網(wǎng)絡(luò)安全與信息安全淺析

網(wǎng)絡(luò)安全與信息安全淺析網(wǎng)絡(luò)平安網(wǎng)絡(luò)平安是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到愛護(hù)，不因偶然的或者惡意的緣由而患病到破壞、更改、泄露，系統(tǒng)連續(xù)牢靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。一、主要特性保密性信息不泄露給非授權(quán)用戶、實(shí)體或過程，或供其利用的特性。完整性數(shù)據(jù)未經(jīng)授權(quán)不能進(jìn)行轉(zhuǎn)變的特性。即信息在存儲(chǔ)或傳輸過程中保持不被修改、不被破壞和丟失的特性?？捎眯钥杀皇跈?quán)實(shí)體訪問并按需求使用的特性。即當(dāng)需要時(shí)能否存取所需的信息。例如網(wǎng)絡(luò)環(huán)境下拒絕服務(wù)、破壞網(wǎng)絡(luò)和有關(guān)系統(tǒng)的正常運(yùn)行等都屬于對可用性的攻擊?？煽匦詫π畔⒌膫鞑ゼ皟?nèi)容具有掌握力量?？蓪彶樾韵桨矄栴}時(shí)供應(yīng)依據(jù)與手段。從網(wǎng)絡(luò)運(yùn)行和管理者角度說，盼望對本地網(wǎng)絡(luò)信息的訪問、讀寫等操作受到愛護(hù)和掌握，避開消失“陷門”、病毒、非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用和非法掌握等威逼，制止和防備網(wǎng)絡(luò)黑客的攻擊。對平安保密部門來說，他們盼望對非法的、有害的或涉及國家機(jī)密的信息進(jìn)行過濾和防堵，避開機(jī)要信息泄露，避開對社會(huì)產(chǎn)生危害，對國家造成巨大損失。隨著計(jì)算機(jī)技術(shù)的快速進(jìn)展，在計(jì)算機(jī)上處理的業(yè)務(wù)也由基于單機(jī)的數(shù)學(xué)運(yùn)算、文件處理，基于簡潔連接的內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、辦公自動(dòng)化等進(jìn)展到基于簡單的內(nèi)部網(wǎng)（Intranet）、企業(yè)外部網(wǎng)（Extranet）、全球互聯(lián)網(wǎng)（Internet）的企業(yè)級(jí)計(jì)算機(jī)處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處理。在系統(tǒng)處理力量提高的同時(shí)，系統(tǒng)的連接力量也在不斷的提高。但在連接力量信息、流通力量提高的同時(shí)，基于網(wǎng)絡(luò)連接的平安問題也日益突出，整體的網(wǎng)絡(luò)平安主要表現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)的物理平安、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)平安、網(wǎng)絡(luò)系統(tǒng)平安、應(yīng)用系統(tǒng)平安和網(wǎng)絡(luò)管理的平安等。因此計(jì)算機(jī)平安問題，應(yīng)當(dāng)像每家每戶的防火防盜問題一樣，做到防范于未然。甚至不會(huì)想到你自己也會(huì)成為目標(biāo)的時(shí)候，威逼就已經(jīng)消失了，一旦發(fā)生，經(jīng)常措手不及，造成極大的損失。二、市場規(guī)模2014年全球網(wǎng)絡(luò)平安市場規(guī)模有望達(dá)到956億美元（約合人民幣5951.3億元），并且在將來5年，年復(fù)合增長率達(dá)到10.3%，到2019年，這一數(shù)據(jù)有望觸及1557.4億美元（約合人民幣9695.1億元）。其中，到2019年，全球無線網(wǎng)絡(luò)平安市場規(guī)模將達(dá)到155.5億美元（約合人民幣969.3億元），年復(fù)合增長率約12.94%。從行業(yè)來看，航空航天、國防等領(lǐng)域仍將是網(wǎng)絡(luò)平安市場的主要推動(dòng)力氣。從地區(qū)收益來看，北美地區(qū)將是最大的市場。同時(shí)，亞太地區(qū)、中東和非洲地區(qū)有望在肯定的時(shí)機(jī)呈現(xiàn)更大的增長速度。報(bào)告中指出，云服務(wù)的快速普及、無線通訊、公共事業(yè)行業(yè)的網(wǎng)絡(luò)犯罪增加以及嚴(yán)格的政府監(jiān)管措施出臺(tái)都是這一市場進(jìn)展的主要因素。因此，今后批準(zhǔn)的網(wǎng)絡(luò)平安解決方案將不斷增加以防范和打擊專業(yè)對手制造的先進(jìn)和簡單的威逼。此外，由于網(wǎng)絡(luò)犯罪漸漸增長導(dǎo)致智力及金融資產(chǎn)的損失，并可能損害國家的基礎(chǔ)設(shè)施和經(jīng)濟(jì)，因此云服務(wù)供應(yīng)商和垂直行業(yè)，如能源，石油和自然?氣等都將加大網(wǎng)絡(luò)平安解決方案的投入。三、主要關(guān)系通常，系統(tǒng)平安與性能和功能是一對沖突的關(guān)系。假如某個(gè)系統(tǒng)不向外界供應(yīng)任何服務(wù)（斷開），外界是不行能構(gòu)成平安威逼的。但是，企業(yè)接入國際互連網(wǎng)絡(luò)，供應(yīng)網(wǎng)上商店和電子商務(wù)等服務(wù)，等于將一個(gè)內(nèi)部封閉的網(wǎng)絡(luò)建成了一個(gè)開放的網(wǎng)絡(luò)環(huán)境，各種平安包括系統(tǒng)級(jí)的平安問題也隨之產(chǎn)生。構(gòu)建網(wǎng)絡(luò)平安系統(tǒng)，一方面由于要進(jìn)行認(rèn)證、加密、監(jiān)聽，分析、記錄等工作，由此影響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的敏捷性；另一方面也增加了管理費(fèi)用。但是，來自網(wǎng)絡(luò)的平安威逼是實(shí)際存在的，特殊是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵業(yè)務(wù)時(shí)，網(wǎng)絡(luò)平安是首先要解決的問題。全方位的平安體系：與其它平安體系（如保安系統(tǒng)）類似，企業(yè)應(yīng)用系統(tǒng)的平安體系應(yīng)包含：訪問掌握：通過對特定網(wǎng)段、服務(wù)建立的訪問掌握體系，將絕大多數(shù)攻擊阻擋在到達(dá)攻擊目標(biāo)之前。檢查平安漏洞：通過對平安漏洞的周期檢查，即使攻擊可到達(dá)攻擊目標(biāo)，也可使絕大多數(shù)攻擊無效。攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實(shí)時(shí)檢測出絕大多數(shù)攻擊，并實(shí)行相應(yīng)的行動(dòng)（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。加密通訊：主動(dòng)的加密通訊，可使攻擊者不能了解、修改敏感信息。認(rèn)證：良好的認(rèn)證體系可防止攻擊者假冒合法用戶。備份和恢復(fù)：良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。多層防備：攻擊者在突破第一道防線后，延緩或阻斷其到達(dá)攻擊目標(biāo)。隱蔽內(nèi)部信息：使攻擊者不能了解系統(tǒng)內(nèi)的基本狀況。設(shè)立平安監(jiān)控中心：為信息系統(tǒng)供應(yīng)平安體系管理、監(jiān)控，渠護(hù)及緊急狀況服務(wù)。四、平安分析網(wǎng)絡(luò)分析系統(tǒng)是一個(gè)讓網(wǎng)絡(luò)管理者，能夠在各種網(wǎng)絡(luò)平安問題中，對癥下藥的網(wǎng)絡(luò)管理方案，它對網(wǎng)絡(luò)中全部傳輸?shù)臄?shù)據(jù)進(jìn)行檢測、分析、診斷，關(guān)心用戶排解網(wǎng)絡(luò)事故，規(guī)避平安風(fēng)險(xiǎn)，提高網(wǎng)絡(luò)性能，增大網(wǎng)絡(luò)可用性價(jià)值。管理者不用再擔(dān)憂網(wǎng)絡(luò)事故難以解決，科來網(wǎng)絡(luò)分析系統(tǒng)可以關(guān)心企業(yè)把網(wǎng)絡(luò)故障和平安風(fēng)險(xiǎn)會(huì)降到最低，網(wǎng)絡(luò)性能會(huì)逐步得到提升。物理平安網(wǎng)絡(luò)的物理平安是整個(gè)網(wǎng)絡(luò)系統(tǒng)平安的前提。在校內(nèi)網(wǎng)工程建設(shè)中，由于網(wǎng)絡(luò)系統(tǒng)屬于弱電工程，耐壓值很低。因此，在網(wǎng)絡(luò)工程的設(shè)計(jì)和施工中，必需優(yōu)先考慮愛護(hù)人和網(wǎng)絡(luò)設(shè)備不受電、火災(zāi)和雷擊的侵害；考慮布線系統(tǒng)與照明電線、動(dòng)力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統(tǒng)和絕緣線、裸體線以及接地與焊接的平安；必需建設(shè)防雷系統(tǒng)，防雷系統(tǒng)不僅考慮建筑物防雷，還必需考慮計(jì)算機(jī)及其他弱電耐壓設(shè)備的防雷?？傮w來說物理平安的風(fēng)險(xiǎn)主要有，地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲；高可用性的硬件；雙機(jī)多冗余的設(shè)計(jì)；機(jī)房環(huán)境及報(bào)警系統(tǒng)、平安意識(shí)等，因此要留意這些平安隱患，同時(shí)還要盡量避開網(wǎng)絡(luò)的物理平安風(fēng)險(xiǎn)。網(wǎng)絡(luò)結(jié)構(gòu)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)也直接影響到網(wǎng)絡(luò)系統(tǒng)的平安性。假如在外部和內(nèi)部網(wǎng)絡(luò)進(jìn)行通信時(shí)，內(nèi)部網(wǎng)絡(luò)的機(jī)器平安就會(huì)受到威逼，同時(shí)也影響在同一網(wǎng)絡(luò)上的很多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會(huì)影響到連上Internet/Intranet的其他的網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等平安敏感領(lǐng)域。因此，我們在設(shè)計(jì)時(shí)有必要將公開服務(wù)器（WEB、DNS、EMAIL等）和外網(wǎng)及內(nèi)部其它業(yè)務(wù)網(wǎng)絡(luò)進(jìn)行必要的隔離，避開網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對外網(wǎng)的服務(wù)懇求加以過濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的懇求服務(wù)在到達(dá)主機(jī)之前就應(yīng)當(dāng)遭到拒絕。系統(tǒng)的平安所謂系統(tǒng)的平安是指整個(gè)網(wǎng)絡(luò)操作系統(tǒng)和網(wǎng)絡(luò)硬件平臺(tái)是否牢靠且值得信任。唯恐沒有肯定平安的操作系統(tǒng)可以選擇，無論是Microsoft的WindowsNT或者其它任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必定有其Back-Door。因此，我們可以得出如下結(jié)論：沒有完全平安的操作系統(tǒng)。不同的用戶應(yīng)從不同的方面對其網(wǎng)絡(luò)作詳盡的分析，選擇平安性盡可能高的操作系統(tǒng)。因此不但要選用完可能牢靠的操作系統(tǒng)和硬件平臺(tái)，并對操作系統(tǒng)進(jìn)行平安配置。而且，必需加強(qiáng)登錄過程的認(rèn)證（特殊是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)當(dāng)嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。應(yīng)用系統(tǒng)應(yīng)用系統(tǒng)的平安跟詳細(xì)的應(yīng)用有關(guān)，它涉及面廣。應(yīng)用系統(tǒng)的平安是動(dòng)態(tài)的、不斷變化的。應(yīng)用的平安性也涉及到信息的平安性，它包括許多方面?！獞?yīng)用系統(tǒng)的平安是動(dòng)態(tài)的、不斷變化的。應(yīng)用的平安涉及方面許多，以Internet上應(yīng)用最為廣泛的E-mail系統(tǒng)來說，其解決方案有sendmail、NetscapeMessagingServer、SoftwareComPost.Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多種。其平安手段涉及LDAP、DES、RSA等各種方式。應(yīng)用系統(tǒng)是不斷進(jìn)展且應(yīng)用類型是不斷增加的。在應(yīng)用系統(tǒng)的平安性上，主要考慮盡可能建立平安的系統(tǒng)平臺(tái)，而且通過專業(yè)的平安工具不斷發(fā)覺漏洞，修補(bǔ)漏洞，提高系統(tǒng)的平安性?！獞?yīng)用的平安性涉及到信息、數(shù)據(jù)的平安性。信息的平安性涉及到機(jī)密信息泄露、未經(jīng)授權(quán)的訪問、破壞信息完整性、假冒、破壞系統(tǒng)的可用性等。在某些網(wǎng)絡(luò)系統(tǒng)中，涉及到許多機(jī)密信息，假如一些重要信息遭到竊取或破壞，它的經(jīng)濟(jì)、社會(huì)影響和政治影響將是很嚴(yán)峻的。因此，對用戶使用計(jì)算機(jī)必需進(jìn)行身份認(rèn)證，對于重要信息的通訊必需授權(quán)，傳輸必需加密。采納多層次的訪問掌握與權(quán)限掌握手段，實(shí)現(xiàn)對數(shù)據(jù)的平安愛護(hù)；采納加密技術(shù)，保證網(wǎng)上傳輸?shù)男畔ⅲòü芾韱T口令與帳戶、上傳信息等）的機(jī)密性與完整性。管理風(fēng)險(xiǎn)管理是網(wǎng)絡(luò)中平安最最重要的部分。責(zé)權(quán)不明，平安管理制度不健全及缺乏可操作性等都可能引起管理平安的風(fēng)險(xiǎn)。當(dāng)網(wǎng)絡(luò)消失攻擊行為或網(wǎng)絡(luò)受到其它一些平安威逼時(shí)（如內(nèi)部人員的違規(guī)操作等），無法進(jìn)行實(shí)時(shí)的檢測、監(jiān)控、報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，也無法供應(yīng)黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。這就要求我們必需對站點(diǎn)的訪問活動(dòng)進(jìn)行多層次的記錄，準(zhǔn)時(shí)發(fā)覺非法入侵行為。建立全新網(wǎng)絡(luò)平安機(jī)制，必需深刻理解網(wǎng)絡(luò)并能供應(yīng)直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴(yán)格管理相結(jié)合。保障網(wǎng)絡(luò)的平安運(yùn)行，使其成為一個(gè)具有良好的平安性、可擴(kuò)充性和易管理性的信息網(wǎng)絡(luò)便成為了首要任務(wù)。一旦上述的平安隱患成為事實(shí)，所造成的對整個(gè)網(wǎng)絡(luò)的損失都是難以估量的。因此，網(wǎng)絡(luò)的平安建設(shè)是校內(nèi)網(wǎng)建設(shè)過程中重要的一環(huán)。五、主要類型網(wǎng)絡(luò)平安由于不同的環(huán)境和應(yīng)用而產(chǎn)生了不同的類型。主要有以下幾種：系統(tǒng)平安運(yùn)行系統(tǒng)平安即保證信息處理和傳輸系統(tǒng)的平安。它側(cè)重于保證系統(tǒng)正常運(yùn)行。避開由于系統(tǒng)的崩演和損壞而對系統(tǒng)存儲(chǔ)、處理和傳輸?shù)南⒃斐善茐暮蛽p失。避開由于電磁泄翻，產(chǎn)生信息泄露，干擾他人或受他人干擾。網(wǎng)絡(luò)的平安網(wǎng)絡(luò)上系統(tǒng)信息的平安。包括用戶口令鑒別，用戶存取權(quán)限掌握，數(shù)據(jù)存取權(quán)限、方式掌握，平安審計(jì)。平安問題跟踩。計(jì)算機(jī)病毒防治，數(shù)據(jù)加密等。信息傳播平安網(wǎng)絡(luò)上信息傳播平安，即信息傳播后果的平安，包括信息過濾等。它側(cè)重于防止和掌握由非法、有害的信息進(jìn)行傳播所產(chǎn)生的后果，避開公用網(wǎng)絡(luò)上大云自由傳翰的信息失控。信息內(nèi)容平安網(wǎng)絡(luò)上信息內(nèi)容的平安。它側(cè)重于愛護(hù)信息的保密性、真實(shí)性和完整性。避開攻擊者利用系統(tǒng)的平安漏潤進(jìn)行竊聽、冒充、詐編等有損于合法用戶的行為。其本質(zhì)是愛護(hù)用戶的利益和隱私。六、影響因素自然災(zāi)難、意外事故；計(jì)算機(jī)犯罪；人為行為，比如使用不當(dāng)，平安意識(shí)差等；黑客”行為：由于黑客的入侵或侵?jǐn)_，比如非法訪問、拒絕服務(wù)計(jì)算機(jī)病毒、非法連接等；內(nèi)部泄密；外部泄密；信息丟失；電子諜報(bào)，比如信息流量分析、信息竊取等；網(wǎng)絡(luò)協(xié)議中的缺陷，例如TCP/IP協(xié)議的平安問題等等。網(wǎng)絡(luò)平安威逼主要包括兩類：滲入威逼和植入威逼。滲入威逼主要有：假冒、旁路掌握、授權(quán)侵害；植入威逼主要有：特洛伊木馬、陷門。陷門：將某一“特征”設(shè)立于某個(gè)系統(tǒng)或系統(tǒng)部件之中，使得在供應(yīng)特定的輸入數(shù)據(jù)時(shí)，允許平安策略被違反。目前我國網(wǎng)絡(luò)平安存在幾大隱患：影響網(wǎng)絡(luò)平安性的因素主要有以下幾個(gè)方面。網(wǎng)絡(luò)結(jié)構(gòu)因素網(wǎng)絡(luò)基本拓?fù)浣Y(jié)構(gòu)有3種：星型、總線型和環(huán)型。一個(gè)單位在建立自己的內(nèi)部網(wǎng)之前，各部門可能已建筑了自己的局域網(wǎng)，所采納的拓?fù)浣Y(jié)構(gòu)也可能完全不同。在建筑內(nèi)部網(wǎng)時(shí)，為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)間信息的通信，往往要犧牲一些平安機(jī)制的設(shè)置和實(shí)現(xiàn)，從而提出更高的網(wǎng)絡(luò)開放性要求。網(wǎng)絡(luò)協(xié)議因素在建筑內(nèi)部網(wǎng)時(shí)，用戶為了節(jié)約開支，必定會(huì)愛護(hù)原有的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。另外，網(wǎng)絡(luò)公司為生存的需要，對網(wǎng)絡(luò)協(xié)議的兼容性要求越來越高，使眾多廠商的協(xié)議能互聯(lián)、兼容和相互通信。這在給用戶和廠商帶來利益的同時(shí)，也帶來了平安隱患。如在一種協(xié)議下傳送的有害程序能很快傳遍整個(gè)網(wǎng)絡(luò)。地域因素由于內(nèi)部網(wǎng)Intranet既可以是LAN也可能是WAN(內(nèi)部網(wǎng)指的是它不是一個(gè)公用網(wǎng)絡(luò)，而是一個(gè)專用網(wǎng)絡(luò))，網(wǎng)絡(luò)往往跨越城際，甚至國際。地理位置簡單，通信線路質(zhì)量難以保證，這會(huì)造成信息在傳輸過程中的損壞和丟失，也給一些“黑客”造成可乘之機(jī)。用戶因素企業(yè)建筑自己的內(nèi)部網(wǎng)是為了加快信息溝通，更好地適應(yīng)市場需求。建立之后，用戶的范圍必將從企業(yè)員工擴(kuò)大到客戶和想了解企業(yè)狀況的人。用戶的增加，也給網(wǎng)絡(luò)的平安性帶來了威逼，由于這里可能就有商業(yè)間諜或“黑客。”主機(jī)因素建立內(nèi)部網(wǎng)時(shí)，使原來的各局域網(wǎng)、單機(jī)互聯(lián)，增加了主機(jī)的種類，如工作站、服務(wù)器，甚至小型機(jī)、大中型機(jī)。由于它們所使用的操作系統(tǒng)和網(wǎng)絡(luò)操作系統(tǒng)不盡相同，某個(gè)操作系統(tǒng)消失漏洞(如某些系統(tǒng)有一個(gè)或幾個(gè)沒有口令的賬戶)，就可能造成整個(gè)網(wǎng)絡(luò)的大隱患。單位平安政策實(shí)踐證明，80%的平安問題是由網(wǎng)絡(luò)內(nèi)部引起的，因此，單位對自己內(nèi)部網(wǎng)的平安性要有高度的重視，必需制訂出一套平安管理的規(guī)章制度。人員因素人的因素是平安問題的薄弱環(huán)節(jié)。要對用戶進(jìn)行必要的平安教育，選擇有較高職業(yè)道德修養(yǎng)的人做網(wǎng)絡(luò)管理員，制訂出詳細(xì)措施，提高平安意識(shí)。其他其他因素如自然災(zāi)難等，也是影響網(wǎng)絡(luò)平安的因素。七、技術(shù)原理網(wǎng)絡(luò)平安性問題關(guān)系到將來網(wǎng)絡(luò)應(yīng)用的深化進(jìn)展，它涉及平安策略、移動(dòng)代碼、指令愛護(hù)、密碼學(xué)、操作系統(tǒng)、軟件工程和網(wǎng)絡(luò)平安管理等內(nèi)容。一般專用的內(nèi)部網(wǎng)與公用的互聯(lián)網(wǎng)的隔離主要使用“防火墻”技術(shù)?！胺阑饓Α笔且环N形象的說法，其實(shí)它是一種計(jì)算機(jī)硬件和軟件的組合，使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個(gè)平安網(wǎng)關(guān)，從而愛護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入。能夠完成“防火墻”工作的可以是簡潔的隱藏路由器，這種“防火墻”假如是一臺(tái)一般的路由器則僅能起到一種隔離作用。隱藏路由器也可以在互聯(lián)網(wǎng)協(xié)議端口級(jí)上阻擋網(wǎng)間或主機(jī)間通信，起到肯定的過濾作用。由于隱藏路由器僅僅是對路由器的參數(shù)做些修改，因而也有人不把它歸入“防火墻”一級(jí)的措施。真正意義的“防火墻”有兩類，一類被稱為標(biāo)準(zhǔn)“防火墻”；一類叫雙家網(wǎng)關(guān)。標(biāo)準(zhǔn)”防火墻”系統(tǒng)包括一個(gè)Unix工作站，該工作站的兩端各有一個(gè)路由器進(jìn)行緩沖。其中一個(gè)路由器的接口是外部世界，即公用網(wǎng)；而另一個(gè)則聯(lián)接內(nèi)部網(wǎng)。標(biāo)準(zhǔn)“防火墻”使用特地的軟件，并要求較高的管理水平，而且在信息傳輸上有肯定的延遲。而雙家網(wǎng)關(guān)則是對標(biāo)準(zhǔn)“防火墻”的擴(kuò)充。雙家網(wǎng)關(guān)又稱堡壘主機(jī)或應(yīng)用層網(wǎng)關(guān)，它是一個(gè)單個(gè)的系統(tǒng)，但卻能同時(shí)完成標(biāo)準(zhǔn)“防火墻”的全部功能。其優(yōu)點(diǎn)是能運(yùn)行更簡單的應(yīng)用，同時(shí)防止在互聯(lián)網(wǎng)和內(nèi)部系統(tǒng)之間建立的任何直接的連接，可以確保數(shù)據(jù)包不能直接從外部網(wǎng)絡(luò)到達(dá)內(nèi)部網(wǎng)絡(luò)，反之亦然。隨著”防火墻”技術(shù)的進(jìn)步，在雙家網(wǎng)關(guān)的基礎(chǔ)上又演化出兩種“防火墻”配置，一種是隱藏主機(jī)網(wǎng)關(guān)，另一種是隱藏智能網(wǎng)關(guān)(隱藏子網(wǎng))。隱藏主機(jī)網(wǎng)關(guān)當(dāng)前或許是一種常見的“防火墻”配置。顧名思義，這種配置一方面將路由器進(jìn)行隱蔽，另一方面在互聯(lián)網(wǎng)和內(nèi)部網(wǎng)之間安裝堡壘主機(jī)。堡壘主機(jī)裝在內(nèi)部網(wǎng)上，通過路由器的配置，使該堡壘主機(jī)成為內(nèi)部網(wǎng)與互聯(lián)網(wǎng)進(jìn)行通信的唯一系統(tǒng)。目前技術(shù)最為簡單而且平安級(jí)別最高的”防火墻”當(dāng)屬隱藏智能網(wǎng)關(guān)。所謂隱藏智能網(wǎng)關(guān)是將網(wǎng)關(guān)隱蔽在公共系統(tǒng)之后，它是互聯(lián)網(wǎng)用戶唯一能見到的系統(tǒng)。全部互聯(lián)網(wǎng)功能則是經(jīng)過這個(gè)隱蔽在公共系統(tǒng)之后的愛護(hù)軟件來進(jìn)行的。一般來說，這種“防火墻”是最不簡單被破壞的。與“防火墻”協(xié)作使用的平安技術(shù)還有數(shù)據(jù)加密技術(shù)。數(shù)據(jù)加密技術(shù)是為提高信息系統(tǒng)及數(shù)據(jù)的平安性和保密性，防止隱秘?cái)?shù)據(jù)被外部破壞所采納的主要技術(shù)手段之一。隨著信息技術(shù)的進(jìn)展，網(wǎng)絡(luò)平安與信息保密日益引起人們的關(guān)注。各國除了從法律上、管理上加強(qiáng)數(shù)據(jù)的平安愛護(hù)外，從技術(shù)上分別在軟件和硬件兩方面實(shí)行措施，推動(dòng)著數(shù)據(jù)加密技術(shù)和物理防范技術(shù)的不斷進(jìn)展。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)4種。