信息安全與網(wǎng)絡(luò)信任體系

信息平安與網(wǎng)絡(luò)信任體系網(wǎng)絡(luò)時(shí)代的信息系統(tǒng)Outline信息平安當(dāng)前信息平安現(xiàn)狀大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)平安系統(tǒng)建設(shè)網(wǎng)絡(luò)通信的平安要求網(wǎng)絡(luò)中常見的攻擊網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施網(wǎng)絡(luò)信任體系背景內(nèi)容涉及問題數(shù)字簽名

CA

網(wǎng)絡(luò)倫理復(fù)雜程度Internet技術(shù)的飛速增長InternetEmailWeb瀏覽Intranet站點(diǎn)電子商務(wù)電子政務(wù)電子交易時(shí)間當(dāng)前信息平安現(xiàn)狀黑客的開展趨勢1980 19851990 1995 20012003時(shí)間（年）高各種攻擊者的綜合威脅程度低對攻擊者技術(shù)知識和技巧的要求黑客攻擊越來越容易實(shí)現(xiàn)，威脅程度越來越高信息網(wǎng)絡(luò)系統(tǒng)的復(fù)雜性增加脆弱性程度網(wǎng)絡(luò)系統(tǒng)日益復(fù)雜，平安隱患急劇增加CNCERT的報(bào)告〔國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心〕

年1999200020012002攻擊事件9,85921,75652,65882,094報(bào)告的攻擊事件的開展趨勢：〔年增長率100%左右〕系統(tǒng)漏洞的開展趨勢：〔年增長率超過100%左右〕年1999200020012002系統(tǒng)漏洞4171,0902,4374,129網(wǎng)絡(luò)存在的平安威脅

網(wǎng)絡(luò)內(nèi)部、外部泄密拒絕效勞攻擊邏輯炸彈特洛伊木馬黑客攻擊計(jì)算機(jī)病毒信息喪失、篡改、銷毀后門、隱蔽通道蠕蟲造成平安威脅的主要根源網(wǎng)絡(luò)建設(shè)之初忽略了平安問題；僅僅建立了物理平安機(jī)制；TCP/IP協(xié)議族軟件本身缺乏平安性；操作系統(tǒng)本身及其配置的平安性；平安產(chǎn)品配置的平安性；來自內(nèi)部網(wǎng)用戶的平安威脅；缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的平安性；電子郵件病毒、Web頁面中存在惡意的Java/ActiveX控件；應(yīng)用效勞的訪問控制、平安設(shè)計(jì)存在漏洞。網(wǎng)絡(luò)信息平安的開展階段三個(gè)階段：通信保密階段：以密碼學(xué)研究為主計(jì)算機(jī)系統(tǒng)平安階段：以單機(jī)操作系統(tǒng)平安研究為主網(wǎng)絡(luò)信息系統(tǒng)平安階段：開始進(jìn)行信息平安體系研究網(wǎng)絡(luò)信息平安的內(nèi)容〔1〕網(wǎng)絡(luò)信息平安網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的信息受到保護(hù)保護(hù)在通信網(wǎng)絡(luò)中傳輸、交換和存儲的信息的機(jī)密性、完整信和真實(shí)性對信息的傳播及內(nèi)容具有控制能力不受偶然的或者惡意的原因而遭到破壞、更改、泄露系統(tǒng)連續(xù)可靠的運(yùn)行網(wǎng)絡(luò)效勞不中斷〔2〕用戶〔企業(yè)、個(gè)人〕的角度涉及個(gè)人隱私或商業(yè)利益的信息機(jī)密性、完整性、真實(shí)性防止其他人或?qū)κ值膿p害和侵犯竊聽、冒充、篡改、抵賴不受其他用戶的非法訪問非授權(quán)訪問、破壞〔3〕網(wǎng)絡(luò)運(yùn)行和管理者對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到保護(hù)和控制防止出現(xiàn)“后門〞、病毒、非法存取、拒絕效勞、網(wǎng)絡(luò)資源非法專用、非法控制制止和防御網(wǎng)絡(luò)“黑客〞的攻擊〔4〕平安保密部門非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵防止通過網(wǎng)絡(luò)泄漏防止信息的泄密對社會的危害、對國家造成巨大的損失〔5〕文化平安〔內(nèi)容平安〕

