【正文】 據(jù)網(wǎng)； ? VPN技術(shù)主要是隧道技術(shù)和密碼技術(shù)； ? 按其在不同層次上實(shí)現(xiàn)，可分四種： ?鏈路層 VPN ?網(wǎng)絡(luò)層 VPN ?傳輸層 VPN ?非 IP類 VPN ? VPN應(yīng)用領(lǐng)域包括： ?遠(yuǎn)程移動(dòng)用戶遠(yuǎn)程訪問公司總部； ?總部與分支機(jī)構(gòu)在公網(wǎng)上組建內(nèi)域網(wǎng) ； ?內(nèi)域網(wǎng)與合作伙伴網(wǎng)絡(luò)連接形成外域網(wǎng)。 行動(dòng) 2： 所有的系統(tǒng)和網(wǎng)絡(luò)管理員必須通過培訓(xùn) ， 掌握基本的安全技能 ， 并專注于消除基本的安全缺陷 。每一系統(tǒng)都有一個(gè)不同的使用模式， IDS的防護(hù)機(jī)制應(yīng)該易于適應(yīng)這些模式。 容錯(cuò)是必須的 容錯(cuò)使它能夠從系統(tǒng)災(zāi)難中幸存下來(lái)，并且不需要重新啟動(dòng)，就可以重建知識(shí)數(shù)據(jù)庫(kù)。因此，在安裝 IDS之前，首先準(zhǔn)確認(rèn)識(shí)你的網(wǎng)絡(luò)或主機(jī)的安全狀態(tài)，把它們提高到一個(gè)基本的安全級(jí)別上，并且采用一定的維護(hù)手段使它們穩(wěn)定在所期望的安全等級(jí)上，也許更加有效。用戶網(wǎng)絡(luò)中也許已經(jīng)擁有了某些技術(shù)，只不過沒有得到充分利用或沒有得到合理配臵。 要根據(jù)安全策略進(jìn)行評(píng)估 在選擇入侵檢測(cè)系統(tǒng)策略和產(chǎn)品之前，用戶必須對(duì)網(wǎng)絡(luò)的安全需求作徹底的分析。 保留高質(zhì)量的日志作為起訴證據(jù) 日志必須保持特定的質(zhì)量，并且必須對(duì)網(wǎng)絡(luò)上所有計(jì)算機(jī)的操作、登錄和退出類型進(jìn)行記錄。我們可以預(yù)警、建立入侵檢測(cè)機(jī)制，或阻斷入侵。 IDS的發(fā)展趨勢(shì) 具有預(yù)測(cè)功能 安全廠商們正在開發(fā)下一代具有預(yù)測(cè)功能的 IDS，即 IDS能夠識(shí)別并記錄攻擊，并且不會(huì)受到自身日志數(shù)據(jù)的影響，而且能夠進(jìn)行無(wú)憂的最小差錯(cuò)告警。進(jìn)行評(píng)估的項(xiàng)目包括：對(duì)重要系統(tǒng)文件的修改、異常的或過度的 CPU活動(dòng)、 root或管理權(quán)限的濫用等。 入侵檢測(cè)系統(tǒng)的分類 入侵檢測(cè)系統(tǒng)的分類 基于網(wǎng)絡(luò)的系統(tǒng)（ Networkbased IDS） 基于網(wǎng)絡(luò)的系統(tǒng)也稱為 NIDS。象許多病毒檢測(cè)系統(tǒng)一樣，濫用檢測(cè)軟件的好壞直接取決于攻擊簽名數(shù)據(jù)庫(kù)的好壞。 IDS可以是硬件系統(tǒng)，也可以是軟件系統(tǒng)。其實(shí)，網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程，僅靠安裝防火墻和 IDS，只能解決部分安全問題，而離全面解決安全問題還差得太遠(yuǎn)。 ? Http、 Ftp、 Email、入侵、 DNS請(qǐng)求等行為分析 。 加密機(jī) 密文 加密機(jī) 加密機(jī) 密文 明文 明文 明文 加密機(jī) 源點(diǎn) 終點(diǎn) 節(jié)點(diǎn)加密設(shè)備的特點(diǎn) ?在節(jié)點(diǎn)先對(duì)消息進(jìn)行解密，后進(jìn)行加密； ?不允許消息在節(jié)點(diǎn)以明文方式存在； ? 消息的報(bào)頭和路由信息以明文方式傳輸。 （二）安全身份認(rèn)證系統(tǒng) ?基于生物特征的身份認(rèn)證： 如 DNA，視網(wǎng)膜，虹膜、指紋等； ?基于 IC卡的身份認(rèn)證： 如磁存儲(chǔ)卡、邏輯加密卡， CPU卡等； ?基于零知識(shí)證明的身份認(rèn)證； ?基于“用戶名 +口令”的身份認(rèn)證； ?基于電子鑰匙的身份認(rèn)證系統(tǒng)。 防病毒系統(tǒng) ? 單機(jī)版殺毒軟件 ? 網(wǎng)絡(luò)版殺毒軟件一般采用 B/S架構(gòu)，具有“染毒電腦隔離”“文件自動(dòng)分發(fā)”“全網(wǎng)漏洞管理”等眾多功能，并具有詳盡的病毒疫情分析、 IT資產(chǎn)管理等創(chuàng)新功能，為企業(yè)用戶提供了更加強(qiáng)大的網(wǎng)絡(luò)安全管理利器。 ? 