免费智能真题库 > 历年试卷 > 信息安全工程师 > 2019年上半年 信息安全工程师 上午试卷 综合知识
  第46题      
  知识点:   技术性安全漏洞的主要来源   系统安全   HTTP协议   Web服务   Web服务器   安全漏洞   信息系统安全
  关键词:   HTTP   安全漏洞   服务器   协议   信息系统安全   安全   漏洞   系统安全   信息系统        章/节:   网络安全漏洞分类与管理       

 
无论是哪一种Web服务器,都会受到HTTP协议本身安全问题的困扰,这样的信息系统安全漏洞属于( )。
 
 
  A.  开发型漏洞
 
  B.  运行型漏洞
 
  C.  设计型漏洞
 
  D.  验证型漏洞
 
 
 

 
  第47题    2020年下半年  
   35%
Web服务器也称为网站服务器,可以向浏览器等Web客户端提供文档,也可以放置网站文件和数据文件。目前最主流的三个Web服务器是Apa..
 
   知识点讲解    
   · 技术性安全漏洞的主要来源    · 系统安全    · HTTP协议    · Web服务    · Web服务器    · 安全漏洞    · 信息系统安全
 
       技术性安全漏洞的主要来源
        (1)设计错误(Design Error)。由于系统或软件程序设计错误而导致的安全漏洞。例如,TCP/IP协议设计错误导致的IP地址可以伪造。
        (2)输入验证错误(Input Validation Error)。由于未对用户输入数据的合法性进行验证,使攻击者非法进入系统。
        (3)缓冲区溢出(Buffer Overflow)。输入程序缓冲区的数据超过其规定长度,造成缓冲区溢出,破坏程序正常的堆栈,使程序执行其他代码。
        (4)意外情况处置错误(Exceptional Condition Handling Error)。由于程序在实现逻辑中没有考虑到一些意外情况,而导致运行出错。
        (5)访问验证错误(Access Validation Error)。由于程序的访问验证部分存在某些逻辑错误,使攻击者可以绕过访问控制进入系统。
        (6)配置错误(Configuration Error)。由于系统和应用的配置有误,或配置参数、访问权限、策略安装位置有误。
        (7)竞争条件(Race Condition)。由于程序处理文件等实体在时序和同步方面存在问题,存在一个短暂的时机使攻击者能够施以外来的影响。
        (8)环境错误(Condition Error)。由于一些环境变量的错误或恶意设置造成的安全漏洞。
 
       系统安全
        华为EulerOS通过了公安部信息安全技术操作系统安全技术要求四级认证。EulerOS能够提供可配置的加固策略、内核级OS安全能力等各种安全技术以防止入侵,保障客户的系统安全。
 
       HTTP协议
        要将网页传输到本地浏览器中,这就需要依靠HTTP协议。HTTP协议(Hyper Text Transfer Protocol,超文本传输协议)是Web服务器与客户浏览器之间的信息传输协议,用于从WWW服务器传输超文本到本地浏览器,属于TCP/IP模型应用层协议。
 
       Web服务
        Web是为了程序到用户的交互,而Web服务是为程序到程序的交互做准备。Web服务使公司可以降低进行电子商务的成本、更快地部署解决方案以及开拓新机遇。实现Web服务的关键在于通用的程序到程序通信模型,该模型应建立在现有的和新兴的标准之上,例如,HTTP、可扩展标记语言(Extensible Markup Language,XML)、简单对象访问协议(Simple Object Access Protocol,SOAP)、Web服务描述语言(Web Service Description Language,WSDL)以及通用描述发现和集成(Universal Description Discovery and Integration,UDDI)。
               Web服务的定义
               Web服务是描述一些操作(利用标准化的XML消息传递机制可以通过网络访问这些操作)的接口。Web服务是用标准的、规范的XML概念描述的,称为Web服务的服务描述。这一描述包括了与服务交互需要的全部细节,包括消息格式(详细描述操作)、传输协议和位置。该接口隐藏了实现服务的细节,允许独立于实现服务所基于的硬件或软件平台和编写服务所用的编程语言使用服务。Web服务履行一项特定的任务或一组任务。Web服务可以单独或同其他Web服务一起用于实现复杂的聚集或商业交易。
               Web服务体系结构基于三种角色(服务提供者、服务注册中心和服务请求者)之间的交互。交互涉及发布、查找和绑定操作。这些角色和操作一起作用于Web服务构件——Web服务软件模块及其描述。在典型情况下,服务提供者托管可通过网络访问的软件模块(Web服务的一个实现),服务提供者定义Web服务的服务描述并把它发布到服务请求者或服务注册中心。服务请求者使用查找操作来从本地或服务注册中心检索服务描述,然后使用服务描述与服务提供者进行绑定并调用Web服务实现或同它交互。服务提供者和服务请求者角色是逻辑结构,因而服务可以表现两种特性。下图描述了这些操作、提供这些操作的组件及它们之间的交互。
               