作用點(diǎn)：有害信息的傳播對我國的政治制度及文化傳統(tǒng)的威脅，主要表現(xiàn)在輿論宣傳方面。

外顯行為：黃色、反動(dòng)信息泛濫，敵對的意識形態(tài)信息涌入，互聯(lián)網(wǎng)被利用作為串聯(lián)工具，傳播迅速，影響范圍廣。

防范措施：設(shè)置因特網(wǎng)關(guān)，監(jiān)測、控管。個(gè)人用戶的防范策略網(wǎng)絡(luò)蠕蟲病毒對個(gè)人用戶的攻擊主要還是通過社會工程學(xué)，而不是利用系統(tǒng)漏洞！所以防范此類病毒需要注意以下幾點(diǎn)：

1．購適宜的殺毒軟件

2.經(jīng)常升級病毒庫

3．提高防殺毒意識不要輕易去點(diǎn)擊陌生的站點(diǎn)，

當(dāng)運(yùn)行IE時(shí)，點(diǎn)擊“工具→Internet選項(xiàng)→平安→Internet區(qū)域的平安級別〞，把平安級別由“中〞改為“高〞。

4．不隨意查看陌生郵件

2.大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)特點(diǎn)開放性—與公網(wǎng)互聯(lián)，直接對話。大規(guī)模性—規(guī)模龐大，節(jié)點(diǎn)眾多。復(fù)雜性—多種應(yīng)用，大數(shù)據(jù)量，使用人員身份復(fù)雜。因?yàn)槿缟系谋姸嗵攸c(diǎn)，大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)存在著眾多平安風(fēng)險(xiǎn)!大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)中需要保護(hù)的資源各類服務(wù)器工作站網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)安全設(shè)備

操作系統(tǒng)服務(wù)器系統(tǒng)業(yè)務(wù)應(yīng)用系統(tǒng)Internet公共軟件數(shù)據(jù)庫系統(tǒng)自主開發(fā)的軟件網(wǎng)管軟件等數(shù)據(jù)庫服務(wù)器中數(shù)據(jù)應(yīng)用服務(wù)器數(shù)據(jù)郵件數(shù)據(jù)網(wǎng)絡(luò)監(jiān)控?cái)?shù)據(jù)設(shè)備日志工作人員用戶應(yīng)用系統(tǒng)用戶操作系統(tǒng)用戶訪問服務(wù)器用戶遠(yuǎn)程登陸用戶遠(yuǎn)程管理用戶硬件資源數(shù)據(jù)資源軟件資源用戶資源

大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)常見的平安事件網(wǎng)站被黑數(shù)據(jù)被篡改數(shù)據(jù)被偷竊秘密泄漏越權(quán)瀏覽非法刪除被病毒感染系統(tǒng)自身故障大規(guī)模業(yè)務(wù)網(wǎng)絡(luò)平安隱患

物理風(fēng)險(xiǎn)無意錯(cuò)誤風(fēng)險(xiǎn)有意破壞管理風(fēng)險(xiǎn)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)內(nèi)網(wǎng)安全風(fēng)險(xiǎn)邊界平安風(fēng)險(xiǎn)鏈路傳輸平安風(fēng)險(xiǎn)橫向縱向其它風(fēng)險(xiǎn)如自然災(zāi)害，電力供給突然中斷，靜電、強(qiáng)磁場破壞硬件設(shè)備以及設(shè)備老化等引起的風(fēng)險(xiǎn)。指由于人為或系統(tǒng)錯(cuò)誤而影響信息的完整性、機(jī)密性和可用性。指內(nèi)部和外部人員有意通過物理手段破壞信息系統(tǒng)而影響信息的機(jī)密性、完整性、可用性和可控性。比方：有意破壞根底設(shè)施、擴(kuò)散計(jì)算機(jī)病毒、電子欺騙等。這種風(fēng)險(xiǎn)帶來的破壞一般而言是巨大的。嚴(yán)重時(shí)會引起整個(gè)系統(tǒng)的癱瘓和不可恢復(fù)它是指因?yàn)榭诹詈兔荑€管理不當(dāng)、制度遺漏，崗位、職責(zé)設(shè)置不全面等因素引起信息泄露、系統(tǒng)無序運(yùn)行等。是指除上述所列舉的一些風(fēng)險(xiǎn)外，一切可能危及信息系統(tǒng)的機(jī)密性、完整性、可用性、可控性和系統(tǒng)正常運(yùn)行的風(fēng)險(xiǎn)。標(biāo)準(zhǔn)平安產(chǎn)品架構(gòu)

