第11章網(wǎng)絡(luò)安全技術(shù)

27五月2023第11章網(wǎng)絡(luò)安全技術(shù)11.1網(wǎng)絡(luò)安全基礎(chǔ)11.1.1什么是網(wǎng)絡(luò)安全？

從狹義的角度來看，計算機網(wǎng)絡(luò)安全是指計算機及其網(wǎng)絡(luò)系統(tǒng)資源和信息資源不受自然和人為有害因素的威脅和危害，確保計算機和計算機網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，保證系統(tǒng)能連續(xù)可靠正常的運行，網(wǎng)絡(luò)服務(wù)不中斷。計算機網(wǎng)絡(luò)安全從其本質(zhì)上來講就是系統(tǒng)的信息安全。計算機網(wǎng)絡(luò)安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、電子技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)等等多種學(xué)科的綜合性科學(xué)。從廣義的角度來講，凡是涉及到計算機網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是計算機網(wǎng)絡(luò)安全的研究領(lǐng)域。所以，廣義的計算機網(wǎng)絡(luò)安全還包括信息設(shè)備的物理安全性，如場地環(huán)境保護、防火措施、靜電防護、防水、防潮措施、電源保護、空調(diào)設(shè)備、計算機輻射等。11.1.2網(wǎng)絡(luò)安全基本要素

1．機密性：確保信息不暴露給未授權(quán)的實體或進程。2．完整性：只有得到允許的人才能修改數(shù)據(jù)，并且能夠判別出數(shù)據(jù)是否已被篡改。3．可用性：得到授權(quán)的實體在需要時可訪問數(shù)據(jù)，即攻擊者不能占用所有的資源而阻礙授權(quán)者的工作。4．可控性：可以控制授權(quán)范圍內(nèi)的信息流向及行為方式。5．可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。11.1.3網(wǎng)絡(luò)安全面臨的主要威脅根據(jù)各種網(wǎng)絡(luò)威脅產(chǎn)生的原因，我們把網(wǎng)絡(luò)威脅歸納為以下4類：1.軟件系統(tǒng)自身的安全缺陷導(dǎo)致的威脅（1）操作系統(tǒng)和應(yīng)用軟件自身存在著安全漏洞。（2）網(wǎng)絡(luò)環(huán)境中的網(wǎng)絡(luò)協(xié)議存在安全漏洞。2.非法進行網(wǎng)絡(luò)操作帶來的威脅（1）拒絕服務(wù)的攻擊（2）非授權(quán)訪問網(wǎng)絡(luò)資源（3）網(wǎng)絡(luò)病毒3.網(wǎng)絡(luò)設(shè)施本身和運行環(huán)境因素的影響造成的威脅4.網(wǎng)絡(luò)規(guī)劃、運行管理上的不完善帶來的威脅

11.1.4黑客對網(wǎng)絡(luò)的常見攻擊手段黑客對網(wǎng)絡(luò)的攻擊手段可以說多種多樣，下面介紹幾種常見攻擊手段。1．通過獲取口令，進行口令入侵2．放置特洛伊木馬程序進行攻擊3．拒絕服務(wù)攻擊4．電子郵件攻擊5．采取欺騙技術(shù)進行攻擊6．尋找系統(tǒng)漏洞，入侵系統(tǒng)7．利用緩沖區(qū)溢出攻擊系統(tǒng)11.1.5網(wǎng)絡(luò)安全的重要性就目前網(wǎng)絡(luò)應(yīng)用和發(fā)展情況來看，計算機網(wǎng)絡(luò)安全的重要性具體表現(xiàn)在以下幾個方面。1．隨著計算機系統(tǒng)功能的日益完善和速度的不斷提高，系統(tǒng)組成越來越復(fù)雜、系統(tǒng)規(guī)模越來越大，特別是Internet的迅速發(fā)展，存取控制、邏輯連接數(shù)量的不斷增加，軟件規(guī)模的空前膨脹，任何隱含的缺陷、失誤、人為的破壞都會造成巨大的損失。2．利用網(wǎng)絡(luò)環(huán)境處理各類數(shù)據(jù)信息是信息化時代的發(fā)展趨勢，這其中包括個人郵件資料和隱私，一些部門、機構(gòu)、企業(yè)的機密文件和商業(yè)信息，甚至是有關(guān)國家發(fā)展和安全的政治、經(jīng)濟、軍事以及國防的重要數(shù)據(jù)，這些數(shù)據(jù)信息不僅涉及到個人和團體的利益，更主要的是可能關(guān)系一個國家的安全與穩(wěn)定。而正是這些數(shù)據(jù)信息是不法分子和敵對勢力攻擊的目標(biāo)。為了確保網(wǎng)絡(luò)中各類數(shù)據(jù)信息的安全，顯然就離不開一套完善的網(wǎng)絡(luò)安全防范體系的支持。3．當(dāng)前，仍有大量網(wǎng)絡(luò)用戶只關(guān)注網(wǎng)絡(luò)系統(tǒng)的功能，而忽視網(wǎng)絡(luò)的安全，往往在碰到網(wǎng)絡(luò)安全事件后，才被動地從發(fā)生的現(xiàn)象中注意系統(tǒng)應(yīng)用的安全問題。廣泛存在著重應(yīng)用輕安全，安全意識淡薄的普遍現(xiàn)象。因此，加強網(wǎng)絡(luò)安全知識的宣傳和教育，學(xué)習(xí)有關(guān)網(wǎng)絡(luò)安全的法律法規(guī)和一定的防范技術(shù)，也是保護網(wǎng)絡(luò)安全的一項重要工作。11.2網(wǎng)絡(luò)安全體系結(jié)構(gòu)11.2.1網(wǎng)絡(luò)安全系統(tǒng)模型11.2.2ISO的網(wǎng)絡(luò)安全體系結(jié)構(gòu)標(biāo)準(zhǔn)11.2.3計算機系統(tǒng)安全等級評價標(biāo)準(zhǔn)11.2.4建立網(wǎng)絡(luò)安全策略11.2.1網(wǎng)絡(luò)安全系統(tǒng)模型網(wǎng)絡(luò)安全系統(tǒng)實際上是在一定的法律法規(guī)、安全標(biāo)準(zhǔn)的規(guī)范下，根據(jù)具體應(yīng)用需求和規(guī)定的安全策略的指導(dǎo)下，使用有關(guān)安全技術(shù)手段和措施所組成的用以控制網(wǎng)絡(luò)之間信息流動的部件的集合，是一個準(zhǔn)許或拒絕網(wǎng)絡(luò)通信的具有保障網(wǎng)絡(luò)安全功能的系統(tǒng)。一個完整的網(wǎng)絡(luò)信息安全系統(tǒng)至少包括三個層次，并且三者缺一不可，它們共同構(gòu)成網(wǎng)絡(luò)信息安全系統(tǒng)的基本模型，如下圖所示。政策、法律法規(guī)、安全策略加密訪問控制用戶驗證管理審計網(wǎng)絡(luò)信息安全模型圖這三個層次是：（1）法律政策，包括規(guī)章制度、安全標(biāo)準(zhǔn)、安全策略以及網(wǎng)絡(luò)安全教育。它是安全的基石，是建立安全管理的標(biāo)準(zhǔn)和方法；（2）技術(shù)方面的措施，如防火墻技術(shù)、防病毒、信息加密、身份驗證以及訪問控制等；（3）審計與管理措施，包括技術(shù)措施與社會措施。實際應(yīng)用中，主要有實時監(jiān)控、提供安全策略改變的能力以及對安全系統(tǒng)實施審計、管理和漏洞檢查等措施。當(dāng)系統(tǒng)一旦出現(xiàn)了問題，審計與監(jiān)控可以提供問題的再現(xiàn)、責(zé)任追查和重要數(shù)據(jù)恢復(fù)等保障。11.2.2ISO的網(wǎng)絡(luò)安全體系結(jié)構(gòu)標(biāo)準(zhǔn)