與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)則是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶給予它一個(gè)口令或密碼字。該密碼字與內(nèi)部網(wǎng)絡(luò)服務(wù)器上注冊的密碼全都。當(dāng)口令與身份特征共同使用時(shí)，智能卡的保密性能還是相當(dāng)有效的。這些網(wǎng)絡(luò)平安和數(shù)據(jù)愛護(hù)的防范措施都有肯定的限度，并不是越平安就越牢靠。因而，看一個(gè)內(nèi)部網(wǎng)是否平安時(shí)不僅要考慮其手段，而更重要的是對該網(wǎng)絡(luò)所實(shí)行的各種措施，其中不僅是物理防范，而且還有人員素養(yǎng)等其他“軟”因素，進(jìn)行綜合評(píng)估，從而得出是否平安的結(jié)論。平安服務(wù)對等實(shí)體認(rèn)證服務(wù)訪問掌握服務(wù)數(shù)據(jù)保密服務(wù)數(shù)據(jù)完整性服務(wù)數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)禁止否認(rèn)服務(wù)平安機(jī)制加密機(jī)制數(shù)字簽名機(jī)制訪問掌握機(jī)制數(shù)據(jù)完整性機(jī)制認(rèn)證機(jī)制信息流填充機(jī)制路由掌握機(jī)制公證機(jī)制八、操作工具維護(hù)網(wǎng)絡(luò)平安的工具有VIEID、數(shù)字證書、數(shù)字簽名和基于本地或云端的殺毒軟體等構(gòu)成。在法律方面有中華人民共和國計(jì)算機(jī)信息系統(tǒng)平安愛護(hù)條例、中華人民共和國電子簽名法等。防火墻Internet防火墻是這樣的系統(tǒng)（或一組系統(tǒng)），它能增加機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的平安性。防火墻系統(tǒng)打算了哪些內(nèi)部服務(wù)可以被外界訪問；外界的哪些人可以訪問內(nèi)部的哪些服務(wù)，以及哪些外部服務(wù)可以被內(nèi)部人員訪問。要使一個(gè)防火墻有效，全部來自和去往Internet的信息都必需經(jīng)過防火墻，接受防火墻的檢查。防火墻只允許授權(quán)的數(shù)據(jù)通過，并且防火墻本身也必需能夠免于滲透。Internet防火墻負(fù)責(zé)管理Internet和機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)之間的訪問。在沒有防火墻時(shí)，內(nèi)部網(wǎng)絡(luò)上的每個(gè)節(jié)點(diǎn)都暴露給Internet上的其它主機(jī)，極易受到攻擊。這就意味著內(nèi)部網(wǎng)絡(luò)的平安性要由每一個(gè)主機(jī)的結(jié)實(shí)程度來打算，并且平安性等同于其中最弱的系統(tǒng)。Internet防火墻允許網(wǎng)絡(luò)管理員定義一個(gè)中心“扼制點(diǎn)”來防止非法用戶，比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)。禁止存在平安脆弱性的服務(wù)進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化平安管理，網(wǎng)絡(luò)的平安性是在防火墻系統(tǒng)上得到加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的全部主機(jī)上。在防火墻上可以很便利的監(jiān)視網(wǎng)絡(luò)的平安性，并產(chǎn)生報(bào)警。（留意：對一個(gè)與Internet相聯(lián)的內(nèi)部網(wǎng)絡(luò)來說，重要的問題并不是網(wǎng)絡(luò)是否會(huì)受到攻擊，而是何時(shí)受到攻擊？誰在攻擊？）網(wǎng)絡(luò)管理員必需審計(jì)并記錄全部通過防火墻的重要信息。假如網(wǎng)絡(luò)管理員不能準(zhǔn)時(shí)響應(yīng)報(bào)警并審查常規(guī)記錄，防火墻就形同虛設(shè)。在這種狀況下，網(wǎng)絡(luò)管理員永久不會(huì)知道防火墻是否受到攻擊。Internet防火墻可以作為部署NAT(NetworkAddressTranslator，網(wǎng)絡(luò)地址變換）的規(guī)律地址。因此防火墻可以用來緩解地址空間短缺的問題，并消退機(jī)構(gòu)在變換ISP時(shí)帶來的重新編址的麻煩。Internet防火墻是審計(jì)和記錄Internet使用量的一個(gè)最佳地方。網(wǎng)絡(luò)管理員可以在此向管理部門供應(yīng)Internet連接的費(fèi)用狀況，查出潛在的帶寬瓶頸的位置，并依據(jù)機(jī)構(gòu)的核算模式供應(yīng)部門級(jí)計(jì)費(fèi)。在設(shè)計(jì)理念方面，防火墻是以應(yīng)用為主、以平安為輔的，也就是說在支持盡可能多的應(yīng)用的前提下，來保證使用的平安。防火墻的這一設(shè)計(jì)理念使得它可以廣泛地用于盡可能多的領(lǐng)域，擁有更加廣泛的市場，甚至包括個(gè)人電腦都可以使用，但是它的平安性往往就差強(qiáng)人意。而網(wǎng)閘則是以平安為主，在保證平安的前提下，支持盡可能多地應(yīng)用。網(wǎng)閘主要用于平安性要求極高的領(lǐng)域，例如對政府網(wǎng)絡(luò)，工業(yè)掌握系統(tǒng)的愛護(hù)等等。平安策略防火墻不僅僅是路由器、堡壘主機(jī)、或任何供應(yīng)網(wǎng)絡(luò)平安的設(shè)備的組合，防火墻是平安策略的一個(gè)部分。平安策略建立全方位的防備體系，甚至包括：告知用戶應(yīng)有的責(zé)任，公司規(guī)定的網(wǎng)絡(luò)訪問、服務(wù)訪問、本地和遠(yuǎn)地的用戶認(rèn)證、撥入和撥出、磁盤和數(shù)據(jù)加密、病毒防護(hù)措施，以及雇員培訓(xùn)等。全部可能受到攻擊的地方都必需以同樣平安級(jí)別加以愛護(hù)。僅設(shè)立防火墻系統(tǒng)，而沒有全面的平安策略，那么防火墻就形同虛設(shè)。系統(tǒng)平安操作系統(tǒng)的平安掌握：如用戶開機(jī)鍵入的口令（某些微機(jī)主板有“萬能口令”），對文件的讀寫存取的掌握（如Unix系統(tǒng)的文件屬性掌握機(jī)制）。網(wǎng)絡(luò)接口模塊的平安掌握。在網(wǎng)絡(luò)環(huán)境下對來自其他機(jī)器的網(wǎng)絡(luò)通信進(jìn)程進(jìn)行平安掌握。主要包括：身份認(rèn)證，客戶權(quán)限設(shè)置與判別，審計(jì)日志等。網(wǎng)絡(luò)互聯(lián)設(shè)備的平安掌握。對整個(gè)子網(wǎng)內(nèi)的全部主機(jī)的傳輸信息和運(yùn)行狀態(tài)進(jìn)行平安監(jiān)測和掌握。主要通過網(wǎng)管軟件或路由器配置實(shí)現(xiàn)。電子商務(wù)電子商務(wù)平安從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)平安和商務(wù)交易平安。（一）計(jì)算機(jī)網(wǎng)絡(luò)平安的內(nèi)容包括：（1）未進(jìn)行操作系統(tǒng)相關(guān)平安配置不論采納什么操作系統(tǒng)，在缺省安裝的條件下都會(huì)存在一些平安問題，只有特地針對操作系統(tǒng)平安性進(jìn)行相關(guān)的和嚴(yán)格的平安配置，才能達(dá)到肯定的平安程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強(qiáng)的密碼系統(tǒng)就算作平安了。網(wǎng)絡(luò)軟件的漏洞和“后門”是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。（2）未進(jìn)行CGI程序代碼審計(jì)假如是通用的CGI問題，防范起來還略微簡單一些，但是對于網(wǎng)站或軟件供應(yīng)商特地開發(fā)的一些CGI程序，許多存在嚴(yán)峻的CGI問題，對于電子商務(wù)站點(diǎn)來說，會(huì)消失惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購物等嚴(yán)峻后果。（3）拒絕服務(wù)（DoS，DenialofService）攻擊隨著電子商務(wù)的興起，對網(wǎng)站的實(shí)時(shí)性要求越來越高，DoS或DDoS對網(wǎng)站的威逼越來越大。以網(wǎng)絡(luò)癱瘓為目標(biāo)的攻擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)斗方式都來得更劇烈，破壞性更大，造成危害的速度更快，范圍也更廣，而攻擊者本身的風(fēng)險(xiǎn)卻特別小，甚至可以在攻擊開頭前就已經(jīng)消逝得無影無蹤，使對方?jīng)]有實(shí)行報(bào)復(fù)打擊的可能。（4）平安產(chǎn)品使用不當(dāng)雖然不少網(wǎng)站采納了一些網(wǎng)絡(luò)平安設(shè)備，但由于平安產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。許多平安廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對一般網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動(dòng)，需要改動(dòng)相關(guān)平安產(chǎn)品的設(shè)置時(shí)，很簡單產(chǎn)生很多平安問題。（5）缺少嚴(yán)格的網(wǎng)絡(luò)平安管理制度網(wǎng)絡(luò)平安最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的平安需要用完備的平安制度來保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)平安制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)平安的基礎(chǔ)。（二）計(jì)算機(jī)商務(wù)交易平安的內(nèi)容包括：（1）竊取信息由于未采納加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。（2）篡改信息當(dāng)入侵者把握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新奇，在路由器或網(wǎng)關(guān)上都可以做此類工作。（3）假冒由于把握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獵取信息，而遠(yuǎn)端用戶通常很難辨別。（4）惡意破壞由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進(jìn)行修改，把握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是特別嚴(yán)峻的。協(xié)議平安TCP/IP協(xié)議數(shù)據(jù)流采納明文傳輸。源地址哄騙（Sourceaddressspoofing）或IP哄騙（IPspoofing）。源路由選擇哄騙（SourceRoutingspoofing）。路由選擇信息協(xié)議攻擊（RIPAttacks）。鑒別攻擊（AuthenticationAttacks）。TCP序列號(hào)哄騙（TCPSequencenumberspoofing）。TCP序列號(hào)轟炸攻擊（TCPSYNFloodingAttack），簡稱SYN攻擊。易哄騙性（Easeofspoofing）。九、預(yù)防措施網(wǎng)安措施計(jì)算機(jī)網(wǎng)絡(luò)平安措施主要包括愛護(hù)網(wǎng)絡(luò)平安、愛護(hù)應(yīng)用服務(wù)平安和愛護(hù)系統(tǒng)平安三個(gè)方面，各個(gè)方面都要結(jié)合考慮平安防護(hù)的物理平安、防火墻、信息平安、Web平安、媒體平安等等。（一）愛護(hù)網(wǎng)絡(luò)平安。網(wǎng)絡(luò)平安是為愛護(hù)商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的平安性。保證機(jī)密性、完整性、認(rèn)證性和訪問掌握性是網(wǎng)絡(luò)平安的重要因素。愛護(hù)網(wǎng)絡(luò)平安的主要措施如下：（1）全面規(guī)劃網(wǎng)絡(luò)平臺(tái)的平安策略。（2）制定網(wǎng)絡(luò)平安的管理措施。（3）使用防火墻。（4）盡可能記錄網(wǎng)絡(luò)上的一切活動(dòng)。（5）留意對網(wǎng)絡(luò)設(shè)備的物理愛護(hù)。（6）檢驗(yàn)網(wǎng)絡(luò)平臺(tái)系統(tǒng)的脆弱性。