網(wǎng)絡(luò)安全管理

計(jì)算機(jī)網(wǎng)絡(luò)概論第八章網(wǎng)絡(luò)安全和網(wǎng)絡(luò)管理單元學(xué)習(xí)目的

了解網(wǎng)絡(luò)安全概念及網(wǎng)絡(luò)安全面臨主要威脅；了解系統(tǒng)漏洞、掃描、系統(tǒng)補(bǔ)??；了解黑客與計(jì)算機(jī)病毒，計(jì)算機(jī)病毒的分類(lèi)及防治措施；了解防火墻與入侵檢測(cè)系統(tǒng)；了解加密與認(rèn)證，加密軟件PGP的使用；了解網(wǎng)絡(luò)管理的概念及功能，常見(jiàn)網(wǎng)絡(luò)管理軟件。單元主要內(nèi)容

網(wǎng)絡(luò)安全概述漏洞與掃描系統(tǒng)補(bǔ)丁黑客與計(jì)算機(jī)病毒防火墻入侵檢測(cè)系統(tǒng)加密與認(rèn)證網(wǎng)絡(luò)管理8.1網(wǎng)絡(luò)安全概述

隨著全球信息化進(jìn)程的不斷推進(jìn)，Internet的應(yīng)用不斷地普及和發(fā)展，Internet在人們生活中的地位越來(lái)越重要。Internet是一個(gè)開(kāi)放式互聯(lián)系統(tǒng)，其目的是方便通過(guò)網(wǎng)絡(luò)進(jìn)行信息交換，但其安全性很不完善。病毒通過(guò)Internet傳播，其危害性到了空前的程度，黑客通過(guò)Internet，可以在世界任何一個(gè)角落，對(duì)Internet上的主機(jī)發(fā)動(dòng)攻擊。每年世界上成千上萬(wàn)的電腦因病毒感染或黑客攻擊而引起系統(tǒng)崩潰、數(shù)據(jù)丟失，造成巨大的經(jīng)濟(jì)損失。網(wǎng)絡(luò)安全問(wèn)題已發(fā)展成為一個(gè)社會(huì)問(wèn)題，它對(duì)社會(huì)經(jīng)濟(jì)秩序、甚至國(guó)家安全構(gòu)成威脅，許多國(guó)家除了加強(qiáng)技術(shù)的研究外，還制定有關(guān)的法律法規(guī)，開(kāi)展國(guó)際合作，打擊制作病毒和黑客攻擊行為，提高網(wǎng)絡(luò)系統(tǒng)的安全性。

網(wǎng)絡(luò)安全的概念

網(wǎng)絡(luò)安全是在現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)上，通過(guò)采取相應(yīng)的安全措施，保護(hù)網(wǎng)絡(luò)系統(tǒng)及數(shù)據(jù)不遭到破壞、泄露和篡改，從而提供正常網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)安全主要防止利用竊聽(tīng)、冒充、篡改和抵賴(lài)手段，對(duì)用戶(hù)的信息安全造成影響，避免非法訪問(wèn)、黑客攻擊、病毒入侵。

網(wǎng)絡(luò)安全要實(shí)現(xiàn)的目標(biāo)可靠性—抗毀性/生存性/有效性可用性—身份識(shí)別與確認(rèn)/訪問(wèn)控制/業(yè)務(wù)流控制/審計(jì)跟蹤保密性—防偵收/防輻射/信息加密/物理保密完整性—協(xié)議/糾錯(cuò)編碼方法/密碼校驗(yàn)和方法/數(shù)字簽名不可抵賴(lài)性—真實(shí)性/不可否認(rèn)可控性—控制能力來(lái)保證網(wǎng)絡(luò)安全面臨的威脅

系統(tǒng)的漏洞

黑客攻擊

①拒絕服務(wù)攻擊

拒絕服務(wù)攻擊是指通過(guò)制造無(wú)用的網(wǎng)絡(luò)數(shù)據(jù)，造成網(wǎng)絡(luò)擁堵，大量占用系統(tǒng)資源等方法，使目標(biāo)主機(jī)或網(wǎng)絡(luò)失去及時(shí)響應(yīng)訪問(wèn)請(qǐng)求的能力。分布式拒絕服務(wù)攻擊的危害性更大，黑客首先進(jìn)入一些易于攻擊的系統(tǒng)，然后利用這些被控制的系統(tǒng)向目標(biāo)系統(tǒng)發(fā)動(dòng)大規(guī)模的協(xié)同攻擊，其威力比拒絕服務(wù)攻擊大很多。

網(wǎng)絡(luò)安全面臨的威脅黑客攻擊②口令破解

網(wǎng)絡(luò)中的身份鑒別方法中很重要的一種是用戶(hù)名/口令，它實(shí)現(xiàn)起來(lái)簡(jiǎn)單，被廣泛地使用。黑客利用黑客程序記錄用戶(hù)登錄過(guò)程或用口令破解器來(lái)獲取口令，進(jìn)而在網(wǎng)絡(luò)上進(jìn)行身份冒充，從而對(duì)網(wǎng)絡(luò)安全造成威脅。

③電子郵件炸彈

④Web攻擊

網(wǎng)絡(luò)安全面臨的威脅病毒入侵

網(wǎng)絡(luò)已成為病毒傳播的主要途經(jīng)，病毒通過(guò)網(wǎng)絡(luò)入侵，具有更大的傳播速度和更大傳播范圍，其破壞性也不言而喻，有些惡性的病毒會(huì)造成系統(tǒng)癱瘓、數(shù)據(jù)破壞或丟失，嚴(yán)重地危害到網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)配置管理不當(dāng)

網(wǎng)絡(luò)管理員在配置網(wǎng)絡(luò)時(shí)，往往因?yàn)橛脩?hù)權(quán)限設(shè)置過(guò)大、開(kāi)放不必要的服務(wù)器端口，或者一般用戶(hù)因?yàn)槭韬?，丟失帳號(hào)和口令，從而造成非授權(quán)訪問(wèn)，給網(wǎng)絡(luò)安全造成危害，有時(shí)甚至是致命的。

8.2漏洞與掃描

對(duì)于一個(gè)層次復(fù)雜的系統(tǒng)或一項(xiàng)網(wǎng)絡(luò)安全規(guī)劃來(lái)說(shuō)，漏洞掃描是一項(xiàng)重要的工作。漏洞掃描能夠?qū)ο到y(tǒng)設(shè)置進(jìn)行攻擊測(cè)試，幫助管理員找出網(wǎng)絡(luò)中存在的漏洞。通過(guò)這些方法，可以評(píng)估網(wǎng)絡(luò)的安全級(jí)別，并生成評(píng)估報(bào)告，提供相應(yīng)的整改措施，從而降低網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。

漏洞概述

漏洞是指在硬件、軟件、協(xié)議集成時(shí)或系統(tǒng)安全設(shè)置上存在的錯(cuò)誤或缺陷。絕對(duì)安全的系統(tǒng)是不存在的，每個(gè)系統(tǒng)都有漏洞，不論你在系統(tǒng)安全性上投入多少財(cái)力，不論你的系統(tǒng)安全級(jí)別多高，攻擊者仍然可以發(fā)現(xiàn)一些可利用的漏洞和配置缺陷。廣義上講漏洞大體上分為兩大類(lèi)：技術(shù)漏洞和管理漏洞;技術(shù)漏洞常見(jiàn)有:(1)軟件編寫(xiě)錯(cuò)誤造成的漏洞；(2)軟件配置不當(dāng)造成的漏洞。

技術(shù)漏洞主要有以下內(nèi)容

1.身份確認(rèn)和訪問(wèn)控制管理2.通信協(xié)議—IP地址欺騙/IP碎片襲擊/TCP序號(hào)攻擊/UDP欺騙3.應(yīng)用軟件4.網(wǎng)絡(luò)服務(wù)器—Web服務(wù)器的會(huì)話/服務(wù)器的軟件結(jié)構(gòu)復(fù)雜存在安全隱患/分析熟悉代碼發(fā)現(xiàn)缺陷

