網(wǎng)絡(luò)安全知識必備

1、網(wǎng)絡(luò)安全概述來源：網(wǎng)絡(luò) 發(fā)布時間：2009-04-24 23:09:23查看次數(shù)：4117一、基本概念網(wǎng)絡(luò)安全的具體含義會隨著“角度”的變化而變化。比如：從用戶（個人、企業(yè)等）的角 度來說，他們希望涉及個人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時受到機密性、完整性和真 實性的保護，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。二、主要特性網(wǎng)絡(luò)安全應(yīng)具有以下五個方面的特征：保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。完整性:數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、 不被破壞和丟失的特性?？捎眯裕嚎杀皇跈?quán)實體訪問并按需求使用的特性。

2、即當(dāng)需要時能否存取所需的信息。例 如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊；可控性：對信息的傳播及內(nèi)容具有控制能力?？蓪彶樾裕撼霈F(xiàn)的安全問題時提供依據(jù)與手段從網(wǎng)絡(luò)運行和管理者角度說，他們希望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護和 控制，避免出現(xiàn)“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法控制等威脅， 制止和防御網(wǎng)絡(luò)黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家 機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產(chǎn)生危害，對國家造成巨大損 失。從社會教育和意識形態(tài)角度來講，網(wǎng)絡(luò)上不健康的內(nèi)容，會對社會的穩(wěn)定和人類的發(fā)展 造

3、成阻礙，必須對其進行控制。隨著計算機技術(shù)的迅速發(fā)展，在計算機上處理的業(yè)務(wù)也由基于單機的數(shù)學(xué)運算、文件處 理，基于簡單連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動化等發(fā)展到基于復(fù)雜的內(nèi)部網(wǎng)（I ntranet）、企業(yè)外部網(wǎng)（Extranet）、全球互聯(lián)網(wǎng)（Internet）的企業(yè)級計算機處理系統(tǒng)和 世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理能力提高的同時，系統(tǒng)的連接能力也在不斷 的提高。但在連接能力信息、流通能力提高的同時，基于網(wǎng)絡(luò)連接的安全問題也日益突出， 整體的網(wǎng)絡(luò)安全主要表現(xiàn)在以下幾個方面：網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng) 安全、應(yīng)用系統(tǒng)安全和網(wǎng)絡(luò)管理的安全等。因此計算機安全問題，應(yīng)該

4、像每家每戶的防火防盜問題一樣，做到防范于未然。甚至不 會想到你自己也會成為目標(biāo)的時候，威脅就已經(jīng)出現(xiàn)了，一旦發(fā)生，常常措手不及，造成極 大的損失。三、它與網(wǎng)絡(luò)性能和功能的關(guān)系通常，系統(tǒng)安全與性能和功能是一對矛盾的關(guān)系。如果某個系統(tǒng)不向外界提供任何服務(wù) （斷開），外界是不可能構(gòu)成安全威脅的。但是，企業(yè)接入國際互連網(wǎng)絡(luò)，提供網(wǎng)上商店和 電子商務(wù)等服務(wù)，等于將一個內(nèi)部封閉的網(wǎng)絡(luò)建成了一個開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系 統(tǒng)級的安全問題也隨之產(chǎn)生。構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)，一方面由于要進行認(rèn)證、加密、監(jiān)聽，分析、記錄等工作，由此影 響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的靈活性；另一方面也增加了管理費用。但是，來自網(wǎng)絡(luò)的

5、安全威脅是實際存在的，特別是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時，網(wǎng)絡(luò)安全 是首先要解決的問題。選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，制訂靈活的網(wǎng)絡(luò)安全策略，在保證網(wǎng)絡(luò)安全的情況下，提供靈 活的網(wǎng)絡(luò)服務(wù)通道。采用適當(dāng)?shù)陌踩w系設(shè)計和管理計劃，能夠有效降低網(wǎng)絡(luò)安全對網(wǎng)絡(luò)性能的影響并降低 管理費用。全方位的安全體系：與其它安全體系（如保安系統(tǒng)）類似，企業(yè)應(yīng)用系統(tǒng)的安全休系應(yīng)包含：訪問控制：通過對特定網(wǎng)段、服務(wù)建立的訪問控制體系，將絕大多數(shù)攻擊阻止在到達(dá)攻 擊目標(biāo)之前。檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多 數(shù)攻擊無效。攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻

6、擊， 并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)：良好的備份和恢復(fù)機制，可在攻擊造成損失時，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服 務(wù)。多層防御，攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。隱藏內(nèi)部信息，使攻擊者不能了解系統(tǒng)內(nèi)的基本情況。設(shè)立安全監(jiān)控中心，為信息系統(tǒng)提供安全體系管理、監(jiān)控，渠護及緊急情況服務(wù)。四、網(wǎng)絡(luò)安全分析物理安全分析網(wǎng)絡(luò)的物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。在校園網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐 壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計和施工中，

7、必須優(yōu)先考慮保護人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵 害；考慮布線系統(tǒng)與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系 統(tǒng)和絕緣線、裸體線以及接地與焊接的安全；必須建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必須 考慮計算機及其他弱電耐壓設(shè)備的防雷?？傮w來說物理安全的風(fēng)險主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故; 電源故障；人為操作失誤或錯誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機多冗余 的設(shè)計；機房環(huán)境及報警系統(tǒng)、安全意識等，因此要盡量避免網(wǎng)絡(luò)的物理安全風(fēng)險。2網(wǎng)絡(luò)結(jié)構(gòu)的安全分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計也直接影響到網(wǎng)絡(luò)系統(tǒng)的安全性。假如在外部和內(nèi)部網(wǎng)絡(luò)進行通信時

8、，內(nèi)部網(wǎng)絡(luò)的 機器安全就會受到威脅，同時也影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到連上Inter net/Intrant的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。因此，我們在設(shè)計時有必 要將公開服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進行必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信 息外泄；同時還要對外網(wǎng)的服務(wù)請求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機，其它的請求服務(wù) 在到達(dá)主機之前就應(yīng)該遭到拒絕。系統(tǒng)的安全分析所謂系統(tǒng)的安全是指整個網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺是否可靠且值得信任。目前恐怕沒有絕對安全 的操作系統(tǒng)可以選擇，無論是Microsfot的Wi

9、ndows NT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商 必然有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全安全的操作系統(tǒng)。不同的用戶應(yīng)從不同的 方面對其網(wǎng)絡(luò)作詳盡的分析，選擇安全性盡可能高的操作系統(tǒng)。因此不但要選用盡可能可靠的操作系統(tǒng)和 硬件平臺，并對操作系統(tǒng)進行安全配置。而且，必須加強登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機之前 的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。應(yīng)用系統(tǒng)的安全分析應(yīng)用系統(tǒng)的安全跟具體的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安 全性也涉及到信息的安全性，它包括很多方面。應(yīng)

