電子商務(wù)安全技術(shù)實(shí)用教程 課件第03章 網(wǎng)絡(luò)安全技術(shù)

第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全概述3.2防火墻技術(shù)3.3入侵檢測(cè)系統(tǒng)IDS3.4虛擬專用網(wǎng)VPN3.5防病毒技術(shù)3.6物聯(lián)網(wǎng)安全技術(shù)3.1網(wǎng)絡(luò)安全概述

3.1.1網(wǎng)絡(luò)安全隱患（1）系統(tǒng)漏洞。系統(tǒng)漏洞是指系統(tǒng)硬件、應(yīng)用軟件或操作系統(tǒng)在邏輯設(shè)計(jì)上的缺陷或錯(cuò)誤被不法者利用，系統(tǒng)漏洞的威脅主要來(lái)自網(wǎng)絡(luò)攻擊。（2）惡意程序。惡意程序通常是指帶有不良意圖而編寫的電腦程序，主要包括計(jì)算機(jī)病毒、間諜軟件、勒索軟件、惡意廣告軟件等。（3）“釣魚”網(wǎng)站?！搬烎~”網(wǎng)站是網(wǎng)頁(yè)仿冒詐騙中最常見的方式之一，常以垃圾郵件、即時(shí)聊天、手機(jī)短信或虛假?gòu)V告等方式傳播。用戶訪問(wèn)“釣魚”網(wǎng)站后，可能泄露賬號(hào)、密碼等信息。（4）山寨軟件。山寨軟件經(jīng)常會(huì)通過(guò)模仿一些知名軟件來(lái)吸引用戶下載、安裝。一旦得逞，其會(huì)通過(guò)開啟后臺(tái)權(quán)限等方式，偷偷收集用戶的位置信息。（5）惡意二維碼。惡意二維碼由惡意網(wǎng)址通過(guò)網(wǎng)絡(luò)技術(shù)生成而來(lái)。用戶一旦使用手機(jī)掃描，就會(huì)通過(guò)鏈接進(jìn)入二維碼“背后”的惡意網(wǎng)站（6）虛假免費(fèi)Wi-Fi（WirelessFidelity）。為了節(jié)約流量，一些用戶出門在外時(shí)，會(huì)選擇連接周邊的免費(fèi)Wi-Fi，這就給不法分子留下了可乘之機(jī)。3.1.2網(wǎng)絡(luò)安全層次（1）實(shí)體安全：也稱物理安全，指保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體、電磁輻射、系統(tǒng)掉電和其他環(huán)境事故破壞的措施及過(guò)程。（2）運(yùn)行安全：包括網(wǎng)絡(luò)運(yùn)行和網(wǎng)絡(luò)訪問(wèn)控制的安全,如設(shè)置防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離、備份系統(tǒng)實(shí)現(xiàn)系統(tǒng)的恢復(fù)。（3）系統(tǒng)安全：包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全。（4）應(yīng)用安全：由應(yīng)用軟件開發(fā)平臺(tái)安全和應(yīng)用系統(tǒng)數(shù)據(jù)安全兩部分組成。（5）管理安全：主要指對(duì)人員及網(wǎng)絡(luò)系統(tǒng)安全管理的各種法律、法規(guī)、政策、策略、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段、機(jī)制和措施等內(nèi)容。3.1.3網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)（2）入侵檢測(cè)技術(shù)（3）虛擬專用網(wǎng)技術(shù)（4）認(rèn)證技術(shù)（5）病毒防范技術(shù)另外保障網(wǎng)絡(luò)的信息安全、系統(tǒng)安全、應(yīng)用安全還涉及到安全漏洞掃描技術(shù)、網(wǎng)絡(luò)嗅探技術(shù)、數(shù)據(jù)加密技術(shù)、訪問(wèn)控制技術(shù)、安全審計(jì)技術(shù)等等。3.2防火墻技術(shù)3.2.1防火墻的概念1.防火墻的定義防火墻是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問(wèn)控制策略的一個(gè)或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對(duì)被保護(hù)網(wǎng)絡(luò)的不可預(yù)測(cè)的、潛在破壞性的侵?jǐn)_。通過(guò)安全規(guī)則來(lái)控制外部用戶對(duì)內(nèi)部網(wǎng)資源的訪問(wèn)。在邏輯上，防火墻是分離器，限制器，也是一個(gè)分析器。在物理上，防火墻通常是一組硬件設(shè)備。圖3-1一個(gè)典型的防火墻使用形態(tài)2.防火墻的功能（1）監(jiān)控并限制訪問(wèn)：防火墻通過(guò)采取控制進(jìn)出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對(duì)這些狀態(tài)加以分析和處理。