第8講移動電子商務

第8章

移動商務安全與應用

引例8移動商務安全——“高溫”下的炸彈8.1移動商務安全概述8.2移動終端安全策略8.3無線商務安全策略8.43G系統安全

1[本章要點]移動商務安全的三大方面的威脅、六大安全需求、解決方案的七項基本內容及面臨的三大問題；移動終端的安全隱患及防護措施：主要介紹手機的安全隱患及防護措施。無線因特網安全策略：藍牙標準、WTLS、WPKI、Mobile3-DSecure、802.11b、802.1X。3G系統面臨的三類主要攻擊、三層安全體系及十個主要安全算法。

28.1移動商務安全概述8.1.1移動商務的安全威脅8.1.2移動商務的安全需求8.1.3移動商務安全解決方案8.1.4移動商務面臨的隱私和法律問題38.1.1移動商務的安全威脅移動設備是電子商務應用的新接口，但它們的安全功能卻受到嚴重限制。歸納起，主要是以下三大方面的安全問題。1.移動終端的安全問題:終端易被盜、弱加密能力和易被竊聽等方面。（1）終端被盜用。（2）終端弱加密能力。（3）移動信息在空中更容易被攔截。48.1.1移動商務的安全威脅（續(xù)）2.無線通信網絡的安全問題：主要包括以下三個方面：（1）非授權訪問數據攻擊者可以竊聽無線鏈路上的用戶敏感數據。（2）完整性的威脅攻擊者可以修改、插入、重放或刪除用戶的敏感數據。（3）拒絕服務攻擊者通過在物理上或協議上干擾用戶信息在無線鏈路上的正確傳輸，來實現無線鏈路上的拒絕服務攻擊。58.1.1移動商務的安全威脅(續(xù))3.服務網絡的安全問題:主要包括以下五個方面：（1）非授權訪問數據攻擊者在服務網內竊聽、非授權訪問用戶的敏感數據。（2）完整性威脅攻擊者可以修改、重放或刪除服務網內的用戶敏感數據，或假冒通信的某一方修改通信的數據。（3）拒絕服務攻擊者通過在物理上或協議上干擾用戶信息在網絡中的正確傳輸，來實現網絡中的拒絕服務攻擊。（4）否認用戶可能對已完成的交易或行為進行否認，網絡單元可能否認發(fā)出的信令或控制數據，或否認接收到其它網絡單元發(fā)出的信令或控制數據。（5）非授權訪問服務攻擊者可能模仿合法用戶使用網絡服務，也可能假冒服務網以利用合法用戶的接入嘗試獲得網絡服務；攻擊者還可假冒歸屬網以獲得其假冒某一用戶所需的信息等。68.1.2移動商務的安全需求1.雙向身份認證：指移動用戶與移動通信網絡之間相互認證身份2.密鑰協商和雙向密鑰控制：指移動用戶與移動網絡之間通過安全參數協商確定會話密鑰，不能單獨由一方確定，保證一次一密。3.雙向密鑰確認：移動用戶與移動網絡系統要進行相互確認，確保對方和自己擁有相同的會話密鑰，以保證接下來的會話中經過自己加密的信息在被對方接收后能夠進行解密。4.相關數據的不可否認：指移動通信中的某一方對自己發(fā)送或者接收到的某些數據在事后不能進行抵賴。78.1.2移動商務的安全需求（續(xù)）5.相關敏感數據的機密性：特別適用于用戶的身份信息，因為有些用戶為了防止自己的所在位置信息和行蹤泄漏，需要對自己的身份信息進行保護，即身份信息不能以明文形式在網絡傳輸。6.協議盡量簡單：考慮到目前移動通信系統的帶寬受限，以及移動通信終端的計算資源有限，所設計的身份認證和密鑰協商協議應該保證盡量簡單、計算量小、通信量小。對于上述安全需求，并不是每個身份認證協議都要全部滿足。在設計身份認證和密鑰協商協議時，可以根據具體實際情況的需要，設計滿足其中上述部分安全需求的協議。88.1.3移動商務安全解決方案目前，市場上提供了許多安全性解決方案來降低移動電子商務的風險及易受攻擊性。首先，無線電子商務解決方案要求的安全控制，與用來保護有線電子商務環(huán)境中使用的企業(yè)網絡外圍設備，以及Web應用的安全控制完全相同。還需要其他技術在所有無線電子商務信道提供安全性。在這些移動電子商務安全性技術中，有許多正處在開發(fā)或演進階段。然而，公司考慮的一些主要發(fā)展趨勢和選項一般包括：98.1.3移動商務安全解決方案（續(xù)）

1.加密技術2.個人防火墻3.嚴格的用戶鑒權4.單一登入5.無線PKI技術6.授權7.安全流程108.1.4移動商務面臨的隱私和法律問題1.垃圾短信息在移動通信給人們帶來便利和效率的同時，也帶來了很多煩惱，遍地而來的垃圾短信廣告打擾著我們的生活。在移動用戶進行商業(yè)交易時，會把手機號碼留給對方。垃圾短信使得人們對移動商務充滿恐懼，而不敢在網絡上使用自己的移動設備從事商務活動。目前，還沒有相關的法律法規(guī)來規(guī)范短信廣告，運營商還只是在技術層面來限制垃圾短信的群發(fā)。目前，信息產業(yè)部正在起草手機短信的規(guī)章制度，相信不久的將來會還手機短信一片綠色的空間。118.1.4移動商務面臨的隱私和法律問題續(xù)）2.定位新業(yè)務的隱私威脅定位是移動業(yè)務的新應用，其技術包括:全球定位系統，該種技術利用24顆GPS衛(wèi)星來精確（誤差在幾米之內）定位地面上的人和車輛；基于手機的定位技術TOA，該技術根據從GPS返回響應信號的時間信息定位手機所處的位置。定位在受到歡迎的同時，也暴露了其不利的一面——隱私問題。128.1.4移動商務面臨的隱私和法律問題（續(xù)）3.移動商務的法律保障電子商務的迅猛發(fā)展推動了相關的立法工作。2005年4月1日，中國首部真正意義上的信息化法律《電子簽名法》正式實施，電子簽名與傳統的手寫簽名和蓋章將具有同等的法律效力，標志著我國電子商務向誠信發(fā)展邁出了第一步?！峨娮雍灻ā妨⒎ǖ闹匾康氖菫榱舜龠M電子商務和電子政務的發(fā)展，增強交易的安全性。138.2移動終端安全策略8.2.1手機病毒的種類及癥狀8.2.2手機病毒的原理8.2.3手機病毒的攻擊模式8.2.4手機病毒的防護措施148.2.1手機病毒的種類及癥狀2001年7月初，一種惡作劇手機病毒讓日本警方受驚不少。當時，一種具有電子郵件和瀏覽HTML頁面功能的手機成為搶手貨。該病毒通過電子郵件大量散發(fā)內含惡意鏈接的HTML程序，當手機用戶打開鏈接后就會自動撥打日本警方的報警電話。158.2.1手機病毒的種類及癥狀（續(xù)）手機病毒按病毒形式可分以下四大類：（1）通過“無線傳送”藍牙設備傳播的病毒，如“卡比爾（Cabir)”，“Lasco.A”（2）針對移動通信商的手機病毒，如“蚊子木馬”（3）針對手機BUG的病毒，如移動黑客（Hack.MobileSmsdos)（4）利用短信或彩信進行攻擊的”MobileSmsdos”病毒168.2.1手機病毒的種類及癥狀（續(xù)）手機感染病毒后，一般會出現以下4種癥狀：（1）開機困難或開不了機（2）操作反應遲鈍（3）電池耗電量大（4）自動關機或死機178.2.2手機病毒的原理手機病毒的原理和計算機病毒一樣是一種計算機程序，只不過它是以手機為感染對象，以手機網絡和計算機網絡為平臺，通過病毒短信等形式，對手機進行攻擊，從而造成手機異常的一種新型病毒。因此手機病毒具有同計算機病毒類似的特點：①手機病毒也是由計算機程序編寫而成；②同樣具有傳播功能，可利用發(fā)送普通短信、彩信、上網瀏覽、下載軟件、鈴聲等方式，實現網絡到手機的傳播（有些病毒可以在手機之間傳播）；188.2.2手機病毒的原理（續(xù)）③具有類似計算機病毒的危害后果，包括“軟”危害（如死機、關機、刪除存儲的資料、向外發(fā)送垃圾郵件、撥打電話等）和“硬”危害（損毀SIM卡、芯片等硬件損壞）。④在攻擊手段上，手機病毒也與計算機病毒相似，主要通過垃圾信息、系統漏洞和技術手段進行攻擊。不過，手機病毒必須具備兩個基本的條件才能傳播和發(fā)作，首先移動服務商要提供數據傳輸功能，另外，要求手機使用的是動態(tài)操作系統，也就是支持Java等高級程序寫入功能198.2.3手機病毒的攻擊模式手機病毒有以下三種攻擊方式一、直接攻擊手機本身，使手機無法提供服務。二、攻擊WAP服務器使WAP手機無法接收正常信息。三、攻擊和控制“網關”，向手機發(fā)送垃圾信息。以上分析以看出，第一種攻擊是病毒對手機本身進行直接攻擊，后兩種是手機病毒對網絡的攻擊，目前手機病毒主要以對手機直接攻擊為主，其他兩種攻擊方式的手機病毒還未出現。但隨著新一代手機網絡的興起，手機的網絡功能將會越來越強，而能進行后兩種攻擊的手機病毒也將會越來越普遍。208.2.4手機病毒的防護措施一般可以采取以下5種措施預防手機病毒（1）不要隨意使用手機藍牙功能（2）確定手機下載站點的安全性，到專業(yè)站點下載相關信息（3）養(yǎng)成良好的信息保存習慣（4）誘人短信不可信（5）采取必要的放病毒措施218.3無線商務安全策略8.3.1藍牙技術安全策略8.3.2無線應用協議和無線傳輸層安全8.3.3無線PKI8.3.4Mobile3-DSecure標準8.3.5無線網絡標準IEEE802.11b228.3.1藍牙技術安全策略藍牙技術中，物理層數據的安全性主要是采用了跳頻擴展頻譜

