1、第四章 电子商务安全技术案例学习目标学习内容2022-12-131案例 国外 早期,Yahoo,ebay,Amazon 等著名网站被黑客攻击,直接和间接损失10亿美元。国内 早期,有人利用普通的技术,从电子商务网站窃取到8万个信用卡号和密码,标价26万元出售。2022-12-132第四章 电子商务安全技术 电子商务安全面临的问题 电子商务安全的要求 电子商务安全技术2022-12-133一 电子商务所面临的安全问题v 电子商务中的安全隐患可分为如下几类:1.1.信息的截获和窃取 2.2.信息的篡改 3.3.信息假冒 4.4.交易抵赖2022-12-134二 电子商务安全要求 数据完整性 即数据
2、在传输过程中的完整性.也就是数据在发送前和到达后是否完全一样.数据保密性 即数据是否会被非法窃取.数据可用性 即当需要时能否存取所需的信息,或在系统故障的情况下数据会否丢失.身份认证 对信息的传播即内容具有控制能力.2022-12-135三 电子商务安全内容v 电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全,两者相辅相成,缺一不可。v 计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。v 2022-12-136 商务交易安全紧紧围绕传统商务在互
3、联网络商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。不可伪造性和不可抵赖性。2022-12-137电子商务安全构架交易安全技术交易安全技术安全应用协议安全应用协议SET、SSL安全认证手段安全认证手段数字签名、数字签名、CA体系体系基本加密算法基本加密算法对称和非对称密算法对称和非对称密算法安全管理体系安全管理体系网络安全技术
4、网络安全技术病毒防范病毒防范身份识别技术身份识别技术防火墙技术防火墙技术分组过滤和代理服分组过滤和代理服务等务等法律、法规、政策法律、法规、政策2022-12-138 信道加密 密密级级管管理理 。信信源源加加密密访访问问控控制制地地址址过过滤滤身身份份认认证证 应应网网络络级级系系统统级级用用级级管管理理级级信信息息网网络络系系统统级级别别安全模型企业级安全企业级安全总体规划安全总体规划安全业务调度安全业务调度安全安全政策法规安全政策法规功能设计安全功能设计安全职能划分安全职能划分安全应用级安全应用级安全文件安全文件安全目录安全目录安全数据安全数据安全邮件安全邮件安全群件安全群件安全事件安全
5、事件安全系统级安全系统级安全操作系统安全操作系统安全用户管理安全用户管理安全分布系统管理分布系统管理安全安全故障诊断故障诊断系统监控安全系统监控安全网络运行监测网络运行监测平台安全平台安全网络级安全网络级安全 .信息传输安全信息传输安全路由安全路由安全广域网安全广域网安全节点安全节点安全协议安全协议安全链路安全链路安全物理安全物理安全网络安全内容-网络安全体系 电子商务安全要求对应的安全技术2022-12-1311数据完整性机制奇偶位、校验和、循环冗余校验CRC(Cyclic Redundancy Check)消息发送方可同时发送该消息的校验值,消息接收方接到消息时只需要重新计算一次校验值,并
6、比较两校验值是否相同就可以判断该消息是否正确了。以上技术不能绝对保证数据的完整性,2个原因:1.如果校验值和消息数据同时破坏,且改变后的校验值和消息又正巧匹配,则系统无法发现错误。2.1中所述技术上的缺陷,可能被人恶意利用。2022-12-1312数据完整性机制消息验证码(MAC)1.为防止传输和存储的消息被有意或无意地篡改,采用密码技术对消息进行运算生成消息验证码(MAC),附在消息之后发出或与信息一起 存储,对信息进行认证。2.计算MAC的算法是不可逆的。3.加密的数据和MAC一起发送给接收者,接收者就可以用MAC来校验加密数据,保证数据没有被窜改过。2022-12-1313数据保密性机制
7、 加密与解密 算法和密钥 数据加密标准DES 公开密钥密码体制 数字签名2022-12-1314加密与解密 消息(message)被称为明文(plaintext)。用某种方法伪装消息以隐藏它的内容的过程称为加密(e n c r y p t i o n),被 加 密 的 消 息 称 为 密 文(ciphertext),而把密文转变为明文的过程称为解密(decryption)。加密解密明文密文原始明文2022-12-1315算法和密钥 算法和密钥 密码算法(algorithm)也叫密码(cipher),适用于加密和解密的数学函数。(通常情况下有两个相关的函数,一个用来加密,一个用来解密)如果算法的
