電子商務(wù)的安全體系課件

電子商務(wù)的安全體系胡桃hutao666@1電子商務(wù)的安全體系胡桃hutao666@vip.sina教學(xué)目的：通過本節(jié)學(xué)習(xí)，使學(xué)生了解電子商務(wù)安全技術(shù)在專業(yè)課程學(xué)習(xí)中的位置體會(huì)電子商務(wù)安全的重要性了解常見的計(jì)算機(jī)安全問題掌握電子商務(wù)安全的基本概念，原理，技術(shù)及應(yīng)用教學(xué)要求掌握以下概念電子商務(wù)系統(tǒng)安全，系統(tǒng)硬件安全，軟件安全，運(yùn)行安全風(fēng)險(xiǎn)管理模型，安全策略，認(rèn)證，審計(jì)，訪問控制，日志信息的保密性，信息的完整性，信息的不可否認(rèn)性，交易者身份的真實(shí)性，系統(tǒng)的可靠性加密，解密，算法，密鑰，密鑰長度防火墻，對(duì)稱密鑰，非對(duì)稱密鑰（公鑰和私鑰），消息摘要，數(shù)字時(shí)間戳，數(shù)字簽名，認(rèn)證中心，數(shù)字證書S-HTTP,S/MIME,SSL,SET2教學(xué)目的：2理解和掌握以下原理風(fēng)險(xiǎn)管理模型分析原理加解密原理各種加密技術(shù)工作原理及其實(shí)現(xiàn)的信息安全性，包括防火墻，對(duì)稱密鑰，非對(duì)稱密鑰（公鑰和私鑰），消息摘要，數(shù)字時(shí)間戳，數(shù)字簽名，認(rèn)證中心，數(shù)字證書各種安全協(xié)議工作原理，包括S-HTTP,S/MIME,SSL,SET認(rèn)證中心的數(shù)形結(jié)構(gòu)理解和掌握以下應(yīng)用能用風(fēng)險(xiǎn)管理模型分析系統(tǒng)風(fēng)險(xiǎn)程度并制定合理安全策略申請、下載、安裝數(shù)字證書發(fā)送數(shù)字簽名郵件和加密郵件教學(xué)重點(diǎn)和難點(diǎn)各種加密技術(shù)工作原理數(shù)字證書的應(yīng)用應(yīng)用風(fēng)險(xiǎn)管理模型分析系統(tǒng)風(fēng)險(xiǎn)的方法各種安全協(xié)議工作原理3理解和掌握以下原理3電子商務(wù)的安全策略確保在因特網(wǎng)上用戶和商家的身份認(rèn)證保護(hù)因特網(wǎng)上的交易保護(hù)站點(diǎn)及企業(yè)網(wǎng)抵抗黑客的攻擊4電子商務(wù)的安全策略確保在因特網(wǎng)上用戶和商家的身份認(rèn)證4電子商務(wù)安全問題的類型物理安全問題網(wǎng)絡(luò)安全問題數(shù)據(jù)的安全性對(duì)交易不同方表現(xiàn)的不同安全問題網(wǎng)絡(luò)交易的風(fēng)險(xiǎn)源：信息風(fēng)險(xiǎn)（冒名偷竊、篡改數(shù)據(jù)、信息丟失）、信用風(fēng)險(xiǎn)、管理方面的風(fēng)險(xiǎn)、法律方面的風(fēng)險(xiǎn)5電子商務(wù)安全問題的類型物理安全問題網(wǎng)絡(luò)交易的風(fēng)險(xiǎn)源：信息風(fēng)險(xiǎn)買方面臨的安全威脅（1）虛假訂單：一個(gè)假冒者可能會(huì)以客戶的名字來訂購商品，而且有可能收到商品，而此時(shí)客戶卻被要求付款或返還商品。（2）付款后不能收到商品：在要求客戶付款后，銷售商中的內(nèi)部人員不將訂單和錢轉(zhuǎn)發(fā)給執(zhí)行部門，因而使客戶不能收到商品。（3）機(jī)密性喪失：客戶有可能將秘密的個(gè)人數(shù)據(jù)或自己的身份數(shù)據(jù)（如PIN，口令等）發(fā)送給冒充銷售商的機(jī)構(gòu)，這些信息也可能會(huì)在傳遞過程中被竊聽。（4）拒絕服務(wù)：攻擊者可能向銷售商的服務(wù)器發(fā)送大量的虛假定單來擠占它的資源，從而使合法用戶不能得到正常的服務(wù)。6買方面臨的安全威脅（1）虛假訂單：一個(gè)假冒者可能會(huì)以客戶的名賣方面臨的安全威脅7賣方面臨的安全威脅7解決電子商務(wù)安全問題的策略技術(shù)保障法律控制社會(huì)道德規(guī)范完善的管理政策的制度8解決電子商務(wù)安全問題的策略技術(shù)保障8安全電子交易的基本要求互聯(lián)網(wǎng)開放性成員多樣性位置分散性信息保密性信息完整性系統(tǒng)抗攻擊性消費(fèi)者隱私保護(hù)性抗抵賴性身份真實(shí)性推動(dòng)電子商務(wù)安全技術(shù)9安全電子交易的基本要求互聯(lián)網(wǎng)開放性信息信息系統(tǒng)抗消費(fèi)者抗抵賴安全認(rèn)證手段數(shù)字摘要、數(shù)字簽名、數(shù)字信封、CA體系…安全應(yīng)用協(xié)議SET、SSL、S/HTTP、S/MIME…基本加密算法非對(duì)稱密鑰加密、對(duì)稱密鑰加密、DES、RSA…電子商務(wù)業(yè)務(wù)系統(tǒng)電子商務(wù)支付系統(tǒng)電子商務(wù)安全交易體系10安全認(rèn)證手段安全應(yīng)用協(xié)議基本加密算法電子商務(wù)業(yè)務(wù)系統(tǒng)電子商務(wù)信息加密技術(shù)對(duì)稱密鑰加密體制(私鑰加密體制)非對(duì)稱密鑰加密體制(公鑰加密體制)11信息加密技術(shù)對(duì)稱密鑰加密體制(私鑰加密體制)11對(duì)稱密鑰加密體制是指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進(jìn)行加密和解密運(yùn)算，這時(shí)的密鑰稱為對(duì)稱密鑰。最典型的對(duì)稱密鑰加密算法：美國數(shù)據(jù)加密標(biāo)準(zhǔn)（DES：DataEncryptStandard）。優(yōu)點(diǎn)：加密速度快，適于大量數(shù)據(jù)的加密處理。缺點(diǎn)：密鑰需傳遞給接受方原信息：1101101100101001