10、用系統(tǒng)的安全是動態(tài)的、不斷變化的。應(yīng)用的安全涉及方面很多，以目前Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來說，其解決方案有send mail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server SU N CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用 類型是不斷增加的。在應(yīng)用系統(tǒng)的安全性上，主要考慮盡可能建立安全的系統(tǒng)平臺，而且通過專業(yè)的安全 工具不斷發(fā)現(xiàn)漏洞，修補漏洞，提高系統(tǒng)的安全性。應(yīng)用的安全性涉及到信息、數(shù)據(jù)的安全性。信息

11、的安全性涉及到機密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經(jīng)濟、社會影響和政 治影響將是很嚴(yán)重的。因此，對用戶使用計算機必須進行身份認(rèn)證，對于重要信息的通訊必須授權(quán)，傳輸 必須加密。采用多層次的訪問控制與權(quán)限控制手段，實現(xiàn)對數(shù)據(jù)的安全保護；采用加密技術(shù)，保證網(wǎng)上傳 輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機密性與完整性。管理的安全風(fēng)險分析管理是網(wǎng)絡(luò)中安全最最重要的部分。責(zé)權(quán)不明，安全管理制度不健全及缺乏可操作性等都可能引起管 理安全的風(fēng)險。當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時（

12、如內(nèi)部人員的違規(guī)操作等），無法進 行實時的檢測、監(jiān)控、報告與預(yù)警。同時，當(dāng)事故發(fā)生后，也無法提供黑客攻擊行為的追蹤線索及破案依 據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發(fā) 現(xiàn)非法入侵行為。建立全新網(wǎng)絡(luò)安全機制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是制定健 全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的安全運行，使其成為一個具有良好的安全性、可擴充性和易 管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的安全隱患成為事實，所造成的對整個網(wǎng)絡(luò)的損失都是難 以估計的。因此，網(wǎng)絡(luò)的安全建設(shè)是校園網(wǎng)建設(shè)過程中重要的一環(huán)。五、網(wǎng)絡(luò)安全措施1.安全

13、技術(shù)手段物理措施：例如，保護網(wǎng)絡(luò)關(guān)鍵設(shè)備（如交換機、大型計算機等），制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采 取防輻射、防火以及安裝不間斷電源（UPS）等措施。訪問控制：對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進行嚴(yán)格的認(rèn)證和控制。例如，進行用戶身份認(rèn)證，對口令加 密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等。數(shù)據(jù)加密：加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防 止計算機網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。網(wǎng)絡(luò)隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實現(xiàn)的。隔離卡主要用于對單臺機器的隔離，網(wǎng)閘主要用于對于整個網(wǎng)絡(luò)的隔離。這

14、兩者的區(qū)別可參見參考資 料4其他措施：其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。近年來，圍繞網(wǎng)絡(luò)安全問 題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進行加密， 到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對網(wǎng)絡(luò)的 隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限。2安全防范意識擁有網(wǎng)絡(luò)安全意識是保證網(wǎng)絡(luò)安全的重要前提。許多網(wǎng)絡(luò)安全事件的發(fā)生都和缺乏安全防范意識有關(guān)。六、網(wǎng)絡(luò)安全案例1.概況隨著計算機技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。有很多是敏感信息，甚至是國家機 密。所以難免會吸引來自世界各地

15、的各種人為攻擊（例如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)刪添、計 算機病毒等九同時，網(wǎng)絡(luò)實體還要經(jīng)受諸如水災(zāi)、火災(zāi)、地震、電磁輻射等方面的考驗。計算機犯罪案件也急劇上升，計算機犯罪已經(jīng)成為普遍的國際性問題。據(jù)美國聯(lián)邦調(diào)查局的報告，計 算機犯罪是商業(yè)犯罪中最大的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計算機犯罪造成的 經(jīng)濟損失高達(dá)50億美元。2國外1996年初，據(jù)美國舊金山的計算機安全協(xié)會與聯(lián)邦調(diào)查局的一次聯(lián)合調(diào)查統(tǒng)計，有53%的企業(yè)受到 過計算機病毒的侵害，42%的企業(yè)的計算機系統(tǒng)在過去的12個月被非法使用過。而五角大樓的一個研究 小組稱美國一年中遭受的攻擊就達(dá)25萬次之多。199

16、4年末，俄羅斯黑客弗拉基米爾？利文與其伙伴從圣彼得堡的一家小軟件公司的聯(lián)網(wǎng)計算機上，向 美國CITYBANK銀行發(fā)動了一連串攻擊，通過電子轉(zhuǎn)帳方式，從CITYBANK銀行在紐約的計算機主機里 竊取1100萬美元。1996年8月17日，美國司法部的網(wǎng)絡(luò)服務(wù)器遭到黑客入侵，并將“美國司法部”的主頁改為“美國不 公正部”，將司法部部長的照片換成了阿道夫?希特勒，將司法部徽章?lián)Q成了納粹黨徽，并加上一幅色情女 郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。1996年9月18日，黑客又光顧美國中央情報局的網(wǎng)絡(luò)服務(wù)器，將其主頁由“中央情報局”改為“中央 愚蠢局”。1996年12月

17、29日，黑客侵入美國空軍的全球網(wǎng)網(wǎng)址并將其主頁肆意改動，其中有關(guān)空軍介紹、新 聞發(fā)布等內(nèi)容被替換成一段簡短的黃色錄象，且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度 關(guān)閉了其他80多個軍方網(wǎng)址。3.國內(nèi)1996年2月，剛開通不久的Chinanet受到攻擊，且攻擊得逞。1997年初，北京某ISP被黑客成功侵入，并在清華大學(xué)“水木清華” BBS站的“黑客與解密”討論區(qū) 張貼有關(guān)如何免費通過該ISP進入Internet的文章。1997年4月23日，美國德克薩斯州內(nèi)查德遜地區(qū)西南貝爾互聯(lián)網(wǎng)絡(luò)公司的某個PPP用戶侵入中國互 聯(lián)網(wǎng)絡(luò)信息中心的服務(wù)器，破譯該系統(tǒng)的shutdown帳戶，把中國互聯(lián)網(wǎng)信息