8、保密性是基于保持算法的秘密,这种算法称为受限制的(restricted)算法。受限制的算法不可能进行质量控制或标准化。每个用户和组织必须由他们自己唯一的算法。2022-12-1316算法和密钥 现代密码学用密钥(key)解决了这个问题。加密解密明文密文原始明文加密解密明文密文原始明文密钥密钥加密密钥解密密钥2022-12-1317算法和密钥 所有这些算法的安全性都基于密钥的安全性;而不是基于算法的安全性。这就意味着算法可以公开,也可以被分析,可以大量生产使用算法的产品,即使偷听者知道你的算法也没有关系。密码系统由(cryptosystem)由算法以及所有可能的明文、密文和密钥组成。对称算法 基
9、于密钥的算法通常有两类:对称算法和公开密钥算法。2022-12-1318算法和密钥 对称算法(symmetric algorithm)有时又叫传统密码算法,就是加密密钥能够从解密密钥推算出来,反过来也成立。在大多数对称算法中,加/解密密钥是相同的。这些算法也叫做秘密密钥算法或单钥算法,它要求发送者和接收者在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密,密钥就必须保密。2022-12-1319算法和密钥 对称算法可以分为两类。一次只对明文中的单个位(有时对字节)运算的算法称为序列算法(stream algorithm)或序
10、列密码(stream cipher)。另一类算法是对明文的一组位进行运算,这些位称为分组(block),相应的算法称为分组算法(block algorithm)或分组密码(block cipher)。2022-12-1320算法和密钥 公开密钥算法 公开密钥算法(public-key algorithm,也叫非对称算法)是这样设计的:用作加密的密钥不同于用作解密的密钥,而且解密密钥不能根据加密密钥计算出来(至少在合理假定的长时间内)。之所以叫做公开密钥算法,是因为加密密钥能够公开,即陌生者能用加密密钥加密信息,但只有用相应的解密密钥才能解密信息。在这些系统中,加密密钥叫做公开密钥(public
11、 key),解密密钥叫做私人密钥(private key)。2022-12-1321算法 常见的计算机算法 DES是最通用的计算机加密算法。DES是美国和国际标准,它是对称算法,加密和解密的密钥是相同的。RSA是最流行的公开密钥算法,它能用作加密和数字签名 DSA是另外一种公开密钥算法,它不能用作加密,只能用作数字签名。2022-12-1322一般加密/解密的函数(算法)是公开的,一个算法的强度(被破解的难度)除了依赖于算法本身以外,还往往与密钥长度有关,通常密钥越长,强度越高。这是因为,密钥越长,被猜出的可能性越低。所以,保密入情入理在于一个强度高的算法加上一个长度长的密钥。对于不同的要求,
12、长度可以不同,比如,为了保护你的电子邮件不让孩子阅读,密钥长度有64位就可以了,但是,为了保护一个商业秘密,可能至少需要256位的密钥。(1)替换(substitution)加密算法 (2)变换(transposition)加密算法 (3)数据加密标准(DES,Data Encryption Standard)是美国政府于1997年发布的,DES使用相同的算法来对数据进行加密和解密,所使用的加密密钥和解密密钥是相同的。算法的输入有64位的明文,使用56位的密钥,输出是64位的密文,它例用16轮的混合操作,目的是彻底地打乱明文的信息,使得密文的每一位都依赖于明文的每一位和密钥的每一位.。2022
13、-12-1323常规密钥密码体制常规密钥密码体制 密码技术是保证网络、信息安全的核心技术。加密方法有:替换加密和转换加密一替换加密法:1.单字母加密法 2.多字母加密法例一:Caesar(恺撒)密码例二:将字母倒排序例三:单表置换密码例一:Vigenere密码例二:转换加密2022-12-1324 例 1:C aesar(恺 撒)密 码,见 表 1。表 1 C aesar(恺 撒)密 码 表 明 文 字 母 a b c d e f g h i j k l m 密 文 字 母 D E F G H I J K L M N O P 明 文 字 母 n o p q r s t u v w x y z
14、密 文 字 母 Q R S T U V W X Y Z A B C 单字母加密方法例:明文(记做m)为“important”,Key=3,则密文(记做C)则为“LPSRUWDQW”。2022-12-1325 例2:将 字 母 倒 排 序,见 表2。表2 字 母 倒 排 序 明 文 字 母 a b c d e f g h i j k l m 密 文 字 母 Z Y X W V U T S R Q P O N 明 文 字 母 n o p q r s t u v w x y z 密 文 字 母 M L K J I H G F E D C B A 例:如果明文m为“important”,则密文C则为“
