電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù)課件

1、電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),第二篇 電子商務(wù)安全技術(shù),電子商務(wù)安全技術(shù) Security Techniques Of Electronic Commerce,第四章 網(wǎng)絡(luò)信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),第四章 網(wǎng)絡(luò)信息安全技術(shù),4.3 實(shí)訓(xùn),4.2 信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),4.1.5 入侵檢測(cè)系統(tǒng),4.1.2 防火墻,4.1.1 網(wǎng)絡(luò)設(shè)備安全,4.1.3 VPN、VPDN安全,4.1.4 無(wú)線(xiàn)網(wǎng)絡(luò)安全,電子商務(wù)安全技術(shù)第四章網(wǎng)

2、絡(luò)信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.1 網(wǎng)絡(luò)設(shè)備安全 交換機(jī)安全 交換機(jī)在電子商務(wù)中占有重要的地位，通常是整個(gè)網(wǎng)絡(luò)的核心所在。交換機(jī)最重要的作用就是轉(zhuǎn)發(fā)數(shù)據(jù)，在黑客攻擊和病毒侵?jǐn)_下，交換機(jī)要能夠繼續(xù)保持其高效的數(shù)據(jù)轉(zhuǎn)發(fā)速率，不受到攻擊的干擾，這就是交換機(jī)所需要的最基本的安全功能。同時(shí)，交換機(jī)作為整個(gè)網(wǎng)絡(luò)的核心，應(yīng)該能對(duì)訪(fǎng)問(wèn)和存取網(wǎng)絡(luò)信息的用戶(hù)進(jìn)行區(qū)分和權(quán)限控制。更重要的是，交換機(jī)還應(yīng)該配合其他網(wǎng)絡(luò)安全設(shè)備，對(duì)非授權(quán)訪(fǎng)問(wèn)和網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控和阻止,4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.1 網(wǎng)絡(luò)設(shè)備安全 交換機(jī)安全 病

3、毒過(guò)濾技術(shù) 基于A(yíng)CL的報(bào)文過(guò)濾技術(shù) CPU過(guò)載保護(hù)技術(shù) 廣播風(fēng)暴控制功能 VLAN技術(shù) 基于802.1X的接入控制技術(shù) 交換機(jī)與IDS系統(tǒng)的聯(lián)動(dòng),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.1 網(wǎng)絡(luò)設(shè)備安全 路由器 路由器是給網(wǎng)絡(luò)中數(shù)據(jù)傳輸指路的機(jī)器，路由器是互聯(lián)網(wǎng)絡(luò)中必不可少的網(wǎng)絡(luò)設(shè)備之一，是一種連接多個(gè)網(wǎng)絡(luò)或網(wǎng)段的網(wǎng)絡(luò)設(shè)備，路由器能夠?qū)⒉煌W(wǎng)絡(luò)或網(wǎng)段之間的數(shù)據(jù)信息進(jìn)行“翻譯”，以使它們能夠 相互“讀”懂對(duì)方的數(shù)據(jù)，從而構(gòu)成一個(gè)更大的網(wǎng)絡(luò),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.1 網(wǎng)絡(luò)設(shè)備安全 路由器的基本功能 網(wǎng)絡(luò)互連：路由器支持

4、各種局域網(wǎng)和廣域網(wǎng)接口，主要用于互連局域網(wǎng)和廣域網(wǎng)，實(shí)現(xiàn)不同網(wǎng)絡(luò)互相通信； 數(shù)據(jù)處理：提供包括分組過(guò)濾、分組轉(zhuǎn)發(fā)、優(yōu)先級(jí)、復(fù)用、加密、壓縮和防火墻等功能； 網(wǎng)絡(luò)管理：路由器提供包括路由器配置管理、性能管理、容錯(cuò)管理和流量控制等功能,4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.1 網(wǎng)絡(luò)設(shè)備安全 路由器設(shè)備功能劃分 路由器設(shè)備從功能上可以劃分為數(shù)據(jù)平面、控制/信令平面和管理平面，也可以從協(xié)議系統(tǒng)的角度按TCP/IP協(xié)議的層次進(jìn)行劃分。（見(jiàn)右圖,4.1 網(wǎng)絡(luò)安全技術(shù),圖4-2 路由器系統(tǒng)框架圖,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.1 網(wǎng)絡(luò)設(shè)備安全 路由器的面臨威

5、脅 對(duì)數(shù)據(jù)平面來(lái)說(shuō)，其功能是負(fù)責(zé)處理進(jìn)入設(shè)備的數(shù)據(jù)流，它有可能受到基于流量的攻擊，如大流量攻擊、畸形報(bào)文攻擊。 對(duì)控制/信令平面來(lái)說(shuō)受到的主要威脅來(lái)自對(duì)路由信息的竊取，對(duì)IP地址的偽造等，這會(huì)造成網(wǎng)絡(luò)路由信息的泄漏或?yàn)E用。 對(duì)系統(tǒng)管理平面來(lái)說(shuō)，威脅來(lái)自于兩個(gè)方面，一個(gè)是系統(tǒng)管理所使用的協(xié)議（如Telnet協(xié)議、HTTP協(xié)議等）的漏洞，另一個(gè)是不嚴(yán)密的管理，如設(shè)備管理賬號(hào)的泄露等,4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.2 防火墻 防火墻指隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類(lèi)防范措施的總稱(chēng)

6、，是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之防火墻間的一系列部件（軟件、硬件）的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施,4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.2 防火墻,4.1 網(wǎng)絡(luò)安全技術(shù),圖4-3 防火墻的結(jié)構(gòu)組成圖,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.2 防火墻 防火墻的作用 可以限制他人進(jìn)入內(nèi)部網(wǎng)絡(luò),過(guò)濾掉不安全服務(wù)和非法用戶(hù). 防止入侵者接近用戶(hù)防御設(shè)施 限定

7、用戶(hù)訪(fǎng)問(wèn)特殊站點(diǎn) 為監(jiān)視Internet安全提供方便,4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.2 防火墻 防火墻的種類(lèi) 網(wǎng)絡(luò)級(jí)防火墻 應(yīng)用級(jí)網(wǎng)關(guān) 電路級(jí)網(wǎng)關(guān) 規(guī)則檢查防火墻,4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.2 防火墻 防火墻的技術(shù) 包過(guò)濾技術(shù) 應(yīng)用代理技術(shù) 狀態(tài)監(jiān)視技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.3 VPN、VPDN安全,4.1 網(wǎng)絡(luò)安全技術(shù),虛擬專(zhuān)用網(wǎng)（VPN）技術(shù)是一種在公用互聯(lián)網(wǎng)絡(luò)上構(gòu)造企業(yè)專(zhuān)用網(wǎng)絡(luò)的技術(shù)。通過(guò)VPN