18、中心的主頁換成了一個笑嘻 嘻的骷髏頭。1996年初CHINANET受到某高校的一個研究生的攻擊；96年秋，北京某ISP和它的用戶發(fā)生了一些 矛盾，此用戶便攻擊該ISP的服務(wù)器，致使服務(wù)中斷了數(shù)小時。2010年，Google發(fā)布公告稱講考慮退出中國市場，而公告中稱：造成此決定的重要原因是因為Goo gle被黑客攻擊。七網(wǎng)絡(luò)安全類型運行系統(tǒng)安全，即保證信息處理和傳輸系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運行，避免因為系統(tǒng)的崩 潰和損壞而對系統(tǒng)存貯、處理和傳輸?shù)男畔⒃斐善茐暮蛽p失，避免由于電磁泄漏，產(chǎn)生信息泄露，干擾他 人，受他人干擾。網(wǎng)絡(luò)上系統(tǒng)信息的安全。包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限

19、、方式控制，安全審 計，安全問題跟蹤，計算機病毒防治，數(shù)據(jù)加密。網(wǎng)絡(luò)上信息傳播安全，即信息傳播后果的安全。包括信息過濾等。它側(cè)重于防止和控制非法、有害的 信息進行傳播后的后果。避免公用網(wǎng)絡(luò)上大量自由傳輸?shù)男畔⑹Э?。網(wǎng)絡(luò)上信息內(nèi)容的安全。它側(cè)重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統(tǒng)的安全 漏洞進行竊聽、冒充、詐騙等有損于合法用戶的行為。本質(zhì)上是保護用戶的利益和隱私。八.網(wǎng)絡(luò)安全特征網(wǎng)絡(luò)安全應(yīng)具有以下四個方面的特征：保密性：信息不泄露給非授權(quán)用戶、實體或過程，或供其利用的特性。完整性：數(shù)據(jù)未經(jīng)授權(quán)不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和 丟失的特性?？捎?/p>

20、性：可被授權(quán)實體訪問并按需求使用的特性。即當(dāng)需要時能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下 拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運行等都屬于對可用性的攻擊；可控性：對信息的傳播及內(nèi)容具有控制能力。九.威脅網(wǎng)絡(luò)安全因素自然災(zāi)害、意外事故；計算機犯罪；人為行為，比如使用不當(dāng)，安全意識差等；黑客”行為：由于黑 客的入侵或侵?jǐn)_，比如非法訪問、拒絕服務(wù)計算機病毒、非法連接等；內(nèi)部泄密；外部泄密；信息丟失； 電子諜報，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的安全問題 等等。網(wǎng)絡(luò)安全威脅主要包括兩類：滲入威脅和植入威脅滲入威脅主要有：假冒、旁路控制、授權(quán)侵犯； 植入威脅主要有：

21、特洛伊木馬、陷門。陷門：將某一“特征”設(shè)立于某個系統(tǒng)或系統(tǒng)部件之中，使得在提供特定的輸入數(shù)據(jù)時，允許安全策略 被違反。十.網(wǎng)絡(luò)安全的結(jié)構(gòu)層次1、物理安全自然災(zāi)害（如雷電、地震、火災(zāi)等），物理損壞（如硬盤損壞、設(shè)備使用壽命到期等），設(shè)備故障（如停電、 電磁干擾等），意外事故。解決方案是：防護措施，安全制度，數(shù)據(jù)備份等。電磁泄漏，信息泄漏，干擾他人，受他人干擾，乘機而入（如進入安全進程后半途離開），痕跡泄露（如 口令密鑰等保管不善九解決方案是：輻射防護，屏幕口令，隱藏銷毀等。操作失誤（如刪除文件，格式化硬盤，線路拆除等），意外疏漏。解決方案是：狀態(tài)檢測，報警確認(rèn)， 應(yīng)急恢復(fù)等。計算機系統(tǒng)機房環(huán)境的

22、安全。特點是：可控性強，損失也大。解決方案：加強機房管理，運行管理， 安全組織和人事管理。2、安全控制微機操作系統(tǒng)的安全控制。如用戶開機鍵入的口令（某些微機主板有“萬能口令”），對文件的讀寫存 取的控制（如Unix系統(tǒng)的文件屬性控制機制）。主要用于保護存貯在硬盤上的信息和數(shù)據(jù)。網(wǎng)絡(luò)接口模塊的安全控制。在網(wǎng)絡(luò)環(huán)境下對來自其他機器的網(wǎng)絡(luò)通信進程進行安全控制。主要包括： 身份認(rèn)證，客戶權(quán)限設(shè)置與判別，審計日志等。網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。對整個子網(wǎng)內(nèi)的所有主機的傳輸信息和運行狀態(tài)進行安全監(jiān)測和控制。主要通過網(wǎng)管軟件或路由器配置實現(xiàn)。3、安全服務(wù)對等實體認(rèn)證服務(wù)訪問控制服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)

23、源點認(rèn)證服務(wù)禁止否認(rèn)服務(wù)4、安全機制加密機制數(shù)字簽名機制訪問控制機制數(shù)據(jù)完整性機制認(rèn)證機制信息流填充機制路由控制機制公證機制.網(wǎng)絡(luò)加密方式鏈路加密方式節(jié)點對節(jié)點加密方式端對端加密方式十二.TCP/IP協(xié)議的安全問題TCP/IP協(xié)議數(shù)據(jù)流采用明文傳輸。源地址欺騙(Source address spoofing)或 IP欺騙(IP spoofing)。源路由選擇欺騙(Source Routing spoofing)。路由選擇信息協(xié)議攻擊(RIP Attacks)o鑒別攻擊(Authentication Attacks )TCP 序列號欺騙(TCP Sequence number spoofing)

24、。TCP序列號轟炸攻擊(TCP SYN Flooding Attack)，簡稱SYN攻擊。 易欺騙性(Ease of spoofing)o十三.網(wǎng)絡(luò)安全工具掃描器：是自動檢測遠(yuǎn)程或本地主機安全性弱點的程序，一個好的掃描器相當(dāng)于一千個口令的價值。如何工作：TCP端口掃描器，選擇TCP/IP端口和服務(wù)(比如FTP)，并記錄目標(biāo)的回答，可收集關(guān)于 目標(biāo)主機的有用信息(是否可匿名登錄，是否提供某種服務(wù))。掃描器告訴我們什么：能發(fā)現(xiàn)目標(biāo)主機的內(nèi) 在弱點，這些弱點可能是破壞目標(biāo)主機的關(guān)鍵因素。系統(tǒng)管理員使用掃描器，將有助于加強系統(tǒng)的安全性。 黑客使用它，對網(wǎng)絡(luò)的安全將不利。掃描器的屬性：1、尋找一臺機器或