管理漏洞的防范職責(zé)不明,管理制度執(zhí)行不嚴(yán),沒(méi)有規(guī)范的操作規(guī)程,沒(méi)有事故應(yīng)急措施,沒(méi)有對(duì)員工進(jìn)行良好的思想品德教育等.1.多人負(fù)責(zé)原則2.任期有限原則3.職責(zé)分離原則系統(tǒng)常見(jiàn)漏洞軟件的缺省安裝

缺省安裝很多情況下會(huì)安裝了用戶(hù)目前不需要的服務(wù)，從而產(chǎn)生很多安全漏洞。因?yàn)橐粋€(gè)系統(tǒng)開(kāi)放的服務(wù)越多，越容易遭到攻擊，并且用戶(hù)通常只關(guān)心自己正在使用的服務(wù)的安全漏洞，能比較及時(shí)地、有針對(duì)性地打上補(bǔ)丁。但對(duì)沒(méi)有使用的服務(wù)關(guān)心程度不夠，有時(shí)可能根本不知道系統(tǒng)上有哪些服務(wù)CGI程序

過(guò)多的開(kāi)放端口

掃描掃描是指對(duì)計(jì)算機(jī)系統(tǒng)或網(wǎng)絡(luò)設(shè)備進(jìn)行安全性檢測(cè)，收集和分析被掃描系統(tǒng)或網(wǎng)絡(luò)的信息，從而找出安全隱患或漏洞。我們可以向目標(biāo)主機(jī)發(fā)送數(shù)據(jù)報(bào)文，根據(jù)返回的結(jié)果來(lái)了解目標(biāo)主機(jī)的狀況，如目標(biāo)主機(jī)運(yùn)行何種操作系統(tǒng)、開(kāi)放了哪些端口和服務(wù)等。網(wǎng)絡(luò)管理員通過(guò)掃描可以找出系統(tǒng)的漏洞，從而提高網(wǎng)絡(luò)安全管理水平，而攻擊者可以通過(guò)掃描來(lái)發(fā)現(xiàn)目標(biāo)主機(jī)的漏洞，來(lái)發(fā)動(dòng)攻擊。

端口掃描技術(shù)

TCPconnect()掃描

TCPSYN掃描

TCPFIN掃描

ICMPecho掃描

TCP反向Ident掃描

掃描工具的性能

報(bào)表性能好；易安裝，易使用；能夠檢測(cè)出目標(biāo)系統(tǒng)缺少的補(bǔ)??；掃描性能好，具備快速修復(fù)漏洞的能力；對(duì)漏洞及漏洞等級(jí)檢測(cè)的可靠性；可擴(kuò)展性；易升級(jí)性；性?xún)r(jià)比好；

系統(tǒng)補(bǔ)丁

系統(tǒng)存在這樣那樣的漏洞，我們需要進(jìn)行修補(bǔ)，稱(chēng)為給系統(tǒng)打補(bǔ)丁，一般有兩種方式，一種是下載Hotfix，通常稱(chēng)為修補(bǔ)程序，另一種是下載SP(補(bǔ)丁包)。

Hotfix修補(bǔ)程序Hotfix是針對(duì)某一個(gè)具體的系統(tǒng)漏洞或安全問(wèn)題而發(fā)布的專(zhuān)門(mén)解決該漏洞或安全問(wèn)題的程序，通常稱(chēng)為修補(bǔ)程序。SP補(bǔ)丁包微軟就將Hotfix打包，進(jìn)行發(fā)布，稱(chēng)為SP補(bǔ)丁包，通常SP補(bǔ)丁包中包含有SP發(fā)布日期前所發(fā)布的所有Hotfix。8.3黑客與計(jì)算機(jī)病毒

黑客

黑客（hacker），源于英語(yǔ)動(dòng)詞hack，意為“劈，砍”。黑客在早期是一個(gè)帶有褒義的詞，通常是指具有高級(jí)計(jì)算機(jī)技術(shù)，并有能力通過(guò)創(chuàng)新的方法分析系統(tǒng)的人。黑客能使系統(tǒng)趨于完善和安全，他們以保護(hù)系統(tǒng)為目的，而不正當(dāng)侵入行為只是他們找出系統(tǒng)漏洞的手段。早期的黑客中出現(xiàn)了幾個(gè)大名鼎鼎的人物，如GNU項(xiàng)目的發(fā)起人RichardStallman就曾是黑客。黑客最初是一些程序員，他們有高深的編程技術(shù)，能夠用匯編語(yǔ)言，甚至是機(jī)器語(yǔ)言進(jìn)行編程，他們對(duì)系統(tǒng)進(jìn)行分析，這些工作對(duì)系統(tǒng)的設(shè)計(jì)和優(yōu)化起到關(guān)鍵作用。8.3黑客與計(jì)算機(jī)病毒黑客與駭客

網(wǎng)絡(luò)入侵者是那些利用網(wǎng)絡(luò)漏洞破壞網(wǎng)絡(luò)的人。他們也具備廣泛的電腦知識(shí)，但與黑客不同的是他們以破壞為目的,這些群體稱(chēng)為駭客(Cracker)。駭客通常以獲取利益為目的，他們?nèi)肭窒到y(tǒng)，非法獲取數(shù)據(jù)，為自己謀取經(jīng)濟(jì)利益，如將獲取的商業(yè)機(jī)密出賣(mài)、盜取銀行帳號(hào)等。現(xiàn)在，在我們國(guó)家，人們已習(xí)慣將黑客和駭客混為一談了，比如某人利用計(jì)算機(jī)技術(shù)進(jìn)行犯罪，我們就將他稱(chēng)為黑客犯罪。

計(jì)算機(jī)病毒的概念計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者毀壞數(shù)據(jù),影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。計(jì)算機(jī)病毒有自我復(fù)制能力，通過(guò)存儲(chǔ)介質(zhì)或網(wǎng)絡(luò)，計(jì)算機(jī)病毒可以很快地蔓延。計(jì)算機(jī)病毒將自身附著在各種類(lèi)型的文件上，當(dāng)滿(mǎn)足一定條件時(shí)，會(huì)產(chǎn)生一定的破壞性。

計(jì)算機(jī)病毒的分類(lèi)

(1)引導(dǎo)型病毒引導(dǎo)型病毒在ROMBIOS系統(tǒng)引導(dǎo)時(shí)，即取得對(duì)操作系統(tǒng)的控制權(quán)，它常駐內(nèi)存，伺機(jī)傳染和破壞。它可以感染磁盤(pán)的引導(dǎo)扇區(qū)，也可以改寫(xiě)硬盤(pán)的分區(qū)表，因此其破壞性極強(qiáng)，有時(shí)會(huì)造成整個(gè)硬盤(pán)數(shù)據(jù)的丟失。(2)文件型病毒文件型病毒是較為常見(jiàn)的病毒，它感染的主要是擴(kuò)展名為COM、EXE、OVL的文件，病毒將自身附著在系統(tǒng)的文件中，當(dāng)文件被執(zhí)行時(shí)，病毒也同時(shí)被裝入內(nèi)存。感染文件型病毒會(huì)造成文件的執(zhí)行速度變慢，甚至無(wú)法執(zhí)行程序，它還可能會(huì)造成感染文件的長(zhǎng)度變長(zhǎng)。計(jì)算機(jī)病毒的分類(lèi)

(3)混合型病毒混合型病毒綜合了引導(dǎo)型和文件型病毒的特點(diǎn)，它通過(guò)感染引導(dǎo)區(qū)和文件，增加了傳染性和殺毒難度，因此其破壞力比前兩者更強(qiáng)。(4)宏病毒宏病毒利用office提供的宏功能，通過(guò)．doc文檔及．dot模板進(jìn)行自我復(fù)制及傳播。(5)蠕蟲(chóng)病毒蠕蟲(chóng)病毒是一種通過(guò)網(wǎng)絡(luò)傳播的惡性病毒，它又有自己的一些特征，如寄生在其它文件中，對(duì)網(wǎng)絡(luò)會(huì)造成拒絕服務(wù)，蠕蟲(chóng)病毒的破壞性極強(qiáng)，網(wǎng)絡(luò)的發(fā)展使得蠕蟲(chóng)可以在很短的時(shí)間內(nèi)蔓延到大范圍網(wǎng)絡(luò)，造成網(wǎng)絡(luò)癱瘓，如著名的沖擊波病毒。計(jì)算機(jī)病毒的癥狀

