電子商務(wù)安全技術(shù)實用教程 課件第03章 網(wǎng)絡(luò)安全技術(shù)

第三章網(wǎng)絡(luò)安全技術(shù)3.1網(wǎng)絡(luò)安全概述3.2防火墻技術(shù)3.3入侵檢測系統(tǒng)IDS3.4虛擬專用網(wǎng)VPN3.5防病毒技術(shù)3.6物聯(lián)網(wǎng)安全技術(shù)3.1網(wǎng)絡(luò)安全概述

3.1.1網(wǎng)絡(luò)安全隱患（1）系統(tǒng)漏洞。系統(tǒng)漏洞是指系統(tǒng)硬件、應(yīng)用軟件或操作系統(tǒng)在邏輯設(shè)計上的缺陷或錯誤被不法者利用，系統(tǒng)漏洞的威脅主要來自網(wǎng)絡(luò)攻擊。（2）惡意程序。惡意程序通常是指帶有不良意圖而編寫的電腦程序，主要包括計算機病毒、間諜軟件、勒索軟件、惡意廣告軟件等。（3）“釣魚”網(wǎng)站?！搬烎~”網(wǎng)站是網(wǎng)頁仿冒詐騙中最常見的方式之一，常以垃圾郵件、即時聊天、手機短信或虛假廣告等方式傳播。用戶訪問“釣魚”網(wǎng)站后，可能泄露賬號、密碼等信息。（4）山寨軟件。山寨軟件經(jīng)常會通過模仿一些知名軟件來吸引用戶下載、安裝。一旦得逞，其會通過開啟后臺權(quán)限等方式，偷偷收集用戶的位置信息。（5）惡意二維碼。惡意二維碼由惡意網(wǎng)址通過網(wǎng)絡(luò)技術(shù)生成而來。用戶一旦使用手機掃描，就會通過鏈接進(jìn)入二維碼“背后”的惡意網(wǎng)站（6）虛假免費Wi-Fi（WirelessFidelity）。為了節(jié)約流量，一些用戶出門在外時，會選擇連接周邊的免費Wi-Fi，這就給不法分子留下了可乘之機。3.1.2網(wǎng)絡(luò)安全層次（1）實體安全：也稱物理安全，指保護(hù)計算機網(wǎng)絡(luò)設(shè)備、設(shè)施及其他媒介免遭地震、水災(zāi)、火災(zāi)、有害氣體、電磁輻射、系統(tǒng)掉電和其他環(huán)境事故破壞的措施及過程。（2）運行安全：包括網(wǎng)絡(luò)運行和網(wǎng)絡(luò)訪問控制的安全,如設(shè)置防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離、備份系統(tǒng)實現(xiàn)系統(tǒng)的恢復(fù)。（3）系統(tǒng)安全：包括操作系統(tǒng)安全、數(shù)據(jù)庫系統(tǒng)安全和網(wǎng)絡(luò)系統(tǒng)安全。（4）應(yīng)用安全：由應(yīng)用軟件開發(fā)平臺安全和應(yīng)用系統(tǒng)數(shù)據(jù)安全兩部分組成。（5）管理安全：主要指對人員及網(wǎng)絡(luò)系統(tǒng)安全管理的各種法律、法規(guī)、政策、策略、規(guī)范、標(biāo)準(zhǔn)、技術(shù)手段、機制和措施等內(nèi)容。3.1.3網(wǎng)絡(luò)安全技術(shù)（1）防火墻技術(shù)（2）入侵檢測技術(shù)（3）虛擬專用網(wǎng)技術(shù)（4）認(rèn)證技術(shù)（5）病毒防范技術(shù)另外保障網(wǎng)絡(luò)的信息安全、系統(tǒng)安全、應(yīng)用安全還涉及到安全漏洞掃描技術(shù)、網(wǎng)絡(luò)嗅探技術(shù)、數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、安全審計技術(shù)等等。3.2防火墻技術(shù)3.2.1防火墻的概念1.防火墻的定義防火墻是位于被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間執(zhí)行訪問控制策略的一個或一組系統(tǒng)，包括硬件和軟件，構(gòu)成一道屏障，以防止發(fā)生對被保護(hù)網(wǎng)絡(luò)的不可預(yù)測的、潛在破壞性的侵?jǐn)_。通過安全規(guī)則來控制外部用戶對內(nèi)部網(wǎng)資源的訪問。在邏輯上，防火墻是分離器，限制器，也是一個分析器。在物理上，防火墻通常是一組硬件設(shè)備。圖3-1一個典型的防火墻使用形態(tài)2.防火墻的功能（1）監(jiān)控并限制訪問：防火墻通過采取控制進(jìn)出內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)包的方法，實時監(jiān)控網(wǎng)絡(luò)上數(shù)據(jù)包的狀態(tài)，并對這些狀態(tài)加以分析和處理。