第四章電子商務(wù)安全

第四章電子商務(wù)安全技術(shù)案例學(xué)習(xí)目標(biāo)學(xué)習(xí)內(nèi)容2/5/20231案例國(guó)外早期，Yahoo,ebay,Amazon等著名網(wǎng)站被黑客攻擊，直接和間接損失10億美元。國(guó)內(nèi)早期，有人利用普通的技術(shù)，從電子商務(wù)網(wǎng)站竊取到8萬(wàn)個(gè)信用卡號(hào)和密碼，標(biāo)價(jià)26萬(wàn)元出售。2/5/20232第四章電子商務(wù)安全技術(shù)電子商務(wù)安全面臨的問(wèn)題電子商務(wù)安全的要求電子商務(wù)安全技術(shù)2/5/20233一電子商務(wù)所面臨的安全問(wèn)題

電子商務(wù)中的安全隱患可分為如下幾類：

1.信息的截獲和竊取

2.信息的篡改

3.信息假冒

4.交易抵賴2/5/20234二電子商務(wù)安全要求數(shù)據(jù)完整性即數(shù)據(jù)在傳輸過(guò)程中的完整性.也就是數(shù)據(jù)在發(fā)送前和到達(dá)后是否完全一樣.數(shù)據(jù)保密性即數(shù)據(jù)是否會(huì)被非法竊取.數(shù)據(jù)可用性即當(dāng)需要時(shí)能否存取所需的信息,或在系統(tǒng)故障的情況下數(shù)據(jù)會(huì)否丟失.身份認(rèn)證對(duì)信息的傳播即內(nèi)容具有控制能力.2/5/20235三電子商務(wù)安全內(nèi)容電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全,兩者相輔相成，缺一不可。計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備安全、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全、數(shù)據(jù)庫(kù)安全等。其特征是針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)本身可能存在的安全問(wèn)題，實(shí)施網(wǎng)絡(luò)安全增強(qiáng)方案，以保證計(jì)算機(jī)網(wǎng)絡(luò)自身的安全性為目標(biāo)。

2/5/20236

商務(wù)交易安全緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問(wèn)題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過(guò)程的順利進(jìn)行。即實(shí)現(xiàn)電子商務(wù)的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。2/5/20237電子商務(wù)安全構(gòu)架交易安全技術(shù)安全應(yīng)用協(xié)議SET、SSL安全認(rèn)證手段數(shù)字簽名、CA體系基本加密算法對(duì)稱和非對(duì)稱密算法安全管理體系網(wǎng)絡(luò)安全技術(shù)病毒防范身份識(shí)別技術(shù)防火墻技術(shù)分組過(guò)濾和代理服務(wù)等法律、法規(guī)、政策2/5/20238安全模型2/5/20239企業(yè)級(jí)安全總體規(guī)劃安全業(yè)務(wù)調(diào)度安全安全政策法規(guī)功能設(shè)計(jì)安全職能劃分安全應(yīng)用級(jí)安全文件安全目錄安全數(shù)據(jù)安全郵件安全群件安全事件安全系統(tǒng)級(jí)安全操作系統(tǒng)安全用戶管理安全分布系統(tǒng)管理安全故障診斷系統(tǒng)監(jiān)控安全網(wǎng)絡(luò)運(yùn)行監(jiān)測(cè)平臺(tái)安全網(wǎng)絡(luò)級(jí)安全

...信息傳輸安全路由安全廣域網(wǎng)安全節(jié)點(diǎn)安全協(xié)議安全鏈路安全物理安全網(wǎng)絡(luò)安全內(nèi)容----網(wǎng)絡(luò)安全體系

電子商務(wù)安全要求對(duì)應(yīng)的安全技術(shù)2/5/202311數(shù)據(jù)完整性機(jī)制奇偶位、校驗(yàn)和、循環(huán)冗余校驗(yàn)CRC(CyclicRedundancyCheck）

