【正文】 大幅受益，那么訂貨單位可能就會因此而蒙受損失。 l 不可否認性由于商情的千變萬化,交易一旦達成是不能被否認的。要使交易成功首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,。數(shù)字安全證書建立了一套嚴密的身份認證系統(tǒng)，可以確保電子商務的安全性。因為“一證在手，走遍天下”的時代已經(jīng)到來。網(wǎng)上證券少不了它；網(wǎng)上繳款不能沒有它；進入全球知名網(wǎng)站，更不得沒有它。 入侵檢測 eID 代表了最新一代企業(yè)網(wǎng)絡保護技術，具有前所未有的訪問控制、用戶透明性、高性能、靈活性、適應性及易用性等。在連接后，根據(jù)入侵檢測 (eTrust Intrusion Detection) 管理員定義的權限, 用戶可以查看和監(jiān)控入侵檢測 (eTrust Intrusion Detection)數(shù)據(jù)、更改規(guī)則以及創(chuàng)建報告。l 網(wǎng)絡使用情況記錄入侵檢測 eID 允許網(wǎng)絡管理員跟蹤最終用戶、應用程序等的網(wǎng)絡使用情況。因為黑客不知道他們正在被監(jiān)視，因此通常在未察覺的情況下被捕獲。從 CA web 站點可以得到最新和更新后的病毒特征碼。這種高性能且使用方便的解決方案在單一軟件包中提供了最廣泛的監(jiān)視、入侵和攻擊探測、非法 URL 探測和阻塞、警告、記錄和實時響應。應用層攻擊：改進、替換具有安全漏洞的應用服務器。地址欺騙：對這種攻擊的防范采用擴展訪問過濾列表方式，凡是從其他網(wǎng)段進來的數(shù)據(jù)包，如果其源地址不是來自該網(wǎng)段的合法地址，就拋棄該數(shù)據(jù)包。被動監(jiān)聽：在共享式以太網(wǎng)結構中，一個主機發(fā)送的數(shù)據(jù)會發(fā)送到一個網(wǎng)段上的每主機數(shù)據(jù)包被監(jiān)聽是不可避免的。應用層攻擊：這種攻擊方法是利用應用軟件的缺陷，從而獲得對系統(tǒng)的訪問權利。地址欺騙：在這種方法中，攻擊者偽裝成一個信任主機的IP地址，對系統(tǒng)進行破壞。代理服務經(jīng)常會遇到多次登錄的情況。通常，對于不同的應用，需要對每一個服務提供一個代理服務程序。代理服務能很好的產生審記記錄，允許管理員監(jiān)控企圖違反網(wǎng)絡安全策略的行為。代理服務維護所有的應用狀態(tài)信息，包括：部分的通訊層狀態(tài)信息、全部應用層狀態(tài)信息以及部分會話信息。每一個應用代理一般由兩部分組成，代理服務器以及代理客戶，相對于發(fā)起連接的客戶端來說，代理服務器充當一個最終服務器。電路應用網(wǎng)關防火墻不能進行嚴格的高層應用檢查?？梢院唵蔚赝ㄟ^禁止特定外部網(wǎng)絡和內部網(wǎng)絡的連接來保護整個網(wǎng)絡。目的網(wǎng)絡地址。電路網(wǎng)關級防火墻主要應用下列狀態(tài)信息：一個唯一的會話識別用于跟蹤處理。包過濾不提供增值服務，如HTTP Cache，URL過濾等。結合NAT（網(wǎng)絡地址轉換功能，可以將內部網(wǎng)絡從外部網(wǎng)絡中屏蔽起來。其各自的特點如下：包過濾防火墻：包過濾防火墻技術主要通過分析網(wǎng)絡傳輸層數(shù)據(jù)，并通過預先定義的規(guī)則對數(shù)據(jù)包轉發(fā)或丟棄。在上述數(shù)據(jù)備份環(huán)境中，可以對操作系統(tǒng)及應用程序環(huán)境實現(xiàn)動態(tài)即時在線快速備份，即在不影響用戶和應用程序運行的前提下，備份系統(tǒng)的動態(tài)數(shù)據(jù)，同時能夠將傳統(tǒng)文件系統(tǒng)的備份速度成倍提高。同時，在備份過程中，通過追蹤數(shù)據(jù)塊的變動記錄來實現(xiàn)增量備份，縮短備份窗口。數(shù)據(jù)級的備份是指對存儲在磁盤陣列、磁帶庫等設備上的數(shù)據(jù)的備份。這些數(shù)據(jù)如被非法復制、篡改、刪除，或是因系統(tǒng)崩潰及各種天災人禍丟失，將威脅到數(shù)據(jù)的保密性、完整性和一致性。