藍牙技術產品的認證和加密服務一般由鏈路層提供，認證采用口令/應答方式進行

為了得到完整的傳輸數據，藍牙技術采用3種糾錯方案：①1/3比例前向糾錯碼（FEC）；②2/3比例前向糾錯碼（FEC）；③數據的自動重發(fā)請求（ARQ）方案。藍牙技術產品還可以采用更高級別的傳輸層和應用層安全機制238.3.1藍牙技術安全策略（續(xù)）在鏈路層中，藍牙系統提供了認證、加密和密鑰管理等功能，每一個用戶都有一個標識碼（PIN），藍牙設備中所用的PIN碼的長度可以在1到16個字節(jié)之間變化。通常4個字節(jié)的PIN碼已經可以滿足一般應用，但是更高安全級別的應用將需要更長的碼字。PIN碼可以是藍牙設備提供的一個固定碼，也可以由用戶任意指定，標識碼（PIN）會被一個128位鏈路密鑰來進行單雙向認證。一旦認證完畢，鏈路層會以不同長度的密鑰來加密，如圖8-1所示248.3.1藍牙技術安全策略（續(xù)）258.3.2無線應用協議和無線傳輸層安全無線應用協議（WirelessApplicationProtocol,WAP）是一個用于向無線終端進行智能化信息傳遞的無需授權、不依賴平臺的協議。WAP提供一種以安全迅速、靈活、在線和交互的方式連接服務、信息和其他用戶的媒介。用戶可以從通過移動電話、尋呼機或其他無線設備實現的對相關Internet／Intranet信息的方便安全的訪問。還可以得到消息通知與呼叫管理、電子郵件、電話增值服務與聯合消息發(fā)送、地圖與定位服務、天氣與交通預報、新聞、體育信息服務、電子商務交易與銀行服務、在線地址簿與目錄服務以及企業(yè)內聯網應用等多項服務。

268.3.3無線PKI它是基于移動GSM網絡短消息和STK卡技術開發(fā)的移動增值應用服務平臺。它將移動通信網絡、Internet、在線支付和WPKI安全加密認證技術有機地結合起來，向移動用戶提供安全的服務。WPKI可以使得移動用戶可以個人擁有的數字證書而使交易信息獲得有效的、端到端的安全保證，滿足保密性、完整性、身份認證、不可抵賴性的要求，解決了電子商務領域中人們最擔心的安全問題。278.3.4Mobile3-DSecure標準VisaInternational日前公布了一項新的移動商務安全標準，名為“Mobile3-DSecure”，這項標準針對移動商務支付環(huán)節(jié)，將互聯網安全標準擴展到了無線設備中

“Mobile3-DSecure”標準是它與15家企業(yè)共同開發(fā)的，其中包括愛立信、摩托羅拉及Oracle。Visa正在將這種標準結合到其可鑒別性支付電子商務程序中。新的標準使Visa信用卡發(fā)行者能實時確認持卡者身份，并使發(fā)行者能在公開網絡及公開電波中加密支付及帳號信息。

288.3.5無線網絡標準IEEE802.11bIEEE802.11是IEEE（電氣和電子工程師協會）制定的一個無線局域網標準，主要用于解決辦公室局域網和校園網中的用戶與用戶終端之間的無線接入。IEEE802.11業(yè)務主要限于數據存取，傳輸速率最高只能達到2Mbps。由于IEEE802.11在速率上的不足，已不能滿足數據應用的需求；因此，IEEE又相繼推出了IEEE802.11b和IEEE802.11a這兩個新的標準。三者之間技術差別主要在于MAC（Medium

Access

Control，媒介訪問控制）子層和物理層。IEEE802.11b提供了MAC層的訪問控制機制和加密機制，這就是所謂的有線等價保密（WiredEquivalentPrivacy，WEP），其目標是為無線LAN提供與有線網絡相同級別的安全保護。在數據加密方面，IEEE802.11b標準提供了可選的RSA40位長的共享密鑰RC4PRNG算法。在聯系建立期間，所有端點和接入點收發(fā)的數據都使用這個密鑰進行加密。除此之外，當使用加密時，接入點將給所有試圖與之聯系的客戶端發(fā)放一個加密的查詢包。除了第二層外，IEEE802.11b無線LAN也能夠支持其他的802LAN所支持的訪問控制（如網絡操作系統登錄）和加密（如IPsec或應用級加密）技術。在同時包含無線和有線組件的網絡中，這些高層技術可以提供端到端的安全保護。298.43G系統安全8.4.13G面臨的主要攻擊8.4.23G安全結構8.4.33G安全算法308.43G系統安全（續(xù)）第三代移動通信系統(3G)是一個在全球范圍內覆蓋與使用的網絡系統，信息的傳輸既經過全開放的無線鏈路，亦經過開放的全球有線網絡，同時，在第三代移動通信系統中，除了傳統的語音業(yè)務外，它還將提供多媒體業(yè)務、數據業(yè)務、以及電子商務、電子貿易、互聯網服務等多種信息服務。因此，如何在第三代移動通信系統中保證業(yè)務信息的安全性以及網絡資源使用的安全性已成為3G系統中重要而迫切的問題。318.43G系統安全（續(xù)）常用的網絡安全措施主要包括身份認證、消息認證、密鑰管理與分發(fā)、加密、存取控制等。身份認證主要是利用用戶有關信息對用戶的身份進行確認，它是其它安全措施的基礎，常用的身份認證方法有基于口令的身份認證，基于智能卡的身份認證，以及基于生物特征的身份認證，如指紋、視網膜等。消息認證是對消息的完整性及消息的源與目的地進行確認，消息認證通常是通過附加消息認證碼實現。加密是對明文消息進行變換，從而防止信息泄露，常用的加密算法主要有對稱鑰算法(如DES)和非對稱鑰算法(如RSA)兩類。第三代移動通信系統綜合利用上述安全措施實現完善的系統安全服務。328.4.13G面臨的主要攻擊3G面臨的主要攻擊有以下3類：(1)針對系統無線接口的攻擊①對非授權數據的非法獲取②對數據完整性的攻擊③拒絕服務攻擊④對業(yè)務的非法訪問攻擊。⑤主動用戶身份捕獲攻擊。⑥對目標用戶與攻擊者之間的加密流程進行壓制，使加密流程失效338.4.13G面臨的主要攻擊（續(xù)）（2）針對系統核心網的攻擊①對數據的非法獲取。②對數據完整性的攻擊。③拒絕服務攻擊。④否定。⑤對非授權業(yè)務的非法訪問。348.4.13G面臨的主要攻擊（續(xù)）（3）針對終端的攻擊①使用偷竊的終端和智能卡；②對終端或智能卡中數據進行篡改；③對終端與智能卡間的通信進行偵聽；④偽裝身份截取終端與智能卡間的交互信息；⑤非法獲取終端或智能卡中存儲的數據。358.4.23G安全結構