消息發(fā)送方可同時(shí)發(fā)送該消息的校驗(yàn)值，消息接收方接到消息時(shí)只需要重新計(jì)算一次校驗(yàn)值，并比較兩校驗(yàn)值是否相同就可以判斷該消息是否正確了。以上技術(shù)不能絕對(duì)保證數(shù)據(jù)的完整性，2個(gè)原因:如果校驗(yàn)值和消息數(shù)據(jù)同時(shí)破壞，且改變后的校驗(yàn)值和消息又正巧匹配，則系統(tǒng)無(wú)法發(fā)現(xiàn)錯(cuò)誤。1中所述技術(shù)上的缺陷，可能被人惡意利用。2/5/202312數(shù)據(jù)完整性機(jī)制消息驗(yàn)證碼(MAC)為防止傳輸和存儲(chǔ)的消息被有意或無(wú)意地篡改，采用密碼技術(shù)對(duì)消息進(jìn)行運(yùn)算生成消息驗(yàn)證碼（MAC），附在消息之后發(fā)出或與信息一起存儲(chǔ)，對(duì)信息進(jìn)行認(rèn)證。計(jì)算MAC的算法是不可逆的。加密的數(shù)據(jù)和MAC一起發(fā)送給接收者，接收者就可以用MAC來(lái)校驗(yàn)加密數(shù)據(jù)，保證數(shù)據(jù)沒(méi)有被竄改過(guò)。

2/5/202313數(shù)據(jù)保密性機(jī)制加密與解密算法和密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)DES公開(kāi)密鑰密碼體制數(shù)字簽名2/5/202314加密與解密消息（message）被稱為明文（plaintext）。用某種方法偽裝消息以隱藏它的內(nèi)容的過(guò)程稱為加密（encryption），被加密的消息稱為密文（ciphertext），而把密文轉(zhuǎn)變?yōu)槊魑牡倪^(guò)程稱為解密（decryption）。加密解密明文密文原始明文2/5/202315算法和密鑰算法和密鑰密碼算法（algorithm）也叫密碼（cipher），適用于加密和解密的數(shù)學(xué)函數(shù)。（通常情況下有兩個(gè)相關(guān)的函數(shù)，一個(gè)用來(lái)加密，一個(gè)用來(lái)解密）如果算法的保密性是基于保持算法的秘密，這種算法稱為受限制的（restricted）算法。受限制的算法不可能進(jìn)行質(zhì)量控制或標(biāo)準(zhǔn)化。每個(gè)用戶和組織必須由他們自己唯一的算法。2/5/202316算法和密鑰現(xiàn)代密碼學(xué)用密鑰（key）解決了這個(gè)問(wèn)題。加密解密明文密文原始明文加密解密明文密文原始明文密鑰密鑰加密密鑰解密密鑰2/5/202317算法和密鑰所有這些算法的安全性都基于密鑰的安全性；而不是基于算法的安全性。這就意味著算法可以公開(kāi)，也可以被分析，可以大量生產(chǎn)使用算法的產(chǎn)品，即使偷聽(tīng)者知道你的算法也沒(méi)有關(guān)系。密碼系統(tǒng)由（cryptosystem）由算法以及所有可能的明文、密文和密鑰組成。對(duì)稱算法基于密鑰的算法通常有兩類：對(duì)稱算法和公開(kāi)密鑰算法。2/5/202318算法和密鑰對(duì)稱算法（symmetricalgorithm）有時(shí)又叫傳統(tǒng)密碼算法，就是加密密鑰能夠從解密密鑰推算出來(lái)，反過(guò)來(lái)也成立。在大多數(shù)對(duì)稱算法中，加/解密密鑰是相同的。這些算法也叫做秘密密鑰算法或單鑰算法，它要求發(fā)送者和接收者在安全通信之前，商定一個(gè)密鑰。對(duì)稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對(duì)消息進(jìn)行加/解密。只要通信需要保密，密鑰就必須保密。2/5/202319算法和密鑰對(duì)稱算法可以分為兩類。一次只對(duì)明文中的單個(gè)位（有時(shí)對(duì)字節(jié)）運(yùn)算的算法稱為序列算法（streamalgorithm）或序列密碼（streamcipher）。另一類算法是對(duì)明文的一組位進(jìn)行運(yùn)算，這些位稱為分組（block），相應(yīng)的算法稱為分組算法（blockalgorithm）或分組密碼（blockcipher）。2/5/202320算法和密鑰公開(kāi)密鑰算法公開(kāi)密鑰算法（public-keyalgorithm，也叫非對(duì)稱算法）是這樣設(shè)計(jì)的：用作加密的密鑰不同于用作解密的密鑰，而且解密密鑰不能根據(jù)加密密鑰計(jì)算出來(lái)（至少在合理假定的長(zhǎng)時(shí)間內(nèi)）。之所以叫做公開(kāi)密鑰算法，是因?yàn)榧用苊荑€能夠公開(kāi)，即陌生者能用加密密鑰加密信息，但只有用相應(yīng)的解密密鑰才能解密信息。在這些系統(tǒng)中，加密密鑰叫做公開(kāi)密鑰（publickey），解密密鑰叫做私人密鑰（privatekey）。2/5/202321算法常見(jiàn)的計(jì)算機(jī)算法DES是最通用的計(jì)算機(jī)加密算法。DES是美國(guó)和國(guó)際標(biāo)準(zhǔn)，它是對(duì)稱算法，加密和解密的密鑰是相同的。RSA是最流行的公開(kāi)密鑰算法，它能用作加密和數(shù)字簽名DSA是另外一種公開(kāi)密鑰算法，它不能用作加密，只能用作數(shù)字簽名。2/5/202322

