专业的南阳网站建设公司、南阳网站设计制作公司为您服务,电话:13525675071,13693853282
新闻中心
专业专注专心,行业行情行规
分享交流,永无止境,我们愿与您共同进步

Web安全概述

发布日期:[2020-10-04]   浏览量:3316

在网络空间中,信息安全是一个永恒的话题,其细分开来大致为本地安全及网络安全等。本地安全我们很好理解,例如:本地信息存储及信息加密等。对于网络安全,我们可以参考七层模型中信息传输的安全。信息在网络上传输时可能会被黑客拦截、修改及攻击,由此可见,信息在网络上传输是极其不安全的。Web安全包含网络安全,即发生在七层模型的应用层上,应用层安全除了Web安全以外还有代码安全及数据安全等。安全是一个有机的整体,任何一个层面的安全都考虑后,方能保证整体的安全,无论是系统还是网络都遵循此原则。


1、Web安全历史


说起Web安全的历史,就不得不说Web应用的发展历史,因为Web应用是Web安全发展的直接载体。Web应用发展到今天,已经历两个“时代”:Web 1.0时代和Web 2.0时代。Web 1.0时代的网站主要内容是静态的,由文字与图片构成,以表格为主要制作形式。当时的用户行为也很简单,就是浏览网页。到了2004年,互联网进入Web 2.0时代,各种类似桌面软件的Web应用开始涌现,Web应用的前端发生了翻天覆地的变化,简单地由图片与文字构成的网页已经满足不了用户的需求了,此时,各种富媒体诞生了,例如音频、视频等,它们让网页变得更加生动形象,网页上的交互也给用户带来了很好的体验,这些都是基于前端技术实现的。Web安全随着Web应用的发展而发展,Web 1.0时代被关注更多的是服务端的安全问题,例如SQL注入等。到了Web 2.0时代,Samy蠕虫的爆发震惊了世界,Web安全战场由服务端开始转到客户端,人们开始关注Web前端的安全问题,例如跨站脚本攻击,SQL注入与跨站脚本攻击的相继出现是Web安全史上的两座里程碑,后来,又出现了许多其他类型的Web安全攻击。随着各类Web应用的不断涌现,各类Web安全漏洞也不断出现,于是,Web安全就形成了今天这个空前繁荣的局面。


2、Web安全定义


接下来具体介绍一下Web安全及由Web安全扩展出来的一些重要且常见的概念,分别为Web安全、安全漏洞、安全建议、计算机系统、计算机信息系统、计算机安全、信息系统安全、信息安全、网络安全、漏洞处置、漏报、资产、脆弱性、威胁及信息安全风险评估。


Web安全:狭义来讲,Web安全指用ASP、PHP及JSP等计算机语言编写的Web应用程序出现的安全问题;广义来讲,Web安全指用ASP、PHP及JSP等计算机语言编写的Web应用程序及其与相关环境形成的统一的整体所出现的安全问题。


安全漏洞:安全行业组织对安全漏洞的定义各不相同,但是基本含义是一致的。国际标准化组织对安全漏洞的定义为,一个或者多个威胁可以利用的一个或者一组资产的弱点。通用安全漏洞评分系统对安全漏洞的定义为,软件或者硬件组件中的弱点或者缺陷。《信息安全技术 安全漏洞等级划分指南》对安全漏洞的定义为,计算机系统在需求、设计、实现、配置、运行等过程中,有意或者无意产生的缺陷,这些缺陷以不同形式存在于计算机信息系统的各个层次和环节之中,一旦被恶意主体所利用,就会对计算机信息系统的安全造成损害,从而影响计算机信息系统的正常运行。


安全建议:安全建议是由可信的第三方安全测试机构给出的,对计算机信息系统出现的安全漏洞进行安全修复的建议。


计算机系统:计算机系统是由计算机软件系统与计算机硬件系统及其周边配套的设备、设施(含网络)所构成的整体系统。


计算机信息系统:《信息安全技术 术语》对计算机信息系统的定义为,由计算机及其相关配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。


计算机安全:《信息安全技术 术语》对计算机安全的定义为,采取适当措施保护数据和资源,使计算机系统免受偶然或恶意的修改、损害、访问、泄露等操作的危害。


信息系统安全:《信息安全技术 术语》对信息系统安全的定义为,与定义、获得和维护保密性、完整性、可用性、可核查性、真实性和可靠性有关的各个方面。


信息安全:国际标准化组织对信息安全的定义为信息的完整性、可用性、保密性和可靠性。《信息安全技术 术语》对信息安全的定义为,保护、维持信息的完整性、可用性和保密性,也可包括可靠性、真实性、可核查性、抗抵赖性等性质。完整性:保卫资产准确性和完整的特性。可用性:已授权实体一旦需要就可访问和使用的数据和资源的特性。保密性:使信息不泄露给未授权的个人、实体、进程,或不被其利用的特性。可靠性:预期行为和结果保持一致的特性。真实性:确保主体或资源的身份正是所声称的特性。可核查性:确保可将一个实体的行动唯一地追踪到此实体的特性。抗抵赖性:证明某一动作或事件已经发生的能力,以使事后不能否认这一动作或事件。接下来是补充的一些性质。正确性:在安全策略实现中,针对所指定的安全需求,某一产品或系统展现出其正确地实现了这些需求。有效性:对某一系统或产品,在建议的或实际的操作使用条件下,表示其提供安全程度的性质。敏感性:信息拥有者分配给信息的一种重要程度的度量,以标出该信息的保护需求。


网络安全:网络安全指计算机网络系统的硬件、软件及其系统中的信息受到保护,不因偶然的或恶意的原因而遭受到破坏、窜改及泄露,是信息安全的主要分支。网络安全的重要特征有这几点。保密性与信息安全的保密性一致。完整性:数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失。可用性:与信息安全的可用性一致,即当需要时能存取所需的信息,例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。可控性:对信息的传播及内容可以控制的特性。可审查性:出现安全问题时提供依据与手段的特性。


漏洞处置:漏洞处置通过某种合理的流程、规范,对安全漏洞进行安全修复处理,包括发现、修复、回归测试等,以确保安全漏洞已被完全修复。


漏报:《信息安全技术 术语》对漏报的定义为,攻击发生时检测系统没有报警的情况。


资产:资产是对组织具有价值的任何东西。


脆弱性:《信息安全技术 术语》对脆弱性的定义为,资产中能被威胁所利用的弱点。


威胁:《信息安全技术 术语》对威胁的定义为,对资产或组织可能导致负面结果的一个事件的潜在源。


信息安全风险评估:信息安全风险评估指依据有关计算机信息技术标准,对计算机信息系统及由其处理、传输和存储的信息的保密性、完整性与可用性等安全属性进行科学、公正的综合评估的过程。它要评估计算机信息系统的脆弱性、计算机信息系统面临的威胁及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性与负面影响的程度来识别计算机信息系统的安全风险。由此可见,信息安全风险评估中重点关注的是脆弱性与威胁。事实上,计算机信息系统自身的脆弱性并不会引起安全风险,因为有了外界威胁的存在,才会引起安全风险。我们从防御的角度来看,若计算机信息系统自身无脆弱性,外界威胁也就无法引起安全风险。事实上,脆弱性与威胁二者为此消彼长、相互关联的整体。