3G安全邏輯結構如下圖368.4.23G安全結構（續(xù)）3G系統安全分為三個層面，針對不同攻擊類型，分為五類：①網絡接入安全：主要抗擊對無線鏈路的攻擊。包括用戶身份保密、用戶位置保密、用戶行蹤保密、實體身份認證、加密密鑰分發(fā)、用戶數據與信令數據的保密及消息認證。②核心網安全：主要保證核心網絡實體間安全交換數據。包括網絡實體間身份認證，數據加密，消息認證，以及對欺騙信息的收集。③用戶安全：主要保證對移動臺的安全接入。包括用戶與智能卡間的認證，智能卡與終端間的認證及其鏈路的保護。④應用安全：主要保證用戶與服務提供商間應用程序間安全交換信息。主要包括應用實體間的身份認證，應用數據重放攻擊的檢測，應用數據完整性保護，接收確認等。⑤安全特性可見性及可配置能力。主要指用戶能獲知安全特性是否在使用，以及服務提供商提供的服務是否需要以安全服務為基礎。378.4.23G安全結構（續(xù)）3G安全功能結構如圖8-3，其中橫線表示網絡實體，依據利益關系分為三部分：(1)用戶部分：用戶智能卡(USIM)及用戶終端(UT)；(2)服務網絡：服務網絡無線接入控制器(RNC)和拜訪位置寄存器(VLR)；(3)歸屬網絡：用戶位置寄存器(HLR)和認證中心(UIDN)?？v軸代表相應的安全措施,主要分為五類：(1)增強用戶身份保密(EUIC)(2)用戶與服務網間身份認證(UIC)；(3)認證與密鑰協商(AKA)，(4)用戶及信令數據保密(DC)(5)消息認證(DI)388.4.23G安全結構（續(xù)）398.4.33G安全算法為實現系統安全功能，定義了10個安全算法f0～f9。f0算法用于產生隨機值，f8和f9分別用來實現DC和DI，為標準算法。f6與f8用于實現EUIC。AKA由算法f1～f5實現，其中f1算法用于產生消息認證碼，f2算法用于消息認證中計算期望響應值，f3用于產生加密密鑰，f4用于產生消息完整性認證密鑰，f5用于產生匿名密鑰，f6用于對用戶身份(IMUI)進行加密，f7用于對用戶身份進行解密。圖8-4為網絡端身份認證與密鑰協商結構，圖8-5為USIM端用戶身份認證與密鑰協商結構。AKA算法為非標準化算法，由運營商與制造商協商確定。408.4.33G安全算法（續(xù)）411．什么是移動商務安全？它有何特點？2．手機面臨的主要安全隱患是什么？有何癥狀？如何預防？3．什么是藍牙標準？藍牙技術中有哪三種糾錯措施？4．什么是無線PKI？它有什么作用？5．移動支付中常用的傳輸技術有哪些？6．3G系統安全包含什么內容？7．3G有哪些安全算法？思考題42第9章互聯網安全技術引例9互聯網安全狀況令人擔憂9.1網絡安全基礎

9.2防火墻技術

9.3VPN技術

9.4網絡入侵檢測

9.5防病毒技術43引例6互聯網安全狀況令人擔憂黑客攻擊的目標對象和行為性質已從最初的政府機構、知名的社會及大公司網站的炫耀式走訪入侵的簡單舉動，發(fā)展到了對中小企業(yè)的站點進行刻意破壞的極端局面。該類事件涉及的覆蓋面越來越大、程度越來越深，以至于現在很多企業(yè)都不敢真正利用互聯網進行電子商務建設。

44[本章要點]

→互聯網安全的九項基本服務、七大防范機制和四大關鍵技術?！阑饓Φ奈鍌€基本功能、四大基本類型、六種基本技術、五種配置方法。→防火墻的安全策略：凡是沒有被列為允許訪問的服務都是被禁止的；凡是沒有被列為禁止訪問的服務都是被允許的?！摂M專用網的六種分類方法、三種基本技術。→虛擬專用網的安全策略。→入侵檢測的三種主要的檢測機制、三大檢測方法、三個基本步驟。

459.1網絡安全基礎9.1.1網絡安全的定義9.1.2網絡安全服務內涵9.1.3網絡安全防范機制9.1.4網絡安全關鍵技術

469.1.1網絡安全的定義網絡系統的安全涉及到平臺的各個方面。按照網絡OSI的7層模型，網絡安全貫穿于整個7層模型。針對網絡系統實際運行的TCP/IP協議，網絡安全貫穿于信息系統的4個層次。圖6-1表示了對應網絡系統的安全體系層次模型：應用層應用系統應用層應用系統安全應用平臺應用平臺安全會話層會話安全網絡層安全路由/訪問機制鏈路層鏈路安全物理層物理層信息安全479.1.2網絡安全服務內涵

①認證。②對等實體鑒別③訪問控制。④信息加密⑤信息的完整性。⑥抗拒絕服務⑦業(yè)務的有效性⑧審計⑨不可抵賴

489.1.3網絡安全防范機制

①加密機制。②數字簽名機制。③存取控制機制。④信息完整性機制

⑤業(yè)務量填充機制

⑥路由控制機制

⑦公證機制

499.1.4網絡安全關鍵技術

訪問控制技術身份認證技術加密通信技術入侵檢測技術防病毒技術509.2防火墻技術9.2.1防火墻的功能特征9.2.2防火墻的基本類型9.2.3防火墻的基本技術9.2.4防火墻的配置結構9.2.5

防火墻的安全策略

51防火墻的概念防火墻是具有以下特征的計算機硬件或軟件：（1）由內到外和由外到內的所有訪問都必須通過它；（2）只有本地安全策略所定義的合法訪問才被允許通過它；（3）防火墻本身無法被穿透。通常意義上講的硬防火墻為硬件防火墻，它是通過硬件和軟件的結合來達到隔離內、外部網絡的目的，價格較貴，但效果較好，一般小型企業(yè)和個人很難實現；軟件防火墻是通過軟件的方式來達到，價格很便宜，但這類防火墻只能通過一定的規(guī)則來達到限制一些非法用戶訪問內部網的目的。529.2.1防火墻的功能特征1.防止外部攻擊2.防止內部信息泄漏3.對網絡存取和訪問進行監(jiān)控審計4.ＶＰＮ功能5.防火墻自身的抗攻擊能力539.2.2防火墻的基本類型