8、技術(shù)，可以實(shí)現(xiàn)企業(yè)不同網(wǎng)絡(luò)的組件和資源之間的相互連接，它能夠利用Internet或其他公共互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶(hù)創(chuàng)建隧道，并提供與專(zhuān)用網(wǎng)絡(luò)一樣的安全和功能保障。虛擬專(zhuān)用網(wǎng)絡(luò)允許遠(yuǎn)程通信方、銷(xiāo)售人員或企業(yè)分支機(jī)構(gòu)使用Internet等公共互聯(lián)網(wǎng)絡(luò)的路由基礎(chǔ)設(shè)計(jì)，以安全的方式與位于企業(yè)內(nèi)部網(wǎng)內(nèi)的服務(wù)器建立連接。VPN對(duì)用戶(hù)端透明，用戶(hù)好象使用一條專(zhuān)用路線(xiàn)在客戶(hù)計(jì)算機(jī)和企業(yè)服務(wù)器之間建立點(diǎn)對(duì)點(diǎn)連接，進(jìn)行數(shù)據(jù)的傳輸,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),圖4-6 虛擬專(zhuān)用網(wǎng)結(jié)構(gòu)圖,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.3 VPN、VPDN安全 VPN、VPDN原理,

9、4.1 網(wǎng)絡(luò)安全技術(shù),在資源共享處放置一臺(tái)VPN的服務(wù)器（如一臺(tái)Windows NT或支持VPN的路由器）就可以了； 用戶(hù)通過(guò)PSTN連入本地POP服務(wù)器，呼叫企業(yè)遠(yuǎn)程服務(wù)器（VPN服務(wù)器），呼叫的方式同PSTN連接的呼叫方式； ISP的接入服務(wù)器完成其余工作,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.3 VPN、VPDN安全 VPN的建立過(guò)程,4.1 網(wǎng)絡(luò)安全技術(shù),用戶(hù)通過(guò)PSTN網(wǎng)撥入ISP的NAS Server； NAS服務(wù)器通過(guò)用戶(hù)名或接入號(hào)碼識(shí)別出該用戶(hù)是否為VPDN用戶(hù)； 若是，就和用戶(hù)的目的VPDN服務(wù)器建立一條連接，稱(chēng)為隧道； 將用戶(hù)數(shù)據(jù)包封裝成IP報(bào)文； 從該隧道傳送給

10、VPN服務(wù)器； VPDN服務(wù)器收到數(shù)據(jù)包并拆封,圖4-7 VPN建立結(jié)構(gòu)圖,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.3 VPN、VPDN安全 VPDN的建立過(guò)程,4.1 網(wǎng)絡(luò)安全技術(shù),服務(wù)提供商和企業(yè)從ISP那里租用VPDN撥號(hào)服務(wù)器。 ISP和服務(wù)提供商和企業(yè)共同決定所提供服務(wù)的級(jí)別。服務(wù)提供商的需求比較簡(jiǎn)單，他只需要ISP能夠把遠(yuǎn)程用戶(hù)發(fā)起的呼叫傳送到本地網(wǎng)絡(luò)。 企業(yè)要求更多的VPDN服務(wù)。他們從ISP那里租用IP地址空間，并租用L2TP網(wǎng)絡(luò)服務(wù)器（L2TP Network Server，LNS），企業(yè)需要和ISP簽訂配置和維護(hù)這些設(shè)備的合同。 在建立從L2TP訪(fǎng)問(wèn)集中器（L2TP

11、 Access Concentrator，LAC）到LNS之間的隧道方面，合作伙伴也一起參加配置工作。 一旦合作伙伴驗(yàn)證了VPDN的工作是正常的，服務(wù)提供商和企業(yè)就可以在他們的LNS上配置用戶(hù)名和口令,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.4 無(wú)線(xiàn)網(wǎng)絡(luò)安全,4.1 網(wǎng)絡(luò)安全技術(shù),無(wú)線(xiàn)網(wǎng)絡(luò)種類(lèi) 多通道多點(diǎn)分配業(yè)務(wù)（MMDS） 本地多點(diǎn)分配業(yè)務(wù)（LMDS） 無(wú)線(xiàn)局域網(wǎng),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1 網(wǎng)絡(luò)安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.5 入侵檢測(cè)系統(tǒng),4.1 網(wǎng)絡(luò)安全技術(shù),入侵檢測(cè)系

12、統(tǒng)（Intrusion Detection System，IDS）定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別和相應(yīng)處理的系統(tǒng)。它通過(guò)對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行監(jiān)視，提供實(shí)時(shí)的入侵監(jiān)測(cè)，并采取相應(yīng)的防護(hù)手段。入侵檢測(cè)系統(tǒng)的模型如右圖所示，它的目的在于監(jiān)測(cè)可能存在的攻擊行為，包括來(lái)自系統(tǒng)外部的入侵行為和來(lái)自?xún)?nèi)部用戶(hù)的非授權(quán)行為,圖4-9 入侵檢測(cè)系統(tǒng)模型圖,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.5 入侵檢測(cè)系統(tǒng),4.1 網(wǎng)絡(luò)安全技術(shù),入侵檢測(cè)系統(tǒng)的功能 監(jiān)視用戶(hù)和系統(tǒng)的運(yùn)行狀態(tài)，查找非法用戶(hù)和合法用戶(hù)的越權(quán)操作； 檢測(cè)系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞； 對(duì)用戶(hù)的非正?；顒?dòng)進(jìn)行統(tǒng)

13、計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律； 系統(tǒng)程序和數(shù)據(jù)的一致性與正確性檢查； 識(shí)別攻擊的活動(dòng)模式，并向網(wǎng)管人員報(bào)警； 操作系統(tǒng)審計(jì)跟蹤管理，識(shí)別違反政策的用戶(hù)活動(dòng),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.5 入侵檢測(cè)系統(tǒng),4.1 網(wǎng)絡(luò)安全技術(shù),入侵檢測(cè)系統(tǒng)的分類(lèi) NIDS SIV LFM Honeypots,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.1.5 入侵檢測(cè)系統(tǒng),4.1 網(wǎng)絡(luò)安全技術(shù),入侵檢測(cè)技術(shù)發(fā)展方向 分布式入侵檢測(cè) 智能化入侵檢測(cè) 全面的安全防御方案,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2 信息安全技術(shù),4.2.5 信息安全架構(gòu),4.2.2 加密技術(shù),4.2.1 TCP/