（7）建立牢靠的識(shí)別和鑒別機(jī)制。（二）愛護(hù)應(yīng)用平安。愛護(hù)應(yīng)用平安，主要是針對特定應(yīng)用（如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng)）所建立的平安防護(hù)措施，它獨(dú)立于網(wǎng)絡(luò)的任何其他平安防護(hù)措施。雖然有些防護(hù)措施可能是網(wǎng)絡(luò)平安業(yè)務(wù)的一種替代或重疊，如Web掃瞄器和Web服務(wù)器在應(yīng)用層上對網(wǎng)絡(luò)支付結(jié)算信息包的加密，都通過IP層加密，但是很多應(yīng)用還有自己的特定平安要求。由于電子商務(wù)中的應(yīng)用層對平安的要求最嚴(yán)格、最簡單，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層實(shí)行各種平安措施。雖然網(wǎng)絡(luò)層上的平安仍有其特定地位，但是人們不能完全依靠它來解決電子商務(wù)應(yīng)用的平安性。應(yīng)用層上的平安業(yè)務(wù)可以涉及認(rèn)證、訪問掌握、機(jī)密性、數(shù)據(jù)完整性、不行否認(rèn)性、Web平安性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的平安性。（三）愛護(hù)系統(tǒng)平安。愛護(hù)系統(tǒng)平安，是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進(jìn)行平安防護(hù)，它與網(wǎng)絡(luò)系統(tǒng)硬件平臺(tái)、操作系統(tǒng)、各種應(yīng)用軟件等相互關(guān)聯(lián)。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)平安包含下述一些措施：（1）在安裝的軟件中，如掃瞄器軟件、電子錢包軟件、支付網(wǎng)關(guān)軟件等，檢查和確認(rèn)未知的平安漏洞。（2）技術(shù)與管理相結(jié)合，使系統(tǒng)具有最小穿透風(fēng)險(xiǎn)性。如通過諸多認(rèn)證才允許連通，對全部接入數(shù)據(jù)必需進(jìn)行審計(jì)，對系統(tǒng)用戶進(jìn)行嚴(yán)格平安管理。（3）建立具體的平安審計(jì)日志，以便檢測并跟蹤入侵攻擊等。商交措施商務(wù)交易平安則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種平安問題，在計(jì)算機(jī)網(wǎng)絡(luò)平安的基礎(chǔ)上，如何保障電子商務(wù)過程的順當(dāng)進(jìn)行。各種商務(wù)交易平安服務(wù)都是通過平安技術(shù)來實(shí)現(xiàn)的，主要包括加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)平安協(xié)議等。（一）加密技術(shù)。加密技術(shù)是電子商務(wù)實(shí)行的基本平安措施，交易雙方可依據(jù)需要在信息交換的階段使用。加密技術(shù)分為兩類，即對稱加密和非對稱加密。（1）對稱加密。對稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。假如進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以通過這種加密方法加密機(jī)密信息、隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。（2）非對稱加密。非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個(gè)公開發(fā)布（即公鑰），另一個(gè)由用戶自己隱秘保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進(jìn)行加密后再發(fā)送給甲方，甲方再用自己保存的私鑰對加密信息進(jìn)行解密。（二）認(rèn)證技術(shù)。認(rèn)證技術(shù)是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術(shù)，即確認(rèn)雙方的身份信息在傳送或存儲(chǔ)過程中未被篡改過。（1）數(shù)字簽名。數(shù)字簽名也稱電子簽名，猶如出示手寫簽名一樣，能起到電子文件認(rèn)證、核準(zhǔn)和生效的作用。其實(shí)現(xiàn)方式是把散列函數(shù)和公開密鑰算法結(jié)合起來，發(fā)送方從報(bào)文文本中生成一個(gè)散列值，并用自己的私鑰對這個(gè)散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名；然后，將這個(gè)數(shù)字簽名作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方；報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出散列值，接著再用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密；假如這兩個(gè)散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。數(shù)字簽名機(jī)制供應(yīng)了一種鑒別方法，以解決偽造、抵賴、冒充、篡改等問題。（2）數(shù)字證書。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰的文件數(shù)字證書的最主要構(gòu)成包括一個(gè)用戶公鑰，加上密鑰全部者的用戶身份標(biāo)識(shí)符，以及被信任的第三方簽名第三方一般是用戶信任的證書權(quán)威機(jī)構(gòu)（CA），如政府部門和金融機(jī)構(gòu)。用戶以平安的方式向公鑰證書權(quán)威機(jī)構(gòu)提交他的公鑰并得到證書，然后用戶就可以公開這個(gè)證書。任何需要用戶公鑰的人都可以得到此證書，并通過相關(guān)的信任簽名來驗(yàn)證公鑰的有效性。數(shù)字證書通過標(biāo)志交易各方身份信息的一系列數(shù)據(jù)，供應(yīng)了一種驗(yàn)證各自身份的方式，用戶可以用它來識(shí)別對方的身份。（三）電子商務(wù)的平安協(xié)議。除上文提到的各種平安技術(shù)之外，電子商務(wù)的運(yùn)行還有一套完整的平安協(xié)議。比較成熟的協(xié)議有SET、SSL等。（1）平安套接層協(xié)議SSL。SSL協(xié)議位于傳輸層和應(yīng)用層之間，由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報(bào)協(xié)議組成的。SSL握手協(xié)議被用來在客戶與服務(wù)器真正傳輸應(yīng)用層數(shù)據(jù)之前建立平安機(jī)制。當(dāng)客戶與服務(wù)器第一次通信時(shí)，雙方通過握手協(xié)議在版本號(hào)、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成全都，然后相互驗(yàn)證對方身份，最終使用協(xié)商好的密鑰交換算法產(chǎn)生一個(gè)只有雙方知道的隱秘信息，客戶和服務(wù)器各自依據(jù)此隱秘信息產(chǎn)生數(shù)據(jù)加密算法和Hash算法參數(shù)。SSL記錄協(xié)議依據(jù)SSL握手協(xié)議協(xié)商的參數(shù)，對應(yīng)用層送來的數(shù)據(jù)進(jìn)行加密、壓縮、計(jì)算消息鑒別碼MAC，然后經(jīng)網(wǎng)絡(luò)傳輸層發(fā)送給對方。SSL警報(bào)協(xié)議用來在客戶和服務(wù)器之間傳遞SSL出錯(cuò)信息。（2）平安電子交易協(xié)議SET。SET協(xié)議用于劃分與界定電子商務(wù)活動(dòng)中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，給定交易信息傳送流程標(biāo)準(zhǔn)。SET主要由三個(gè)文件組成，分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET協(xié)議保證了電子商務(wù)系統(tǒng)的機(jī)密性、數(shù)據(jù)的完整性、身份的合法性。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計(jì)的。它位于應(yīng)用層，其認(rèn)證體系非常完善，能實(shí)現(xiàn)多方認(rèn)證。在SET的實(shí)現(xiàn)中，消費(fèi)者帳戶信息對商家來說是保密的。但是SET協(xié)議非常簡單，交易數(shù)據(jù)需進(jìn)行多次驗(yàn)證，用到多個(gè)密鑰以及多次加密解密。而且在SET協(xié)議中除消費(fèi)者與商家外，還有發(fā)卡行、收單行、認(rèn)證中心、支付網(wǎng)關(guān)等其它參加者。加密方式鏈路加密方式平安技術(shù)手段物理措施：例如，愛護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)平安規(guī)章制度，實(shí)行防輻射、防火以及安裝不間斷電源（UPS）等措施。訪問掌握：對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和掌握。例如，進(jìn)行用戶身份認(rèn)證，對口令加密、更新和鑒別，設(shè)置用戶訪問名目和文件的權(quán)限，掌握網(wǎng)絡(luò)設(shè)備配置的權(quán)限等等。數(shù)據(jù)加密：加密是愛護(hù)數(shù)據(jù)平安的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計(jì)算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)。網(wǎng)絡(luò)隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采納隔離卡來實(shí)現(xiàn)的，一種是采納網(wǎng)絡(luò)平安隔離網(wǎng)閘實(shí)現(xiàn)的。隔離卡主要用于對單臺(tái)機(jī)器的隔離，網(wǎng)閘主要用于對于整個(gè)網(wǎng)絡(luò)的隔離。這兩者的區(qū)分可參見參考資料。其他措施：其他措施包括信息過濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。圍繞網(wǎng)絡(luò)平安問題提出了很多解決方法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和限制訪問等方法來掌握網(wǎng)絡(luò)的訪問權(quán)限。平安防范意識(shí)擁有網(wǎng)絡(luò)平安意識(shí)是保證網(wǎng)絡(luò)平安的重要前提。很多網(wǎng)絡(luò)平安大事的發(fā)生都和缺乏平安防范意識(shí)有關(guān)。主機(jī)平安檢查要保證網(wǎng)絡(luò)平安，進(jìn)行網(wǎng)絡(luò)平安建設(shè)，第一步首先要全面了解系統(tǒng)，評(píng)估系統(tǒng)平安性，熟悉到自己的風(fēng)險(xiǎn)所在，從而快速、精確?????得解決內(nèi)網(wǎng)平安問題。由安天試驗(yàn)室自主研發(fā)的國內(nèi)首款創(chuàng)新型自動(dòng)主機(jī)平安檢查工具，徹底顛覆傳統(tǒng)系統(tǒng)保密檢查和系統(tǒng)風(fēng)險(xiǎn)評(píng)測工具操作的繁冗性，一鍵操作即可對內(nèi)網(wǎng)計(jì)算機(jī)進(jìn)行全面的平安保密檢查及精準(zhǔn)的平安等級(jí)判定，并對評(píng)測系統(tǒng)進(jìn)行強(qiáng)有力的分析處置和修復(fù)。主機(jī)物理平安服務(wù)器運(yùn)行的物理平安環(huán)境是很重要的，許多人忽視了這點(diǎn)。物理環(huán)境主要是指服務(wù)器托管機(jī)房的設(shè)施狀況，包括通風(fēng)系統(tǒng)、電源系統(tǒng)、防雷防火系統(tǒng)以及機(jī)房的溫度、濕度條件等。這些因素會(huì)影響到服務(wù)器的壽命和全部數(shù)據(jù)的平安。我不想在這里爭論這些因素，由于在選擇IDC時(shí)你自己會(huì)作出決策。在這里著重強(qiáng)調(diào)的是，有些機(jī)房供應(yīng)特地的機(jī)柜存放服務(wù)器，而有些機(jī)房只供應(yīng)機(jī)架。所謂機(jī)柜，就是類似于家里的櫥柜那樣的鐵柜子，前后有門，里面有放服務(wù)器的拖架和電源、風(fēng)扇等，服務(wù)器放進(jìn)去后即把門鎖上，只有機(jī)房的管理人員才有鑰匙打開。而機(jī)架就是一個(gè)個(gè)鐵架子，開放式的，服務(wù)器上架時(shí)只要把它插到拖架里去即可。