數據包過濾應用級網關代理服務器

復合型防火墻54數據包過濾防火墻1.數據包過濾防火墻的工作原理數據包過濾技術是在網絡層對數據包進行選擇，選擇的依據是系統內設置的過濾邏輯---訪問控制表。通過檢查數據流中的每個數據包的源地址、目的地址、所用TCP端口號和協議等要素，確定是否允許該數據包通過。552.數據包過濾防火墻的優(yōu)缺點

優(yōu)點：不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。

缺點：以過濾判別的只有網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數目是有限制的，且隨著規(guī)則數目的增加，性能會受到很大地影響；由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC一類的協議；另外，大多數過濾器中缺少審計和報警機制，且管理方式和用戶界面較差；對安全管理人員素質要求高，建立安全規(guī)則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統。數據包過濾防火墻（續(xù)）56應用級網關型防火墻應用級網關(ApplicationLevelGateways)是在網絡應用層上建立協議過濾和轉發(fā)功能。它針對特定的網絡應用服務協議使用指定的數據過濾邏輯，并在過濾的同時，對數據包進行必要的分析、登記和統計，形成報告。實際中的應用網關通常安裝在專用工作站系統上。數據包過濾和應用網關防火墻有個共同的特點，都是依靠特定的邏輯判定是否允許數據包通過。一旦滿足邏輯，則防火墻內外的計算機系統建立直接聯系，防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀態(tài)，這不利于抗擊非法訪問和攻擊。57代理服務型防火墻代理服務(ProxyService)也稱鏈路級網關或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人將它歸于應用級網關一類。它是針對數據包過濾和應用網關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網絡通信鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現，外部計算機的網絡鏈路只能到達代理服務器，從而起到了隔離防火墻內外計算機系統的作用。58應用代理型防火墻是內部網與外部網的隔離點，起著監(jiān)視和隔絕應用層通信流的作用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統中可用作安全決策的全部信息。代理服務型防火墻（續(xù)）59復合型防火墻對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結合起來，形成復合型防火墻產品。這種結合通常是以下兩種方案。（１）屏蔽主機防火墻體系結構：在該結構中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內部網絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內部網絡不受未授權外部用戶的攻擊。（２）屏蔽子網防火墻體系結構：堡壘機放在一個子網內，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網的兩端，使這一子網與Internet及內部網絡分離。在屏蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的安全基礎。609.2.3防火墻的基本技術

先進的防火墻產品將網關與安全系統合二為一，具有以下技術：1.雙端口或三端口結構

2.透明訪問方式

3.代理系統技術

4.多級過濾技術

5.網絡地址轉換技術（NAT）

6.Internet網關技術

7.安全服務器網絡（SSN）技術

8.用戶鑒別與加密技術

9.用戶定制技術

10.審計和告警技術

619.2.4防火墻的配置結構

在一個網絡系統中，防火墻可能是單個的主機系統，更多的則可能是多個設備組成的系統，所以其體系結構可能多種多樣。在各類防火墻配置結構中，就其結構的本質而言，主要有以下五種。1.屏蔽路由器2.雙重宿主主機體系結構3.被屏蔽主機體系結構4.被屏蔽子網體系結構5.復合體系結構62屏蔽路由器(ScreeningRouter)，也叫安全路由器。它可以由廠家專門生產的路由器實現，也可以用主機來實現。屏蔽路由器作為內外連接的惟一通道，要求所有的報文都必須在此通過檢查。路由器上可以安裝基于IP層的報文過濾軟件，實現報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。單純由屏蔽路由器構成的防火墻的危險包括路由器本身及路由器允許訪問的主機。屏蔽路由器的缺點是一旦被攻隱后很難發(fā)現，而且不能識別不同的用戶。

1.屏蔽路由器632.雙重宿主主機體系結構雙重宿主主機體系結構(DualHomedGateway)圍繞雙重宿主主機構筑。雙重宿主主機至少有兩個網絡接口。643.被屏蔽主機體系結構雙重宿主主機體系結構(ScreenedGateway)防火墻沒有使用路由器。而被屏蔽主機體系結構防火墻則使用一個路由器把內部網絡和外部網絡隔離開，如圖6-5。654.被屏蔽子網體系結構被屏蔽子網體系結構(ScreenedSubnet)添加額外的安全層到被屏蔽主機體系結構，即通過添加周邊網絡更進一步的把內部網絡和外部網絡（通常是Internet）隔離開。被屏蔽子網體系結構的最簡單的形式為，兩個屏蔽路由器，每一個都連接到周邊網。一個位于周邊網與內部網絡之間，另一個位于周邊網與外部網絡（通常為Internet）之間。這樣就在內部網絡與外部網絡之間形成了一個“隔離帶”。為了侵入用這種體系結構構筑的內部網絡，侵襲者必須通過兩個路由器。即使侵襲者侵入堡壘主機，他將仍然必須通過內部路由器。如圖6-6。664.被屏蔽子網體系結構（續(xù)）67建造防火墻時，一般很少采用單一的技術，通常是多種解決不同問題的技術的組合。一般有以下幾種形式：

①使用多堡壘主機；②合并內部路由器與外部路由器；③合并堡壘主機與外部路由器；④合并堡壘主機與內部路由器；⑤使用多臺內部路由器；⑥使用多臺外部路由器；⑦使用多個周邊網絡；⑧使用雙重宿主主機與屏蔽子網。5.復合體系結構689.2.5防火墻的安全策略

防火墻包含著一對矛盾(或稱機制)：一方面它限制數據流通，另一方面它又允許數據流通。防火墻的安全策略存在兩種極端的情形：①凡是沒有被列為允許訪問的服務都是被禁止的。②凡是沒有被列為禁止訪問的服務都是被允許的

。第一種的特點是安全但不好用，第二種易用但不安全，而多數防火墻都在兩者之間采取折衷。這里所謂的好用或不好用主要指跨越防火墻的訪問效率。在確保防火墻安全或比較安全前提下提高訪問效率是當前防火墻技術研究和實現的熱點。699.3VPN技術9.3.1VNP的功能特征9.3.2VPN的基本類型9.3.3VPN的基本技術9.3.4VPN的配置結構9.3.5VPN的安全策略

VPN是英文VirtualPrivateNetwork的縮寫，中文譯為虛擬專用網。VPN也使一項保證網絡安全的技術之一，它是指在公共網絡中建立一個專用網絡，數據通過建立好的虛擬安全通道在公共網絡中傳播。

709.3.1VNP的功能特征VPN的工作原理是：信息的發(fā)送進程通過可信任的內部網發(fā)送明文到VPN服務器，由VPN根據安全策略對數據包（包括源IP地址和目的IP地址等）進行加密。并附上數字簽名，然后VPN服務器對包加上新的數據報頭，其中包括一些安全信息和參數，對加密后的數據包重新進行封裝。此數據包通過Internet上的“隧道”傳輸。到達目的方的VPN服務器，由該服務器解包，核對數字簽名，并且解密。最后，明文信息通過內部網傳輸到目的地。719.3.1VNP的功能特征（續(xù)）VPN具有虛擬的特點，VPN并不是某個公司專有的封閉線路或者是租用某個網絡服務商提供的封閉線路，但同時VPN又具有專線的數據傳輸功能，因為VPN能夠像專線一樣在公共網絡上處理自己公司的信息。VPN可以說是一種網絡外包，企業(yè)不再追求擁有自己的專有網絡，而是將對另外一個公司的訪問任務部分或全部外包給一個專業(yè)公司去做，這類專業(yè)公司的典型代表是電信企業(yè)。729.3.1VNP的功能特征（續(xù)）VPN具有以下優(yōu)點：①低成本；②易擴展；③完全控制主動權。VPN還存在不足，主要幾個方面:①盡管VPN的設備供應商們可以為遠程辦公室或Extranet服務的專線或幀中繼提供有效方式，可是VPN的服務提供商們只保證數據在其管轄范圍內的性能，一旦出了其“轄區(qū)”則安全沒有保證。②作為一種典型技術，VPN的應用時間還不長，VPN的管理流程和平臺相對于其他遠程接入服務器或其他網絡結構的設備來說，有時并不太好用。③不同廠商的IPSecVPN的管理和配置掌握起來是最難的，這需要同時熟悉IPSec和不同廠商的執(zhí)行方式，包括不同的術語。739.3.1VNP的功能特征（續(xù)）