Internet總部辦事處分公司公眾用戶分公司防火墻和VPN體系入侵檢測系統(tǒng)病毒防護(hù)系統(tǒng)風(fēng)險(xiǎn)評估系統(tǒng)備份恢復(fù)系統(tǒng)網(wǎng)絡(luò)綜合平安管理系統(tǒng)防火墻及VPN策略

Internet總部辦事處分公司VPN客戶端用戶分公司部署防火墻和VPN在網(wǎng)絡(luò)邊界處，對進(jìn)出邊界的信息做訪問控制，同時(shí)采用VPN對網(wǎng)絡(luò)中傳輸?shù)男畔⑦M(jìn)行加密處理，以保證數(shù)據(jù)在傳輸過程中的平安性利用防火墻的包過濾、應(yīng)用代理、NAT、訪問控制等技術(shù)對網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)。利用VPN的加密方式對信息做加密，再傳輸?shù)骄W(wǎng)絡(luò)中，可采用網(wǎng)關(guān)—網(wǎng)關(guān)或網(wǎng)關(guān)到客戶端兩種模式。!@$!@#%$^%4ServerClient防火墻〔Firewall〕注解：防火墻類似一堵城墻，將效勞器與客戶主機(jī)進(jìn)行物理隔離，并在此根底上實(shí)現(xiàn)效勞器與客戶主機(jī)之間的授權(quán)互訪、互通等功能。防火墻概念防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)平安域〔公共網(wǎng)和企業(yè)內(nèi)部網(wǎng)〕之間的一系列部件的組合。它是不同網(wǎng)絡(luò)〔平安域〕之間的唯一出入口，能根據(jù)企業(yè)的平安政策控制〔允許、拒絕、監(jiān)測〕出入網(wǎng)絡(luò)的信息流，且本身具有很高的抗攻擊能力，它是提供信息平安效勞，實(shí)現(xiàn)網(wǎng)絡(luò)和信息平安的根底設(shè)施。防火墻特征保護(hù)脆弱和有缺陷的網(wǎng)絡(luò)效勞集中化的平安管理加強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的訪問控制加強(qiáng)隱私對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

從總體上看，防火墻應(yīng)具有以下五大根本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻功能VPN即虛擬專用網(wǎng)，是指一些節(jié)點(diǎn)通過一個(gè)公用網(wǎng)絡(luò)〔通常是因特網(wǎng)〕建立的一個(gè)臨時(shí)的、平安的連接，它們之間的通信的機(jī)密性和完整性可以通過某些平安機(jī)制的實(shí)施得到保證特征虛擬(V)：并不實(shí)際存在，而是利用現(xiàn)有網(wǎng)絡(luò)，通過資源配置以及虛電路的建立而構(gòu)成的虛擬網(wǎng)絡(luò)專用(P)：只有企業(yè)自己的用戶才可以聯(lián)入企業(yè)自己的網(wǎng)絡(luò)網(wǎng)絡(luò)(N)：既可以讓客戶連接到公網(wǎng)所能夠到達(dá)的任何地方，也可以方便地解決保密性、平安性、可管理性等問題，降低網(wǎng)絡(luò)的使用本錢什么是VPNVPN〔虛擬專用網(wǎng)絡(luò)〕是通過公共介質(zhì)如Internet擴(kuò)展公司的網(wǎng)絡(luò)VPN可以加密傳輸?shù)臄?shù)據(jù)，保障數(shù)據(jù)的機(jī)密性、完整性、真實(shí)性防火墻是用來保證內(nèi)部網(wǎng)絡(luò)不被侵犯，相當(dāng)于銀行的門衛(wèi)；而VPN那么是保證在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)不被竊取，相當(dāng)于運(yùn)鈔車。VPN的用途VPN的隧道協(xié)議VPN的關(guān)鍵技術(shù)在于通信隧道的建立，數(shù)據(jù)包通過通信隧道進(jìn)行封裝后的傳送以確保其機(jī)密性和完整性通常使用的方法有：使用點(diǎn)到點(diǎn)隧道協(xié)議PPTP、第二層隧道協(xié)議L2TP、第二層轉(zhuǎn)發(fā)協(xié)議L2F等在數(shù)據(jù)鏈路層對數(shù)據(jù)實(shí)行封裝使用IP平安協(xié)議IPSec在網(wǎng)絡(luò)層實(shí)現(xiàn)數(shù)據(jù)封裝使用介于第二層和第三層之間的隧道協(xié)議，如MPLS隧道協(xié)議病毒防護(hù)策略