一般加密/解密的函數(shù)（算法）是公開(kāi)的，一個(gè)算法的強(qiáng)度（被破解的難度）除了依賴于算法本身以外，還往往與密鑰長(zhǎng)度有關(guān)，通常密鑰越長(zhǎng)，強(qiáng)度越高。這是因?yàn)?，密鑰越長(zhǎng)，被猜出的可能性越低。所以，保密入情入理在于一個(gè)強(qiáng)度高的算法加上一個(gè)長(zhǎng)度長(zhǎng)的密鑰。對(duì)于不同的要求，長(zhǎng)度可以不同，比如，為了保護(hù)你的電子郵件不讓孩子閱讀，密鑰長(zhǎng)度有64位就可以了，但是，為了保護(hù)一個(gè)商業(yè)秘密，可能至少需要256位的密鑰。(1）替換（substitution）加密算法（2）變換（transposition）加密算法(3）數(shù)據(jù)加密標(biāo)準(zhǔn)（DES，DataEncryptionStandard）是美國(guó)政府于1997年發(fā)布的，DES使用相同的算法來(lái)對(duì)數(shù)據(jù)進(jìn)行加密和解密，所使用的加密密鑰和解密密鑰是相同的。算法的輸入有64位的明文，使用56位的密鑰，輸出是64位的密文，它例用16輪的混合操作，目的是徹底地打亂明文的信息，使得密文的每一位都依賴于明文的每一位和密鑰的每一位.。2/5/202323常規(guī)密鑰密碼體制

密碼技術(shù)是保證網(wǎng)絡(luò)、信息安全的核心技術(shù)。加密方法有：替換加密和轉(zhuǎn)換加密一替換加密法：1.單字母加密法2.多字母加密法例一：Caesar(愷撒)密碼例二：將字母倒排序例三：?jiǎn)伪碇脫Q密碼例一：Vigenere密碼例二：轉(zhuǎn)換加密2/5/202324單字母加密方法例：明文（記做m）為“important”，Key=3，則密文（記做C）則為“LPSRUWDQW”。2/5/202325例：如果明文m為“important”，則密文C則為“RNKLIGZMZ”。2/5/202326

