版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
1、東北大學網(wǎng)絡學院畢業(yè)設計(論文)專用紙 東北大學網(wǎng)絡教育學院 畢業(yè)設計(論文) 設計(論文)題目:電子商務環(huán)境下的網(wǎng)絡安全 姓 名: 張家崢 學號:050505111 專 業(yè): 電子商務 班級:1班 住 址:沈陽市和平區(qū)十三緯路 電 話電子郵箱: 實習單位:遼寧網(wǎng)吧門診 開題日期: 2009年 3月31日 指導教師: 張翠華【摘要】 隨著計算機網(wǎng)絡的發(fā)展,網(wǎng)絡安全問題日益突出,網(wǎng)絡安全已成為世界上各個公司主要關心的問題。破壞公司網(wǎng)絡安全所需的信息和工具隨處可得,這一事實更增加了對這個問題的關注,所以對網(wǎng)絡安全進行風險分析就變得日益重要。由于
2、增加了網(wǎng)絡管理員對網(wǎng)絡安全的注意,他們常常要做更多的嘗試在保護網(wǎng)絡而不是在實際的網(wǎng)絡設置和管理上。偵測系統(tǒng)漏洞的新工具,象分析網(wǎng)絡的安全管理工具(SATAN),有助于這種嘗試。但這些工具只能指出脆弱的位置而不能提供保護網(wǎng)絡的方法。因此,在今天作為網(wǎng)絡管理員,要一直努力保持不落后于所要面對的大量的安全問題。從計算機網(wǎng)絡的特點出發(fā),提出了網(wǎng)絡安全風險分析的 一種定量分析方法,并應用該方法,對局域網(wǎng)進行了風險分析并做出相應的解決方案。通過深入分析,讓讀者對計算機網(wǎng)絡安全進行全面的了解,初步探討對付計算機網(wǎng)絡安全的方法和措施。讓讀者了解計算機網(wǎng)絡安全的特點及危害,計算機網(wǎng)絡安全的主要技術【關鍵詞】 網(wǎng)
3、絡安全,風險分析 網(wǎng)絡技術目 錄摘 要2第一章 緒言5第二章 網(wǎng)絡安全概述9 第一節(jié) 網(wǎng)絡安全面臨的威脅9 一、物理安全威脅9 二、網(wǎng)絡協(xié)議的安全缺陷9第二節(jié) 網(wǎng)絡安全的特征11 一、網(wǎng)絡安全的特征11第三章 網(wǎng)絡安全的風險分析與原則12 第一節(jié) 風險分析12 一、基本風險分析12 二、網(wǎng)絡風險分析12 第二節(jié) 網(wǎng)絡安全的原則14 一、網(wǎng)絡安全的基本原則14第四章 網(wǎng)絡安全的解決措施16 第一節(jié) 入侵檢測系統(tǒng)方案16 一、入侵檢測系統(tǒng)(IDS)概念16 第二節(jié) 網(wǎng)絡安全的治理17 一、SSL VPN介紹與安全性研究17第五章 網(wǎng)絡安全的主要技術19 第一節(jié) 網(wǎng)絡安全論證與放火墻19 一、網(wǎng)絡安
4、全論證的分類19 二、放火墻技術19 第二節(jié) 數(shù)據(jù)加密20 一、私匙加密與公匙加密20第六章 網(wǎng)絡安全評估與安全法規(guī)21 第一節(jié) 安全評估的國際通用標準21 一、安全評估的國際通用標準的分類21第二節(jié) 安全評估的國內(nèi)通用標準21 一、信息系統(tǒng)安全劃分準則22 二、信息系統(tǒng)安全有關的標準23 第三節(jié) 網(wǎng)絡安全的法律和法規(guī)23 一、網(wǎng)絡安全的相關法規(guī)23 二、網(wǎng)絡的法律規(guī)則24結 論 26參考文獻27第一章 緒 言1.課題提出 1.1課題背景、目的與意義 目的:目前計算機網(wǎng)絡面臨著很大的威脅,其構成的因素是多方面的。這種威脅將不斷給社會帶來了巨大的損失。網(wǎng)絡安全已被信息社會的各個領域所重視。隨著計
5、算機網(wǎng)絡的不斷發(fā)展,全球信息化已成為人類發(fā)展的大趨勢;給政府機構、企事業(yè)單位帶來了革命性的改革。但由于計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征,致使網(wǎng)絡易受黑客、病毒、惡意軟件和其他不軌的攻擊,所以網(wǎng)上信息的安全和保密是一個至關重要的問題。對于軍用的自動化指揮網(wǎng)絡、C3I系統(tǒng)、銀行和政府等傳輸敏感數(shù)據(jù)的計算機網(wǎng)絡系統(tǒng)而言,其網(wǎng)上信息的安全和保密尤為重要。因此,上述的網(wǎng)絡必須有足夠強的安全措施,否則該網(wǎng)絡將是個無用、甚至會危及國家安全的網(wǎng)絡。無論是在局域網(wǎng)還是在廣域網(wǎng)中,都存在著自然和人為等諸多因素的潛在威脅和網(wǎng)絡的脆弱性。故此,網(wǎng)絡的安全措施應是能全方位地針對
