【正文】 解決方案。系統(tǒng)集成了 39 大類 1472 種弱點漏洞，覆蓋全面，包括了操作系統(tǒng)、服務(wù)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)協(xié)議等的漏洞。并在不斷的升級，平均每 3 周升級一次網(wǎng)絡(luò)邊界上的安全問題主要有下面幾個方面： 　　信息泄密：網(wǎng)絡(luò)上的資源是可以共享的，但沒有授權(quán)的人得到了他不該得到的資源，信息就泄露了。一般信息泄密有兩種方式： 　　◆攻擊者(非授權(quán)人員)進(jìn)入了網(wǎng)絡(luò)，獲取了信息，這是從網(wǎng)絡(luò)內(nèi)部的泄密 　　◆合法使用者在進(jìn)行正常業(yè)務(wù)往來時，信息被外人獲得，這是從網(wǎng)絡(luò)外部的泄密 　　入侵者的攻擊：互聯(lián)網(wǎng)是世界級的大眾網(wǎng)絡(luò)，網(wǎng)絡(luò)上有各種勢力與團(tuán)體。入侵就是有人通過互聯(lián)網(wǎng)進(jìn)入你的網(wǎng)絡(luò)(或其他渠道)，篡改數(shù)據(jù)，或?qū)嵤┢茐男袨?，造成你網(wǎng)絡(luò)業(yè)務(wù)的癱瘓，這種攻擊是主動的、有目的、甚至是有組織的行為。 　　網(wǎng)絡(luò)病毒：與非安全網(wǎng)絡(luò)的業(yè)務(wù)互聯(lián)，難免在通訊中帶來病毒，一旦在你的網(wǎng)絡(luò)中發(fā)作，業(yè)務(wù)將受到巨大沖擊，病毒的傳播與發(fā)作一般有不確定的隨機(jī)特性。這是“無對手”、“無意識”的攻擊行為。 　　木馬入侵：木馬的發(fā)展是一種新型的攻擊行為，他在傳播時象病毒一樣自由擴(kuò)散，沒有主動的跡象，但進(jìn)入你的網(wǎng)絡(luò)后，便主動與他的“主子”聯(lián)絡(luò)，從而讓主子來控制你的機(jī)器，既可以盜用你的網(wǎng)絡(luò)信息，也可以利用你的系統(tǒng)資源為他工作，比較典型的就是“僵尸網(wǎng)絡(luò)”。 　　來自網(wǎng)絡(luò)外部的安全問題，重點是防護(hù)與監(jiān)控。來自網(wǎng)絡(luò)內(nèi)部的安全，人員是可控的，可以通過認(rèn)證、授權(quán)、審計的方式追蹤用戶的行為軌跡，也就是我們說的行為審計與合軌性審計。；計算機(jī)密碼學(xué)是研究計算機(jī)信息加密、解密及其變換的科學(xué)，是數(shù)學(xué)和計算機(jī)的交義學(xué)科，也是一門新興的學(xué)科。在國外，它已成為計算機(jī)安全主要的研究方向，也是計算機(jī)安全課程教學(xué)中的主要內(nèi)容。密碼是實現(xiàn)秘密通訊的主要手段，是隱蔽語言、文字、圖象的特種符號。凡是用特種符號按照通訊雙方約定的方法把電文的原形隱蔽起來，不為第三者所識別的通訊方式稱為密碼通訊。在計算機(jī)通訊中，采用密碼技術(shù)將信息隱蔽起來，再將隱蔽后的信息傳輸出去，使信息在傳輸過程中即使被竊取或載獲，竊取者也不能了解信息的內(nèi)容，從而保證信息傳輸?shù)陌踩?。任何一個加密系統(tǒng)至少包括下面四個組成部分： （1）、未加密的報文，也稱明文。（2）、加密后的報文，也稱密文。（3）、加密解密設(shè)備或算法。（4）、加密解密的密鑰。發(fā)送方用加密密鑰，通過加密設(shè)備或算法，將信息加密后發(fā)送出去。接收方在收到密文后，用解密密鑰將密文解密，恢復(fù)為明文。如果傳輸中有人竊取，他只能得到無法理解的密文，從而對信息起到保密作用。（對稱與非對稱算法，認(rèn)證證書PKI密鑰和證書，生命周期管理等）對稱算法與非對稱算法對稱算法(symmetric algorithm),有時又叫傳統(tǒng)密碼算法,就是加密密鑰能夠從解密密鑰中推算出來,泄漏密鑰就意味著任何人都可以對他們發(fā)送或接收的消息解密,所以密鑰的保密性對通信性至關(guān)重要. 對稱加密的優(yōu)點在于算法實現(xiàn)后的效率高,速度快. ,那么很明顯,假設(shè)有N個用戶進(jìn)行對稱加密通信,如果按照上述方法,則他們要產(chǎn)生N(N1)把密鑰,每一個用戶要記住或保留N1把密鑰,當(dāng)N很大時,記住是不可能的,DEA等非對稱加密(dissymmetrical encryption),有時又叫公開密鑰算法(public key algorithm).