這兩種環(huán)境對服務(wù)器的物理平安來說有著很大差別，顯而易見，放在機(jī)柜里的服務(wù)器要平安得多。假如你的服務(wù)器放在開放式機(jī)架上，那就意味著，任何人都可以接觸到這些服務(wù)器。別人假如能輕松接觸到你的硬件，還有什么平安性可言？假如你的服務(wù)器只能放在開放式機(jī)架的機(jī)房，那么你可以這樣做：（1）將電源用膠帶綁定在插槽上，這樣避開別人無意中碰動(dòng)你的電源；（2）安裝完系統(tǒng)后，重啟服務(wù)器，在重啟的過程中把鍵盤和鼠標(biāo)拔掉，這樣在系統(tǒng)啟動(dòng)后，一般的鍵盤和鼠標(biāo)接上去以后不會(huì)起作用(USB鼠標(biāo)鍵盤除外)（3）跟機(jī)房值班人員搞好關(guān)系，不要得罪機(jī)房里其他公司的維護(hù)人員。這樣做后，你的服務(wù)器至少會(huì)平安一些。十、主要產(chǎn)品在網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)應(yīng)用市場蓬勃進(jìn)展的帶動(dòng)下，網(wǎng)絡(luò)平安市場迎來了高速進(jìn)展期，一方面隨著網(wǎng)絡(luò)的延長，網(wǎng)絡(luò)規(guī)?？焖贁U(kuò)大，平安問題變得日益簡單，建設(shè)可管、可控、可信的網(wǎng)絡(luò)也是進(jìn)一步推動(dòng)網(wǎng)絡(luò)應(yīng)用進(jìn)展的前提；另一方面隨著網(wǎng)絡(luò)所承載的業(yè)務(wù)日益簡單，保證應(yīng)用層平安是網(wǎng)絡(luò)平安進(jìn)展的新的方向。隨著網(wǎng)絡(luò)技術(shù)的快速進(jìn)展，原來網(wǎng)絡(luò)威逼單點(diǎn)疊加式的防護(hù)手段已經(jīng)難以有效抵擋日趨嚴(yán)峻的混合型平安威逼。構(gòu)建一個(gè)局部平安、全局平安、智能平安的整體平安體系，為用戶供應(yīng)多層次、全方位的立體防護(hù)體系成為信息平安建設(shè)的新理念。在此理念下，網(wǎng)絡(luò)平安產(chǎn)品將發(fā)生了一系列的變革。結(jié)合實(shí)際應(yīng)用需求，在新的網(wǎng)絡(luò)平安理念的指引下，網(wǎng)絡(luò)平安解決方案正向著以下幾個(gè)方一直進(jìn)展：1、主動(dòng)防備走向市場主動(dòng)防備的理念已經(jīng)進(jìn)展了一些年，但是從理論走向應(yīng)用始終存在著多種阻礙。主動(dòng)防備主要是通過分析并掃描指定程序或線程的行為，依據(jù)預(yù)先設(shè)定的規(guī)章，判定是否屬于危急程序或病毒，從而進(jìn)行防備或者清除操作。不過，從主動(dòng)防備理念向產(chǎn)品進(jìn)展的最重要因素就是智能化問題。由于計(jì)算機(jī)是在一系列的規(guī)章下產(chǎn)生的，如何發(fā)覺、推斷、檢測威逼并主動(dòng)防備，成為主動(dòng)防備理念走向市場的最大阻礙。由于主動(dòng)防備可以提升平安策略的執(zhí)行效率，對企業(yè)推動(dòng)網(wǎng)絡(luò)平安建設(shè)起到了樂觀作用，所以盡管其產(chǎn)品還不完善，但是隨著將來幾年技術(shù)的進(jìn)步，以程序自動(dòng)監(jiān)控、程序自動(dòng)分析、程序自動(dòng)診斷為主要功能的主動(dòng)防備型產(chǎn)品將與傳統(tǒng)網(wǎng)絡(luò)平安設(shè)備相結(jié)合。尤其是隨著技術(shù)的進(jìn)展，高效精確?????的對病毒、蠕蟲、木馬等惡意攻擊行為的主動(dòng)防備產(chǎn)品將逐步進(jìn)展成熟并推向市場，主動(dòng)防備技術(shù)走向市場將成為一種必定的趨勢。2、平安技術(shù)融合備受重視隨著網(wǎng)絡(luò)技術(shù)的日新月異，網(wǎng)絡(luò)普及率的快速提高，網(wǎng)絡(luò)所面臨的潛在威逼也越來越大，單一的防護(hù)產(chǎn)品早已不能滿意市場的需要。進(jìn)展網(wǎng)絡(luò)平安整體解決方案已經(jīng)成為必定趨勢，用戶對務(wù)實(shí)有效的平安整體解決方案需求愈加迫切。平安整體解決方案需要產(chǎn)品更加集成化、智能化、便于集中管理。將來幾年開發(fā)網(wǎng)絡(luò)平安整體解決方案將成為主要廠商差異化競爭的重要手段。軟硬結(jié)合，管理策略走入平安整體解決方案。面對規(guī)模越來越浩大和簡單的網(wǎng)絡(luò)，僅依靠傳統(tǒng)的網(wǎng)絡(luò)平安設(shè)備來保證網(wǎng)絡(luò)層的平安和暢通已經(jīng)不能滿意網(wǎng)絡(luò)的可管、可控要求，因此以終端準(zhǔn)入解決方案為代表的網(wǎng)絡(luò)管理軟件開頭融合進(jìn)整體的平安解決方案。終端準(zhǔn)入解決方案通過掌握用戶終端平安接入網(wǎng)絡(luò)入手，對接入用戶終端強(qiáng)制實(shí)施用戶平安策略，嚴(yán)格掌握終端網(wǎng)絡(luò)使用行為，為網(wǎng)絡(luò)平安供應(yīng)了有效保障，關(guān)心用戶實(shí)現(xiàn)更加主動(dòng)的平安防護(hù)，實(shí)現(xiàn)高效、便捷地網(wǎng)絡(luò)管理目標(biāo)，全面推動(dòng)網(wǎng)絡(luò)整體平安體系建設(shè)的進(jìn)程。3、數(shù)據(jù)平安愛護(hù)系統(tǒng)數(shù)據(jù)平安愛護(hù)系統(tǒng)是廣東南方信息平安產(chǎn)業(yè)基地公司，依據(jù)國家重要信息系統(tǒng)平安等級(jí)愛護(hù)標(biāo)準(zhǔn)和法規(guī)，以及企業(yè)數(shù)字學(xué)問產(chǎn)權(quán)愛護(hù)需求，自主研發(fā)的產(chǎn)品。它以全面數(shù)據(jù)文件平安策略、加解密技術(shù)與強(qiáng)制訪問掌握有機(jī)結(jié)合為設(shè)計(jì)思想，對信息媒介上的各種數(shù)據(jù)資產(chǎn)，實(shí)施不同平安等級(jí)的掌握，有效杜絕機(jī)密信息泄漏和竊取大事。十一、主要問題平安隱患1、Internet是一個(gè)開放的、無掌握機(jī)構(gòu)的網(wǎng)絡(luò)，黑客（Hacker）常常會(huì)侵入網(wǎng)絡(luò)中的計(jì)算機(jī)系統(tǒng)，或竊取機(jī)密數(shù)據(jù)和盜用特權(quán)，或破壞重要數(shù)據(jù)，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。2、Internet的數(shù)據(jù)傳輸是基于TCP/IP通信協(xié)議進(jìn)行的，這些協(xié)議缺乏使傳輸過程中的信息不被竊取的平安措施。3、Internet上的通信業(yè)務(wù)多數(shù)使用Unix操作系統(tǒng)來支持，Unix操作系統(tǒng)中明顯存在的平安脆弱性問題會(huì)直接影響平安服務(wù)。4、在計(jì)算機(jī)上存儲(chǔ)、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進(jìn)行信封愛護(hù)和簽字蓋章。信息的來源和去向是否真實(shí)，內(nèi)容是否被改動(dòng)，以及是否泄露等，在應(yīng)用層支持的服務(wù)協(xié)議中是靠著君子協(xié)定來維系的。5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機(jī)密信息會(huì)存在著很大的危急。6、計(jì)算機(jī)病毒通過Internet的傳播給上網(wǎng)用戶帶來極大的危害，病毒可以使計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)癱瘓、數(shù)據(jù)和文件丟失。在網(wǎng)絡(luò)上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。攻擊形式主要有四種方式中斷、截獲、修改和偽造。中斷是以可用性作為攻擊目標(biāo)，它毀壞系統(tǒng)資源，使網(wǎng)絡(luò)不行用。截獲是以保密性作為攻擊目標(biāo)，非授權(quán)用戶通過某種手段獲得對系統(tǒng)資源的訪問。修改是以完整性作為攻擊目標(biāo)，非授權(quán)用戶不僅獲得訪問而且對數(shù)據(jù)進(jìn)行修改。偽造是以完整性作為攻擊目標(biāo)，非授權(quán)用戶將偽造的數(shù)據(jù)插入到正常傳輸?shù)臄?shù)據(jù)中。網(wǎng)絡(luò)平安的解決方案：1、入侵檢測系統(tǒng)部署入侵檢測力量是衡量一個(gè)防備體系是否完整有效的重要因素，強(qiáng)大完整的入侵檢測體系可以彌補(bǔ)防火墻相對靜態(tài)防備的不足。對來自外部網(wǎng)和校內(nèi)網(wǎng)內(nèi)部的各種行為進(jìn)行實(shí)時(shí)檢測，準(zhǔn)時(shí)發(fā)覺各種可能的攻擊企圖，并實(shí)行相應(yīng)的措施。詳細(xì)來講，就是將入侵檢測引擎接入中心交換機(jī)上。入侵檢測系統(tǒng)集入侵檢測、網(wǎng)絡(luò)管理和網(wǎng)絡(luò)監(jiān)視功能于一身，能實(shí)時(shí)捕獲內(nèi)外網(wǎng)之間傳輸?shù)娜繑?shù)據(jù)，利用內(nèi)置的攻擊特征庫，使用模式匹配和智能分析的方法，檢測網(wǎng)絡(luò)上發(fā)生的入侵行為和特別現(xiàn)象，并在數(shù)據(jù)庫中記錄有關(guān)大事，作為網(wǎng)絡(luò)管理員事后分析的依據(jù)；假如狀況嚴(yán)峻，系統(tǒng)可以發(fā)出實(shí)時(shí)報(bào)警，使得學(xué)校管理員能夠準(zhǔn)時(shí)實(shí)行應(yīng)對措施。2、漏洞掃描系統(tǒng)采納最先進(jìn)的漏洞掃描系統(tǒng)定期對工作站、服務(wù)器、交換機(jī)等進(jìn)行平安檢查，并依據(jù)檢查結(jié)果向系統(tǒng)管理員供應(yīng)具體牢靠的平安性分析報(bào)告，為提高網(wǎng)絡(luò)平安整體水平產(chǎn)生重要依據(jù)。3、網(wǎng)絡(luò)版殺毒產(chǎn)品部署在該網(wǎng)絡(luò)防病毒方案中，我們最終要達(dá)到一個(gè)目的就是：要在整個(gè)局域網(wǎng)內(nèi)杜絕病毒的感染、傳播和發(fā)作，為了實(shí)現(xiàn)這一點(diǎn)，我們應(yīng)當(dāng)在整個(gè)網(wǎng)絡(luò)內(nèi)可能感染和傳播病毒的地方實(shí)行相應(yīng)的防病毒手段。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺等多種功能。信息平安信息平安主要包括以下五方面的內(nèi)容，即需保證信息的保密性、真實(shí)性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的平安性。信息平安本身包括的范圍很大，其中包括如何防范商業(yè)企業(yè)機(jī)密泄露、防范青少年對不良信息的掃瞄、個(gè)人信息的泄露等。網(wǎng)絡(luò)環(huán)境下的信息平安體系是保證信息平安的關(guān)鍵，包括計(jì)算機(jī)平安操作系統(tǒng)、各種平安協(xié)議、平安機(jī)制（數(shù)字簽名、消息認(rèn)證、數(shù)據(jù)加密等），直至平安系統(tǒng)，如UniNAC、DLP等，只要存在平安漏洞便可以威逼全局平安。信息平安是指信息系統(tǒng)（包括硬件、軟件、數(shù)據(jù)、人、物理環(huán)境及其基礎(chǔ)設(shè)施）受到愛護(hù)，不受偶然的或者惡意的緣由而遭到破壞、更改、泄露，系統(tǒng)連續(xù)牢靠正常地運(yùn)行，信息服務(wù)不中斷，最終實(shí)現(xiàn)業(yè)務(wù)連續(xù)性。信息平安學(xué)科可分為狹義平安與廣義平安兩個(gè)層次，狹義的平安是建立在以密碼論為基礎(chǔ)的計(jì)算機(jī)平安領(lǐng)域，早期中國信息平安專業(yè)通常以此為基準(zhǔn)，輔以計(jì)算機(jī)技術(shù)、通信網(wǎng)絡(luò)技術(shù)與編程等方面的內(nèi)容；廣義的信息平安是一門綜合性學(xué)科，從傳統(tǒng)的計(jì)算機(jī)平安到信息平安，不但是名稱的變更也是對平安進(jìn)展的延長，平安不在是單純的技術(shù)問題，而是將管理、技術(shù)、法律等問題相結(jié)合的產(chǎn)物。本專業(yè)培育能夠從事計(jì)算機(jī)、通信、電子商務(wù)、電子政務(wù)、電子金融等領(lǐng)域的信息平安高級(jí)特地人才。一、產(chǎn)業(yè)進(jìn)展信息平安的概念在二十世紀(jì)經(jīng)受了一個(gè)漫長的歷史階段，90年月以來得到了深化。進(jìn)入21世紀(jì)，隨著信息技術(shù)的不斷進(jìn)展，信息平安問題也日顯突出。