【正文】 等。代理服務(wù)能提供增值特征，包括：HTTP Cache、URL過濾以及用戶認(rèn)證等。代理服務(wù)對(duì)數(shù)據(jù)包需要處理兩次，因此，性能比較差。代理服務(wù)通常依賴操作系統(tǒng)提供設(shè)備驅(qū)動(dòng)，因此，一個(gè)操作系統(tǒng)或應(yīng)用Bug都有可能造成代理服務(wù)容易受到攻擊。 常用攻擊方法了解常用的攻擊方法可以更好的制定安全防范措施，常用的攻擊方法包括以下幾種：被動(dòng)監(jiān)聽：這種攻擊方法是攻擊者利用網(wǎng)絡(luò)監(jiān)聽或分析工具，直接竊獲用戶的報(bào)文信息，從而獲得用戶/口令信息，這時(shí)，攻擊者就可以以合法用戶的身份對(duì)應(yīng)用進(jìn)行破壞。報(bào)文注入就是在合法連接的報(bào)文中插入攻擊者發(fā)出的數(shù)據(jù)包，從而對(duì)目的主機(jī)進(jìn)行攻擊。 常用攻擊對(duì)策下面我們對(duì)上面所述的攻擊方法提出自己的防范措施。對(duì)于Internet個(gè)人用戶的訪問，數(shù)據(jù)被監(jiān)聽是不可避免的，因此，對(duì)這種攻擊的防范是合理設(shè)定用戶權(quán)限。對(duì)于報(bào)文注入，Cisco PIX防火墻產(chǎn)品是一種基于狀態(tài)的包過濾產(chǎn)品，本身能很好的防范報(bào)文注入攻擊。 VPN路由器l 采用Cisco Router 進(jìn)行IP數(shù)據(jù)包過濾，安全VLAN子網(wǎng)劃分l 作為VPN配置路由使用，可方便進(jìn)行安全訪問的劃分l 結(jié)合PIX防火墻、NetRanger入侵檢測(cè)系統(tǒng)和NetSonar安全掃描程序三者配合，最大限度地保證了企業(yè)VPN的可靠性和安全性 IDS 入侵檢測(cè)入侵檢測(cè) (eTrust Intrusion Detection 簡(jiǎn)稱eID) 提供了全面的網(wǎng)絡(luò)保護(hù)功能，其內(nèi)置主動(dòng)防御功能可以防止破壞的發(fā)生。它可以防止用戶在不知情的情況下下載受病毒感染的文件。 l 包檢測(cè)技術(shù)入侵檢測(cè) eID 在隱蔽模式下工作，攻擊者是察覺不到的。這可以防止在沒有授權(quán)的情況下通過電子郵件或 Web 發(fā)送敏感數(shù)據(jù)。 l 遠(yuǎn)程管理遠(yuǎn)程用戶可以使用 TCP/IP 或者調(diào)制解調(diào)器連接訪問運(yùn)行入侵檢測(cè) (eTrust Intrusion Detection) 的站。然后用戶可以通過瀏覽器過濾、排序和查看歸檔信息，并創(chuàng)建詳細(xì)的報(bào)告。個(gè)人數(shù)字證書是網(wǎng)友進(jìn)入21世紀(jì)的必需品。而在網(wǎng)際路上，您如果沒有數(shù)字證書，不管您外表多young、多炫，多酷，依舊是寸步難行。以數(shù)字證書為核心的身份認(rèn)證、數(shù)字簽名、數(shù)字信封等數(shù)字加密技術(shù)是目前通用可行的安全問題解決方案。l 交易者身份的確定性 網(wǎng)上交易的雙方很可能素昧平生,相隔千里。銀行和信用卡公司可以采用各種保密與識(shí)別方法，確認(rèn)顧客的身份是否合法，同時(shí)還要防止發(fā)生拒付款問題以及確認(rèn)訂貨和訂貨收據(jù)信息等。l 不可修改性交易的文件是不可被修改的，如上例所舉的訂購(gòu)黃金。國(guó)際上已經(jīng)有比較成熟的安全解決方案，那就是建立安全證書體系結(jié)構(gòu)。系統(tǒng)特性l 高強(qiáng)度加密和認(rèn)證 Universal CA采用基于RSA 加密算法的公鑰體系加密和認(rèn)證，可以生成51761024位三種不同密鑰的長(zhǎng)度的證書，確保證書的安全性和可靠性。Universal CA 可以以上述三種方法生成證書，使用戶應(yīng)用極為方便。CA機(jī)構(gòu)，又稱為證書授證(Certificate Authority)中心，作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。為保證客戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不僅需要對(duì)客戶的身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個(gè)具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個(gè)主體頒發(fā)并管理符合國(guó)內(nèi)、國(guó)際安全電子交易協(xié)議標(biāo)準(zhǔn)的安全證書。CA為電子商務(wù)服務(wù)的證書中心，是PKI（Public Key Infrastructure）體系的核心。它是電子商務(wù)存在和發(fā)展的基礎(chǔ)。密鑰的銷毀要以安全的密鑰沖寫標(biāo)準(zhǔn)，徹底清除原有的密鑰痕跡。