【正文】 全措施的網(wǎng)絡(luò)模型 計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu) 一個(gè)全方位的計(jì)算機(jī)網(wǎng)絡(luò)安全體系結(jié)構(gòu)包含網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全 利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)、系統(tǒng)漏洞檢測(cè)技術(shù)、黑客跟蹤技術(shù)，在攻擊者和受保護(hù)的資源間建立多道嚴(yán)密的安全防線，極大地增加了惡意攻擊的難度，并增加了審核信息的數(shù)量，利用這些審核信息可以跟蹤入侵者。 到 2022年 6月 30日為止，我國上網(wǎng)人數(shù)約為 2650萬； 1999年全國有 200多個(gè)電子商務(wù)網(wǎng)站， 2022年，達(dá)到 1100家；我國電子商務(wù)交易額 1999年約為 2億元， 2022年約為 8億元，預(yù)計(jì)到 2022年，將突破 lOO億元。 根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（ CNNIC） 發(fā)布的 “ 中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告（ 2022/1） ” ，在電子商務(wù)方面， ％的用戶最關(guān)心的是交易的安全可靠性。 實(shí)施網(wǎng)絡(luò)安全防范措施 使用訪問控制權(quán)限機(jī)制實(shí)現(xiàn)數(shù)據(jù)的訪問控制 對(duì)日志以及敏感數(shù)據(jù)和信息進(jìn)行加密存儲(chǔ) 當(dāng)使用 WWW服務(wù)器支持電子商務(wù)活動(dòng)時(shí) ， 注意數(shù)據(jù)的備份和恢復(fù) ， 并采用防火墻技術(shù)保護(hù)內(nèi)部網(wǎng)絡(luò)的安全性 良 好 的 用 戶 管 理 機(jī) 制 ， 向 授 權(quán) 用 戶 提 供 利 用Inter/Intra訪問關(guān)鍵業(yè)務(wù)信息的權(quán)限 ， 同時(shí)阻止未經(jīng)授權(quán)的用戶的訪問 提供全面實(shí)時(shí)的病毒防護(hù)和防惡意代碼保護(hù) ， 主動(dòng)截獲潛伏于電子郵件以及遠(yuǎn)程或本地文件中的病毒 。這種破壞手段主要有三個(gè)方面： (1)篡改 改變信息流的次序，更改信息的內(nèi)容，如購買商品的出貨地址； (2)刪除 刪除某個(gè)消息或消息的某些部分； (3)插入 在消息中插入一些信息，讓收方讀不懂或接收錯(cuò)誤的信息。 b． 不可抵賴性 :信息的發(fā)送方不能抵賴曾經(jīng)發(fā)送的信息、不能否認(rèn)自己的行為。 d． 身份的真實(shí)性 :交易方的身份不能被假冒或偽裝、可以有效鑒別確定交易方的身份。 完整性 (integrity):預(yù)防對(duì)信息的隨意生成、修改和刪除，同時(shí)要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)并保證信息傳送次序的統(tǒng)一。 真實(shí)性 (authenticity) :在交易信息的傳輸過程中為參與交易的個(gè)人、企業(yè)或國家提供可靠的標(biāo)識(shí)。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。這是一種非常實(shí)用的方法，可以造成一種十分安全的環(huán)境 , 因?yàn)橹挥薪?jīng)過仔細(xì)挑選的服務(wù)才被允許使用。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境 , 可為用戶提供更多的服務(wù)。通過控制存在于某一網(wǎng)段的網(wǎng)絡(luò)流量類型，包過濾可以控制存在于某一網(wǎng)段的服務(wù)方式。代理防火墻通過編程來弄清用戶應(yīng)用層的流量，并能在用戶層和應(yīng)用協(xié)議層提供訪問控制。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。 電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的 TCP握手信息 ,這樣來決定該會(huì)話(Session) 是否合法 ,電路級(jí)網(wǎng)關(guān)是在 OSI模型中會(huì)話層上來過濾數(shù)據(jù)包 ,這樣比包過濾防火墻要高兩層。 虛擬專用網(wǎng)（ VPN， Virtual Private Network）： 利用公共網(wǎng)絡(luò)來構(gòu)建的專用網(wǎng)絡(luò)稱為虛擬專用網(wǎng)，用于構(gòu)建 VPN的公共網(wǎng)絡(luò)包括 Inter、 幀中繼、 ATM等 在公共網(wǎng)絡(luò)上組建的 VPN象企業(yè)現(xiàn)有的 VAN一樣提供安全性、可靠性和可管理性等 虛擬專用網(wǎng) 虛擬專用網(wǎng)特點(diǎn) 安全保障 :所有的 VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性 服務(wù)質(zhì)量保證（ QoS） :VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。 