加密信息0110000010010010

還原：密鑰：1011101112對(duì)稱密鑰加密體制是指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進(jìn)非對(duì)稱密鑰加密體制信息加密和解密使用的是不同的兩個(gè)密鑰（稱為“密鑰對(duì)”，一個(gè)是公開密鑰，一個(gè)是私用密鑰）。如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，則只有用對(duì)應(yīng)的私有密鑰才能解密；反之，若用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，則須用相應(yīng)的公開密鑰才能解密。缺點(diǎn)：加密速度較慢代表性加密技術(shù)：RSA技術(shù)13非對(duì)稱密鑰加密體制信息加密和解密使用的是不同的兩個(gè)密鑰（稱為RSA的算法1)選取兩個(gè)足夠大的質(zhì)數(shù)P和Q；如：P=101，Q=1132)計(jì)算P和Q相乘所產(chǎn)生的乘積n=P×Q；如：n=114133)找出一個(gè)小于n的數(shù)e，使其符合與（P－1）×（Q－1）互為質(zhì)數(shù)；如：取e=35334)另找一個(gè)數(shù)d，使其滿足（e×d）mod[（P－1）×（Q－1）]＝1（其中mod為相除取余）；如：取d=65975)（n，e）即為公開密鑰；（n，d）即為私用密鑰；6)將明文X分組，X=X1X2…Xr（Xi<=n);7)加密：Yi=Xie（modn）,得密文Y=Y1Y2…Yr如：明文c=5761，密文m=92268)密文c＝me（modn）==》明文m＝cd（modn），即無論哪一個(gè)質(zhì)數(shù)先與原文加密，均可由另一個(gè)質(zhì)數(shù)解密。但要用一個(gè)質(zhì)數(shù)來求出另一個(gè)質(zhì)數(shù)，則是非常困難的。14RSA的算法1)選取兩個(gè)足夠大的質(zhì)數(shù)P和Q；如：P=10安全電子交易認(rèn)證技術(shù)數(shù)字摘要數(shù)字信封數(shù)字簽名數(shù)字時(shí)間戳數(shù)字證書生物統(tǒng)計(jì)學(xué)身份識(shí)別15安全電子交易認(rèn)證技術(shù)數(shù)字摘要15原信息發(fā)送端接收端數(shù)字摘要采用單向Hash函數(shù)對(duì)文件進(jìn)行變換運(yùn)算得到摘要碼，并把摘要碼和文件一同送給接收方，接收方接到文件后，用相同的方法對(duì)文件進(jìn)行變換計(jì)算，用得出的摘要碼與發(fā)送來的摘要碼進(jìn)行比較來斷定文件是否被篡改。摘要Hash函數(shù)加密摘要Hash函數(shù)加密對(duì)比原信息摘要internetinternet16原發(fā)送端接收端數(shù)字摘要采用單向Hash函數(shù)對(duì)文件進(jìn)行變換運(yùn)算數(shù)字信封發(fā)送方采用對(duì)稱密鑰加密信息，然后將此對(duì)稱密鑰用接收方的公開密鑰加密之后，將它和信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開信息。安全性能高，保證只有規(guī)定的接收方才能閱讀信的內(nèi)容。發(fā)送端接收端原信息密文對(duì)稱密鑰加密internetinternet密文數(shù)字信封原信息對(duì)稱密鑰解密接收者公鑰加密數(shù)字信封對(duì)稱密鑰接收者私鑰解密對(duì)稱密鑰17數(shù)字信封發(fā)送方采用對(duì)稱密鑰加密信息，然后將此對(duì)稱密鑰用接收方發(fā)送端接收端原信息數(shù)字簽名用發(fā)送方的私有密鑰對(duì)數(shù)字摘要進(jìn)行加密得的數(shù)字簽名，因此數(shù)字簽名是只有信息的發(fā)送者才能產(chǎn)生而別人無法偽造的一段數(shù)字串，有確認(rèn)對(duì)方的身份，防抵賴的作用；接收方用發(fā)送方的公開密鑰對(duì)數(shù)字簽名進(jìn)行解密，用數(shù)字摘要原理保證信息的完整和防篡改性。摘要Hash函數(shù)加密數(shù)字簽名發(fā)送者私鑰加密internetinternet原信息數(shù)字簽名摘要摘要Hash函數(shù)加密發(fā)送者公鑰解密對(duì)比18發(fā)送端接收端原數(shù)字簽名用發(fā)送方的私有密鑰對(duì)數(shù)字摘要進(jìn)行加密得發(fā)送端第三方原信息數(shù)字時(shí)間戳數(shù)字時(shí)間戳技術(shù)就是對(duì)電子文件簽署的日期和時(shí)間進(jìn)行的安全性保護(hù)和有效證明的技術(shù)。它是由專門的認(rèn)證機(jī)構(gòu)來加的，并以認(rèn)證機(jī)構(gòu)收到文件的時(shí)間為依據(jù)。摘要Hash函數(shù)加密新摘要Hash函數(shù)加密第三方私鑰加密數(shù)字時(shí)間戳internet摘要摘要時(shí)間加時(shí)間internet數(shù)字時(shí)間戳摘要時(shí)間19發(fā)送端第三方原數(shù)字時(shí)間戳數(shù)字時(shí)間戳技術(shù)就是對(duì)電子文件簽署的日數(shù)字證書（digitalID）所謂數(shù)字證書，就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問的權(quán)限；CCITTX.509國際標(biāo)準(zhǔn)（數(shù)字證書必須包含以下幾點(diǎn)：證書的版本號(hào)；數(shù)字證書的序列號(hào)；證書擁有者的姓名；證書擁有者的公開密鑰；公開密鑰的有效期；簽名算法；頒發(fā)數(shù)字證書的單位；頒發(fā)數(shù)字證書單位的數(shù)字簽名）；一般數(shù)字證書類型：客戶證書、商家證書、網(wǎng)關(guān)證書、CA系統(tǒng)證書。