Internet總部辦事處分公司分公司在全網(wǎng)部署病毒防護(hù)系統(tǒng)采用全網(wǎng)統(tǒng)一的病毒防護(hù)策略，對于網(wǎng)內(nèi)傳播的病毒進(jìn)行及時(shí)的查殺，實(shí)現(xiàn)全網(wǎng)統(tǒng)一升級，保持病毒庫版本的一致性，同時(shí)針對重點(diǎn)的防范點(diǎn)可采用防病毒網(wǎng)關(guān)進(jìn)行防護(hù)。具體防護(hù)包括:內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)病毒防護(hù)策略操作系統(tǒng)病毒防護(hù)策略應(yīng)用系統(tǒng)病毒防護(hù)策略效勞器機(jī)群病毒擴(kuò)護(hù)策略工作站病毒防護(hù)策略3.網(wǎng)絡(luò)通信的平安要求通信的保密性要求通信雙方的通信內(nèi)容是保密的。這一方面要求通信的內(nèi)容不能被第三方所竊?。灰惨笕f一被別人竊取后，也不能得到信息的具體內(nèi)容。網(wǎng)絡(luò)通信的平安要求數(shù)據(jù)的完整性要保證接收到的信息是完整的。這不是指收到的信息是不是有完整的意義，而是說在傳輸?shù)倪^程中數(shù)據(jù)沒有被修改。要求接收到的信息或數(shù)據(jù)和發(fā)送方所發(fā)出的信息是完全一致的。如果發(fā)出的信息是“請付給甲100元〞，收到的信息是“請付給甲10000元〞，數(shù)據(jù)的完整性就被破壞了。網(wǎng)絡(luò)通信的平安要求身份確實(shí)認(rèn)性在網(wǎng)絡(luò)的通信中如何確定通信者的身份也是一個(gè)重要的問題。打可以從語音識別身份，寫信可以從筆跡識別身份，網(wǎng)絡(luò)通信中如何識別身份？如果收到總經(jīng)理的郵件：“請付給乙方10000元〞。如何確認(rèn)此信一定是總經(jīng)理發(fā)來的？網(wǎng)絡(luò)通信的平安要求通信的不可抵賴性網(wǎng)絡(luò)通信全部是電子形式的文檔。收到的信息經(jīng)打印機(jī)打印出來后和和一般的文檔沒有什么不同。甲給乙一份郵件，“請發(fā)貨100件〞。等乙發(fā)完貨向甲收款時(shí)，甲說我沒有要你發(fā)貨。有什么方法使甲不能抵賴所發(fā)的信息？4.網(wǎng)絡(luò)中常見的攻擊特洛伊木馬〔Trojanhorse〕一種執(zhí)行超出程序定義之外的程序。如一個(gè)編譯程序除了執(zhí)行編譯任務(wù)以外，還把用戶的源程序偷偷地copy下來，這種編譯程序就是一種特洛伊木馬。網(wǎng)絡(luò)中常見的攻擊邏輯炸彈〔logicbomb〕一種當(dāng)運(yùn)行環(huán)境滿足某種特定條件時(shí)執(zhí)行其他特殊功能的程序。如近期流行的CIH，每當(dāng)系統(tǒng)時(shí)間為26日的時(shí)候，便在BIOS中寫入一大堆垃圾信息，造成系統(tǒng)癱瘓。邏輯炸彈是計(jì)算機(jī)病毒的一種。計(jì)算機(jī)病毒〔computervirus〕，一種會“傳染〞和起破壞作用的程序。網(wǎng)絡(luò)中常見的攻擊主機(jī)欺騙黑客可以發(fā)送虛假的路由信息到他想進(jìn)行欺騙的一臺主機(jī)，如主機(jī)A。這種假冒的信息也將發(fā)送到目標(biāo)主機(jī)A的路徑上的所有網(wǎng)關(guān)。主機(jī)A和這些網(wǎng)關(guān)收到的虛假路由信息經(jīng)常表示到網(wǎng)絡(luò)上的一臺不工作或沒有使用的主機(jī)，如主機(jī)B。