【文章內容簡介】 網絡安全技術方案 第 10 頁 代理服務通常需要修改客戶應用程序端或應用配置。 代理服務通常依賴操作系統(tǒng)提供設備驅動，因此，一個操作系統(tǒng)或應用 Bug 都有可能造成代理服務容易受到攻擊。 代理服務經常會遇到多次登錄的情況。 動態(tài)包過濾防火墻 動態(tài)包過濾防火墻類似電路網關防火墻，但它提供了對面向非連接的傳輸層協(xié)議，如UDP 的支持。其同電路網關有相同的優(yōu)缺點。 常用攻擊方法 了解常用的攻擊方法可以更好的制定安全防范措施，常用的攻擊方法包括以下幾種： 被動監(jiān)聽： 這種攻擊方法是攻擊者利用網絡監(jiān)聽 或分析工具，直接竊獲用戶的報文信息，從而獲得用戶 /口令信息，這時，攻擊者就可以以合法用戶的身份對應用進行破壞。 地址欺騙： 在這種方法中，攻擊者偽裝成一個信任主機的 IP 地址，對系統(tǒng)進行破壞。 端口掃描：這是一種主動的攻擊方法，攻擊者不斷的掃描安全控制點上等待連接的監(jiān)聽端口，一旦發(fā)現(xiàn)，攻擊者就集中精力對端口上的應用發(fā)起攻擊。 否認服務： 這種攻擊方法又細分為兩種：即洪水連接和報文注入，洪水連接是向目的主機發(fā)出大量原地址非法的 TCP 連接，這樣，目的主機就一直處于等待狀態(tài)，最后由于資源耗盡而死機。報文注入就是在合法連 接的報文中插入攻擊者發(fā)出的數(shù)據(jù)包，從而對目的主機進行攻擊。 應用層攻擊： 這種攻擊方法是利用應用軟件的缺陷，從而獲得對系統(tǒng)的訪問權利。 特洛伊木馬： 在這種攻擊方法中，攻擊者讓用戶運行一個用戶誤認為是一個合法程序的攻擊程序，從而寄生在用戶系統(tǒng)中，為以后的攻擊埋下伏筆。這種攻擊方法最常見的應用就是在 WEB 服務嵌入 Java Applet、 ActiveX 等控件，使用戶在瀏覽網頁時，不知不覺中被寄生了攻擊程序。 常用攻擊對策 下面我們對上面所述的攻擊方法提出自己的防范措施。 被動監(jiān)聽： 在共享式以太網結構中，一個主機發(fā) 送的數(shù)據(jù)會發(fā)送到一個網段上的每主機數(shù)據(jù)包被監(jiān)聽是不可避免的。而交換式網絡根據(jù)目的地址選擇發(fā)送的端口，因此，盡量連接桌面工作站到交換機端口會避免數(shù)據(jù)包被監(jiān)聽。對于同各個分支機構的按 Extra 方式連接 網絡安全技術方案 第 11 頁 的采用 IPSec 技術對 IP 數(shù)據(jù)包加密，該加密算法對數(shù)據(jù)加密采用 DES 算法，其 DES 密鑰是動態(tài)產生的，連接雙方加密密鑰是通過 RAS 算法傳送的，因此，具有很高的安全性。對于Inter 個人用戶的訪問，數(shù)據(jù)被監(jiān)聽是不可避免的，因此，對這種攻擊的防范是合理設定用戶權限。 地址欺騙： 對這種攻擊的防范采用擴展訪問過濾 列表方式，凡是從其他網段進來的數(shù)據(jù)包，如果其源地址不是來自該網段的合法地址，就拋棄該數(shù)據(jù)包。 端口掃描： 對這種攻擊的防范采用擴展訪問列表方式，拒絕非授權網絡訪問特定的網絡服務。 否認服務： 對于洪水連接攻擊我們采用 TCP 攔截技術，對一個主機的訪問限制在一個可接受范圍內，對于超過的可按幾種設定方式丟棄連接。對于報文注入， Cisco PIX 防火墻產品是一種基于狀態(tài)的包過濾產品，本身能很好的防范報文注入攻擊。 應用層攻擊： 改進、替換具有安全漏洞的應用服務器。 特洛伊木馬： 對于這種攻擊方式，首先應該教育公司職員不要運 行不明來源的程序，避免內部主機被攻破，一旦內部主機被攻破，攻擊者就可以以被攻破主機為落腳點，對內部所有主機進行攻擊。對 Java Applet 和 ActiveX 的防范采用員工教育方式，教育職員不要訪問不明站點，盡量在瀏覽器中關閉 Java Applet 和 ActiveX 功能。 VPN 路由器 ? 采用 Cisco Router 進行 IP 數(shù)據(jù)包過濾，安全 VLAN 子網劃分 ? 作為 VPN 配置路由使用，可方便進行安全訪問的劃分 ? 結合 PIX 防火墻、 NetRanger 入侵檢測系統(tǒng)和 NetSonar 安全掃描程序三者配合，最大限度地保證 了企業(yè) VPN 的可靠性和安全性 IDS 入侵檢測 入侵檢測 (eTrust Intrusion Detection 簡稱 eID) 提供了全面的網絡保護功能，其內置主動防御功能可以防止破壞的發(fā)生。