20數(shù)字證書（digitalID）所謂數(shù)字證書，就是用電子手段21212222生物統(tǒng)計(jì)學(xué)身份識(shí)別生物統(tǒng)計(jì)學(xué)技術(shù)包指紋。隔膜和視網(wǎng)膜掃描，字體的分析也是一中常用的生物統(tǒng)計(jì)學(xué)識(shí)別方法。由于已經(jīng)開始顯示出有前途，聲音和手紋辯認(rèn)也會(huì)成為未來的技術(shù)選擇。未來安全電子交易中常見的將是使用多種技術(shù)來識(shí)別用戶。指紋掃描和聲音識(shí)別會(huì)比只使用一種技術(shù)更可靠。需用高價(jià)位計(jì)算機(jī)來才能支持大量用戶的環(huán)境。23生物統(tǒng)計(jì)學(xué)身份識(shí)別生物統(tǒng)計(jì)學(xué)技術(shù)包指紋。隔膜和視網(wǎng)膜掃描，字指紋認(rèn)證虹膜認(rèn)證24指紋認(rèn)證虹24步態(tài)識(shí)別認(rèn)證手工簽名認(rèn)證25步手25生物認(rèn)證技術(shù)手工簽名認(rèn)證26生物認(rèn)證技術(shù)手26認(rèn)證中心CA27認(rèn)證中心CA27認(rèn)證中心CA28認(rèn)證中心CA28CFCA的功能1、證書的申請離線申請方式在線申請方式2．證書的審批離線審核方式在線審核方式3．證書的發(fā)放離線方式發(fā)放在線方式發(fā)放4．證書的歸檔5．證書的撤銷6．證書的更新人工密鑰更新自動(dòng)密鑰更新

7．證書廢止列表的管理功能(CRL)證書廢止原因編碼CRL的產(chǎn)生及其發(fā)布企業(yè)證書及CRL的在線服務(wù)功能

8．CA的管理功能9．CA自身密鑰的管理功能29CFCA的功能1、證書的申請6．證書的更新29安全認(rèn)證協(xié)議安全超文本傳輸協(xié)議（S-HTTP）電子郵件安全S-MIME協(xié)議安全套接層SSL（SecureSocketsLayer）協(xié)議安全電子交易SET（SecureElectronicTransaction）協(xié)議30安全認(rèn)證協(xié)議安全超文本傳輸協(xié)議（S-HTTP）30S-HTTP協(xié)議能保證Web信息站點(diǎn)上信息的安全，是應(yīng)用層的協(xié)議。用對(duì)稱密鑰、消息摘要、公開密鑰加密等來實(shí)現(xiàn)建立一個(gè)安全會(huì)話。頁面的URL為https://開始。S-MIME協(xié)議依靠密鑰對(duì)保證電子郵件的安全傳輸?shù)膮f(xié)議。提供發(fā)送方身份識(shí)別、信息的完整性、信息傳遞過程的機(jī)密性等安全功能；設(shè)計(jì)成模塊，加裝在電子郵件軟件中（如：IE、Netscape）要求申請電子郵件數(shù)字證書，發(fā)保密郵件要求有對(duì)方的公鑰。31S-HTTP協(xié)議S-MIME協(xié)議31安全電子郵件安全電子郵件：就是采用了數(shù)字證書認(rèn)證（郵件密鑰和數(shù)字簽名）技術(shù)（如PKI/CA技術(shù)），為企業(yè)用戶和個(gè)人用戶提供可以確保電子郵件的保密性、完整性和不可否認(rèn)性的郵件服務(wù)。國外大部分運(yùn)營商都在提供安全電子郵件業(yè)務(wù)，如AT&T、BT、KT、Verizon、MCI、JT等。目前國外運(yùn)營商開展的安全電子郵件業(yè)務(wù)的主要功能有：數(shù)據(jù)加密和數(shù)字簽名、防病毒、反垃圾郵件、內(nèi)容過濾、冗余檢驗(yàn)、容錯(cuò)支持等安全功能。并根據(jù)不同的使用者進(jìn)行業(yè)務(wù)的區(qū)別定位。分為個(gè)人用戶與企業(yè)集團(tuán)用戶。對(duì)企業(yè)用戶側(cè)重安全便捷的系統(tǒng)提供；對(duì)于個(gè)人用戶側(cè)重引導(dǎo)和宣傳等。32安全電子郵件安全電子郵件：就是采用了數(shù)字證書認(rèn)證（郵件密鑰和安全電子郵件33安全電子郵件33中國電信----安全電子郵件目標(biāo)用戶：電子商務(wù)經(jīng)營者，尤其是對(duì)安全認(rèn)證有特殊需求的用戶，包括政府、企業(yè)、個(gè)人策略：

針對(duì)個(gè)人用戶的數(shù)字應(yīng)用業(yè)務(wù)，安全信箱針對(duì)企業(yè)用戶的，e企郵之“安全的郵件服務(wù)”（上海電信數(shù)據(jù)中心）針對(duì)政府的，“安全政務(wù)”（浙江電信有限公司）34中國電信----安全電子郵件目標(biāo)用戶：34安全電子郵件系統(tǒng)的軟件結(jié)構(gòu)安全電子郵件系統(tǒng)有B/S結(jié)構(gòu)和C/S結(jié)構(gòu)兩種，都基于數(shù)字證書完成對(duì)郵件內(nèi)容的加密/解密、數(shù)字簽名/驗(yàn)證。B/S結(jié)構(gòu)的安全電子郵件系統(tǒng)，在WEBMail的基礎(chǔ)上，通過基于IE瀏覽器的安全插件完成對(duì)郵件關(guān)鍵信息的加解密。