計(jì)算機(jī)病毒對(duì)系統(tǒng)會(huì)產(chǎn)生一定的破壞性，有的甚至?xí)斐蔀?zāi)難性的后果，那么，我們?nèi)绾闻袛嘤?jì)算機(jī)感染了病毒，進(jìn)而采取恰當(dāng)?shù)拇胧?，將病毒造成的損失降到最低？病毒的存在并非無(wú)影無(wú)蹤，我們可以從病毒的癥狀發(fā)現(xiàn)一些端倪。(1)計(jì)算機(jī)系統(tǒng)的速度明顯降低由于病毒程序附加或占用引導(dǎo)部分,會(huì)使系統(tǒng)引導(dǎo)變慢。另外病毒驅(qū)留內(nèi)存，會(huì)執(zhí)行一些操作，消耗系統(tǒng)的資源，有時(shí)會(huì)造成內(nèi)存嚴(yán)重不足，導(dǎo)致系統(tǒng)運(yùn)行速度變慢。(2)磁盤(pán)剩余空間無(wú)故減少有些病毒對(duì)文件造成感染，會(huì)造成文件長(zhǎng)度加大，另外，有些病毒程序把自己或操作系統(tǒng)的一部分用壞簇隱藏起來(lái)，這樣磁盤(pán)壞簇會(huì)增多，這些都會(huì)導(dǎo)致磁盤(pán)剩余空間減少。

計(jì)算機(jī)病毒的癥狀(3)數(shù)據(jù)被破壞文件型病毒會(huì)對(duì)文件進(jìn)行修改，可能會(huì)造成文件無(wú)法正確讀取，另外一些惡性病毒會(huì)刪除硬盤(pán)上的數(shù)據(jù)。(4)經(jīng)常死機(jī)由于病毒程序與操作系統(tǒng)可能會(huì)發(fā)生沖突，病毒與硬件的兼容性也不一定很好，因此會(huì)造成死機(jī)現(xiàn)象，另外，病毒程序會(huì)造成內(nèi)存的紊亂，使計(jì)算機(jī)無(wú)法正常工作或死機(jī)。(5)無(wú)故讀寫(xiě)磁盤(pán)由于病毒會(huì)執(zhí)行一些磁盤(pán)讀寫(xiě)操作，因此，感染病毒后，即使我們沒(méi)有執(zhí)行任何操作，也會(huì)出現(xiàn)磁盤(pán)讀寫(xiě)指示燈亮的情況。計(jì)算機(jī)病毒的防治策略

(1)減少感染的機(jī)率病毒通常從網(wǎng)絡(luò)傳播，我們不從不可靠的渠道下載軟件，不隨意打開(kāi)來(lái)歷不明的電子郵件，將會(huì)減少與病毒接觸的機(jī)會(huì)。我們?cè)诎惭b軟件時(shí)，進(jìn)行病毒掃描也是非常重要的。(2)安裝殺毒軟件安裝殺毒軟件是防治病毒的有力措施，我們應(yīng)該選擇經(jīng)過(guò)公安部認(rèn)證的病毒防治產(chǎn)品。計(jì)算機(jī)病毒更新很快，我們還應(yīng)該及時(shí)地對(duì)殺毒軟件的病毒庫(kù)進(jìn)行升級(jí)。(3)安裝最新的系統(tǒng)補(bǔ)丁病毒往往利用操作系統(tǒng)的漏洞進(jìn)行傳染，因此，及時(shí)地下載并安裝系統(tǒng)的補(bǔ)丁，將有助于切斷病毒傳播的途經(jīng)。(4)建立備份和恢復(fù)制度任何殺毒軟件都不能確保萬(wàn)無(wú)一失，重要數(shù)據(jù)一旦丟失或破壞，其損失可能是不可估量的。運(yùn)行良好的備份和恢復(fù)計(jì)劃有助于將損失降到最低。

幾種常見(jiàn)殺毒軟件

(1)瑞星瑞星殺毒軟件是國(guó)內(nèi)較有影響力的殺毒軟件，是北京瑞星科技股份有限公司研發(fā)的產(chǎn)品。瑞星殺毒軟件具有很強(qiáng)的殺毒能力，有很好的穩(wěn)定性和良好的售后服務(wù)，有完善的實(shí)時(shí)監(jiān)控功能，提供中文、英文、日文多語(yǔ)言版本，有單機(jī)版和網(wǎng)絡(luò)版。(2)金山毒霸金山毒霸是香港金山公司的產(chǎn)品，具有漏洞修復(fù)、郵件防毒、聊天防毒、網(wǎng)頁(yè)防毒等功能，支持移動(dòng)網(wǎng)絡(luò)計(jì)算技術(shù)，具備先進(jìn)的病毒防火墻實(shí)時(shí)反病毒技術(shù)，有單機(jī)版和網(wǎng)絡(luò)版，但穩(wěn)定性和兼容性方面略有欠缺。(3)江民殺毒江民殺毒軟件采用國(guó)內(nèi)較早的江民反病毒技術(shù)，江民反病毒技術(shù)已有10余年的歷史，在DOS及Windows版本下均有其產(chǎn)品。對(duì)文件型、引導(dǎo)型病毒和宏病毒，江民殺毒軟件有較強(qiáng)的殺毒能力，有單機(jī)版和網(wǎng)絡(luò)版。(4)諾頓諾頓殺毒軟件是一款國(guó)外殺毒軟件，其特點(diǎn)是有很強(qiáng)的穩(wěn)定性和兼容性，具有出色的病毒隔離技術(shù)，也可以自動(dòng)更新病毒庫(kù)。

8.4防火墻(Firewall)防火墻是一個(gè)或一組系統(tǒng)，包括軟件和硬件，其功能是將內(nèi)部和外部網(wǎng)絡(luò)(如Internet)按照一定的控制策略進(jìn)行隔離。防火墻在內(nèi)外網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略，通過(guò)制定一些訪問(wèn)規(guī)則，能夠允許系統(tǒng)“同意”的用戶(hù)和數(shù)據(jù)進(jìn)入自己的網(wǎng)絡(luò)，同時(shí)也能夠拒絕未經(jīng)允許的訪問(wèn)者和數(shù)據(jù)，從而最大限度地阻止入侵行為，有效地保護(hù)網(wǎng)絡(luò)信息安全。

防火墻三個(gè)方面的基本特性

1．內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有數(shù)據(jù)包都必須經(jīng)過(guò)防火墻。2．只有符合安全策略的數(shù)據(jù)包才能通過(guò)防火墻。3．防火墻本身具有預(yù)防入侵的功能。防火墻的分類(lèi)

包過(guò)濾(Packetfiltering)型

包過(guò)濾型防火墻工作在OSI網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，它根據(jù)數(shù)據(jù)包的源地址、目的地址、端口號(hào)和協(xié)議狀態(tài)等標(biāo)志確定是否允許數(shù)據(jù)包通過(guò)。只有滿(mǎn)足過(guò)濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理(ApplicationProxy)型

應(yīng)用代理型防火墻是工作在OSI的最高層，即應(yīng)用層。它完全“阻隔”了網(wǎng)絡(luò)通信流，通過(guò)對(duì)每種應(yīng)用服務(wù)編制專(zhuān)門(mén)的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。

圖8-4-1應(yīng)用代理型防火墻結(jié)構(gòu)