這種高性能且使用方便的解決方案在單一軟件包中提供了最廣泛的監(jiān)視、入侵和攻擊探測、非法 URL 探測和阻塞、警告、記錄和實時響應。 ? 網絡訪問控制 入侵檢測 (eTrust Intrusion Detection) 使用基本規(guī)則定義可以訪問特定網絡資源的用戶，從而確保只對網絡資源進行授權訪問。 網絡安全技術方案 第 12 頁 ? 高級反病毒引擎 能夠探測包含 計算機病毒的網絡流量的病毒掃描引擎。它可以防止用戶在不知情的情況下下載受病毒感染的文件。從 CA web 站點可以得到最新和更新后的病毒特征碼。 ? 全面的攻擊模式庫 入侵檢測 eID 可以自動探測來自網絡流量的攻擊模式（即使是正在進行中的攻擊）。定期更新的攻擊模式庫 可以從 CA web 站點獲得 能夠確保入侵檢測保持最新。 ? 包檢測技術 入侵檢測 eID 在隱蔽模式下工作，攻擊者是察覺不到的。因為黑客不知道他們正在被監(jiān)視，因此通常在未察覺的情況下被捕獲。 ? URL 阻塞 管理員可以指定不允許用戶訪 問的 URL，從而防止了非工作性 Web 沖浪。 ? 內容掃描 管理員通過入侵檢測 eID 可以定義策略對內容進行檢查。這可以防止在沒有授權的情況下通過電子郵件或 Web 發(fā)送敏感數(shù)據(jù)。 ? 網絡使用情況記錄 入侵檢測 eID 允許網絡管理員跟蹤最終用戶、應用程序等的網絡使用情況。它有助于改進網絡策略規(guī)劃和提供精確的網絡收費。 ? 集中化監(jiān)控 網絡管理員可以從本地或遠程監(jiān)控運行入侵檢測 (eTrust Intrusion Detection) 的一個或多個站，在不同網絡段（本地或遠程）上安裝了受中央站控制的入侵檢測 (eTrust Intrusion Detection) 代理后，管理員可以根據(jù)收集到的合并信息查看報警和生成報告。 ? 遠程管理 遠程用戶可以使用 TCP/IP 或者調制解調器連接訪問運行入侵檢測 (eTrust Intrusion Detection) 的站。在連接后，根據(jù)入侵檢測 (eTrust Intrusion Detection) 管理員定義的權限 , 用戶可以查看和監(jiān)控入侵檢測 (eTrust Intrusion Detection)數(shù)據(jù)、更改規(guī)則以及創(chuàng)建報告。 ? 入侵記錄和分析 入侵檢測 (eTrust Intrusion Detection) 為捕獲信息和進行分析提供了全面的系統(tǒng)功能。在安裝軟件并指定歸檔地點后，用戶可以定義在檔案中記錄會話的規(guī)則。然后用戶可以通過瀏覽器過濾、排序和查看歸檔信息，并創(chuàng)建詳細的報告。 入侵檢測 eID 代表了最新一代企業(yè)網絡保護技術，具有前所未有的訪問控制、用戶透 網絡安全技術方案 第 13 頁 明性、高性能、靈活性、適應性及易用性等。它提供給企業(yè)一個易于部署的網絡保護方案。 CA認證與 SSL 加密 CA 的作用 ? 數(shù)字證書能為你做什么 ： 個人數(shù)字證書是網友進入 21 世紀的必需品。網上證券少不了它；網上繳 款不能沒有它；進入全球知名網站，更不得沒有它。它簡單易懂、安裝容易，它比 “卡 ”還要重要，是您身份的表征，網絡新貴的識別證?，F(xiàn)今不論 X、 Y、 Z 世代，您皮夾中至少必備四五張卡（提款卡、萬事達卡、威士卡、會員卡、金卡、普卡、電話卡、保健卡 ...)， 因為目前是 “卡 ”的時代。而在網際路上，您如果沒有數(shù)字證書，不管您外表多 young、多炫，多酷，依舊是寸步難行。因為 “一證在手，走遍天下 ”的時代已經到來。 CA為了更好地滿足客戶的需要，給客戶提供更大的便利，設計開發(fā)的通用證書系統(tǒng)使得一證多用成為可能。 ? 數(shù)字證書和電子商務 的關系 電子商務正以不可逆轉之勢席卷全球的各行各業(yè)，但世界各地也面臨著共同的阻礙 ——電子商務的安全問題，必須要采用先進的安全技術對網上的數(shù)據(jù)、信息發(fā)送方、接收方進行身份確認，以保證各方信息傳遞的安全性、完整性、可靠性和交易的不可抵賴性。以數(shù)字證書為核心的身份認證、數(shù)字簽名、數(shù)字信封等數(shù)字加密技術是目前通用可行的安全問題解決方案。數(shù)字安全證書建立了一套嚴密的身份認證系統(tǒng)，可以確保電子商務的安全性。 ? 信息的保密性 交易中的商務信息均有保密的要求 .如信用卡的帳號和用戶名被人知悉 ,就可能被盜用 ,訂貨和付款的信息 被競爭對手獲悉 ,就可能喪失商機 。 因此在電子商務的信息傳播中一般均有加密的要求 。 ? 