如何確保信息系統(tǒng)的平安已成為全社會(huì)關(guān)注的問題。國際上對于信息平安的討論起步較早，投入力度大，已取得了很多成果，并得以推廣應(yīng)用。中國已有一批特地從事信息平安基礎(chǔ)討論、技術(shù)開發(fā)與技術(shù)服務(wù)工作的討論機(jī)構(gòu)與高科技企業(yè)，形成了中國信息平安產(chǎn)業(yè)的雛形，但由于中國特地從事信息平安工作技術(shù)人才嚴(yán)峻短缺，阻礙了中國信息平安事業(yè)的進(jìn)展。信息平安專業(yè)是非常具有進(jìn)展前途的專業(yè)。二、學(xué)科要求此專業(yè)具有全面的信息平安專業(yè)學(xué)問，使得同學(xué)有較寬的學(xué)問面和進(jìn)一步進(jìn)展的基本力量；加強(qiáng)學(xué)科所要求的基本修養(yǎng)，使同學(xué)具有本學(xué)科科學(xué)討論所需的基本素養(yǎng)，為同學(xué)今后的進(jìn)展、創(chuàng)新打下良好的基礎(chǔ)；使同學(xué)具有較強(qiáng)的應(yīng)用力量，具有應(yīng)用已把握的基本學(xué)問解決實(shí)際應(yīng)用問題的力量，不斷增加系統(tǒng)的應(yīng)用、開發(fā)以及不斷獵取新學(xué)問的力量。又有較強(qiáng)的應(yīng)用力量；既可以擔(dān)當(dāng)實(shí)際系統(tǒng)的開發(fā)，又可進(jìn)行科學(xué)討論。意義其根本目的就是使內(nèi)部信息不受內(nèi)部、外部、自然等因素的威逼。為保障信息平安，要求有信息源認(rèn)證、訪問掌握，不能有非法軟件駐留，不能有未授權(quán)的操作等行為。重要性信息作為一種資源，它的普遍性、共享性、增值性、可處理性和多效用性，使其對于人類具有特殊重要的意義。信息平安的實(shí)質(zhì)就是要愛護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類型的威逼、干擾和破壞，即保證信息的平安性。依據(jù)國際標(biāo)準(zhǔn)化組織的定義，信息平安性的含義主要是指信息的完整性、可用性、保密性和牢靠性。信息平安是任何國家、政府、部門、行業(yè)都必需非常重視的問題，是一個(gè)不容忽視的國家平安戰(zhàn)略。但是，對于不同的部門和行業(yè)來說，其對信息平安的要求和重點(diǎn)卻是有區(qū)分的。中國的改革開放帶來了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。為了適應(yīng)這一形勢，通信技術(shù)發(fā)生了前所未有的爆炸性進(jìn)展。除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應(yīng)用。與此同時(shí)，國外敵對勢力為了竊取中國的政治、軍事、經(jīng)濟(jì)、科學(xué)技術(shù)等方面的隱秘信息，運(yùn)用偵察臺(tái)、偵察船、偵察機(jī)、衛(wèi)星等手段，形成固定與移動(dòng)、遠(yuǎn)距離與近距離、空中與地面相結(jié)合的立體偵察網(wǎng)，截取中國通信傳輸中的信息。從文獻(xiàn)中了解一個(gè)社會(huì)的內(nèi)幕，早已是司空見慣的事情。在20世紀(jì)后50年中，從社會(huì)所屬計(jì)算機(jī)中了解一個(gè)社會(huì)的內(nèi)幕，正變得越來越簡單。不管是機(jī)構(gòu)還是個(gè)人，正把日益繁多的事情托付給計(jì)算機(jī)來完成，敏感信息正經(jīng)過脆弱的通信線路在計(jì)算機(jī)系統(tǒng)之間傳送，專用信息在計(jì)算機(jī)內(nèi)存儲(chǔ)或在計(jì)算機(jī)之間傳送，電子銀行業(yè)務(wù)使財(cái)務(wù)賬目可通過通信線路查閱，執(zhí)法部門從計(jì)算機(jī)中了解罪犯的前科，醫(yī)生們用計(jì)算機(jī)管理病歷，最重要的問題是不能在對非法（非授權(quán)）獵?。ㄔL問）不加防范的條件下傳輸信息。傳輸信息的方式許多，有局域計(jì)算機(jī)網(wǎng)、互聯(lián)網(wǎng)和分布式數(shù)據(jù)庫，有蜂窩式無線、分組交換式無線、衛(wèi)星電視會(huì)議、電子郵件及其它各種傳輸技術(shù)。信息在存儲(chǔ)、處理和交換過程中，都存在泄密或被截收、竊聽、竄改和偽造的可能性。不難看出，單一的保密措施已很難保證通信和信息的平安，必需綜合應(yīng)用各種保密措施，即通過技術(shù)的、管理的、行政的手段，實(shí)現(xiàn)信源、信號(hào)、信息三個(gè)環(huán)節(jié)的愛護(hù)，藉以達(dá)到隱秘信息平安的目的。課程設(shè)置在校期間，不僅強(qiáng)調(diào)同學(xué)對基礎(chǔ)學(xué)問的把握，更強(qiáng)調(diào)對其專業(yè)素養(yǎng)和力量的培育。同學(xué)除學(xué)習(xí)理工專業(yè)公共基礎(chǔ)課外，學(xué)習(xí)的專業(yè)基礎(chǔ)和專業(yè)課主要有：高等數(shù)學(xué)、線性代數(shù)、計(jì)算方法、概率論與數(shù)理統(tǒng)計(jì)、計(jì)算機(jī)與算法初步、C++語言程序設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)與算法、計(jì)算機(jī)原理與匯編語言、數(shù)據(jù)庫原理、操作系統(tǒng)、高校物理、集合與圖論、代數(shù)與規(guī)律、密碼學(xué)原理、編碼理論、信息論基礎(chǔ)、信息平安體系結(jié)構(gòu)、軟件工程、數(shù)字規(guī)律、計(jì)算機(jī)網(wǎng)絡(luò)等。除上述專業(yè)課外還開設(shè)了大量專業(yè)選修課，主要有：數(shù)據(jù)通信原理、信息平安概論、計(jì)算機(jī)網(wǎng)絡(luò)平安管理、數(shù)字鑒別及認(rèn)證系統(tǒng)、網(wǎng)絡(luò)平安檢測與防范技術(shù)、防火墻技術(shù)、病毒機(jī)制與防護(hù)技術(shù)、網(wǎng)絡(luò)平安協(xié)議與標(biāo)準(zhǔn)等。同學(xué)除要完成信息平安體系不同層次上的各種試驗(yàn)和課程設(shè)計(jì)外，還將在畢業(yè)設(shè)計(jì)中接受嚴(yán)格訓(xùn)練。隨著互聯(lián)網(wǎng)的快速進(jìn)展和信息化程度的不斷提高，互聯(lián)網(wǎng)深刻影響著政治、經(jīng)濟(jì)、文化等各個(gè)方面，保障信息平安的重要性日益凸顯，加強(qiáng)對互聯(lián)網(wǎng)上各類信息的管理應(yīng)引起高度重視。在系統(tǒng)平安方面，以提高防備、應(yīng)急處置力量為主的傳統(tǒng)平安管理已經(jīng)不能適應(yīng)新計(jì)算、新網(wǎng)絡(luò)、新應(yīng)用和新數(shù)據(jù)為新特征的信息平安產(chǎn)業(yè)進(jìn)展的需要。對此，需要針對形勢進(jìn)展，通過實(shí)行多種措施進(jìn)展和壯大中國信息平安產(chǎn)業(yè)。中國信息平安產(chǎn)業(yè)與國際先進(jìn)水平相比差距很大。美國、法國、英國、日本等國家信息平安產(chǎn)業(yè)進(jìn)展水平較高，中國信息平安行業(yè)的核心技術(shù)、關(guān)鍵裝備和應(yīng)用創(chuàng)新方面與其相比存在很大差距。信息產(chǎn)業(yè)鏈上下游行業(yè)在綜合實(shí)力、產(chǎn)品成熟度、產(chǎn)品國際市場占有率等方面，與國際先進(jìn)企業(yè)相比差距較大。面對嚴(yán)峻的網(wǎng)絡(luò)與信息平安問題，保障信息平安和加強(qiáng)信息平安產(chǎn)業(yè)的進(jìn)展迫切需要加強(qiáng)頂層設(shè)計(jì)，從政府引導(dǎo)和發(fā)揮企業(yè)樂觀性兩方面，推動(dòng)信息平安產(chǎn)業(yè)進(jìn)展。三、產(chǎn)品信息平安產(chǎn)業(yè)將步入高速進(jìn)展階段，而整個(gè)互聯(lián)網(wǎng)用戶對平安產(chǎn)品的要求也轉(zhuǎn)入“主動(dòng)性平安防備”。隨著用戶平安防范意識(shí)正在增加，主動(dòng)性平安產(chǎn)品將更受關(guān)注，主動(dòng)的平安防備將成為將來平安應(yīng)用的主流。終端方案終端平安解決方案是以終端平安愛護(hù)系統(tǒng)全方位綜合保障終端平安，并以數(shù)據(jù)平安愛護(hù)系統(tǒng)重點(diǎn)愛護(hù)終端敏感數(shù)據(jù)的平安。終端平安愛護(hù)系統(tǒng)以“主動(dòng)防備”理念為基礎(chǔ)，采納自主學(xué)問產(chǎn)權(quán)的基于標(biāo)識(shí)的認(rèn)證技術(shù)，以智能掌握和平安執(zhí)行雙重體系結(jié)構(gòu)為基礎(chǔ)，將全面平安策略與操作系統(tǒng)有機(jī)結(jié)合，通過對代碼、端口、網(wǎng)絡(luò)連接、移動(dòng)存儲(chǔ)設(shè)備接入、數(shù)據(jù)文件加密、行為審計(jì)分級(jí)掌握，實(shí)現(xiàn)操作系統(tǒng)加固及信息系統(tǒng)的自主、可控、可管理，保障終端系統(tǒng)及數(shù)據(jù)的平安。平安軟件數(shù)據(jù)平安愛護(hù)系統(tǒng)能夠?qū)崿F(xiàn)數(shù)據(jù)文檔的透亮?????加解密愛護(hù)，可指定類型文件加密、指定程序創(chuàng)建文件加密，杜絕文檔泄密。實(shí)現(xiàn)數(shù)據(jù)文檔的強(qiáng)制訪問掌握和統(tǒng)一管理掌握、敏感文件及加密密鑰的冗余存儲(chǔ)備份，包括文件權(quán)限管理、用戶管理、共享管理、外發(fā)管理、備份管理、審計(jì)管理等。對政府及企業(yè)的各種敏感數(shù)據(jù)文檔，包括設(shè)計(jì)文檔、設(shè)計(jì)圖紙、源代碼、營銷方案、財(cái)務(wù)報(bào)表及其他各種涉及企業(yè)商業(yè)隱秘的文檔，都能實(shí)現(xiàn)穩(wěn)妥有效的愛護(hù)。四、檢測網(wǎng)站網(wǎng)站平安檢測，也稱網(wǎng)站平安評(píng)估、網(wǎng)站漏洞測試、Web平安檢測等。它是通過技術(shù)手段對網(wǎng)站進(jìn)行漏洞掃描，檢測網(wǎng)頁是否存在漏洞、網(wǎng)頁是否掛馬、網(wǎng)頁有沒有被篡改、是否有欺詐網(wǎng)站等，提示網(wǎng)站管理員準(zhǔn)時(shí)修復(fù)和加固，保障web網(wǎng)站的平安運(yùn)行。1)注入攻擊檢測Web網(wǎng)站是否存在諸如SQL注入、SSI注入、Ldap注入、Xpath注入等漏洞，假如存在該漏洞，攻擊者對注入點(diǎn)進(jìn)行注入攻擊，可輕易獲得網(wǎng)站的后臺(tái)管理權(quán)限，甚至網(wǎng)站服務(wù)器的管理權(quán)限。2)XSS跨站腳本檢測Web網(wǎng)站是否存在XSS跨站腳本漏洞，假如存在該漏洞，網(wǎng)站可能患病Cookie哄騙、網(wǎng)頁掛馬等攻擊。3)網(wǎng)頁掛馬檢測Web網(wǎng)站是否被黑客或惡意攻擊者非法植入了木馬程序。4)緩沖區(qū)溢出檢測Web網(wǎng)站服務(wù)器和服務(wù)器軟件，是否存在緩沖區(qū)溢出漏洞，假如存在，攻擊者可通過此漏洞，獲得網(wǎng)站或服務(wù)器的管理權(quán)限。5)上傳漏洞檢測Web網(wǎng)站的上傳功能是否存在上傳漏洞，假如存在此漏洞，攻擊者可直接利用該漏洞上傳木馬獲得WebShell。6)源代碼泄露檢測Web網(wǎng)絡(luò)是否存在源代碼泄露漏洞，假如存在此漏洞，攻擊者可直接下載網(wǎng)站的源代碼。7)隱蔽名目泄露檢測Web網(wǎng)站的某些隱蔽名目是否存在泄露漏洞，假如存在此漏洞，攻擊者可了解網(wǎng)站的全部結(jié)構(gòu)。8)數(shù)據(jù)庫泄露檢測Web網(wǎng)站是否在數(shù)據(jù)庫泄露的漏洞，假如存在此漏洞，攻擊者通過暴庫等方式，可以非法下載網(wǎng)站數(shù)據(jù)庫。9)弱口令檢測Web網(wǎng)站的后臺(tái)管理用戶，以及前臺(tái)用戶，是否存在使用弱口令的狀況。10)管理地址泄露檢測Web網(wǎng)站是否存在管理地址泄露功能，假如存在此漏洞，攻擊者可輕易獲得網(wǎng)站的后臺(tái)管理地址。網(wǎng)絡(luò)1、結(jié)構(gòu)平安與網(wǎng)段劃分網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理力量具備冗余空間，滿意業(yè)務(wù)高峰期需要；依據(jù)機(jī)構(gòu)業(yè)務(wù)的特點(diǎn)，在滿意業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計(jì)網(wǎng)絡(luò)帶寬；2、網(wǎng)絡(luò)訪問掌握不允許數(shù)據(jù)帶通用協(xié)議通過。