安全體系結(jié)構(gòu)的目的是從技術(shù)上保證安全目標(biāo)全部準(zhǔn)確地實現(xiàn)，包括確定必要的安全服務(wù)、安全機制和技術(shù)管理以及它們在系統(tǒng)上的配置。國際標(biāo)準(zhǔn)化組織在ISO7498－2中描述的開放系統(tǒng)互連OSI安全體系結(jié)構(gòu)確立了5種基本安全服務(wù)和8種安全機制。1．安全服務(wù)

網(wǎng)絡(luò)的安全服務(wù)定義了網(wǎng)絡(luò)的各層可以提供的安全功能，這些功能可以在幾層同時提供，也可由某一層提供。OSI安全體系結(jié)構(gòu)的5個安全服務(wù)項目分別是：（1）鑒別服務(wù)（2）訪問控制（3）機密性服務(wù)（4）數(shù)據(jù)完整性（5）抗抵賴服務(wù)2．安全機制

網(wǎng)絡(luò)安全機制定義了實現(xiàn)網(wǎng)絡(luò)安全服務(wù)所使用的可能方法。一種安全服務(wù)可由一種或數(shù)種安全機制支持，一種安全機制也可支持多種安全服務(wù)。按照OSI網(wǎng)絡(luò)安全體系結(jié)構(gòu)的定義，網(wǎng)絡(luò)安全服務(wù)所需的網(wǎng)絡(luò)安全機制包括以下8類：（1）加密機制（2）數(shù)字簽名機制（3）訪問控制機制（4）數(shù)據(jù)完整性機制（5）鑒別交換機制（6）業(yè)務(wù)流填充機制（7）路由控制機制（8）公證機制11.2.3計算機系統(tǒng)安全等級評價標(biāo)準(zhǔn)由于對信息系統(tǒng)和安全產(chǎn)品的安全性評估事關(guān)國家安全和利益，任何國家不會輕易相信和接受由別的國家所作的評估結(jié)果，為保險起見，一般情況下還是要通過自己的測試才認(rèn)為可靠。因此沒有一個國家會把事關(guān)國家安全利益的信息安全產(chǎn)品和安全可信性建立在別的評估基礎(chǔ)上，而是在充分借鑒別的國家標(biāo)準(zhǔn)的前提下，制訂自己的安全評估標(biāo)準(zhǔn)。近幾年來，隨著我國信息化建設(shè)的迅猛發(fā)展，國家對計算機信息系統(tǒng)安全問題非常關(guān)注，為此公安部提出并組織制定了強制性國家標(biāo)準(zhǔn)《計算機信息安全保護等級劃分準(zhǔn)則》，該準(zhǔn)則于1999年9月13日經(jīng)國家質(zhì)量技術(shù)監(jiān)督局發(fā)布。1.美國國防部和國家標(biāo)準(zhǔn)局的《可信計算機系統(tǒng)標(biāo)準(zhǔn)評估準(zhǔn)則》（“桔皮書”）（TCSEC）

它將計算機安全由低到高分為四類7級：D、C1、C2、B1、B2、B3、A。見下表：級別名稱特征A驗證設(shè)計安全級形式化的最高級描述和驗證，形式化的隱蔽通道分析，非形式化的代碼一致性證明B3安全域級安全內(nèi)核，高抗?jié)B透能力B2結(jié)構(gòu)化安全保護級面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，有較好的抗?jié)B透能力，對所有的主體和客體提供訪問控制保護，對系統(tǒng)進行隱蔽通道分析B1標(biāo)記安全保護級在C2安全級上增加安全策略模型，數(shù)據(jù)標(biāo)記（安全和屬性），托管訪問控制C2訪問控制環(huán)境保護級訪問控制，以用戶為單位進行廣泛的審計C1選擇性安全保護級有選擇的訪問控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)以用戶組為單位進行保護D最低安全保護級保護措施很少，沒有安全功能美國國防部的標(biāo)準(zhǔn)自問世以來，一直是評估多用戶主機和小型操作系統(tǒng)的標(biāo)準(zhǔn)。其他方面，如數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全也一直是通過這本美國國防部標(biāo)準(zhǔn)的桔皮書進行解釋和評估的，如可信任網(wǎng)絡(luò)解釋（TrustedNetworkInterpretation）和可信任數(shù)據(jù)庫解釋（TrustedDatabaseInterpretation）等。2.歐共體的信息技術(shù)安全評測準(zhǔn)則（ITSEC）ITSEC在安全特征和安全保證之間提供了明顯的區(qū)別,它定義了7個評估級別。11.2.4建立網(wǎng)絡(luò)安全策略1．網(wǎng)絡(luò)安全策略的定義

所謂安全策略，是針對那些被允許進入訪問網(wǎng)絡(luò)資源的人所規(guī)定的、必須遵守的規(guī)則，是保護網(wǎng)絡(luò)系統(tǒng)中軟、硬件資源的安全、防止非法的或非授權(quán)的訪問和破壞所提供的全局的指導(dǎo)，或者說，是指網(wǎng)絡(luò)管理部門根據(jù)整個計算機網(wǎng)絡(luò)所提供的服務(wù)內(nèi)容、網(wǎng)絡(luò)運行狀況、網(wǎng)絡(luò)安全狀況、安全性需求、易用性、技術(shù)實現(xiàn)所需付出的代價和風(fēng)險、社會因素等許多方面因素，所制定的關(guān)于網(wǎng)絡(luò)安全總體目標(biāo)、網(wǎng)絡(luò)安全操作、網(wǎng)絡(luò)安全工具、人事管理等方面的規(guī)定。2．確定網(wǎng)絡(luò)安全目標(biāo)對于網(wǎng)絡(luò)的建設(shè)者和運行者來說，實現(xiàn)網(wǎng)絡(luò)安全的第一要務(wù)是必須明確本網(wǎng)絡(luò)的業(yè)務(wù)定位、所提供的服務(wù)類型和提供服務(wù)的對象。在確定網(wǎng)絡(luò)安全目標(biāo)時，必須考慮如下問題：（1）系統(tǒng)所提供的服務(wù)和對安全性的需求（2）易用性和安全性（3）安全的代價和風(fēng)險