幾款防火墻圖圖8-4-2紫光防火墻UF3500圖8-4-3青鳥(niǎo)網(wǎng)關(guān)防火墻JB-FW1/100H防火墻的分類(lèi)狀態(tài)檢測(cè)防火墻（StatefulInspection）狀態(tài)檢測(cè)防火墻技術(shù)是新一代的防火墻技術(shù)，是由CheckPoint公司引入的。它監(jiān)視第一個(gè)有效連接的狀態(tài)，并根據(jù)這些信息決定網(wǎng)絡(luò)數(shù)據(jù)包是否能夠通過(guò)防火墻。它在協(xié)議棧底層截取數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一時(shí)刻的數(shù)據(jù)包和狀態(tài)信息進(jìn)行比較，從而得到該數(shù)據(jù)包的控制信息，來(lái)達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。

防火墻的分類(lèi)第四代防火墻到1997年初，具有安全操作系統(tǒng)的防火墻產(chǎn)品面市，防火墻產(chǎn)品進(jìn)入了第四代。具有安全操作系統(tǒng)的防火墻本身就是一個(gè)操作系統(tǒng)，因而在安全性上較之以前的防火墻有質(zhì)的提高。。純軟件防火墻隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)安全的需求，許多網(wǎng)絡(luò)安全軟件廠商開(kāi)發(fā)出了基于純軟件的用于PC機(jī)的防火墻，俗稱(chēng)“個(gè)人防火墻”，它安裝在主機(jī)中，只對(duì)一臺(tái)主機(jī)進(jìn)行防護(hù)。防火墻的性能指標(biāo)

產(chǎn)品類(lèi)型從防火墻產(chǎn)品和技術(shù)發(fā)展來(lái)看，分為三種類(lèi)型：基于路由器的包過(guò)濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專(zhuān)用安全操作系統(tǒng)的防火墻。LAN接口防火墻所能保護(hù)的網(wǎng)絡(luò)類(lèi)型：如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。支持的最大LAN接口數(shù)等協(xié)議支持支持的非IP協(xié)議：除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。建立VPN通道的協(xié)議防火墻的性能指標(biāo)加密支持

支持的VPN加密標(biāo)準(zhǔn)：VPN中支持的加密算法,例如數(shù)據(jù)加密標(biāo)準(zhǔn)DES、3DES、RC4以及國(guó)內(nèi)專(zhuān)用的加密算法。

認(rèn)證支持

支持的認(rèn)證類(lèi)型：

是指防火墻支持的身份認(rèn)證協(xié)議，一般情況下具有一個(gè)或多個(gè)認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS＋、

口令方式、數(shù)字證書(shū)等。

防火墻的性能指標(biāo)訪問(wèn)控制

包過(guò)濾防火墻的過(guò)濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對(duì)所有出入防火墻的數(shù)據(jù)包的處理方法，對(duì)于沒(méi)有明確定義的數(shù)據(jù)包，應(yīng)該有一個(gè)缺省處理方法；過(guò)濾規(guī)則應(yīng)易于理解，易于編輯修改；同時(shí)應(yīng)具備一致性檢測(cè)機(jī)制，防止沖突。防御功能支持病毒掃描提供內(nèi)容過(guò)濾能防御的DoS攻擊類(lèi)型阻止ActiveX、Java、Cookies、Javascript侵入

防火墻的性能指標(biāo)安全特性

支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議，提供入侵實(shí)時(shí)警告，提供實(shí)時(shí)入侵防范，提供實(shí)時(shí)入侵響應(yīng)功能，當(dāng)發(fā)生入侵事件時(shí)，防火墻能夠動(dòng)態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報(bào)文，識(shí)別/記錄/防止企圖進(jìn)行IP地址欺騙。防火墻的性能指標(biāo)管理功能

通過(guò)集成策略集中管理多個(gè)防火墻：是否支持集中管理，防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理，管理員的行為主要包括：通過(guò)防火墻的身份鑒別，編寫(xiě)防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理記錄和報(bào)表功能

8.5入侵檢測(cè)系統(tǒng)(IDS)

計(jì)算機(jī)病毒可以說(shuō)是防不勝防，2003年8月11日深夜發(fā)作的新型網(wǎng)絡(luò)蠕蟲(chóng)病毒“沖擊波”，造成大量的網(wǎng)絡(luò)陷于癱瘓，即使安裝了殺毒軟件的企業(yè)和個(gè)人用戶(hù)也未能幸免，損失慘重。因此，建立網(wǎng)絡(luò)安全預(yù)警機(jī)制，就顯得十分重要。入侵檢測(cè)的概念入侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem，IDS)則是對(duì)防火墻有效的補(bǔ)充，它通過(guò)收集來(lái)自計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象，以保證系統(tǒng)資源的機(jī)密性、完整性和可用性。IDS通常架設(shè)在網(wǎng)絡(luò)重要節(jié)點(diǎn)與主機(jī)系統(tǒng)之上，可監(jiān)測(cè)網(wǎng)絡(luò)流量與內(nèi)容，或者分析網(wǎng)絡(luò)內(nèi)的信息流動(dòng)。當(dāng)發(fā)現(xiàn)可疑活動(dòng)時(shí)，IDS會(huì)依據(jù)使用者設(shè)定的策略發(fā)出警示，并調(diào)動(dòng)其他網(wǎng)絡(luò)設(shè)備阻斷可能產(chǎn)生的攻擊。入侵檢測(cè)系統(tǒng)必須可以對(duì)得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果，入侵檢測(cè)系統(tǒng)在發(fā)現(xiàn)入侵后，能及時(shí)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報(bào)警等。入侵檢測(cè)系統(tǒng)組成Internet工程任務(wù)組（InternetEngineeringTaskForce，簡(jiǎn)稱(chēng)IETF）將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器（Eventgenerators）；事件分析器（Eventanalyzers）；響應(yīng)單元（Responseunits）；事件數(shù)據(jù)庫(kù)（Eventdatabases）。事件產(chǎn)生器的目的是從整個(gè)網(wǎng)絡(luò)環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件，即信息收集。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果，即信息分析。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出反應(yīng)的功能單元，它可以作出切斷連接、禁用帳號(hào)、重新配置防火墻等動(dòng)作，也可以只是簡(jiǎn)單的報(bào)警。事件數(shù)據(jù)庫(kù)存放各種中間和最終數(shù)據(jù)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)，也可以是簡(jiǎn)單的文本文件。入侵檢測(cè)系統(tǒng)的分類(lèi)

根據(jù)應(yīng)用環(huán)境根據(jù)應(yīng)用環(huán)境，入侵檢測(cè)系統(tǒng)可分為基于主機(jī)和基于網(wǎng)絡(luò)型?；谥鳈C(jī)型入侵檢測(cè)系統(tǒng)通過(guò)監(jiān)測(cè)系統(tǒng)、事件、系統(tǒng)日志、應(yīng)用程序日志，從所在的主機(jī)收集信息，與入侵系統(tǒng)攻擊標(biāo)志比較，如果匹配，則系統(tǒng)發(fā)出報(bào)警。主機(jī)型入侵檢測(cè)系統(tǒng)一般保護(hù)所在的系統(tǒng)?；诰W(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包，我們通常要將一臺(tái)計(jì)算機(jī)的網(wǎng)卡設(shè)于混雜模式(promiscuousmode)，來(lái)監(jiān)聽(tīng)并分析網(wǎng)絡(luò)中的數(shù)據(jù)包。一般網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)絡(luò)的任務(wù)。入侵檢測(cè)系統(tǒng)的分類(lèi)根據(jù)入侵系統(tǒng)的工作方式根據(jù)入侵系統(tǒng)的工作方式的不同，將入侵檢測(cè)系統(tǒng)分為實(shí)時(shí)入侵檢測(cè)和事后入侵檢測(cè)兩種。實(shí)時(shí)入侵檢測(cè)在網(wǎng)絡(luò)連接過(guò)程中進(jìn)行，系統(tǒng)根據(jù)用戶(hù)的歷史行為模型、存儲(chǔ)在計(jì)算機(jī)中的知識(shí)庫(kù)進(jìn)行判斷，發(fā)現(xiàn)入侵跡象后，自動(dòng)地采取對(duì)目標(biāo)系統(tǒng)中的漏洞進(jìn)行修補(bǔ)、立即斷開(kāi)入侵者與主機(jī)的連接、關(guān)閉目標(biāo)系統(tǒng)上的相應(yīng)服務(wù)等措施。事后入侵檢測(cè)的主要工作由網(wǎng)絡(luò)管理員來(lái)完成，入侵檢測(cè)系統(tǒng)檢測(cè)到對(duì)目標(biāo)系統(tǒng)的攻擊行為后，向網(wǎng)絡(luò)管理員發(fā)出報(bào)警，然后網(wǎng)絡(luò)管理員根據(jù)系統(tǒng)對(duì)用戶(hù)操作所做的歷史審計(jì)記錄來(lái)判斷用戶(hù)是否存在入侵行為，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。事后入侵檢測(cè)是管理員定期或不定期進(jìn)行的，不具有實(shí)時(shí)性。入侵檢測(cè)系統(tǒng)的功能