6、各種不同的威脅和脆弱性,這樣才能確保網(wǎng)絡信息的保密性、完整性和可用性。為了確保信息的安全與暢通,研究計算機網(wǎng)絡的安全以及防范措施已迫在眉睫。本文就進行初步探討計算機網(wǎng)絡安全的管理及其技術措施。認真分析網(wǎng)絡面臨的威脅,我認為,計算機網(wǎng)絡系統(tǒng)的安全防范工作是一個極為復雜的系統(tǒng)工程,是一個安全管理和技術防范相結合的工程。在目前法律法規(guī)尚不完善的情況下,首先是各計算機網(wǎng)絡應用部門領導的重視,加強工作人員的責任心和防范意識,自覺執(zhí)行各項安全制度,在此基礎上,再采用先進的技術和產(chǎn)品,構造全方位的防御機制,使系統(tǒng)在理想的狀態(tài)下運行意義: 電子商務的基礎是信息化和網(wǎng)絡化,因此當信息化和網(wǎng)絡化的浪潮襲擊了全球以
7、后,電子商務也得以實現(xiàn)。但電子商務發(fā)展至今,阻礙其發(fā)展的關鍵因素還是安全問題。因為首先其賴以生存的基礎是網(wǎng)絡,即Internet/Intranet;其次是其和傳統(tǒng)的交易方式完全不同,現(xiàn)在交易的雙方不再是面對面的,而是被時空、距離所阻隔,因此其安全問題更為重要。電子商務從最初發(fā)展開始,就非常重視安全,但它仍擺脫不了網(wǎng)絡帶給它的安全問題,因此本章重點介紹一個電子商務網(wǎng)絡安全的整體架構。一、與網(wǎng)絡安全相關的因素 網(wǎng)絡安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網(wǎng)絡服務不中斷。網(wǎng)絡安全從本質上講就是網(wǎng)絡上信息的安全,包括
8、靜態(tài)信息的存儲安全和信息的傳輸安全。從廣義上講,凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網(wǎng)絡安全的研究領域。因此為了保證網(wǎng)絡的安全,必須保證以下四個方面的安全: 運行系統(tǒng)的安全; 網(wǎng)絡上系統(tǒng)信息的安全; 網(wǎng)絡上信息傳播安全; 網(wǎng)絡上信息內(nèi)容的安全。二、電子商務安全的整體架構 這里我們介紹一種電子商務安全整體架構,該架構可以概括為一句話一個中心,四個基本點,一個中心就是以安全管理為中心,四個基本點是保護、監(jiān)控、響應和恢復。這種架構的示意圖如圖1所示。這樣一種架構機制囊括了從保護到在線監(jiān)控,到響應和恢復的各個方面,是一種層層防御的機制,即使第一道大門被攻破了
9、,還會有第二道、第三道大門,即使所有的大門都被攻破了,還有恢復措施,因此這種架構可以為用戶構筑一個整體的安全方案。三、安全架構的工作機制 在這個安全架構中,五個方面是如何協(xié)調工作的呢?下面將以一個例子來介紹。這個例子的結構圖如圖2所示,假設有一個黑客欲攻擊一內(nèi)部網(wǎng),這個內(nèi)部網(wǎng)整體安全架構就如前面介紹的一樣,那么現(xiàn)在讓我們來看看這個安全架構是如何工作來抵制黑客攻擊得 。電子商務領域的安全問題一直是備受關注的問題,因此如何更好的解決這個問題是推進電子商務更好更快發(fā)展的動力。但是因為安全問題是不斷發(fā)展變化的,所以解決安全問題的手段也會不斷變化,但變化中有不變,這就是所要解決的根本問題是不變的,所以應