（2）控制協(xié)議和服務(wù)：防火墻對相關(guān)協(xié)議和服務(wù)進(jìn)行控制，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起安全事故的可能性。（3）保護(hù)內(nèi)部網(wǎng)絡(luò)：針對受保護(hù)的內(nèi)部網(wǎng)絡(luò)，防火墻能夠及時發(fā)現(xiàn)系統(tǒng)中存在的漏洞，對訪問進(jìn)行限制。（4）網(wǎng)絡(luò)地址轉(zhuǎn)換：NAT可以緩解目前IP地址緊缺的局面、屏蔽內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和信息、保證內(nèi)部網(wǎng)絡(luò)的穩(wěn)定性。（5）日志記錄與審計：當(dāng)防火墻系統(tǒng)被配置為所有內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接均需經(jīng)過的安全節(jié)點時，防火墻會對所有的網(wǎng)絡(luò)請求做出日志記錄。防火墻應(yīng)用的局限性（1）不能防范不經(jīng)過防火墻的攻擊（2）不能解決來自內(nèi)部網(wǎng)絡(luò)的攻擊和安全問題（3）不能防止受病毒感染的文件的傳輸（4）不能防止數(shù)據(jù)驅(qū)動式的攻擊（5）不能防止系統(tǒng)安全體系不完善的攻擊3.防火墻的安全策略（1）一切未被允許的都是禁止的（限制政策）防火墻只允許用戶訪問開放的服務(wù),其它未開放的服務(wù)都是禁止的。這種策略比較安全，因為允許訪問的服務(wù)都是經(jīng)過篩選的,但限制了用戶使用的便利性。（2）一切未被禁止的都是允許的（寬松政策）防火墻允許用戶訪問一切未被禁止的服務(wù),除非某項服務(wù)被明確地禁止。這種策略比較靈活,可為用戶提供更多的服務(wù),但安全性要差一些。3.2.2防火墻的分類與技術(shù)1．防火墻的分類（1）軟件防火墻與硬件防火墻（2）主機防火墻與網(wǎng)絡(luò)防火墻2.防火墻的技術(shù)（1）包過濾技術(shù)：利用訪問控制列表（ACL）對數(shù)據(jù)包進(jìn)行過濾，過濾依據(jù)是TCP/IP數(shù)據(jù)包：源地址和目的地址、所用端口號、協(xié)議狀態(tài)。（2）代理服務(wù)技術(shù)：一般采用代理服務(wù)器作為防火墻，是一種較新型的防火墻技術(shù)，它分為應(yīng)用層網(wǎng)關(guān)和電路層網(wǎng)關(guān)。（3）狀態(tài)檢測技術(shù)：基于狀態(tài)檢測技術(shù)的防火墻通過一個在網(wǎng)關(guān)處執(zhí)行網(wǎng)絡(luò)安全策略的檢測引擎而獲得非常好的安全特性。（4）NAT技術(shù)：一種把內(nèi)部私有IP地址翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。3.2.3防火墻的應(yīng)用模式1.包過濾防火墻這種模式采用單一的分組過濾型防火墻或狀態(tài)檢測型防火墻來實現(xiàn)。通常，防火墻功能由帶有防火墻模塊的路由器提供，所以也稱為屏蔽路由器。表3-1：包過濾防火墻規(guī)則示例：（1）內(nèi)部主機任何端口訪問任何主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包都允許通過。（2）任何主機的20端口訪問主機的任何端口，基于TCP協(xié)議的數(shù)據(jù)包允許通過。（3）任何主機的20端口訪問主機小于1024的端口，如果基于TCP協(xié)議的數(shù)據(jù)包都禁止通過（與1、2作為系列規(guī)則時該規(guī)則無效）。組序號動作源IP目的IP源端口目的端口協(xié)議類型1允許***TCP2允許*20*TCP3禁止*20<1024TCP2.雙穴主機防火墻這種模式采用單一的代理服務(wù)型防火墻來實現(xiàn)。防火墻由一個運行代理服務(wù)軟件的主機（即堡壘主機）實現(xiàn),該主機具有兩個網(wǎng)絡(luò)接口（稱為雙穴主機）3.屏蔽主機防火墻屏蔽主機防火墻一般由一個包過濾路由器和一個堡壘主機組成,一個外部包過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡(luò)上。