3．制定安全策略的原則在制定網(wǎng)絡(luò)安全策略時，應(yīng)遵循以下幾方面的原則：

（1）可用性原則（2）可靠性原則（3）動態(tài)性原則（4）系統(tǒng)性原則（5）后退性原則4．網(wǎng)絡(luò)安全策略包括的內(nèi)容（1）物理安全；（2）訪問控制；（3）信息加密；（4）網(wǎng)絡(luò)用戶的安全責(zé)任；（5）系統(tǒng)管理員的安全責(zé)任；（6）安全管理策略；（7）檢測到安全問題時的策略。11.3網(wǎng)絡(luò)安全的常用技術(shù)11.3.1防火墻技術(shù)11.3.2網(wǎng)絡(luò)入侵檢測系統(tǒng)11.3.3安全漏洞掃描與網(wǎng)絡(luò)監(jiān)聽11.3.4病毒防范技術(shù)11.3.5加密技術(shù)11.3.6認(rèn)證技術(shù)11.3.7數(shù)據(jù)備份與恢復(fù)技術(shù)11.3.8虛擬專用網(wǎng)（VPN）技術(shù)11.3.1防火墻技術(shù)

1.防火墻的概念2.防火墻的主要功能3.防火墻技術(shù)4.防火墻的選購1.防火墻的概念

現(xiàn)在通常所說的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它是指隔離在內(nèi)部（本地）網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)，是這一類防范措施的總稱。通過它可以隔離風(fēng)險區(qū)域（如Internet或有一定風(fēng)險的網(wǎng)絡(luò)）與安全區(qū)域（如局域網(wǎng)，也就是內(nèi)部網(wǎng)絡(luò)）的連接，同時不會妨礙人們對風(fēng)險區(qū)域的訪問。它是一種設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。一般由計算機硬件和軟件組成的一個或一組系統(tǒng)，用于增強內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)之間的訪問控制。路由器Internet防火墻交換機用戶內(nèi)部網(wǎng)外部網(wǎng)網(wǎng)絡(luò)管理平臺內(nèi)網(wǎng)服務(wù)器群外網(wǎng)服務(wù)器群2.防火墻的主要功能

1．防火墻是網(wǎng)絡(luò)安全的屏障2．防火墻能控制對特殊站點的訪問3．對網(wǎng)絡(luò)存取訪問進行記錄和統(tǒng)計4．防止內(nèi)部網(wǎng)絡(luò)信息的外泄5．地址轉(zhuǎn)換(NAT)3.防火墻技術(shù)

目前在實際應(yīng)用中所使用的防火墻產(chǎn)品有很多,但從其采用的技術(shù)來看主要包括兩類:包過濾技術(shù)和應(yīng)用代理技術(shù),實際的防火墻產(chǎn)品往往由這兩種技術(shù)的演變擴充或復(fù)合而形成的。具體來說主要包括：簡單包過濾防火墻、狀態(tài)檢測包過濾防火墻、應(yīng)用代理防火墻和復(fù)合型防火墻。(1)簡單包過濾防火墻包過濾防火墻工作在網(wǎng)絡(luò)層，對數(shù)據(jù)包的源及目的IP具有識別和控制作用，對于傳輸層，只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。它對所收到的IP數(shù)據(jù)包的源地址、目的地址、TCP數(shù)據(jù)分組或UDP報文的源端口號、包出入接口、協(xié)議類型和數(shù)據(jù)包中的各種標(biāo)志位等參數(shù)，與網(wǎng)絡(luò)管理員預(yù)先設(shè)置的訪問控制表進行比較，確定是否符合預(yù)定義的安全策略，并決定數(shù)據(jù)包的通過或丟棄。比如：如果防火墻已設(shè)置拒絕telnet連接，這時當(dāng)數(shù)據(jù)包的目的端口是23時，則該數(shù)據(jù)包就會被丟棄；如果允許進行Web訪問，這時目的端口為80時則數(shù)據(jù)包就會被放行。由于這類防火墻只對數(shù)據(jù)包的IP地址、TCP/UDP協(xié)議和端口進行分析，因此它的處理速度較快，并且易于配置。簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果內(nèi)部網(wǎng)絡(luò)已經(jīng)配有邊界路由器，那么完全沒有必要購買一個簡單包過濾的防火墻產(chǎn)品。由于這類技術(shù)不能跟蹤TCP的狀態(tài)，所以對TCP層的控制是有漏洞的。單純簡單包過濾的產(chǎn)品由于其保護的不完善，在1999年以前國外的網(wǎng)絡(luò)防火墻市場上就已經(jīng)不存在了。(2)應(yīng)用代理防火墻

應(yīng)用代理防火墻，也叫應(yīng)用代理網(wǎng)關(guān)防火墻。所謂網(wǎng)關(guān)是指在兩個設(shè)備之間提供轉(zhuǎn)發(fā)服務(wù)的系統(tǒng)。這種防火墻能徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪問變成防火墻對外網(wǎng)的訪問，外網(wǎng)的訪問應(yīng)答先由防火墻處理，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求。由于針對各種應(yīng)用協(xié)議的代理防火墻提供了豐富的應(yīng)用層的控制能力，使應(yīng)用代理型防火墻具有了極高的安全性。但是代理型防火墻是利用操作系統(tǒng)本身的socket接口傳遞數(shù)據(jù)，從而導(dǎo)致性能比較差，不能支持大規(guī)模的并發(fā)連接；另外對于代理型防火墻要求防火墻核心預(yù)先內(nèi)置一些已知應(yīng)用程序的代理后防火墻才能正常工作，這樣的后果是一些新出現(xiàn)的應(yīng)用在代理型防火墻上往往不能使用，出現(xiàn)了防火墻不支持很多新型應(yīng)用的局面。在IT領(lǐng)域中，新的應(yīng)用和新的技術(shù)不斷出現(xiàn)，甚至每一天都有新的應(yīng)用方式和新的協(xié)議出現(xiàn)，代理型防火墻很難適應(yīng)這種局面，使得在一些重要的領(lǐng)域和行業(yè)的核心業(yè)務(wù)應(yīng)用中，代理型防火墻被漸漸地被拋棄。(3)狀態(tài)檢測包過濾防火墻