10、用這種架構來保證電子商務的安全無疑是有效的。 1.2國內(nèi)外現(xiàn)狀 經(jīng)過短短十多年的發(fā)展,互聯(lián)網(wǎng)已經(jīng)對我國社會和網(wǎng)民的生活產(chǎn)生了深遠的影響。在工作方面,數(shù)量眾多的居民通過互聯(lián)網(wǎng)尋求網(wǎng)上招聘、網(wǎng)絡教育信息,目前大約有2500萬人經(jīng)常使用網(wǎng)上招聘,1500萬人經(jīng)常使用網(wǎng)絡教育?;ヂ?lián)網(wǎng)在學習、工作、生活和娛樂等各個方面對網(wǎng)民的幫助程度都有所提高,尤其是在生活方面,提高幅度更大??梢姡ヂ?lián)網(wǎng)對我國社會進步所起的積極作用進一步得到認可。隨著信息化進程的深入和互聯(lián)網(wǎng)的迅速發(fā)展,人們的工作、學習和生活方式正在發(fā)生巨大變化,效率大為提高,信息資源得到最大程度的共享。但必須看到,緊隨信息化發(fā)展而來的網(wǎng)絡安全問題日漸
11、突出。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”;控制安全則指身份認證、不可否認性、授權和訪問控制。如果不很好地解決這個問題,必將阻礙信息化發(fā)展的進程。以影響計算機網(wǎng)絡安全的主要因素為突破口,重點分析防范各種不利于計算機網(wǎng)絡正常運行的措施,從不同角度全面了解影響計算機網(wǎng)絡安全的情況,做到心中有數(shù),將不利因素解決最初狀態(tài),確保計算機網(wǎng)絡的安全管理與有效運行。 1.3研究(設計)內(nèi)容 1來自網(wǎng)絡的威脅以及常見的幾種攻擊方式2加密3防火墻4資源保護 2設計方案論證 1. 研究方法結合理論基礎。最大限度的保持網(wǎng)絡安全。連通就意味著危險。沒有百分之百安全的網(wǎng)絡。所以只能盡可能
12、的降低危險。減少損失。2. 創(chuàng)新點由于我門的計算機是通過局域網(wǎng)、廣域網(wǎng)的方式連入互連網(wǎng)。互連網(wǎng)主要的特點是資源的共享。會受到不同程度、即時的攻擊。因此我門需要結合自己所學的知識。組建一個自己認為的形式上完美的系統(tǒng)。拒絕來自網(wǎng)絡上的不安全因素。 3. 難點安全的原則是有效但不是給那些真正想要取得信息的合法用戶增加負擔。尋求一條實際應用于此原則的途徑是一個尋求困難的平衡舉動。從而會使那些合法的用戶厭煩的和避開你的安全協(xié)議。所以我門的安全機制必須簡單有效。第二章 網(wǎng)絡安全概述第一節(jié) 網(wǎng)絡安全面臨的威脅1物理安全威脅、操作系統(tǒng)的安全缺陷、網(wǎng)絡協(xié)議的安全缺陷、應用軟件的實現(xiàn)缺陷、用戶使用的缺陷和惡意程序
13、等6個方面的安全威脅。一、物理安全威脅1、物理安全問題的重要性 信息安全首先要保障信息的物理安全。物理安全是指在物理介質層次上對存儲和傳輸?shù)男畔⒌陌踩Wo。物理安全是信息安全的最基本保障,是不可缺少和忽視的組成部分。2、主要的物理安全威脅 物理安全威脅,即直接威脅網(wǎng)絡設備。目前主要的物理安全威脅包括以下3大類。 自然災害。特點是突發(fā)性、自然因素性、非針對性。這種安全威脅只破壞信息的完整性和可用性,無損信息的秘密性。 電磁輻射。這種安全威脅只破壞信息的秘密性,無損信息的完整性和可用性。 操作失誤和意外疏忽(例如,系統(tǒng)掉電、操作系統(tǒng)死機等系統(tǒng)崩潰)。特點是人為實施的無意性和非針對性。這種安全威脅只
14、破壞信息的完整性和可用性,無損信息的秘密性。(1)外部終端的物理安全(2)通信線路的物理安全二、網(wǎng)絡安全的缺陷 1、TCP/IP是目前Internet使用的協(xié)議。 TCP/IP也存在著一系列的安全缺陷。有的缺陷是由于源地址的認證問題造成的,有的缺陷則來自網(wǎng)絡控制機制和路由協(xié)議等。這些缺陷,是所有使用TCP/IP的系統(tǒng)所共有的,以下將討論這些安全隱患。2、TCP/IP概述TCP/IP基本結構 TCP/IP是一組Internet協(xié)議,不但包括TCP和IP兩個關鍵協(xié)議,還包括其他協(xié)議,如UDP、ARP、ICMP、Telnet和FTP等。TCP/IP的設計目標是使不同的網(wǎng)絡互相連接,即實現(xiàn)互聯(lián)網(wǎng)。 圖
