。
12.目前有两种安全在线支付协议被广泛采用,分别为安全电子交易协议(SET) 和安全套接字协议(SSL) ,二者均是成熟和实用的安全协议。
13.SET 协议是应用层的协议,是一种基于消息流的协议,它是面向B2C (企业对消费者)模式的,完全针对信用卡来制定,涵盖了信用卡在电子商务交易中的交易协议信息保密、资料完整等各个方面。
14.SET 协议主要使用的技术包括:对称密钥加密、公钥加密、Hash 算法、数字签名、数字信封以及数字证书等技术。
15.SET 协议是一个基于可信的第三方认证中心的方案,其主要的实现目标是:
① 保证电子离务参与者信息的相互隔离;
② 保证信息在Internet 上安全传输;
③ 解决多方认证问题;
④ 保证网上交易的实时性;
⑤ 提供一个开放式的标准。
16.SET交易的参与方包括持卡人、发卡机构、离家、收单银行、支付网关和数字证书认证中心CA。
17.SET 协议分为三个部分:
① 商业描述;② 程序员指导;③ 正式的协议定义。
18.SET 协议是一种电子支付系统的安全协议,因此它涉及加密、认证等多种技术。
① 加密技术:加密技术是SET 协议中的核心技术,在SET 中使用的主要包括对称加密、非对称加密、数字签名、消息摘要、数字信封、双重签名等。
② 认证技术:网上交易的买卖双方在进行每一笔交易时,为了保证交易的可靠性,买方和卖方都要鉴别对方的身份。
19.CA的主要功能有:收注册请求处理、批准/拒绝请求、发行证书。
20.认证技术具体涉及以下一些内容:
① 证书信息:
持卡人证书:持卡人证书表明持卡人拥有的支付卡是合法的,它是由权威的金融机构数字签署的,不能由其他非法第三方产生。
商家证书:商家证书与持卡人证书基本一样。
支付网关证书:支付网关证书由收单行或收单行的处理系统拥有。
收单行证书:一个收单银行必须拥有证书,才能使一个CA 接收和处理商家从公共和专用网络发出的证书请求。
发卡行证书:一个发卡银行必须拥有证书, CA 才能接收和处理来自持卡人的证书请求(通过公共或专用网络),那些选择支付卡品牌来代理处理证书请求的发卡行不需要证书。
② 证书的发行。
③ 认证信息和验证结构:
认证信息:在SET 中,交易双方的身份必须要验证, CA 是提供身份验证的第三方机构。
21.SET协议主要是通过使用密码技术和数字证书方式来保证信息的机密性和安全性,它实现了电子交易的机密性、数据完整性、身份的合法性和不可否认性。
22.SSL 安全套接层协议是安全通信协议。在SSL中,采用了公开密钥和私有密钥两种加密方式,它对计算机之间整个会话进行加密,从而保证了安全传输。SSL 的安全服务位于TCP 和应用层之间,可为应用层(如HTTP 、FTP 、SMTP) 提供安全业务,服务对象主要是Web 应用,即客户浏览器和服务器。
23.SSL 服务器认证允许用户确认服务器身份。SSL 客户机认证允许服务器确认用户身份。
24.一个加密的SSL 连接要求所有在客户机与服务器之间发送的信息由发送方软件加密和由接受方软件解密,对称加密法用于数据如密(如用DES 和RC4 等),从而连接是保密的。
25.SSL主要工作流程包括:网络连接建立;与该连接柜关的加密方式和压缩方式选择;双方的身份识别;本次传输密钙的确定;加密的数据传输;网络连接的关闭。
26.SSL是一个两层协议,包括SSL 握手层协议和SSL 记录层协议。
27.SSL协议提供的服务可以归纳为如下三个方面:
① 用户和服务器的合法性认证;
② 加密数据以隐藏被传送的数据;
③ 维护数据的完整性。
28.SSL 协议自身的缺陷:
① 客户端假冒;
② SSL 协议无法提供基于四P 应用的安全保护;
③ SSL 协议不能对抗通信流量分析;
④ 可能受到针对基于公钥加密标准(PKCS) 的协议的自适应选择密文攻击;
⑤ 进程中的主密钥泄漏;
⑥ 磁盘上的临时文件可能遭受攻击。
29.SSL 加密算法和会话密钥是在握手协议中协商并由Cipher-Choice 指定的。现有的SSL 版本中所用到的加密算法包括:RC4、RC2、IDEA、DES 和3DES ,而加密算法所用的密钥由消息散列函数MD5 产生。
30.SSL 协议中对称加密用于加密应用数据,非对称加密用于验证实体和交换密钥。非对称加密算法按用途分为密钥交换算法和数字签名算法。
【备考点拨】
了解并理解相关知识点内容。
◆ ◆ ◆ ◆ ◆
考点3、信息隐藏
文章源于网络,如有侵权,请私信文章标题联系删除,谢谢。
为了能让更多人享受软考的政策福利和现实功利,51CTO旗下软考教研团队联合薛大龙老师,认真严肃向大家推出软考2日直播特训营。
扫码入群0元领取6G的软考6资料包+2天软考特训营名额
软考资料包括:软考16本电子版教材 & 36本辅导教材 + 27套历年真题试卷 + 21套精编知识点6G资料包
软考训练营名额+资料领取方式>>>
扫下方码入群后按照老师的要求操作即可领取。
51CTO软考两天直播训练营
这门课恰好能够为你答疑解惑,助你快速入门并掌握软考知识要点,获得技能提升。为自己的职业发展规划制定一个更明确的规划,迈出升职加薪的第一步。
训练营周期为 两天直播课 晚8:00-9:00
心急的小伙伴可直接扫码解锁。
☟☟☟
2天软考直播特训营
3大必备技能
↓↓↓
限时 0 元 即可解锁
点击下方链接报名
仅限前100个名额
报名链接: https://edu.51cto.com/surl=oR9sp3
课程涵盖:高分知识点梳理,案例分析解题方法、论文通用模板等。我们力争通过2天的直播课程,助力您快速入门并一次性通关软考!
如果你对这门课程还不太了解的话,就跟我一起往下看吧。
我们的主讲老师薛大龙老师,深耕软考教育培训20余年,主编出版软考辅导教材60余本,非常熟悉软考题目的要求、难度、以及判卷标准。
完成本体验营2天所有课程及作业考核,学员将掌握信息系统项目管理师、系统集成项目管理工程师的高频考点及答题技巧:
①掌握信息系统项目管理师知识体系;
②掌握考试高分占比知识领域;
③掌握考试考情前沿分析;
④掌握论文与案例超干货答题方法;
⑤掌握名师对真题的独到解析。
报名前,你还需要知道的3件事
1)课程形式
直播课程+社群学习活动
2)课程时间
报名后老师安排上课 晚8:00-9:00
3)报名后要做什么?
付费后根据提示添加学姐为好友,开营前学姐会统一拉人入群。
2天软考考证特训营
0 元 解锁课程
还可 领取「6G课程资料」
点击下方链接报名 仅限前100个名额
报名链接: https://edu.51cto.com/surl=oR9sp3