監(jiān)督并分析用戶(hù)和系統(tǒng)的活動(dòng)檢查系統(tǒng)配置和漏洞檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性識(shí)別代表已知攻擊的活動(dòng)模式對(duì)反常行為模式的統(tǒng)計(jì)分析對(duì)操作系統(tǒng)的校驗(yàn)管理，判斷是否有破壞安全的用戶(hù)活動(dòng)。入侵檢測(cè)的過(guò)程入侵檢測(cè)系統(tǒng)的入侵檢測(cè)過(guò)程可以分為收集信息、分析信息和報(bào)警與響應(yīng)三個(gè)階段，即收集系統(tǒng)和非系統(tǒng)中的信息，然后對(duì)收集到的數(shù)據(jù)進(jìn)行分析，并采取相應(yīng)措施。信息收集信息收集包括收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為。我們需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)（不同網(wǎng)段和不同主機(jī)）收集信息，一方面可以盡可能地?cái)U(kuò)大檢測(cè)范圍，另一方面就是對(duì)來(lái)自不同信息源的信息進(jìn)行特征分析比較后，可以發(fā)現(xiàn)入侵行為。入侵檢測(cè)的過(guò)程數(shù)據(jù)分析

對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。①模式匹配模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。入侵檢測(cè)的過(guò)程數(shù)據(jù)分析

②統(tǒng)計(jì)分析統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。

③完整性分析完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性，它對(duì)發(fā)現(xiàn)內(nèi)容被更改方面很有效。報(bào)警與響應(yīng)

入侵檢測(cè)系統(tǒng)檢測(cè)出入侵行為后，根據(jù)分析結(jié)果，或者是網(wǎng)絡(luò)管理員，或者自動(dòng)地按一定的措施來(lái)阻止入侵行為，主要包括：記錄安全事件產(chǎn)生報(bào)警信息隔離被攻擊對(duì)象斷開(kāi)用戶(hù)的連接禁用用戶(hù)帳號(hào)禁止被攻擊對(duì)象的特定端口和服務(wù)警告攻擊者跟蹤攻擊者激活附加入侵檢測(cè)工具8.6加密與認(rèn)證

現(xiàn)實(shí)社會(huì)中，我們可以通過(guò)身份證來(lái)對(duì)個(gè)人身份進(jìn)行認(rèn)證，那么在網(wǎng)絡(luò)環(huán)境中，如何確認(rèn)網(wǎng)絡(luò)中的身份呢，這就是數(shù)字認(rèn)證，這點(diǎn)在電子商務(wù)活動(dòng)中尤為重要。數(shù)字認(rèn)證過(guò)程是通過(guò)去向證書(shū)授權(quán)中心(CA，CertificateAuthority)申請(qǐng)數(shù)字證書(shū)，采用數(shù)字簽名的方式來(lái)實(shí)現(xiàn)的。數(shù)字簽名是基于加密技術(shù)的，它的作用就是用來(lái)確定用戶(hù)是否是真實(shí)的。如當(dāng)用戶(hù)收到一封電子郵件時(shí)，郵件上面標(biāo)有發(fā)信人的姓名和信箱地址信息，但這些信息的偽造非常簡(jiǎn)單，而電子郵件上的數(shù)字簽名則可以確認(rèn)發(fā)信人身份的真實(shí)性。加密的概念

數(shù)據(jù)加密就是對(duì)原來(lái)為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理，使其成為不可讀的一段代碼，通常稱(chēng)為“密文”，只能在輸入相應(yīng)的密鑰之后才能顯示出原來(lái)內(nèi)容，通過(guò)這樣的途徑來(lái)達(dá)到保護(hù)數(shù)據(jù)不被非法竊取、閱讀的目的。該過(guò)程的逆過(guò)程為解密，即將加密的編碼信息轉(zhuǎn)化為原來(lái)數(shù)據(jù)的過(guò)程。

兩種加密方法

加密技術(shù)通常分為兩大類(lèi)：對(duì)稱(chēng)式加密和非對(duì)稱(chēng)式加密。對(duì)稱(chēng)式加密就是加密和解密使用同一個(gè)密鑰，通常稱(chēng)之為“SessionKey”。非對(duì)稱(chēng)式加密就是加密和解密所使用的不是同一個(gè)密鑰，通常有兩個(gè)密鑰，稱(chēng)為“公鑰”和“私鑰”，它們兩個(gè)必需配對(duì)使用，否則不能打開(kāi)加密文件。這里的“公鑰”是指可以對(duì)外公布的，“私鑰”則不能，只能由持有者一個(gè)人擁有。密鑰策略

使用單密鑰加密算法，加密的密鑰和解密的密鑰是相同的，只有通信雙方都使用同一個(gè)密鑰，才能夠進(jìn)行完整的通信，其缺點(diǎn)主要是在通信之前必須有一個(gè)安全的密鑰交換過(guò)程以及在有多個(gè)通信方時(shí)會(huì)造成密鑰量呈幾何級(jí)數(shù)急劇增加。而公鑰加密算法則不同，它加解密時(shí)使用的關(guān)鍵信息是由一個(gè)公鑰和一個(gè)與公鑰不同的私鑰組成的密鑰對(duì)。用公鑰加密的結(jié)果只能用私鑰才能解密；而用私鑰加密的結(jié)果也只能用公鑰解密。同時(shí)，用公鑰推導(dǎo)私鑰的代價(jià)在現(xiàn)實(shí)中是十分高昂的，甚至是不可行的。因此你可以將你的公鑰散發(fā)給其他每個(gè)人，而你自己則安全地持有你的私鑰。這樣其他人向你發(fā)送郵件時(shí)就可以用你的公鑰進(jìn)行加密，而這封被加密的郵件只有你才能用你的私鑰解密并閱讀，這就是用公鑰加密算法進(jìn)行加密的基本原理。幾種加密算法

DES加密算法

DES算法有三個(gè)參數(shù)：Key、Data、Mode。其中Key為8個(gè)字節(jié)共64位，是DES算法的密鑰，但有8位作為校驗(yàn)位，因此實(shí)際上只有56位；Data為8個(gè)字節(jié)64位，是要被加密或被解密的數(shù)據(jù)；Mode為DES的工作方式，加密或解密。

DES加密算法的主要特點(diǎn)有：◆提供高質(zhì)量的數(shù)據(jù)保護(hù)，防止數(shù)據(jù)未經(jīng)授權(quán)的泄露和未被察覺(jué)的修改；◆具有相當(dāng)高的復(fù)雜性，使得破譯比較困難，同時(shí)又便于理解和掌握；◆DES密碼體制的安全性不依賴(lài)于算法的保密，其安全性是以加密密鑰的保密為基礎(chǔ)；◆實(shí)現(xiàn)成本低，運(yùn)行效果好，并且適用于多種完全不同的應(yīng)用。

