第4章 電子交易網(wǎng)絡(luò)安全

本章小結(jié)第4節(jié)防火墻第3節(jié)網(wǎng)絡(luò)信息安全防范第2節(jié)入侵檢測(cè)第1節(jié)網(wǎng)絡(luò)安全概述第4章電子交易網(wǎng)絡(luò)安全1．掌握網(wǎng)絡(luò)安全的概念。2．了解Internet的安全隱患。3．了解網(wǎng)絡(luò)系統(tǒng)面臨的威脅。4．掌握什么是入侵檢測(cè)系統(tǒng)。5．掌握入侵檢測(cè)的功能、分類、方法。6．掌握黑客攻擊防范策略。7．掌握物理安全防范策略。8．了解網(wǎng)絡(luò)信息安全防范體系、模型組成。9．掌握防火墻的概念、分類、結(jié)構(gòu)。10．掌握軟件防火墻、硬件防火墻。11．了解分布式防火墻技術(shù)的特點(diǎn)。本章知識(shí)目標(biāo)1．具備IE瀏覽器的安全設(shè)置能力。2．具備計(jì)算機(jī)網(wǎng)絡(luò)安全和網(wǎng)絡(luò)入侵檢測(cè)能力。3．具備常見(jiàn)入侵軟件的使用能力。4．具備運(yùn)用WindowsXP自帶防火墻設(shè)置能力。本章能力目標(biāo)第1節(jié)網(wǎng)絡(luò)安全概述理論基礎(chǔ)一、網(wǎng)絡(luò)安全的概念二、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨的威脅三、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的脆弱性實(shí)踐操作理論基礎(chǔ)從狹義的保護(hù)角度來(lái)看，計(jì)算機(jī)網(wǎng)絡(luò)安全是指計(jì)算機(jī)及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害；從廣義來(lái)說(shuō)，凡是涉及計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。1．計(jì)算機(jī)網(wǎng)絡(luò)安全的定義一、網(wǎng)絡(luò)安全的概念國(guó)際標(biāo)準(zhǔn)化組織（ISO）對(duì)計(jì)算機(jī)系統(tǒng)安全的定義：為數(shù)據(jù)處理系統(tǒng)建立和采用的技術(shù)與管理的安全保護(hù)，保護(hù)計(jì)算機(jī)硬件、軟件和數(shù)據(jù)不受偶然和惡意的原因遭到破壞、更改和泄露。2．Internet上存在的主要安全隱患（1）Internet是一個(gè)開(kāi)放的、無(wú)控制機(jī)構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）經(jīng)常會(huì)侵入網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)，或竊取機(jī)密數(shù)據(jù)和盜用網(wǎng)絡(luò)主機(jī)特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。（2）Internet的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進(jìn)行的，但這些協(xié)議缺乏使傳輸過(guò)程中的信息不被竊取的安全措施。（3）Internet上的通信業(yè)務(wù)多數(shù)使用UNIX操作系統(tǒng)來(lái)支持，UNIX操作系統(tǒng)中明顯存在安全脆弱性問(wèn)題，而且會(huì)直接影響網(wǎng)絡(luò)安全服務(wù)。（4）在計(jì)算機(jī)上存儲(chǔ)、傳輸和處理電子信息時(shí)，信息的來(lái)源和去向是否真實(shí)、內(nèi)容是否被改動(dòng)以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是憑著信譽(yù)來(lái)維系的。（5）使用電子郵件來(lái)傳輸重要機(jī)密信息會(huì)存在著很大的危險(xiǎn)。電子郵件存在著被拆看、誤投和偽造的可能性。（6）計(jì)算機(jī)病毒通過(guò)Internet傳播，給上網(wǎng)用戶帶來(lái)極大的危害，病毒可以使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓，或者造成數(shù)據(jù)和文件的丟失。3．計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性（1）計(jì)算機(jī)網(wǎng)絡(luò)往往成為敵對(duì)勢(shì)力、不法分子的攻擊目標(biāo)。（2）計(jì)算機(jī)系統(tǒng)之間的存取控制、邏輯連接數(shù)量不斷增加，軟件規(guī)模的空前膨脹，使得任何隱藏的缺陷、失誤都能造成巨大損失。（3）計(jì)算機(jī)系統(tǒng)使用的場(chǎng)所正在轉(zhuǎn)向工業(yè)、農(nóng)業(yè)、野外、天空、海上、宇宙空間、核輻射環(huán)境……這些環(huán)境都會(huì)比機(jī)房惡劣，出錯(cuò)率和故障的增多必將導(dǎo)致可靠性和安全性的降低。（4）隨著計(jì)算機(jī)系統(tǒng)的廣泛應(yīng)用，操作人員、編程人員和系統(tǒng)分析人員的失誤或缺乏經(jīng)驗(yàn)都會(huì)造成系統(tǒng)的安全功能不足。（5）計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題涉及許多學(xué)科領(lǐng)域，這將是一個(gè)非常復(fù)雜的綜合問(wèn)題，它隨著系統(tǒng)應(yīng)用環(huán)境的變化而不斷變化。二、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)面臨的威脅1．對(duì)硬件實(shí)體的威脅和攻擊2．對(duì)信息的威脅和攻擊3．網(wǎng)絡(luò)軟件的漏洞和“后門(mén)”4．計(jì)算機(jī)犯罪5．計(jì)算機(jī)病毒三、計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的脆弱性1．操作系統(tǒng)安全的脆弱性2．網(wǎng)絡(luò)安全的脆弱性3．?dāng)?shù)據(jù)庫(kù)管理系統(tǒng)安全的脆弱性4．防火墻的局限性5．其他方面的原因第2節(jié)入侵檢測(cè)理論基礎(chǔ)一、入侵檢測(cè)系統(tǒng)的定義二、入侵檢測(cè)的功能三、入侵檢測(cè)系統(tǒng)的組成四、入侵檢測(cè)系統(tǒng)的分類五、常用的入侵檢測(cè)方法實(shí)踐操作理論基礎(chǔ)一、入侵檢測(cè)系統(tǒng)的定義入侵檢測(cè)系統(tǒng)（IntrusionDetectionSystem，IDS）是檢測(cè)系統(tǒng)中可被利用的漏洞。通俗點(diǎn)講，入侵檢測(cè)系統(tǒng)就是個(gè)監(jiān)控系統(tǒng)，無(wú)論在何時(shí)，無(wú)論是內(nèi)部還是外部有違規(guī)行為，監(jiān)控系統(tǒng)都能及時(shí)地做出反應(yīng)，入侵檢測(cè)系統(tǒng)也同樣具有此功能。二、入侵檢測(cè)的功能

