【正文】 方面進(jìn)行檢查 ， 再確定該數(shù)據(jù)包是否可以通過 。 64 包過濾防火墻 ? 包過濾防火墻一般在路由器上實現(xiàn)，用以過濾用戶定義的內(nèi)容，如 IP地址。 正是由于這種工作機(jī)制，包過濾防火墻存在以下缺陷： ＊通信信息：包過濾防火墻只能訪問部分?jǐn)?shù)據(jù)包的頭信息； ＊通信和應(yīng)用狀態(tài)信息：包過濾防火墻是無狀態(tài)的，所以它不可能保存來自于通信和應(yīng)用的狀態(tài)信息； ＊信息處理：包過濾防火墻處理信息的能力是有限的。另外，每個代理需要一個不同的應(yīng)用進(jìn)程，或一個后臺運行的服務(wù)程序，對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。 ? 包過濾路由器型防火墻的優(yōu)點： 處理包的速度要比代理服務(wù)器快； ? 包過濾路由器型防火墻的缺點：防火墻的維護(hù)比較困難等 過濾路由器 Inter 內(nèi)部網(wǎng)絡(luò) 71 雙宿網(wǎng)關(guān)防火墻 ? 雙宿網(wǎng)關(guān)是一種擁有兩個連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。屏蔽主機(jī)防火墻包過濾路由器和堡壘主機(jī)組成。網(wǎng)絡(luò)管理員將堡壘主機(jī)，信息服務(wù)器， Modem組，以及其它公用服務(wù)器放在“非軍事區(qū)”網(wǎng)絡(luò)中。 (4)偽造 (攻擊系統(tǒng)的真實性 ):將偽造的假消息注入系統(tǒng) \假冒合法人介入系統(tǒng) 、 重放截獲的合法消息實現(xiàn)非法目的 ,否認(rèn)消息的接入和發(fā)送等 。 78 安全評估產(chǎn)品 （ 1）基于單機(jī)系統(tǒng)的評估工具 產(chǎn)品： Security Toolkit、 COPS、 CAExamine和 ISS公司的System Security Scanner等 （ 2）基于客戶端的評估系統(tǒng) 產(chǎn)品： Intrusion Detection公司的 Kane Security Analyst（ KSA）等 （ 3）網(wǎng)絡(luò)探測型 產(chǎn)品： AXENT公司的 NetRecon、 ISS公司的 Inter Scanner、SATAN、 NAI公司的采用 CyberCop Scanner等 （ 4）管理者 /代理型評估系統(tǒng) 產(chǎn)品： AXENT公司的 OmniGuard/ Enterprise Security Manager（ ESM）等 79 安全評估產(chǎn)品的比較 檢測標(biāo)準(zhǔn) 單機(jī) 基于客戶端 探測型 管理員 / 代理型全網(wǎng)安全報告 無 有 有 有跨平臺操作 不可以 實現(xiàn)困難 可以 可以易于集成的框架結(jié)構(gòu) 不是 不是 困難 容易執(zhí)行效率 無法計算 低 低 好帶寬消耗 無法計算 大 非常大 小職責(zé)分離 不分離 不分離 分離 分離80 在實施網(wǎng)絡(luò)安全防范措施時要考慮以下幾點： ? 加強(qiáng)主機(jī)本身的安全 ， 做好安全配置 ， 及時安裝安全補丁程序 ， 減少漏洞； ? 用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析 ，找出可能存在的安全隱患 ， 并及時加以修補； ? 從路由器到用戶各級建立完善的訪問控制措施 ， 安裝防火墻 ， 加強(qiáng)授權(quán)管理和認(rèn)證； ? 利用 RAID5等數(shù)據(jù)存儲技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施； ? 對敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施； ? 對在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行數(shù)據(jù)加密； ? 安裝防病毒軟件 ， 加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施； ? 建立詳細(xì)的安全審計日志 ， 以便檢測并跟蹤入侵攻擊等 81 Inter 網(wǎng)上銀行 WEB 服務(wù)器 支付網(wǎng)關(guān) 入侵檢測機(jī) 網(wǎng)絡(luò)漏洞掃描機(jī) 銀行數(shù)據(jù) 通信網(wǎng) 外部 WEB 服務(wù)器 CA 服務(wù)器 網(wǎng)上銀行 數(shù)據(jù)庫 服務(wù)器 客戶服務(wù)代表機(jī) 內(nèi)部管理與維護(hù)機(jī) ? 