這種模式采用雙重防火墻來實現(xiàn)，一個是屏蔽路由器，構(gòu)成內(nèi)部網(wǎng)第一道屏障；另一個是堡壘主機，構(gòu)成內(nèi)部網(wǎng)第二道屏障。4.屏蔽子網(wǎng)防火墻屏蔽子網(wǎng)體系結(jié)構(gòu)在本質(zhì)上與屏蔽主機體系結(jié)構(gòu)一樣，但添加了額外的一層保護(hù)體系（周邊網(wǎng)絡(luò)）。堡壘主機位于周邊網(wǎng)絡(luò)上，周邊網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)被內(nèi)部路由器分開。非軍事區(qū)DMZ：屏蔽子網(wǎng)防火墻在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個被隔離的子網(wǎng)，用兩臺路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開，兩個包過濾路由器放置在子網(wǎng)的兩端，形成的子網(wǎng)構(gòu)成一個“非軍事區(qū)”。3.2.4個人防火墻1．個人防火墻的概念個人防火墻是一套安裝在個人計算機上的軟件系統(tǒng)，它能夠監(jiān)視計算機的通信狀況，一旦發(fā)現(xiàn)有對計算機產(chǎn)生危險的通信就會報警通知管理員或立即中斷網(wǎng)絡(luò)連接，以此實現(xiàn)對個人計算機上重要數(shù)據(jù)的安全保護(hù)。比如：瑞星，賽門鐵克，天網(wǎng)防火墻，冰盾DDOS防火墻等等。2．個人防火墻的主要功能（1）防止Internet上用戶的攻擊（2）阻斷木馬及其他惡意軟件的攻擊（3）為移動計算機提供安全保護(hù)（4）與其他安全產(chǎn)品進(jìn)行集成3．Windows防火墻3.3入侵檢測技術(shù)3.3.1入侵檢測系統(tǒng)的概念1.入侵檢測系統(tǒng)的定義入侵檢測系統(tǒng)IDS（IntrusionDetectionSystem）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。入侵檢測系統(tǒng)是對防火墻的合理補充，是一個實時的網(wǎng)絡(luò)違規(guī)識別和響應(yīng)系統(tǒng)，是繼防火墻之后的又一道防線。2.入侵檢測系統(tǒng)的功能（1）監(jiān)測、分析用戶和系統(tǒng)的活動；（2）核查系統(tǒng)配置和漏洞；（3）評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；（4）識別已知的攻擊行為并采取適當(dāng)?shù)拇胧?；?）統(tǒng)計分析異常行為；（6）審計操作系統(tǒng)日志，識別違反安全策略的行為。3.IDS的分類（1）基于主機的入侵檢測系統(tǒng)（HIDS）（2）基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS）（3）分布式入侵檢測系統(tǒng)（DIDS）3.3.2入侵檢測系統(tǒng)的工作原理IDS的組成：事件發(fā)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫IDS的工作流程：第一步，網(wǎng)絡(luò)數(shù)據(jù)包的獲?。ɑ祀s模式）；第二步，網(wǎng)絡(luò)數(shù)據(jù)包的解碼（協(xié)議分析）；第三步，網(wǎng)絡(luò)數(shù)據(jù)包的檢查（誤用檢測）；第四步，網(wǎng)絡(luò)數(shù)據(jù)包的統(tǒng)計（異常檢測）；第五步，網(wǎng)絡(luò)數(shù)據(jù)包的審查（事件生成）；第六步，網(wǎng)絡(luò)數(shù)據(jù)包的處理（報警和響應(yīng)）。3.IDS的檢查技術(shù)（1）靜態(tài)配置分析技術(shù)靜態(tài)配置分析是通過檢查系統(tǒng)的當(dāng)前系統(tǒng)配置，諸如系統(tǒng)文件的內(nèi)容或系統(tǒng)表，來檢查系統(tǒng)是否已經(jīng)或者可能會遭到破壞。（2）誤用檢測技術(shù)通過檢測用戶行為中的那些與某些已知的入侵行為模式類似的行為或那些利用系統(tǒng)中缺陷或是間接地違背系統(tǒng)安全規(guī)則的行為，來檢測系統(tǒng)中的入侵活動，是一種基于已有的知識的檢測。