C/S結(jié)構(gòu)的安全電子郵件系統(tǒng)，通過安全郵件客戶端完成對(duì)郵件內(nèi)容的加解密。35安全電子郵件系統(tǒng)的軟件結(jié)構(gòu)安全電子郵件系統(tǒng)有B/S結(jié)構(gòu)和C/中國電信采用GCMail安全電子郵件系統(tǒng)36中國電信采用GCMail安全電子郵件系統(tǒng)36黑莓概念黑莓，由RIM公司提出的移動(dòng)電子郵件，具有獨(dú)特PushMail概念，可將新的電子如短信一樣在后臺(tái)主動(dòng)推送到移動(dòng)終端上。黑莓其實(shí)是一套系統(tǒng)，包括移動(dòng)終端、移動(dòng)終端客戶端軟件、企業(yè)端服務(wù)器、運(yùn)營商局端移動(dòng)郵件網(wǎng)關(guān)等設(shè)備與軟件。它使用私鑰tripleDES加密處理，一個(gè)密鑰存儲(chǔ)在企業(yè)防火墻后面，一個(gè)匹配的密鑰存儲(chǔ)在終端設(shè)備上，加密的數(shù)據(jù)穿過防火墻后，只能在終端上被解密，對(duì)于收發(fā)企業(yè)郵件相當(dāng)安全。黑莓集成的無線接入能力可以讓用戶獲得對(duì)各種商業(yè)應(yīng)用內(nèi)容的訪問，包括電子郵件、電話、企業(yè)數(shù)據(jù)、網(wǎng)絡(luò)、短信息服務(wù)及管理應(yīng)用軟件。黑莓目前在美國、加拿大地區(qū)相當(dāng)流行，它將軟件客戶端結(jié)合在移動(dòng)電話、PDA及其他通信終端上，用戶可以通過其無線裝置來安全地訪問電子郵件、企業(yè)數(shù)據(jù)、Web以及進(jìn)行企業(yè)內(nèi)部的語音通話。37黑莓概念黑莓，由RIM公司提出的移動(dòng)電子郵件，具有獨(dú)特Pus黑莓的特點(diǎn)黑莓的特點(diǎn)概括如下：1可以對(duì)企業(yè)無線信息環(huán)境進(jìn)行安全的無限擴(kuò)展；2利用上推下拉技術(shù)來實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)的無線安全訪問；3能夠和企業(yè)現(xiàn)有的服務(wù)器系統(tǒng)有機(jī)集成；4管理簡便，并且可以對(duì)無線網(wǎng)絡(luò)進(jìn)行中央控制；5支持多種無線網(wǎng)絡(luò)和無線設(shè)備；6具有可在全球部署的能力；7自動(dòng)化的桌面軟件配置；8提供集成了電話、電子郵件、企業(yè)數(shù)據(jù)、瀏覽器、SMS以及組織應(yīng)用程序功能的高級(jí)無線手持設(shè)備；9功能強(qiáng)大的開發(fā)環(huán)境，同時(shí)具有對(duì)第三方以及內(nèi)部解決方案開發(fā)開放的架構(gòu)。競爭：面臨短信通知、wap郵箱、outlook2003等產(chǎn)品的競爭。

38黑莓的特點(diǎn)黑莓的特點(diǎn)概括如下：38BES手機(jī)郵箱業(yè)務(wù)啟示錄行業(yè)信息無時(shí)無刻在您的手機(jī)端展現(xiàn)常用的辦公文檔經(jīng)過專利技術(shù)的轉(zhuǎn)換壓縮，在手機(jī)終端上獲得完美的展現(xiàn)效果

使手機(jī)成為您的移動(dòng)辦公室介紹資料PPT圖片新聞網(wǎng)頁HTML文件合同PDF財(cái)務(wù)報(bào)表Excel工作報(bào)告WordSSL加密通道財(cái)務(wù)報(bào)表Excel介紹資料PPT工作報(bào)告Word39BES手機(jī)郵箱業(yè)務(wù)啟示錄行業(yè)信息無時(shí)無刻在聯(lián)通“紅莓（Redberry）”業(yè)務(wù)中國聯(lián)通“紅莓（Redberry）”業(yè)務(wù)是基于聯(lián)通彩e技術(shù)平臺(tái)開發(fā)的，能幫助用戶實(shí)現(xiàn)手機(jī)對(duì)手機(jī)、手機(jī)對(duì)互聯(lián)網(wǎng)、互聯(lián)網(wǎng)對(duì)手機(jī)的郵件收發(fā)功能，為用戶提供PushMail服務(wù)功能。該業(yè)務(wù)支持文字、彩圖、音頻流、視頻流等多種文件格式，用戶通過手機(jī)便可輕松地發(fā)送和接收含5000字的正文郵件和100kByte的附件。通過“紅莓”業(yè)務(wù)，用戶不但可以接收彩e郵箱（）的郵件，還可以收取支持POP3協(xié)議的第三方郵箱的郵件。業(yè)務(wù)2006年4月3日推出。中國聯(lián)通“紅莓”業(yè)務(wù)推廣期的資費(fèi)政策（業(yè)務(wù)推廣時(shí)間到2006年12月31日）按照彩e資費(fèi)套餐執(zhí)行。具體資費(fèi)標(biāo)準(zhǔn)如下：標(biāo)準(zhǔn)套餐，郵箱費(fèi)5元／5M，發(fā)送0.3元／條，接收免費(fèi)；豪華套餐，郵箱費(fèi)10元／50M，發(fā)送0.1元／條，接收免費(fèi)；商務(wù)套餐，郵箱費(fèi)30元／200M，免費(fèi)發(fā)送100條，超出后按0.1元／條，接收免費(fèi)。40聯(lián)通“紅莓（Redberry）”業(yè)務(wù)中國聯(lián)通“紅莓（Redb移動(dòng)“黑莓”(Blackberry)計(jì)劃中國移動(dòng)于2006年5月17日世界電信日發(fā)布和加拿大RIM公司聯(lián)手在中國推出“黑莓”(Blackberry)移動(dòng)電子郵件服務(wù)的消息。與此同時(shí)，中國移動(dòng)還宣布推出了自有品牌的“手機(jī)郵箱”服務(wù)，該業(yè)務(wù)和“黑莓”服務(wù)相似，屬于加密郵件推送業(yè)務(wù)。