（1）實(shí)時(shí)檢測(cè)、分析用戶及系統(tǒng)的操作。

（2）審計(jì)系統(tǒng)的配置和漏洞。

（3）對(duì)入侵行為進(jìn)行識(shí)別并報(bào)警。

（4）對(duì)異常行為的統(tǒng)計(jì)。

（5）評(píng)估系統(tǒng)及數(shù)據(jù)的完整性。（6）對(duì)系統(tǒng)進(jìn)行跟蹤，識(shí)別違反安全法規(guī)的行為。三、入侵檢測(cè)系統(tǒng)的組成入侵檢測(cè)系統(tǒng)一般來(lái)說(shuō)分為以下三部分。

（1）數(shù)據(jù)收集：收集包括系統(tǒng)、網(wǎng)絡(luò)等任何可能包含有攻擊信息的數(shù)據(jù)。

（2）數(shù)據(jù)分析：將收集到的數(shù)據(jù)進(jìn)行分析并判斷是否發(fā)生了入侵行為。

（3）系統(tǒng)控制臺(tái)：良好的人機(jī)界面是現(xiàn)代軟件應(yīng)具備的特征之一。四、入侵檢測(cè)系統(tǒng)的分類

（1）HID（Host-basedIntrusionDetection）即基于主機(jī)的入侵檢測(cè)系統(tǒng)。

（2）NID（NetworkIntrusionDetection）即基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