行業(yè)使用范圍內(nèi)的證書，其證書的審批控制，可由獨(dú)立于CA中心的行業(yè)審核機(jī)構(gòu)來完成。每一張客戶公鑰證書都會(huì)有有效期，密鑰對(duì)生命周期的長(zhǎng)短由簽發(fā)證書的CA中心來確定。采用證書的公鑰吊銷，是通過吊銷公鑰證書來實(shí)現(xiàn)的。一般而言，在電子商務(wù)實(shí)際應(yīng)用中，可能會(huì)較少出現(xiàn)私鑰泄露的情況，多數(shù)情況是由于某個(gè)客戶由于組織變動(dòng)而調(diào)離該單位，需要提前吊銷代表企業(yè)身份的該客戶的證書。也可由多個(gè)注冊(cè)機(jī)構(gòu)（RA）分布生成客戶密鑰對(duì)并分發(fā)給客戶。這種情形下，CA中心的密鑰管理器，采用對(duì)稱加密方式對(duì)各個(gè)客戶私鑰進(jìn)行加密，密鑰加密密鑰在加密后即銷毀，保證了私鑰存儲(chǔ)的安全性。CA中心在自身密鑰和客戶密鑰管理方面的特殊地位和作用，決定了它具有主密鑰、多級(jí)密鑰加密密鑰等多種密鑰的生成和管理功能。SSL協(xié)議使用通訊雙方的客戶證書以及CA根證書，允許客戶/服務(wù)器應(yīng)用以一種不能被偷聽的方式通訊，在通訊雙方間建立起了一條安全的、可信任的通訊通道。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法相互鑒別。 　　SSL是利用公開密鑰的加密技術(shù)（RSA）來作為用戶端與主機(jī)端在傳送機(jī)密資料時(shí)的加密通訊協(xié)定。SSL是目前在網(wǎng)上購(gòu)物網(wǎng)站中最常使用的一種安全協(xié)議，它主要的設(shè)計(jì)目的在于確保信息在網(wǎng)際網(wǎng)絡(luò)上流通的安全性，讓主從式結(jié)構(gòu)的應(yīng)用程序（如瀏覽器與web服務(wù)器）能夠安全地進(jìn)行溝通。除此之外，在進(jìn)行安全聯(lián)機(jī)之前，SSL會(huì)先采取“握手”（Handshaking）的動(dòng)作，以確保網(wǎng)絡(luò)上通信的雙方都能夠按部就班的根據(jù)預(yù)定步驟建立起兩者之間的安全通道。但這個(gè)服務(wù)并不是必要的，可根據(jù)需求來設(shè)置。檢查通過后才能取得數(shù)字證書。SSL協(xié)議有利于商家而不利于客戶。隨著電子商務(wù)參與的廠商迅速增加，對(duì)廠商的認(rèn)證問題越來越突出，SSL協(xié)議的缺點(diǎn)完全暴露出來。 防病毒系統(tǒng)計(jì)算機(jī)病毒是附屬在其它文件上的一種程序，可以自行復(fù)制。事實(shí)上，目前世界上已存在超過10,000種，計(jì)算機(jī)存在病毒的比率高達(dá)3585%，中國(guó)、香港、臺(tái)灣為高發(fā)區(qū)。因此, 每個(gè)用戶有50%的可能感染病毒并招致?lián)p失。引導(dǎo)型駐留在軟盤或硬盤的引導(dǎo)區(qū)，在系統(tǒng)啟動(dòng)時(shí)裝入內(nèi)存，然后監(jiān)視DOS中斷并感染插在軟驅(qū)中的磁盤。最初，大約80%的病毒是引導(dǎo)型病毒。 網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的特性? 通過攻擊操作系統(tǒng)或應(yīng)用軟件的已知安全漏洞來獲得控制權(quán) ? 在本地硬盤上并不留下文件 ? 由于其在網(wǎng)絡(luò)上進(jìn)行掃描的動(dòng)作，可能會(huì)引起嚴(yán)重的網(wǎng)絡(luò)負(fù)載 ? 如果攻擊是屬于常規(guī)的應(yīng)用，例如SQL, IIS等就可能穿過防火墻 木馬病毒木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲玩家裝備丟失、被黑客利用執(zhí)行不法行為等。好的桌面產(chǎn)品使用多種檢測(cè)方式，例如監(jiān)視病毒的行為（如格式化硬盤）、根據(jù)已知病毒代碼庫比較文件、檢查無法解釋的文件大小改變等。服務(wù)器防病毒軟件比客戶端防病毒軟件效率提高了很多，可以集中管理病毒防范、經(jīng)常掃描文件病毒，并及時(shí)更新病毒庫。隨著Internet的普及，越來越多的企業(yè)、大學(xué)、政府和消費(fèi)者共享文件、發(fā)送信息、通過網(wǎng)絡(luò)交談。在公司內(nèi)部網(wǎng)絡(luò)上傳輸文件也不是沒有風(fēng)險(xiǎn)，因?yàn)榇嬖诟郊釉诜强蓤?zhí)行文件，如Word、Excel或電子郵件上的病毒。病毒墻駐留在Internet網(wǎng)關(guān)，在病毒進(jìn)入系統(tǒng)搞破壞前進(jìn)行檢測(cè)并清除。 網(wǎng)站監(jiān)控與恢復(fù)系統(tǒng)近幾年，隨著Internet的普及，網(wǎng)絡(luò)上發(fā)生的攻擊事件越來越普遍，一個(gè)普通人員在Internet上可以很容易的找到攻擊工具，然后攻擊網(wǎng)站。 