幾種加密算法IDEA加密算法

IDEA加密算法是在DES算法基礎(chǔ)上發(fā)展起來(lái)的，它對(duì)DES進(jìn)行了改進(jìn)，其密鑰長(zhǎng)度為128位，安全性大為加強(qiáng)，并且其實(shí)現(xiàn)速度也比DES快，因此，IDEA算法被認(rèn)為是目前最好的分組密碼算法，著名加密軟件PGP采用了IDEA算法。

幾種加密算法RSA加密算法

RSA算法的名字以發(fā)明者的名字命名，即RonRivest,AdShamir和LeonardAdleman。RSA加密算法是一種基于公鑰加密系統(tǒng)的加密算法，其基本思想是使用兩個(gè)不同的密鑰對(duì)信息進(jìn)行加密和解密，加密密鑰通常是稱(chēng)為公鑰的密鑰，解密密鑰則是稱(chēng)私鑰的密鑰。解密密鑰在理論上可以由加密密鑰推算出來(lái)，但這種推導(dǎo)解密密鑰的算法在具體實(shí)現(xiàn)時(shí)卻是不可行的，RSA算法經(jīng)歷了各種攻擊，至今未被完全攻破，因此RSA算法有很強(qiáng)的安全性。幾種加密算法RSA加密算法RSA算法原理RSA算法安全性是基于大數(shù)運(yùn)算而來(lái)的，我們?cè)谶M(jìn)行兩個(gè)很大的素?cái)?shù)相乘時(shí)很容易，但要由兩個(gè)素?cái)?shù)分解出這兩個(gè)大的素?cái)?shù)卻非常困難。下面是RSA算法的密鑰產(chǎn)生過(guò)程：a．找出二個(gè)大數(shù)p,q,其中p,q是兩個(gè)相異的大的素?cái)?shù),一般要求p*q至少大于512二進(jìn)制位；b．計(jì)算n=pq和歐拉函數(shù)值ф(n)=(p-1)*(q-1)c．隨機(jī)取一整數(shù)e，要求e與歐拉函數(shù)值ф(n)互質(zhì)d．根據(jù)Euclid算法計(jì)算解密密鑰d，有：de≡1modф(n)進(jìn)而求出：d=e-1modф(n)其中，e和n作為公鑰，可以公開(kāi)，d作為私鑰，幾種加密算法RSA加密算法加密過(guò)程是：a．對(duì)明文m進(jìn)行分組b．對(duì)分組后數(shù)據(jù)進(jìn)行加密，加密算法為：ci=miemodn其中，ci為第I個(gè)分組的密文，mie為第I個(gè)分組的明文。解密算法過(guò)程為：得到密文后，解密算法為：mi＝cidmodn數(shù)字認(rèn)證

隨著電子商務(wù)系統(tǒng)技術(shù)應(yīng)用的普及，很多客戶(hù)將通過(guò)網(wǎng)絡(luò)獲得商家和企業(yè)的信息，但網(wǎng)絡(luò)安全問(wèn)題也使得某些敏感或有價(jià)值的數(shù)據(jù)有被盜用的風(fēng)險(xiǎn)。為了建立顧客、商家和企業(yè)等交易方在網(wǎng)絡(luò)平臺(tái)上的信任關(guān)系，電子商務(wù)系統(tǒng)必須提供具有十分可靠的安全保密技術(shù)，從而確保信息傳輸?shù)谋Ｃ苄?、?shù)據(jù)交換的完整性、發(fā)送信息的不可否認(rèn)性、交易者身份的確定性。我們可以通過(guò)數(shù)字認(rèn)證來(lái)解決這個(gè)問(wèn)題。數(shù)字認(rèn)證離不開(kāi)證書(shū)授權(quán)機(jī)構(gòu)、數(shù)字證書(shū)、數(shù)字簽名。

數(shù)字證書(shū)的內(nèi)容證書(shū)的版本信息；證書(shū)的序列號(hào)，每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào)；證書(shū)所使用的簽名算法，如RSA算法；證書(shū)的發(fā)行機(jī)構(gòu)（CA中心）的名稱(chēng)，命名規(guī)則一般采用X.500格式；證書(shū)的有效期，現(xiàn)在通用的證書(shū)一般采用UTC時(shí)間格式，它的計(jì)時(shí)范圍為1950年至2049年；證書(shū)擁有者的名稱(chēng)，命名規(guī)則一般采用X.500格式；證書(shū)擁有者的公開(kāi)密鑰；證書(shū)發(fā)行機(jī)構(gòu)（CA中心）對(duì)證書(shū)的數(shù)字簽名。數(shù)字證書(shū)的功能

信息傳輸?shù)谋Ｃ苄噪娮诱?wù)和電子商務(wù)應(yīng)用均涉及到機(jī)密或敏感信息，如涉密公文、信用卡帳號(hào)和口令、訂貨和付款的信息等。數(shù)字證書(shū)采用基于非對(duì)稱(chēng)密鑰加密算法的公開(kāi)密鑰體制（PKI），包含公鑰和私鑰的信息，可以有效地保護(hù)信息安全。身份的確定性網(wǎng)絡(luò)中身份確定很困難，通過(guò)用戶(hù)名/口令模式會(huì)有安全隱患。數(shù)字證書(shū)有CA中心的數(shù)字簽名，所以不可能偽造和篡改，同時(shí)包含證書(shū)擁有者的身份信息，使用數(shù)字證書(shū)可以增加網(wǎng)絡(luò)中的身份的確定性。數(shù)字證書(shū)的功能信息的不可否認(rèn)性在日常生活中，人們通過(guò)用印章或簽名的方法來(lái)實(shí)現(xiàn)信息的不可否認(rèn)性問(wèn)題。使用數(shù)字證書(shū)可以實(shí)現(xiàn)數(shù)字簽名，從而實(shí)現(xiàn)網(wǎng)絡(luò)中信息的不可抵賴(lài)性。信息的完整性在網(wǎng)絡(luò)中，信息可能在網(wǎng)絡(luò)傳輸過(guò)程中被截獲篡改后再轉(zhuǎn)發(fā)出去，造成信息的完整性受損，如果信息接收方不能識(shí)別這些被篡改的信息，可能會(huì)造成嚴(yán)重后果。數(shù)字證書(shū)中采用完整性校驗(yàn)算法，信息接收者可以判斷收到的信息是否已被改動(dòng)，如被改動(dòng)則認(rèn)為該信息無(wú)效，以此保證信息的完整性。數(shù)字簽名概述

對(duì)文件進(jìn)行加密只解決了傳送信息的保密問(wèn)題，而通過(guò)數(shù)字簽名可以確定發(fā)信人的身份，防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞以保證網(wǎng)絡(luò)上數(shù)據(jù)的完整性、不可否認(rèn)性和網(wǎng)絡(luò)上用戶(hù)身份的確定性。數(shù)字簽名技術(shù)在電子商務(wù)安全保密系統(tǒng)中有著特別重要的地位，在電子商務(wù)安全服務(wù)中的源鑒別、完整性服務(wù)、不可否認(rèn)服務(wù)中，都要用到數(shù)字簽名技術(shù)。在電子商務(wù)中，完善的數(shù)字簽名應(yīng)具備簽字方不可抵賴(lài)、他人不能偽造、在公證人面前能夠驗(yàn)證真?zhèn)蔚哪芰?。目前的?shù)字簽名建立在公鑰體制基礎(chǔ)上，它是公用密鑰加密技術(shù)的應(yīng)用。數(shù)字簽名技術(shù)

應(yīng)用廣泛的數(shù)字簽名方法主要有三種，即：RSA簽名、DSS簽名和Hash簽名。RSA簽名使用的是RSA技術(shù)。用RSA或其它公開(kāi)密鑰密碼算法的最大優(yōu)點(diǎn)是妥善解決了密鑰分配管理問(wèn)題。

