【正文】 國際性問題。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 14 網(wǎng)絡(luò)安全的關(guān)鍵技術(shù) ? 隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)成為社會發(fā)展的重要保證。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。 ? 另外，為了保證信息安全的重要作用，法律是保護(hù)信息安全的第一道防線。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 10 ? 信息安全問題不是單靠安全技術(shù)就可以解決的，專家們指出信息安全是“七分管理，三分技術(shù)”。 ? (7)網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全技術(shù)種類繁多，而且還相互交叉。它以交換信息的方式來確認(rèn)實(shí)體的身份。原始數(shù)據(jù) (也稱為明文， Plaintext)被加密設(shè)備 (硬件或軟件 )和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文 (Cipher text)。 ? 竊?。?重要的安全物品，如身份卡等被盜用。 ? 陷阱門： 在某個系統(tǒng)或某個部件中設(shè)置的“機(jī)關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略。 ? 拒絕服務(wù)： 對信息或其他資源的合法訪問被無緣無故拒絕。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 5 信息安全的威脅 ? 信息安全的威脅是指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 4 信息安全屬性 ? ① 完整性 (Integrity)是指信息在存儲或傳輸?shù)倪^程中，保持未經(jīng)授權(quán)不能改變的特性，即對抗主動攻擊，保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶修改或破壞。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 3 ? “安全”一詞的基本含義為：“遠(yuǎn)離危險的狀態(tài)或特性”，或“主觀上不存在威脅，主觀上不存在恐懼”。這種情況就為今天的計(jì)算機(jī)犯罪的產(chǎn)生和發(fā)展提供了溫床。 ? 以下是幾個計(jì)算機(jī)犯罪的例子： ? 1988年 11月 2日，美國康乃爾大學(xué)的學(xué)生羅伯特 ? 信息安全是一個廣泛而抽象的概念。對信息安全主動攻擊的最終目的是破壞信息的完整性。 ? 攻擊就是對安全威脅的具體體現(xiàn)。 ? 非法使用： 某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。 ? 抵賴： 這是一種來自用戶的攻擊，比如：否認(rèn)自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。 ? 業(yè)務(wù)欺騙： 某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等。將密文還原為原始明文的過程稱為解密，它是加密的反向處理，但解密者必須利用相同類型的加密設(shè)備和密鑰對密文進(jìn)行解密。它是進(jìn)行存取控制必不可少的條件，因?yàn)槿绻恢烙脩羰钦l，也就無法判斷用戶的存取是否合法。雖然沒有完整統(tǒng)一的理論基礎(chǔ)，但是在不同的場合下，為了不同的目的，許多網(wǎng)絡(luò)控制技術(shù)確實(shí)能夠發(fā)揮出色的功效。 ? 所謂管理，就是在群體的活動中為了完成某一任務(wù)，實(shí)現(xiàn)既定的目標(biāo)，針對特定的對象，遵循確定的原則，按照規(guī)定的程序，運(yùn)用恰當(dāng)?shù)姆椒ㄟM(jìn)行有計(jì)劃、有組織、有指揮、協(xié)調(diào)和控制等活動。在信息安全的管理和應(yīng)用中，相關(guān)法律條文指出了什么是違法行為，敦促人們自覺遵守法律，而不進(jìn)行違法活動。 ? 主要的網(wǎng)絡(luò)安全威脅有：自然災(zāi)害、意外事故、計(jì)算機(jī)犯罪、人為行為 (比如使用不當(dāng)?shù)?)、安全意識差等：“黑客”行為：由于黑客的入侵或侵?jǐn)_，比如非法訪問、拒絕服務(wù)計(jì)算機(jī)病毒、非法連接等；內(nèi)部泄密；外部泄密；信息丟失；電子諜報 (比如信息流量分析、信息竊取等 )；信息戰(zhàn)；網(wǎng)絡(luò)協(xié) |義中的缺陷 (例如 TCP/IP協(xié)議的安全問題 )等等。