               Web服务的角色、操作和构件
               WSDL——Web服务描述语言(Web Service Description Language)
               WSDL是一种XML Application,它将Web服务描述定义为一组服务访问点,客户端可以通过这些服务访问点对包含面向文档信息或面向过程调用的服务进行访问(类似远程过程调用)。WSDL首先对访问的操作和访问时使用的请求/响应消息进行抽象描述,然后将其绑定到具体的传输协议和消息格式上以最终定义具体部署的服务访问点。相关的具体部署的服务访问点通过组合就成为抽象的Web服务。
               UDDI——通用描述发现和集成(Universal Description Discovery and Integration)
               (1)UDDI的基本概念。UDDI允许动态发现相关的Web服务并将其集成到聚合的业务过程中。UDDI提供一种搜索有关企业和电子化服务的信息。在UDDI中发布企业与服务信息使其他企业能大范围访问到这些信息。UDDI基于现成的标准,如可扩展标记语言(Extensible Markup Language,XML)和简单对象访问协议(Simple Object Access Protocol,SOAP)。
               (2)UDDI注册中心。在UDDI中,一个重要的概念就是UDDI注册中心。UDDI注册中心包含了通过程序手段可以访问到的对企业和企业支持的服务所做的描述。此外,还包含对Web服务所支持的因行业而异的规范、分类法定义以及标识系统的引用。UDDI提供了一种编程模式,定义与注册中心通信的规则。UDDI规范中所有API都用XML来定义,包装在SOAP信封中,在HTTP上传输。
 
       Web服务器
        Web服务器也称为WWW服务器,主要功能是提供网上信息浏览服务。
        在UNIX和Linux平台下使用最广泛的HTTP服务器是W3C、NCSA和Apache服务器,而Windows平台使用IIS的Web服务器。跨平台的Web服务器有IBM WebSphere、BEA WebLogic、Tomcat等。在选择使用Web服务器应考虑的本身特性因素有性能、安全性、日志和统计、虚拟主机、代理服务器、缓冲服务和集成应用程序等。
        Web服务器的主要性能指标包括最大并发连接数、响应延迟、吞吐量(每秒处理的请求数)、成功请求数、失败请求数、每秒点击次数、每秒成功点击次数、每秒失败点击次数、尝试连接数、用户连接数等。
 
       安全漏洞
        对于网络安全漏洞,并没有一个全面、准确和统一的定义,一般可以理解为在硬件、软件和协议等的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。通俗描述性定义是存在于计算机网络系统中的、可能对系统中的组成和数据等造成损害的一切因素。
        通常,入侵者寻找网络存在的安全弱点,从缺口处无声无息地进入网络,因而开发黑客反击武器的思想是找出现行网络中的安全弱点,演示、测试这些安全漏洞,然后指出应如何堵住安全漏洞。
        当前,信息系统的安全性非常弱,主要体现在操作系统、计算机网络和数据库管理系统都存在安全隐患,这些安全隐患表现在以下方面:
        (1)物理安全性。凡是能够让非授权机器物理接入的地方都会存在潜在的安全问题,也就是能让接入用户做本不允许做的事情。
        (2)软件安全漏洞。“特权”软件中带有恶意的程序代码,从而可以导致其获得额外的权限。
        (3)不兼容使用安全漏洞。当系统管理员把软件和硬件捆绑在一起时,从安全的角度来看,可以认为系统将有可能产生严重安全隐患。所谓的不兼容性问题,即把两个毫无关系但有用的事物连接在一起,从而导致了安全漏洞。一旦系统建立和运行,这种问题很难被发现。
        (4)选择合适的安全策略。这是一种对安全概念的理解和直觉。完美的软件、受保护的硬件和兼容部件并不能保证正常而有效地工作,除非用户选择了适当的安全策略和打开了能增加其系统安全的部件。
 