（3）混合入侵檢測(cè)系統(tǒng)。

五、常用的入侵檢測(cè)方法（1）特征檢測(cè)：只能對(duì)已知的特定的入侵方式進(jìn)行報(bào)警，對(duì)未知入侵無(wú)能為力。（2）統(tǒng)計(jì)方法：用統(tǒng)計(jì)的方法判斷與正常行為存在較大偏差的活動(dòng)并將其標(biāo)示為異常行為。（3）專家系統(tǒng)：主要針對(duì)有特征的入侵行為。其建立主要依賴完備的知識(shí)庫(kù)，而知識(shí)庫(kù)取決于審計(jì)的完備性和實(shí)時(shí)性。（4）軟計(jì)算方法：與統(tǒng)計(jì)類似，其主要依靠數(shù)學(xué)方法，如神經(jīng)網(wǎng)絡(luò)、遺傳算法、小波分析等，對(duì)異常行為進(jìn)行標(biāo)識(shí)。第3節(jié)網(wǎng)絡(luò)信息安全防范理論基礎(chǔ)一、網(wǎng)絡(luò)信息安全防范策略二、網(wǎng)絡(luò)信息安全防范體系模型三、網(wǎng)絡(luò)信息安全防范體系模型流程四、網(wǎng)絡(luò)信息安全防范體系模型組成五、常見(jiàn)的網(wǎng)絡(luò)攻擊與防范六、攻擊者常用的攻擊工具七、網(wǎng)絡(luò)攻擊的防范和應(yīng)對(duì)策略八、物理安全防范策略九、黑客攻擊防范策略實(shí)踐操作

理論基礎(chǔ)一、網(wǎng)絡(luò)信息安全防范策略1．系統(tǒng)總體安全策略2．訪問(wèn)權(quán)限控制策略3．物理安全防范策略4．信息加密策略5．黑客防范策略6．風(fēng)險(xiǎn)管理策略7．災(zāi)難恢復(fù)策略二、網(wǎng)絡(luò)信息安全防范體系模型圖4-10網(wǎng)絡(luò)信息安全防范模型三、網(wǎng)絡(luò)信息安全防范體系模型流程圖4-11網(wǎng)絡(luò)信息安全防范體系工作流程四、網(wǎng)絡(luò)信息安全防范體系模型組成圖4-12網(wǎng)絡(luò)信息安全防范體系各子部分之間的關(guān)系圖五、常見(jiàn)的網(wǎng)絡(luò)攻擊與防范1．網(wǎng)絡(luò)攻擊的具體步驟

第一步：隱藏自己的位置。

第二步：查找目標(biāo)主機(jī)并分析目標(biāo)主機(jī)信息。第三步：目標(biāo)主機(jī)口令的猜測(cè)或獲取。

第四步：獲得目標(biāo)主機(jī)控制權(quán)。

第五步：竊取網(wǎng)絡(luò)資源和特權(quán)。2．網(wǎng)絡(luò)攻擊的工作原理和手法（1）口令入侵。（2）放置特洛伊木馬程序。（3）WWW的欺騙技術(shù)。（4）電子郵件攻擊。（5）通過(guò)網(wǎng)絡(luò)物理鏈路入侵其他結(jié)點(diǎn)。（6）網(wǎng)絡(luò)監(jiān)聽(tīng)。（7）利用黑客軟件攻擊。（8）安全漏洞攻擊。（9）端口掃描攻擊。六、攻擊者常用的攻擊工具1．D.O.S攻擊工具2．木馬程序七、網(wǎng)絡(luò)攻擊的防范和應(yīng)對(duì)策略

