【正文】 國際性問題。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 14 網(wǎng)絡安全的關(guān)鍵技術(shù) ? 隨著計算機技術(shù)的飛速發(fā)展，信息網(wǎng)絡已經(jīng)成為社會發(fā)展的重要保證。從廣義來說，凡是涉及到網(wǎng)絡上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡安全的研究領(lǐng)域。 ? 另外，為了保證信息安全的重要作用，法律是保護信息安全的第一道防線。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 10 ? 信息安全問題不是單靠安全技術(shù)就可以解決的，專家們指出信息安全是“七分管理，三分技術(shù)”。 ? (7)網(wǎng)絡安全技術(shù) 網(wǎng)絡安全技術(shù)種類繁多，而且還相互交叉。它以交換信息的方式來確認實體的身份。原始數(shù)據(jù) (也稱為明文， Plaintext)被加密設備 (硬件或軟件 )和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文 (Cipher text)。 ? 竊?。?重要的安全物品，如身份卡等被盜用。 ? 陷阱門： 在某個系統(tǒng)或某個部件中設置的“機關(guān)”，使得在特定的數(shù)據(jù)輸入時，允許違反安全策略。 ? 拒絕服務： 對信息或其他資源的合法訪問被無緣無故拒絕。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 5 信息安全的威脅 ? 信息安全的威脅是指某個人、物、事件或概念對信息資源的保密性、完整性、可用性或合法使用所造成的危險。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 4 信息安全屬性 ? ① 完整性 (Integrity)是指信息在存儲或傳輸?shù)倪^程中，保持未經(jīng)授權(quán)不能改變的特性，即對抗主動攻擊，保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶修改或破壞。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 3 ? “安全”一詞的基本含義為：“遠離危險的狀態(tài)或特性”，或“主觀上不存在威脅，主觀上不存在恐懼”。這種情況就為今天的計算機犯罪的產(chǎn)生和發(fā)展提供了溫床。 ? 以下是幾個計算機犯罪的例子： ? 1988年 11月 2日，美國康乃爾大學的學生羅伯特 ? 信息安全是一個廣泛而抽象的概念。對信息安全主動攻擊的最終目的是破壞信息的完整性。 ? 攻擊就是對安全威脅的具體體現(xiàn)。 ? 非法使用： 某一資源被某個非授權(quán)的人，或以非授權(quán)的方式使用。 ? 抵賴： 這是一種來自用戶的攻擊，比如：否認自己曾經(jīng)發(fā)布過的某條消息、偽造一份對方來信等。 ? 業(yè)務欺騙： 某一偽系統(tǒng)或系統(tǒng)部件欺騙合法的用戶或系統(tǒng)自愿地放棄敏感信息等等。將密文還原為原始明文的過程稱為解密，它是加密的反向處理，但解密者必須利用相同類型的加密設備和密鑰對密文進行解密。它是進行存取控制必不可少的條件，因為如果不知道用戶是誰，也就無法判斷用戶的存取是否合法。雖然沒有完整統(tǒng)一的理論基礎，但是在不同的場合下，為了不同的目的，許多網(wǎng)絡控制技術(shù)確實能夠發(fā)揮出色的功效。 ? 所謂管理，就是在群體的活動中為了完成某一任務，實現(xiàn)既定的目標，針對特定的對象，遵循確定的原則，按照規(guī)定的程序，運用恰當?shù)姆椒ㄟM行有計劃、有組織、有指揮、協(xié)調(diào)和控制等活動。在信息安全的管理和應用中，相關(guān)法律條文指出了什么是違法行為，敦促人們自覺遵守法律，而不進行違法活動。 ? 主要的網(wǎng)絡安全威脅有：自然災害、意外事故、計算機犯罪、人為行為 (比如使用不當?shù)?)