DSS數(shù)字簽名是由美國(guó)國(guó)家標(biāo)準(zhǔn)化研究院和國(guó)家安全局共同開(kāi)發(fā)的。主要用于與美國(guó)政府做生意的公司，其他公司則較少使用。Hash簽名是最主要的數(shù)字簽名方法，也稱(chēng)之為數(shù)字摘要法（DigitalDigest）或數(shù)字指紋法（DigitalFingerPrint）。它與RSA數(shù)字簽名是單獨(dú)的簽名不同，該數(shù)字簽名方法是將數(shù)字簽名與要發(fā)送的信息緊密聯(lián)系在一起，它更適合于電子商務(wù)活動(dòng)。將一個(gè)商務(wù)合同的個(gè)體內(nèi)容與簽名結(jié)合在一起，與合同和簽名分開(kāi)傳遞相比，增強(qiáng)了可信度和安全性。實(shí)現(xiàn)數(shù)字簽名的過(guò)程

只有加入數(shù)字簽名及驗(yàn)證后才能真正實(shí)現(xiàn)在公用網(wǎng)絡(luò)上的安全傳輸。進(jìn)行數(shù)字簽名和驗(yàn)證的文件傳輸過(guò)程如下：①發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公開(kāi)密鑰體系用發(fā)送方的私有密鑰對(duì)數(shù)字簽名進(jìn)行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面；②發(fā)送方選擇一個(gè)秘密密鑰（此秘密密鑰通常按照對(duì)稱(chēng)加密體系生成，主要是對(duì)文件的正文部分加密，以提高加密解密的速度）對(duì)文件進(jìn)行加密，并把加密后的文件通過(guò)網(wǎng)絡(luò)傳輸?shù)浇邮辗?；③發(fā)送方用接收方的公開(kāi)密鑰對(duì)秘密密鑰進(jìn)行加密，并通過(guò)網(wǎng)絡(luò)把加密后的秘密密鑰傳輸?shù)浇邮辗?；?shí)現(xiàn)數(shù)字簽名的過(guò)程④接受方使用自己的私有密鑰對(duì)秘密密鑰進(jìn)行解密，得到秘密密鑰的明文；⑤接收方用秘密密鑰對(duì)文件進(jìn)行解密，得到經(jīng)過(guò)加密的數(shù)字簽名；⑥接收方用發(fā)送方的公開(kāi)密鑰對(duì)數(shù)字簽名進(jìn)行解密，得到數(shù)字簽名的明文；⑦接收方用得到的明文和哈希函數(shù)重新計(jì)算數(shù)字簽名，并與解密后的數(shù)字簽名進(jìn)行對(duì)比。如果兩個(gè)數(shù)字簽名是相同的，說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞。

加密軟件PGP

PGP(PrettyGoodPrivacy)是典型的加密軟件，其創(chuàng)始人是美國(guó)的PhilZimmermann。PGP采用了RSA與傳統(tǒng)加密相結(jié)合的加密算法，既可以解決RSA加密速度慢的問(wèn)題，又可以避免傳統(tǒng)加密算法出現(xiàn)的安全性問(wèn)題。它被大量地用于電子郵件的加密，一方面可以防止非授權(quán)閱讀，另一方面可以對(duì)郵件進(jìn)行數(shù)字簽名。PGP操作方便，功能強(qiáng)大，速度快，而且源代碼公開(kāi)，因此，PGP成為一種非常流行的公鑰加密軟件包。PGP的數(shù)字簽名是基于加密技術(shù)的，它的作用就是用來(lái)確定用戶(hù)是否是真實(shí)的。應(yīng)用最多的還是電子郵件，如當(dāng)用戶(hù)收到一封電子郵件時(shí)，郵件上面標(biāo)有發(fā)信人的姓名和信箱地址，很多人可能會(huì)簡(jiǎn)單地認(rèn)為發(fā)信人就是信上說(shuō)明的那個(gè)人，但實(shí)際上偽造一封電子郵件對(duì)于一個(gè)平常人來(lái)說(shuō)是極為容易的事。在這種情況下，就要用到加密技術(shù)基礎(chǔ)上的數(shù)字簽名，用它來(lái)確認(rèn)發(fā)信人身份的真實(shí)性。數(shù)字簽名則是用由私鑰加密的結(jié)果可以用公鑰解密的原理來(lái)實(shí)現(xiàn)的。

PGP8.1的使用

PGP提供了免費(fèi)版本，在上可以下載。PGP的安裝很簡(jiǎn)單，只需按照安裝向?qū)У奶崾具M(jìn)行選擇即可。PGP密鑰

在利用PGP進(jìn)行加密操作之前，我們需要生成一對(duì)密鑰，即公鑰和私鑰，公鑰用來(lái)分發(fā)給通信的對(duì)方，讓他們用公鑰加密文件，私鑰由自己保管，我們用私鑰來(lái)解密用自己的公鑰加密的文件。點(diǎn)擊“開(kāi)始”→“程序”→“PGP”→“PGPkeys”，運(yùn)行PGP，點(diǎn)擊“Key”→“NewKey”或使用工具按鈕，開(kāi)始生成密鑰對(duì)。如圖，我們點(diǎn)“Expert”，在彈出窗口中可以自定義參數(shù)設(shè)置，我們可以選擇加密類(lèi)型、密鑰的長(zhǎng)度、密鑰的有效日期等。當(dāng)然，我們?nèi)绻稽c(diǎn)“Expert”，則PGP采用默認(rèn)的值，加密類(lèi)型為Deffie-Hellman/DSS、密鑰的長(zhǎng)度為2048、密鑰的有效日期是永遠(yuǎn)有效。如圖8-6-1。

PGP8.1的使用PGP密鑰在接下來(lái)的密鑰生成向?qū)е校覀冃枰斎胗脩?hù)名和E-mail地址，用戶(hù)名和E-mail地址可以幫助通信對(duì)方有效地搜索公鑰和確認(rèn)數(shù)字簽名。接下來(lái)，輸入密碼必不可少，這個(gè)密碼一方面是我們用私鑰解密時(shí)需要確認(rèn)的密碼，另一方面也是生成密鑰的參考數(shù)據(jù)，如圖8-6-2。這樣，PGP就開(kāi)始生成密鑰對(duì)了。

圖8-6-1PGP運(yùn)行界面

圖8-6-2輸入打開(kāi)加密文件的密碼

PGP8.1的使用加密和解密

對(duì)文件加密時(shí)，選中要加密的文件，右擊后，選“PGP”中的“Encrypt”，在彈出窗口中選擇要用的密鑰，雙擊使它加入到Recipients框中，如圖8-6-3，這樣就生成了一個(gè)擴(kuò)展名為PGP的加密文件。

解密時(shí)，雙擊加密文件或右擊加密文件，選擇“PGP”中“Decrypt&Verify”，在密碼框中輸入解密密碼即可。

圖8-6-3選擇加密的密鑰

PGP8.1的使用密鑰管理

我們?cè)谏擅荑€對(duì)后，對(duì)于私鑰，需要妥善保管，丟失私鑰是非常危險(xiǎn)的。公私的發(fā)布有兩種方式，一種方式是選中密鑰后點(diǎn)“Keys”→“Export”或點(diǎn)擊工具按鈕，在彈出對(duì)話框輸入文件名，即可生成公鑰的文件，然后，我們可以把此文件發(fā)給通信對(duì)方。另一種方式，是點(diǎn)擊“Server”→“Sendto”→“DomainServer”或點(diǎn)擊工具按鈕，將公鑰發(fā)送到公鑰根服務(wù)器上，這樣，通信對(duì)方可以通過(guò)PGP提供的搜索公鑰的功能到公鑰根服務(wù)器上去下載公鑰，如圖8-6-4，此方式便于大范圍地發(fā)布公鑰。

圖8-6-4在公鑰服務(wù)器上搜索密鑰

8.7網(wǎng)絡(luò)管理

隨著網(wǎng)絡(luò)的逐步普及和規(guī)模的日益擴(kuò)大，網(wǎng)絡(luò)必將成為我們?nèi)粘Ｉ钪械囊徊糠?，我們?cè)絹?lái)越依賴(lài)于網(wǎng)絡(luò)，對(duì)網(wǎng)絡(luò)的安全性和穩(wěn)定性有了更高的要求。如何管理和維護(hù)網(wǎng)絡(luò)，確保網(wǎng)絡(luò)的正常運(yùn)行，更好地滿(mǎn)足用戶(hù)的需求，是網(wǎng)絡(luò)管理需要解決的課題。