中移動(dòng)的“手機(jī)郵箱”和“黑莓”服務(wù)都主要面對(duì)集團(tuán)客戶市場，主打中高端商務(wù)人士。41移動(dòng)“黑莓”(Blackberry)計(jì)劃中國移動(dòng)于2006年CFCA安全電子郵件系統(tǒng)結(jié)構(gòu)示意圖42CFCA安全電子郵件系統(tǒng)結(jié)構(gòu)示意圖42安全電子郵件的運(yùn)營策略全面的安全電子郵件服務(wù)：憑借現(xiàn)有的財(cái)力和技術(shù)力量，打造全面保護(hù)郵件系統(tǒng)的方案，將防病毒、反垃圾郵件、內(nèi)容過濾等多項(xiàng)安全功能集于一體，為用戶（尤其是企業(yè)用戶）郵件系統(tǒng)提供一站式的全面保護(hù)。將安全電子郵件提升到更高更全面的層次靈活的資費(fèi)策略：對(duì)個(gè)人用戶可以在試用期內(nèi)免費(fèi)使用（一般為一周到一個(gè)月），在使用初期（1－2月）設(shè)定較低的價(jià)格，然后采用正常的資費(fèi)標(biāo)準(zhǔn)。計(jì)費(fèi)方式上應(yīng)采用按使用數(shù)量和包月相結(jié)合的方法。對(duì)于企業(yè)政府類的集團(tuán)用戶，則可制定正常的產(chǎn)品（服務(wù)）價(jià)格，通過其使用量的多少用給予相應(yīng)的價(jià)格折扣、無償提供更多的服務(wù)等優(yōu)惠進(jìn)行鼓勵(lì)。加強(qiáng)宣傳：加強(qiáng)網(wǎng)絡(luò)安全必要性的宣傳，以提高網(wǎng)絡(luò)電子郵件用戶的安全意識(shí)。通過各種營銷手段（傳統(tǒng)營銷宣傳、網(wǎng)絡(luò)營銷、公共關(guān)系：與政府合作，配合政府的電子化進(jìn)程，促進(jìn)政府上網(wǎng)辦公）開展宣傳，并針對(duì)政府、企業(yè)等集團(tuán)用戶開通綠色專線服務(wù)，增強(qiáng)業(yè)務(wù)特色與競爭力。市場細(xì)分：要對(duì)市場進(jìn)行細(xì)分，對(duì)不同的細(xì)分市場使用不同的營銷策略，提供不同的服務(wù)和資費(fèi)。打造成熟的產(chǎn)業(yè)價(jià)值鏈：在開展業(yè)務(wù)的同時(shí)加強(qiáng)與設(shè)備商、軟件商、內(nèi)容提供商的合作，整合資源優(yōu)勢，打造成熟的產(chǎn)業(yè)價(jià)值鏈，只有使每個(gè)鏈條上的企業(yè)都有利可圖，才能調(diào)動(dòng)參與者的積極性使業(yè)務(wù)蓬勃發(fā)展起來。積極推進(jìn)網(wǎng)絡(luò)安全立法，關(guān)注相關(guān)法律法規(guī)的健全。43安全電子郵件的運(yùn)營策略全面的安全電子郵件服務(wù)：憑借現(xiàn)有的財(cái)力案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(1)網(wǎng)上招標(biāo)是指在公網(wǎng)上利用電子商務(wù)基礎(chǔ)平臺(tái)提供的安全通道進(jìn)行招標(biāo)項(xiàng)目中各種信息的傳遞和處理，包括招標(biāo)信息的公布、標(biāo)書的發(fā)放、應(yīng)標(biāo)書的收集、投標(biāo)結(jié)果的通知以及項(xiàng)目合同或協(xié)議的簽訂等完整的過程。網(wǎng)上招標(biāo)有公開招標(biāo)和邀請招標(biāo)兩種招標(biāo)方式，對(duì)招標(biāo)方提供發(fā)布招標(biāo)公告、發(fā)布招標(biāo)邀請、發(fā)布中標(biāo)信息、電子標(biāo)書管理、標(biāo)箱管理等功能；對(duì)投標(biāo)方提供招標(biāo)信息查詢、在線投標(biāo)、在線購買標(biāo)書等功能44案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(1)網(wǎng)上招標(biāo)是指在公網(wǎng)案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(2)身份確定？傳輸安全？抵賴？45案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(2)身份確定？45案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(3)招投標(biāo)雙方在CA中心獲得客戶端事務(wù)型證書，并在Web服務(wù)器上綁定服務(wù)器端證書，同時(shí)在服務(wù)器端和客戶端建立SSL通道。在網(wǎng)上招標(biāo)系統(tǒng)中設(shè)置Email服務(wù)器，并在Email服務(wù)器上設(shè)定專門的用戶帳號(hào)接收投標(biāo)機(jī)構(gòu)的附有標(biāo)書的安全電子郵件。投標(biāo)用戶將投標(biāo)書利用安全電子郵件（簽名/加密，S/MIME協(xié)議）發(fā)送給招標(biāo)方設(shè)定的郵箱中46案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(3)招投標(biāo)雙方在CA中SSL協(xié)議是建立兩臺(tái)計(jì)算機(jī)之間的安全連接通道的屬會(huì)話層的協(xié)議。在該通道上可透明加載任何高層應(yīng)用協(xié)議（如FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。認(rèn)證用戶和服務(wù)器，它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。