例：如果明文m為“important”，則密文C則為“HDLKOQBFQ”。2/5/202327公開(kāi)密鑰加密技術(shù)加密密鑰是公開(kāi)的，不可進(jìn)行解密，解密密鑰為私鑰，是保密的，且解密密鑰不可被推算出來(lái)的單向函數(shù)算法稱公開(kāi)密鑰算法。所有的通信僅涉及公鑰，而任何私鑰不會(huì)被傳輸。2/5/202328公鑰密碼體制（RSA）公鑰（m,n=pq)私鑰(r,p,q)原文ABCD原文ABCD密文%#%￥公鑰(m,n=pq)亂文;~@‘互連網(wǎng)絡(luò)密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘亂文;~@‘密文%#%￥亂文;~@‘原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD密文%#%￥2/5/202329秘密密鑰加密技術(shù)

加密算法與解密算法是相同的且是公開(kāi)的，加密密鑰與解密密鑰是同一個(gè)且不可被推算出來(lái)的單向函數(shù)算法。密鑰的生成與發(fā)送需嚴(yán)格管理。2/5/202330DES密碼體制密鑰原文ABCD原文ABCD密文%#%￥密鑰生成與分發(fā)密鑰互連網(wǎng)絡(luò)密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD密文%#%￥4078秒485小時(shí)5659天6441年7210696年802,738,199年DESCHALL小組破譯能力PASSWORD通常用DES算法2/5/202331對(duì)稱與非對(duì)稱加密體制對(duì)比特

性對(duì)

稱非

對(duì)

稱密鑰的數(shù)目單一密鑰密鑰是成對(duì)的密鑰種類密鑰是秘密的一個(gè)私有、一個(gè)公開(kāi)密鑰管理簡(jiǎn)單不好管理需要數(shù)字證書(shū)及可靠第三者相對(duì)速度非?？炻猛居脕?lái)做大量資料的加密用來(lái)做加密小文件或?qū)π畔⒑炞值炔惶珖?yán)格保密的應(yīng)用2/5/202332

認(rèn)證技術(shù)

信息認(rèn)證的目的（1）確認(rèn)信息的發(fā)送者的身份；（2）驗(yàn)證信息的完整性，即確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改過(guò)。常用的安全認(rèn)證技術(shù)

1.數(shù)字摘要

數(shù)字摘要是采用單向Hash函數(shù)對(duì)文件中若干重要元素進(jìn)行某種變換運(yùn)算得到固定長(zhǎng)度的摘要碼（數(shù)字指紋FingerPrint），并在傳輸信息時(shí)將之加入文件一同送給接收方，接收方收到文件后，用相同的方法進(jìn)行變換運(yùn)算，若得到的結(jié)果與發(fā)送來(lái)的摘要碼相同，則可斷定文件未被篡改，反之亦然。2/5/2023332.數(shù)字信封

數(shù)字信封是用加密技術(shù)來(lái)保證只有規(guī)定的特定收信人才能閱讀信的內(nèi)容。在數(shù)字信封中，信息發(fā)送方采用對(duì)稱密鑰來(lái)加密信息，然后將此對(duì)稱密鑰用接收方的公開(kāi)密鑰來(lái)加密（這部分稱為數(shù)字信封）之后，將它和信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開(kāi)數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開(kāi)信息。3.數(shù)字簽名在網(wǎng)絡(luò)環(huán)境中，可以用電子數(shù)字簽名作為模擬，從而為電子商務(wù)提供不可否認(rèn)服務(wù)。把HASH函數(shù)和公鑰算法結(jié)合起來(lái)，可以在提供數(shù)據(jù)完整性的同時(shí)，也可以保證數(shù)據(jù)的真實(shí)性。把這兩種機(jī)制結(jié)合起來(lái)就可以產(chǎn)生所謂的數(shù)字簽名。2/5/202334數(shù)字簽名（DigitalSignature）的原理①