虛擬專用網至少應能提供如下功能：①加密數據，以保證通過公網傳輸的信息即使被他人截獲也不會泄露。②信息認證和身份認證，保證信息的完整性、合法性，并能鑒別用戶的身份。③提供訪問控制，不同的用戶有不同的訪問權限。749.3.2VPN的基本類型基于不同的角度或出發(fā)點，對VPN的分類方法多種多樣，就目前而言，還沒有一種公認的最為合理的劃分方式。下面是幾種常用的劃分方法。1.按接入方式劃分為兩類①專線VPN：專線VPN是為已經通過專線接入ISP（因特網服務提供商）邊緣路由器的用戶提供的VPN實現方案。②撥號VPN：撥號VPN又稱VPDN，指的是為利用撥號方式通過PSTN（公用電話交換網）或ISDN（綜合業(yè)務數字網）接入ISP的用戶提供的VPN業(yè)務。759.3.2VPN的基本類型（續(xù)）2.按隧道協議所屬的層次劃分為三類①工作在鏈路層的第二層隧道協議：如點到點隧道協議（PPTP）、第二層轉發(fā)協議（L2F）、第二層隧道協議（LSTP）。②工作在網絡層的第三層隧道協議：如通用路由封裝協議（GRE）、IP安全協議（IPSec）。③介于第二層和第三層之間的隧道協議：如MPLS隧道協議。769.3.2VPN的基本類型（續(xù)）3.按VPN發(fā)起主體不同劃分為兩類①基于客戶的VPN：由客戶發(fā)起的VPN。②基于網絡的VPN：也稱客戶透明方式，由服務器發(fā)起的VPN。4.按VPN業(yè)務類型劃分有為三類①IntranetVPN：企業(yè)的總部與分支機構之間通過公網構筑的虛擬網。②AccessVPN：企業(yè)員工或企業(yè)的小分支機構通過公網遠程撥號方式構筑的虛擬網。③ExtranetVPN：企業(yè)間發(fā)生收購、兼并或企業(yè)間建立戰(zhàn)略聯盟后，使不同企業(yè)間通過公網來構筑的虛擬網。779.3.2VPN的基本類型（續(xù)）5.按VPN應用平臺劃分為三類①軟件VPN：利用軟件公司提供的完全基于軟件的VPN產品來實現的VPN。②專用硬件VPN：利用硬件廠商提供的專用硬件平臺來實現的VPN。③輔助硬件VPN：輔助硬件平臺的VPN主要是指以現有網絡設備為基礎、再增添適當的VPN軟件實現的VPN。6.按運營商所開展的業(yè)務類型劃分有4類①撥號VPN業(yè)務：它是第一種劃分方式中的VPDN。②虛擬租用線（VLL）：它是對傳統租用線業(yè)務的仿真，用IP網絡對租用線進行模擬，而這樣一條虛擬租用線在兩端的用戶看來，等價于過去的租用線。③虛擬專用路由網（VPRN）業(yè)務：VPRN是對多點專用廣域路由網絡的模擬，利用公共IP網絡，在多個VPN成員之間建立起一個虛擬的隧道網絡。④虛擬專用局域網段（VPLS）：VPLS利用互聯網絡設施仿真局域網段，轉發(fā)表中包含介質訪問控制層的可達信息。789.3.2VPN的基本類型（續(xù)）799.3.3VPN的基本技術VPN實現的關鍵技術:(1)隧道技術(2)加密技術(3)QoS技術

809.3.3VPN的基本技術（續(xù)）隧道技術：簡單的說就是：原始報文在A地進行封裝，到達B地后把封裝去掉還原成原始報文，這樣就形成了一條由A到B的通信隧道。目前實現隧道技術的有一般路由封裝（GenericRoutingEncapsulation，GRE）、L2TP和PPTP三種方式。819.3.3VPN的基本技術-隧道技術（續(xù)）一般路由封裝（GRE）GRE主要用于源路由和終路由之間所形成的隧道。GRE隧道技術是用在路由器中的，可以滿足ExtranetVPN以及IntranetVPN的需求.L2TPL2TP是L2F（Layer2Forwarding）和PPTP的結合。隧道的建立有兩種方式即：“用戶初始化”隧道和“NAS初始化”（NetworkAccessServer）隧道。829.3.3VPN的基本技術-隧道技術（續(xù)）L2TP作為“強制”隧道模型是讓撥號用戶與網絡中的另一點建立連接的重要機制。建立過程如下：①用戶通過Modem與NAS建立連接；②用戶通過NAS的L2TP接入服務器身份認證；③在政策配置文件或NAS與政策服務器進行協商的基礎上，NAS和L2TP接入服務器動態(tài)地建立一條L2TP隧道；④用戶與L2TP接入服務器之間建立一條點到點協議（PointtoPointProtocol，PPP）訪問服務隧道⑤用戶通過該隧道獲得VPN服務。839.3.3VPN的基本技術-隧道技術（續(xù)）PPTP與L2TP相反的是，PPTP作為“主動”隧道模型允許終端系統進行配置，與任意位置的PPTP服務器建立一條不連續(xù)的、點到點的隧道。并且，PPTP協商和隧道建立過程都沒有中間媒介NAS的參與。NAS的作用只是提供網絡服務。PPTP建立過程如下：①用戶通過串口以撥號IP訪問的方式與NAS建立連接取得網絡服務；②用戶通過路由信息定位PPTP接入服務器；③用戶形成一個PPTP虛擬接口；④用戶通過該接口與PPTP接入服務器協商、認證建立一條PPP訪問服務隧道；⑤用戶通過該隧道獲得VPN服務。849.3.3VPN的基本技術-加密技術（續(xù)）數據加密的基本思想是通過變換信息的表示形式來偽裝需要保護的敏感信息，使非受權者不能了解被保護信息的內容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4雖然強度比較弱，但是保護免于非專業(yè)人士的攻擊已經足夠了；DES和三次DES強度比較高，可用于敏感的商業(yè)信息。加密技術可以在協議棧的任意層進行；可以對數據或報文頭進行加密。在網絡層中的加密標準是IPSec。在鏈路層中，目前還沒有統一的加密標準，因此所有鏈路層加密方案基本上是生產廠家自己設計的，需要特別的加密硬件859.3.3VPN的基本技術-QoS技術（續(xù)）通過隧道技術和加密技術，已經能夠建立起一個具有安全性、互操作性的VPN。但是該VPN性能上不穩(wěn)定，管理上不能滿足企業(yè)的質量要求，這就要加入服務質量(QoS)技術。QoS是用來解決網絡延遲和阻塞等問題的一種技術。不同的應用對網絡通信有不同的要求，這些要求可用如下參數給予體現：①帶寬：網絡提供給用戶的傳輸率；②反應時間：用戶所能容忍的數據報傳遞延時；③抖動：延時的變化；④丟失率：數據包丟失的比率。869.3.4VPN的配置結構