這樣，任何要發(fā)送到主機(jī)B的信息都會轉(zhuǎn)送到黑客的計(jì)算機(jī)，而主機(jī)A和網(wǎng)關(guān)還認(rèn)為信息是流向了主機(jī)B。一旦黑客成功地將他或她的計(jì)算機(jī)取代了網(wǎng)絡(luò)上的一臺實(shí)際主機(jī)，就實(shí)現(xiàn)了主機(jī)欺騙。網(wǎng)絡(luò)中常見的攻擊Java和ActiveX攻擊黑客會將“特洛伊木馬〞程序插入到Java對象庫。當(dāng)一個(gè)用戶的瀏覽器下載Java對象庫時(shí)，隱藏的“特洛伊木馬〞程序就會和類庫一起進(jìn)入用戶的系統(tǒng)并伺機(jī)發(fā)作。當(dāng)某種鍵入的組合或鼠標(biāo)點(diǎn)擊的組合發(fā)生時(shí)，“特洛伊木馬〞程序就會發(fā)作和起作用。一旦“特洛伊木馬〞竊取了用戶的口令并將他傳送到黑客所在的機(jī)器網(wǎng)絡(luò)中常見的攻擊使用探視軟件幾乎有網(wǎng)絡(luò)路由器的地方都有探視程序〔SnifferProgram〕。探視程序是一種分析網(wǎng)絡(luò)流量的網(wǎng)絡(luò)應(yīng)用程序。一般來說，這種軟件收集的數(shù)據(jù)太多，對黑客不是很有用。但是，這種軟件對黑客仍然是有吸引力的，因?yàn)楹诳涂梢栽偌右粋€(gè)應(yīng)用程序接口〔API〕。通過這個(gè)API，可以控制探視程序只是收集和管理具有某種格式的數(shù)據(jù)，例如口令。網(wǎng)絡(luò)中常見的攻擊死亡之Ping這是黑客使用的一種使效勞癱瘓的策略。如果它們不能竊取你的信息，或者不能訪問有價(jià)值的計(jì)算機(jī)資源，另外一件他們最喜歡做的事就是讓你的系統(tǒng)癱瘓。黑客發(fā)現(xiàn)如果發(fā)送的ping消息的長度大于64位，有可能使連接到Internet的計(jì)算機(jī)不工作。也就是癱瘓了。連續(xù)地進(jìn)行這種攻擊就使得效勞連續(xù)地癱瘓網(wǎng)絡(luò)中常見的攻擊SMTP攻擊：緩沖器過載〔bufferoverrun〕攻擊。緩沖器過載是一種常見的email攻擊，此時(shí)，有些人的電子郵件信箱會塞滿垃圾郵件，直到系統(tǒng)癱瘓。秘密命令攻擊〔BackdoorCommandRaids〕通常是通過郵件的附件來發(fā)動(dòng)的。特洛伊木馬程序?qū)⒚孛艿仉[藏在電子郵件中，當(dāng)你雙擊郵件列表時(shí)，此特洛伊木馬將從附件中滑出5.網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施物理平安在設(shè)計(jì)一個(gè)網(wǎng)絡(luò)的時(shí)候，應(yīng)該考慮以下兩個(gè)方面的危害：一是人為對網(wǎng)絡(luò)的損害一個(gè)是網(wǎng)絡(luò)對使用者的危害針對這兩方面的危害，設(shè)計(jì)網(wǎng)絡(luò)時(shí)應(yīng)注意其物理平安：如盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò)，做好網(wǎng)絡(luò)的絕緣、接地和屏蔽工作等。網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施物理控制原那么物理控制的原那么有九點(diǎn)：1、所有的網(wǎng)絡(luò)節(jié)點(diǎn)〔包括交換機(jī)、集線器、主機(jī)、網(wǎng)絡(luò)打印機(jī)等〕都要有物理保護(hù)，不能隨意讓人接觸。2、重要的主機(jī)和網(wǎng)絡(luò)設(shè)備配備電源保護(hù)和備份電源。