l 數(shù)據(jù)加密存儲：關聯(lián)及關鍵數(shù)據(jù)加密存儲，提取數(shù)據(jù)庫中表間關聯(lián)數(shù)據(jù)或重要數(shù)據(jù)信息，采用HASH算法，生成一加密字段，存放在數(shù)據(jù)表中，保證數(shù)據(jù)庫中關聯(lián)數(shù)據(jù)的一致性、完整性，防止重要數(shù)據(jù)的非法篡改。 應用安全針對人為操作造成的風險，必須從系統(tǒng)的應用層進行防范，因此應用系統(tǒng)在建設時需考慮系統(tǒng)的安全性。然后再由防病毒服務器將最新的病毒庫文件下發(fā)到各聯(lián)網(wǎng)的機器上，實現(xiàn)全網(wǎng)統(tǒng)一、及時的防病毒軟件更新，防止因為少數(shù)內部用戶的疏忽，感染病毒，導致病毒在全網(wǎng)的傳播。下面就從系統(tǒng)漏洞防護、病毒防護和專用服務器防護等方面來闡述安全防范的措施。InforGuard適用于網(wǎng)站網(wǎng)頁文件的安全保護，解決了網(wǎng)站被非法修改的問題，是一套安全、高效、簡單、易用的網(wǎng)頁保護系統(tǒng)；采用數(shù)字證書技術實現(xiàn)InforGuard的用戶管理，加強了對Web站點目錄的ftp用戶和口令的保護，防止了ftp口令泄漏造成的安全隱患；通過用戶操作日志提供對網(wǎng)頁文件更新過程的全程監(jiān)控。l 采用相應技術和手段，保證網(wǎng)絡安全。系統(tǒng)主機應采用雙機熱備（主備/互備）方式，構成集群系統(tǒng)；系統(tǒng)關鍵通信設備應考慮冗余備份；要求利用系統(tǒng)監(jiān)控工具，實時監(jiān)控系統(tǒng)中各種設備和網(wǎng)絡運行狀態(tài)，及時發(fā)現(xiàn)故障或故障苗頭，及時采取措施，排除故障，保障系統(tǒng)平穩(wěn)運行。這些數(shù)據(jù)如被非法復制、篡改、刪除，或是因各種天災人禍丟失，將威脅到數(shù)據(jù)的保密性、完整性和一致性。病毒侵害計算機病毒一直是困擾每一個計算機用戶的重要問題，一旦計算機程序被感染了病毒，它就有可能破壞掉用戶工作中的重要信息。l 網(wǎng)內可能存在的相互攻擊由于公司內網(wǎng)中的各級網(wǎng)絡互連，這些設備在網(wǎng)絡層是可以互通的，在沒有任何安全措施的情況下，一個單位的用戶可以連接到另一個單位使用的機器，訪問其中的數(shù)據(jù)。網(wǎng)絡層的安全風險包括以下幾方面：l 黑客攻擊外網(wǎng)通過防火墻與Internet公眾網(wǎng)相連，所以Internet上的各種各樣的黑客攻擊、病毒傳播等都可能威脅到系統(tǒng)的安全。因此，沒有網(wǎng)絡設備的安全，網(wǎng)絡設備的安全就無從談起。目錄1 網(wǎng)絡安全實施的難點分析 1 IT系統(tǒng)建設面臨的問題 1 IT 系統(tǒng)運維面臨的問題 22 系統(tǒng)安全 2 網(wǎng)絡系統(tǒng)安全風險分析 2 設備安全風險分析 2 網(wǎng)絡安全系統(tǒng)分析 3 系統(tǒng)安全風險分析 3 應用安全風險分析 4 數(shù)據(jù)安全風險分析 4 網(wǎng)絡系統(tǒng)安全設計 4 設備安全 4 網(wǎng)絡安全 4 系統(tǒng)安全 5 應用安全 6 數(shù)據(jù)安全 6 系統(tǒng)的網(wǎng)絡安全設計 7 防火墻系統(tǒng) 7 防火墻的基本類型 7 常用攻擊方法 10 常用攻擊對策 10 VPN路由器 11 IDS 入侵檢測 11 CA認證與SSL加密 13 CA的作用 13 CA系統(tǒng)簡介 14 SSL加密 17 防病毒系統(tǒng) 19 病毒的類型 19 病毒的檢測 22 防病毒建議方案 24 網(wǎng)站監(jiān)控與恢復系統(tǒng) 24 SAN網(wǎng)絡存儲/備份/災難恢復： 243 業(yè)務網(wǎng)絡安全設計 24 網(wǎng)絡安全設計原則 24 系統(tǒng)的安全設計 25 威脅及漏洞 25 計說明 26 系統(tǒng)的安全設計 27 各業(yè)務系統(tǒng)的分離 27 敏感數(shù)據(jù)區(qū)的保護 28 通迅線路數(shù)據(jù)加密 29 防火墻自身的保護 30 網(wǎng)絡安全設計 31 設計說明： 3334 / 371 網(wǎng)絡安全實施的難點分析 IT系統(tǒng)建設面臨的問題企業(yè)在IT系統(tǒng)建設過程中，往往面臨以下方面的問題；其一：專業(yè)人員少，因為任何一個企業(yè)的IT系統(tǒng)建設，往往都是為企業(yè)內部使用，只有自己最為了解自己企業(yè)的需求，但是往往企業(yè)內部的專業(yè)人員比較少。