非對(duì)稱密碼技術(shù)：兩個(gè)不同的密鑰，一個(gè)用于加密，一個(gè)用于解密，公鑰加密技術(shù)。 建立定期的安全檢測(cè)、口令管理、人員管理、策略管理、備份管理、日志管理等一系列管理方法和制度是非常必要的。說到底就是缺乏一套整體安全方案，一個(gè)沒有整體安全規(guī)劃的系統(tǒng)，安全是肯定沒有保障的。我國(guó)現(xiàn)有信息安全專業(yè)人才少，有必要采取措施來(lái)逐步改善目前安全人才極為缺乏的狀況。 電子政務(wù)的應(yīng)用不僅代表政府部門的利益更代表了企業(yè)和廣大民眾的利益 。 不可否認(rèn)服務(wù)： 為第三方驗(yàn)證信息源的真實(shí)性和信息的完整性提供證據(jù)，它有助于責(zé)任機(jī)制的建立，為解決電子政務(wù)中的爭(zhēng)議提供法律證據(jù)。 電子政務(wù)的安全需求 身份認(rèn)證服務(wù)： 為政務(wù)實(shí)體定義唯一的電子身份標(biāo)識(shí)，并通過該標(biāo)識(shí)進(jìn)行身份認(rèn)證，保證身份的真實(shí)性。計(jì)算機(jī)安全更關(guān)心信息的存儲(chǔ)和處理的安全。 ? 可控性：對(duì)信息及信息系統(tǒng)實(shí)施安全監(jiān)控管理。1 第十講 電子政務(wù)安全體系 一、電子政務(wù)的安全問題 二、電子政務(wù)安全體系 技術(shù)體系 管理保障體系 服務(wù)保障體系 基礎(chǔ)設(shè)施保障體系 2 電子政務(wù)的安全問題 惡意破壞 自然災(zāi)害 意識(shí)不強(qiáng) 操作不當(dāng) 管理疏漏 軟硬件漏洞 濫用職權(quán) 內(nèi)外勾結(jié) 內(nèi)部資源 信息戰(zhàn)爭(zhēng) 黑客攻擊 信息間諜 病毒傳染 信息恐怖 外部威脅 內(nèi)部威脅 信息安全 ? 保障信息的機(jī)密性、完整性、可用性、可控性和不可否認(rèn)性等幾個(gè)方面。 ? 可用性：授權(quán)人使用時(shí)不能出現(xiàn)系統(tǒng)拒絕服務(wù)的情況。 ? 計(jì)算機(jī)安全是指計(jì)算機(jī)系統(tǒng)資源和信息資源不受自然和人為的威脅與損壞。 ? 電子政務(wù)安全問題就是一種信息安全問題。 數(shù)據(jù)完整性服務(wù)： 保證收發(fā)雙方數(shù)據(jù)的一致性，防止信息被非授權(quán)修改。 ? 保障電子政務(wù)安全即維護(hù)了社會(huì)各階層利益 。 國(guó)內(nèi)電子政務(wù)安全存在的一些問題 ? 大部分的政府機(jī)構(gòu)都沒有精力對(duì)網(wǎng)絡(luò)安全進(jìn)行必要的人力投入；很多重要站點(diǎn)的管理員都是 Inter的新手，很多服務(wù)器存在的漏洞可以使入侵者獲取系統(tǒng)的最高控制權(quán)。 ? 另外，沒有設(shè)置好密碼策略、沒有設(shè)置安全日志策略或沒有定期分析日志發(fā)現(xiàn)異?，F(xiàn)象等等。 沒有安全管理機(jī)制 安全和管理是分不開的，有好的安全設(shè)備和系統(tǒng)還不夠，還必須有一套好的安全管理方法，并貫徹實(shí)施。 DES、 IDEA算法。 黑客常用的攻擊手段和方式 ? 利用系統(tǒng)管理的“漏洞”進(jìn)入； ? 利用操作系統(tǒng)和應(yīng)用系統(tǒng)的漏洞攻擊； ? 利用竊聽獲取用戶信息及更改數(shù)據(jù)； ? 偽造用戶身份、否認(rèn)自己的簽名； ? 傳播和釋放病毒對(duì)系統(tǒng)進(jìn)行有效控制； ? IP欺騙攻擊； ? 拒絕服務(wù)（ DoS）攻擊； ? 消耗主機(jī)資源使其癱瘓或死機(jī)。 ? 防毒墻（網(wǎng)關(guān)） 防火墻的類型 防火 墻 的 類型 應(yīng)用代理 ApplicationLevel Gateway 電路級(jí)網(wǎng)關(guān) CircuitLevel Gateway 包過濾路由器 PacketFiltering Router 靜態(tài)包過濾器工作于網(wǎng)絡(luò)層 應(yīng)用層 表示層 會(huì)話層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 傳輸層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 網(wǎng)絡(luò)層 鏈路層 物理層 IP頭 TCP頭 應(yīng)用級(jí)頭 數(shù)據(jù) 源 /目的 IP地址 源 /目的 端口 應(yīng)用狀態(tài)和數(shù)據(jù)流 凈荷 包過濾器 靜態(tài)包過濾器所過濾的內(nèi)容 應(yīng)用層 表示層 會(huì)話層 網(wǎng)絡(luò)層 鏈路層 物理層 傳輸層