14、IP協(xié)議簡(jiǎn)介,4.2.3 認(rèn)證與授權(quán)技術(shù),4.2.4 網(wǎng)絡(luò)病毒,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.1 TCP/IP 協(xié)議簡(jiǎn)介,4.2 信息安全技術(shù),TCP/IP協(xié)議（Transmission Control Protocol/Internet Protocol）叫做傳輸控制/網(wǎng)際協(xié)議，又叫做網(wǎng)絡(luò)通訊協(xié)議，這個(gè)協(xié)議是Internet國(guó)際互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)。從協(xié)議分層模型方面來(lái)講，TCP/IP由四個(gè)層次組成：網(wǎng)絡(luò)接口層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。TCP/IP協(xié)議族的四個(gè)層次如右圖所示,圖4-10 TCP/IP協(xié)議族的四個(gè)層次,電

15、子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),4.2 信息安全技術(shù),加密一般是利用信息變換規(guī)則把可懂的信息變成不可懂的信息，其中的變換規(guī)則稱(chēng)為加密算法，算法中的可變參數(shù)稱(chēng)為密鑰。衡量一個(gè)加密技術(shù)的可靠性，主要取決于解密過(guò)程的數(shù)學(xué)難度，而不是對(duì)加密算法的保密。當(dāng)然可靠性還與密鑰的長(zhǎng)度有關(guān)。加密技術(shù)示意圖如圖4-11所示，加密和解密的一般過(guò)程如圖4-12所示,圖4-11 加密技術(shù)示意圖,圖4-12 加密和解密的一般過(guò)程,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),4.2 信息安全技術(shù),對(duì)稱(chēng)加密技術(shù),在對(duì)稱(chēng)

16、密碼體制中，其中加密密鑰與解密密鑰是相同的，對(duì)稱(chēng)密碼技術(shù)如右圖所示。對(duì)稱(chēng)密碼體制的優(yōu)點(diǎn)是具有很高的保密強(qiáng)度，可以達(dá)到經(jīng)受?chē)?guó)家級(jí)破譯力量的分析和攻擊，但它的密鑰必須通過(guò)安全可靠的途徑傳遞。由于密鑰管理成為影響系統(tǒng)安全的關(guān)鍵性因素，使它難以滿(mǎn)足系統(tǒng)的開(kāi)放性要求,圖4-13 對(duì)稱(chēng)密碼技術(shù)圖,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),對(duì)稱(chēng)加密技術(shù),對(duì)稱(chēng)加密算法優(yōu)點(diǎn)：1.算法公開(kāi) 2.計(jì)算量小 3.加密速度快 4.加密效率高。 對(duì)稱(chēng)加密算法的不足： 交易雙方都使用同樣鑰匙，安全性得不到保證； 每對(duì)用戶(hù)每次使用對(duì)稱(chēng)加密算法時(shí)，都需要使用其他人不知道的唯一鑰匙，這會(huì)使得發(fā)收信雙方所擁有的

17、鑰匙數(shù)量成幾何級(jí)數(shù)增長(zhǎng)，密鑰管理成為用戶(hù)的負(fù)擔(dān)； 對(duì)稱(chēng)加密算法在分布式網(wǎng)絡(luò)系統(tǒng)上使用較為困難，主要是因?yàn)槊荑€管理困難，使用成本較高； 對(duì)稱(chēng)加密算法不能實(shí)現(xiàn)數(shù)字簽名,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),非對(duì)稱(chēng)加密技術(shù),為了解決對(duì)稱(chēng)密碼體制的密鑰分配的問(wèn)題，以及滿(mǎn)足對(duì)數(shù)字簽名的需求，20世紀(jì)70年代產(chǎn)生了非對(duì)稱(chēng)密碼體制，非對(duì)稱(chēng)加密技術(shù)如圖4-14所示。在這種密碼體制下，人們把加密過(guò)程和解密過(guò)程設(shè)計(jì)成不同的途徑，當(dāng)算法公開(kāi)時(shí)，在計(jì)算上不可能由加密密鑰求得解密密鑰，因而加密密鑰可以公開(kāi)，而只需秘密保存解密密鑰即可,圖4-14 非對(duì)稱(chēng)加密技術(shù)圖,4.2 信

18、息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),非對(duì)稱(chēng)加密技術(shù),在非對(duì)稱(chēng)密碼體制中，最具代表性的算法當(dāng)數(shù)RSA。該體制的思想是基于大整數(shù)因子分解的困難性，而大整數(shù)因子分解問(wèn)題是數(shù)學(xué)史上的著名難題，至今仍沒(méi)有有效的方法予以解決，因此在某種程度上能夠確保RSA加密算法的安全。在采用RSA加密算法的系統(tǒng)中，每個(gè)用戶(hù)都有兩個(gè)密鑰：一個(gè)公共密鑰，一個(gè)是秘密密鑰。這種方式非常適合用于密鑰分發(fā)、數(shù)字簽名、鑒別等。缺點(diǎn)是計(jì)算量大，加密速度慢。RSA加密技術(shù)如圖4-15所示,圖4-15 RSA加密技術(shù)示例圖,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密

19、技術(shù),對(duì)稱(chēng)加密技術(shù)與非對(duì)稱(chēng)加密技術(shù)的對(duì)比,表4-5 對(duì)稱(chēng)加密技術(shù)與非對(duì)稱(chēng)加密技術(shù)對(duì)比表,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),PGP加密技術(shù),PGP（Pretty Good Privacy）是一個(gè)基于RSA非對(duì)稱(chēng)加密體系的郵件加密算法，它可以用來(lái)對(duì)郵件加密以防止非授權(quán)者閱讀，還能對(duì)郵件加上數(shù)字簽名而使收信人可以確信郵件的發(fā)送人。PGP用的是RSA和傳統(tǒng)加密的雜合算法。所謂“雜合”體現(xiàn)在它包含：一個(gè)對(duì)稱(chēng)加密算法（IDEA）、一個(gè)非對(duì)稱(chēng)加密算法（RSA）、一個(gè)單向散列算法（MD5）以及一個(gè)隨機(jī)數(shù)產(chǎn)生器（從用戶(hù)擊鍵頻率產(chǎn)生偽隨機(jī)數(shù)序列的種子）。實(shí)際上PG