被發(fā)送文件用安全Hash編碼法SHA（SecureHashAlgorithm）編碼加密產(chǎn)生128bit的數(shù)字摘要；②

發(fā)送方用自己的私用密鑰對(duì)摘要再加密，這就形成了數(shù)字簽名；③

將原文和加密的摘要同時(shí)傳給對(duì)方；④

對(duì)方用發(fā)送方的公共密鑰對(duì)摘要解密，同時(shí)對(duì)收到的文件用SHA編碼加密產(chǎn)生又一摘要；⑤

將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對(duì)比。如兩者一致，則說(shuō)明傳送過(guò)程中信息沒(méi)有被破壞或篡改過(guò)。否則不然。2/5/202335數(shù)字簽名技術(shù)公鑰(m,n=pq)私鑰(r,p,q)原文ABCD原文ABCD密文%#%￥公鑰(m,n=pq)互連網(wǎng)絡(luò)密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD密文%#%￥原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD原文ABCD密文%#%￥2/5/202336數(shù)字簽名原理示意圖2/5/2023374.數(shù)字時(shí)間戳?xí)r間戳（time-stamp）是一個(gè)經(jīng)加密后形成的憑證文檔，它包括三個(gè)部分：①

需加時(shí)間戳的文件的摘要(digest)；②DTS收到文件的日期和時(shí)間；③DTS的數(shù)字簽名。2/5/202338圖數(shù)字時(shí)間戳的應(yīng)用過(guò)程

2/5/2023395.數(shù)字證書(shū)

所謂數(shù)字證書(shū)，就是用電子手段來(lái)證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限。2/5/202340安全認(rèn)證機(jī)構(gòu)

電子商務(wù)授權(quán)機(jī)構(gòu)（CA），也稱為電子商務(wù)認(rèn)證中心（CertificateAuthority），是承擔(dān)網(wǎng)上安全電子交易認(rèn)證服務(wù)，能簽發(fā)數(shù)字證書(shū)，并能確認(rèn)用戶身份的服務(wù)機(jī)構(gòu)。

CA的四大職能：證書(shū)發(fā)放證書(shū)更新證書(shū)撤銷證書(shū)驗(yàn)證2/5/202341世界著名的認(rèn)證中心Verisign世界上較早的數(shù)字證書(shū)認(rèn)證中心是美國(guó)的Verisign公司（）。圖認(rèn)證中心VeriSign的主頁(yè)2/5/2023426）中國(guó)知名的認(rèn)證中心①中國(guó)數(shù)字認(rèn)證網(wǎng)（）②中國(guó)金融認(rèn)證中心（）③中國(guó)電子郵政安全證書(shū)管理中心（/CA/index.htm）④北京數(shù)字證書(shū)認(rèn)證中心（）⑤廣東省電子商務(wù)認(rèn)證中心（）⑥上海市電子商務(wù)安全證書(shū)管理中心有限公司（）⑦海南省電子商務(wù)認(rèn)證中心（）⑧天津CA認(rèn)證中心（/ca/ca-1/ca.htm)⑨山東省CA認(rèn)證中心（）2/5/202343

數(shù)字證書(shū)能夠起到標(biāo)識(shí)貿(mào)易方的作用,是目前電子商務(wù)廣泛采用的技術(shù)。微軟公司的InternetExplorer和網(wǎng)景公司的Navigator和電子郵件軟件OutlookExpress等都提供了數(shù)字證書(shū)的功能來(lái)作為身份鑒別的手段。圖

－14為IE的Internet選項(xiàng)設(shè)置，在內(nèi)容選項(xiàng)卡中就有證書(shū)項(xiàng)目，點(diǎn)擊即可查看您的數(shù)字證書(shū)，如圖