（3）異常檢測技術(shù)通過對系統(tǒng)審計數(shù)據(jù)的分析建立起系統(tǒng)主體（用戶、主機、程序、文件等）的正常行為特征輪廓；3.3.3入侵檢測系統(tǒng)的應(yīng)用圖3-8入侵檢測系統(tǒng)一般部署圖圖3-9IDS引擎分布圖3.4虛擬專用網(wǎng)技術(shù)3.4.1虛擬專用網(wǎng)的概念虛擬專用網(wǎng)VPN，就是建立在公共網(wǎng)絡(luò)上的私有專用網(wǎng)。它是一個利用基于公眾基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)，來建立一個安全的、可靠的和可管理的企業(yè)間通信的通道。VPN的三個關(guān)鍵技術(shù)：安全通信控制管理圖3-10VPN實例圖VPN使用實例：某公司總部在北京，而上海和杭州各有分公司，MIS主管需要彼此之間能夠?qū)崟r交換數(shù)據(jù)，為了安全考慮和提高工作效率，使用VPN技術(shù)。（總公司路由器上開放兩個VPN賬戶，允許分公司路由器撥入，以建立VPN通道）。3.4.2VPN的工作原理1.VPN的協(xié)議（1）點對點隧道協(xié)議PPTP（PointtoPointTunnelingProtocol）是1996年Microsoft和Ascend等在PPP協(xié)議上開發(fā)的，是PPP的一種擴展?？蛻艨梢圆捎脫芴柗绞浇尤牍驳腎P網(wǎng)。撥號客戶首先按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；在此基礎(chǔ)上，客戶進(jìn)行二次撥號建立到PPTP服務(wù)器的連接，該連接稱為PPTP隧道。（2）第二層轉(zhuǎn)發(fā)協(xié)議L2F（Layer2Forwarding）是1996年Cisco開發(fā)的。遠(yuǎn)端用戶能夠通過任何撥號方式接入公共IP網(wǎng)絡(luò)。首先，按常規(guī)方式撥號到ISP的接入服務(wù)器，建立PPP連接；接入服務(wù)器根據(jù)用戶名等信息發(fā)起第二次連接，呼叫用戶網(wǎng)絡(luò)的服務(wù)器。（3）第二層隧道協(xié)議L2TP（Layer2TunnelingProtocol）是1997年底由Microsoft和Cisco共同開發(fā)。L2TP結(jié)合了L2F和PPTP的優(yōu)點，可以讓用戶從客戶端或接入服務(wù)器端發(fā)起VPN連接。L2TP定義了利用公共網(wǎng)絡(luò)設(shè)施封裝傳輸鏈路層PPP幀的方法。（4）互聯(lián)網(wǎng)安全協(xié)議IPSec（InternetProtocolSecurity）互聯(lián)網(wǎng)安全協(xié)議是用來增強VPN安全性的標(biāo)準(zhǔn)協(xié)議。2.VPN的實現(xiàn)方法（1）MPLSVPN：是一種基于MPLS技術(shù)的IPVPN，是在網(wǎng)絡(luò)路由和交換設(shè)備上應(yīng)用MPLS（MultiprotocolLabelSwitching，多協(xié)議標(biāo)記交換）技術(shù)，簡化核心路由器的路由選擇方式，利用結(jié)合傳統(tǒng)路由技術(shù)的標(biāo)記交換實現(xiàn)的IP虛擬專用網(wǎng)絡(luò)（IPVPN）（2）SSLVPN：是以HTTPS（安全的HTTP）為基礎(chǔ)的VPN技術(shù)，工作在傳輸層和應(yīng)用層之間。（3）IPSecVPN：是基于IPSec協(xié)議的VPN技術(shù)，由IPSec協(xié)議提供隧道安全保障。3.5防病毒技術(shù)3.5.1.病毒的基本概念1.病毒的概念病毒指“編制或者在計算機程序中插入的破壞計算機功能或者破壞數(shù)據(jù)，影響計算機使用并且能夠自我復(fù)制的一組計算機指令或者程序代碼”《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》。從廣義上講，凡是人為編制的、干擾計算機正常運行并造成計算機軟硬件故障，甚至破壞計算機數(shù)據(jù)的、可自我復(fù)制的計算機程序或指令集合都是計算機病毒。從這個概念來說計算機病毒就是惡意代碼。從狹義上講，具有病毒特征的惡意代碼稱為計算機病毒。所謂病毒特征就是生物界所具有的病毒特征是一樣的。