3、撥號(hào)訪問掌握不開放遠(yuǎn)程撥號(hào)訪問功能（如遠(yuǎn)程撥號(hào)用戶或移動(dòng)VPN用戶）。4、網(wǎng)絡(luò)平安審計(jì)記錄網(wǎng)絡(luò)設(shè)備的運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等大事的日期和時(shí)間、用戶、大事類型、大事是否勝利，及其他與審計(jì)相關(guān)的信息；5、邊界完整性檢查能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，精確?????定出位置，并對其進(jìn)行有效阻斷；能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，精確?????定出位置，并對其進(jìn)行有效阻斷。6、網(wǎng)絡(luò)入侵防范在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵大事的發(fā)生；當(dāng)檢測到入侵大事時(shí)，記錄入侵源IP、攻擊類型、攻擊目的、攻擊時(shí)間等，并在發(fā)生嚴(yán)峻入侵大事時(shí)供應(yīng)報(bào)警（如可實(shí)行屏幕實(shí)時(shí)提示、E-mail告警、聲音告警等幾種方式）及自動(dòng)實(shí)行相應(yīng)動(dòng)作。7、惡意代碼防范在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除；維護(hù)惡意代碼庫的升級(jí)和檢測系統(tǒng)的更新。8、網(wǎng)絡(luò)設(shè)備防護(hù)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；主要網(wǎng)絡(luò)設(shè)備對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別主機(jī)1、身份鑒別對登錄操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的用戶進(jìn)行身份標(biāo)識(shí)和鑒別；2、自主訪問掌握依據(jù)平安策略掌握主體對客體的訪問。3、強(qiáng)制訪問掌握應(yīng)對重要信息資源和訪問重要信息資源的全部主體設(shè)置敏感標(biāo)記；強(qiáng)制訪問掌握的掩蓋范圍應(yīng)包括與重要信息資源直接相關(guān)的全部主體、客體及它們之間的操作；強(qiáng)制訪問掌握的粒度應(yīng)達(dá)到主體為用戶級(jí)，客體為文件、數(shù)據(jù)庫表/記錄、字段級(jí)。4、可信路徑在系統(tǒng)對用戶進(jìn)行身份鑒別時(shí)，系統(tǒng)與用戶之間能夠建立一條平安的信息傳輸路徑。5、平安審計(jì)審計(jì)范圍掩蓋到服務(wù)器和重要客戶端上的每個(gè)操作系統(tǒng)用戶和數(shù)據(jù)庫用戶；審計(jì)內(nèi)容包括系統(tǒng)內(nèi)重要的平安相關(guān)大事。6、剩余信息愛護(hù)保證操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)用戶的鑒別信息所在的存儲(chǔ)空間，被釋放或再安排給其他用戶前得到完全清除，無論這些信息是存放在硬盤上還是在內(nèi)存中；確保系統(tǒng)內(nèi)的文件、名目和數(shù)據(jù)庫記錄等資源所在的存儲(chǔ)空間能夠檢測到對重要服務(wù)器進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)峻入侵大事時(shí)供應(yīng)報(bào)警；能夠?qū)χ匾绦蛲暾赃M(jìn)行檢測，并在檢測到完整性受到破壞后具有恢復(fù)的措施；操作系統(tǒng)遵循最小安裝的原則，僅安裝需要的組件和應(yīng)用程序，并通過設(shè)置升級(jí)服務(wù)器等方式保持系統(tǒng)補(bǔ)丁準(zhǔn)時(shí)得到更新。7、惡意代碼防范安裝防惡意代碼軟件，并準(zhǔn)時(shí)更新防惡意代碼軟件版本和惡意代碼庫；主機(jī)防惡意代碼產(chǎn)品具有與網(wǎng)絡(luò)防惡意代碼產(chǎn)品不同的惡意代碼庫；支持防惡意代碼的統(tǒng)一管理。8、資源掌握通過設(shè)定終端接入方式、網(wǎng)絡(luò)地址范圍等條件限制終端登錄；依據(jù)平安策略設(shè)置登錄終端的操作超時(shí)鎖定；對重要服務(wù)器進(jìn)行監(jiān)視，包括監(jiān)視服務(wù)器的CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用狀況；限制單個(gè)用戶對系統(tǒng)資源的最大或最小使用限度；當(dāng)系統(tǒng)的服務(wù)水平降低到預(yù)先規(guī)定的最小值時(shí)，能檢測和報(bào)警。數(shù)據(jù)庫主流數(shù)據(jù)庫的自身漏洞逐步暴露，數(shù)量浩大；僅CVE公布的Oracle漏洞數(shù)已達(dá)1100多個(gè)；數(shù)據(jù)庫漏掃可以檢測出數(shù)據(jù)庫的DBMS漏洞、缺省配置、權(quán)限提升漏洞、緩沖區(qū)溢出、補(bǔ)丁未升級(jí)等自身漏洞。五、主要威逼實(shí)現(xiàn)目標(biāo)◆真實(shí)性：對信息的來源進(jìn)行推斷，能對偽造來源的信息予以鑒別?！舯Ｃ苄裕罕ＷC機(jī)密信息不被竊聽，或竊聽者不能了解信息的真實(shí)含義?！敉暾裕罕ＷC數(shù)據(jù)的全都性，防止數(shù)據(jù)被非法用戶篡改?！艨捎眯裕罕ＷC合法用戶對信息和資源的使用不會(huì)被不正值地拒絕?！舨恍械仲囆裕航⒂行У呢?zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點(diǎn)在電子商務(wù)中是極其重要的?！艨烧莆招裕簩π畔⒌膫鞑ゼ皟?nèi)容具有掌握力量。平安威逼(1)信息泄露：信息被泄露或透露給某個(gè)非授權(quán)的實(shí)體。(2)破壞信息的完整性：數(shù)據(jù)被非授權(quán)地進(jìn)行增刪、修改或破壞而受到損失。(3)拒絕服務(wù)：對信息或其他資源的合法訪問被無條件地阻擋。(4)非法使用(非授權(quán)訪問)：某一資源被某個(gè)非授權(quán)的人，或以非授權(quán)的方式使用。(5)竊聽：用各種可能的合法或非法的手段竊取系統(tǒng)中的信息資源和敏感信息。例如對通信線路中傳輸?shù)男盘?hào)搭線監(jiān)聽，或者利用通信設(shè)備在工作過程中產(chǎn)生的電磁泄露截取有用信息等。(6)業(yè)務(wù)流分析：通過對系統(tǒng)進(jìn)行長期監(jiān)聽，利用統(tǒng)計(jì)分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數(shù)進(jìn)行討論，從中發(fā)覺有價(jià)值的信息和規(guī)律。(7)假冒：通過哄騙通信系統(tǒng)（或用戶）達(dá)到非法用戶冒充成為合法用戶，或者特權(quán)小的用戶冒充成為特權(quán)大的用戶的目的。黑客大多是采納假冒攻擊。(8)旁路掌握：攻擊者利用系統(tǒng)的平安缺陷或平安性上的脆弱之處獲得非授權(quán)的權(quán)利或特權(quán)。例如，攻擊者通過各種攻擊手段發(fā)覺原本應(yīng)保密，但是卻又暴露出來的一些系統(tǒng)“特性”，利用這些“特性”，攻擊者可以繞過防線保衛(wèi)者侵入系統(tǒng)的內(nèi)部。(9)授權(quán)侵害：被授權(quán)以某一目的使用某一系統(tǒng)或資源的某個(gè)人，卻將此權(quán)限用于其他非授權(quán)的目的，也稱作“內(nèi)部攻擊”。(10)特洛伊木馬：軟件中含有一個(gè)覺察不出的有害的程序段，當(dāng)它被執(zhí)行時(shí)，會(huì)破壞用戶的平安。這種應(yīng)用程序稱為特洛伊木馬(TrojanHorse)。(11)陷阱門：在某個(gè)系統(tǒng)或某個(gè)部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時(shí)，允許違反平安策略。(12)抵賴：這是一種來自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。(13)重放：出于非法目的，將所截獲的某次合法的通信數(shù)據(jù)進(jìn)行拷貝，而重新發(fā)送。(14)計(jì)算機(jī)病毒：一種在計(jì)算機(jī)系統(tǒng)運(yùn)行過程中能夠?qū)崿F(xiàn)傳染和侵害功能的程序。(15)人員不慎：一個(gè)授權(quán)的人為了某種利益，或由于馬虎，將信息泄露給一個(gè)非授權(quán)的人。(16)媒體廢棄：信息被從廢棄的磁碟或打印過的存儲(chǔ)介質(zhì)中獲得。(17)物理侵入：侵入者繞過物理掌握而獲得對系統(tǒng)的訪問。(18)竊?。褐匾钠桨参锲罚缌钆苹蛏矸菘ū槐I。(19)業(yè)務(wù)哄騙：某一偽系統(tǒng)或系統(tǒng)部件哄騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等。主要來源◆自然災(zāi)難、意外事故；◆計(jì)算機(jī)犯罪；◆人為錯(cuò)誤，比如使用不當(dāng)，平安意識(shí)差等；◆”黑客”行為；◆內(nèi)部泄密；◆外部泄密；◆信息丟失；◆電子諜報(bào)，比如信息流量分析、信息竊取等；◆信息戰(zhàn)；◆網(wǎng)絡(luò)協(xié)議自身缺陷，例如TCP/IP協(xié)議的平安問題等等；◆嗅探，sniff。嗅探器可以竊聽網(wǎng)絡(luò)上流經(jīng)的數(shù)據(jù)包。六、信息平安影響因素信息平安與技術(shù)的關(guān)系可以追溯到遠(yuǎn)古。埃及人在石碑上鐫刻了令人費(fèi)解的象形文字；斯巴達(dá)人使用一種稱為密碼棒的工具傳達(dá)軍事方案，羅馬時(shí)代的凱撒大帝是加密函的古代將領(lǐng)之一，“凱撒密碼”據(jù)傳是古羅馬凱撒大帝用來愛護(hù)重要軍情的加密系統(tǒng)。它是一種替代密碼，通過將字母按挨次推后3位起到加密作用，如將字母A換作字母D，將字母B換作字母E。英國計(jì)算機(jī)科學(xué)之父阿蘭·圖靈在英國布萊切利莊園關(guān)心破解了德國海軍的Enigma密電碼，轉(zhuǎn)變了二次世界大戰(zhàn)的進(jìn)程。美國NIST將信息平安掌握分為3類。（1）技術(shù)，包括產(chǎn)品和過程（例如防火墻、防病毒軟件、侵入檢測、加密技術(shù)）。（2）操作，主要包括加強(qiáng)機(jī)制和方法、訂正運(yùn)行缺陷、各種威逼造成的運(yùn)行缺陷、物理進(jìn)入掌握、備份力量、免予環(huán)境威逼的愛護(hù)。（3）管理，包括使用政策、員工培訓(xùn)、業(yè)務(wù)規(guī)劃、基于信息平安的非技術(shù)領(lǐng)域。信息系統(tǒng)平安涉及政策法規(guī)、教育、管理標(biāo)準(zhǔn)、技術(shù)等方面，任何單一層次的平安措施都不能供應(yīng)全方位的平安，平安問題應(yīng)從系統(tǒng)工程的角度來考慮。七、平安策略策略信息平安策略是指為保證供應(yīng)肯定級(jí)別的平安愛護(hù)所必需遵守的規(guī)章。實(shí)現(xiàn)信息平安，不但靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的平安管理，法律約束和平安教育：◆DG圖文檔加密：能夠智能識(shí)別計(jì)算機(jī)所運(yùn)行的涉密數(shù)據(jù)，并自動(dòng)強(qiáng)制對全部涉密數(shù)據(jù)進(jìn)行加密操作，而不需要人的參加，體現(xiàn)了平安面前人人公平，從根源解決信息泄密。◆先進(jìn)的信息平安技術(shù)是網(wǎng)絡(luò)平安的根本保證。用戶對自身面臨的威逼進(jìn)行風(fēng)險(xiǎn)評(píng)估，打算其所需要的平安服務(wù)種類，選擇相應(yīng)的平安機(jī)制，然后集成先進(jìn)的平安技術(shù)，形成一個(gè)全方位的平安系統(tǒng)；◆嚴(yán)格的平安管理。各計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu)，企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)平安管理方法，加強(qiáng)內(nèi)部管理，建立合適的網(wǎng)絡(luò)平安管理系統(tǒng)，加強(qiáng)用戶管理和授權(quán)管理，建立平安審計(jì)和跟蹤體系，提高整體網(wǎng)絡(luò)平安意識(shí)；◆制訂嚴(yán)格的法律、法規(guī)。計(jì)算機(jī)網(wǎng)絡(luò)是一種新生事物。它的很多行為無法可依，無章可循，導(dǎo)致網(wǎng)絡(luò)上計(jì)算機(jī)犯罪處于無序狀態(tài)。面對日趨嚴(yán)峻的網(wǎng)絡(luò)上犯罪，必需建立與網(wǎng)絡(luò)平安相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動(dòng)。