－15為在GlobalSign申請(qǐng)的個(gè)人數(shù)字證書(shū)。申請(qǐng)了證書(shū)后就可以用證書(shū)證實(shí)你的身份，當(dāng)然也可以查看你的證書(shū)的內(nèi)容。如果你有多個(gè)證書(shū)，可以先選中該證書(shū)，然后點(diǎn)擊圖6－15中的查看按鈕彈出即所選證書(shū)對(duì)話框就可以查看證書(shū)中的信息，如圖

－16所示，點(diǎn)擊詳細(xì)內(nèi)容選項(xiàng)卡可以查看證書(shū)的具體信息，包括版本、算法、公鑰、有效期等如圖

－17所示，這個(gè)證書(shū)的算法是RSA算法，公鑰為1024位。2/5/202344圖

－14Internet選項(xiàng)對(duì)話框2/5/202345圖

－15證書(shū)對(duì)話框2/5/202346圖

－16證書(shū)常規(guī)內(nèi)容2/5/202347圖

－17證書(shū)的詳細(xì)信息2/5/202348虛擬專用網(wǎng)VPNVPN的概念虛擬專用網(wǎng)是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，通過(guò)一個(gè)私有的通道在公共網(wǎng)絡(luò)上創(chuàng)建一個(gè)安全的私有連接。虛擬專用網(wǎng)通過(guò)安全的數(shù)據(jù)通道將遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、公司業(yè)務(wù)伙伴等跟公司的企業(yè)網(wǎng)連接起來(lái)，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。虛擬專用網(wǎng)可以對(duì)數(shù)據(jù)傳輸提供全方位的安全保護(hù)，不僅能在網(wǎng)絡(luò)與網(wǎng)絡(luò)之間建立專用通道，保護(hù)網(wǎng)關(guān)與網(wǎng)關(guān)之間信息傳輸?shù)陌踩?，而且能在企業(yè)內(nèi)部的用戶與網(wǎng)關(guān)之間、移動(dòng)辦公用戶和網(wǎng)關(guān)之間、用戶與用戶之間建立安全通道，建立全方位的安全保護(hù)，保證網(wǎng)絡(luò)的安全。

2/5/202349VPN的類型可以根據(jù)網(wǎng)絡(luò)連接方式的不同把VPN分為以下幾種類型:AccessVPN（遠(yuǎn)程訪問(wèn)虛擬專網(wǎng)）與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)相對(duì)應(yīng)

IntranetVPN（企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)內(nèi)部的Intranet相對(duì)應(yīng)。ExtranetVPN（擴(kuò)展的企業(yè)內(nèi)部虛擬專網(wǎng)）與企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的Extranet相對(duì)應(yīng)。

2/5/202350數(shù)據(jù)可用性保證合法用戶在任何時(shí)候都能使用、訪問(wèn)資源，阻止非法用戶使用系統(tǒng)資源。實(shí)現(xiàn)方法：訪問(wèn)控制、防火墻、入侵檢測(cè)等。2/5/202351防火墻—防止攻擊的屏障

防火墻是作為Intranet的D第一道防線，是把內(nèi)部網(wǎng)和公共網(wǎng)分隔的特殊網(wǎng)絡(luò)互連設(shè)備，可以用于網(wǎng)絡(luò)用戶訪問(wèn)控制、認(rèn)證服DD務(wù)、數(shù)據(jù)過(guò)濾等。2/5/202352防火墻的分類