交易者身份的確定性 網上交易的雙方很可能素昧平生 ,相隔千里 。 要使交易成功首先要能確認對方的身份 ,對商家要考慮客戶端不能是騙子 ,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店 .因此能方便而可靠地確認對方身份是交易的前提 。 對于為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都要進行身份認證的工作。對有關的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認工作完全交 給銀行來完成。銀行和信用卡公司可以采用各種保密與識別方法，確認顧客的身 網絡安全技術方案 第 14 頁 份是否合法，同時還要防止發(fā)生拒付款問題以及確認訂貨和訂貨收據(jù)信息等。 ? 不可否認性 由于商情的千變萬化 ,交易一旦達成是不能被否認的 。 否則必然會損害一方的利益 .例如訂購黃金 ,訂貨時金價較低，但收到訂單后，金價上漲了，如收單方能否認受到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。 ? 不可修改性 交易的文件是不可被修改的，如上例所舉的訂購黃金。供貨單位在收到訂單后，發(fā)現(xiàn)金價大幅上 漲了，如其能改動文件內容，將訂購數(shù) 1 噸改為 1 克，則可大幅受益，那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴肅和公正。 CA 系統(tǒng)簡介 人們在感嘆電子商務的巨大潛力的同時，不得不冷靜地思考，在人與人不見面的計算機互聯(lián)網上進行交易和作業(yè)時， 怎么才能保證交易的公正性和安全性，保證交易方身份的真實性。國際上已經有比較成熟的安全解決方案，那就是建立安全證書體系結構。數(shù)字安全證書提供了一種在網上驗證身份的方式。安全證書體制主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數(shù)字簽名 、數(shù)字信封等技術。 我們可以使用數(shù)字證書，通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統(tǒng)，從而保證：信息除發(fā)送方和接收方外不被其它人竊?。恍畔⒃趥鬏斶^程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認接收方的身份；發(fā)送方對于自己的信息不能抵賴。 系統(tǒng)特性 ? 高強度加密和認證 Universal CA 采用基于 RSA 加密算法的公鑰體系加密和認證，可以生成 51 76 1024位三種不同密鑰的長度的證書，確保證書的安全性和可靠性。 多種生成證書的方法 由用戶的請求文件生成證書。 在服務器端由管 理員為用戶生成證書。 利用已有的數(shù)據(jù)庫為用戶生成證書。 Universal CA 可以以上述三種方法生成證書，使用戶應用極為方便。 網絡安全技術方案 第 15 頁 支持國際互聯(lián)網 Universal CA 發(fā)放的證書不依賴于固定的內部用戶，只需一個 Email 地址即可實現(xiàn)證書的申請及應用，因此具有廣泛的應用性。 具有同其他系統(tǒng)交換數(shù)據(jù)的能力 Universal CA 后臺應用了東大阿爾派自主版權的數(shù)據(jù)庫 Oopenbase 可以實現(xiàn)證書的海量管理，并具有同其他系統(tǒng)交換數(shù)據(jù)的能力，這使得系統(tǒng)具有良好的開放性與通用性。 易使用 、 功能強 Universal CA 運行在 Windows 環(huán)境下 ,將各種復雜操作屏蔽于后臺，前臺界面簡單，且支持請求、證書的批量操作，以及可以實現(xiàn)過期證書的自動撤消。 CA 機構，又稱為證書授證 (Certificate Authority)中心，作為電子商務交易中受信任和具有權威性的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。 CA中心為每個使用公開密鑰的客戶發(fā)放數(shù)字證書，數(shù)字證書的作用是證明證書中列出的客戶合法擁有證書中列出的公開密鑰。 CA 機構的數(shù)字簽名使得第三者不能偽造和篡改證書。它負責產生、分配并管理所有參與網上信息交換各方所需 的數(shù)字證書，因此是安全電子信息交換的核心。 為保證客戶之間在網上傳遞信息的安全性、真實性、可靠性、完整性和不可抵賴性，不僅需要