【正文】 )，然后傳輸密文 C。傳統(tǒng)的密碼體制所用的加密密鑰和解密密鑰相同，形成了對稱式密鑰加密技術(shù)。 ? 密鑰是用于加、解密的一些特殊信息，它是控制明文與密文之間變換的關(guān)鍵，它可以是數(shù)字、詞匯或語句。算法是加密或解密的一步一步的過程，在這個過程中需要一串數(shù)字，這個數(shù)字就是密鑰。所謂信息加密技術(shù)，就是采用數(shù)字方法對原始信息（通常稱為“明文”）進行再組織，使得加密后在網(wǎng)絡(luò)上公開傳輸?shù)膬?nèi)容對于非法接收者來說成為無意義的文字（加密后的信息通常成為“密文”），通過解密過程得到原始數(shù)據(jù)（即“明文”）。但要實現(xiàn)這種方式的容災(zāi)必須有很高的投入，所以，選擇容災(zāi)方案一定要結(jié)合自己的實際情況，并不一定非要求無數(shù)據(jù)丟失，只要能確保在業(yè)務(wù)的可承受范圍內(nèi)就可以了。應(yīng)用層的管理一般由專門的軟件來實現(xiàn)，可以代替管理員實現(xiàn)自動管理。數(shù)據(jù)自生產(chǎn)中心實時復(fù)制傳送到災(zāi)備中心。對于資金受限、對數(shù)據(jù)恢復(fù) RTO 和 RPO要求不高的用戶可以選擇這種方式。這種方式主要由備份軟件來實現(xiàn)備份和磁盤的管理，除了磁盤的保存外，其他步驟可實現(xiàn)自動化管理。但總體上可以區(qū)分為離線式容災(zāi) (冷容災(zāi) )和在線容災(zāi) (熱容災(zāi) )兩種類型。因此，最佳方案必需在 RTO、 RPO、維護及價錢多方面，都能達致平衡，尤其是中小企業(yè)，應(yīng)先好好了解對 RTO及 RPO的要求，找到適合企業(yè)的方案。 ? 根據(jù)以上兩個簡單的原則，企業(yè)不但可以對現(xiàn)有的數(shù)據(jù)系統(tǒng)作出容災(zāi)方案，也可以按照既定的 RTO及 RPO要求，選購最適合的容災(zāi)方案。 RPO (Recovery Point Objective，復(fù)原點目標 )是指當服務(wù)恢復(fù)后，恢復(fù)得來的數(shù)據(jù)所對應(yīng)的時間點。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)，可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限，屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。 屬性安全控制 ? 當用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性，屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性，網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標出一組安全屬性。當用戶對交費網(wǎng)絡(luò)的訪問“資費”用盡時，網(wǎng)絡(luò)還應(yīng)能對用戶的賬號加以限制，用戶此時應(yīng)無法進入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。用戶口令應(yīng)是每個用戶訪問網(wǎng)絡(luò)所必須提交的“證件”、用戶可以修改自己的口令，但系統(tǒng)管理員可以在以下幾方面的限制控制口令：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)。網(wǎng)絡(luò)管理員可以控制和限制普通用戶的賬號使用、訪問網(wǎng)絡(luò)的時間和方式。對網(wǎng)絡(luò)用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線，為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應(yīng)不少于 6個字符，口令字符最好是數(shù)字、字母和其他字符的混合，用戶口令必須經(jīng)過加密。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限、讀權(quán)限、寫權(quán)限、創(chuàng)建權(quán)限、刪除權(quán)限、修改權(quán)限、文件查找權(quán)限、訪問控制權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為特殊用戶，一般用戶和審計用戶。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源，可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作，受托者指派和繼承權(quán)限屏蔽可作為兩種實現(xiàn)方式。 ? 基于規(guī)則的安全策略 :基于規(guī)則的安全策略中的授權(quán)通常依賴于敏感性，在一個安全系統(tǒng)中，數(shù)據(jù)或資源被標注安全標記 (Token)，代表用戶進行活動的進程可以得到與其原發(fā)者相應(yīng)的安全標記。 ①基于個人的策略 :基于個人的策略（ INBACP： Individualbased Access Control Policies）是指以用戶為中心建立的一種策略，這種策略由一組列表組成，這些列表限定了針對特定的客體，哪些用戶可以實現(xiàn)何種操作行為。多級安全策略的優(yōu)點是避免敏感信息的擴散，具有安全級別的信息資源，只有安全級別比它高的主體才能夠訪問。 ②最小泄漏原則 :該原則是指主體執(zhí)行任務(wù)時，按照主體所需要知道的信息最小化的原則分配給主體權(quán)力。強制訪問控制可以防范木馬和用戶濫用權(quán)限，具有更高的安全性，但其實現(xiàn)的代價也更大，一般用在安全級別要求比較高的軍事上。 ? 自主訪問控制的一個最大問題是主體的權(quán)限太大，無意間就可能泄露信息，而且不能防備木馬的攻擊。由于其易用性與可擴展性，自主訪問控制機制經(jīng)常被用于商業(yè)系統(tǒng)。通常訪問控制可以分自主訪問控制 (DAC)和強制訪問控制(MAC)。 ? 訪問控制模型是從訪問控制的角度描述系統(tǒng)安全，主要針對系統(tǒng)中主體對客體的訪問及其安全控制。 ? 在上述技術(shù)中，訪問控制技術(shù)占有重要的地位，其中前三項屬于訪問控制范疇，訪問控制技術(shù)主要涉及安全模型、控制策略、控制策略的實現(xiàn)、授權(quán)與審計等，其中安全模型是訪問控制的理論基礎(chǔ)，其它技術(shù)是則實現(xiàn)安全模型的技術(shù)保障。 ? 數(shù)據(jù)加密技術(shù)：用于保護機密信息在傳輸或存儲時被非法讀取或篡改。 ? 數(shù)據(jù)流控制技術(shù)：該技術(shù)和用戶可訪問數(shù)據(jù)集的分發(fā)有關(guān)，用于防止數(shù)據(jù)從授權(quán)范圍擴散到非授權(quán)范圍。 ③設(shè)置無線路由器或接入點 AP的建立規(guī)則。 ? 構(gòu)建無線使用策略 ①設(shè)置可獲得授權(quán)訪問無線網(wǎng)絡(luò)的設(shè)備，最好先禁用所有的設(shè)備，在路由器上使用 MAC地址的過濾功能來明確地指明準許哪些設(shè)備訪問網(wǎng)絡(luò)。 ? 實現(xiàn)無線網(wǎng)絡(luò)安全的方法 ①防火墻 ②安全標準 ③加密和身份驗證 ④漏洞掃描 ⑤降低功率 ⑥教育用戶 ? 驗證物理上的安全性 ? 無線安全并不僅僅是技術(shù)問題，即使有最強健的 WiFi 加密，也不能阻止某些人將電纜線接入到暴露的以太網(wǎng)端口，或者將路由器恢復(fù)到了出廠設(shè)置，讓無線網(wǎng)絡(luò)沒有任何加密設(shè)置。 ? 當然，還有其它一些威脅，如客戶端對客戶端的攻擊 (包括拒絕服務(wù)攻擊 )、干擾、對加密系統(tǒng)的攻擊、錯誤的配置等，這些都會給無線網(wǎng)絡(luò)帶來風險。 ? 竊取網(wǎng)絡(luò)資源 :有些用戶出于某些目的“蹭網(wǎng)”，即使他們沒有什么惡意企圖，但仍會占用大量的網(wǎng)絡(luò)帶寬，嚴重影響網(wǎng)絡(luò)性能，而更多的不速之客會利用這種連接從公司范圍內(nèi)發(fā)送郵件，或下載盜版內(nèi)容。 ? 欺詐性接入點 :所謂欺詐性接入點是指在未獲得無線網(wǎng)絡(luò)所有者的許可或知曉的情況下，就設(shè)置或存在的接入點，有些企業(yè)的網(wǎng)絡(luò)是無保護措施的網(wǎng)絡(luò)，這就充當了入侵者進入企業(yè)網(wǎng)絡(luò)的開放門戶。 四、無線網(wǎng)絡(luò)安全 ? 插入攻擊 :插入攻擊以安裝非授權(quán)的設(shè)備或創(chuàng)建新的無線網(wǎng)絡(luò)為基礎(chǔ)，這種安裝或創(chuàng)建往往沒有經(jīng)過安全檢查。 (3)外部網(wǎng) VPN ? 在公司和商業(yè)伙伴、供應(yīng)商、投資者之間建立 VPN，稱為外部網(wǎng)VPN。大量的數(shù)據(jù) (2)遠程訪問 VPN ? 在公司總部和遠地雇員或旅行中的雇員之間建立 VPN，稱為遠程訪問VPN。 ? 根據(jù)不同的需要，可以構(gòu)造不同類型的 VPN，因此按用途可將 VPN可以分為以下三類： (1)內(nèi)部網(wǎng) VPN ? 在公司總部和它的分支機構(gòu)之間建立 VPN，稱為內(nèi)部網(wǎng) VPN,內(nèi)部網(wǎng)VPN是通過公共網(wǎng)絡(luò)將一個機構(gòu)和它的各個分支機構(gòu)的 LAN連接而成的網(wǎng)絡(luò)，被稱為 Intra VPN。它是通過虛擬的組網(wǎng)技術(shù)，而非構(gòu)建物理的專用網(wǎng)絡(luò)的手段來達到的目的，所以 VPN技術(shù)的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。也就是說，用戶覺察不到他在利用公用 WAN獲得專用網(wǎng)的服務(wù)。 VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接，還可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，可有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)。 三、 VPN 技術(shù) ? VPN（ Virtual Private Network，虛擬專用網(wǎng)絡(luò) ） 是通過一個公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道，使用這條隧道可以對數(shù)據(jù)進行幾倍加密達到安全使用互聯(lián)網(wǎng)的目的。專家系統(tǒng)的建立依賴于知識庫的完備性，知識庫的完備性又取決于審計記錄的完備性與實時性。常用于入侵檢測 5種統(tǒng)計模型為：操作模型、方差模型、多元模型、馬爾柯夫過程模型、時間序列分析模型。當被審查的事件與已知的入侵事件模式相匹配時，即報警。 ? 入侵檢測系統(tǒng)常用的檢測方法有特征檢測、統(tǒng)計檢測與專家系統(tǒng)。如果其中主體活動十分可疑 (特征或違反統(tǒng)計規(guī)律 )，入侵檢測系統(tǒng)就會采取相應(yīng)措施。如果數(shù)據(jù)包與產(chǎn)品內(nèi)置的某些規(guī)則符合，入侵檢測系統(tǒng)就會發(fā)出警報甚至直接切斷網(wǎng)絡(luò)連接。 二、入侵檢測系統(tǒng) ? 入侵檢測 (Intrusion Detection)是對入侵行為的發(fā)覺，它通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 ②合法用戶的錯誤操作，內(nèi)部人員口令的泄露或來自內(nèi)部的惡意攻擊，同樣使防火墻形同虛設(shè)。圖 雙宿主主機防火墻 一、防火墻技術(shù) ? 屏蔽主機防火墻由一個包過濾路由器與外部網(wǎng)相連，同時，一個堡壘主機安裝在內(nèi)部網(wǎng)上，使堡壘主機成為外部網(wǎng)所能到達的惟一節(jié)點，確保內(nèi)部網(wǎng)及堡壘主機不受外部非授權(quán)用戶的訪問，從而避免遭到攻擊，如圖屏蔽主機防火墻 一、防火墻技術(shù) ? 防火墻并不是萬能的，它只能抵御經(jīng)過防火墻的攻擊，如果攻擊不經(jīng)防火墻，所面臨的風險是同樣巨大的。如果內(nèi)部網(wǎng)絡(luò)被隔離，而雙宿主主機防火墻卻暴露出來。 ? 圖代理服務(wù)型防火墻 一、防火墻技術(shù) ? 雙宿主主機防火墻防火墻是一種復(fù)合型防火墻，雙宿主主機防火墻(把包過濾和代理服務(wù)兩種方法結(jié)合應(yīng)用的主機 )充當包過濾節(jié)點，并在其上運行防火墻軟件?？蛻舳顺绦蚺c代理服務(wù)器連接，代理服務(wù)器再與要訪問的外部網(wǎng)絡(luò)(Inter)相連。因為它只檢查地址及端口，對網(wǎng)絡(luò)的高級協(xié)議信息，如用戶名稱、密碼等都無法理解。 (1)包過濾型防火墻 (PACKET FILTER) (2)代理服務(wù)型防火墻 (PROXY SERVICE) (3)雙宿主主機防火墻 (4)屏蔽主機防火墻 一、防火墻技術(shù) ? 根據(jù)防火墻使用的技術(shù)和系統(tǒng)設(shè)備配置，可以分為以下幾種類型： (PACKET FILTER) ? 在網(wǎng)絡(luò)中傳輸?shù)男畔⒈粍澐殖晒潭ù笮∨c格式的片段，稱數(shù)據(jù)包，通過對每個數(shù)據(jù)包的發(fā)送地址、接收地址及端口驗證，并按既定的安全規(guī)則對數(shù)據(jù)包作出是否準許通過的判斷，來實現(xiàn)防火墻的過濾功能。 ? 電子商務(wù)安全立法是對電子商務(wù)犯罪的約束，它是利用國家機器，通過安全立法，體現(xiàn)與犯罪斗爭的國家意志。系統(tǒng)軟件安全的目標是保證計算機系統(tǒng)邏輯上的安全，主要是使系統(tǒng)中的信息的存取、處理和傳輸滿足系統(tǒng)安全策略的要求。 ? 硬件安全是指保護計算機系統(tǒng)硬件（包括外部設(shè)備）的安全，保證其自身的可靠性和為系統(tǒng)提供基本安全機制。 ? ②木馬 ? 間諜軟件不但消耗計算機資源和帶寬，還會造成計算機的安全問題，比如侵犯個人隱私，泄露商業(yè)秘密等，對電子商務(wù)造成了相當大的影響。間諜軟件具體可分為以下三類 : ? ①廣告軟件 ? 廣告軟件的破壞性主要是監(jiān)控用戶網(wǎng)頁瀏覽行為，并基于此行為將目標廣告發(fā)送至用戶界面，并通過安裝瀏覽器輔助工具欄改變用戶工作方式和默認設(shè)置。商業(yè)驅(qū)動的網(wǎng)絡(luò)間諜是這些秘密活動中增長最快的領(lǐng)域。從破獲的網(wǎng)絡(luò)間諜案例來看，都是長期、多次作案后被偶爾發(fā)現(xiàn)的。它不像病毒那樣具有立竿見影的破壞性，網(wǎng)絡(luò)間諜只是偷偷地竊取一些機密數(shù)據(jù)，并且不會