網(wǎng)絡(luò)管理的概念

網(wǎng)絡(luò)管理是對(duì)網(wǎng)絡(luò)上的通信設(shè)備及傳輸系統(tǒng)進(jìn)行有效的監(jiān)控、診斷和測(cè)試所采用的技術(shù)和方法。網(wǎng)絡(luò)管理系統(tǒng)能夠幫助網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)故障進(jìn)行診斷，確定故障發(fā)生的位置和類(lèi)型，提出重新配置網(wǎng)絡(luò)系統(tǒng)的建議。網(wǎng)絡(luò)管理系統(tǒng)同樣能夠監(jiān)控網(wǎng)絡(luò)的性能，將網(wǎng)絡(luò)負(fù)載情況形成報(bào)告，提供給管理員，幫助找出網(wǎng)絡(luò)瓶頸，為合理地修改或擴(kuò)展網(wǎng)絡(luò)提供依據(jù)，從而保證網(wǎng)絡(luò)有更強(qiáng)的可用性和適應(yīng)性。

網(wǎng)絡(luò)管理的發(fā)展歷史

早期的網(wǎng)絡(luò)管理系統(tǒng)兼容性不好，很難對(duì)其他廠商的網(wǎng)絡(luò)系統(tǒng)、通信設(shè)備和軟件進(jìn)行管理，因此，不能滿(mǎn)足大量異種結(jié)構(gòu)網(wǎng)絡(luò)互聯(lián)的需求，尤其是Internet的出現(xiàn)和發(fā)展，使得網(wǎng)絡(luò)管理系統(tǒng)標(biāo)準(zhǔn)化問(wèn)題顯得更加突出?；贠SI的公共管理信息協(xié)議(CommonManagementInformationProtocol，CMIP)，它是支持一個(gè)完整網(wǎng)絡(luò)管理方案的協(xié)議。CMOT(CommonManagementOverTCP/IP是對(duì)CMIP進(jìn)行修改，實(shí)現(xiàn)基于TCP/IP協(xié)議的網(wǎng)絡(luò)管理，它是一個(gè)過(guò)度性方案，因此應(yīng)用很不普及。簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol，SNMP)以其簡(jiǎn)單性、可伸縮性、擴(kuò)展性成為目前網(wǎng)絡(luò)管理的協(xié)議。它是在簡(jiǎn)單網(wǎng)關(guān)監(jiān)控協(xié)議(SimpleGatewayManagementProtocol，SGMP)的基礎(chǔ)上作了簡(jiǎn)單修改，于1998年作為一個(gè)臨時(shí)的網(wǎng)絡(luò)管理解決方案提出的。它的特點(diǎn)是實(shí)現(xiàn)網(wǎng)絡(luò)管理簡(jiǎn)單迅速、功能強(qiáng)大，已成為網(wǎng)絡(luò)管理方面事實(shí)上的標(biāo)準(zhǔn)SNMP最近幾年對(duì)版本進(jìn)行了多次升級(jí)，現(xiàn)在較新的版本是SNMPv3，在此協(xié)議基礎(chǔ)上，網(wǎng)絡(luò)管理的安全性、支持多體系結(jié)構(gòu)和遠(yuǎn)程配置等方面得到很好的解決。網(wǎng)絡(luò)管理的發(fā)展方向網(wǎng)絡(luò)的復(fù)雜化和大規(guī)模造成了兩個(gè)方面影響，一方面排除網(wǎng)絡(luò)中的故障更加困難，維護(hù)的成本增長(zhǎng)很快；另一方面是面對(duì)飛速增長(zhǎng)的網(wǎng)絡(luò)流量需求，我們不能無(wú)節(jié)制地?cái)U(kuò)充網(wǎng)絡(luò)服務(wù)器和設(shè)備的性能，如何充分有效地利用現(xiàn)有網(wǎng)絡(luò)資源，做到負(fù)載均衡，才是更為合理的方案。因此，未來(lái)的網(wǎng)絡(luò)管理必須有大的發(fā)展。網(wǎng)絡(luò)管理系統(tǒng)要求支持多種平臺(tái)、操作系統(tǒng)、協(xié)議和體系結(jié)構(gòu)，同時(shí)，網(wǎng)絡(luò)管理不僅局限于網(wǎng)管領(lǐng)域，而是向系統(tǒng)管理、應(yīng)用管理、業(yè)務(wù)管理的領(lǐng)域延伸，人工智能也將引入網(wǎng)絡(luò)管理技術(shù)，力爭(zhēng)解決網(wǎng)絡(luò)管理功能單一、配置復(fù)雜、缺乏標(biāo)準(zhǔn)、耗資巨大等問(wèn)題，未來(lái)網(wǎng)絡(luò)管理將向綜合化、智能化和標(biāo)準(zhǔn)化等方向發(fā)展。

網(wǎng)絡(luò)管理的功能

ISO在ISO/IEC7498-4文檔中定義了網(wǎng)絡(luò)管理的五大功能，并被廣泛接受。這五大功能是：故障管理

故障管理是網(wǎng)絡(luò)管理中最基本的功能之一。用戶(hù)對(duì)網(wǎng)絡(luò)的可靠性有很高要求，當(dāng)網(wǎng)絡(luò)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)管理員能迅速找到故障并及時(shí)排除。(2)計(jì)費(fèi)管理計(jì)費(fèi)管理用來(lái)記錄網(wǎng)絡(luò)資源的使用情況，目的是控制和檢測(cè)網(wǎng)絡(luò)操作的成本，它可以估算出用戶(hù)使用網(wǎng)絡(luò)資源可能需要的費(fèi)用和代價(jià)，以及已經(jīng)使用的資源的費(fèi)用。網(wǎng)絡(luò)管理員還可規(guī)定用戶(hù)可使用的最大費(fèi)用，從而控制用戶(hù)過(guò)多占用和使用網(wǎng)絡(luò)資源，這也從另一方面提高了網(wǎng)絡(luò)的效率。網(wǎng)絡(luò)管理的功能配置管理配置管理是網(wǎng)絡(luò)管理的最基本功能，它負(fù)責(zé)監(jiān)控網(wǎng)絡(luò)的配置情況，以使其提供必要的網(wǎng)絡(luò)服務(wù)。配置管理對(duì)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備、使用配置等信息進(jìn)行定義、監(jiān)視和修改，從而實(shí)現(xiàn)某個(gè)特定功能或優(yōu)化網(wǎng)絡(luò)性能。

性能管理性能管理監(jiān)測(cè)系統(tǒng)的運(yùn)行情況，在保證有效提供網(wǎng)絡(luò)服務(wù)的基礎(chǔ)上，提高網(wǎng)絡(luò)資源的使用效率。性能管理提供監(jiān)視和分析網(wǎng)絡(luò)及其所提供服務(wù)的性能管理機(jī)制，性能分析的結(jié)果是網(wǎng)絡(luò)規(guī)劃和網(wǎng)絡(luò)改建的重要依據(jù)，如果發(fā)現(xiàn)當(dāng)前或即將出現(xiàn)的網(wǎng)絡(luò)資源不足，那么需要重新配置網(wǎng)絡(luò)以維持網(wǎng)絡(luò)的性能。

網(wǎng)絡(luò)管理的功能安全管理安全管理是在通過(guò)數(shù)據(jù)加密和數(shù)字認(rèn)證、數(shù)據(jù)完整性機(jī)制、訪問(wèn)控制機(jī)制，來(lái)對(duì)網(wǎng)絡(luò)系統(tǒng)和數(shù)據(jù)進(jìn)行保護(hù)。安全管理包括對(duì)授權(quán)機(jī)制、訪問(wèn)控制方式、加密和密鑰的管理，另外還要維護(hù)和檢查安全日志，有