25、一個網(wǎng)絡(luò)。2、一旦發(fā)現(xiàn)一臺機器，可以找出機器上正在運行的服 務(wù)。3、測試哪些服務(wù)具有漏洞。目前流行的掃描器：1、NSS網(wǎng)絡(luò)安全掃描器，2、stroke超級優(yōu)化TCP端口檢測程序，可記錄指定 機器的所有開放端口。3、SATAN安全管理員的網(wǎng)絡(luò)分析工具。4、JAKAL。5、XSCAN。一般比較流行的網(wǎng)絡(luò)安全硬件還有：入侵防御設(shè)備(IPS),入侵監(jiān)測設(shè)備(IDS)，一體化安全網(wǎng)關(guān)(U TM)，較早的安全硬件還有硬件防火墻，但該隨著UTM的出現(xiàn)，已經(jīng)慢慢被替代。十四.黑客常用的信息收集工具信息收集是突破網(wǎng)絡(luò)系統(tǒng)的第一步。黑客可以使用下面幾種工具來收集所需信息:1、SNMP協(xié)議SNMP協(xié)議，用來查閱非安

26、全路由器的路由表，從而了解目標(biāo)機構(gòu)網(wǎng)絡(luò)拓?fù)涞膬?nèi)部細(xì)節(jié)。簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol SNMP)首先是由Internet工程任務(wù)組 織(Internet Engineering Task Force)(IETF)的研究小組為了解決Internet上的路由器管理問題而提出的.S NMP被設(shè)計成與協(xié)議無關(guān)，所以它可以在IP，IPX，AppleTalk，OSI以及其他用到的傳輸協(xié)議上被使用。2、TraceRoute 程序TraceRoute程序，得出到達(dá)目標(biāo)主機所經(jīng)過的網(wǎng)絡(luò)數(shù)和路由器數(shù)。Traceroute程序是同Van Jacobson編 寫

27、的能深入探索TCPIP協(xié)議的方便可用的工具.它能讓我們看到數(shù)據(jù)報從一臺主機傳到另一臺主機所經(jīng)過 的路由.Traceroute程序還可以上我們使用IP源路由選項，讓源主機指定發(fā)送路由3、Whois 協(xié)議Whois協(xié)議，它是一種信息服務(wù)，能夠提供有關(guān)所有DNS域和負(fù)責(zé)各個域的系統(tǒng)管理員數(shù)據(jù)。（不過這些 數(shù)據(jù)常常是過時的）。WHOIS協(xié)議。其基本內(nèi)容是，先向服務(wù)器的TCP端口 43建立一個連接，發(fā)送查詢 關(guān)鍵字并加上回車換行，然后接收服務(wù)器的查詢結(jié)果。4、DNS服務(wù)器DNS服務(wù)器是Domain Name System或者Domain Name Service （域名系統(tǒng)或者域名服務(wù)）。域名 系統(tǒng)為I

28、nternet上的主機分配域名地址和IP地址。用戶使用域名地址，該系統(tǒng)就會自動把域名地址轉(zhuǎn)為I P地址。域名服務(wù)是運行域名系統(tǒng)的Internet工具。執(zhí)行域名服務(wù)的服務(wù)器稱之為DNS服務(wù)器，通過DN S服務(wù)器來應(yīng)答域名服務(wù)的查詢5、Finger 協(xié)議Finger協(xié)議，能夠提供特定主機上用戶們的詳細(xì)信息（注冊名、電話號碼、最后一次注冊的時間等）。6、Ping實用程序Ping實用程序，可以用來確定一個指定的主機的位置并確定其是否可達(dá)。把這個簡單的工具用在掃描 程序中，可以Ping網(wǎng)絡(luò)上每個可能的主機地址，從而可以構(gòu)造出實際駐留在網(wǎng)絡(luò)上的主機清單。它是用來 檢查網(wǎng)絡(luò)是否通暢或者網(wǎng)絡(luò)連接速度的命令。作

29、為一個生活在網(wǎng)絡(luò)上的管理員或者黑客來說，ping命令是 第一個必須掌握的DOS命令，它所利用的原理是這樣的：網(wǎng)絡(luò)上的機器都有唯一確定的IP地址，我們給 目標(biāo)IP地址發(fā)送一個數(shù)據(jù)包，對方就要返回一個同樣大小的數(shù)據(jù)包，根據(jù)返回的數(shù)據(jù)包我們可以確定目標(biāo) 主機的存在，可以初步判斷目標(biāo)主機的操作系統(tǒng)等，當(dāng)然，它也可用來測定連接速度和丟包率。使用方法（XP系統(tǒng)下）開始-運行-CMD-確定-輸入ping -回車為你需要的IP。部分防火墻會將ping禁止，故可能會提示timed out （超時）等情況 判斷操作系統(tǒng)，則是看返回的TTL值。十五.Internet防火墻Internet防火墻是這樣的系統(tǒng)（或一組系

30、統(tǒng)），它能增強機構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪 些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員 訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經(jīng)過防火墻，接受防火墻的檢查。防 火墻只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必須能夠免于滲透。1、Internet防火墻與安全策略的關(guān)系防火墻不僅僅是路由器、堡壘主機、或任何提供網(wǎng)絡(luò)安全的設(shè)備的組合，防火墻是安全策略的一個部 分。安全策略建立全方位的防御體系，甚至包括：告訴用戶應(yīng)有的責(zé)任，公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、 本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護措

31、施，以及雇員培訓(xùn)等。所有可能受到 攻擊的地方都必須以同樣安全級別加以保護。僅設(shè)立防火墻系統(tǒng)，而沒有全面的安全策略，那么防火墻就形同虛設(shè)。2、防火墻的好處Internet防火墻負(fù)責(zé)管理Internet和機構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時，內(nèi)部網(wǎng)絡(luò)上的每個節(jié) 點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的安全性要由每一個主機的堅固 程度來決定，并且安全性等同于其中最弱的系統(tǒng)。3、Internet防火墻的作用Internet防火墻允許網(wǎng)絡(luò)管理員定義一個中心“扼制點”來防止非法用戶，比如防止黑客、網(wǎng)絡(luò)破壞者 等進入內(nèi)部網(wǎng)絡(luò)。禁止存在安全脆弱性的服務(wù)進出網(wǎng)絡(luò)，并抗擊來自各