這種加密算法是這樣設(shè)計的:用作加密的密鑰不同于用作解密的密鑰,而且解密密鑰不能根據(jù)加密密鑰計算出來(至少在合理假定的長時間內(nèi)).之所以又叫做公開密鑰算法是由于加密密鑰可以公開,即陌生人可以得到它并用來加密信息,加密密鑰被叫做公開密鑰(public key),而解密密鑰被叫做私有密鑰(private key). 非對稱加密的缺點在于算法實現(xiàn)后的效率低,速度慢.。非對稱加密的優(yōu)點在于用戶不必記憶大量的提前商定好的密鑰,因為發(fā)送方和接收方事先根本不必商定密鑰,發(fā)放方只要可以得到可靠的接收方的公開密鑰就可以給他發(fā)送信息了,非對稱加密算法需要一種與之相配合使用的公開密鑰管理機(jī)制,.PKIPKI（Public Key Infrastructure）即公開密鑰體系，是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺,它能夠為所有網(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)?！　KI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重數(shù)字簽名等。　　PKI的基本組成:　　完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)(CA)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口（API）等基本構(gòu)成部分，構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建?！　KI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重數(shù)字簽名等。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分：　　公鑰密碼證書管理?！　『诿麊蔚陌l(fā)布和管理?！　∶荑€的備份和恢復(fù)?！　∽詣痈旅荑€。　　自動管理歷史密鑰。　　支持交叉認(rèn)證。（口令、智能卡的組合驗證方法）口令、智能卡組合驗證口令防止未授權(quán)用戶進(jìn)入網(wǎng)絡(luò)的第一步就是使用口令。雖然口令安全僅僅是整個網(wǎng)絡(luò)安全的一部分，但其重要性卻不能否認(rèn)。而且，由于口令認(rèn)證的代價低、易于實現(xiàn)和用戶界面友好等特點，使得它是保護(hù)信息網(wǎng)絡(luò)的一個重要方法。傳統(tǒng)的口令認(rèn)證方案是每個用戶都擁有一個身份號碼ID和一個秘密的口令PW，每當(dāng)一個用戶申請登錄網(wǎng)絡(luò)系統(tǒng)時，系統(tǒng)就要求用戶供一個有效的ID和相應(yīng)的口令。最簡單的認(rèn)證方法是預(yù)先構(gòu)造一個存儲每個用戶ID和相口令的口令表。在一個口令認(rèn)證方案中，每個網(wǎng)絡(luò)用戶設(shè)為Ui，在登錄階段提交其IDi和口令PWi，以申請登錄系統(tǒng)。傳統(tǒng)的認(rèn)證方法是系統(tǒng)檢索口令表以檢查提交的口令是否與事先保存在口令表中的一致，如果一致，則用戶Ui被認(rèn)為是一個已獲授權(quán)的用戶，并被允許進(jìn)入系統(tǒng)；否則，用戶的登錄請求被拒絕。智能卡智能卡（Smart card或IC Card），又稱智慧卡、聰明卡、集成電路卡及IC卡，是指粘貼或嵌有集成電路芯片的一種便攜式卡片塑料?？ㄆ宋⑻幚砥?、I/O接口及存儲器，提供了數(shù)據(jù)的計算、訪問控制及存儲功能，卡片的大小、接點定義目前是由ISO規(guī)范統(tǒng)一，主要規(guī)范在ISO7810中。常見的有電話IC卡、身份IC卡，以及一些交通票證和存儲卡。智能卡用途　　從功能上來說，智能卡的用途可歸為如下四點： 　　身份識別 　　支付工具 　　加密/解密 　　信息（了解電子加密和解密概念，熟悉CA認(rèn)證的可信度等）；CA認(rèn)證 證書證書實際是由證書簽證機(jī)關(guān)（CA）簽發(fā)的對用戶的公鑰的認(rèn)證。 