20、P是用一個(gè)隨機(jī)生成密匙（每次加密不同）用IDEA算法對(duì)明文加密，然后用RSA算法對(duì)該密匙加密。這樣收件人同樣是用RSA解密出這個(gè)隨機(jī)密匙，再用IDEA解密郵件本身。這樣的鏈?zhǔn)郊用芫妥龅搅思扔蠷SA體系的保密性，又有IDEA算法的快捷性,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),PGP的主要功能 加密文件：使用強(qiáng)大的IDEA加密算法對(duì)存儲(chǔ)在計(jì)算機(jī)上的文件加密，經(jīng)過(guò)加密的文件只能由知道密鑰的人解密閱讀； 密鑰生成和管理：PGP可以生成私有密鑰和公共密鑰，有256位、512位和1024位三種長(zhǎng)度選擇，并對(duì)生成的密鑰具有查看、編輯、刪除和對(duì)密鑰簽名等功能； 數(shù)字簽名和認(rèn)證：PGP可

21、以對(duì)文件或電子郵件作數(shù)字簽名，也可以鑒別真?zhèn)?4.2 信息安全技術(shù),4.2.2 加密技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),混合加密技術(shù),混合加密是一種加密方案，在該方案中，數(shù)據(jù)加密通過(guò)對(duì)稱(chēng)加密和非對(duì)稱(chēng)加密的組合實(shí)現(xiàn)?；旌霞用芊椒ɡ昧藢?duì)稱(chēng)加密和非對(duì)稱(chēng)加密兩種方法的優(yōu)點(diǎn)，從而幫助確保只有預(yù)期的接收方才能讀數(shù)據(jù),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),混合加密技術(shù)的步驟,文件發(fā)送方產(chǎn)生一個(gè)對(duì)稱(chēng)密鑰，并將其用接收方的公鑰加密后，通過(guò)網(wǎng)絡(luò)傳送給接收方； 文件發(fā)送方用對(duì)稱(chēng)密鑰將文件加密后，通過(guò)網(wǎng)絡(luò)傳送給接收方； 接收方用私鑰將加密

22、的對(duì)稱(chēng)密鑰進(jìn)行解密，得到發(fā)送方的對(duì)稱(chēng)密鑰； 接收方用得到的對(duì)稱(chēng)密鑰將加密的文件進(jìn)行解密，從而得到原文,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),混合加密技術(shù)的加密過(guò)程,在混合加密方案中，將對(duì)稱(chēng)加密與一個(gè)隨機(jī)生成的密鑰結(jié)合使用來(lái)加密數(shù)據(jù)。此步驟利用了對(duì)稱(chēng)加密速度快的優(yōu)點(diǎn)。然后，通過(guò)使用非對(duì)稱(chēng)密鑰對(duì)的公鑰，將此對(duì)稱(chēng)加密密鑰加密。此步驟利用了非對(duì)稱(chēng)加密安全性更高的優(yōu)點(diǎn)。經(jīng)過(guò)加密的數(shù)據(jù)與經(jīng)過(guò)加密的對(duì)稱(chēng)密鑰一起發(fā)送給數(shù)據(jù)接收方。圖4-16顯示了混合加密流程,圖4-16 混合加密流程圖,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密

23、技術(shù),混合加密技術(shù)的解密過(guò)程,解密過(guò)程:接收方首先需要使用非對(duì)稱(chēng)密鑰對(duì)的私鑰，將對(duì)稱(chēng)加密密鑰解密。然后，接收方使用經(jīng)過(guò)解密的對(duì)稱(chēng)密鑰將數(shù)據(jù)解密。圖4 -17說(shuō)明了混合解密流程,圖4-16 混合解密流程圖,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 加密技術(shù),量子加密技術(shù),上世紀(jì)下半葉以來(lái)，科學(xué)家們?cè)凇昂Ｉy(cè)不準(zhǔn)原理”和“單量子不可復(fù)制定理”之上，逐漸建立了量子密碼術(shù)的概念。量子加密技術(shù)突破了傳統(tǒng)加密方法的束縛，以量子狀態(tài)作為密鑰具有不可復(fù)制性，可以說(shuō)是“絕對(duì)安全”的。任何截獲或測(cè)試量子密鑰的操作都會(huì)改變量子狀態(tài)。這樣截獲者得到的只是無(wú)意義的信息，而信息的合法接收

24、者也可以從量子態(tài)的改變知道密鑰曾被截取過(guò)?？茖W(xué)家希望將來(lái)可以實(shí)現(xiàn)遠(yuǎn)距離、高速率的量子密碼傳輸。這樣就可以利用衛(wèi)星來(lái)傳遞信息，并在全球范圍內(nèi)建立起保密的信息交換體系,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.2 認(rèn)證與授權(quán)技術(shù),認(rèn)證技術(shù)是信息安全理論與技術(shù)的一個(gè)重要方面，也是電子商務(wù)安全的主要實(shí)現(xiàn)技術(shù)。采用認(rèn)證技術(shù)可以直接滿(mǎn)足身份認(rèn)證、信息完整性、不可否認(rèn)和不可修改等多項(xiàng)網(wǎng)上交易的安全需求，較好地避免了網(wǎng)上交易面臨的假冒、篡改、抵賴(lài)、偽造等種種威脅。認(rèn)證技術(shù)主要涉及身份認(rèn)證和報(bào)文認(rèn)證兩個(gè)方面的內(nèi)容。身份認(rèn)證

25、用于鑒別用戶(hù)身份，報(bào)文認(rèn)證用于保證通信雙方的不可抵賴(lài)性和信息的完整性。在某些情況下，信息認(rèn)證顯得比信息保密更為重要。 目前，在電子商務(wù)中廣泛使用的認(rèn)證方法和手段主要有PKI技術(shù)、數(shù)字簽名、數(shù)字摘要、數(shù)字證書(shū)、CA安全認(rèn)證體系，以及其他一些身份認(rèn)證技術(shù)和報(bào)文認(rèn)證技術(shù),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),報(bào)文驗(yàn)證,報(bào)文認(rèn)證用于保證通信雙方的不可抵賴(lài)性和信息的完整性，它是指通信雙方之間建立通信聯(lián)系后，每個(gè)通信者對(duì)收到的信息進(jìn)行驗(yàn)證，以保證所收到的信息是真實(shí)的過(guò)程。驗(yàn)證的內(nèi)容包括： 證實(shí)報(bào)文是由指定的發(fā)送方產(chǎn)生的； 證實(shí)報(bào)文的內(nèi)容沒(méi)有被修改過(guò)（即證