32、種路線的攻擊internet防火墻能夠 簡化安全管理，網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機上。在防火墻上可以很方便的監(jiān)視網(wǎng)絡(luò)的安全性，并產(chǎn)生報警。（注意：對一個與Internet相聯(lián)的內(nèi)部網(wǎng)絡(luò) 來說，重要的問題并不是網(wǎng)絡(luò)是否會受到攻擊，而是何時受到攻擊？誰在攻擊？）網(wǎng)絡(luò)管理員必須審計并 記錄所有通過防火墻的重要信息。如果網(wǎng)絡(luò)管理員不能及時響應(yīng)報警并審查常規(guī)記錄，防火墻就形同虛設(shè)。 在這種情況下，網(wǎng)絡(luò)管理員永遠(yuǎn)不會知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT（Network Address Translator，網(wǎng)絡(luò)地址變換）的邏輯地址。因此

33、防火墻可以用來緩解地址空間短缺的問題，并消除機構(gòu)在變換ISP時帶來的重新編址的麻煩。Internet防火墻是審計和記錄Internet使用量的一個最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門提供I nternet連接的費用情況，查出潛在的帶寬瓶頸的位置，并根據(jù)機構(gòu)的核算模式提供部門級計費。十六.Internet安全隱患的主要體現(xiàn)Internet是一個開放的、無控制機構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）經(jīng)常會侵入網(wǎng)絡(luò)中的計算機系統(tǒng)， 或竊取機密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。Internet的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取

34、 的安全措施。Internet上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)來支持，Unix操作系統(tǒng)中明顯存在的安全脆弱性問 題會直接影響安全服務(wù)。在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。 信息的來源和去向是否真實，內(nèi)容是否被改動，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑著君子 協(xié)定來維系的。電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的 危險。計算機病毒通過Internet的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計算機和計算機網(wǎng)絡(luò)系統(tǒng) 癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡(luò)上傳播病毒可以通過公共匿名FTP文件傳送、也可

35、以通過郵件和郵件的附 加文件傳播。十七.網(wǎng)絡(luò)安全攻擊的形式主要有四種方式L中斷、截獲、修改和偽造。中斷是以可用性作為攻擊目標(biāo)，它毀壞系統(tǒng)資源，使網(wǎng)絡(luò)不可用。截獲是以保密性作為攻擊目標(biāo)，非授權(quán)用戶通過某種手段獲得對系統(tǒng)資源的訪問。修改是以完整性作為攻擊目標(biāo)，非授權(quán)用戶不僅獲得訪問而且對數(shù)據(jù)進行修改。偽造是以完整性作為攻擊目標(biāo)，非授權(quán)用戶將偽造的數(shù)據(jù)插入到正常傳輸?shù)臄?shù)據(jù)中。網(wǎng)絡(luò)安全的解決方案一、入侵檢測系統(tǒng)部署入侵檢測能力是衡量一個防御體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火 墻相對靜態(tài)防御的不足。對來自外部網(wǎng)和校園網(wǎng)內(nèi)部的各種行為進行實時檢測，及時發(fā)現(xiàn)各種可能的攻擊 企圖，

36、并采取相應(yīng)的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統(tǒng)集入侵檢測、 網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實時捕獲內(nèi)外網(wǎng)之間傳輸?shù)乃袛?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用 模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和異常現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)事件，作為 網(wǎng)絡(luò)管理員事后分析的依據(jù)；如果情況嚴(yán)重，系統(tǒng)可以發(fā)出實時報警，使得學(xué)校管理員能夠及時采取應(yīng)對 措施。二、漏洞掃描系統(tǒng)采用目前最先進的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機等進行安全檢查，并根據(jù)檢查結(jié)果向 系統(tǒng)管理員提供詳細(xì)可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。三、網(wǎng)絡(luò)版殺毒產(chǎn)品部署在該網(wǎng)絡(luò)防病毒方案

37、中，我們最終要達(dá)到一個目的就是：要在整個局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和 發(fā)作，為了實現(xiàn)這一點，我們應(yīng)該在整個網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方采取相應(yīng)的防病毒手段。同時 為了有效、快捷地實施和管理整個網(wǎng)絡(luò)的防病毒體系，應(yīng)能實現(xiàn)遠(yuǎn)程安裝、智能升級、遠(yuǎn)程報警、集中管 理、分布查殺等多種功能。十八.網(wǎng)絡(luò)安全設(shè)備在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用市場蓬勃發(fā)展的帶動下，近年來網(wǎng)絡(luò)安全市場迎來了高速發(fā)展期，一方面隨著 網(wǎng)絡(luò)的延伸，網(wǎng)絡(luò)規(guī)模迅速擴大，安全問題變得日益復(fù)雜，建設(shè)可管、可控、可信的網(wǎng)絡(luò)也是進一步推進 網(wǎng)絡(luò)應(yīng)用發(fā)展的前提；另一方面隨著網(wǎng)絡(luò)所承載的業(yè)務(wù)日益復(fù)雜，保證應(yīng)用層安全是網(wǎng)絡(luò)安全發(fā)展的新的 方向。隨著網(wǎng)絡(luò)技術(shù)的

38、快速發(fā)展，原來網(wǎng)絡(luò)威脅單點疊加式的防護手段已經(jīng)難以有效抵御日趨嚴(yán)重的混合型 安全威脅。構(gòu)建一個局部安全、全局安全、智能安全的整體安全體系，為用戶提供多層次、全方位的立體 防護體系成為信息安全建設(shè)的新理念。在此理念下，網(wǎng)絡(luò)安全產(chǎn)品將發(fā)生了一系列的變革。結(jié)合實際應(yīng)用需求，在新的網(wǎng)絡(luò)安全理念的指引下，網(wǎng)絡(luò)安全解決方案正向著以下幾個方向來發(fā)展： 主動防御走向市場主動防御的理念已經(jīng)發(fā)展了一些年，但是從理論走向應(yīng)用一直存在著多種阻礙。主動防御主要是通過 分析并掃描指定程序或線程的行為，根據(jù)預(yù)先設(shè)定的規(guī)則，判定是否屬于危險程序或病毒，從而進行防御 或者清除操作。不過，從主動防御理念向產(chǎn)品發(fā)展的最重要因素就是

39、智能化問題。由于計算機是在一系列 的規(guī)則下產(chǎn)生的，如何發(fā)現(xiàn)、判斷、檢測威脅并主動防御，成為主動防御理念走向市場的最大阻礙。由于主動防御可以提升安全策略的執(zhí)行效率，對企業(yè)推進網(wǎng)絡(luò)安全建設(shè)起到了積極作用，所以盡管其 產(chǎn)品還不完善，但是隨著未來幾年技術(shù)的進步，以程序自動監(jiān)控、程序自動分析、程序自動診斷為主要功 能的主動防御型產(chǎn)品將與傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備相結(jié)合。尤其是隨著技術(shù)的發(fā)展，高效準(zhǔn)確的對病毒、蠕蟲、 木馬等惡意攻擊行為的主動防御產(chǎn)品將逐步發(fā)展成熟并推向市場，主動防御技術(shù)走向市場將成為一種必然 的趨勢。安全技術(shù)融合備受重視隨著網(wǎng)絡(luò)技術(shù)的日新月異，網(wǎng)絡(luò)普及率的快速提高，網(wǎng)絡(luò)所面臨的潛在威脅也越來越大，