（1）提高安全意識(shí)。

（2）使用防毒、防黑等防火墻軟件。

（3）設(shè)置代理服務(wù)器，隱藏本機(jī)的IP地址。

（4）對(duì)于重要的個(gè)人資料做好嚴(yán)密的保護(hù)，并養(yǎng)成資料備份的習(xí)慣。（5）將防毒、防黑當(dāng)成日常例行工作。

（6）由于黑客經(jīng)常會(huì)針對(duì)特定的日期發(fā)動(dòng)攻擊，計(jì)算機(jī)用戶在這些日期應(yīng)特別提高警戒。八、物理安全防范策略1．機(jī)房環(huán)境安全2．電磁防護(hù)3．硬件防護(hù)九、黑客攻擊防范策略黑客就是那些檢查（網(wǎng)絡(luò)）系統(tǒng)完整性和安全性的人，他們通常非常精通計(jì)算機(jī)硬件和軟件知識(shí)，并有能力通過(guò)創(chuàng)新的方法剖析系統(tǒng)。1．黑客攻擊概述（1）從攻擊的位置上分類。（2）從攻擊的層次上分類。（3）攻擊的目的。（4）攻擊方式分類。（5）常見(jiàn)的黑客攻擊方法。2．黑客攻擊行為的特征分析與反攻擊技術(shù)（1）Land攻擊。（2）TCPSYN攻擊。（3）PingofDeath攻擊。（4）WinNuke攻擊。（5）TearDrop攻擊。（6）TCP/UDP端口掃描。3．黑客攻擊防范策略

（1）對(duì)于口令的入侵，必須選用安全的口令。（2）防范針對(duì)IP地址的攻擊。

（3）特洛伊木馬程序的防范。

（4）電子郵件安全準(zhǔn)則。

（5）分布式拒絕服務(wù)（DDOS）的防范。第4節(jié)防火墻理論基礎(chǔ)一、防火墻的主要設(shè)計(jì)思想二、防火墻技術(shù)的具體實(shí)現(xiàn)三、WindowsXP自帶防火墻

工作原理實(shí)踐操作防火墻的英文名為“FireWall”，是目前最重要的一種網(wǎng)絡(luò)安全防護(hù)設(shè)備。防火墻是位于兩個(gè)（或多個(gè)）網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的一組組件集合。理論基礎(chǔ)一、防火墻的主要設(shè)計(jì)思想圖4-13防火墻邏輯示意圖1．防火墻的基本特性（1）網(wǎng)絡(luò)間數(shù)據(jù)流通過(guò)的唯一性。（2）安全策略的合法性。（3）抗攻擊入侵的特性。2．防火墻的重要作用（1）在不危及內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)與其他資源的前提下允許本地用戶使用外部網(wǎng)絡(luò)的資源，并且防火墻針對(duì)內(nèi)部用戶具有透明性。

（2）將外部未被授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外而無(wú)法使用內(nèi)部的資源。

（3）對(duì)網(wǎng)絡(luò)存取和訪問(wèn)等信息數(shù)據(jù)進(jìn)行監(jiān)控審計(jì)。二、防火墻技術(shù)的具體實(shí)現(xiàn)1．對(duì)目前的主流防火墻進(jìn)行不同分類（1）從防火墻的軟、硬件形式來(lái)分，防火墻可以分為軟件防火墻、硬件防火墻以及工業(yè)芯片級(jí)防火墻。（2）從傳統(tǒng)觀念上分，防火墻總體來(lái)講可分為“包過(guò)濾方式”和“應(yīng)用代理方式”兩大類。

（3）從防火墻結(jié)構(gòu)上分為單一主機(jī)防火墻、路由器集成式防火墻。

（4）按防火墻的應(yīng)用部署位置分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。（5）如果按防火墻的性能來(lái)分，可以分為百兆位級(jí)、千兆位級(jí)、萬(wàn)兆位級(jí)防火墻。2．防火墻的類型三、WindowsXP自帶防火墻工作原理WindowsXP自帶防火墻為用戶的個(gè)人計(jì)算機(jī)和外部