26、實(shí)報(bào)文的完整性）； 確認(rèn)報(bào)文的序號(hào)和時(shí)間是正確的,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),PKI技術(shù),1976年，Whitfield Diffie和Martin Hellman提出了公開(kāi)密鑰理論，奠定了PKI體系的基礎(chǔ)。PKI（Public Key Infrastructure）即公開(kāi)密鑰體系，是一個(gè)利用現(xiàn)代密碼學(xué)的公鑰密碼技術(shù)、并在開(kāi)放的Internet網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密以及數(shù)字簽名服務(wù)的、統(tǒng)一的技術(shù)框架,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),Windows PKI公鑰基礎(chǔ)結(jié)構(gòu),Wind

27、ows證書(shū)服務(wù)的一個(gè)單獨(dú)組件是證書(shū)頒發(fā)機(jī)構(gòu)的Web注冊(cè)頁(yè)，這些網(wǎng)頁(yè)是在安裝證書(shū)頒發(fā)機(jī)構(gòu)時(shí)默認(rèn)安裝的，它允許證書(shū)請(qǐng)求者使用Web瀏覽器提出證書(shū)請(qǐng)求。此外，證書(shū)頒發(fā)機(jī)構(gòu)網(wǎng)頁(yè)可以安裝在未安裝證書(shū)頒發(fā)機(jī)構(gòu)的Windows 2000服務(wù)器上,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),圖4-18 使用公開(kāi)密鑰理論進(jìn)行密鑰交換的過(guò)程圖,圖4-19 公開(kāi)密鑰算法實(shí)現(xiàn)通信雙方身份驗(yàn)證過(guò)程圖,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),數(shù)字簽名,數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)的加、解密算法體制來(lái)實(shí)現(xiàn)對(duì)

28、報(bào)文的數(shù)字簽名。數(shù)字簽名能夠?qū)崿F(xiàn)以下功能： 1. 收方能夠證實(shí)發(fā)送方的真實(shí)身份； 2. 發(fā)送方事后不能否認(rèn)所發(fā)送過(guò)的報(bào)文； 3. 收方或非法者不能偽造、篡改報(bào)文,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),數(shù)字簽名和驗(yàn)證過(guò)程,1. 發(fā)送方首先用哈希函數(shù)從原文得到數(shù)字簽名，然后采用公共密鑰體系用發(fā)達(dá)方的私有密鑰對(duì)數(shù)字簽名進(jìn)行加密，并把加密后的數(shù)字簽名附加在要發(fā)送的原文后面； 2. 發(fā)送方選擇一個(gè)私有密鑰對(duì)文件進(jìn)行加密，并把加密后的文件通過(guò)網(wǎng)絡(luò)傳輸?shù)浇邮辗剑?3. 發(fā)送方用接收方的公共密鑰對(duì)秘有密鑰進(jìn)行加密，并通過(guò)網(wǎng)絡(luò)把加密后的秘有密鑰傳輸?shù)浇邮辗剑?

29、4. 接受方使用自己的私有密鑰對(duì)密鑰信息進(jìn)行解密，得到私有密鑰的明文,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),數(shù)字簽名和驗(yàn)證過(guò)程,5. 接收方用私有密鑰對(duì)文件進(jìn)行解密，得到經(jīng)過(guò)加密的數(shù)字簽名； 6. 接收方用發(fā)送方的公共密鑰對(duì)數(shù)字簽名進(jìn)行解密，得到數(shù)字簽名的明文； 7. 接收方用得到的明文和哈希函數(shù)重新計(jì)算數(shù)字簽名，并與解密后的數(shù)字簽名進(jìn)行對(duì)比。如果兩個(gè)數(shù)字簽名是相同的，說(shuō)明文件在傳輸過(guò)程中沒(méi)有被破壞,圖4-20 數(shù)字簽名過(guò)程,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),數(shù)字摘要,數(shù)字摘要是將任意長(zhǎng)

30、度的消息變成固定長(zhǎng)度的短消息，它類(lèi)似于一個(gè)自變量是消息的函數(shù)，也就是單向哈希（Hash）函數(shù)技術(shù)。數(shù)字摘要除了可用于前面所討論的數(shù)字簽名應(yīng)用之外，還可用于信息完整性檢驗(yàn)，各種協(xié)議的設(shè)計(jì)及計(jì)算機(jī)科學(xué)等,圖4-21 數(shù)字摘要過(guò)程圖,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),數(shù)字摘要原理,單向哈希函數(shù)就是把任意長(zhǎng)的輸入串x變化在固定長(zhǎng)的輸出串y的一種函數(shù)，并滿(mǎn)足： 已知哈希函數(shù)的輸出，求解它的輸入是困難的，即已知y=Hash(x)，求x是困難的； 已知x1，計(jì)算y1=Hash(x1)，構(gòu)造x2使Hash(x2)=y1是困難的； y=Hash(x)，y的

31、每一比特都與x的每一比特相關(guān)，并有高度敏感性。即每改變x的一比特，都將對(duì)y產(chǎn)生明顯影響,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),數(shù)字證書(shū),數(shù)字證書(shū)（Digital Certificate，Digital ID）又稱(chēng)為數(shù)字憑證，即用電子手段來(lái)證實(shí)一個(gè)用戶(hù)的身份和對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。數(shù)字證書(shū)是一種數(shù)字標(biāo)識(shí)，也可以說(shuō)是網(wǎng)絡(luò)上的安全護(hù)照，它提供的是網(wǎng)絡(luò)上的身份證明。數(shù)字證書(shū)擁有者可以將其證書(shū)提供給其他人、Web站點(diǎn)及網(wǎng)絡(luò)資源，以證實(shí)他的合法身份，并且與對(duì)方建立加密的、可信的通信,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3

32、 認(rèn)證與授權(quán)技術(shù),數(shù)字證書(shū),目前最為廣泛使用的公鑰密碼認(rèn)證證書(shū)格式，是由ISO/IEC/ITU X.509 標(biāo)準(zhǔn)中定義的格式。X.509采用一個(gè)認(rèn)證機(jī)構(gòu)對(duì)實(shí)體的身份和公共密鑰進(jìn)行認(rèn)證，并對(duì)包括實(shí)體、公鑰、名字、有效期等信息的證書(shū)進(jìn)行數(shù)字簽名。通訊實(shí)體可以使用目錄服務(wù)檢索對(duì)方的公鑰，通過(guò)檢驗(yàn)認(rèn)證機(jī)構(gòu)的簽名，可以判斷實(shí)體公鑰的真實(shí)性。為了簡(jiǎn)化管理，X.509提供了分層鑒別服務(wù)模型。在這種層次下，可以有多層次的CA，構(gòu)成樹(shù)狀的證書(shū)結(jié)構(gòu),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),數(shù)字證書(shū),表4-6 X.509 V3證書(shū)各部分的含義,4.2 信息安全技術(shù),