15、1.1 TCP/IP基本邏輯結構IPv4的地址是32bit,目前正在推出IPv6,其地址為128bit。以太網(wǎng)MAC地址是48bit。TCP/IP層次結構有兩個重要原則:在同一端點,每一層只和鄰接層打交道,例如,應用程序根本不關心網(wǎng)絡層是怎么轉發(fā)包以及數(shù)據(jù)在哪些網(wǎng)絡上傳輸;不同端點之間的同一層有對等關系,對等層之間可以進行通信,如應用程序之間的通信,TCP模塊之間的通信等。第二節(jié) 網(wǎng)絡安全的特征2一、網(wǎng)絡安全的特征1、可靠性可靠性是網(wǎng)絡信息系統(tǒng)能夠在規(guī)定條件下和規(guī)定時間內(nèi)完成規(guī)定功能的特性??煽啃允窍到y(tǒng)安全最基本的要求之一,是所有網(wǎng)絡信息系統(tǒng)的建設和運行目標。網(wǎng)絡信息系統(tǒng)的可靠性主要體現(xiàn)在抗毀
16、性、生存性和有效性3個方面。2、可用性可用性是網(wǎng)絡信息可被授權實體訪問并按需求使用特性。3、保密性網(wǎng)絡信息不被泄露給非授權的用戶、實體和過程,和供其利用的特性。4、完整性完整性是網(wǎng)絡信息未經(jīng)授權不能進行改變的特性。保障網(wǎng)絡信息完整性的主要方法如下: 協(xié)議 通過各種安全協(xié)議可以有效地檢測出被復制的信息、被刪除的字段、失效的字段和被修改的字段。 糾錯編碼方法 由此完成檢錯和糾錯功能。 密碼校驗和方法 它是抗撰改和傳輸失敗的重要手段。 數(shù)字簽名 保障信息的真實性。5、可控性可控性是對網(wǎng)絡信息的傳播及內(nèi)容具有控制能力的特性。第三章 網(wǎng)絡安全風險分析與基本原則第一節(jié) 網(wǎng)絡安全風險分析一、 基本風險分析基
17、本概念:風險:風險就是一個事件產(chǎn)生我們所不希望的后果的可能性。風險分析要包括發(fā)生的可能性和它所產(chǎn)生的后果的大小兩個方面。 因此風險可表示為事件發(fā)生的概率及其后果的函數(shù): 風險R=(p,c) 其中 p為事件發(fā)生的概率,c為事件發(fā)生的后果。風險分析:就是要對風險的辨識,估計和評價做出全面的,綜合的分析,其主要組成為:1. 風險的辨識,也就是那里有風險,后果如何,參數(shù)變化?2. 風險評估,也就是概率大小及分布,后果大小?風險管理:風險管理是指對風險的不確定性及可能性等因素進行考察、預測、收集、分析的基礎上制定的包括識別風險、衡量風險、積極管理風險、有效處置風險及妥善處理風險等一整套系統(tǒng)而科學的管理方
18、法,旨在使企業(yè)避免和減少風險損失,得到長期穩(wěn)定的發(fā)展。二、網(wǎng)絡風險分析風險分析方法是專家評判的方法。由于網(wǎng)絡的脆弱性以及對網(wǎng)絡的威脅,因此網(wǎng)絡中就存在風險。根據(jù)古典的風險分析,則網(wǎng)絡中的風險與風險因素發(fā)生的概率和相應的影響有關。而概率可以通過統(tǒng)計的方法來得到,影響可以通過專家的評判方法來得到。因此, 風險R=P(概率)*F(影響) 這時,風險分析的過程包括:統(tǒng)計概率,評估影響,然后評估風險。然后根據(jù)風險分析的大小來管理風險。1統(tǒng)計概率通俗的說,概率是單位時間內(nèi)事件發(fā)生的次數(shù)。按每年事件發(fā)生的次數(shù)來統(tǒng)計概率。2影響的評估首先對上述5個因素確定權重W,按照模糊數(shù)學的方法將每個因素劃分為五個等級:很
19、低,低,中等,高,很高。并給出每個等級的分數(shù)C(12,36,7),根據(jù)各個專家對每個因素的打分計算出每個因素的分數(shù)C,再將W與C相乘,累計求和WC,讓F=WC 此值即因素的影響的大小。風險因素權重的確定方法如下: 設影響的n個因素為A1,A2,An ,參加評判的專家m人。對n個因素,先找出最重要因素和最不重要因素,并按層次分析方法(AHP)中19的標度和標準確定兩者的比率。將5個因素按重要程度從小到大排序,以最不重要因素為基準(賦值為1),將各個因素與其比較。按重要程度進行賦值(按AHP法中的標度和標準)。將m個專家對n個因素所賦的分為r塊,分別記為A1,A2,Ar。其中矩陣Ak的行表示以Ak