、安全意識差等：“黑客”行為：由于黑客的入侵或侵擾，比如非法訪問、拒絕服務計算機病毒、非法連接等；內(nèi)部泄密；外部泄密；信息丟失；電子諜報 (比如信息流量分析、信息竊取等 )；信息戰(zhàn)；網(wǎng)絡協(xié) |義中的缺陷 (例如 TCP/IP協(xié)議的安全問題 )等等。信息網(wǎng)絡涉及到國家的政府、軍事、文教等諸多領(lǐng)域。據(jù)美國聯(lián)邦調(diào)查局的報告，計算機犯罪是商業(yè)犯罪中最大的犯罪類型之一，每筆犯罪的平均金額為 45000美元，每年計算機犯罪造成的經(jīng)濟損失高達 50億美元。 ? VPN的建立有 3種方式：一種是企業(yè)自身建設，對 ISP透明；第二種是 ISP建設，對企業(yè)透明；第三種是 ISP和企業(yè)共同建設。 ? 信息加密策略 信息加密的目的是保護阿內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。 ? 計算機病毒可以隱藏在可執(zhí)行文件或數(shù)據(jù)文件中。瑞安的科幻小說 《 P—1的青春 》 成為美國的暢銷書，轟動了科普界。 ? 1999年 4月 26日， CIH病毒在我國大規(guī)模爆發(fā)，造成巨大損失。 ? ②占用磁盤空間和對信息的破壞。 ? 第二階段：潛伏 潛伏是指病毒等非法程序為了逃避用戶和防病毒軟件的監(jiān)視而隱藏自身行蹤的行為。如果把破壞程度分為 3個等級，那么破壞程度最大的大概就算是“格式化硬盤”和“刪除文件”等直接破壞行為了。 ? 按照計算機病毒的寄生部位或傳染對象分類 可以歸納為引導扇區(qū)型傳染的病毒和可執(zhí)行文件型傳染的病毒。 ? (3)搜索法 搜索法是利用每一種計算機病毒體含有的特定字符串對被檢測的對象進行掃描。既然軟件仿真可以建立一個保護模式下的 DOS虛擬機，仿真 CPU動作并偽執(zhí)行程序以解開多態(tài)變形計算機病毒，那么應用類似的技術(shù)也可以用來分析一般程序，檢查可疑的計算機病毒代碼。 ? 重要數(shù)據(jù)文件要有備份。 ? 系統(tǒng)管理員的口令應嚴格管理，不被泄露，不定期地予以更換，保護網(wǎng)絡系統(tǒng)不被非法存取，不被感染上計算機病毒或遭受破壞。 ? 造成的破壞日益嚴重。 ? 病毒手段更加“毒辣”，為對抗計算機反病毒技術(shù)而出現(xiàn)一些病毒新技術(shù)。 ? 在邏輯上，防火墻是一個分離器，是一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和 Inter之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全。它是在使用了基本包過濾防火墻的通信上應用一些技術(shù)來做到這點的。這是防火墻最基本的構(gòu)件。堡壘主機上運行著防火墻軟件，可以轉(zhuǎn)發(fā)應用程序，提供服務等。 ? 在防火墻結(jié)合網(wǎng)絡配置和安全策略對相關(guān)數(shù)據(jù)分析完成以后，就要做出接受、拒絕、丟棄或加密等決定。 ? 、流量計費 流量控制可以分為基于 IP地址的控制和基于用戶的控制。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 37 電子商務中信息安全的應用 ? 電子商務是互聯(lián)網(wǎng)應用的重要趨勢之一，也是國際金融貿(mào)易中越來越重要的經(jīng)營模式之一，以后會逐漸地成為人們經(jīng)濟生活中一個重要的組成部分。 ? ②沒有進行 CGI程序代碼審計： 如果是通用的 CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應商專門開發(fā)的一些 CGI程序，很多存在嚴重的 CGI問題，對于電子商務站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息的泄密。因此，要預防非法的信息存取和信息在傳輸過程中被非法竊取。這一過程為授權(quán)和審計所必需，也是實現(xiàn)授權(quán)、審計的訪問控制過程運行的前提，是計算機網(wǎng)絡安全系統(tǒng)不可缺少的組成部分。因為防火墻只是被動的防止攻擊，不能預警攻擊。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 46 ? (1)資源的集中管理和控制 在服務子網(wǎng)上安裝安全服務器，對所有信息服務器的共享資源進行集中管理。 ? 從安全風險的程度來講，來自管理員的安全風險更強，他們具有得天獨厚的便利條件，如果有惡意的話，他們所造成的危害更太。 ? 數(shù)字簽名是非對稱加密技術(shù)的一類應用。電子證書能夠起到標識貿(mào)易方的作用，是目前電子商務廣泛采用的技術(shù)之一。持卡人將發(fā)給商家的信息 (報文 1)和發(fā)給第三方的信息 (報文 2)分別生成報文摘要 1和報文摘要 2，合在一起生成報文摘要 3，并簽名；然后，將報文 報文摘要2和報文摘要 3發(fā)送給商家，將報文 報文摘要 1和報文摘要 3發(fā)送給第三方；接收者根據(jù)收到的報文生成報文摘要，再與收到的報文摘要合在一起，比較結(jié)合后的報文摘要和收到的報文摘要 3，確定持卡人的身份和信息是否被修改過。 Microsoft在 Inter Explorer中采用這一技術(shù)。訂單可通過電子化方式從商家傳過來，或由持卡人的電子購物軟件建立。 ? ⑦商家發(fā)送訂單確認信息給顧客。 ? 隨著電子商務的發(fā)展，安全問題更加重要和突出，要想解決好這個問題，必須由安全技術(shù)和標準作保障。 ? 要保證電子商務安全可靠，首先要明確電子商務的安全隱患、安全等級和采用安全措施的代價，再選擇相應的安全措施。 ? ⑧商家給顧客裝運貨物．或完成訂購的服務。 ? ④持卡人選擇付款方式，此時 SET開始介入。由于它得到了 IBM、 HP、 Microsoft、 Netscape、 VeriFone、 GTE、 Terisa和 VeriSign等很多大公司的支持，已成為事實上的工業(yè)標準，目前已獲得 IETF標準的認可。 2022/2/9 遼寧石油化工大學計算機與通信工程學院 劉旸 50 安全電子交易 ? 部分告知 (Partial Order) ? 在網(wǎng)上交易中將最關(guān)鍵的數(shù)據(jù)如信用卡號碼及成交數(shù)額等略去，然后再用電話告之，以防泄密。目前國外已有相應的產(chǎn)品提供了電子證書的功能作為身份鑒別的手段。如果兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。 ? 后臺管理的安全漏洞主要是口令的泄漏。當各地的用戶需要訪問某共享資源時，都要從安全服務器的訪問控制表 (ACL)中檢查該資源是否共享并且該用戶的權(quán)限是否充分，只有合法用戶才能通過安全通道對信息服務器進行訪問。入侵檢測系統(tǒng)可分為兩類：基于主機和基于網(wǎng)絡。當貿(mào)易一方發(fā)現(xiàn)交易對自己不利時，立即否認電子商務行為。 ? ④可靠性 /不可抵賴性 /鑒別： 在無紙化的電子商務方式下，通過手寫簽名和印章進行貿(mào)易方的鑒別已是不可能的。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做到此類事情。以網(wǎng)絡癱瘓為目標的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤了，使對方?jīng)]有實行報復打擊的可能。其中主要的障礙就是如何保證傳輸數(shù)據(jù)的安全和交易對方的身份確認等。 ? 8. VPN 在以往的網(wǎng)絡安全產(chǎn)品中 VPN是作為一個單獨產(chǎn)品出現(xiàn)，現(xiàn)在更多的是將其整臺在防火墻內(nèi)。管理界面的設計直接關(guān)系到防火墻的易用性和安全性。例如，一個分組過濾路由器連接外部網(wǎng)絡，同時一個堡壘主機安裝在內(nèi)部網(wǎng)絡上，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為從外部網(wǎng)絡唯一可直接到達的主機，這確保了內(nèi)部網(wǎng)絡不受末被授權(quán)的外部用戶的攻擊。屏蔽路由器作為內(nèi)外連接的唯一通道，要求所有的報文都必須在此通過檢查。相反，它是接受來自內(nèi)部網(wǎng)絡特定用戶應用程序的通信，然后建立與公共網(wǎng)絡服務器單獨的連接。這稱為包過濾防火墻。一些殺病毒產(chǎn)品由于對病毒分析不透徹，倉促應戰(zhàn)造成染毒文件被殺壞。 ? 由于目前操作系統(tǒng)龐大，像 Windows環(huán)境下，由于運