3、室外的網(wǎng)絡(luò)電纜要深埋，并加以標(biāo)識；室內(nèi)采用結(jié)構(gòu)化布線，盡量減少外露的電纜和接頭。網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施4、機(jī)房要設(shè)有水災(zāi)、煙霧自動(dòng)報(bào)警裝置，常備滅火器等設(shè)施。5、機(jī)房的保護(hù)地安裝要符合有關(guān)標(biāo)準(zhǔn)。6、所有的入網(wǎng)主機(jī)和設(shè)備都要編有統(tǒng)一編號。7、所有的系統(tǒng)備份磁帶都要保存在主機(jī)房以外的平安地方。8、主效勞器要加帶口令的屏幕保護(hù)及鍵盤鎖。9、對網(wǎng)絡(luò)操作人員定期進(jìn)行平安教育和培訓(xùn)，出問題要嚴(yán)格追究有關(guān)人員責(zé)任。網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施訪問平安訪問控制識別并驗(yàn)證用戶，并將用戶限制于已授權(quán)的活動(dòng)和資源，網(wǎng)絡(luò)的訪問控制可以從以下幾個(gè)方面來考慮規(guī)劃。1、口令識別2、網(wǎng)絡(luò)資源屬主、屬性和訪問權(quán)限3、網(wǎng)絡(luò)平安監(jiān)視網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施口令受到攻擊的途徑〔1〕在輸入口令時(shí)被人偷竊〔2〕被口令破解程序破解〔3〕被網(wǎng)絡(luò)分析儀或其它工具竊聽〔4〕誤入LOGIN的特洛伊木馬陷阱，使口令被竊取網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施口令平安原那么1、采用不易猜測，無規(guī)律的口令，字符數(shù)不能少于6個(gè)。2、不同的系統(tǒng)采用不同的口令。3、定期更換口令，最長不超過半年。4、采用加密的方式保存和傳輸口令。5、對每次的登錄失敗作記錄并認(rèn)真查找原因。6、系統(tǒng)管理員經(jīng)常檢查系統(tǒng)的登錄文件及登錄日志。網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施訪問權(quán)限訪問權(quán)限是一個(gè)通用概念，主要指對資源的存取動(dòng)作，如讀寫、刪除、執(zhí)行。一個(gè)用戶訪問一個(gè)網(wǎng)絡(luò)資源的能力主要由上述的資源屬主、資源屬性來決定。所以，控制對資源的訪問，可以通過改變資源的屬主及資源的屬性來實(shí)現(xiàn)。如：為防止某一類用戶破壞文件，將文件設(shè)為該類用戶只讀；為防止某一類用戶看見文件，將文件設(shè)為該類用戶不可見；為授予某一類用戶修改和使用文件的權(quán)力，將文件設(shè)為該類用戶可讀寫與可執(zhí)行。網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施加密技術(shù)〔1〕對稱加密技術(shù)：傳統(tǒng)的加密技術(shù)以數(shù)據(jù)的發(fā)送者和接收者知道并使用相同的密鑰為根底，發(fā)送者用一個(gè)密鑰將數(shù)據(jù)加密，接收者那么使用相同的密鑰將數(shù)據(jù)解密。它的主要問題在于密鑰傳送的平安性。網(wǎng)絡(luò)設(shè)計(jì)應(yīng)考慮的平安措施〔2〕公開密鑰技術(shù)：這種技術(shù)使用一對密鑰，分別稱為公開的和私有的，公開密鑰被公開，數(shù)據(jù)在傳輸之前用接收者的公開密鑰進(jìn)行加密，接收者用自己的私有密鑰進(jìn)行解密。