狀態(tài)檢測包過濾防火墻是在簡單包過濾上的功能擴展，最早是CheckPoint公司提出的，現(xiàn)在已經(jīng)成為防火墻的主流技術(shù)。狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網(wǎng)絡(luò)會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。因而提供了更完整的對傳輸層的控制能力。同時由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。前面介紹的簡單包過濾只是一種靜態(tài)包過濾，靜態(tài)包過濾將每個數(shù)據(jù)包單獨分析，固定根據(jù)其包頭信息（如源地址、目的地址、端口號等）進行匹配，這種方法在遇到利用動態(tài)端口應(yīng)用協(xié)議時會發(fā)生困難?？梢赃@樣說，狀態(tài)檢測包過濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。目前業(yè)界很多優(yōu)秀的防火墻產(chǎn)品采用了狀態(tài)檢測型的體系結(jié)構(gòu)，比如CheckPoint的Firewall-1，Cisco的PIX防火墻，NetScreen防火墻等等。(4)復(fù)合型防火墻

復(fù)合型防火墻是指綜合了狀態(tài)檢測與透明代理的新一代防火墻，它基于專用集成電路（ASIC，ApplicationSpecificIntegratedCircuit）架構(gòu)，把防病毒、內(nèi)容過濾整合到防火墻里，其中還包括VPN、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊。復(fù)合型防火墻在網(wǎng)絡(luò)邊界實施OSI第七層的內(nèi)容掃描，實現(xiàn)了實時在網(wǎng)絡(luò)邊緣部署病毒防護、內(nèi)容過濾等應(yīng)用層服務(wù)措施，體現(xiàn)出網(wǎng)絡(luò)與信息安全的新思路。四種典型防火墻的工作原理及特點比較防火墻類型工作原理及特點簡單包過濾防火墻1．只檢查報頭2．不檢查數(shù)據(jù)區(qū)、不建立連接狀態(tài)表、前后報文無關(guān)3．應(yīng)用層控制很弱應(yīng)用代理防火墻1．只檢查數(shù)據(jù)2．不檢查IP、TCP報頭，不建立連接狀態(tài)表3．網(wǎng)絡(luò)層保護比較弱狀態(tài)檢測包過濾防火墻1．不檢查數(shù)據(jù)區(qū)2．建立連接狀態(tài)表、前后報文相關(guān)3．應(yīng)用層控制很弱復(fù)合型防火墻1．可以檢查整個數(shù)據(jù)包內(nèi)容2．根據(jù)需要建立連接狀態(tài)表3．網(wǎng)絡(luò)層保護強、應(yīng)用層控制細4.防火墻的選購目前國內(nèi)外防火墻產(chǎn)品品種繁多、特點各異，有硬件的防火墻，也有軟件防火墻。硬件防火墻采用專用的硬件設(shè)備，然后集成生產(chǎn)廠商的專用防火墻軟件。從功能上看，硬件防火墻內(nèi)建安全軟件，使用專屬或強化的操作系統(tǒng)，管理方便，更換容易，軟硬件搭配較固定。硬件防火墻效率高，解決了防火墻效率、性能之間的矛盾，基本上可以達到線性。而軟件防火墻一般是基于某個操作系統(tǒng)平臺開發(fā)的，直接在計算機上進行軟件的安裝和配置。由于用戶平臺的多樣性，使得軟件防火墻需支持多操作系統(tǒng)，如：Unix、Linux、SCO-Unix、Windows等，代碼龐大、安裝維護成本高、效率低，同時還受到操作系統(tǒng)平臺穩(wěn)定性的影響。顯然，硬件防火墻總體性能上來說是優(yōu)于軟件防火墻的，但其價格也要高些。(1)關(guān)系到防火墻性能的幾個指標(biāo)和概念防火墻端口數(shù)、防火墻吞吐量、防火墻會話數(shù)、防火墻策略、DMZ區(qū)、防火墻的通信模式(2)防火墻的選購下面從幾個方面探討選購防火墻時應(yīng)該注意的問題。防火墻自身是否安全系統(tǒng)是否穩(wěn)定是否高效是否可靠功能是否靈活配置是否方便管理是否簡便是否可以抵抗拒絕服務(wù)攻擊是否可以針對用戶身份進行過濾是否具有可擴展、可升級性11.3.2網(wǎng)絡(luò)入侵檢測系統(tǒng)

入侵檢測能彌補防火墻在某些方面的不足，為網(wǎng)絡(luò)安全提供實時的入侵監(jiān)測，以及采取相應(yīng)的防護手段。網(wǎng)絡(luò)入侵檢測分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測兩種方式。網(wǎng)絡(luò)安全漏洞掃描實際上是通過模擬網(wǎng)絡(luò)攻擊的方式，提前獲得可能被攻擊的薄弱環(huán)節(jié)，為系統(tǒng)安全提供可信的分析報告，從而為提高網(wǎng)絡(luò)安全性提供重要的依據(jù)。1.入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)：IntrusionDetectionSystem,簡稱IDS。入侵檢測是指：“通過對行為、安全日志或?qū)徲嫈?shù)據(jù)或其他網(wǎng)絡(luò)上可以獲得的信息進行操作，檢測到對系統(tǒng)的闖入或闖入的企圖”。入侵檢測系統(tǒng)是一個典型的“窺探設(shè)備”。入侵監(jiān)測系統(tǒng)處于防火墻之后對網(wǎng)絡(luò)活動進行實時檢測。許多情況下，可以與防火墻聯(lián)動，可以記錄和禁止網(wǎng)絡(luò)活動，所以入侵監(jiān)測系統(tǒng)是防火墻的延續(xù)。它們可以和防火墻和路由器配合工作。2.入侵檢測系統(tǒng)技術(shù)

入侵檢測技術(shù)通過對入侵行為的過程與特征的研究，使安全系統(tǒng)對入侵事件和入侵過程能做出實時響應(yīng)。入侵檢測系統(tǒng)從分析方式上主要可分為兩種：（1）模式發(fā)現(xiàn)技術(shù)（模式匹配）（2）異常發(fā)現(xiàn)技術(shù)（異常檢測）模式發(fā)現(xiàn)技術(shù)的核心是維護一個知識庫。對于已知的攻擊，它可以詳細、準(zhǔn)確的報告出攻擊類型，而且知識庫必須不斷更新。對所有已知入侵行為和手段（及其變種）都能夠表達為一種模式或特征，所有已知的入侵方法都可以用匹配的方法發(fā)現(xiàn)，把真正的入侵與正常行為區(qū)分開來。模式發(fā)現(xiàn)的優(yōu)點是誤報少，局限是它只能發(fā)現(xiàn)已知的攻擊，對未知的攻擊無能為力。異常發(fā)現(xiàn)技術(shù)先定義一組系統(tǒng)“正?！鼻闆r的數(shù)值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何定義所謂的“正常”情況。異常發(fā)現(xiàn)技術(shù)的局限是并非所有的入侵都表現(xiàn)為異常，而且系統(tǒng)的“正?！睒?biāo)準(zhǔn)難于計算和更新，并無法準(zhǔn)確判別出攻擊的手法，但它可以（至少在理論上可以）判別更廣范、甚至未發(fā)覺的攻擊。目前，國際頂尖的入侵檢測系統(tǒng)IDS主要以模式發(fā)現(xiàn)技術(shù)為主，并結(jié)合異常發(fā)現(xiàn)技術(shù)。IDS一般從實現(xiàn)方式上分為兩種：