VPN有多種組網結構，一般分3類：①ATMPVC組建方式。

②IPTunneling組建方式。

③Dial-upAccess組網方式（VDPN）。

879.3.5VPN的安全策略

目前建造虛擬專網的國際標準有IPSec（RFC1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。IPSec是由IETF正式定制的開放性IP安全標準，是虛擬專網的基礎，已經相當成熟可靠。L2TP協議草案中規(guī)定它（L2TP標準）必須以IPSec為安全基礎。889.3.5VPN的安全策略（續(xù)）VPN系統使分布在不同地方的專用網絡在不可信任的公共網絡上安全的通信。它采用復雜的算法來加密傳輸的信息，使得敏感的數據不會被竊聽。其處理過程如下：①要保護的主機發(fā)送明文信息到連接公共網絡的VPN設備；②VPN設備根據網管設置的規(guī)則，確定是否需要對數據進行加密或讓數據直接通過。對需要加密的數據，VPN設備對整個數據包進行加密和附上數字簽名。③VPN設備加上新的數據報頭，其中包括目的地VPN設備需要的安全信息和一些初始化參數。④當數據包到達目標VPN設備時，數據包被解封裝，數字簽名被核對無誤后，數據包被解密。899.4網絡入侵檢測9.4.1入侵檢測系統的概念9.4.2入侵檢測系統的原理9.4.3入侵檢測系統的分類9.4.4入侵檢測的主要方法9.4.5入侵檢測系統的實現步驟

909.4.1入侵檢測系統的概念入侵檢測通過對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析，從中發(fā)現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。進行入侵檢測的軟件與硬件的組合就是入侵檢測系統。入侵檢測系統執(zhí)行的主要任務和功能包括：監(jiān)視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式，向相關人士報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統，識別用戶違反安全策略的行為。919.4.2入侵檢測系統的原理基本原理：對網絡上的所有數據包進行復制并檢測，然后與內部的攻擊特征數據庫（規(guī)則庫）進行匹配比較，如果相符即產生報警或響應。IDS的主要設計思想是安全風險的“可視”和“可控”，它可以提供豐富全面的實時狀態(tài)信息，使用好IDS的關鍵是要從這些信息中提取最具有價值的內容并加以利用，以便為企業(yè)網絡安全管理的決策提供依據。IDS可以采用概率統計、專家系統、神經網絡、模式匹配、行為分析方法等來實現其檢測機制，以分析事件的審計記錄、識別特定的模式、生成檢測報告和最終的分析結果929.4.3入侵檢測系統的分類IDS按其輸入數據的來源可分3類：①基于主機的入侵檢測系統，其輸入數據來源于系統的審計日志，一般只能檢測該主機上發(fā)生的入侵。②基于網絡的入侵檢測系統，其輸入數據來源于網絡的信息流，能夠檢測該網段上發(fā)生的網絡入侵。③分布式入侵檢測系統

939.4.4入侵檢測的主要方法IDS的主要方法有：(1)靜態(tài)配置分析(2)異常性檢測方法(3)基于行為的檢測方法(4)其他檢測方法與發(fā)展方向949.4.5入侵檢測系統的實現步驟入侵檢測實現一般分為三個步驟，依次為：（1）信息收集（2）數據分析（3）響應（被動響應和主動響應）。

959.5防病毒技術9.5.1計算機病毒定義9.5.2計算機病毒的分類9.5.3計算機病毒的特點9.5.4計算機病毒的傳播途徑9.5.5計算機病毒的預防969.5.1計算機病毒定義計算機病毒是一種小程序，能夠自我復制，會將自己的病毒碼依附在的其他程序上，通過其他程序的執(zhí)行，伺機傳播病毒程序，有一定潛伏期，一旦條件成熟，進行各種破壞活動，影響計算機使用。計算機病毒就是能夠通過某種途徑潛伏在計算機存儲介質（或程序）里,當達到某種條件時即被激活的具有對計算機資源進行破壞作用的一組程序或指令集合。979.5.2計算機病毒的分類系統病毒蠕蟲病毒木馬病毒、黑客病毒腳本病毒宏病毒后門病毒病毒種植程序病毒破壞性程序病毒玩笑病毒捆綁機病毒989.5.3計算機病毒的特點計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性和破壞性等特征。（1）傳染性。傳染性是計算機病毒的基本特征。（2）寄生性。計算機病毒一般不是以單獨的程序文件形式存在，而是寄附在其他文件上。（3）隱蔽性。為了不讓用戶發(fā)現計算機病毒的存在，病毒程序一般都編得很小、很巧妙，而且依附在一些常用的程序文件中或自動復制到磁盤中較隱蔽的地方。（4）觸發(fā)性。計算機病毒的發(fā)作一般都有一個激發(fā)條件，只有滿足了這個條件時，病毒程序才會“發(fā)作”，去感染其他的文件，或去破壞計算機系統。（5）破壞性。計算機病毒“發(fā)作”一般都會對計算機的正常工作產生破壞作用，輕者則占用系統資源，降低了計算機的工作效率，重則破壞和刪除計算機中的信息數據，甚至還會毀壞計算機硬件設備。999.5.4計算機病毒的傳播途徑計算機病毒傳播途徑有多種，目前病毒傳播傳播主要有四種情形：（1）通過不可移動的計算機硬件設備傳播（2）通過移動存儲設備來傳播（3）通過硬盤文件操作傳播（4）通過網絡傳播1009.5.5計算機病毒的預防在與病毒的對抗中，及早發(fā)現病毒很重要。早發(fā)現，早處置，可以減少損失。預防的方法可采用主動預防和被動預防。主動預防是指是指主動采取相應措施防止病毒襲擊，被動預防是指針對一些病毒特征，采用回避辦法阻止病毒的發(fā)。主動預防主要有以下辦法：（1）不打開來歷不明的E-Mail郵件。（2）不買、不用盜版光盤，使用正版光盤。（3）外來軟盤要查毒、殺毒，重要的軟盤要防寫，重要的數據要備份。（4）經常使用殺毒軟件，安裝實時監(jiān)控系統，安裝病毒防火墻。常用的殺毒軟件有：KV3000、金山毒霸、瑞星殺毒、諾頓殺毒、安全之星、熊貓衛(wèi)士等。101第10章電子商務安全管理引例10全美最大的電腦流氓落網10.1電子商務安全管理框架10.2資產識別10.3風險評估10.4安全策略10.5應急響應10.6災難恢復102[本章要點]電子商務安全管理框架：資產識別、風險評估、制定相應的安全策略、實施安全措施、安全審計和監(jiān)控；資產識別：分類和賦值；電子商務安全策略制定的六個基本原則、六項技術安全策略、雙重管理策略；風險評估的基本要素、計算模型、實施流程和八項評估結果報告；應急響應的八個基本流程、國內外的重要應急響應組織機構；災難恢復策略的制定方法和災難恢復計劃執(zhí)行策略

103引例7全美最大電腦流氓落網這是一場攻擊與防范的“世界頂尖級龍虎斗”

10410.1電子商務安全管理框架采用如圖10－1所示的安全管理框架，該管理框架是一個按周期循環(huán)執(zhí)行的過程。審計與監(jiān)控資產分析風險評估制定安全策略實施安全策略安全目標安全知識庫10510.1電子商務安全管理框架（續(xù)）（1）企業(yè)根據具體情況制定其安全目標，組織專業(yè)人員對其電子商務系統進行信息資產分析識別；（2）根據資產分析的結果進行風險評估，即評定這些資產會遭受哪些安全威脅與攻擊，并將這些安全風險量化；（3）依據風險評估結果和安全目標制定相應的安全策略；（4）實施安全措施；（5）對電子商務系統進行審計和監(jiān)控。10610.1電子商務安全管理框架（續(xù)）發(fā)現新的安全威脅后，風險評估、安全策略的制定和安全措施的選擇要重新執(zhí)行。當有新的安全技術和安全產品時，要依據安全策略對安全保護措施進行更新。電子商務系統的安全知識庫用于存放與安全有關的信息，其記錄的信息包括資產、威脅、攻擊者、風險、安全策略、安全措施等。對于資產、威脅等子類我們可以再對其進行類別的劃分。此外，具體的企業(yè)可以根據實際需求給安全類及其子類增加屬性和限制。10710.2資產識別