33、電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),CA認(rèn)證中心,電子商務(wù)安全認(rèn)證體系的核心機(jī)構(gòu)就是CA認(rèn)證中心（CA，Certification Authority，證書(shū)授權(quán)）。認(rèn)證中心作為受信任的第三方，需要承擔(dān)網(wǎng)上安全電子交易的認(rèn)證服務(wù)，主要負(fù)責(zé)產(chǎn)生、分配并管理用戶(hù)的數(shù)字證書(shū)。它對(duì)電子商務(wù)活動(dòng)中的數(shù)據(jù)加密、數(shù)字簽名、防抵賴(lài)、數(shù)據(jù)完整性以及身份鑒別所需的密鑰和認(rèn)證實(shí)施統(tǒng)一的集中化管理，支持電子商務(wù)的參與者在網(wǎng)絡(luò)環(huán)境下建立和維護(hù)平等的信任關(guān)系，保證網(wǎng)上在線(xiàn)交易的安全。建立CA的目的是加強(qiáng)數(shù)字證書(shū)和密鑰的管理工作，增強(qiáng)網(wǎng)上交易各方的相互責(zé)任，提高網(wǎng)上購(gòu)物和網(wǎng)上交易的安全，控制交

34、易的風(fēng)險(xiǎn)，從而推動(dòng)電子商務(wù)的發(fā)展,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.3 認(rèn)證與授權(quán)技術(shù),CA的四大功能,1. 受理請(qǐng)求、核發(fā)證書(shū); 2. 管理證書(shū); 3. 搜索證書(shū); 4. 驗(yàn)證證書(shū),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.4 網(wǎng)絡(luò)病毒,計(jì)算機(jī)病毒是指編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù)，影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼。隨著網(wǎng)絡(luò)和Internet的發(fā)展，一個(gè)傳播范圍更廣、危害更大的新型病毒應(yīng)運(yùn)而生，這就是網(wǎng)絡(luò)病毒，即在網(wǎng)絡(luò)

35、環(huán)境下流行的病毒。網(wǎng)絡(luò)病毒都是充分利用了網(wǎng)絡(luò)的缺陷來(lái)設(shè)計(jì)和傳播的，這就是網(wǎng)絡(luò)病毒的共性,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.4 網(wǎng)絡(luò)病毒,網(wǎng)絡(luò)病毒的主要特征,1. 當(dāng)數(shù)據(jù)沿網(wǎng)絡(luò)從一臺(tái)計(jì)算機(jī)傳往另一臺(tái)計(jì)算機(jī)時(shí)，它就像拼圖一樣被分解為小的信息包或片斷，然后在到達(dá)目的地后重組為一個(gè)完整文件; 2. 網(wǎng)絡(luò)病毒使用諸如 TCP/UDP 等網(wǎng)絡(luò)端口，并能夠利用安全漏洞來(lái)復(fù)制傳播和進(jìn)行感染； 3. 與 Sobig 或 MyDoom 等群發(fā)郵件型的病毒不同，網(wǎng)絡(luò)病毒并不需要用戶(hù)點(diǎn)擊電子郵件附件,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.4 網(wǎng)絡(luò)病毒

36、,網(wǎng)絡(luò)防病毒技術(shù),1. 預(yù)防病毒技術(shù)； 2. 檢測(cè)病毒技術(shù)； 3. 消毒技術(shù)。 網(wǎng)絡(luò)防病毒攻擊網(wǎng)絡(luò)結(jié)構(gòu)如圖所示,圖4-24 網(wǎng)絡(luò)防病毒攻擊網(wǎng)絡(luò)架構(gòu)圖,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.5 信息安全架構(gòu),信息安全涉及到信息的保密性（Confidentiality）、完整性（Integrity）、可用性（Availability）。綜合起來(lái)說(shuō)，就是要保障電子信息的有效性。保密性就是對(duì)抗對(duì)手的被動(dòng)攻擊，保證信息不泄漏給未經(jīng)授權(quán)的人。完整性就是對(duì)抗對(duì)手主動(dòng)攻擊，防止信息被未經(jīng)授權(quán)的篡改?？捎眯跃褪潜ＷC信息

37、及信息系統(tǒng)確實(shí)為授權(quán)使用者所用,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.4 信息安全架構(gòu),信息安全管理體系,信息安全管理體系（Information Securitry Management Systems）是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。它是直接管理活動(dòng)的結(jié)果，表示成方針、原則、目標(biāo)、方法、過(guò)程、核查表（Checklists）等要素的集合,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.4 信息安全架構(gòu),信息安全架構(gòu),信息安全牽涉到方方面面的問(wèn)題，是一個(gè)極其復(fù)雜的系統(tǒng)工程。要實(shí)施一個(gè)完整信息安

38、全管理體系，至少應(yīng)包括三類(lèi)措施: 一是社會(huì)的法律政策、企業(yè)的規(guī)章制度以及信息安全教育等外部軟環(huán)境。 二是信息安全的技術(shù)的措施，如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲(chǔ)通信、身份認(rèn)證、授權(quán)等。 三是審計(jì)和管理措施,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.4 信息安全架構(gòu),圖4-25 信息安全架構(gòu)如圖,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.2.4 信息安全架構(gòu),圖4-26 IBM信息安全架構(gòu)規(guī)劃圖,4.2 信息安全技術(shù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),4.3 實(shí)訓(xùn)指導(dǎo),實(shí)訓(xùn)二 VPN設(shè)置,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟

39、件防火墻,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),一 實(shí)驗(yàn)條件,硬件環(huán)境 CPU：至少550 MHz，最多支持四個(gè)CPU； 內(nèi)存：至少256 MB； 硬盤(pán)空間：150 MB以上，不含緩存使用的磁盤(pán)空間,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,軟件環(huán)境 操作系統(tǒng)：Windows Server 2003 或 Windows 2000 Server操作系統(tǒng),網(wǎng)絡(luò)環(huán)境 網(wǎng)絡(luò)適配器：必須為連接到 ISA Server 2004 服務(wù)器的每個(gè)網(wǎng)絡(luò)單獨(dú)準(zhǔn)備一個(gè)網(wǎng)絡(luò)適配器，至少需要一個(gè)網(wǎng)絡(luò)適配器,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),二 實(shí)驗(yàn)內(nèi)容,實(shí)訓(xùn)一 基于ISA Server 2004

40、構(gòu)建軟件防火墻,在域環(huán)境中配置ISA防火墻實(shí)現(xiàn)以下三條策略： 1. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet）。 2. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,1. ISA Server 2004安裝 （1）運(yùn)行ISA Server 2004安裝光盤(pán)根目錄下的ISAAutorun.exe開(kāi)始ISA Server 2004的安裝，如圖4-27所示。 （2）點(diǎn)擊“安裝 ISA Server 2004”，出現(xiàn)安裝界面，如圖4-28所示,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一