（1）基于主機的IDS（2）基于網(wǎng)絡(luò)的IDS

基于網(wǎng)絡(luò)的IDS使用原始的網(wǎng)絡(luò)分組數(shù)據(jù)包作為進行攻擊分析的數(shù)據(jù)源，一般利用網(wǎng)絡(luò)適配器（探測器）來實時監(jiān)視和分析所有通過網(wǎng)絡(luò)進行傳輸?shù)耐ㄐ?。一旦檢測到攻擊，IDS應(yīng)答模塊通過通知、報警以及中斷連接等方式來對攻擊做出反應(yīng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)的主要優(yōu)點有：（1）成本低。（2）攻擊者消除證據(jù)很困難。（3）實時檢測和應(yīng)答一旦發(fā)生惡意訪問或攻擊，基于網(wǎng)絡(luò)的IDS檢測可以隨時發(fā)現(xiàn)它們，因此能夠更快地做出反應(yīng)。從而將入侵活動對系統(tǒng)的破壞減到最低。（4）能夠檢測未成功的攻擊企圖。（5）操作系統(tǒng)獨立。基于網(wǎng)絡(luò)的IDS并不依賴主機的操作系統(tǒng)作為檢測資源，而基于主機的系統(tǒng)需要特定的操作系統(tǒng)才能發(fā)揮作用。

基于主機的IDS一般監(jiān)視WindowsNT上的系統(tǒng)、事件、安全日志以及UNIX環(huán)境中的syslog文件。一旦發(fā)現(xiàn)這些文件發(fā)生任何變化，IDS將比較新的日志記錄與攻擊簽名以發(fā)現(xiàn)它們是否匹配。如果匹配的話，檢測系統(tǒng)就向管理員發(fā)出入侵報警并且發(fā)出采取相應(yīng)的行動。基于主機的IDS的主要優(yōu)勢有：（1）非常適用于加密和交換環(huán)境。（2）近實時的檢測和應(yīng)答。（3）不需要額外的硬件。（4）確定攻擊是否成功。（5）監(jiān)測特定主機系統(tǒng)活動。以上兩種實現(xiàn)方式的集成化是IDS的發(fā)展趨勢。基于網(wǎng)絡(luò)和基于主機的IDS都有各自的優(yōu)勢，兩者可以相互補充。這兩種方式都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。

基于網(wǎng)絡(luò)的IDS可以研究負載的內(nèi)容，查找特定攻擊中使用的命令或語法，這類攻擊可以被實時檢查包序列的IDS迅速識別。而基于主機的IDS無法看到負載，因此也無法識別嵌入式的負載攻擊。聯(lián)合使用基于主機和基于網(wǎng)絡(luò)這兩種方式能夠達到更好的檢測效果。3.入侵檢測系統(tǒng)的工作流程

1．信息收集2．信號分析3．實時記錄、報警或有限度反擊4.IDS與防火墻對比

防火墻入侵檢測系統(tǒng)設(shè)備類型多端口主機，數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備，完成類似于交互機或路由器的功能。一般單接口，數(shù)據(jù)采集、分析設(shè)備。流量處理機制過濾。無處理。對受檢報文的操作大量的讀寫操作。需要修改各層報文的頭或內(nèi)容。只作簡單的拷貝，不修改原來的報文。對鏈路速度的影響取決于防火墻的轉(zhuǎn)發(fā)延遲。IDS是旁路設(shè)備，不影響原有鏈中的速度?？筛郊幽K可實現(xiàn)網(wǎng)絡(luò)層以上加密、應(yīng)用層病毒檢測、殺毒功能。不能實現(xiàn)加密、殺毒功能，但可實現(xiàn)病毒檢測功能。對入侵行為的處理拒絕、報警、日志記錄。報警、日志記錄和有限度反擊。入侵檢測的準(zhǔn)確性迫于流量轉(zhuǎn)發(fā)負載的壓力，只對流量作普遍檢查，有可能發(fā)生漏報、誤報現(xiàn)象。出了檢測以外，沒有任何業(yè)務(wù)負擔(dān)，而且龐大、詳盡的入侵知識庫可以提供非常準(zhǔn)確的判斷識別，漏報誤報率大大低于防火墻。對訪問日志的記錄只作條目式記錄，框架較粗。非常詳細，包括訪問的資源、報文內(nèi)容。設(shè)備穩(wěn)定性對網(wǎng)絡(luò)的影響要求非常高，否則可能造成網(wǎng)絡(luò)鏈路的阻斷。無論IDS工作與否，都不會影響網(wǎng)絡(luò)的連通性和穩(wěn)定性。應(yīng)用層內(nèi)容恢復(fù)一般不提供應(yīng)用層的內(nèi)容恢復(fù)，但可以據(jù)此進行過濾和替換功能。能夠完全恢復(fù)出應(yīng)用層的信息，能夠?qū)W(wǎng)絡(luò)特定的流量進行全程監(jiān)視、記錄，為管理員判斷進攻者、收集證據(jù)提供了強有力的手段。對網(wǎng)絡(luò)層以下各協(xié)議的支持由于防火墻對物理鏈路的隔斷，因此必須支持所有網(wǎng)絡(luò)層以下的協(xié)議方能維持原有網(wǎng)絡(luò)的正常動作，沒有跨接任何物理鏈路，因此無此要求的。11.3.3安全漏洞掃描與網(wǎng)絡(luò)監(jiān)聽1.漏洞掃描的功能2.安全漏洞掃描器分類3.漏洞掃描技術(shù)4.端口掃描5.網(wǎng)絡(luò)監(jiān)聽的概念6.網(wǎng)絡(luò)監(jiān)聽的原理7.網(wǎng)絡(luò)監(jiān)聽的檢測8.網(wǎng)絡(luò)監(jiān)聽的防范

1.漏洞掃描的功能安全漏洞掃描是網(wǎng)絡(luò)管理系統(tǒng)的重要組成部分，是對計算機系統(tǒng)或其它網(wǎng)絡(luò)設(shè)備進行相關(guān)安全檢測，以便發(fā)現(xiàn)安全隱患和可被黑客利用的漏洞。漏洞掃描的主要功能是仿真黑客入侵的手法去測試系統(tǒng)上有沒有安全上的漏洞，進而從掃描出的安全漏洞報告里告訴使用者系統(tǒng)上的安全漏洞有多少，如何去修補，到哪里下載補丁程序。2.安全漏洞掃描器分類