40、單一的防護 產(chǎn)品早已不能滿足市場的需要。發(fā)展網(wǎng)絡(luò)安全整體解決方案已經(jīng)成為必然趨勢，用戶對務(wù)實有效的安全整 體解決方案需求愈加迫切。安全整體解決方案需要產(chǎn)品更加集成化、智能化、便于集中管理。未來幾年開 發(fā)網(wǎng)絡(luò)安全整體解決方案將成為主要廠商差異化競爭的重要手段。軟硬結(jié)合，管理策略走入安全整體解決方案面對規(guī)模越來越龐大和復(fù)雜的網(wǎng)絡(luò)，僅依靠傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備來保證網(wǎng)絡(luò)層的安全和暢通已經(jīng)不能 滿足網(wǎng)絡(luò)的可管、可控要求，因此以終端準(zhǔn)入解決方案為代表的網(wǎng)絡(luò)管理軟件開始融合進整體的安全解決 方案。終端準(zhǔn)入解決方案通過控制用戶終端安全接入網(wǎng)絡(luò)入手，對接入用戶終端強制實施用戶安全策略， 嚴(yán)格控制終端網(wǎng)絡(luò)使用行為，

41、為網(wǎng)絡(luò)安全提供了有效保障，幫助用戶實現(xiàn)更加主動的安全防護，實現(xiàn)高效、 便捷地網(wǎng)絡(luò)管理目標(biāo)，全面推動網(wǎng)絡(luò)整體安全體系建設(shè)的進程。十九.電子商務(wù)網(wǎng)絡(luò)安全問題電子商務(wù)安全從整體上可分為兩大部分：計算機網(wǎng)絡(luò)安全和商務(wù)交易安全（一）計算機網(wǎng)絡(luò)安全的內(nèi)容包括：（1）未進行操作系統(tǒng)相關(guān)安全配置不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性 進行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很 強的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和“后門”是進行網(wǎng)絡(luò)攻擊的首選目標(biāo)。（2）未進行CGI程序代碼審計如果是通用的CGI問題，防范起

42、來還稍微容易一些，但是對于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI 程序，很多存在嚴(yán)重的CGI問題，對于電子商務(wù)站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物 等嚴(yán)重后果。（3）拒絕服務(wù)（DoS，Denial of Service）攻擊隨著電子商務(wù)的興起，對網(wǎng)站的實時性要求越來越高，DoS或DDoS對網(wǎng)站的威脅越來越大。以網(wǎng)絡(luò) 癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強烈，破壞性更大，造成危害的速度更 快，范圍也更廣，而襲擊者本身的風(fēng)險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對方 沒有實行報復(fù)打擊的可能。今年2月美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。

43、（4）安全產(chǎn)品使用不當(dāng)雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起 到應(yīng)有的作用。很多安全廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對普通網(wǎng)管人員的技術(shù)要求， 就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動，需要改動相關(guān)安全產(chǎn)品的設(shè)置時，很 容易產(chǎn)生許多安全問題。（5）缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。 建立和實施嚴(yán)密的計算機網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。（二）計算機商務(wù)交易安全的內(nèi)容包括：（1）竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明

44、文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可 以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成 網(wǎng)上傳輸信息泄密。（2）篡改信息當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修 改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。（3）假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動 獲取信息，而遠(yuǎn)端用戶通常很難分辨。惡意破壞由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng) 絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。

45、二十.電子商務(wù)網(wǎng)絡(luò)安全問題的對策電子商務(wù)的一個重要技術(shù)特征是利用計算機技術(shù)來傳輸和處理商業(yè)信息。因此，電子商務(wù)安全問題的 對策從整體上可分為計算機網(wǎng)絡(luò)安全措施和商務(wù)交易安全措施兩大部分。1 .計算機網(wǎng)絡(luò)安全措施計算機網(wǎng)絡(luò)安全措施主要包括保護網(wǎng)絡(luò)安全、保護應(yīng)用服務(wù)安全和保護系統(tǒng)安全三個方面，各個方面 都要結(jié)合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。保護網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是為保護商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性。保證機密性、完整性、認(rèn)證性和訪問 控制性是網(wǎng)絡(luò)安全的重要因素。保護網(wǎng)絡(luò)安全的主要措施如下：全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略。制定網(wǎng)絡(luò)安全的管理措施。使用防火墻。

46、盡可能記錄網(wǎng)絡(luò)上的一切活動。注意對網(wǎng)絡(luò)設(shè)備的物理保護。檢驗網(wǎng)絡(luò)平臺系統(tǒng)的脆弱性。建立可靠的識別和鑒別機制。保護應(yīng)用安全。保護應(yīng)用安全，主要是針對特定應(yīng)用(如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng))所建立的安全防護措 施，它獨立于網(wǎng)絡(luò)的任何其他安全防護措施。雖然有些防護措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊， 如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對網(wǎng)絡(luò)支付結(jié)算信息包的加密，都通過IP層加密，但是許多應(yīng)用 還有自己的特定安全要求。由于電子商務(wù)中的應(yīng)用層對安全的要求最嚴(yán)格、最復(fù)雜，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取 各種安全措施。雖然網(wǎng)絡(luò)層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商

47、務(wù)應(yīng)用的安全性。應(yīng)用 層上的安全業(yè)務(wù)可以涉及認(rèn)證、訪問控制、機密性、數(shù)據(jù)完整性、不可否認(rèn)性、Web安全性、EDI和網(wǎng)絡(luò) 支付等應(yīng)用的安全性。保護系統(tǒng)安全。保護系統(tǒng)安全，是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進行安全防護，它與網(wǎng)絡(luò)系統(tǒng)硬件平 臺、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施：（1）在安裝的軟件中，如瀏覽器軟件、電子錢包軟件、支付網(wǎng)關(guān)軟件等，檢查和確認(rèn)未知的安全漏洞。（2）技術(shù)與管理相結(jié)合，使系統(tǒng)具有最小穿透風(fēng)險性。如通過諸多認(rèn)證才允許連通，對所有接入數(shù)據(jù) 必須進行審計，對系統(tǒng)用戶進行嚴(yán)格安全管理。（3）建立詳細(xì)的安全審計日志，以便檢測并跟蹤入侵