41、基于ISA Server 2004構(gòu)建軟件防火墻,1. ISA Server 2004安裝,3）點(diǎn)擊“下一步”，在授權(quán)畫(huà)面上選擇“我接受許可協(xié)議中的條款”，然后點(diǎn)擊“下一步”。在客戶(hù)信息頁(yè)，輸入個(gè)人信息和產(chǎn)品序列號(hào)，點(diǎn)擊“下一步”繼續(xù)。在安裝類(lèi)型頁(yè)，如果你想改變ISA Server 的默認(rèn)安裝選項(xiàng)，可以點(diǎn)擊“自定義”，然后點(diǎn)擊“下一步”，如圖4-29所示,圖4-29 ISA server 2004安裝界面3,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,1. ISA Server 2004安裝,4）在“自定義”頁(yè)你可以選擇安裝的

42、組件，默認(rèn)情況下，會(huì)安裝防火墻服務(wù)器和ISA 服務(wù)器管理，而防火墻客戶(hù)端安裝共享和用于控制垃圾郵件和郵件附件的消息篩選程序不會(huì)安裝。如果你想安裝消息篩選程序，需要先在ISA Server 2004 服務(wù)器上安裝IIS 6.0 SMTP服務(wù)。點(diǎn)擊“下一步”繼續(xù)，如圖4-30所示,圖4-30 ISA server 2004安裝界面4,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,1. ISA Server 2004安裝,5）添加內(nèi)部網(wǎng)絡(luò)。內(nèi)部網(wǎng)絡(luò)和ISA Server 2000中使用的LAT 已經(jīng)大大不同了。在ISA Server

43、2004中，內(nèi)部網(wǎng)絡(luò)定義為ISA Server 2004必須進(jìn)行數(shù)據(jù)通信的信任的網(wǎng)絡(luò)。防火墻的系統(tǒng)策略會(huì)自動(dòng)允許ISA Server 2004到內(nèi)部網(wǎng)絡(luò)的部分通信，如圖4-31所示,圖4-31 添加內(nèi)容網(wǎng)絡(luò),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,1. ISA Server 2004安裝,6）在地址添加對(duì)話(huà)框中，點(diǎn)擊“選擇網(wǎng)卡”，出現(xiàn)“選擇網(wǎng)卡”對(duì)話(huà)框，如圖4-32所示,圖4-32 選擇網(wǎng)卡,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,1. ISA Ser

44、ver 2004安裝,7）在內(nèi)部網(wǎng)絡(luò)地址對(duì)話(huà)框中點(diǎn)擊“確定”，如圖4-33所示,圖4-33 設(shè)置內(nèi)部網(wǎng)絡(luò)地址,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,1. ISA Server 2004安裝,8）完成內(nèi)部網(wǎng)絡(luò)頁(yè)的設(shè)置，如圖4-34所示,圖4-34 設(shè)置內(nèi)部網(wǎng)絡(luò)地址,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,1. ISA Server 2004安裝,9）在“可以安裝程序了”頁(yè)點(diǎn)擊安裝，如圖4-35所示,圖4-35 設(shè)置完成,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安

45、全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,2. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet,1）查看ISA Server 2004默認(rèn)的訪(fǎng)問(wèn)策略，如圖4-36所示,圖4-36 查看ISA Server 2004默認(rèn)策略,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,2. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet,2）以下為該ISA Server 2004的內(nèi)部策略，如圖4-37所示,圖4-37 ISA Server 2004默認(rèn)策略,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)

46、步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,2. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet,3）新建一條訪(fǎng)問(wèn)規(guī)則：在防火墻策略上點(diǎn)擊右鍵，指向“新建”，然后點(diǎn)擊“訪(fǎng)問(wèn)規(guī)則”，如圖4-38所示,圖4-38 新建訪(fǎng)問(wèn)規(guī)則,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,2. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet,4）在新建訪(fǎng)問(wèn)規(guī)則向?qū)ы?yè)的訪(fǎng)問(wèn)規(guī)則名稱(chēng)文本框中，輸入“訪(fǎng)問(wèn)規(guī)則-允許訪(fǎng)問(wèn)”，然后點(diǎn)擊“下一步”。然后在“規(guī)則操作”頁(yè)，選擇“允許”，點(diǎn)擊“下一步”，如圖4-39、圖4-40所示,圖4-39

47、新建訪(fǎng)問(wèn)規(guī)則向?qū)?,圖4-40 新建訪(fǎng)問(wèn)規(guī)則向?qū)?,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,2. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet,5）在協(xié)議頁(yè)，選擇“所有出站通訊”，點(diǎn)擊“下一步”，如圖4-41所示,圖4-41 選擇出站通訊,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,2. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet,6）在訪(fǎng)問(wèn)規(guī)則源頁(yè)，點(diǎn)擊“添加”，在“添加網(wǎng)絡(luò)實(shí)體”對(duì)話(huà)框，雙擊“內(nèi)部”，然后點(diǎn)擊“關(guān)閉”，點(diǎn)擊“下一步”，如圖4-42

48、所示,圖4-42 添加網(wǎng)絡(luò)實(shí)體1,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,2. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet,7）在訪(fǎng)問(wèn)規(guī)則目標(biāo)頁(yè)，點(diǎn)擊“添加”，在“添加網(wǎng)絡(luò)實(shí)體”對(duì)話(huà)框，雙擊“外部”，然后點(diǎn)擊“關(guān)閉”，點(diǎn)擊“下一步”，如圖4-43所示,圖4-43 添加網(wǎng)絡(luò)實(shí)體2,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,2. 允許內(nèi)部網(wǎng)絡(luò)客戶(hù)訪(fǎng)問(wèn)外部網(wǎng)絡(luò)（Internet,8）在用戶(hù)集頁(yè)，接受默認(rèn)的所有用戶(hù)，點(diǎn)擊“下一步”，如圖4-44所示,圖4-4

49、4 添加網(wǎng)絡(luò)實(shí)體3,9）在完成新建訪(fǎng)問(wèn)規(guī)則向?qū)ы?yè)，點(diǎn)擊“完成,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,1）首先在防火墻策略右邊的工具箱里面點(diǎn)開(kāi)“網(wǎng)絡(luò)對(duì)象”，然后右擊“計(jì)算機(jī)集”，然后選擇“新建計(jì)算機(jī)集”，如圖4-45所示,圖4-45 新建計(jì)算機(jī)集,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,2）在“新建計(jì)算機(jī)集規(guī)則元素”對(duì)話(huà)框上點(diǎn)擊“添加”，然后選擇“計(jì)算機(jī)”，如圖4-46所示,圖4-46 添