根據(jù)工作模式的不同，漏洞掃描一般可分為網(wǎng)絡(luò)型安全漏洞掃描器和主機型安全漏洞掃描器兩大類。其中前者基于網(wǎng)絡(luò)，通過請求／應(yīng)答方式遠程檢測目標(biāo)網(wǎng)絡(luò)和主機系統(tǒng)的安全漏洞。例如，用于審計的網(wǎng)絡(luò)安全分析工具和網(wǎng)絡(luò)安全掃描器等，后者基于主機，通過在主機系統(tǒng)本地運行代理程序來檢測系統(tǒng)漏洞，例如，操作系統(tǒng)漏洞掃描器和數(shù)據(jù)庫系統(tǒng)漏洞掃描器。3.漏洞掃描技術(shù)（1）網(wǎng)絡(luò)遠程掃描技術(shù)（2）Web網(wǎng)站掃描技術(shù)（3）系統(tǒng)安全掃描技術(shù)（4）防火墻系統(tǒng)掃描技術(shù)4.端口掃描（1）TCPSYN掃描（2）TCPFIN掃描（3）TCPconnect()掃描（4）NULL掃描（5）UDPICMP端口不能到達掃描5.網(wǎng)絡(luò)監(jiān)聽的概念網(wǎng)絡(luò)監(jiān)聽是管理員為了進行網(wǎng)絡(luò)安全管理，利用相應(yīng)的工具軟件監(jiān)聽網(wǎng)絡(luò)的狀態(tài)和數(shù)據(jù)流動情況，以便及時發(fā)現(xiàn)網(wǎng)絡(luò)中的異常情況和不安全因素。6.網(wǎng)絡(luò)監(jiān)聽的原理Ethernet協(xié)議的工作方式是：將要發(fā)送的數(shù)據(jù)包發(fā)到以太網(wǎng)的所有主機上，在包頭中包括有應(yīng)該接收數(shù)據(jù)包的主機的正確地址，因為只有與數(shù)據(jù)包中目標(biāo)物理地址一致的那臺主機才能接收到信息包。但是，當(dāng)主機工作在監(jiān)聽模式下，無論數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機都將可以接收到。7.網(wǎng)絡(luò)監(jiān)聽的檢測（1）對于懷疑運行監(jiān)聽程序的機器，用正確的IP地址和錯誤的物理地址ping，運行監(jiān)聽程序的機器會有響應(yīng)。這是因為正常的機器不接收錯誤的物理地址，處理監(jiān)聽狀態(tài)的機器能接收，但如果他的IPstack不再次反向檢查的話，就會響應(yīng)。（2）向網(wǎng)上發(fā)大量不存在的物理地址的包，由于監(jiān)聽程序要分析和處理大量的數(shù)據(jù)包會占用很多的CPU資源，這將導(dǎo)致性能下降。通過比較前后該機器性能加以判斷。這種方法難度比較大。（3）使用反監(jiān)聽工具如antisniffer等進行檢測。8.網(wǎng)絡(luò)監(jiān)聽的防范（1）從邏輯或物理上對網(wǎng)絡(luò)分段（2）以交換式集線器代替共享式集線器（3）使用加密技術(shù)（4）劃分VLAN11.3.4病毒防范技術(shù)

為了減少病毒在企業(yè)網(wǎng)絡(luò)內(nèi)部的傳播，必須采取有效的措施防范病毒的入侵。一般病毒的防范主要采取病毒的預(yù)防、病毒的檢測、以及殺毒技術(shù)，它們提供了完整的多級病毒保護系統(tǒng)，可以有效的保護網(wǎng)絡(luò)不受病毒的侵害。

1.概述2.網(wǎng)絡(luò)病毒的傳播途徑與網(wǎng)絡(luò)防毒3.防病毒技術(shù)的發(fā)展趨勢1.概述（1）什么是網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒是一個新興的概念，在傳統(tǒng)的病毒分類里基本上沒有網(wǎng)絡(luò)病毒這個概念的，隨著網(wǎng)絡(luò)的廣泛應(yīng)用，計算機病毒種類越來越多、傳染速度也越來越快、危害更是越來越大。病毒也有了一些網(wǎng)絡(luò)的特性。如今網(wǎng)絡(luò)病毒是一個廣義的概念，一般只要是利用網(wǎng)絡(luò)來進行傳染、破壞的都可以被稱為網(wǎng)絡(luò)病毒。（2）網(wǎng)絡(luò)病毒具有以下特點：自動傳播和主動攻擊，如：蠕蟲病毒；攻擊系統(tǒng)后門，如：特洛伊木馬；多種傳播方式多樣化，如：通過郵件、網(wǎng)絡(luò)共享，利用IIS、IE、SQL的漏洞進行傳播等；爆發(fā)速度快、影響面廣，如：以郵件為載體進行傳播的病毒危害十分巨大；來自Internet網(wǎng)頁的威脅，如：網(wǎng)頁中包含惡意有毒編碼。（3）網(wǎng)絡(luò)病毒的危害病毒激發(fā)對計算機數(shù)據(jù)信息有直接破壞作用，數(shù)據(jù)的安全性得不到保障；占用磁盤空間和對信息的破壞；搶占系統(tǒng)資源，降低系統(tǒng)運行性能；嚴(yán)重影響計算機和網(wǎng)絡(luò)運行速度，甚至導(dǎo)致計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的癱瘓；由于網(wǎng)絡(luò)病毒可能存在多種變種，從而造成許多不可預(yù)見的危害；網(wǎng)絡(luò)病毒造成巨大的經(jīng)濟損失。（4）網(wǎng)絡(luò)病毒的類型

隨著網(wǎng)絡(luò)越來越發(fā)達，網(wǎng)絡(luò)病毒的種類也就越來越多，迄今為止計算機病毒已有近9萬種，計算機病毒大體上可歸納為以下幾類：按照病毒存在的載體分類，一般可分為4類：導(dǎo)區(qū)病毒、文件型病毒、蠕蟲病毒、混合類的病毒。按照病毒傳染的方法分類可分為4類：入侵型病毒、嵌入式病毒、加殼型病毒、病毒生產(chǎn)機。按照病毒自身特征分類可以分為2類：伴隨型病毒、變型病毒。2.網(wǎng)絡(luò)病毒的傳播途徑與網(wǎng)絡(luò)防毒

網(wǎng)絡(luò)病毒的傳播主要有以下五種途徑：郵件傳播、點擊網(wǎng)頁、用戶下載、其它人植入、通過計算機漏洞植入，所以我們只要守住了這五個要道，就能較好地防住網(wǎng)絡(luò)病毒。

網(wǎng)絡(luò)防毒的主要方法：（1）建立好的安全習(xí)慣（2）對計算機應(yīng)該經(jīng)常打補?。?）掌握一些病毒知識（4）安裝專業(yè)的防毒軟件進行全面控制（5）利用可網(wǎng)管交換機進行控制3.防病毒技術(shù)的發(fā)展趨勢（1）防范未知病毒技術(shù)期待突破（2）反病毒體系趨向于立體化11.3.5加密技術(shù)