要求服務(wù)器端安裝數(shù)字證書，客戶端可選。在涉及多方的電子交易中，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系；SSL協(xié)議有利于商家而不利于客戶，適合BTOB；47SSL協(xié)議是建立兩臺(tái)計(jì)算機(jī)之間的安全連接通道的屬會(huì)話層的協(xié)議SSL客戶機(jī)（瀏覽器）SSL服務(wù)器1、客戶機(jī)的招呼發(fā)出加密算法和密鑰長度4、服務(wù)器的響應(yīng)會(huì)話會(huì)話使用私有的公用密鑰在客戶機(jī)和服務(wù)器之間傳送保密數(shù)據(jù)發(fā)出含服務(wù)器公開密鑰的服務(wù)器證書2、服務(wù)器的招呼3、客戶機(jī)的響應(yīng)發(fā)出客戶機(jī)證書(可選）和加密的私有會(huì)話密鑰建立SSL會(huì)話48SSL客戶機(jī)（瀏覽器）SSL服務(wù)器1、客戶機(jī)的招呼發(fā)出加密算SET協(xié)議SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和防抵賴性。用到了對(duì)稱密鑰系統(tǒng)、公鑰系統(tǒng)、數(shù)字簽名、數(shù)字信封、雙重簽名、身份認(rèn)證等技術(shù)；消費(fèi)者、在線商店、支付網(wǎng)關(guān)都通過CA來驗(yàn)證通信主體的身份。對(duì)購物信息和支付信息采用雙重簽名，保證商戶看不到信用卡信息，銀行看不到購物信息；速度偏慢，但是進(jìn)行電子商務(wù)的最佳協(xié)議標(biāo)準(zhǔn)，主要適用于B-C模式；49SET協(xié)議SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份5050SET數(shù)據(jù)加密51SET數(shù)據(jù)加密51SET數(shù)據(jù)交換

52SET數(shù)據(jù)交換52公鑰基礎(chǔ)設(shè)施(PKI)（1）認(rèn)證機(jī)構(gòu)（2）證書庫（3）密鑰生成和管理系統(tǒng)（4）證書管理系統(tǒng)（5）PKI應(yīng)用接口系統(tǒng)53公鑰基礎(chǔ)設(shè)施(PKI)（1）認(rèn)證機(jī)構(gòu)53網(wǎng)絡(luò)信息安全與保密的威脅惡意攻擊安全缺陷軟件漏洞結(jié)構(gòu)隱患54網(wǎng)絡(luò)信息安全與保密的威脅惡意攻擊54信息系統(tǒng)安全層次模型55信息系統(tǒng)安全層次模型55一、二、三層：信息、軟件、網(wǎng)絡(luò)安全這三層是計(jì)算機(jī)信息系統(tǒng)安全的關(guān)鍵。包括：數(shù)據(jù)的加密解密（加密解密算法、密鑰管理）操作系統(tǒng)、應(yīng)用軟件的安全（用戶注冊、用戶權(quán)限（如：查詢權(quán)限、錄入權(quán)限、分析權(quán)限、管理權(quán)限)管理）數(shù)據(jù)庫安全（訪問控制、數(shù)據(jù)備份與管理、數(shù)據(jù)恢復(fù)）數(shù)據(jù)的完整性（RAID冗余磁盤陣列技術(shù)、負(fù)載均衡、HA高可用技術(shù)）網(wǎng)絡(luò)安全（對(duì)網(wǎng)絡(luò)傳輸信息進(jìn)行數(shù)據(jù)加密、認(rèn)證、數(shù)字簽名、訪問控制、網(wǎng)絡(luò)地址翻譯、防毒殺毒方案等，如防火墻技術(shù)、虛擬網(wǎng)VPN、秘密電子郵件PEM）病毒防范（硬件防范、軟件防范、管理方面的防范）56一、二、三層：信息、軟件、網(wǎng)絡(luò)安全這三層是計(jì)算機(jī)信息系統(tǒng)安全第四、五層：硬件系統(tǒng)的保護(hù)和物理實(shí)體的安全對(duì)自然災(zāi)害防范：防火、防水、防地震。如：建立備份中心防范計(jì)算機(jī)設(shè)備被盜：固定件、添加鎖、設(shè)置警鈴、購置柜機(jī)、系統(tǒng)外人員不得入內(nèi)等盡量減少對(duì)硬件的損害：不間斷電源、消除靜電、系統(tǒng)接地等57第四、五層：硬件系統(tǒng)的保護(hù)和物理實(shí)體的安全57第六層：管理制度的建立與實(shí)施包括運(yùn)行與維護(hù)的管理規(guī)范、系統(tǒng)保密管理的規(guī)章制度、安全管理人員的教育培訓(xùn)、制度的落實(shí)、職責(zé)的檢查等方面內(nèi)容。第七層：法律制度與道德規(guī)范要求國家制定出嚴(yán)密的法律、政策，規(guī)范和制約人們的思想和行為，將信息系統(tǒng)納入規(guī)范化、法制化和科學(xué)化的軌道。有關(guān)的條例有：《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、