（2）控制協(xié)議和服務(wù)：防火墻對(duì)相關(guān)協(xié)議和服務(wù)進(jìn)行控制，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起安全事故的可能性。（3）保護(hù)內(nèi)部網(wǎng)絡(luò)：針對(duì)受保護(hù)的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對(duì)訪問(wèn)進(jìn)行限制。（4）網(wǎng)絡(luò)地址轉(zhuǎn)換：NAT可以緩解目前IP地址緊缺的局面、屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和信息、保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。（5）日志記錄與審計(jì)：當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接均需經(jīng)過(guò)的安全節(jié)點(diǎn)時(shí)，防火墻會(huì)對(duì)所有的網(wǎng)絡(luò)請(qǐng)求做出日志記錄。防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過(guò)防火墻的攻擊（2）不能解決來(lái)自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問(wèn)題（3）不能防止受病毒感染的文件的傳輸（4）不能防止數(shù)據(jù)驅(qū)動(dòng)式的攻擊（5）不能防止系統(tǒng)安全體系不完善的攻擊3.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策）防火墻只允許用戶訪問(wèn)開放的服務(wù),其它未開放的服務(wù)都是禁止的。這種策略比較安全，因?yàn)樵试S訪問(wèn)的服務(wù)都是經(jīng)過(guò)篩選的,但限制了用戶使用的便利性。（2）一切未被禁止的都是允許的（寬松政策）防火墻允許用戶訪問(wèn)一切未被禁止的服務(wù),除非某項(xiàng)服務(wù)被明確地禁止。這種策略比較靈活,可為用戶提供更多的服務(wù),但安全性要差一些。3.2.2防火墻的分類與技術(shù)1．防火墻的分類（1）軟件防火墻與硬件防火墻（2）主機(jī)防火墻與網(wǎng)絡(luò)防火墻2.防火墻的技術(shù)（1）包過(guò)濾技術(shù)：利用訪問(wèn)控制列表（ACL）對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾，過(guò)濾依據(jù)是TCP/IP數(shù)據(jù)包：源地址和目的地址、所用端口號(hào)、協(xié)議狀態(tài)。（2）代理服務(wù)技術(shù)：一般采用代理服務(wù)器作為防火墻，是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。（3）狀態(tài)檢測(cè)技術(shù)：基于狀態(tài)檢測(cè)技術(shù)的防火墻通過(guò)一個(gè)在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測(cè)引擎而獲得非常好的安全特性。（4）NAT技術(shù)：一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。3.2.3防火墻的應(yīng)用模式1.包過(guò)濾防火墻這種模式采用單一的分組過(guò)濾型防火墻或狀態(tài)檢測(cè)型防火墻來(lái)實(shí)現(xiàn)。通常，防火墻功能由帶有防火墻模塊的路由器提供，所以也稱為屏蔽路由器。表3-1：包過(guò)濾防火墻規(guī)則示例：（1）內(nèi)部主機(jī)任何端口訪問(wèn)任何主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過(guò)。（2）任何主機(jī)的20端口訪問(wèn)主機(jī)的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過(guò)。（3）任何主機(jī)的20端口訪問(wèn)主機(jī)小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過(guò)（與1、2作為系列規(guī)則時(shí)該規(guī)則無(wú)效）。組序號(hào)動(dòng)作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP2.雙穴主機(jī)防火墻這種模式采用單一的代理服務(wù)型防火墻來(lái)實(shí)現(xiàn)。防火墻由一個(gè)運(yùn)行代理服務(wù)軟件的主機(jī)（即堡壘主機(jī)）實(shí)現(xiàn),該主機(jī)具有兩個(gè)網(wǎng)絡(luò)接口（稱為雙穴主機(jī)）3.屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻一般由一個(gè)包過(guò)濾路由器和一個(gè)堡壘主機(jī)組成,一個(gè)外部包過(guò)濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上。這種模式采用雙重防火墻來(lái)實(shí)現(xiàn)，一個(gè)是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)第一道屏障；另一個(gè)是堡壘主機(jī)，構(gòu)成內(nèi)部網(wǎng)第二道屏障。4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機(jī)體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系（周邊網(wǎng)絡(luò)）。堡壘主機(jī)位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。非軍事區(qū)DMZ：屏蔽子網(wǎng)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，兩個(gè)包過(guò)濾路由器放置在子網(wǎng)的兩端，形成的子網(wǎng)構(gòu)成一個(gè)“非軍事區(qū)”。3.2.4個(gè)人防火墻1．個(gè)人防火墻的概念個(gè)人防火墻是一套安裝在個(gè)人計(jì)算機(jī)上的軟件系統(tǒng)，它能夠監(jiān)視計(jì)算機(jī)的通信狀況，一旦發(fā)現(xiàn)有對(duì)計(jì)算機(jī)產(chǎn)生危險(xiǎn)的通信就會(huì)報(bào)警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實(shí)現(xiàn)對(duì)個(gè)人計(jì)算機(jī)上重要數(shù)據(jù)的安全保護(hù)。比如：瑞星，賽門鐵克，天網(wǎng)防火墻，冰盾DDOS防火墻等等。2．個(gè)人防火墻的主要功能（1）防止Internet上用戶的攻擊（2）阻斷木馬及其他惡意軟件的攻擊（3）為移動(dòng)計(jì)算機(jī)提供安全保護(hù)（4）與其他安全產(chǎn)品進(jìn)行集成3．Windows防火墻3.3入侵檢測(cè)技術(shù)3.3.1入侵檢測(cè)系統(tǒng)的概念1.入侵檢測(cè)系統(tǒng)的定義入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystem）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測(cè)系統(tǒng)是對(duì)防火墻的合理補(bǔ)充，是一個(gè)實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)識(shí)別和響應(yīng)系統(tǒng)，是繼防火墻之后的又一道防線。2.入侵檢測(cè)系統(tǒng)的功能（1）監(jiān)測(cè)、分析用戶和系統(tǒng)的活動(dòng)；（2）核查系統(tǒng)配置和漏洞；（3）評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（4）識(shí)別已知的攻擊行為并采取適當(dāng)?shù)拇胧?；?）統(tǒng)計(jì)分析異常行為；（6）審計(jì)操作系統(tǒng)日志，識(shí)別違反安全策略的行為。3.IDS的分類（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)（HIDS）（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)（NIDS）（3）分布式入侵檢測(cè)系統(tǒng)（DIDS）3.3.2入侵檢測(cè)系統(tǒng)的工作原理IDS的組成：事件發(fā)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)IDS的工作流程：第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲?。ɑ祀s模式）；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查（誤用檢測(cè)）；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計(jì)（異常檢測(cè)）；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理（報(bào)警和響應(yīng)）。3.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)靜態(tài)配置分析是通過(guò)檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來(lái)檢查系統(tǒng)是否已經(jīng)或者可能會(huì)遭到破壞。