       信息系统安全
               信息系统安全的概念
               信息系统安全指信息系统及其所存储、传输和处理的信息的保密性、完整性和可用性的表征,一般包括保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,以保障信息系统功能的正常发挥,维护信息系统的安全运行。
               信息系统安全的侧重点会随着信息系统使用者的需求不同而发生变化,例如:
               .个人用户最关心的信息系统安全问题是如何保证涉及个人隐私的问题。企业用户看重的是如何保证涉及商业利益的数据的安全。
               .从网络运行和管理者角度说,最关心的信息系统安全问题是如何保护和控制其他人对本地网络信息进行访问、读写等操作。
               .对安全保密部门和国家行政部门来说,最关心的信息系统安全问题是如何对非法的、有害的或涉及国家机密的信息进行有效过滤和防堵,避免非法泄露。
               .从社会教育和意识形态角度来说,最关心的则是如何杜绝和控制网络上的不健康内容。有害的黄色内容会对社会的稳定和人类的发展造成不良影响。
               信息系统安全的属性
               信息系统安全的属性主要包括:
               .保密性:是应用系统的信息不被泄露给非授权的用户、实体或过程,或供其利用的特性,即防止信息泄漏给非授权个人或实体,信息只为授权用户使用的特性。保密性建立在可用性基础之上,是保障应用系统信息安全的重要手段。应用系统常用的保密技术如下:
               最小授权原则:对信息的访问权限仅授权给需要从事业务的用户使用。
               防暴露:防止有用信息以各种途径暴露或传播出去。
               信息加密:用加密算法对信息进行加密处理,非法用户无法对信息进行解密从而无法读懂有效信息。
               物理保密:利用各种物理方法,如限制、隔离、掩蔽和控制等措施,来保护信息不被泄露。
               .完整性:是信息未经授权不能进行改变的特性,即应用系统的信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放和插入等破坏和丢失的特性。保障应用系统完整性的主要方法如下:
               协议:通过各种安全协议可以有效地检测出被复制的信息、被删除的字段、失效的字段和被修改的字段。
               纠错编码方法:由此完成检错和纠错功能。最简单和常用的纠错编码方法是奇偶校验法。
               密码校验和方法:是抗篡改和传输失败的重要手段。
               数字签名:用于保障信息的真实性。
               公证:请求系统管理或中介机构证明信息的真实性。
               .可用性:是应用系统信息可被授权实体访问并按需求使用的特性,即信息服务在需要时,允许授权用户或实体使用的特性,或者是网络部分受损或需要降级使用时,仍能为授权用户提供有效服务的特性。可用性一般用系统正常使用时间和整个工作时间之比来度量。可用性还应该满足以下要求:身份识别与确认、访问控制、业务流控制、路由选择控制和审计跟踪。
               .不可抵赖性:也称作不可否认性,在应用系统的信息交互过程中,确信参与者的真实同一性,即所有参与者都不可能否认或抵赖曾经完成的操作和承诺。利用信息源证据可以防止发信方不真实地否认已发送信息,利用递交接收证据可以防止收信方事后否认已经接收的信息。
               信息系统安全管理体系
               信息系统安全管理是对一个组织机构中信息系统的生存周期全过程实施符合安全等级责任要求的管理。
               不同安全等级的安全管理机构可按下列顺序逐步建立自己的信息系统安全组织机构管理体系:
               .配备安全管理人员。
               .建立安全职能部门。
               .成立安全领导小组。
               .主要负责人出任领导。
               .建立信息安全保密管理部门。
               信息系统安全管理体系参见《GB/T 20269~2006信息安全技术信息系统安全管理要求》,该标准把信息系统安全管理分为八大类,每个类分为若干族,针对每个族设置了相应的管理要素。八大类分别为:政策和制度、机构和人员管理、风险管理、环境和资源管理、运行和维护管理、业务持续性管理、监督和检查管理、生存周期管理。
               信息系统安全技术体系参见《GB/T 20271—2006信息安全技术信息系统通用安全技术要求》,该标准把信息系统安全技术分为:
               .物理安全:包括环境安全、设备安全和记录介质安全。
               .运行安全:包括风险分析、信息系统安全性检测分析、信息系统安全监控、安全审计、信息系统边界安全防护、备份与故障恢复、恶意代码防护、信息系统的应急处理、可信计算和可信连接技术。
               .数据安全:包括身份鉴别、用户标识与鉴别、用户主体绑定、抗抵赖、自主访问控制、标记、强制访问控制、数据完整性保护、用户数据保密性保护、数据流控制、可信路径和密码支持。
   题号导航      2019年上半年 信息安全工程师 上午试卷 综合知识   本试卷我的完整做题情况  
1 /
2 /
3 /
4 /
5 /
6 /
7 /
8 /
9 /
10 /
11 /
12 /
13 /
14 /
15 /
 
16 /
17 /
18 /
19 /
20 /
21 /
22 /
23 /
24 /
25 /
26 /
27 /
28 /
29 /
30 /
 
31 /
32 /
33 /
34 /
35 /
36 /
37 /
38 /
39 /
40 /
41 /
42 /
43 /
44 /
45 /
 
46 /
47 /
48 /
49 /
50 /
51 /
52 /
53 /
54 /
55 /
56 /
57 /
58 /
59 /
60 /
 
61 /
62 /
63 /
64 /
65 /
66 /
67 /
68 /
69 /
70 /
71 /
72 /
73 /
74 /
75 /
 
第46题    在手机中做本题