運用數(shù)據(jù)加密措施、數(shù)據(jù)加密技術(shù)是保障信息安全的最基本、最核心的技術(shù)措施之一。這是一種主動安全防御策略，用很小的代價即可為信息提供相當(dāng)大的安全保護。加密過程由加密算法來具體實施。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方使用的密鑰是否相同來分類，可以將這些加密算法分為對稱密碼算法和非對稱密碼算法。按照作用不同，數(shù)據(jù)加密技術(shù)一般可分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)四種。1.加密技術(shù)的基本概念2.數(shù)據(jù)加密的基本原理3.對稱密鑰體制和非對稱密鑰體制4.數(shù)據(jù)加密算法5.數(shù)據(jù)傳輸過程中的加密方式6.基于加密技術(shù)的安全認(rèn)證7.加密技術(shù)的應(yīng)用實例1.加密技術(shù)的基本概念

密碼學(xué)是以研究數(shù)據(jù)保密為目的，對存儲或傳輸?shù)男畔⒉扇∶孛艿慕粨Q以防止第三者對信息的竊取。密碼是實現(xiàn)秘密通訊的主要元素（手段），是隱蔽語言、文字、圖像的特種符號。凡是用特種符號按照通訊雙方約定的方法把數(shù)據(jù)（明文）的原形隱蔽起來，不為第三者所識別的通訊方式稱為密碼通訊。在計算機通訊中，采用密碼技術(shù)將信息隱蔽起來，再將隱蔽后的信息傳輸出去，使信息在傳輸過程中即使被竊取或截獲，竊取者也不能了解信息的內(nèi)容，從而保證信息傳輸?shù)陌踩?。加密過程中的幾個名詞概念：（密碼學(xué)中的幾個名詞）（1）明文：被變換的信息，其可以是一段有意義的文字或數(shù)據(jù)；（2）密文：信息變換后的一串雜亂排列的數(shù)據(jù)，從字面上無任何含義；（3）加密：從明文到密文的變換過程為加密；（4）解密：將密文還原為明文的變換過程；（5）密鑰：對加密與解密過程進行控制的參數(shù)。（6）Ek（m）：以加密密鑰k為參數(shù)的函數(shù)，是一個加密變換。其中，參數(shù)k稱之為密鑰。對于明文m，加密算法（將明文變成密文的一種編碼）E確定之后，由于密鑰k不同，密文也不同。（7）Dk’（C）：以解密密鑰k’為參數(shù)的函數(shù)。是一個解密變換。其中，C密文。2.數(shù)據(jù)加密的基本原理

在保障信息安全的多種技術(shù)中，密碼技術(shù)是信息安全的核心和關(guān)鍵技術(shù)。通過數(shù)據(jù)加密技術(shù)，可以在一定程度上提高數(shù)據(jù)傳輸?shù)陌踩裕ＷC傳輸數(shù)據(jù)的完整性。在數(shù)據(jù)加密系統(tǒng)中，密鑰控制加密和解密過程，一個加密系統(tǒng)的全部安全性是基于密鑰的，而不是基于算法，所以加密系統(tǒng)的密鑰管理是一個非常重要的問題。數(shù)據(jù)加密過程就是通過加密系統(tǒng)把原始的數(shù)據(jù)信息（明文），按照加密算法變換成與明文完全不同的數(shù)據(jù)信息（密文）的過程，如圖所示。數(shù)據(jù)加密過程示意圖3.對稱密鑰體制和非對稱密鑰體制

對稱密鑰體制是指加密密鑰（Pk）和解密密鑰（Sk）是相同的，也就是說數(shù)據(jù)在加密和解密過程中使用相同的密鑰。對稱密鑰體制也可稱為單鑰體制。非對稱密鑰體制是指在對數(shù)據(jù)進行加密和解密過程中使用不同的密鑰，這兩個密鑰分別稱為“公鑰”和“私鑰”，它們兩個必需配對使用，否則不能打開加密文件。這里的“公鑰”是指可以對外公布的，“私鑰”則不能，只能由持有人一個人知道。因此這種密鑰體制有時也稱為公開密鑰體制（公鑰體制）或雙鑰體制。對稱加密的特點：對稱加密速度快，但密鑰不便于管理。非對稱加密的特點：可以適應(yīng)網(wǎng)絡(luò)開放性要求，且密鑰管理問題也較為簡單，尤其可方便實現(xiàn)數(shù)字簽名和驗證。但由于其需要很復(fù)雜的數(shù)學(xué)算法，故其加密速度較低。4.數(shù)據(jù)加密算法

數(shù)據(jù)加密算法有很多種，密碼算法標(biāo)準(zhǔn)化是信息化社會發(fā)展的必然趨勢，是世界各國保密通信領(lǐng)域的一個重要課題。按照發(fā)展進程來看，密碼經(jīng)歷了古典密碼算法、對稱密鑰密碼算法和公開密鑰密碼算法三個階段。

古典密碼算法有替代加密、置換加密、凱撒密碼；

對稱加密算法包括DES和AES；公開密鑰密碼算法包括RSA、背包密碼、McEliece密碼、Rabin、橢圓曲線等。目前在數(shù)據(jù)通信中使用最普遍的算法有DES算法、RSA算法等。（1）DES（DataEncryptionStandard，數(shù)據(jù)加密標(biāo)準(zhǔn)）加密算法數(shù)據(jù)加密標(biāo)準(zhǔn)（DES）是美國經(jīng)長時間征集和篩選后，于1977年由美國國家標(biāo)準(zhǔn)局頒布的一種加密算法。它主要用于民用敏感信息的加密，后來被國際標(biāo)準(zhǔn)化組織接受作為國際標(biāo)準(zhǔn)。DES主要采用替換和移位的方法加密。它用56位密鑰對64位二進制數(shù)據(jù)塊進行加密，每次加密可對64位的輸入數(shù)據(jù)進行16輪編碼，經(jīng)一系列替換和移位后，輸入的64位原始數(shù)據(jù)轉(zhuǎn)換成完全不同的64位輸出數(shù)據(jù)。DES算法僅使用最大為64位的標(biāo)準(zhǔn)算術(shù)和邏輯運算，運算速度快，密鑰生產(chǎn)容易，適合于在當(dāng)前大多數(shù)計算機上用軟件方法實現(xiàn)，同時也適合于在專用芯片上實現(xiàn)。DES算法的弱點是不能提供足夠的安全性，因為其密鑰容量只有56位。由于這個原因，后來又提出了三重DES或3DES系統(tǒng)，使用3個不同的密鑰對數(shù)據(jù)塊進行（兩次或）三次加密，該方法比進行普通加密的三次快。其強度大約和112比特的密鑰強度相當(dāng)。（2）RSA算法RSA算法以它的三位發(fā)明者的名字命名（RonRivest、AdiShamir和LeonardAdleman）。適用于數(shù)字簽名和密鑰交換。RSA加密算法是目前應(yīng)用最廣泛的公鑰加密算法，特別適用于通過Internet傳送的數(shù)據(jù)。RSA的理論依據(jù)為：尋找兩個大素數(shù)比較簡單，而將它們的乘積分解開則異常困難。RSA算法既能用于數(shù)據(jù)加密，也能用于數(shù)字簽名，在RSA算法中，包含兩個密鑰，加密密鑰和解密密鑰，加密密鑰是公開的。RSA算法的優(yōu)點是密鑰空間大（500位，一般推薦使用1024位），缺點是加密速度慢，如果RSA和DES結(jié)合使用，則正好彌補RSA的缺點。即DES用于明文加密，RSA用于DES密鑰的加密。由于DES加密速度快，適合加密較長的報文，而RSA可解決DES密鑰分配的問題。5.數(shù)據(jù)傳輸過程中的加密方式