（2）誤用檢測(cè)技術(shù)通過(guò)檢測(cè)用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來(lái)檢測(cè)系統(tǒng)中的入侵活動(dòng)，是一種基于已有的知識(shí)的檢測(cè)。（3）異常檢測(cè)技術(shù)通過(guò)對(duì)系統(tǒng)審計(jì)數(shù)據(jù)的分析建立起系統(tǒng)主體（用戶、主機(jī)、程序、文件等）的正常行為特征輪廓；3.3.3入侵檢測(cè)系統(tǒng)的應(yīng)用圖3-8入侵檢測(cè)系統(tǒng)一般部署圖圖3-9IDS引擎分布圖3.4虛擬專用網(wǎng)技術(shù)3.4.1虛擬專用網(wǎng)的概念虛擬專用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專用網(wǎng)。它是一個(gè)利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，來(lái)建立一個(gè)安全的、可靠的和可管理的企業(yè)間通信的通道。VPN的三個(gè)關(guān)鍵技術(shù)：安全通信控制管理圖3-10VPN實(shí)例圖VPN使用實(shí)例：某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r(shí)交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開放兩個(gè)VPN賬戶，允許分公司路由器撥入，以建立VPN通道）。3.4.2VPN的工作原理1.VPN的協(xié)議（1）點(diǎn)對(duì)點(diǎn)隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）是1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的，是PPP的一種擴(kuò)展。客戶可以采用撥號(hào)方式接入公共的IP網(wǎng)。撥號(hào)客戶首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號(hào)建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。（2）第二層轉(zhuǎn)發(fā)協(xié)議L2F（Layer2Forwarding）是1996年Cisco開發(fā)的。遠(yuǎn)端用戶能夠通過(guò)任何撥號(hào)方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器，建立PPP連接；接入服務(wù)器根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。（3）第二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）是1997年底由Microsoft和Cisco共同開發(fā)。L2TP結(jié)合了L2F和PPTP的優(yōu)點(diǎn)，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。（4）互聯(lián)網(wǎng)安全協(xié)議IPSec（InternetProtocolSecurity）互聯(lián)網(wǎng)安全協(xié)議是用來(lái)增強(qiáng)VPN安全性的標(biāo)準(zhǔn)協(xié)議。2.VPN的實(shí)現(xiàn)方法（1）MPLSVPN：是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）技術(shù)，簡(jiǎn)化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN）（2）SSLVPN：是以HTTPS（安全的HTTP）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。（3）IPSecVPN：是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。3.5防病毒技術(shù)3.5.1.病毒的基本概念1.病毒的概念病毒指“編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼”《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》。從廣義上講，凡是人為編制的、干擾計(jì)算機(jī)正常運(yùn)行并造成計(jì)算機(jī)軟硬件故障，甚至破壞計(jì)算機(jī)數(shù)據(jù)的、可自我復(fù)制的計(jì)算機(jī)程序或指令集合都是計(jì)算機(jī)病毒。從這個(gè)概念來(lái)說(shuō)計(jì)算機(jī)病毒就是惡意代碼。從狹義上講，具有病毒特征的惡意代碼稱為計(jì)算機(jī)病毒。所謂病毒特征就是生物界所具有的病毒特征是一樣的。