其主要優(yōu)點(diǎn)是增加了密鑰的平安性，另外還可提供一種數(shù)字簽名的方法。主要缺點(diǎn)：它的速度較慢。而且還不能認(rèn)為它是絕對平安的。二.網(wǎng)絡(luò)信任體系提出背景內(nèi)容涉及問題二.網(wǎng)絡(luò)信任體系1.提出背景信息平安的重要性日益突出，已經(jīng)上升到國家平安的高度，成為國家平安的重要組成局部。2003年9月7日，中央辦公廳下發(fā)了一個(gè)?國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見?，中辦發(fā)200327號?！矞丶覍氈鞒值臅h〕明確的提出加強(qiáng)信息平安保障工作的要求和主要原那么還從平安等級保護(hù)，網(wǎng)絡(luò)建設(shè)，平安監(jiān)控體系，平安應(yīng)急處理，平安技術(shù)研發(fā)，平安產(chǎn)業(yè)開展，平安法制建設(shè)，平安人才培養(yǎng)以及平安管理責(zé)任制等等方面提出了具體的要求，國家網(wǎng)絡(luò)與信息平安協(xié)調(diào)小組召開了第二次會議。貫徹落實(shí)27號文件，對有關(guān)部門作出的具體安排，其中關(guān)于網(wǎng)絡(luò)及信任體系建設(shè)問題，明確由信息產(chǎn)業(yè)部和國家民辦管理局牽頭，匯同有關(guān)部門提出意見。2004年初到2004年11月，組成了起草工作組和專家組，先起草的一個(gè)網(wǎng)絡(luò)信任體系指導(dǎo)意見的初稿。?電子簽名法?于2004年8月28日正式公布，2005年4月正式實(shí)行2005年5月到12月，對網(wǎng)絡(luò)信任體系建設(shè)有關(guān)問題做了深入研究，經(jīng)過專家的討論，起草了網(wǎng)絡(luò)信任體系建設(shè)的假設(shè)干意見〔征求意見稿〕。2006年2月23日，“關(guān)于網(wǎng)絡(luò)信任體系建設(shè)的假設(shè)干意見〞國務(wù)院辦公廳以國辦發(fā)200611號文件正式下發(fā)。2。內(nèi)容主要包括三個(gè)方面，身份認(rèn)證授權(quán)管理責(zé)任認(rèn)定電子認(rèn)證是網(wǎng)絡(luò)信任體系建設(shè)的重要內(nèi)容，涉及政策、管理、技術(shù)、標(biāo)準(zhǔn)等各個(gè)環(huán)節(jié)，必須加強(qiáng)宏觀指導(dǎo)、規(guī)劃管理〞?電子簽名法?立法目的：一是為了標(biāo)準(zhǔn)電子簽名行為，二是為了確立電子簽名的法律效力，三是為了維護(hù)有關(guān)各方的合法權(quán)益〞。3.涉及問題數(shù)字簽名CA認(rèn)證網(wǎng)絡(luò)倫理數(shù)字簽名數(shù)字簽名不是僅僅要把簽名人的姓名數(shù)字化，而是要把相關(guān)的文件都進(jìn)行數(shù)字化。它有如下優(yōu)點(diǎn)：1.可以在遠(yuǎn)距離以外簽署文件。2.所簽文件很難被篡改。3.簽名人不能否認(rèn)自己所簽的文件。4.所簽文件具有完整性，難以斷章取義。簡言之，數(shù)字簽名具有快捷、完整、可靠和不能反悔等優(yōu)點(diǎn)。美、日、韓、新加坡和歐盟等已相繼通過了關(guān)于數(shù)字簽名的法律。我國人大也已于2004年8月通過了?中華人民共和國電子簽名法?。是電子簽名的一種計(jì)算機(jī)口令、數(shù)字簽名、生物技術(shù)、指紋、掌紋、視網(wǎng)膜紋、聲音等，這些簽名方式我們就把它統(tǒng)稱為電子簽名。