10.2.1資產定義10.2.2資產分類10.2.3資產賦值10810.2.1資產定義資產是企業(yè)、機構直接賦予了價值因而需要保護的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務、企業(yè)形象等.通常信息資產的保密性、完整性和可用性是公認的能夠反映資產安全特性的三個要素。信息資產安全特性的不同也決定了其信息價值的不同，以及存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同.資產還具有很強的時間特性，它的價值和安全屬性都會隨著時間的推移發(fā)生變化，所以應該根據時間變化的頻度制定資產相關的評估和安全策略的頻度。10910.2.2資產分類資產大多屬于不同的信息系統，如OA系統，網管系統，業(yè)務生產系統等，而且對于提供多種業(yè)務的機構，業(yè)務生產系統的數量還可能會很多。這時首先需要將信息系統及其中的信息資產進行恰當的分類。在實際項目中，具體的資產分類方法可以根據具體環(huán)境，由評估者來靈活把握。示例：11010.2.2資產分類（續(xù)）資產分類示例11110.2.3資產賦值

資產賦值是對資產安全價值的估價，而不是以資產的賬面價格來衡量的。在對資產進行估價時，不僅要考慮資產的成本價格，更重要的是考慮資產對于組織業(yè)務的安全重要性。為確保資產估價時的一致性和準確性，應按照上述原則，建立一個資產價值尺度以明確如何對資產進行賦值。資產估價的過程也就是對資產保密性、完整性和可用性影響分析的過程。資產安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性，可以能夠基本反映資產的價值。11210.3風險評估風險評估是信息安全管理體系（ISMS）建立的基礎，是組織平衡安全風險和安全投入的依據，也是ISMS測量業(yè)績、發(fā)現改進機會的最重要途徑。10.3.1風險評估的概念10.3.2風險評估要素關系模型10.3.3風險評估計算模型10.3.4風險評估實施流程10.3.5風險評估結果記錄11310.3.1風險評估概念風險評估就是根據資源的價值來確定保護它們的適當安全級別。對每一個威脅和安全漏洞都應該使用某個標準（如低、中、高）對其進行界定和等級劃分。風險評估是信息安全管理體系的基礎，是對現有網絡的安全性進行分析的第一手資料，也是網絡安全領域內最重要的內容之一，它為降低網絡的風險，實施風險管理及風險控制提供了直接的依據。11410.3.2風險評估要素關系模型在風險評估之前，必須在信息安全風險管理的上下文前提下，準確定義什么是風險，風險的主要元素及其相互關系圖10-2所示。圖10-2中方框部分的內容為風險評估的基本要素，橢圓部分的內容是與這些要素相關的屬性，也是風險評估要素的一部分。風險評估的工作是圍繞其基本要素展開的，在對這些要素的評估過程中需要充分考慮業(yè)務戰(zhàn)略、資產價值、安全事件、殘余風險等與這些基本要素相關的各類因素。11510.3.2風險評估要素關系模型（續(xù)）11610.3.3風險評估計算模型風險計算模型如圖10-3.風險計算模型包含信息資產、弱點/脆弱性、威脅等關鍵要素。每個要素有各自的屬性，信息資產的屬性是資產價值，弱點的屬性是弱點被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性。風險值計算過程：（1）對信息資產進行識別，并對資產賦值；（2）對威脅進行分析，并對威脅發(fā)生的可能性賦值；（3）識別信息資產的脆弱性，并對弱點的嚴重程度賦值；（4）根據威脅和脆弱性計算安全事件發(fā)生的可能性；（5）結合信息資產的重要性和在此資產上發(fā)生安全事件的可能性計算信息資產的風險值。11710.3.3風險評估計算模型（續(xù)）11810.3.4風險評估實施流程對于風險評估來說，其三個關鍵要素是信息資產、弱點/脆弱性以及威脅。每個要素有其各自的屬性，信息資產的屬性是資產價值，弱點的屬性是弱點被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性。電子商務安全風險評估的具體工作流程如圖10－4所示11910.3.4風險評估實施流程（續(xù)）12010.3.5風險評估結果記錄風險評估的過程需要形成相關的文件及記錄，需控制文件及記錄質量，一般考慮以下部分：文件發(fā)布前得到批準，以確保文件是充分的；必要時對文件進行評審、更新并再次批準；確保文件的更改和現行修訂狀態(tài)得到識別；確保在使用時，可獲得有關版本的適用文件；確保文件保持清晰、易于識別；確保外來文件得到識別；確保文件的分發(fā)得到適當的控制；防止作廢文件的非預期使用，若因任何目的需保留作廢文件時，應對這些文件進行適當的標識。12110.3.5風險評估結果記錄（續(xù)）對于風險評估過程中形成的記錄，還應規(guī)定記錄的標識、儲存、保護、檢索、保存期限以及處置所需的控制。記錄是否需要以及詳略程度由管理過程來決定。風險評估過程應形成下列文件：（1）風險評估過程計劃。（2）風險評估程序。（3）信息資產識別清單。（4）重要信息資產清單。（5）威脅參考列表。（6）脆弱性參考列表。（7）風險評估記錄。（8）風險處理計劃。（9）風險評估報告。上述文件均應由組織的管理層批準，必要時應得到最高管理者的批準12210.4安全策略為了降低電子商務系統面臨的風險，保障其安全性，必須選擇并實施相應的安全保護措施。但在選擇安全保護措施之前應當制定安全策略。10.4.1電子商務安全策略原則10.4.2電子商務技術安全策略10.4.3電子商務安全管理安全策略12310.4.1電子商務安全策略原則電子商務安全防范策略可以說是在一定條件下的成本和效率的平衡。雖然網絡的具體應用環(huán)境不同，但在制定安全策略時應遵循如下一些總的原則：1．需求、風險、代價平衡分析的原則2．綜合性、整體性原則3．一致性原則4．易操作性原則5．適應性、靈活性原則6．多重保護原則12410.4.1電子商務安全策略原則（續(xù)）電子商務系統的安全策略總則可以分為三層，如圖10-5所示。根據企業(yè)的具體情況可以將第二層的策略集劃分為更細的子類。安全策略總則是企業(yè)解決安全問題的指導方針，表明高層領導對安全狀況的要求。第二層是電子商務安全的不同領域。其中，關于電子支付的安全策略集對電子商務至關重要。第三層是每一條安全策略的詳細描述。12510.4.1電子商務安全策略原則（續(xù)）安全策略存儲在安全知識庫中便于管理和安全措施的選擇，安全策略具有4個屬性，明確地指出何時、何處、如何使用什么樣的安全措施。依據策略所屬的不同的安全領域，可以再定義安全策略的子類。12610.4.2電子商務技術安全策略電子商務交易流程的各環(huán)節(jié)需要依托計算機網絡，按照一定的標準實現整個貿易活動的電子化。由于電子商務是建立在開放的互聯網上，而互聯網在物理上覆蓋全球，在信息內容上無所不包，用戶結構復雜，因此，很難建立起一套有效的監(jiān)督和管理機制，從而造成電子商務面臨嚴峻的安全問題。電子商務系統對信息安全的要求包括以下六個方面。12710.4.2電子商務技術安全策略（續(xù)）（1）信息的保密性。（2）數據的可靠性。（3）數據的完整性。（4）用戶身份的鑒別。（5）數據原發(fā)者的不可抵賴性。（6）合法用戶的安全性。針對上述六個方面，電子商務通過采用一些主要的安全技術，基本上可以從技術上保證交易的安全性，這些安全技術包括：防火墻技術、加密技術、數字簽名技術、數字證書和認證中心等。12810.4.3電子商務安全管理安全策略電子商務交易的安全性在管理角度上也應該得到充分的重視，以往，我們一提及電子商務交易的安全性，人們會不由自主地想到電子商務技術上的安全隱患和安全防范措施，其實，如何加強對電子商務交易的安全管理也是至關重要的。電子商務交易實行雙重管理，即電子商務交易應該在認證機構和商業(yè)管理機構的聯合管理下進行，以確保交易的安全、成功和可信。圖10－6是反映這種雙重管理的數據流程。12910.4.3電子商務安全管理安全策略（續(xù)）13010.4.3電子商務安全管理安全策略（續(xù)）這種雙重管理模式中，電子商務運營商需要向認證機構提出認證申請，在評估了運營商的軟硬件設施后，認證機構便可以向電子商務運營商頒發(fā)認證證書，結合其工商營業(yè)執(zhí)照就可以合法營業(yè)了。商務管理部門行使其正規(guī)的管理職能，在管理電子商務運營商的同時，還負責處理顧客的有關投訴意見。在這個雙重管理模式中，還存在一個數據庫，儲存了電子商務運營商的認證資料、經營資料和資信數據，消費者通過查詢該數據庫來了解某電子商務運營商的基本情況，為從事電子商務的交易做好準備。13110.5應急響應10.5.1應急響應的概念10.5.2應急響應的流程10.5.3應急響應組織結構13210.5.1應急響應的概念一般來說，應急響應通常是指一個組織為應對特別突發(fā)事件的發(fā)生所做的準備以及事件發(fā)生后所采取的措施。計算機網絡應急響應的對象是指計算機或網絡存儲、傳輸、處理的信息安全事件，事件的主體可能來自于自然界、系統自身故障、組織內部或外部的人、計算機病毒或蠕蟲等。13310.5.2應急響應的流程計算機突發(fā)事件通常是復雜的，多方面的，因此，我們需要將較大的事件解決方案分解成若干個步驟，如圖10－7所示13410.5.2應急響應的流程（續(xù)）根據圖10－7流程，一般應急響應包括：事前準備發(fā)現突發(fā)事件初始響應制定響應策略事件調查階段提交報告階段解決方案階段13510.5.3應急響應組織結構計算機應急處理的國際組織慣稱為“計算機緊急響應小組CERT”，也有的被稱為“計算機安全事件響應小組CSIRT”。1990年11月，在美國、英國等的發(fā)起下，一些國家的CERT組織參與成立了“計算機事件響應與安全工作組論壇”，簡稱FIRST。它的基本目的是使各成員能就安全漏洞、安全技術、安全管理等方面進行交流與合作，以實行國際間的信息共享、技術共享，最終達到聯合防范計算機網絡上攻擊的目標。2002年3月CNCERT/CC與澳大利亞的AusCERT就亞太地區(qū)各應急處理組織之間如何協作處理安全事件進行了討論，并合作草擬了建立亞太地區(qū)應急處理工作組(APCERT)的提議，提交亞太地區(qū)安全事件響應協調會議討論，形成了成立APCERT組織的聲明(征求意見稿)，并決定成立工作組來負責對該聲明進行修訂2003年2月，我國信息產業(yè)部批準將1999年成立的“國家計算機網絡與信息安全管理中心因特網應急小組協調辦公室”更名為“信息產業(yè)部互聯網應急處理協調辦公室”。2003年7月14日，中編辦正式批復成立了國家計算機網絡應急技術處理協調中心，這是計算機應急響應的處理中心，簡稱CNCERT/CC。13610.6災難恢復10.6.1災難恢復概念10.6.2災難恢復策略10.6.3災難恢復計劃