20、為最不重要因素的專家數(shù),記作mk。列表示將因素Ak作為基準,對n個因素A1,A2,An所賦的值。具體形式為: A A A A .A Ak= a =1,1=a =9, m =m( i=1,2,m ;j=1,2,n) (1) 對于分塊矩陣Ak,因各因素賦值均以Ak為基準,從而可對Ak中各列分別求平均值a = a /m j=1,2,n (2)對所有分塊矩陣作上述處理,可分別得到(A1,A2,Ar)。對于每個分塊矩陣Ak(k1,2,r);因行數(shù)不同,其在專家數(shù)m中的所占的比重也不同,因而需考慮mk在m中所占的比重,稱mkm為ajk的權系數(shù)。由以上分析可得因素Aj的綜合賦值。A = a *m /m j=
21、1,2,n (3)由(1)(3)式即可得m個專家對n因素的綜合賦值。由綜合賦值aj中求出最小值amin和最大值amax,令其所對應的下標分別為m和M,即amamin,aMamax。第二節(jié) 網(wǎng)絡安全的原則3一、 網(wǎng)絡安全的基本原則1、普遍參與為了使安全機制更有效,絕大部分安全保護系統(tǒng)要求站點人員普遍參與(或至少沒有反對者)。 2、縱深防御縱深防御也是一種基本的安全原則,而且不光是針對網(wǎng)絡系統(tǒng)而言的??v深防御是指不能只依賴單一安全機制,應該建立多種機制。3、防御多樣化系統(tǒng)可以通過使用大量的不同系統(tǒng)提供縱深防御而獲得額外的安全保護。 4、阻塞點所謂阻塞點就是設置一個窄通道,在那里可以對攻擊者進行監(jiān)視
22、和控制。5、最薄弱鏈接安全保護的基本原則是鏈的強度取決它的最薄弱鏈接,墻的堅固取決于它的最弱點。 6、失效保護狀態(tài)安全保護的另一個基本原則就是,在某種程度上系統(tǒng)應該可以做到失效保護。就是說如果系統(tǒng)運行錯誤,那么它們發(fā)生故障時會拒絕侵襲者訪問,更不用說讓侵襲者侵入了。 (1)默認拒絕狀態(tài)。 (2)默認許可狀態(tài)。 7、最小特權 最小特權原則是指一個對象(程序、人、路由器或者任何事物)應該只擁有為執(zhí)行其分配的任務所必要的最小特權并且絕不超越此限。 8、簡單化簡單化作為一個安全保護策略有兩個原因: 讓事情簡單使它們易于理解,如果不了解某事,就不能真正了解它是否安全。 復雜化會為所有類型的事情提供隱藏的
23、角落和縫隙。第四章 網(wǎng)絡安全的解決措施第一節(jié) 入侵檢測系統(tǒng)方案一、入侵檢測系統(tǒng)(IDS)概念1980年,James P.Anderson 第一次系統(tǒng)闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種,還提出了利用審計數(shù)據(jù)監(jiān)視入侵活動的思想1。即其之后,1986年Dorothy E.Denning提出實時異常檢測的概念2并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(tǒng)(IDES),1990年,L.T.Heberlein等設計出監(jiān)視網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng),NSM(Network Security Monitor)。自此之后,入侵檢測系統(tǒng)才真正發(fā)展起來。Anderson將
24、入侵嘗試或威脅定義為:潛在的、有預謀的、未經(jīng)授權的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為4:發(fā)現(xiàn)非授權使用計算機的個體(如“黑客”)或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權利以及企圖實施上述行為的個體。執(zhí)行入侵檢測任務的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。入侵檢測系統(tǒng)執(zhí)行的主要任務包括3:監(jiān)視、分析用戶及系統(tǒng)活動;審計系統(tǒng)構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統(tǒng)計分析異常行為模式;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為。入侵檢測