50、加計(jì)算機(jī),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,3）在“添加計(jì)算機(jī)規(guī)則元素”對(duì)話(huà)框，輸入該計(jì)算機(jī)名字和IP地址，點(diǎn)擊”確定”，如圖4-47所示,圖4-47 計(jì)算機(jī)網(wǎng)絡(luò)設(shè)置,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,4）建立好計(jì)算機(jī)群，如圖4-48所示,圖4-48 建立計(jì)算機(jī)集,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3

51、. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,5）為需要為禁止用戶(hù)訪(fǎng)問(wèn)的網(wǎng)站建立一個(gè)域名集（以sohu網(wǎng)站為例），同樣在“網(wǎng)絡(luò)對(duì)象”中，右擊“域名集”，選擇“新建域名集”，如圖4-49所示,圖4-49 設(shè)置禁止訪(fǎng)問(wèn)的域名,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,6）在“新建域名集策略元素”對(duì)話(huà)框中，點(diǎn)一次“新建”按鈕，然后把域名修改為“*”，然后點(diǎn)擊“確定”，如圖4-50所示,圖4-50 設(shè)置新建域名集策略,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建

52、軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,7）在訪(fǎng)問(wèn)規(guī)則源頁(yè)，點(diǎn)擊“添加”，然后在“添加網(wǎng)絡(luò)實(shí)體”對(duì)話(huà)框中展開(kāi)計(jì)算機(jī)集，雙擊“被禁用戶(hù)”，然后點(diǎn)擊“關(guān)閉”，然后在“訪(fǎng)問(wèn)規(guī)則源”頁(yè)點(diǎn)擊“下一步”，如圖4-51所示,圖4-51 設(shè)置被禁用戶(hù),電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,8）在訪(fǎng)問(wèn)規(guī)則目標(biāo)頁(yè)，點(diǎn)擊“添加”，然后在“添加網(wǎng)絡(luò)實(shí)體”對(duì)話(huà)框中展開(kāi)域名集，雙擊“sohu”，然后點(diǎn)擊“關(guān)閉”，然后在“訪(fǎng)問(wèn)規(guī)則目標(biāo)”頁(yè)點(diǎn)擊“下一步”，如圖4-52所示,圖4-52 設(shè)置被禁域名,電子商務(wù)安全技術(shù)第

53、四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,圖4-52 設(shè)置被禁域名,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,實(shí)訓(xùn)一 基于ISA Server 2004構(gòu)建軟件防火墻,3. 禁止內(nèi)部用戶(hù)訪(fǎng)問(wèn)某些網(wǎng)站,9）在用戶(hù)集頁(yè)，保留默認(rèn)的所有用戶(hù)，點(diǎn)擊“下一步”。在正在完成新建訪(fǎng)問(wèn)規(guī)則向?qū)ы?yè)，點(diǎn)擊“完成”。最后，點(diǎn)擊“應(yīng)用”以保存修改和更新防火墻策略。完成的策略圖4-53所示,圖4-53 防火墻策略圖,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),一 實(shí)驗(yàn)條件,硬件環(huán)境 CPU：至少550 MHz，最多支持四個(gè)CPU

54、；內(nèi)存：至少256 MB；硬盤(pán)空間：150 MB以上，不含緩存使用的磁盤(pán)空間,實(shí)訓(xùn)二 VPN設(shè)置,軟件環(huán)境 操作系統(tǒng)：Windows Server 2003 或 Windows 2000 Server操作系統(tǒng),網(wǎng)絡(luò)環(huán)境 網(wǎng)絡(luò)適配器：必須為連接到 ISA Server 2004 服務(wù)器的每個(gè)網(wǎng)絡(luò)單獨(dú)準(zhǔn)備一個(gè)網(wǎng)絡(luò)適配器，至少需要一個(gè)網(wǎng)絡(luò)適配器,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),二 實(shí)驗(yàn)內(nèi)容,實(shí)訓(xùn)二 VPN設(shè)置,1. 啟用VPN服務(wù)器; 2. 配置VPN服務(wù)器; 3. 設(shè)置訪(fǎng)問(wèn)規(guī)則:禁止外部用戶(hù)訪(fǎng)問(wèn)某臺(tái)主機(jī); 4. 客戶(hù)端建立VPN連接,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,1

55、. 啟用VPN服務(wù)器,1）打開(kāi) ISA Server 2004管理控制臺(tái)并且展開(kāi)服務(wù)器，點(diǎn)擊虛擬專(zhuān)用網(wǎng)絡(luò)（VPN），然后在右邊的任務(wù)面板上點(diǎn)擊“啟用VPN客戶(hù)端訪(fǎng)問(wèn)”，如圖4-55所示,圖4-55 啟用VPN服務(wù)器,實(shí)訓(xùn)二 VPN設(shè)置,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,1. 啟用VPN服務(wù)器,2）然后點(diǎn)擊“配置VPN 客戶(hù)端訪(fǎng)問(wèn)”，如圖4-56所示,圖4-56 配置VPN客戶(hù)訪(fǎng)問(wèn),實(shí)訓(xùn)二 VPN設(shè)置,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,2. 配置VPN服務(wù)器,1）配置遠(yuǎn)程訪(fǎng)問(wèn)屬性。在任務(wù)面板，點(diǎn)擊選擇訪(fǎng)問(wèn)網(wǎng)絡(luò)鏈接，如圖4-57所示,圖4-57 配置遠(yuǎn)程訪(fǎng)問(wèn)屬性,實(shí)訓(xùn)二 VPN設(shè)置,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,2. 配置VPN服務(wù)器,2）在彈出的“虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）屬性”中，接受默認(rèn)的“外部”設(shè)置，如圖4-58所示,圖4-58 配置虛擬網(wǎng)絡(luò)(VPN)屬性,實(shí)訓(xùn)二 VPN設(shè)置,電子商務(wù)安全技術(shù)第四章網(wǎng)絡(luò)信息安全技術(shù),三 實(shí)驗(yàn)步驟,2. 配置VPN服務(wù)器,3）點(diǎn)擊“地址分配”標(biāo)簽，然后選擇“靜態(tài)地址池”，點(diǎn)擊“添加”，然后在IP 地址范圍屬性中輸入你想給VPN 網(wǎng)絡(luò)使用的IP 地址范圍，注意，這