《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等。58第六層：管理制度的建立與實(shí)施58防火墻一、防火墻（firewal1）的概念在被保護(hù)網(wǎng)絡(luò)和Internet之間，或者和其它網(wǎng)絡(luò)之間限制訪問的軟件和硬件的組合。它具有限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。它可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外部服務(wù)可由內(nèi)部人員訪問，即它能控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接入控制和審查跟蹤，是一種訪問控制機(jī)制。二、防火墻的安全策略“凡是未被準(zhǔn)許的就是禁止的”“凡是未被禁止的就是允許的”防火墻59防火墻一、防火墻（firewal1）的概念防火墻59防火墻技術(shù)的功能管理功能安全特性記錄報(bào)表功能防御功能60防火墻技術(shù)的功能管理功能安全特性記錄報(bào)表功能防御功能防火墻技術(shù)的功能支持病毒掃描提供內(nèi)容過濾能部分防御DOS攻擊阻止ActiveX、Java、等侵入防御功能支持轉(zhuǎn)發(fā)和跟蹤網(wǎng)絡(luò)間報(bào)文控制協(xié)議ICMP提供入侵實(shí)時(shí)警告提供實(shí)時(shí)入侵防范識(shí)別/記錄/防止企圖進(jìn)行IP地址欺騙安全特性61防火墻技術(shù)的功能支持病毒掃描防支持轉(zhuǎn)發(fā)和跟蹤網(wǎng)絡(luò)間報(bào)文控制協(xié)防火墻技術(shù)的功能管理功能通過集成策略集中管理多個(gè)防火墻應(yīng)提供基于時(shí)間的訪問控制應(yīng)支持簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)監(jiān)視和配置本地管理遠(yuǎn)程管理支持帶寬管理負(fù)載均衡特性失敗恢復(fù)特性62防火墻技術(shù)的功能管通過集成策略集中管理多個(gè)防火墻62防火墻技術(shù)的功能記錄報(bào)表防火墻處理完整日志的方法提供自動(dòng)日志掃描提供自動(dòng)報(bào)表、日志報(bào)告書寫器報(bào)警通知機(jī)制提供簡要報(bào)表提供實(shí)時(shí)統(tǒng)計(jì)列出獲得的國內(nèi)有關(guān)部門許可證類別及號(hào)碼63防火墻技術(shù)的功能記防火墻處理完整日志的方法63防火墻技術(shù)數(shù)據(jù)包過濾技術(shù)事先在防火墻內(nèi)設(shè)定好一個(gè)過濾邏輯，對(duì)于通過防火墻數(shù)據(jù)流中的每一個(gè)數(shù)據(jù)包，根據(jù)其源地址、目的地址、所用的TCP端口與TCP鏈路狀態(tài)等方面進(jìn)行檢查，再確定該數(shù)據(jù)包是否可以通過。這種防火墻一般安裝在路由器上。代理服務(wù)技術(shù)是一種基于代理服務(wù)器的防火墻技術(shù)，通過代理服務(wù)器和代理客戶兩個(gè)部件，使內(nèi)部網(wǎng)和外部網(wǎng)不存在直接的連接。同時(shí)提供注冊（log）和審計(jì)（audit）功能。64防火墻技術(shù)數(shù)據(jù)包過濾技術(shù)64包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。正是由于這種工作機(jī)制，包過濾防火墻存在以下缺陷：＊通信信息：包過濾防火墻只能訪問部分?jǐn)?shù)據(jù)包的頭信息；＊通信和應(yīng)用狀態(tài)信息：包過濾防火墻是無狀態(tài)的，所以它不可能保存來自于通信和應(yīng)用的狀態(tài)信息；＊信息處理：包過濾防火墻處理信息的能力是有限的。65包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定圖1包過濾防火墻工作原理圖66圖1包過濾防火墻工作原理圖66應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。應(yīng)用網(wǎng)關(guān)防火墻存在以下缺陷：＊連接限制：每一個(gè)服務(wù)需要自己的代理，所以可提供的服務(wù)數(shù)和可伸縮性受到限制；＊技術(shù)限制：應(yīng)用網(wǎng)關(guān)不能為UDP、RPC及普通協(xié)議族的其他服務(wù)提供代理；＊性能：應(yīng)用網(wǎng)關(guān)防火墻犧牲了一些系統(tǒng)性能。67應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢應(yīng)用網(wǎng)關(guān)防火墻工作原理圖68應(yīng)用網(wǎng)關(guān)防火墻工作原理圖68應(yīng)用代理型防火墻69應(yīng)用代理型防火墻69防火墻的基本類型包過濾型防火墻雙宿網(wǎng)關(guān)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻70防火墻的基本類型包過濾型防火墻70包過濾型防火墻包過濾型防火墻往往可以用一臺(tái)過濾路由器來實(shí)現(xiàn)，對(duì)所接收的每個(gè)數(shù)據(jù)包做允許或拒絕的決定。包過濾路由器型防火墻的優(yōu)點(diǎn)：處理包的速度要比代理服務(wù)器快；包過濾路由器型防火墻的缺點(diǎn)：防火墻的維護(hù)比較困難等過濾路由器Internet內(nèi)部網(wǎng)絡(luò)71包過濾型防火墻包過濾型防火墻往往可以用一臺(tái)過濾路由器來實(shí)現(xiàn)，雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。所以為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機(jī)應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。NIC代理服務(wù)器NICInternet內(nèi)部網(wǎng)絡(luò)72雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)相連接，而不讓它們直接與內(nèi)部主機(jī)相連。