25、一般分為三個步驟:信息收集、數(shù)據(jù)分析、響應。 入侵檢測的目的:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監(jiān)視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴大;第二節(jié) 網(wǎng)絡安全的治理一、 SSL VPN介紹與安全性研究VPN 是一項非常實用的技術,它可以擴展企業(yè)的內(nèi)部網(wǎng)絡,近期,傳統(tǒng)的IPSec VPN 出現(xiàn)了客戶端不易配置等問題,相對而言,SSL VPN作為一種全新的技術正在被廣泛關注,SSL利用內(nèi)置在每個Web瀏覽器中的加密和驗證功能,并與安全網(wǎng)關相結合,提供安全遠程訪問企業(yè)應用的機制,這樣,遠程移動用戶可以輕松訪問公司內(nèi)部B/S和C/S應用及其他核心資源。 1
26、、 什么是SSL VPNSSL VPN是指應用層的VPN,基于HTTPS來訪問受保護的應用。目前常見的SSL VPN方案有兩種:直路方式和旁路方式。直路方式中,當客戶端需要訪問一應用服務器時,首先,客戶端和SSL VPN網(wǎng)關通過證書互相驗證雙方;其次,客戶端和SSL VPN網(wǎng)關之間建立SSL 通道;然后,SSL VPN 網(wǎng)關作為客戶端的代理和應用服務器之間建立TCP 連接,在客戶端和應用服務器之間轉發(fā)數(shù)據(jù)。旁路方式與直路不同的是,為了減輕在進行SSL加解密時的運行負擔,也可以獨立出SSL加速設備,在SSL VPN Server 接收到HTTPS 請求時將SSL加密的過程交給SSL加速設備來處理
27、,當SSL加速設備處理完之后再將數(shù)據(jù)轉發(fā)給SSL VPN Server 。 2、 SSL VPN的安全性保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經(jīng)授權的人。由于使用的是SSL協(xié)議,該協(xié)議是介于 HTTP層及TCP 層的安全協(xié)議。傳輸?shù)膬?nèi)容是經(jīng)過加密的。SSL VPN通過設置不同級別的用戶,設置不同級別的權限來屏蔽非授權用戶的訪問。用戶的設置可以有設置帳戶、使用證書、Radius機制等不同的方式。SSL數(shù)據(jù)加密的安全性由加密算法來保證,各家公司的算法可能都不一樣。黑客想要竊聽網(wǎng)絡中的數(shù)據(jù),就要能夠解開這些加密算法后的數(shù)據(jù)包。 完整性就是對抗對手主動攻擊,防止信息被未經(jīng)授權的篡改。由于 S
28、SL VPN 一般在 GATEWAY 上或者在防火墻后面,把企業(yè)內(nèi)部需要被授權外部訪問的內(nèi)部應用注冊到 SSL VPN上,這樣對于GATEWAY來講,需要開通 443 這樣的端口到SSL VPN即可,而不需要開通所有內(nèi)部的應用的端口,如果有黑客發(fā)起攻擊也只能到SSL VPN這里,攻擊不到內(nèi)部的實際應用。 可用性就是保證信息及信息系統(tǒng)確實為授權使用者所用。前面已經(jīng)提到,對于SSL VPN要保護的后臺應用,可以為其設置不同的級別,只有相應級別的用戶才可以訪問到其對應級別的資源,從而保證了信息的可用性。 可控性就是對信息及信息系統(tǒng)實施安全監(jiān)控。SSL VPN作為一個安全的訪問連接建立工具,所有的訪問
29、信息都要經(jīng)過這個網(wǎng)關,所以記錄日志對于網(wǎng)關來說非常重要。不僅要記錄日志,還要提供完善的超強的日志分析能力,才能幫助管理員有效地找到可能的漏洞和已經(jīng)發(fā)生的攻擊,從而對信息系統(tǒng)實施監(jiān)控。 3、 加強計算機應急反應分隊建設應成立自動化系統(tǒng)安全支援分隊,以解決計算機防御性的有關問題。早在1994年,美國軟件工程學院就成立了計算機應急反應分隊。第五章 網(wǎng)絡安全的主要技術第一節(jié) 網(wǎng)絡安全論證一、網(wǎng)絡安全認證的分類51、身份認證當系統(tǒng)的用戶要訪問系統(tǒng)資源時要求確認是否是合法的用戶,這就是身份認證。常采用用戶名和口令等最簡易方法進行用戶身份的認證識別。2、報文認證主要是通信雙方對通信的內(nèi)容進行驗證,以保證報文
