【正文】 ? VPN是一個虛擬的網(wǎng)，其重要的意義在于 “ 虛擬 ” 和 “ 專用 ” 。 ? 訪問控制策略 訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非法訪問。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密 3種。 ? 網(wǎng)絡(luò)的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關(guān)網(wǎng)絡(luò)操作使用規(guī)程和人員出人機房管理制度；制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。 ? 計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼。 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 20 ? 早在 1949年，距離第一部商用計算機的出現(xiàn)還有好幾年時，計算機的先驅(qū)者馮 .諾依曼在他的一篇論文 《 復(fù)雜自動機組織論 》中，提出了計算機程序能夠在內(nèi)存中自我復(fù)制，即已把病毒程序的藍圖勾勒出來。作者幻想了世界上第一個計算機病毒，可以從一臺計算機傳染到另一臺計算機，最終控制了 7000臺計算機，釀成了一場災(zāi)難，這實際上是計算機病毒的思想基礎(chǔ)。 ? 1987年 10月，在美國，世界上第一例計算機病毒 (Brian)發(fā)現(xiàn)，這是一種系統(tǒng)引導(dǎo)型病毒。 ? 隨著更多的人開始研究病毒技術(shù)，病毒的數(shù)量、被攻擊的平臺數(shù)以及病毒的復(fù)雜性和多樣性都開始顯著提高。 ? 1990年，網(wǎng)上出現(xiàn)了病毒交流布告欄，成為病毒編寫者合作和共享知識的平臺。 ? ③搶占系統(tǒng)資源。 計算機病毒工作原理和分類 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 24 ? 典型的病毒運行機制可以分為：感染、潛伏、繁殖和發(fā)作 4個階段。在潛伏過程中，病毒為躲避用戶和防病毒軟件的偵察而進行隱藏。就像在感染階段一樣，病毒主要通過電子郵件入侵個人計算機。尤其是“破壞計算機 B10s”的發(fā)作癥狀，由于計算機將不能啟動，用戶自行進行修復(fù)根本無從談起，在經(jīng)濟上的損失非常大。 ? 按照病毒攻擊的機型分類 可以分為攻擊微型計算機的病毒；攻擊小型機的病毒；攻擊工作站的病毒。 ? 按照計算機病毒激活的時間分類 可分為定時的和隨機的。比較時可以靠打印的代碼清單 (比如DEBuG的 D命令輸出格式 )進行比較，或用程序來進行比較 (如 DOS的 DISKCOMP、 FC或 PCTOOLS等其他軟件 )。如果在被檢測對象內(nèi)部發(fā)現(xiàn)了某一種特定字節(jié)串，就表明發(fā)現(xiàn)了該字節(jié)串所代表的計算機病毒。 ? (6)軟件仿真掃描法 該技術(shù)專門用來對付多態(tài)變形計算機病毒。 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 28 ? 計算機病毒防范，是指通過建立合理的計算機病毒防范體系和制度，及時發(fā)現(xiàn)計算機病毒侵入，并采取有救的手段阻止計算機病毒的傳播和破壞，恢復(fù)受影響的計算機系統(tǒng)和數(shù)據(jù)。 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 29 計算機病毒防范措施 ? 新購置的計算機硬軟件系統(tǒng)的測試，以防止攜帶病毒。 ? 不要隨便直接運行或直接打開電子郵件中夾帶的附件文件，不要隨意下載軟件，尤其是一些可執(zhí)行文件和 Office文檔。 ? 一定要用硬盤啟動網(wǎng)絡(luò)服務(wù)器，否則在受到引導(dǎo)型計算機病毒感染和破壞后，遭受損失的將不是一個人的機器，而會影響到整個網(wǎng)絡(luò)的中樞。 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 30 計算機病毒發(fā)展方向和趨勢 ? 種類、數(shù)量激增。但隨著計算機、網(wǎng)絡(luò)等新技術(shù)的發(fā)展，現(xiàn)在計算機病毒已經(jīng)可以通過包括大容量移動磁盤 (ZIP、 JAZ)、光盤、網(wǎng)絡(luò)、 Inter、電子郵件等多種方式傳播，而且僅 Inter的傳播方式又包括網(wǎng)頁瀏覽、 IRC聊天、 FTP下載、 BBS論壇等。 