15、RNKLIGZMZ”。2022-12-1326例 3:单 表 置 换 密 码,见 表 3。假 设 密 钥 K ey 是 B E IJIN G T S IN G H U A(北 京 清 华),由 此 密 码 构 造 的 字 符 置 换 表 如 下:表 3 单 表 置 换 密 码 明 文 字 母 a b c d e f g h i j k l m 密 文 字 母 B E I J N G T S H U A C D 明 文 字 母 n o p q r s t u v w x y z 密 文 字 母 F K L M O P Q R V W X Y Z 例:如果明文m为“important”,则密文C则
16、 为“HDLKOQBFQ”。2022-12-1327公开密钥加密技术加密密钥是公开的,不加密密钥是公开的,不 可进行解密,解密密钥为可进行解密,解密密钥为 私钥,是保密的,且解密密私钥,是保密的,且解密密钥不可被推算出来的单向函钥不可被推算出来的单向函数算法称公开密钥算法。所数算法称公开密钥算法。所有的通信仅涉及公钥,而任有的通信仅涉及公钥,而任何私钥不会被传输。何私钥不会被传输。2022-12-1328公钥密码体制(RSARSA)公钥(m,n=pq)私钥(r,p,q)原文ABCD原文ABCD密文%#%¥公钥(m,n=pq)乱文乱文;互连网络互连网络密文%#%¥密文%#%¥密文%#%¥密文%#
17、%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;密文%#%¥
18、乱文乱文;原文ABCD原文ABCD密文%#%¥密文%#%¥原文ABCD密文%#%¥秘密密钥加密技术 加密算法与解密算法是加密算法与解密算法是 相同的且是公开的,加密密相同的且是公开的,加密密钥与解密密钥是同一个且不钥与解密密钥是同一个且不可被推算出来可被推算出来 的单向函数的单向函数算法。密钥的算法。密钥的 生成与发送生成与发送需严格管理。需严格管理。DESDES密码体制密钥原文ABCD原文ABCD密文%#%¥密钥生成与分发密钥互连网络密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文
19、%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥原文ABCD原文ABCD密文%#%¥密文%#%¥原文ABCD密文%#%¥40 78秒 48 5小时 56 59天 64 41年 72 10696年 80 2,738,199年DESCHALL小组破译能力PASSWORD通通常用常用DES算法算法对称与非对称加密体制对比特特 性性对对 称称非非 对对 称称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用20
20、22-12-1332 认证技术v 信息认证的目的(1)确认信息的发送者的身份;(2)验证信息的完整性,即确认信息在传送或存储过程中未被篡改过。v常用的安全认证技术v 1.1.数字摘要v 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码(数字指纹Finger Print),并在传输信息时将之加入文件一同送给接收方,接收方收到文件后,用相同的方法进行变换运算,若得到的结果与发送来的摘要码相同,则可断定文件未被篡改,反之亦然。2022-12-1333 2.数字信封 数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中,信息发送方采用对称密
21、钥来加密信息,然后将此对称密钥用接收方的公开密钥来加密(这部分称为数字信封)之后,将它和信息一起发送给接收方,接收方先用相应的私有密钥打开数字信封,得到对称密钥,然后使用对称密钥解开信息。3.3.数字签名l 在网络环境中,可以用电子数字签名作为模拟,从而为电子商务提供不可否认服务。把HASH函数和公钥算法结合起来,可以在提供数据完整性的同时,也可以保证数据的真实性。把这两种机制结合起来就可以产生所谓的数字签名。2022-12-1334 数字签名(Digital Signature)的原理l 被发送文件用安全Hash编码法SHA(Secure Hash Algorithm)编码加密产生128bi
22、t的数字摘要;l 发送方用自己的私用密钥对摘要再加密,这就形成了数字签名;l 将原文和加密的摘要同时传给对方;l 对方用发送方的公共密钥对摘要解密,同时对收到的文件用SHA编码加密产生又一摘要;l 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致,则说明传送过程中信息没有被破坏或篡改过。否则不然。2022-12-1335数字签名技术公钥(m,n=pq)私钥(r,p,q)原文ABCD原文ABCD密文%#%¥公钥(m,n=pq)互连网络互连网络密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥
23、密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥密文%#%¥原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD密文%#%¥原文ABCD
24、原文ABCD密文%#%¥密文%#%¥原文ABCD原文ABCD密文%#%¥2022-12-1336数字签名原理示意图2022-12-13374.数字时间戳 时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。2022-12-1338图 数字时间戳的应用过程 2022-12-13395.数字证书 所谓数字证书,就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。2022-12-1340v 安全认证机构安全认证机构v 电子商务授权机构(CA),也称为电子商务认证中心(Certifi
25、cate Authority),是承担网上安全电子交易认证服务,能签发数字证书,并能确认用户身份的服务机构。v CA的四大职能:证书发放证书发放证书更新证书更新证书撤销证书撤销证书验证证书验证2022-12-1341 世界著名的认证中心Verisign 世界上较早的数字证书认证中心是美国的Verisign公司()。图 认证中心VeriSign的主页2022-12-13426)中国知名的认证中心 中国数字认证网()中国金融认证中心()中国电子邮政安全证书管理中心( 数字证书能够起到标识贸易方的作用,是目前电子商务广泛采用的技术。微软公司的Internet Explorer和网景公司的Naviga
26、tor和电子邮件软件Outlook Express等都提供了数字证书的功能来作为身份鉴别的手段。图 14为IE的Internet选项设置,在内容选项卡中就有证书项目,点击即可查看您的数字证书,如图 15为在GlobalSign申请的个人数字证书。申请了证书后就可以用证书证实你的身份,当然也可以查看你的证书的内容。如果你有多个证书,可以先选中该证书,然后点击图 6 15中的查看按钮弹出即所选证书对话框就可以查看证书中的信息,如图 16所示,点击详细内容选项卡可以查看证书的具体信息,包括版本、算法、公钥、有效期等如图 17所示,这个证书的算法是RSA算法,公钥为1024位。2022-12-1344
27、图图 14Internet14Internet选项对话框选项对话框2022-12-1345图图 1515证书对话框证书对话框2022-12-1346图图 1616证书常规内容证书常规内容2022-12-1347图图 1717证书的详细信息证书的详细信息2022-12-1348虚拟专用网VPNVPN VPN的概念 虚拟专用网是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来,构成一个扩展的公司企业网。虚拟专用网可以对数据传输提供全方位的安全保护,不仅能在网络与网络之间
28、建立专用通道,保护网关与网关之间信息传输的安全,而且能在企业内部的用户与网关之间、移动办公用户和网关之间、用户与用户之间建立安全通道,建立全方位的安全保护,保证网络的安全。2022-12-1349VPNVPN的类型 可以根据网络连接方式的不同把VPN分为以下几种类型:Access VPN(远程访问虚拟专网)与传统的远程访问网络相对应 Intranet VPN(企业内部虚拟专网)与企业内部的Intranet相对应。Extranet VPN(扩展的企业内部虚拟专网)与企业网和相关合作伙伴的企业网所构成的Extranet相对应。2022-12-1350数据可用性 保证合法用户在任何时候都能使用、访问
29、资源,阻止非法用户使用系统资源。实现方法:访问控制、防火墙、入侵检测等。2022-12-1351防火墙防止攻击的屏障 防火墙是作为Intranet的 D第一道防线,是把内部网 和公共网分隔的特殊网络互连设备,可以用于网络 用户访问控制、认证服 DD务、数据过滤等。防火墙的分类 报文分组过滤网关 应用级网关 信息级网关防火墙之报文过滤网关 一般是基于路由器来实现。例如,商用的CISCO、BAY公司等路由器都在不同程度上支持诸如基于TCP/IP协议集的分组的源、目地址进出路由器的过滤,即让某些地址发生的分组穿越路由器到达目的地。非特定IP地址190.11.12.33190.11.12.33190.