30、由確認的發(fā)送方產(chǎn)生、報文傳到了要發(fā)給的接受方、傳送中報文沒被修改過。3、訪問授權主要是確認用戶對某資源的訪問權限。4、數(shù)字簽名數(shù)字簽名是一種使用加密認證電子信息的方法,其安全性和有用性主要取決于用戶私匙的保護和安全的哈希函數(shù)。數(shù)字簽名技術是基于加密技術的,可用對稱加密算法、非對稱加密算法或混合加密算法來實現(xiàn)。二、放火墻技術6 防火墻是網(wǎng)絡訪問控制設備,用于拒絕除了明確允許通過之外的所有通信數(shù)據(jù),它不同于只會確定網(wǎng)絡信息傳輸方向的簡單路由器,而是在網(wǎng)絡傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統(tǒng)。大多數(shù)防火墻都采用幾種功能相結合的形式來保護自己的網(wǎng)絡不受惡意傳輸?shù)墓?,其中最?/p>
31、行的技術有靜態(tài)分組過濾、動態(tài)分組過濾、狀態(tài)過濾和代理服務器技術,它們的安全級別依次升高,但具體實踐中既要考慮體系的性價比,又要考慮安全兼顧網(wǎng)絡連接能力。此外,現(xiàn)今良好的防火墻還采用了VPN、檢視和入侵檢測技術。防火墻的安全控制主要是基于IP地址的,難以為用戶在防火墻內(nèi)外提供一致的安全策略;而且防火墻只實現(xiàn)了粗粒度的訪問控制,也不能與企業(yè)內(nèi)部使用的其他安全機制(如訪問控制)集成使用;另外,防火墻難于管理和配置,由多個系統(tǒng)(路由器、過濾器、代理服務器、網(wǎng)關、保壘主機)組成的防火墻,管理上難免有所疏忽。 第二節(jié) 數(shù)據(jù)加密3一、私匙加密與公匙加密671、私匙加密 私匙加密又稱對稱密匙加密,因為用來加密
32、信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性,它不提供認證,因為使用該密匙的任何人都可以創(chuàng)建、加密和平共處送一條有效的消息。這種加密方法的優(yōu)點是速度很快,很容易在硬件和軟件件中實現(xiàn)。2、公匙加密公匙加密比私匙加密出現(xiàn)得晚,私匙加密使用同一個密匙加密和解密,而公匙加密使用兩個密匙,一個用于加密信息,另一個用于解密信息。公匙加密系統(tǒng)的缺點是它們通常是計算密集的,因而比私匙加密系統(tǒng)的速度慢得多,不過若將兩者結合起來,就可以得到一個更復雜的系統(tǒng)。第六章 網(wǎng)絡安全評估和安全法規(guī)第一節(jié) 安全評估的國際通用準則78一、安全評估的國際通用標準的分類1、可信計算機系統(tǒng)安全評估準則 TC
33、SEC將計算機系統(tǒng)的安全劃分為4個等級、8個級別。 D類安全等級 C類安全等級 B類安全等級 A類安全等級 2、信息系統(tǒng)技術安全評估通用準則國際通用準則(CC)是ISO統(tǒng)一現(xiàn)有多種準則的結果,是目前最全面的評估準則。 CC認為安全的實現(xiàn)應構建在如下的層次框架之上(自下而上)。(1)安全環(huán)境:使用評估對象時必須遵照的法律和組織安全政策以及存在的安全威脅。(2)安全目的:對防范威脅、滿足所需的組織安全政策和假設聲明。(3)評估對象安全需求:對安全目的的細化,主要是一組對安全功能和保證的技術需求。(4)評估對象安全規(guī)范:對評估對象實際實現(xiàn)或計劃實現(xiàn)的定義。(5)評估對象安全實現(xiàn):與規(guī)范一致的評估對象
34、實際實現(xiàn)。第二節(jié)安全評估的國內(nèi)通用準則一、信息系統(tǒng)安全劃分準則 國家標準GB17859-99是我國計算機信息系統(tǒng)安全等級保護系列標準的核心,是實行計算機信息系統(tǒng)安全等級保護制度建設的重要基礎。此標準將信息系統(tǒng)分成5個級別,分別是用戶自主保護級、系統(tǒng)審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級。構成。其中代碼區(qū)可以由FDISK /MBR重建。表11.1 信息系統(tǒng)的5個級別第 一 級第 二 級第 三 級第 四 級第 五 級自主訪問控制身份鑒別數(shù)據(jù)完整性客體重用審計強制訪問控制標記隱蔽信道分析可信路徑可信恢復在此標準中,一個重要的概念是可信計算基(TCB)??尚庞嬎慊且粋€實現(xiàn)安全策略的