13710.6.1災難恢復概念災難是一種具有破壞性的突發(fā)事件。我們所關注的是災難對單位的正常運營和社會的正常秩序造成的影響，其中最明顯的影響是信息服務的中斷和延遲，致使業(yè)務無法正常運營。信息系統停頓的時間越長，單位的信息化程度越高，損失就越大。災難恢復是指將信息系統從災難造成的故障或癱瘓狀態(tài)恢復到可正常運行狀態(tài)，井將其支持的業(yè)務功能從災難造成的不正常態(tài)恢復到可接受狀態(tài)，而設計的活動和流程。它的目的是減輕災難對單位和社會帶來的不良影響，保證信息系統所支持的業(yè)務功能在災難發(fā)生后能及時恢復和繼續(xù)運作。為了減少災難帶來的損失和實現災難恢復所做的事前計劃和安排被稱為災難恢復規(guī)劃.13810.6.2災難恢復策略

數據系統的災難恢復的策略可以有以下要點：對災難風險的評估、尋求解決的方案、執(zhí)行計劃和維護計劃；對不同的單位、不同的業(yè)務范圍會有不同的信息及通信基礎設施，同時也會有不同的災難恢復策略。當制訂一個災難恢復策略時，一個關鍵問題是，各部門能否允許多少宕機時間。那些基本不依靠計算機通信和進行其它聯系的部門受到的影響會很小，要求數據和關鍵應用程序沒有被破壞，而另一些部門（如政府、金融和軍隊等）則要求數據和系統實時的響應。13910.6.2災難恢復策略（續(xù)）1．對災難風險的評估信息系統風險被劃分為：計算機系統和環(huán)境問題，它們帶來的除其他災難外，也包括數據系統的災難。我們應該對每一類風險列出涉及到的計算和通信設備清單，為每一個設備分配相對應的風險因子和恢復優(yōu)先級。當對硬件設施整理完全后，對涉及到的軟件和數據資料也使用相同的方法進行處理。當這一切都做完以后，各部門應該已經擁有了一個可能遭到的風險以及當硬件設備、應用軟件或數據受到破壞時的恢復方法和策略。14010.6.2災難恢復策略（續(xù)）2．制定解決方案大多數硬件系統風險恢復策略的核心是物理隔離。數據（常常包括服務器）一般是異地備份保存的。存放這些設備的地點一般被稱為恢復（或備份）中心，分為這幾類：（1）熱備份（2）冷備份（3）通過其它離站存儲設備（4）合作備份14110.6.3災難恢復計劃災難的來臨沒有任何提示的，因此平時制定有效的恢復計劃和措施非常重要。理想情況，災難恢復計劃應規(guī)定恢復所需的時間以及用戶可以期望的最終數據庫狀態(tài)。災難恢復計劃可通過許多方式構建，并且可以包含多種類型的信息，如：（1）硬件獲取計劃；（2）通訊計劃；（3）災難發(fā)生時的聯系人名單；（4）與負責處理災難的人員的聯系方式；（5）對計劃擁有管理權的人員信息。14210.6.3災難恢復計劃（續(xù)）執(zhí)行災難恢復計劃不是一件日常進行的工作，它必須包括與數據系統相關的服務器、數據和通信設施的日常物理保護。對付災難，通常需要考慮以下兩個最基本的措施。1．需要建立一個符合要求的備份中心所謂符合要求，就是說備份中心應該具備諸如具備與主中心相似的網絡和通信設置、具備業(yè)務應用運行的基本系統配置、具備穩(wěn)定高效的電信通路連接主中心（例如光纖、E3/T3、ATM等）以確保數據的實時備份、與主中心相距足夠安全的距離等。2．及時進行有效的備份為了做好備份，應該注意選擇恰當的硬件和軟件，這是成功備份和災難恢復的重要環(huán)節(jié)。此外，完善的管理制度對一個企業(yè)來說重要程度不亞于技術和產品。平時數據的及時備份、災難發(fā)生的處理方法等都將對災難恢復的效果、速度產生非常大的影響。143第11章

電子安全應用

引例11發(fā)改委官員聲稱：我國信息化水平大幅提高11.1電子政務安全11.2社會信息化安全11.3企業(yè)信息化安全11.4社區(qū)信息化安全

144[本章要點]→電子政務安全的五大安全目標、三個安全機制和三層安全模型?！鐣畔⒒湫托袠I(yè)安全分析包含金融、證卷、電信、電力、公安等行業(yè)。→企業(yè)信息化安全的主要隱患、安全策略、安全管理、中小企業(yè)安全管理方案?！鐓^(qū)安全的服務特點、六大安全需求、小區(qū)安全防范框架等。

14511.1電子政務安全11.1.1電子政務安全概述11.1.2電子政務的信息安全目標