數(shù)字簽名的通俗解釋2.數(shù)字簽名的通俗解釋數(shù)字簽名不是把某人的姓名改為數(shù)字去簽名。先看一個(gè)例子：假設(shè)吳曉明在西安，他的代理人樊育在香港替他辦事，吳曉明讓樊育去找張鴻。他通過E-mail給張鴻寫了短信如下：

張鴻先生：請把我存放在你處的皮箱交給樊育。又，請先支付給樊育港幣七萬元，我下個(gè)月去香港時(shí)當(dāng)面還給你。吳曉明2005年4月10日要對例5中的信息進(jìn)行數(shù)字簽名并不是要把“吳曉明〞這個(gè)姓名改為數(shù)字，而是要把整個(gè)消息都數(shù)字化后發(fā)送給張，使張有方法確認(rèn)消息的真實(shí)性，從而敢于照辦。所以“數(shù)字簽名〞不如改稱為“數(shù)字簽文〞更適宜寫些。數(shù)字簽名的通俗解釋2.數(shù)字簽名的通俗解釋(續(xù))數(shù)字簽名是將相關(guān)的內(nèi)容(稱為消息x)進(jìn)行只有簽名人甲才知道的方法打亂為y，并公布如何將打亂的y進(jìn)行復(fù)原的方法(從復(fù)原方法推不出打亂方法),然后甲把(x,y)一并發(fā)給接收消息人乙。乙收到(x,y)后用大家都知道的復(fù)原方法將y作復(fù)原，如果得出的結(jié)果等于x,乙就相信x確實(shí)是甲發(fā)給他的消息。關(guān)于CA?電子簽名法?中規(guī)定：電子簽名需要第三方認(rèn)證，即由依法設(shè)立的電子認(rèn)證效勞提供者提供認(rèn)證效勞。?電子簽名法?所說的認(rèn)證全稱應(yīng)該叫電子簽名認(rèn)證，其含義是特指為配合電子簽名的使用，以電子認(rèn)證效勞機(jī)構(gòu)為中心，依照法律規(guī)定，審驗(yàn)電子簽名人的身份，確保電子簽名人與使用人之間的唯一關(guān)系的法律制度，CA什么叫電子認(rèn)證效勞？管理方法第二條的解釋是，電子認(rèn)證效勞是指為電子簽名相關(guān)各方提供真實(shí)性、可靠性驗(yàn)證的公共效勞活動(dòng)。顧名思義，所謂電子認(rèn)證效勞業(yè)也就是指，由相關(guān)組織和個(gè)人組成，以從事電子認(rèn)證效勞為職業(yè)的一個(gè)行業(yè)。從行業(yè)特性來講，是專門從事電子認(rèn)證效勞的，從行業(yè)構(gòu)成來看，是以電子認(rèn)證效勞機(jī)構(gòu)為中心，還有直接和間接從事電子認(rèn)證效勞的組織和個(gè)人。電子認(rèn)證效勞業(yè)的管理一是確立了電子認(rèn)證效勞的市場準(zhǔn)入制度，對電子認(rèn)證效勞機(jī)構(gòu)的設(shè)立實(shí)行行政許可。二是明確了行政許可的實(shí)施機(jī)構(gòu)。三是賦予了國務(wù)院信息產(chǎn)業(yè)主管部門在電子認(rèn)證效勞業(yè)管理方面的明確的責(zé)任、權(quán)利和義務(wù)。CA現(xiàn)狀全國140余家CA機(jī)構(gòu)中，僅17家擁有國家電子認(rèn)證效勞許可證，其他120多家依舊在無牌照經(jīng)營，這些不夠資質(zhì)的CA機(jī)構(gòu)攪亂了市場，破壞了整個(gè)行業(yè)的信譽(yù)，使得競爭無序。一些地方、行業(yè)CA是產(chǎn)業(yè)開展的主要阻力。事實(shí)上，包括獲得牌照的17家CA在內(nèi)，國內(nèi)CA很多