CIH計算機病毒在全球造成的損失據(jù)估計超過 10億美元，而受 2022年 5月“ I Love You”情書病毒的影響，全球的損失預(yù)計更是高這 l00億美元。 ? 一旦發(fā)生破壞，恢復(fù)工作量大，操作系統(tǒng)安裝麻煩，即使操作系統(tǒng)重新安裝，由于配置文件被病毒破壞，軟件仍將不能正常運行。 ? 盲目使用未經(jīng)嚴格測試的殺毒產(chǎn)品往往會產(chǎn)生負面效應(yīng)。 防火墻技術(shù) 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 32 防火墻的概念 ? 防火墻 (Firewall)的最初含義是當(dāng)房屋還處于木質(zhì)結(jié)構(gòu)的時候，人們將石塊堆砌在房屋周圍用來防止火災(zāi)的發(fā)生。 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 33 防火墻邏輯位置示意圖 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 34 ? ? 第一代防火墻和最基本形式的防火墻檢查每一個通過的網(wǎng)絡(luò)包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。防火墻的任務(wù)，就是作為“通信警察”，指引包的去向和截住那些有危害的包。 ? ? 應(yīng)用程序代理防火墻實際上并不允許在連接的網(wǎng)絡(luò)之間直接通信。 ? 一旦安裝上個人防火墻，就可以把它設(shè)置成“學(xué)習(xí)模式”，這樣的話，對遇到的每一種新的網(wǎng)絡(luò)通信，個人防火墻都會提示用戶一次，詢問如何處理那種通信。它可以由廠家專門生產(chǎn)的路由器實現(xiàn)，也可以用主機來實現(xiàn)，所以這類防火墻往往就是一個路由器。 ? (Dual Homed Gateway) 雙穴主機網(wǎng)關(guān)也叫雙宿主機防火墻或雙宿網(wǎng)關(guān)防火墻。 ? (Screened Host Gateway) 屏蔽主機網(wǎng)關(guān)易于實現(xiàn)也很安全，因此應(yīng)用廣泛。有的屏蔽子網(wǎng)中還設(shè)有一堡壘主機作為唯一可訪問點，支持終端交互或作為應(yīng)用網(wǎng)關(guān)代理。 ? 管理界面一般完成對防火墻的配置、管理和監(jiān)控。 SNAT用于對內(nèi)部地址進行轉(zhuǎn)換，對外部網(wǎng)絡(luò)來說隱藏了內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)，使得對內(nèi)部的攻擊更加困難；并可以節(jié)省 IP資源，有利于降低成本。基于 IP地址的控制是對通過防火墻各個網(wǎng)絡(luò)接口的流量進行控制，基于用戶的控制是通過用戶登錄來控制每個用戶的流量，從而防止某些應(yīng)用或用戶占過多的資源。 ? Inter使用量的最佳地方 網(wǎng)絡(luò)管理員可以通過防火墻的審計和記錄，向管理部門提供Inter連接的費用情況，查出潛在的帶寬瓶頸的位置，并能進行各種形式的計費。 ? 盡管電子商務(wù)的發(fā)展勢頭非常驚人，但它在全球貿(mào)易額中只占極小的一部分。 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 40 電子商務(wù)中的網(wǎng)絡(luò)存在的安全隱患 ? ① 沒有進行操作系統(tǒng)的相關(guān)安全配置： 不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針列操作系統(tǒng)安全性進行相關(guān)的和嚴格的安全配置，才能達到一定的安全程度。 ? ③拒絕服務(wù) (Denial Of Service，簡稱 DOS)攻擊： 隨著電子商務(wù)的興起，對網(wǎng)站的實時性要求越來越高， DOS對網(wǎng)站的威脅越來越大。 ? ⑤缺少嚴格的網(wǎng)絡(luò)安全管理制度： 網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。 ? ②篡改信息： 當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 42 電子商務(wù)的安全任務(wù) ? ① 有效性： 要對網(wǎng)絡(luò)故障、操作錯誤、應(yīng)用程序錯誤、硬件故障、系統(tǒng)軟件錯誤及計算機病毒所產(chǎn)生的潛在威脅加以控制和預(yù)防，以保證貿(mào)易數(shù)據(jù)在確定的時刻、確定的地點是有效的。 ? ③完整性： 要預(yù)防對信息的隨意生成、修改和刪除，同時要防止數(shù)據(jù)傳送過程中信息的丟失和重復(fù)，并要保證信息傳送次序的統(tǒng)一。在電子商務(wù)中，延遲一個消息或消除一個消息可能會帶來災(zāi)難陸的后果。 ? ⑦審查能力： 審查能力是指對每個經(jīng)授權(quán)的用戶的活動進行標識和監(jiān)控，以便對其所使用的操作內(nèi)容進行審計和跟蹤。在安全結(jié)構(gòu)下，外部網(wǎng)絡(luò)的遠程客戶不能直接訪問到電子商務(wù)的各個應(yīng)用服務(wù)器，而是只能訪問到非軍事化區(qū)中代理服務(wù)器， ? (2)防火墻技術(shù)與產(chǎn)品 防火墻一般設(shè)置在接入 Inter的路由器后端，將電子商務(wù)網(wǎng)絡(luò)劃分為3個區(qū)域，即 3個網(wǎng)段，如上所述。所以對于電子商務(wù)這樣的關(guān)鍵應(yīng)用，還應(yīng)采用入侵檢測系統(tǒng)(IDS)。電子商務(wù)應(yīng)用中，適宜采用基于主機的 IDS，安裝在非軍事化區(qū)中，主要檢測針對安全代理的攻擊。這樣做的好處是管理便利、安全、易于擴充。 CA認證中心的建立，可使所有重要的內(nèi)部應(yīng)用都通過數(shù)字證書進行身份認證，對公文處理和電子郵件進行加密和數(shù)宇簽名，具有防止泄密和防止否認的功能。所以加強后臺管理的安全是非常重要的。 ? 在電子商務(wù)中增加身份認證和訪問控制，管理員要想訪問應(yīng)用服務(wù)器進行各種管理操作時，就必須經(jīng)過身份認證和訪問控制，為后臺管理起到安全保障作用。它的主要方式是：報文發(fā)送方從報文文本中生成一個 128位的散列值 (或報文摘要 )，并用自己的專用密鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名；然后，這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方；報文接收方首先從接收到的原始報文中計算出 128位的散列值 (或報文摘要 )，接著再用發(fā)送方的公開密鑰來列報文附加的數(shù)字簽名進行解密。由此，證書簽發(fā)機構(gòu) CA應(yīng)運而生，它是提供身份驗證的第三方機構(gòu)，由一個或多個用戶信任的組織實體構(gòu)成。常用的證書有：持卡人證書、商家證書、支付網(wǎng)關(guān)證書、銀行證書和發(fā)卡機構(gòu)證書等。這樣，保證每次傳送數(shù)據(jù)都可有發(fā)送方選定不同的對稱密鑰。雙重簽名解決了三方參加電子貿(mào)易過程中的安全通信問題 。 ? 安全套接層協(xié)議 (SSL) ? 由 Netscape公司提出的安全交易協(xié)議，提供加密、認證服務(wù)和報文的完整性。 ? 安全電子交易協(xié)議 (Secure Electronic Transaction，簡稱 SET) ? 安全電子交易 (Secure Electric Transaction，簡稱 SET)是一個通過開放網(wǎng)絡(luò) (包括 Inter)進行安全資金支付的技術(shù)標準，由 VISA和MasterCard組織共同制定， 1997年 5月聯(lián)合推出。 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 52 基于 SET的安全電子商務(wù)模型 2022/2/9 遼寧石油化工大學(xué)計算機與通信工程學(xué)院 劉旸 53 SET的購物流程 ? ① 持卡人使用瀏覽器在商家的 Web主頁上查看在線商品目錄，瀏覽商品。有些在線商場可以讓持卡人與商家協(xié)商物品的價格 (例如出示自己是老客戶的證明，或給出競爭對手的價格信息 )。 ? ⑥商家收到訂單后，向持卡人的金融機構(gòu)請求支付認可。顧客端軟件可記錄交易日志，以備將來查詢。 ? ⑨商家從持卡人的金融機構(gòu)請求支付。 ? 安全是“相對的”，電子商務(wù)的發(fā)展促使對安全技術(shù)進行不斷探索研究和開發(fā)應(yīng)用，以建立一個安全的商務(wù)環(huán)境