報(bào)文分組過(guò)濾網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)信息級(jí)網(wǎng)關(guān)2/5/202353防火墻之報(bào)文過(guò)濾網(wǎng)關(guān)一般是基于路由器來(lái)實(shí)現(xiàn)。例如，商用的CISCO、BAY公司等路由器都在不同程度上支持諸如基于TCP/IP協(xié)議集的分組的源、目地址進(jìn)出路由器的過(guò)濾，即讓某些地址發(fā)生的分組穿越路由器到達(dá)目的地。非特定IP地址3333333333333333333333333特定源IP地址8888888888禁止8888888888888特定目的IP地址0033333333333333禁止3333333333333333禁止禁止88禁止禁止33IP欺騙是黑克常用的手法2/5/202354防火墻之應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)是為專門(mén)的應(yīng)用設(shè)計(jì)專用代碼，用于對(duì)某些具體的應(yīng)用進(jìn)行防范。這種精心設(shè)計(jì)的專用代碼將比通用代碼更安全些。例如DEC公司生產(chǎn)的SEAL軟件包就具有對(duì)出境的FTP進(jìn)行個(gè)人身份認(rèn)證，并對(duì)其使用帶寬進(jìn)行限制。FTP服務(wù)器訪問(wèn)Emial合法訪問(wèn)FTP非法訪問(wèn)FTP訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial訪問(wèn)Emial合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP認(rèn)證合法合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP合法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP認(rèn)證非法非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP非法訪問(wèn)FTP2/5/202355防火墻之信息級(jí)網(wǎng)關(guān)

信息級(jí)網(wǎng)關(guān)是用于進(jìn)行信息過(guò)濾的。其基本思想是限制含有指定敏感詞匯的信息包進(jìn)入系統(tǒng)。顯然這種方法對(duì)圖象、聲音、影像、加密信息是難以起作用的，但對(duì)不應(yīng)進(jìn)入的公開(kāi)資料的流入可以起限制性作用。...like......like......like......like......like......like......like......like......like......like......like......like......like......like......like...正常通過(guò)...like......like......like......like......like......like......like......like......like......like......like......like...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”...…“6?4”......“6?4”......“6?4”...敏感禁入...“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......“6?4”......like......like...正常通過(guò)正常通過(guò)敏感禁入敏感禁入...“6?4”......“6?4”...2/5/202356防火墻的目標(biāo)1.確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)和內(nèi)部網(wǎng)的安全；2.所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)的信息交流必須經(jīng)過(guò)防火墻；3.只有按本地的安全策略被授權(quán)的信息才允許通過(guò)；4.防火墻本身具有防止被穿透的能力。2/5/202357防火墻從理論上來(lái)講，防火墻是你所能采取的最嚴(yán)格的安全措施。然而同樣和容易帶來(lái)一些問(wèn)題：防火墻帶來(lái)的嚴(yán)格的安全性實(shí)際上削弱了網(wǎng)絡(luò)的功能。你在安全上得到了多少，那么你在功能上就失去了多少。防火墻很容易使你忽視內(nèi)部的安全問(wèn)題。這樣防火墻就成了你位一的安全屏障，如果防火墻一旦被突破，你將失去全部的安全性。防火墻將成為網(wǎng)絡(luò)的瓶頸。2/5/202358防火墻防火墻堅(jiān)不可摧嗎？沒(méi)有堅(jiān)不可摧的防火墻。常見(jiàn)的入侵方式如下：從目標(biāo)網(wǎng)絡(luò)上跳出真正的攻擊目標(biāo)。努力獲得有關(guān)內(nèi)部系統(tǒng)的確切信息。閱讀最新的安全文章任何一個(gè)防火墻都無(wú)法有效的防止來(lái)自內(nèi)部的攻擊。2/5/202359防火墻商業(yè)防火墻CheckpointFirewallandFirewall-1可以控制時(shí)間對(duì)象，可以將處理任務(wù)分散到一組工作站上。CiscoPIXNokiaIP330,IP660固化CheckPointFirewall-12/5/202360入侵檢測(cè)系統(tǒng)(IDS)的分類

基于主機(jī)基于網(wǎng)絡(luò)混合分布式2/5/202361用戶身份認(rèn)證保證通信對(duì)方的身份是真實(shí)的。實(shí)現(xiàn)方法：帳號(hào)-口令，電子證書(shū)等。2/5/202362怎樣構(gòu)建一個(gè)安全的網(wǎng)絡(luò)？網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)安全