為了保證網(wǎng)絡的安全而制定的安全策略都是由網(wǎng)絡設備執(zhí)行的，如果一些非網(wǎng)絡管理人員故意或無意對網(wǎng)絡設備進行非法操作，勢必會對網(wǎng)絡的安全造成影響，甚至是重大的安全事故。所以，網(wǎng)絡層所面臨的安全風險威脅是整個系統(tǒng)面臨的主要安全風險之一。這樣Internet上的黑客或敵對勢力使用木馬等黑客攻擊手段，就可以將該員工機器用作一個偵察站。系統(tǒng)軟件安全漏洞系統(tǒng)級軟件比如操作系統(tǒng)、數(shù)據(jù)庫等總是存在著這樣那樣的安全漏洞，包括已發(fā)現(xiàn)或未發(fā)現(xiàn)的安全漏洞。 數(shù)據(jù)安全風險分析在系統(tǒng)中存放有的重要的數(shù)據(jù)。針對訪問的兩種方式采取以下措施：對基礎設施采取防火、防盜、防靜電、防潮措施。對計算機網(wǎng)絡和計算機系統(tǒng)的關鍵結點的信息進行收集分析, 檢測其中是否有違反安全策略的事件發(fā)生或攻擊跡象，并通知系統(tǒng)安全管理員。InforGuard主要提供文件監(jiān)控保護功能，保證文件系統(tǒng)安全，防止被非法修改。 系統(tǒng)安全應用安全的解決往往依賴于網(wǎng)絡層、操作系統(tǒng)、數(shù)據(jù)庫的安全，所以對系統(tǒng)級軟件的安全防范突顯其重要性；由于病毒通過Internet網(wǎng)，可以在極短的時間內傳到Internet的各個角落，而病毒對系統(tǒng)穩(wěn)定性和數(shù)據(jù)安全性的威脅眾所周知，所以對病毒的預防是一項十分重要的工作；同時對一些專用服務器的特別防護也是我們保證系統(tǒng)良好運行的前提。管理員負責每天檢查有沒有新的病毒庫更新，并對防病毒服務器上的防病毒軟件進行及時更新。對Email服務程序、瀏覽器，采取正確的配置與及時下載安全補丁實現(xiàn)。l 身份驗證：通過采用口令識別、數(shù)字認證方式，來確保用戶的登錄身份與其真實身份相符，保證數(shù)據(jù)的安全性、完整性、可靠性和交易的不可抵賴性、增強顧客、商家、企業(yè)等對網(wǎng)上交易的信心。 數(shù)據(jù)安全業(yè)務數(shù)據(jù)是業(yè)務系統(tǒng)運行的重要元素，也是企業(yè)中寶貴的資源。數(shù)據(jù)備份解決方案大致可以分為兩種：數(shù)據(jù)級的備份和系統(tǒng)級的備份。第二種方式是采用專業(yè)的備份工具，這種方式能夠實現(xiàn)在線備份的方式，即在備份的過程中不需Shutdown數(shù)據(jù)庫實例。通過這種方式，能夠在夜間的非工作時段內完成全備份，并在相對更短的時間段內完成日增量備份。 系統(tǒng)的網(wǎng)絡安全設計 防火墻系統(tǒng) 防火墻的基本類型實現(xiàn)防火墻的技術主要包括四類：包過濾防火墻、電路網(wǎng)關防火墻、應用層防火墻以及動態(tài)包過濾防火墻。包過濾防火墻對客戶端是透明的，所有工作都在防火墻中完成。包過濾只利用了數(shù)據(jù)包中有限的信息。當一個連接關閉時，這個連接信息表就被關閉。源網(wǎng)絡地址。電路網(wǎng)關級防火墻具有以下優(yōu)點：電路網(wǎng)關防火墻通常性能高，因為他們執(zhí)行的評估比較少。電路應用網(wǎng)關具有以下缺點：電路應用網(wǎng)關不能限制TCP之外的其他協(xié)議集。大多數(shù)應用層防火墻包括一個特定服務程序和代理服務，代理是一個面向特定應用的流量管理程序，如HTTP、FTP等，能提供增強的訪問控制、細節(jié)檢查以及審記記錄等信息。如HTTP、FTP