采用 ISS公司的如下產(chǎn)品： ? Inter Scanner ? System Scanner ? Real Secure 網(wǎng)上銀行安全檢測結(jié)構(gòu)圖 82 如何防范黑客 ? 下載最新的網(wǎng)絡(luò)安全軟件包并安裝在你的計算機(jī)上，確保你使用的是最新版的瀏覽器，防止別人利用軟件的 BUG來進(jìn)行攻擊。 83 其他安全與保密問題 ? 病毒及病毒防范 ? 數(shù)據(jù)庫安全與保密 ? 計算機(jī)軟硬件安全與保密 ? 物理安全與保密 84 綜合網(wǎng)絡(luò)安全體系 攻擊者 系統(tǒng)審計 、 分析 入侵檢測 實時響應(yīng) （ 警告 、 拒絕服務(wù) ） 弱點分析 檢測 漏洞修補 系統(tǒng)第一道防線 防止遠(yuǎn)程攻擊 系統(tǒng)第二道防線 防止內(nèi)部權(quán)限提升 系統(tǒng)備份安全措施 各種層次服務(wù)的安全保證 各種層次服務(wù)的安全保證 系統(tǒng)的全方位防衛(wèi)示意圖 85 中國信息安全產(chǎn)品測評認(rèn)證中心 86 案例：淘寶網(wǎng)的安全管理 安全策略中心 賬戶安全策略 交易安全策略 資金安全策略 隱私保護(hù)策略 智能風(fēng)險控制 87 案例：淘寶網(wǎng)的安全產(chǎn)品 88 思考題 ? 思考 B2B、 B2C、 C2C網(wǎng)站存在的安全問題及對應(yīng)防范措施。 ?不要打開不名來歷的電子郵件 ， 特別是用OUTLOOK收信的朋友 。違反安全策略的行為有：入侵 — 非法用戶的違規(guī)行為；濫用 — 用戶的違規(guī)行為。 ? 使用加密、信息和身份認(rèn)證、訪問控制等技術(shù)。 過濾路由器 堡壘主機(jī) Inter 內(nèi)部網(wǎng)絡(luò) 73 屏蔽子網(wǎng)防火墻 外部 過濾路由器 堡壘主機(jī) Inter 內(nèi)部網(wǎng)絡(luò) 內(nèi)部 過濾路由器 屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個包過濾路由器和一個堡壘主機(jī)。 ? 所以為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機(jī)應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。應(yīng)用網(wǎng)關(guān)防火墻存在以下缺陷： ＊連接限制：每一個服務(wù)需要自己的代理，所以可提供的服務(wù)數(shù)和可伸縮性受到限制； ＊技術(shù)限制：應(yīng)用網(wǎng)關(guān)不能為 UDP、 RPC及普通協(xié)議族的其他服務(wù)提供代理； ＊性能：應(yīng)用網(wǎng)關(guān)防火墻犧牲了一些系統(tǒng)性能。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／服務(wù)器模式實現(xiàn)的。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。 ?代理服務(wù)技術(shù) 是一種基于代理服務(wù)器的防火墻技術(shù) ， 通過代理服務(wù)器和代理客戶兩個部件 ， 使內(nèi)部網(wǎng)和外部網(wǎng)不存在直接的連接 。它具有限制外界用戶對內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。 如：建立備份中心 ?防范計算機(jī)設(shè)備被盜：固定件 、 添加鎖 、 設(shè)置警鈴 、 購置柜機(jī) 、 系統(tǒng)外人員不得入內(nèi)等 ?盡量減少對硬件的損害：不間斷電源 、 消除靜電 、 系統(tǒng)接地等 57 第六層：管理制度的建立與實施 ? 包括運行與維護(hù)的管理規(guī)范、系統(tǒng)保密管理的規(guī)章制度、安全管理人員的教育培訓(xùn)、制度的落實、職責(zé)的檢查等方面內(nèi)容。 ? 在涉及多方的電子交易中， SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系； ? SSL協(xié)議有利于商家而不利于客戶，適合 BTOB； 47 SSL客戶機(jī)（瀏覽器） SSL服務(wù)器 客戶機(jī)的招呼 發(fā)出加密算法和密鑰長度 服務(wù)器的響應(yīng) 會話 會話 使用私有的公用密鑰在客戶機(jī)和服務(wù)器之間傳送保密數(shù)據(jù) 發(fā)出含服務(wù)器公開密鑰的服務(wù)器