35、機制,包括硬件、固件和軟件,它們將根據(jù)安全策略來處理主體(例如:系統(tǒng)管理員、安全管理員和用戶等)對客體(例如:進程、文件、記錄和設備等)的訪問。1自主訪問控制2身份鑒別3數(shù)據(jù)完整性4客體重用5審計6強制訪問控制7標記8隱蔽信道分析9可信路徑10可信恢復二、信息系統(tǒng)安全有關的標準 9隨著CC標準的不斷普及,我國也在2001年發(fā)布了GB/T 18336標準,這一標準等同采用ISO/IEC 15408-3:信息技術 安全技術 信息技術安全性評估準則。第三節(jié) 網(wǎng)絡的法律法規(guī)10一、網(wǎng)絡安全相關的法規(guī)我國對信息系統(tǒng)的立法工作很重視,關于計算機信息系統(tǒng)安全方面的法規(guī)較多,涉及到信息系統(tǒng)安全保護、國際聯(lián)網(wǎng)管
36、理、計算機病毒防治、商用密碼管理和安全產(chǎn)品檢測與銷售等多方面。主要有以下一些。1、1989年,公安部發(fā)布了計算機病毒控制規(guī)定(草案)。2、1991年,國務院第83次常委會議通過計算機軟件保護條例。3、1994年2月18日,國務院發(fā)布中華人民共和國計算機信息系統(tǒng)安全保護條例。其主要內(nèi)容如下:4、1996年2月1日,國務院發(fā)布中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定。5、1997年5月20日,國務院信息化工作領導小組制定了中華人民共和國計算機信6、1997年,國務院信息化工作領導小組發(fā)布中國互聯(lián)網(wǎng)絡域名注冊暫行管理辦法、中國互聯(lián)網(wǎng)絡域名注冊實施細則。7、1997年,原郵電部出臺國際互聯(lián)網(wǎng)出入信道管理辦法。8、2000年,互聯(lián)網(wǎng)信息服務管理辦法正式實施。9、2000年11月,國務院新聞辦公室和信息產(chǎn)業(yè)部聯(lián)合發(fā)布互聯(lián)網(wǎng)站從事登載新聞業(yè)務管理暫行規(guī)定。10、2000年11月,信息產(chǎn)業(yè)部發(fā)布互聯(lián)網(wǎng)電子公告服務管理規(guī)定。二、網(wǎng)絡的法律規(guī)范1、網(wǎng)絡服務機構設立的條件 是依法設立的企業(yè)法人或者事業(yè)法人。 具有相應的計算機信息網(wǎng)絡、裝備以及相應的技術人員和管理人員。 具有健全的安全保密管理制度和技術保護措施。 符合法律和國務院規(guī)
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024美容院客戶投訴處理協(xié)議
- 2024年銷售代表就業(yè)協(xié)議書3篇
- 二零二五年度現(xiàn)代簡約餐廳裝飾裝修與品牌推廣合同3篇
- 2025年度大米種植與收購金融服務合同3篇
- 2025年度道路施工安全防護及交通疏導協(xié)議3篇
- 2024年運輸合同之貨物運輸路線與時間保障
- 2025年度智能調光窗簾系統(tǒng)項目合同書3篇
- 2025年度臨時運輸司機績效考核及獎勵合同4篇
- 2024衣柜墻板吊頂裝修工程款項支付與結算合同
- 2025年度二零二五廠區(qū)生態(tài)修復與綠化養(yǎng)護綜合服務合同3篇
- 2025年中國高純生鐵行業(yè)政策、市場規(guī)模及投資前景研究報告(智研咨詢發(fā)布)
- 湖北省黃石市陽新縣2024-2025學年八年級上學期數(shù)學期末考試題 含答案
- 2022-2024年浙江中考英語試題匯編:完形填空(學生版)
- 2025年廣東省廣州市荔灣區(qū)各街道辦事處招聘90人歷年高頻重點提升(共500題)附帶答案詳解
- 中試部培訓資料
- 硝化棉是天然纖維素硝化棉制造行業(yè)分析報告
- 央視網(wǎng)2025亞冬會營銷方案
- 北師大版數(shù)學三年級下冊豎式計算題100道
- 計算機網(wǎng)絡技術全套教學課件
- 屋頂分布式光伏發(fā)電項目施工重點難點分析及應對措施
- 胃鏡下超聲穿刺護理配合
評論
0/150
提交評論