主要問題◆網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題◆平安漏洞與平安對策問題◆信息平安保密問題◆系統(tǒng)內(nèi)部平安防范問題◆防病毒問題◆數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)問題八、相關(guān)技術(shù)在市場上比較流行，而又能夠代表將來進(jìn)展方向的平安產(chǎn)品大致有以下幾類：◆用戶身份認(rèn)證：是平安的第一道大門，是各種平安措施可以發(fā)揮作用的前提，身份認(rèn)證技術(shù)包括：靜態(tài)密碼、動(dòng)態(tài)密碼（短信密碼、動(dòng)態(tài)口令牌、手機(jī)令牌）、USBKEY、IC卡、數(shù)字證書、指紋虹膜等?！舴阑饓Γ悍阑饓υ谀撤N意義上可以說是一種訪問掌握產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與擔(dān)心全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻擋外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的擔(dān)心全訪問。主要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用擔(dān)心全的服務(wù)對內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它其本身可能存在平安問題，也可能會(huì)是一個(gè)潛在的瓶頸。◆網(wǎng)絡(luò)平安隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采納隔離卡來實(shí)現(xiàn)的，一種是采納網(wǎng)絡(luò)平安隔離網(wǎng)閘實(shí)現(xiàn)的。隔離卡主要用于對單臺(tái)機(jī)器的隔離，網(wǎng)閘主要用于對于整個(gè)網(wǎng)絡(luò)的隔離。這兩者的區(qū)分可參見參考資料。網(wǎng)絡(luò)平安隔離與防火墻的區(qū)分可參看參考資料?！羝桨猜酚善鳎河捎赪AN連接需要專用的路由器設(shè)備，因而可通過路由器來掌握網(wǎng)絡(luò)傳輸。通常采納訪問掌握列表技術(shù)來掌握網(wǎng)絡(luò)信息流?！籼摂M專用網(wǎng)(VPN)：虛擬專用網(wǎng)（VPN）是在公共數(shù)據(jù)網(wǎng)絡(luò)上，通過采納數(shù)據(jù)加密技術(shù)和訪問掌握技術(shù)，實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互聯(lián)。VPN的構(gòu)筑通常都要求采納具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞?！羝桨卜?wù)器：平安服務(wù)器主要針對一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)钠桨脖Ｃ軉栴}，其實(shí)現(xiàn)功能包括對局域網(wǎng)資源的管理和掌握，對局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中全部平安相關(guān)大事的審計(jì)和跟蹤?！綦娮雍炞C機(jī)構(gòu)--CA和PKI產(chǎn)品：電子簽證機(jī)構(gòu)（CA）作為通信的第三方，為各種服務(wù)供應(yīng)可信任的認(rèn)證服務(wù)。CA可向用戶發(fā)行電子簽證證書，為用戶供應(yīng)成員身份驗(yàn)證和密鑰管理等功能。PKI產(chǎn)品可以供應(yīng)更多的功能和更好的服務(wù)，將成為全部應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件?！羝桨补芾碇行模河捎诰W(wǎng)上的平安產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即平安管理中心。它用來給各網(wǎng)絡(luò)平安設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)平安設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)平安設(shè)備的審計(jì)信息等?！羧肭謾z測系統(tǒng)（IDS）：入侵檢測，作為傳統(tǒng)愛護(hù)機(jī)制（比如訪問掌握，身份識(shí)別等）的有效補(bǔ)充，形成了信息系統(tǒng)中不行或缺的反饋鏈?！羧肭址纻湎到y(tǒng)（IPS）：入侵防備，入侵防備系統(tǒng)作為IDS很好的補(bǔ)充，是信息平安進(jìn)展過程中占據(jù)重要位置的計(jì)算機(jī)網(wǎng)絡(luò)硬件?！羝桨矓?shù)據(jù)庫：由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫內(nèi)，有些信息是有價(jià)值的，也是敏感的，需要愛護(hù)。平安數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、牢靠性、有效性、機(jī)密性、可審計(jì)性及存取掌握與用戶身份識(shí)別等?！羝桨膊僮飨到y(tǒng)：給系統(tǒng)中的關(guān)鍵服務(wù)器供應(yīng)平安運(yùn)行平臺(tái)，構(gòu)成平安WWW服務(wù)，平安FTP服務(wù)，平安SMTP服務(wù)等，并作為各類網(wǎng)絡(luò)平安產(chǎn)品的堅(jiān)實(shí)底座，確保這些平安產(chǎn)品的自身平安?！鬌G圖文檔加密:能夠智能識(shí)別計(jì)算機(jī)所運(yùn)行的涉密數(shù)據(jù)，并自動(dòng)強(qiáng)制對全部涉密數(shù)據(jù)進(jìn)行加密操作，而不需要人的參加。體現(xiàn)了平安面前人人公平。從根源解決信息泄密。信息平安行業(yè)中的主流技術(shù)如下：1、病毒檢測與清除技術(shù)2、平安防護(hù)技術(shù)包含網(wǎng)絡(luò)防護(hù)技術(shù)（防火墻、UTM、入侵檢測防備等）；應(yīng)用防護(hù)技術(shù)（如應(yīng)用程序接口平安技術(shù)等）；系統(tǒng)防護(hù)技術(shù)（如防篡改、系統(tǒng)備份與恢復(fù)技術(shù)等），防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部資源，愛護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的相關(guān)技術(shù)。3、平安審計(jì)技術(shù)包含日志審計(jì)和行為審計(jì)，通過日志審計(jì)幫助管理員在受到攻擊后察看網(wǎng)絡(luò)日志，從而評(píng)估網(wǎng)絡(luò)配置的合理性、平安策略的有效性，追溯分析平安攻擊軌跡，并能為實(shí)時(shí)防備供應(yīng)手段。通過對員工或用戶的網(wǎng)絡(luò)行為審計(jì)，確認(rèn)行為的合規(guī)性，確保信息及網(wǎng)絡(luò)使用的合規(guī)性。4、平安檢測與監(jiān)控技術(shù)對信息系統(tǒng)中的流量以及應(yīng)用內(nèi)容進(jìn)行二至七層的檢測并適度監(jiān)管和掌握，避開網(wǎng)絡(luò)流量的濫用、垃圾信息和有害信息的傳播。5、解密、加密技術(shù)在信息系統(tǒng)的傳輸過程或存儲(chǔ)過程中進(jìn)行信息數(shù)據(jù)的加密和解密。6、身份認(rèn)證技術(shù)用來確定訪問或介入信息系統(tǒng)用戶或者設(shè)備身份的合法性的技術(shù)，典型的手段有用戶名口令、身份識(shí)別、PKI證書和生物認(rèn)證等。信息平安服務(wù)信息平安服務(wù)是指為確保信息和信息系統(tǒng)的完整性、保密性和可用性所供應(yīng)的信息技術(shù)專業(yè)服務(wù)，包括對信息系統(tǒng)平安的的詢問、集成、監(jiān)理、測評(píng)、認(rèn)證、運(yùn)維、審計(jì)、培訓(xùn)和風(fēng)險(xiǎn)評(píng)估、容災(zāi)備份、應(yīng)急響應(yīng)等工作基本功能信息平安可以建立、實(shí)行有效的技術(shù)和管理手段，愛護(hù)計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)硬件、軟件、數(shù)據(jù)及應(yīng)用等不因偶然或惡意的緣由而遭到破壞、更改和泄漏，保障信息系統(tǒng)能夠連續(xù)、正常運(yùn)行。一個(gè)平安有效的計(jì)算機(jī)信息系統(tǒng)可以同時(shí)支持機(jī)密性、真實(shí)性、可控性、可用性這四個(gè)核心平安屬性，而供應(yīng)信息平安業(yè)務(wù)的基本目標(biāo)就是關(guān)心信息系統(tǒng)實(shí)現(xiàn)上述全部或大部分內(nèi)容。平安問題電子商務(wù)平安從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)平安和商務(wù)交易平安。（一）計(jì)算機(jī)網(wǎng)絡(luò)平安的內(nèi)容包括：（1）未進(jìn)行操作系統(tǒng)相關(guān)平安配置不論采納什么操作系統(tǒng)，在缺省安裝的條件下都會(huì)存在一些平安問題，只有特地針對操作系統(tǒng)平安性進(jìn)行相關(guān)的和嚴(yán)格的平安配置，才能達(dá)到肯定的平安程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強(qiáng)的密碼系統(tǒng)就算作平安了。網(wǎng)絡(luò)軟件的漏洞和“后門”是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。（2）未進(jìn)行CGI程序代碼審計(jì)假如是通用的CGI問題，防范起來還略微簡單一些，但是對于網(wǎng)站或軟件供應(yīng)商特地開發(fā)的一些CGI程序，許多存在嚴(yán)峻的CGI問題，對于電子商務(wù)站點(diǎn)來說，會(huì)消失惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購物等嚴(yán)峻后果。（3）拒絕服務(wù)（DoS，DenialofService）攻擊隨著電子商務(wù)的興起，對網(wǎng)站的實(shí)時(shí)性要求越來越高，DoS或DDoS對網(wǎng)站的威逼越來越大。以網(wǎng)絡(luò)癱瘓為目標(biāo)的攻擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)斗方式都來得更劇烈，破壞性更大，造成危害的速度更快，范圍也更廣，而攻擊者本身的風(fēng)險(xiǎn)卻特別小，甚至可以在攻擊開頭前就已經(jīng)消逝得無影無蹤，使對方?jīng)]有實(shí)行報(bào)復(fù)打擊的可能。（4）平安產(chǎn)品使用不當(dāng)雖然不少網(wǎng)站采納了一些網(wǎng)絡(luò)平安設(shè)備，但由于平安產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。許多平安廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對一般網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動(dòng)，需要改動(dòng)相關(guān)平安產(chǎn)品的設(shè)置時(shí)，很簡單產(chǎn)生很多平安問題。（5）缺少嚴(yán)格的網(wǎng)絡(luò)平安管理制度網(wǎng)絡(luò)平安最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的平安需要用完備的平安制度來保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)平安制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)平安的基礎(chǔ)。（二）計(jì)算機(jī)商務(wù)交易平安的內(nèi)容包括：（1）竊取信息由于未采納加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。（2）篡改信息當(dāng)入侵者把握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新奇，在路由器或網(wǎng)關(guān)上都可以做此類工作。（3）假冒由于把握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獵取信息，而遠(yuǎn)端用戶通常很難辨別。（4）惡意破壞由于攻擊者可以接入網(wǎng)