數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)存儲加密和數(shù)據(jù)傳輸加密。采用數(shù)據(jù)存儲加密技術(shù)的目的是防止在存儲環(huán)節(jié)上的數(shù)據(jù)失密，可分為密文存儲和存取控制兩種。前者一般是通過加密算法轉(zhuǎn)換、附加密碼、加密模塊等方法實現(xiàn)；后者則是對用戶資格、權(quán)限加以審查和限制，防止非法用戶存取數(shù)據(jù)或合法用戶越權(quán)存取數(shù)據(jù)。數(shù)據(jù)傳輸加密技術(shù)主要是對傳輸中的數(shù)據(jù)流進行加密，常用的有：鏈路加密、節(jié)點加密和端到端加密三種方式。一般常用的是鏈路加密和端到端加密這兩種方式。11.3.6認(rèn)證技術(shù)1.認(rèn)證技術(shù)概述2.消息認(rèn)證3.身份認(rèn)證4.數(shù)字簽名5.數(shù)字證書1.認(rèn)證技術(shù)概述隨著Internet上各類應(yīng)用的發(fā)展，尤其是電子商務(wù)的發(fā)展，為保證商務(wù)、交易及支付活動的真實可靠，需要有一種機制來驗證活動中各方的真實身份。認(rèn)證技術(shù)能夠解決通信雙方的身份認(rèn)可及傳遞信息的真實完整性，是防止主動攻擊的重要措施。認(rèn)證是基于加密技術(shù)的，一般有賬戶名/口令認(rèn)證、使用摘要算法的認(rèn)證、基于PKI（公鑰基礎(chǔ)設(shè)施）的認(rèn)證。數(shù)字簽名在ISO7497-2標(biāo)準(zhǔn)中定義為：附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人（例如接收者）進行偽造。美國電子簽名標(biāo)準(zhǔn)（DSS，F(xiàn)IPS186-2）對數(shù)字簽名作了如下解釋：利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性。2.消息認(rèn)證消息認(rèn)證就是意定的接收者能夠檢驗收到的消息是否真實的方法。消息認(rèn)證也稱為完整性校驗，在銀行業(yè)稱為消息認(rèn)證，在OSI安全模型中稱為封裝。3.身份認(rèn)證

身份認(rèn)證（IdentificationandAuthentication）定義為：為了使某些授予許可權(quán)限的權(quán)威機構(gòu)滿意，而提供所要求的用戶身份驗證的過程。身份認(rèn)證大致分為3種：一是個人知道的某種事物，如口令、賬號等；二是個人持證（Token，也稱令牌），如圖章、標(biāo)志、鑰匙和護照等；三是個人特征，如指紋、聲紋、手形、視網(wǎng)膜、血型、基因、筆跡和習(xí)慣性簽字等。用戶或系統(tǒng)能夠通過四種方法來證明其身份：實物認(rèn)證：智能卡（SmartCard）就是一種根據(jù)用戶擁有的物品進行鑒別的手段。自動取款機ATM。密碼認(rèn)證：口令可以說是其中的一種，但口令容易被偷竊，于是人們發(fā)明了一種一次性口令機制。生物特征認(rèn)證

指紋：唯一地識別一個人手?。鹤x取整個手而不是僅僅手指的特征。聲音圖像：每個人各不相同筆跡或簽名：字母和符號的組合、簽名時某些部分用力的大小、筆接觸紙的時間的長短、筆移動中的停頓等細微的差別。視網(wǎng)膜掃描：是用紅外線檢查人眼各不相同的血管圖像。位置認(rèn)證該認(rèn)證的策略是根據(jù)用戶的位置來決定其身份。比如UNIX的rlogin和rsh程序通過源IP地址來驗證一個用戶、主機或執(zhí)行過程。4.數(shù)字簽名所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù),或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護數(shù)據(jù),防止被人(例如接收者)進行偽造。它是對電子形式的消息進行簽名的一種方法,一個簽名消息能在一個通信網(wǎng)絡(luò)中傳輸?；诠€密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名,目前主要是基于公鑰密碼體制的數(shù)字簽名。數(shù)字簽名主要的功能是：保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生。

將被發(fā)送文件采用摘要函數(shù)（Hash函數(shù)）對原始報文進行運算，得到一個固定長度的數(shù)字串，稱為報文摘要（MessageDigest），不同的報文所得到的報文摘要各異，但對相同的報文它的報文摘要卻是唯一的。數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)對收到的原文產(chǎn)生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。

數(shù)字簽名是個加密的過程，數(shù)字簽名驗證是個解密的過程。5.數(shù)字證書數(shù)字證書又稱為數(shù)字標(biāo)識（DigitalCertificate，DigitalID）。它提供了一種在Internet上身份驗證的方式，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機駕照或日常生活中的身份證相似。在網(wǎng)上進行電子商務(wù)活動時，交易雙方需要使用數(shù)字證書來表明自己的身份，并使用數(shù)字證書來進行有關(guān)交易操作。通俗地講，數(shù)字證書就是個人或單位在Internet上的身份證。數(shù)字證書是由大家共同信任的第三方---認(rèn)證中心（CertificateAuthority，CA）來頒發(fā)的，有某人的身份信息、公鑰和CA的數(shù)字簽名。任何一個信任CA的通訊一方，都可以通過驗證對方數(shù)字證書上的CA數(shù)字簽名來建立起和對方的信任，并且獲得對方的公鑰以備使用。數(shù)字證書類型有以下幾種：

CA證書：CA證書是簽發(fā)并管理正式使用公用密鑰與用戶相關(guān)的證書。該證書只在某一時間內(nèi)有效，因而CA保存一份有效證書及其有效期清單。服務(wù)器證書：是運行在Web服務(wù)器上，并且保證服務(wù)器和瀏覽器間的加密的SSL會話個人證書：給用戶授權(quán)的證書，運行S/MIME、SSL以及SET。軟件出版商認(rèn)證：允許applets或ActiveX控