SAN網(wǎng)絡(luò)存儲(chǔ)/備份/災(zāi)難恢復(fù)：采用目前流行的群集技術(shù)SAN技術(shù)，將存儲(chǔ)設(shè)備從傳統(tǒng)的以太網(wǎng)中隔離出來，成為獨(dú)立的存儲(chǔ)域網(wǎng)絡(luò)。3 業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)計(jì) 網(wǎng)絡(luò)安全設(shè)計(jì)原則l 防止來自外部的黑客攻擊l 防止來自內(nèi)部的惡意攻擊l 網(wǎng)絡(luò)資源訪問控制l 網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)監(jiān)控l 強(qiáng)大的安全審計(jì)l 事件分析與告警在本方案中，網(wǎng)絡(luò)的對(duì)外出口處以及在總行和分行之間的連接都設(shè)置防火墻將是最理想的選擇，外部網(wǎng)出口都配置防火墻，以及在總行與分行的業(yè)務(wù)網(wǎng)的連接處也配置防火墻，對(duì)外防止黑客入侵，對(duì)內(nèi)以防止內(nèi)部人員的惡意攻擊或由于內(nèi)部人員造成的網(wǎng)絡(luò)安全問題?，F(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱，攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊；由于整個(gè)網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互連同樣存在鏈接終端進(jìn)行攻擊的可能；另一方面 開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口這些接口現(xiàn)在沒有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過這些接口攻擊，可能造成巨大損失。截獲和篡改傳輸數(shù)據(jù)： 現(xiàn)有網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)傳輸大量的數(shù)據(jù)沒有加密，由于信息量大且采用的是開放的TCP/IP，現(xiàn)有的許多工具可以很容易的截獲、分析甚至修改信息，主機(jī)系統(tǒng)很容易成為被攻擊對(duì)象。在業(yè)務(wù)系統(tǒng)中為了保護(hù)用戶敏感信息防止信息被非法篡改實(shí)現(xiàn)對(duì)業(yè)務(wù)數(shù)據(jù)加密、身份認(rèn)證等安全功能。在各個(gè)業(yè)務(wù)內(nèi)可以象總部一樣，通過VLAN的劃分，劃分業(yè)務(wù)VLAN和OA VLAN，隔離辦公網(wǎng)與業(yè)務(wù)網(wǎng)。遠(yuǎn)程通訊是通過路由器的同一個(gè)廣域網(wǎng)端口，經(jīng)過廣域網(wǎng)傳輸后的業(yè)務(wù)網(wǎng)和OA網(wǎng)是無法通過VLAN技術(shù)加以隔離的。1. 對(duì)來訪數(shù)據(jù)包進(jìn)行過濾，只允許驗(yàn)證合法主機(jī)數(shù)據(jù)包通過，禁止一切非授權(quán)主機(jī)訪問。敏感數(shù)據(jù)區(qū)保護(hù)方案 通迅線路數(shù)據(jù)加密 在廣域網(wǎng)傳輸系統(tǒng)中，廣泛應(yīng)用到幀中繼、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務(wù)，由于這些線路都是暴露在公共場(chǎng)所，這樣很容易造成數(shù)據(jù)被盜。主要優(yōu)點(diǎn)是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點(diǎn)到終點(diǎn)均得到保護(hù)、加密對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)透明。VPN是通過標(biāo)準(zhǔn)的加密算法，對(duì)傳輸數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。防火墻雙機(jī)備份方案 網(wǎng)絡(luò)安全設(shè)計(jì)目前，在發(fā)達(dá)國(guó)家，電子商務(wù)發(fā)展十分迅速，電子商務(wù)技術(shù)已趨成熟，通過Internet進(jìn)行交易也已逐漸成為潮流，全球電子商務(wù)的應(yīng)用也已拉開帷幕。在我國(guó)，Internet的應(yīng)用發(fā)展也很快，而且金融通訊網(wǎng)絡(luò)正在迅速擴(kuò)大，我國(guó)的銀行金融系統(tǒng)，以銀行金融網(wǎng)絡(luò)為基礎(chǔ)，以現(xiàn)代支付系統(tǒng)為龍頭的金融電子化工程已經(jīng)全面鋪開，進(jìn)展很快。Netscreen100可以設(shè)置虛擬IP，選擇負(fù)載平衡算法，如輪詢、帶優(yōu)先級(jí)的輪詢、最少連接數(shù)、帶優(yōu)先級(jí)的最少優(yōu)先級(jí)等多種算法實(shí)現(xiàn)電子商務(wù)服務(wù)器的負(fù)載平衡