30、11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33特定源IP地址202.118.228.68202.118
31、.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68禁止202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228
32、.68特定目的IP地址202.118.224.100190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33禁止190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.1
33、2.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33禁止禁止202.118.228.68202.118.228.68禁止禁止190.11.12.33190.11.12.33防火墙之应用级网关 应用级网关是为专门的应用设计专用代码,用于对某些具体的应用进行防范。这种精心设计的专用代码将比通用代码更安全些。例如DEC公司生产的SEAL软件包就具有对出境的FTP进行个人身份认证,并对其使用带宽进行限制。FTP服务器服务器访问访问Emial合法访问合法访问FTP非法访问非法访问F
34、TP访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FT
35、P合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP认证合法认证合法合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非
36、法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP认证非法非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP防火墙之信息级网关 信息级网关是用于进行信息过滤的。其基本信息级网关是用于进行信息过滤的。其基本思想是限制含有指定敏感词汇的信息包进入系思想
37、是限制含有指定敏感词汇的信息包进入系统。显然这种方法对图象、声音、影像、加密统。显然这种方法对图象、声音、影像、加密信息是难以起作用的,但对不应进入的公开资信息是难以起作用的,但对不应进入的公开资料的流入可以起限制性作用料的流入可以起限制性作用。.like.like.like.like.like.like.like.like.like.like.like.like.like.like.like.正常通过.like.like.like.like.like.like.like.like.like.like.like.like.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“
38、64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.敏感禁入.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.like.like.正常通过正常通过敏感禁入敏感禁入敏感禁入.“64”.“64”.防火墙的目标1.确保内部网向外部网的全功能互联和内部网的安全;2.所有内部网络与外部网的信息交流必须经过防火墙;3.只有按本地的安全策略被授权的信息才允许通过;4.防火墙本身具有防止被穿透的能力。防火墙 从理论上来讲,防火墙是你所能采取的最严格的安全措施。然而同样和容易带来一些问题:防火墙带来的严格的安全性实
39、际上削弱了网络的功能。你在安全上得到了多少,那么你在功能上就失去了多少。防火墙很容易使你忽视内部的安全问题。这样防火墙就成了你位一的安全屏障,如果防火墙一旦被突破,你将失去全部的安全性。防火墙将成为网络的瓶颈。2022-12-1358防火墙 防火墙坚不可摧吗?没有坚不可摧的防火墙。常见的入侵方式如下:从目标网络上跳出真正的攻击目标。努力获得有关内部系统的确切信息。阅读最新的安全文章 任何一个防火墙都无法有效的防止来自内部的攻击。2022-12-1359防火墙 商业防火墙 Checkpoint Firewall and Firewall-1 http:/ 可以控制时间对象,可以将处理任务分散到一
40、组工作站上。Cisco PIX http:/ Nokia http:/ IP330,IP660 固化CheckPoint Firewall-12022-12-1360入侵检测系统(IDS)(IDS)的分类 基于主机 基于网络 混合分布式用户身份认证 保证通信对方的身份是真实的。实现方法:帐号-口令,电子证书等。2022-12-1362怎样构建一个安全的网络?网络安全风险分析 网络安全对策2022-12-1363网络安全对策 物理层安全解决方案 网络层安全解决方案 系统层安全解决方案 应用层安全解决方案2022-12-1364物理层安全解决方案 环境安全对系统所在环境的安全保护,如区域保护和灾难
41、保护。对电子计算机机房设计规范、计算机场地技术条件、计算机场地安全要求国家均制定了一系列的安全规范。设备安全设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;设备冗余备份等都可通过严格管理及提高员工的整体安全意识来实现。线路安全。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。2022-12-1365网络层安全解决方案 防火墙安全技术建议 在内部网络和Internet边界都应安装防火墙,并需要实施相应的安全策略控制 入侵检测安全技术建议 在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统的探测器,通过中心的
42、控制台对各节点所有探测器进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。2022-12-1366网络层安全解决方案 数据传输安全建议 为保证数据传输的机密性和完整性,建议在网络中采用安全VPN系统,统一安装VPN设备,对于移动用户安装VPN客户端软件。2022-12-1367网络设备安全建议 在漏洞扫描与风险评估的基础上对网络设备进行安全性增强配置 2022-12-1368系统层安全解决方案 操作系统安全技术 为了加强操作系统的安全管理,要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。数据库
43、安全技术 U 自主访问控制(DAC):DAC用来决定用户是否有权访问数据库对象。u 验证:保证只有授权的合法用户才能注册和访问。U 授权:对不同的用户访问数据库授予不同的权限。审计:监视各用户对数据库施加的动作。U 数据库管理系统应能够提供与安全相关事件的审计能力。系统应提供在数据库级和纪录级标识数据库信息的能力。2022-12-1369应用层安全解决方案 身份认证技术 公开密钥基础设施(PKI)防病毒技术 建立一个全方位的病毒防范系统是网络系统安全体系建设的重要任务。要求为:能够配置成分布式运行和集中管理,由防病毒代理和防病毒服务器端组成。公开服务器安全性增强方案 安装防火墙进行访问控制和隔离 安装入侵监测系统实时检测进出服务器网络的数据流 对www服务器实施页面保护 对重要服务器系统配置配置备份和灾难恢复系统。2022-12-1370网络安全小结 网络安全的一些基本知识 常见的攻击手段及技术 网络安全的目标和任务 网络安全解决方案2022-12-1371
侵权处理QQ:3464097650--上传资料QQ:3464097650
【声明】本站为“文档C2C交易模式”,即用户上传的文档直接卖给(下载)用户,本站只是网络空间服务平台,本站所有原创文档下载所得归上传人所有,如您发现上传作品侵犯了您的版权,请立刻联系我们并提供证据,我们将在3个工作日内予以改正。