表3-2常見的惡意代碼表惡意代碼類型定義特點病毒在計算機程序中插入的破壞計算機功能或數(shù)據(jù)、影響計算機使用，并能夠自我復(fù)制的程序傳染性、破壞性、潛伏性蠕蟲能夠銅鑼網(wǎng)絡(luò)自我復(fù)制、消耗計算機資源和網(wǎng)絡(luò)資源的惡意程序掃描、攻擊、傳播木馬能夠與遠(yuǎn)程計算機建立連接，使遠(yuǎn)程計算機能遠(yuǎn)程控制本地計算機的惡意代碼欺騙、隱藏、竊取信息后門能夠避開計算機的安全控制，使遠(yuǎn)程計算機能夠連接本地計算機的程序潛伏邏輯炸彈能夠嵌入計算機程序、通過一定條件觸發(fā)破壞的程序潛伏、破壞2.病毒的特征（1）非授權(quán)性（2）隱蔽性（3）傳染性（4）潛伏性（5）破壞性（6）可觸發(fā)性（7）針對性（8）與黑客技術(shù)的結(jié)合性3．病毒的分類（1）文件傳染源病毒（2）引導(dǎo)扇區(qū)病毒（3）宏病毒（4）復(fù)合型病毒3.5.2病毒檢測技術(shù)（1）特征碼檢測法計算機病毒是一種人為編寫的特殊的程序代碼，不同病毒之間在代碼上都存在著差異性。（2）校驗和檢測法使用校驗和檢測法對被查的對象（文件或一段程序代碼）計算在正常狀態(tài)時的校驗和，并將校驗和寫入指定的文件中。（3）行為監(jiān)測法行為監(jiān)測法是指利用病毒的特有行為特征來監(jiān)測病毒的一種方法。（4）軟件模擬法是指用軟件來模擬和分析程序的執(zhí)行過程和結(jié)果。3.5.3病毒的防范方法1．非網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝專業(yè)的反病毒軟件，對存儲介質(zhì)進(jìn)行定期的查、殺病毒操作。（2）安裝和啟用防火墻軟件，避免某些利用操作系統(tǒng)和軟件漏洞的病毒和惡意代碼侵入計算機系統(tǒng)。（3）使用不明來路的磁盤中的數(shù)據(jù)（軟件）前，應(yīng)先進(jìn)行查、條病毒操作，確認(rèn)無病毒后再使用。3.5.3病毒的防范方法2．網(wǎng)絡(luò)傳播型病毒的防范方法（1）安裝反病毒軟件（2）及時修補操作系統(tǒng)和應(yīng)用軟件的漏洞（3）安裝網(wǎng)絡(luò)防火墻（4）常備工具軟件（5）建議禁用操作系統(tǒng)中的自動運行功能（6）對于來路不明的可疑郵件附件不要直接打開（7）不要貪圖免費軟件（8）不瀏覽非法網(wǎng)站3.6物聯(lián)網(wǎng)安全技術(shù)3.6.1物聯(lián)網(wǎng)安全概述1．物聯(lián)網(wǎng)安全的特征平民化、輕量化、非對稱、復(fù)雜性、安全領(lǐng)域涵蓋廣泛、有別于傳統(tǒng)的信息安全2．物聯(lián)網(wǎng)安全的威脅（1）物聯(lián)網(wǎng)終端安全。（2）物聯(lián)網(wǎng)管道安全。（3）物聯(lián)網(wǎng)云服務(wù)安全。3.6.1物聯(lián)網(wǎng)安全概述3．物聯(lián)網(wǎng)安全體系結(jié)構(gòu)（1）感知層安全。（2）網(wǎng)絡(luò)層安全。（3）應(yīng)用層安全。（4）安全管理。（1）無線網(wǎng)安全技術(shù)。物聯(lián)網(wǎng)現(xiàn)在以無線網(wǎng)絡(luò)為主。新生的RF和無線通信協(xié)議與標(biāo)準(zhǔn)的出現(xiàn)，使得物聯(lián)網(wǎng)設(shè)備面臨著比傳統(tǒng)有線網(wǎng)絡(luò)更具挑戰(zhàn)性的安全問題。（2）身份授權(quán)技術(shù)。物聯(lián)網(wǎng)設(shè)備必須由所有合法用戶進(jìn)行身份驗證。實現(xiàn)這種認(rèn)證的方法包括靜態(tài)口令、雙因素身份認(rèn)證、生物認(rèn)證和數(shù)字證書。（3）加密技術(shù)。加密主要用于防止對數(shù)據(jù)和設(shè)備的未經(jīng)授權(quán)訪問。物聯(lián)網(wǎng)中的授權(quán)訪問顯得更加重要，因為物聯(lián)網(wǎng)設(shè)備及硬件配置是各種各樣的。一個完整的安全管理過程必須包括加密技術(shù)的應(yīng)用。（4）側(cè)信道攻擊的防范。即使有足夠的加密和認(rèn)證，物聯(lián)網(wǎng)設(shè)備也還可能面臨另一個威脅，即側(cè)信道攻擊。這種攻擊的重點不在于信息的傳輸過程，而在于信息的呈現(xiàn)方式。（5）安全分析和威脅預(yù)測。除