證書的內(nèi)容包括：電子簽證機(jī)關(guān)的信息、公鑰用戶信息、公鑰、權(quán)威機(jī)構(gòu)的簽字和有效期等等。目前， 國際標(biāo)準(zhǔn)。：證書的版本信息證書的序列號，唯一的證書使用的簽名算法證書的發(fā)行機(jī)構(gòu)名稱及私鑰簽名證書的有效期證書的使用者及其公鑰信息 　　加密： 　　ca認(rèn)證我們將文字轉(zhuǎn)換成不能直接閱讀的形式（即密文）的過程稱為加密。 　　解密： 　　我們將密文轉(zhuǎn)換成能夠直接閱讀的文字（即明文）的過程稱為解密。 　　RSA公鑰體制可實現(xiàn)對數(shù)字信息的數(shù)字簽名，方法如下： 　　信息發(fā)送者用其私匙對從所傳報文中提取出的特征數(shù)據(jù)（或稱數(shù)字指紋）進(jìn)行RSA算法操作，以保證發(fā)信人無法抵賴曾發(fā)過該信息（即不可抵賴性），同時也確保信息報文在傳遞過程中未被篡改（即完整性）。當(dāng)信息接收者收到報文后，就可以用發(fā)送者的公鑰對數(shù)字簽名進(jìn)行驗證。 　　在數(shù)字簽名中有重要作用的數(shù)字指紋是通過一類特殊的散列函數(shù)(HASH函數(shù)) 生成的。對這些HASH函數(shù)的特殊要求是： 　　1．接受的輸入報文數(shù)據(jù)沒有長度限制； 　　2．對任何輸入報文數(shù)據(jù)生成固定長度的摘要(數(shù)字指紋)輸出； 　　3．從報文能方便地算出摘要； 　　4．難以對指定的摘要生成一個報文，而由該報文可以算出該指定的摘要； 　　5．難以生成兩個不同的報文具有相同的摘要。CA認(rèn)證驗證　收方在收到信息后用如下的步驟驗證您的簽名： 　　1．使用自己的私鑰將信息轉(zhuǎn)為明文； 　　2．使用發(fā)信方的公鑰從數(shù)字簽名部分得到原摘要； 　　3．收方對您所發(fā)送的源信息進(jìn)行hash運算，也產(chǎn)生一個摘要； 　　4．收方比較兩個摘要，如果兩者相同，則可以證明信息簽名者的身份。 　　如果兩摘要內(nèi)容不符，會說明什么原因呢？ 可能對摘要進(jìn)行簽名所用的私鑰不是簽名者的私鑰，這就表明信息的簽名者不可信；也可能收到的信息根本就不是簽名者發(fā)送的信息，信息在傳輸過程中已經(jīng)遭到破壞或篡改。電子加密　置亂技術(shù)是數(shù)據(jù)加密的一種方法。通過置亂技術(shù),可以將數(shù)字信號變得雜亂無章，使非法獲取者無法確知該數(shù)字信號的正確組織形式,無法從其中獲得有用的信息。基于DirectShow對視頻進(jìn)行一系列的采集、分幀、合成等處理,同時采用Arnold變換對單幀圖像進(jìn)行置亂操作,使得置亂后的視頻表現(xiàn)為黑白噪聲 的形式 。所建立的視頻處理框架可以處理各種格式的視頻,如AVI、MPEG等格式的視頻信號,置亂后的視頻可以抵抗一定程度的壓縮、幀處理等操作。 　　視頻文件由于不同的壓縮方式、文件組織方式等，使得其格式繁多，所以處理時需要把不同格式的視頻文件解碼為統(tǒng)一的非壓縮格式。另外考慮到視頻文件通常數(shù)據(jù)量都很大，采用將視頻文件按單幀圖像進(jìn)行處理的方式，將視頻數(shù)據(jù)流分為單幀序列，經(jīng)過解壓、處理、存儲一幀后，再讀取下一幀的數(shù)據(jù)進(jìn)行同樣的處理。這樣可以保證內(nèi)存中只有單幀的數(shù)據(jù)量。 數(shù)字水印的基本思想是利用人類感覺器官的不敏感，以及數(shù)字信號本身存在的冗余，在圖像音頻和視頻等數(shù)字產(chǎn)品中嵌入秘密的信息以便記錄其版權(quán)，同時嵌入的信息能夠抵抗一些攻擊而生存下來，以達(dá)到版權(quán)認(rèn)證和保護(hù)的功能。數(shù)字水印并不改變數(shù)字產(chǎn)品的基本特性和使用價值。一個完整的數(shù)字水印系統(tǒng)應(yīng)包含三個基本部分:水印的生成、嵌入和水印的提取或檢測。水印嵌入算法利用對稱密鑰或公開密鑰實現(xiàn)把水印嵌入到原始載體信息中，得到隱秘載體。水印檢測／提取算法利用相應(yīng)的密鑰從隱蔽載體中檢測或恢復(fù)出水印，沒有解密密鑰，攻擊者很難從隱秘載體中發(fā)現(xiàn)和修改水印。 　　根據(jù)水印所附載體的不同，可以將數(shù)字水印劃分為圖像水印、音頻水印、視頻水印、文本水印和用于三維網(wǎng)格模型的網(wǎng)格水印及軟件水印等。 29 /