信息網(wǎng)絡(luò)涉及到國家的政府、軍事、文教等諸多領(lǐng)域。據(jù)美國聯(lián)邦調(diào)查局的報告，計(jì)算機(jī)犯罪是商業(yè)犯罪中最大的犯罪類型之一，每筆犯罪的平均金額為 45000美元，每年計(jì)算機(jī)犯罪造成的經(jīng)濟(jì)損失高達(dá) 50億美元。 ? VPN的建立有 3種方式：一種是企業(yè)自身建設(shè)，對 ISP透明；第二種是 ISP建設(shè)，對企業(yè)透明；第三種是 ISP和企業(yè)共同建設(shè)。 ? 信息加密策略 信息加密的目的是保護(hù)阿內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。 ? 計(jì)算機(jī)病毒可以隱藏在可執(zhí)行文件或數(shù)據(jù)文件中。瑞安的科幻小說 《 P—1的青春 》 成為美國的暢銷書，轟動了科普界。 ? 1999年 4月 26日， CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。 ? ②占用磁盤空間和對信息的破壞。 ? 第二階段：潛伏 潛伏是指病毒等非法程序?yàn)榱颂颖苡脩艉头啦《拒浖谋O(jiān)視而隱藏自身行蹤的行為。如果把破壞程度分為 3個等級，那么破壞程度最大的大概就算是“格式化硬盤”和“刪除文件”等直接破壞行為了。 ? 按照計(jì)算機(jī)病毒的寄生部位或傳染對象分類 可以歸納為引導(dǎo)扇區(qū)型傳染的病毒和可執(zhí)行文件型傳染的病毒。 ? (3)搜索法 搜索法是利用每一種計(jì)算機(jī)病毒體含有的特定字符串對被檢測的對象進(jìn)行掃描。既然軟件仿真可以建立一個保護(hù)模式下的 DOS虛擬機(jī)，仿真 CPU動作并偽執(zhí)行程序以解開多態(tài)變形計(jì)算機(jī)病毒，那么應(yīng)用類似的技術(shù)也可以用來分析一般程序，檢查可疑的計(jì)算機(jī)病毒代碼。 ? 重要數(shù)據(jù)文件要有備份。 ? 系統(tǒng)管理員的口令應(yīng)嚴(yán)格管理，不被泄露，不定期地予以更換，保護(hù)網(wǎng)絡(luò)系統(tǒng)不被非法存取，不被感染上計(jì)算機(jī)病毒或遭受破壞。 ? 造成的破壞日益嚴(yán)重。 ? 病毒手段更加“毒辣”，為對抗計(jì)算機(jī)反病毒技術(shù)而出現(xiàn)一些病毒新技術(shù)。 ? 在邏輯上，防火墻是一個分離器，是一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。它是在使用了基本包過濾防火墻的通信上應(yīng)用一些技術(shù)來做到這點(diǎn)的。這是防火墻最基本的構(gòu)件。堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序，提供服務(wù)等。 ? 在防火墻結(jié)合網(wǎng)絡(luò)配置和安全策略對相關(guān)數(shù)據(jù)分析完成以后，就要做出接受、拒絕、丟棄或加密等決定。 ? 、流量計(jì)費(fèi) 流量控制可以分為基于 IP地址的控制和基于用戶的控制。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 37 電子商務(wù)中信息安全的應(yīng)用 ? 電子商務(wù)是互聯(lián)網(wǎng)應(yīng)用的重要趨勢之一，也是國際金融貿(mào)易中越來越重要的經(jīng)營模式之一，以后會逐漸地成為人們經(jīng)濟(jì)生活中一個重要的組成部分。 ? ②沒有進(jìn)行 CGI程序代碼審計(jì)： 如果是通用的 CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些 CGI程序，很多存在嚴(yán)重的 CGI問題，對于電子商務(wù)站點(diǎn)來說，會出現(xiàn)惡意攻擊者冒用他人賬號進(jìn)行網(wǎng)上購物等嚴(yán)重后果。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息的泄密。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取。這一過程為授權(quán)和審計(jì)所必需，也是實(shí)現(xiàn)授權(quán)、審計(jì)的訪問控制過程運(yùn)行的前提，是計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)不可缺少的組成部分。因?yàn)榉阑饓χ皇潜粍拥姆乐构簦荒茴A(yù)警攻擊。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 46 ? (1)資源的集中管理和控制 在服務(wù)子網(wǎng)上安裝安全服務(wù)器，對所有信息服務(wù)器的共享資源進(jìn)行集中管理。 ? 從安全風(fēng)險的程度來講，來自管理員的安全風(fēng)險更強(qiáng)，他們具有得天獨(dú)厚的便利條件，如果有惡意的話，他們所造成的危害更太。 ? 數(shù)字簽名是非對稱加密技術(shù)的一類應(yīng)用。電子證書能夠起到標(biāo)識貿(mào)易方的作用，是目前電子商務(wù)廣泛采用的技術(shù)之一。持卡人將發(fā)給商家的信息 (報文 1)和發(fā)給第三方的信息 (報文 2)分別生成報文摘要 1和報文摘要 2，合在一起生成報文摘要 3，并簽名；然后，將報文 報文摘要2和報文摘要 3發(fā)送給商家，將報文 報文摘要 1和報文摘要 3發(fā)送給第三方；接收者根據(jù)收到的報文生成報文摘要，再與收到的報文摘要合在一起，比較結(jié)合后的報文摘要和收到的報文摘要 3，確定持卡人的身份和信息是否被修改過。 Microsoft在 Inter Explorer中采用這一技術(shù)。訂單可通過電子化方式從商家傳過來，或由持卡人的電子購物軟件建立。 ? ⑦商家發(fā)送訂單確認(rèn)信息給顧客。 ? 隨著電子商務(wù)的發(fā)展，安全問題更加重要和突出，要想解決好這個問題，必須由安全技術(shù)和標(biāo)準(zhǔn)作保障。 ? 要保證電子商務(wù)安全可靠，首先要明確電子商務(wù)的安全隱患、安全等級和采用安全措施的代價，再選擇相應(yīng)的安全措施。 ? ⑧商家給顧客裝運(yùn)貨物．或完成訂購的服務(wù)。 ? ④持卡人選擇付款方式，此時 SET開始介入。由于它得到了 IBM、 HP、 Microsoft、 Netscape、 VeriFone、 GTE、 Terisa和 VeriSign等很多大公司的支持，已成為事實(shí)上的工業(yè)標(biāo)準(zhǔn)，目前已獲得 IETF標(biāo)準(zhǔn)的認(rèn)可。 2022/2/9 遼寧石油化工大學(xué)計(jì)算機(jī)與通信工程學(xué)院 劉旸 50 安全電子交易 ? 部分告知 (Partial Order) ? 在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。目前國外已有相應(yīng)的產(chǎn)品提供了電子證書的功能作為身份鑒別的手段。如果兩個散列值相同，那么接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的。 ? 后臺管理的安全漏洞主要是口令的泄漏。當(dāng)各地的用戶需要訪問某共享資源時，都要從安全服務(wù)器的訪問控制表 (ACL)中檢查該資源是否共享并且該用戶的權(quán)限是否充分，只有合法用戶才能通過安全通道對信息服務(wù)器進(jìn)行訪問。入侵檢測系統(tǒng)可分為兩類：基于主機(jī)和基于網(wǎng)絡(luò)。當(dāng)貿(mào)易一方發(fā)現(xiàn)交易對自己不利時，立即否認(rèn)電子商務(wù)行為。 ? ④可靠性 /不可抵賴性 /鑒別： 在無紙化的電子商務(wù)方式下，通過手寫簽名和印章進(jìn)行貿(mào)易方的鑒別已是不可能的。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做到此類事情。以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強(qiáng)烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風(fēng)險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤了，使對方?jīng)]有實(shí)行報復(fù)打擊的可能。其中主要的障礙就是如何保證傳輸數(shù)據(jù)的安全和交易對方的身份確認(rèn)等。 ? 8. VPN 在以往的網(wǎng)絡(luò)安全產(chǎn)品中 VPN是作為一個單獨(dú)產(chǎn)品出現(xiàn)，現(xiàn)在更多的是將其整臺在防火墻內(nèi)。管理界面的設(shè)計(jì)直接關(guān)系到防火墻的易用性和安全性。例如，一個分組過濾路由器連接外部網(wǎng)絡(luò)，同時一個堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)上，通常在路由器上設(shè)立過濾規(guī)則，并使這個堡壘主機(jī)成為從外部網(wǎng)絡(luò)唯一可直接到達(dá)的主機(jī)，這確保了內(nèi)部網(wǎng)絡(luò)不受末被授權(quán)的外部用戶的攻擊。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。相反，它是接受來自內(nèi)部網(wǎng)絡(luò)特定用戶應(yīng)用程序的通信，然后建立與公共網(wǎng)絡(luò)服務(wù)器單獨(dú)的連接。這稱為包過濾防火墻。一些殺病毒產(chǎn)品由于對病毒分析不透徹，倉促應(yīng)戰(zhàn)造成染毒文件被殺壞。 ? 由于目前操作系統(tǒng)龐大，像 Windows環(huán)境下，由于運(yùn)