表3-2常見的惡意代碼表惡意代碼類型定義特點(diǎn)病毒在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或數(shù)據(jù)、影響計(jì)算機(jī)使用，并能夠自我復(fù)制的程序傳染性、破壞性、潛伏性蠕蟲能夠銅鑼網(wǎng)絡(luò)自我復(fù)制、消耗計(jì)算機(jī)資源和網(wǎng)絡(luò)資源的惡意程序掃描、攻擊、傳播木馬能夠與遠(yuǎn)程計(jì)算機(jī)建立連接，使遠(yuǎn)程計(jì)算機(jī)能遠(yuǎn)程控制本地計(jì)算機(jī)的惡意代碼欺騙、隱藏、竊取信息后門能夠避開計(jì)算機(jī)的安全控制，使遠(yuǎn)程計(jì)算機(jī)能夠連接本地計(jì)算機(jī)的程序潛伏邏輯炸彈能夠嵌入計(jì)算機(jī)程序、通過(guò)一定條件觸發(fā)破壞的程序潛伏、破壞2.病毒的特征（1）非授權(quán)性（2）隱蔽性（3）傳染性（4）潛伏性（5）破壞性（6）可觸發(fā)性（7）針對(duì)性（8）與黑客技術(shù)的結(jié)合性3．病毒的分類（1）文件傳染源病毒（2）引導(dǎo)扇區(qū)病毒（3）宏病毒（4）復(fù)合型病毒3.5.2病毒檢測(cè)技術(shù)（1）特征碼檢測(cè)法計(jì)算機(jī)病毒是一種人為編寫的特殊的程序代碼，不同病毒之間在代碼上都存在著差異性。（2）校驗(yàn)和檢測(cè)法使用校驗(yàn)和檢測(cè)法對(duì)被查的對(duì)象（文件或一段程序代碼）計(jì)算在正常狀態(tài)時(shí)的校驗(yàn)和，并將校驗(yàn)和寫入指定的文件中。（3）行為監(jiān)測(cè)法行為監(jiān)測(cè)法是指利用病毒的特有行為特征來(lái)監(jiān)測(cè)病毒的一種方法。（4）軟件模擬法是指用軟件來(lái)模擬和分析程序的執(zhí)行過(guò)程和結(jié)果。3.5.3病毒的防范方法1．非網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝專業(yè)的反病毒軟件，對(duì)存儲(chǔ)介質(zhì)進(jìn)行定期的查、殺病毒操作。（2）安裝和啟用防火墻軟件，避免某些利用操作系統(tǒng)和軟件漏洞的病毒和惡意代碼侵入計(jì)算機(jī)系統(tǒng)。（3）使用不明來(lái)路的磁盤中的數(shù)據(jù)（軟件）前，應(yīng)先進(jìn)行查、條病毒操作，確認(rèn)無(wú)病毒后再使用。3.5.3病毒的防范方法2．網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝反病毒軟件（2）及時(shí)修補(bǔ)操作系統(tǒng)和應(yīng)用軟件的漏洞（3）安裝網(wǎng)絡(luò)防火墻（4）常備工具軟件（5）建議禁用操作系統(tǒng)中的自動(dòng)運(yùn)行功能（6）對(duì)于來(lái)路不明的可疑郵件附件不要直接打開（7）不要貪圖免費(fèi)軟件（8）不瀏覽非法網(wǎng)站3.6物聯(lián)網(wǎng)安全技術(shù)3.6.1物聯(lián)網(wǎng)安全概述1．物聯(lián)網(wǎng)安全的特征平民化、輕量化、非對(duì)稱、復(fù)雜性、安全領(lǐng)域涵蓋廣泛、有別于傳統(tǒng)的信息安全2．物聯(lián)網(wǎng)安全的威脅（1）物聯(lián)網(wǎng)終端安全。（2）物聯(lián)網(wǎng)管道安全。（3）物聯(lián)網(wǎng)云服務(wù)安全。3.6.1物聯(lián)網(wǎng)安全概述3．物聯(lián)網(wǎng)安全體系結(jié)構(gòu)（1）感知層安全。（2）網(wǎng)絡(luò)層安全。（3）應(yīng)用層安全。（4）安全管理。（1）無(wú)線網(wǎng)安全技術(shù)。物聯(lián)網(wǎng)現(xiàn)在以無(wú)線網(wǎng)絡(luò)為主。新生的RF和無(wú)線通信協(xié)議與標(biāo)準(zhǔn)的出現(xiàn)，使得物聯(lián)網(wǎng)設(shè)備面臨著比傳統(tǒng)有線網(wǎng)絡(luò)更具挑戰(zhàn)性的安全問(wèn)題。（2）身份授權(quán)技術(shù)。物聯(lián)網(wǎng)設(shè)備必須由所有合法用戶進(jìn)行身份驗(yàn)證。實(shí)現(xiàn)這種認(rèn)證的方法包括靜態(tài)口令、雙因素身份認(rèn)證、生物認(rèn)證和數(shù)字證書。（3）加密技術(shù)。加密主要用于防止對(duì)數(shù)據(jù)和設(shè)備的未經(jīng)授權(quán)訪問(wèn)。物聯(lián)網(wǎng)中的授權(quán)訪問(wèn)顯得更加重要，因?yàn)槲锫?lián)網(wǎng)設(shè)備及硬件配置是各種各樣的。一個(gè)完整的安全管理過(guò)程必須包括加密技術(shù)的應(yīng)用。（4）側(cè)信道攻擊的防范。即使有足夠的加密和認(rèn)證，物聯(lián)網(wǎng)設(shè)備也還可能面臨另一個(gè)威脅，即側(cè)信道攻擊。這種攻擊的重點(diǎn)不在于信息的傳輸過(guò)程，而在于信息的呈現(xiàn)方式。（5）安全分析和威脅預(yù)測(cè)。除