48、攻擊等。2 .商務(wù)交易安全措施商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基 礎(chǔ)上，如何保障電子商務(wù)過程的順利進行。各種商務(wù)交易安全服務(wù)都是通過安全技術(shù)來實現(xiàn)的，主要包括加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)安全協(xié) 議等。（一）加密技術(shù)。加密技術(shù)是電子商務(wù)采取的基本安全措施，交易雙方可根據(jù)需要在信息交換的階段使用。加密技術(shù)分 為兩類，即對稱加密和非對稱加密。（1）對稱加密。對稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是 加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在 密鑰交

49、換階段未曾泄露，那么機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發(fā) 送報文摘要或報文散列值來實現(xiàn)。（2）非對稱加密。非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發(fā)布（即公鑰）， 另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向 其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密后再發(fā)送給甲方，甲方再用自己保存的私 鑰對加密信息進行解密。（二）認(rèn)證技術(shù)。認(rèn)證技術(shù)是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術(shù)，即確認(rèn)雙方的身份信息在傳 送或存儲過程中未被篡改過。（1）數(shù)字簽名。數(shù)字簽名也稱

50、電子簽名，如同出示手寫簽名一樣，能起到電子文件認(rèn)證、核準(zhǔn)和生效的作用。其實現(xiàn) 方式是把散列函數(shù)和公開密鑰算法結(jié)合起來，發(fā)送方從報文文本中生成一個散列值，并用自己的私鑰對這 個散列值進行加密，形成發(fā)送方的數(shù)字簽名；然后，將這個數(shù)字簽名作為報文的附件和報文一起發(fā)送給報 文的接收方；報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發(fā)送方的公開密鑰來對報 文附加的數(shù)字簽名進行解密；如果這兩個散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。數(shù)字 簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充、篡改等問題。（2）數(shù)字證書。數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰的

51、文件數(shù)字證書的最主要構(gòu) 成包括一個用戶公鑰，加上密鑰所有者的用戶身份標(biāo)識符，以及被信任的第三方簽名第三方一般是用戶信 任的證書權(quán)威機構(gòu)（CA），如政府部門和金融機構(gòu)。用戶以安全的方式向公鑰證書權(quán)威機構(gòu)提交他的公鑰 并得到證書，然后用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，并通過相關(guān)的信 任簽名來驗證公鑰的有效性。數(shù)字證書通過標(biāo)志交易各方身份信息的一系列數(shù)據(jù)，提供了一種驗證各自身 份的方式，用戶可以用它來識別對方的身份。（三）電子商務(wù)的安全協(xié)議。除上文提到的各種安全技術(shù)之外，電子商務(wù)的運行還有一套完整的安全協(xié)議。目前，比較成熟的協(xié)議 有 SET、SSL 等。（1）安全套接層協(xié)

52、議SSL。SSL協(xié)議位于傳輸層和應(yīng)用層之間，由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報協(xié)議組成的。SSL 握手協(xié)議被用來在客戶與服務(wù)器真正傳輸應(yīng)用層數(shù)據(jù)之前建立安全機制。當(dāng)客戶與服務(wù)器第一次通信時， 雙方通過握手協(xié)議在版本號、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成一致，然后互相驗證對方 身份，最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個只有雙方知道的秘密信息，客戶和服務(wù)器各自根據(jù)此秘密 信息產(chǎn)生數(shù)據(jù)加密算法和Hash算法參數(shù)。SSL記錄協(xié)議根據(jù)SSL握手協(xié)議協(xié)商的參數(shù)，對應(yīng)用層送來的 數(shù)據(jù)進行加密、壓縮、計算消息鑒別碼MAC，然后經(jīng)網(wǎng)絡(luò)傳輸層發(fā)送給對方SSL警報協(xié)議用來在客戶和 服務(wù)器之間傳

53、遞SSL出錯信息。（2）安全電子交易協(xié)議SET。SET協(xié)議用于劃分與界定電子商務(wù)活動中消費者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利 義務(wù)關(guān)系，給定交易信息傳送流程標(biāo)準(zhǔn)。SET主要由三個文件組成，分別是SET業(yè)務(wù)描述、SET程序員 指南和SET協(xié)議描述。SET協(xié)議保證了電子商務(wù)系統(tǒng)的機密性、數(shù)據(jù)的完整性、身份的合法性。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計的。它位于應(yīng)用層，其認(rèn)證體系十分完善，能實現(xiàn)多方認(rèn)證。在S ET的實現(xiàn)中，消費者帳戶信息對商家來說是保密的。但是SET協(xié)議十分復(fù)雜，交易數(shù)據(jù)需進行多次驗證， 用到多個密鑰以及多次加密解密。而且在SET協(xié)議中除消費者與商家外，還有發(fā)卡行、收單行

54、、認(rèn)證中心、 支付網(wǎng)關(guān)等其它參與者。二一.未來網(wǎng)絡(luò)安全趨勢未來二三十年，信息戰(zhàn)在軍事決策與行動方面的作用將顯著增強。在諸多決定性因素中包括以下幾點： 互聯(lián)網(wǎng)、無線寬帶及射頻識別等新技術(shù)的廣泛應(yīng)用；實際戰(zhàn)爭代價高昂且不得人心，以及這樣一種可能性， 即許多信息技術(shù)可秘密使用，使黑客高手能夠反復(fù)打進對手的計算機網(wǎng)絡(luò)。（1）技術(shù)對經(jīng)濟與社會的支配力量日益加重在所有的領(lǐng)域，新的技術(shù)不斷超越先前的最新技術(shù)。便攜式電腦和有上網(wǎng)功能的手機使用戶一周7天、 一天24小時都可收發(fā)郵件，瀏覽網(wǎng)頁。對信息戰(zhàn)與運作的影響：技術(shù)支配力量不斷加強是網(wǎng)絡(luò)戰(zhàn)的根本基礎(chǔ)。復(fù)雜且常是精微的技術(shù)增加了 全世界的財富，提高了全球的效率

55、。然而，它同時也使世界變得相對脆弱，因為，在意外情況使計算機的 控制與監(jiān)視陷于混亂時，維持行業(yè)和支持系統(tǒng)的運轉(zhuǎn)就非常困難，而發(fā)生這種混亂的可能性在迅速增加。 根據(jù)未來派學(xué)者約瑟夫科茨的觀點，一個常被忽視的情況是犯罪組織對信息技術(shù)的使用。時在2015年， 黑手黨通過電子手段消除了得克薩斯州或內(nèi)布拉斯加州一家中型銀行的所有記錄，然后悄悄訪問了幾家大 型金融服務(wù)機構(gòu)的網(wǎng)站，并發(fā)布一條簡單的信息：那是我們干的-你可能是下一個目標(biāo)。我們的愿望是保 護你們。未來派學(xué)者斯蒂芬斯蒂爾指出：網(wǎng)絡(luò)系統(tǒng).不單純是信息，而是網(wǎng)絡(luò)文化。多層次協(xié)調(diào)一致的網(wǎng)絡(luò) 襲擊將能夠同時進行大（國家安全系統(tǒng)）、中（當(dāng)?shù)仉娋W(wǎng)）、小（汽車