ＶＰＮ解決方案的核心技術(shù) （續(xù)） 第二層隧道協(xié)議是先把各種網(wǎng)絡(luò)協(xié)議封裝到 PPP中，再把整個(gè)數(shù)據(jù)包裝入隧道協(xié)議中。 第三層隧道協(xié)議有 VTP、 IPSec等。 單鑰密碼：加密與解密的密鑰相同 。 標(biāo)準(zhǔn)化： DES算法 1975年 3月公開發(fā)表，1977年 1月 15日由美國國家標(biāo)準(zhǔn)局頒布為數(shù)據(jù)加密標(biāo)準(zhǔn)（ Data Encryption Standard），于 1977年 7月 15日生效。 1980年， DES成為美國標(biāo)準(zhǔn)化協(xié)會(huì) (ANSI)標(biāo)準(zhǔn)。 e = 1 ( mod 162。它由金融機(jī)構(gòu)以數(shù)字化形式簽發(fā)，不能隨意更改。 ，并規(guī)定了實(shí)體鑒別過程中廣泛適用的證書語法和數(shù)據(jù)接口， 。 PKI體系結(jié)構(gòu)采用證書管理公鑰，即結(jié)合 鑒別框架（ Authentication Framework） 來實(shí)現(xiàn)密鑰管理，通過 CA把用戶的公鑰及其它標(biāo)識(shí)信息捆綁在一起，在INTERNET上驗(yàn)證用戶的身份，保證網(wǎng)上數(shù)據(jù)的保密性和完整性。 電子商務(wù) CA體系包括兩大部分，即符合 SET標(biāo)準(zhǔn)的 SET CA認(rèn)證體系（又叫 金融 CA體系）和基于 PKI CA體系（又叫 非金融 CA體系） CA的基本功能 生成和保管符合安全認(rèn)證協(xié)議要求的公共和私有密鑰、數(shù)字證書及其數(shù)字簽名 對(duì)數(shù)字證書和數(shù)字簽名進(jìn)行驗(yàn)證 對(duì)數(shù)字證書進(jìn)行管理，重點(diǎn)是證書的撤消管理，同時(shí)追求實(shí)施自動(dòng)管理（非手工管理） 建立應(yīng)用接口，特別是支付接口。主要功能有接收注冊(cè)請(qǐng)求，處理、批準(zhǔn) /拒絕請(qǐng)求，頒發(fā)證書 CA是整個(gè)信任鏈的起點(diǎn)，是開展電子商務(wù)的基礎(chǔ)。 目前， 受，已用于許多網(wǎng)絡(luò)安全應(yīng)用程序，其中包括 IP安全（ Ipsec）、 安全套接層（ SSL）、 安全電子交易（ SET）、 安全多媒體 INTERNET郵件擴(kuò)展（ S/MIME）等。在 SET中，一個(gè)商家至少應(yīng)有一個(gè)證書，與銀行交往中可能會(huì)有多個(gè)證書，表示與多家銀行的合作關(guān)系，可接受多種付款方式 : 為了提供公用網(wǎng)絡(luò)用戶目錄信息服務(wù)， ITU于 1988年制定了 。 一個(gè)安全的認(rèn)證系統(tǒng)應(yīng)滿足防偽造 、 防抵賴 、 防竊聽 、 防篡改的要求 消息的認(rèn)證性和消息的保密性不同 — 保密性是使截獲者在不知密鑰條件下不能解讀密文的內(nèi)容 — 認(rèn)證性是使任何不知密鑰的人不能構(gòu)造一個(gè)密報(bào)，使意定的接收者解密一個(gè)可理解的消息（合法消息） 信息認(rèn)證 （ Authentication） 內(nèi)容 — 確認(rèn)信息的來源 — 驗(yàn)證信息內(nèi)容的完整性 — 確認(rèn)信息的序號(hào)和時(shí)間 數(shù)字簽名技術(shù) 身份認(rèn)證技術(shù) 數(shù)字簽名技術(shù) 時(shí)間戳 消息的流水作業(yè)號(hào) 技術(shù) 身份 認(rèn)證 目標(biāo)： 可信性、完整性、不可抵賴性、訪問控制 基本方式 — 用戶所知道的某個(gè)秘密信息（如口令） — 用戶所持有的某個(gè)秘密信息或硬件（如智能卡） — 用戶所具有的某些生物學(xué)特征（如指紋） 常用方法 — 身份認(rèn)證的單因素法：口令 改進(jìn)：計(jì)算機(jī)不存儲(chǔ)口令，只存儲(chǔ)口令的單項(xiàng)函數(shù)值 身份 認(rèn)證（續(xù)） — 基于智能卡的用戶身份認(rèn)證（雙因素法） — 一次口令機(jī)制 — 基于 Kerberos協(xié)議的認(rèn)證 KDC C S 許可證 會(huì)話 key 會(huì)話 key加密 Kerberos系統(tǒng) 基于 CA的身份認(rèn)證 Inter的認(rèn)證系統(tǒng)可分為用戶對(duì)主機(jī)、主機(jī)對(duì)主機(jī)、用戶對(duì)用戶以及第三方驗(yàn)證。 雙鑰（公開密鑰、非對(duì)稱密鑰