56、發(fā)動）規(guī)模的破壞。（2）先進的通信技術(shù)正在改變我們的工作與生活方式電信正在迅速發(fā)展，這主要是得益于電子郵件和其他形式的高技術(shù)通信。然而，千禧世代（1980年 -2000年出生的一代-譯注）在大部分情況下已不再使用電子郵件，而喜歡采用即時信息和社交網(wǎng)站與同 伴聯(lián)系。這些技術(shù)及其他新技術(shù)正在建立起幾乎與現(xiàn)實世界中完全一樣的復(fù)雜而廣泛的社會。對信息戰(zhàn)和運作的影響：這是使信息戰(zhàn)和運作具有其重要性的關(guān)鍵的兩三個趨勢之一。破壞或許并不明目張膽，或者易于發(fā)現(xiàn)。由于生產(chǎn)系統(tǒng)對客戶的直接輸入日益開放，這就有可能修改 電腦控制的機床的程序，以生產(chǎn)略微不合規(guī)格的產(chǎn)品-甚至自行修改規(guī)格，這樣，產(chǎn)品的差異就永遠(yuǎn)不會 受

57、到注意。如果作這類篡改時有足夠的想像力，并且謹(jǐn)慎地選準(zhǔn)目標(biāo)，則可以想象這些產(chǎn)品會順利通過檢 查，但肯定通不過戰(zhàn)場檢驗，從而帶來不可設(shè)想的軍事后果。信息技術(shù)與商業(yè)管理顧問勞倫斯沃格爾提醒注意云計算（第三方數(shù)據(jù)寄存和面向服務(wù)的計算）以及W eb2.0的使用（社交網(wǎng)及交互性）。他說：與云計算相關(guān)的網(wǎng)絡(luò)安全影響值得注意，無論是公共的還是私 人的云計算。隨著更多的公司和政府采用云計算，它們也就更容易受到破壞和網(wǎng)絡(luò)襲擊。這可能導(dǎo)致服務(wù) 及快速的重要軟件應(yīng)用能力受到破壞。另外，由于Facebook、博客和其他社交網(wǎng)在我們個人生活中廣泛使 用，政府組織也在尋求與其相關(guān)方聯(lián)絡(luò)及互動的類似能力。一旦政府允許在其網(wǎng)

58、絡(luò)上進行交互的和雙向的 聯(lián)絡(luò)，網(wǎng)絡(luò)襲擊的風(fēng)險將隨之大增。（3）全球經(jīng)濟日益融合這方面的關(guān)鍵因素包括跨國公司的興起、民族特性的弱化（比如在歐盟范圍之內(nèi)）、互聯(lián)網(wǎng)的發(fā)展， 以及對低工資國家的網(wǎng)上工作外包。對信息戰(zhàn)及運作的影響：互聯(lián)網(wǎng)、私人網(wǎng)絡(luò)、虛擬私人網(wǎng)絡(luò)以及多種其他技術(shù)，正在將地球聯(lián)成一個 復(fù)雜的信息空間。這些近乎無限的聯(lián)系一旦中斷，必然會對公司甚至對國家經(jīng)濟造成嚴(yán)重破壞。但是， 這更意味著它們面臨受到前所未有的間諜活動和秘密襲擊的風(fēng)險。這是信息戰(zhàn)及運作的又一個重要趨勢。（4）研究與發(fā)展（R&D）促進全球經(jīng)濟增長的作用日益增強，美國研發(fā)費用總和30年來穩(wěn)步上升。 中國、日本、歐盟和俄羅斯也呈類似

59、趨勢。對信息戰(zhàn)及運作的影響：這一趨勢促進了近數(shù)十年技術(shù)進步的 速度。這是信息戰(zhàn)發(fā)展的又一關(guān)鍵因素。R&D的主要產(chǎn)品不是商品或技術(shù)，而是信息。即便是研究成果 中最機密的部分一般也是存儲在計算機里，通過企業(yè)的內(nèi)聯(lián)網(wǎng)傳輸，而且一般是在互聯(lián)網(wǎng)上傳送。這種可 獲取性為間諜提供了極好的目標(biāo)-無論是工業(yè)間諜，還是軍事間諜。這6）技術(shù)變化隨著新一代的發(fā)明與 應(yīng)用而加速在發(fā)展極快的設(shè)計學(xué)科，大學(xué)生一年級時所學(xué)的最新知識到畢業(yè)時大多已經(jīng)過時。設(shè)計與銷售周期- 構(gòu)想、發(fā)明、創(chuàng)新、模仿-在不斷縮短。在20世紀(jì)40年代，產(chǎn)品周期可持續(xù)三四十年。今天，持續(xù)三四 十周已屬罕見。原因很簡單：大約80%過往的科學(xué)家、工程師、技

60、師和醫(yī)生今天仍然活著-在互聯(lián)網(wǎng)上實時交流意見。機器智能的發(fā)展也將對網(wǎng)絡(luò)安全產(chǎn)生復(fù)雜影響。據(jù)知識理論家、未來學(xué)派學(xué)者布魯斯拉杜克說：知識 創(chuàng)造是一個可由人重復(fù)的過程，也是完全可由機器或在人機互動系統(tǒng)中重復(fù)的過程。人工知識創(chuàng)造將迎來 奇點，而非人工智能，或人工基本智能（或者技術(shù)進步本身）。人工智能已經(jīng)可由任何電腦實現(xiàn)，因為情 報的定義是儲存起來并可重新獲?。ㄍㄟ^人或計算機）的知識。（人工知識創(chuàng)造）技術(shù)最新達(dá)到者將推動 整個范式轉(zhuǎn)變。2（5）影響網(wǎng)絡(luò)安全性的因素：目前我國網(wǎng)絡(luò)安全存在幾大隱患：影響網(wǎng)絡(luò)安全性的因素主要有以下幾 個方面。網(wǎng)絡(luò)結(jié)構(gòu)因素網(wǎng)絡(luò)基本拓?fù)浣Y(jié)構(gòu)有3種：星型、總線型和環(huán)型。一個單位在