屏蔽主機(jī)防火墻包過濾路由器和堡壘主機(jī)組成。這個(gè)防火墻系統(tǒng)提供的安全等級(jí)比包過濾防火墻系統(tǒng)要高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。過濾路由器堡壘主機(jī)Internet內(nèi)部網(wǎng)絡(luò)73屏蔽主機(jī)防火墻屏蔽主機(jī)防火墻強(qiáng)迫所有的外部主機(jī)與一個(gè)堡壘主機(jī)屏蔽子網(wǎng)防火墻外部過濾路由器堡壘主機(jī)Internet內(nèi)部網(wǎng)絡(luò)內(nèi)部過濾路由器屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)。這個(gè)防火墻系統(tǒng)建立的是最安全的防火墻系統(tǒng)，因?yàn)樵诙x了“非軍事區(qū)”網(wǎng)絡(luò)后，它支持網(wǎng)絡(luò)層和應(yīng)用層安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)，信息服務(wù)器，Modem組，以及其它公用服務(wù)器放在“非軍事區(qū)”網(wǎng)絡(luò)中。74屏蔽子網(wǎng)防火墻外部堡壘主機(jī)Internet內(nèi)部網(wǎng)絡(luò)內(nèi)部屏蔽子虛擬專網(wǎng)（VPN）技術(shù)VPN是使分布在不同地方的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上實(shí)現(xiàn)安全通信的網(wǎng)絡(luò)技術(shù)。使用加密、信息和身份認(rèn)證、訪問控制等技術(shù)。VPN產(chǎn)品種類：帶VPN功能的路由器、軟件VPN系統(tǒng)、專用硬件VPN設(shè)備等內(nèi)部網(wǎng)虛擬專用網(wǎng)、遠(yuǎn)程訪問虛擬專用網(wǎng)、外部網(wǎng)虛擬專用網(wǎng)75虛擬專網(wǎng)（VPN）技術(shù)VPN是使分布在不同地方的專用網(wǎng)絡(luò)在不VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器專網(wǎng)3專網(wǎng)2專網(wǎng)1專網(wǎng)4隧道隧道隧道隧道VPN技術(shù)結(jié)構(gòu)76VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路由器VPN設(shè)備路黑客們攻擊的手段（1）中斷（攻擊系統(tǒng)的可用性）：破壞系統(tǒng)中的硬件、硬盤、線路、文件系統(tǒng)等，使系統(tǒng)不能正常工作；（2）竊聽（攻擊系統(tǒng)的機(jī)密性）：通過搭線與電磁泄漏等手段造成泄密，或?qū)I(yè)務(wù)流量進(jìn)行分析，獲取有用情報(bào)；（3）竄改（攻擊系統(tǒng)的完整性）：竄改系統(tǒng)中數(shù)據(jù)內(nèi)容，修正消息次序、時(shí)間（延時(shí)和重放）;(4)偽造(攻擊系統(tǒng)的真實(shí)性):將偽造的假消息注入系統(tǒng)\假冒合法人介入系統(tǒng)、重放截獲的合法消息實(shí)現(xiàn)非法目的,否認(rèn)消息的接入和發(fā)送等。黑客攻擊主要有以下幾種手段：捕獲（Phishing）、查卡（Carding）、即時(shí)消息轟炸（InstantMessageBombing）、郵包炸彈（E-mailBombing）、違反業(yè)務(wù)條款（Tossing）、“阻塞服務(wù)”手段等；77黑客們攻擊的手段（1）中斷（攻擊系統(tǒng)的可用性）：破壞系統(tǒng)中的入侵檢測技術(shù)入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)使用或其他異常現(xiàn)象的技術(shù)，是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。違反安全策略的行為有：入侵—非法用戶的違規(guī)行為；濫用—用戶的違規(guī)行為。系統(tǒng)遭到入侵有兩種情況

(1)非法用戶訪問他不應(yīng)該訪問的系統(tǒng)； (2)合法用戶訪問它不應(yīng)訪問的信息或者進(jìn)行未授權(quán)的操作。78入侵檢測技術(shù)入侵檢測技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置安全評(píng)估產(chǎn)品（1）基于單機(jī)系統(tǒng)的評(píng)估工具產(chǎn)品：SecurityToolkit、COPS、CA-Examine和ISS公司的SystemSecurityScanner等（2）基于客戶端的評(píng)估系統(tǒng)產(chǎn)品：IntrusionDetection公司的KaneSecurityAnalyst（KSA）等（3）網(wǎng)絡(luò)探測型產(chǎn)品：AXENT公司的NetRecon、ISS公司的InternetScanner、SATAN、NAI公司的采用CyberCopScanner等（4）管理者/代理型評(píng)估系統(tǒng)產(chǎn)品：AXENT公司的OmniGuard/EnterpriseSecurityManager（ESM）等79安全評(píng)估產(chǎn)品（1）基于單機(jī)系統(tǒng)的評(píng)估工具79安全評(píng)估產(chǎn)品的比較80安全評(píng)估產(chǎn)品的比較80在實(shí)施網(wǎng)絡(luò)安全防范措施時(shí)要考慮以下幾點(diǎn)：

加強(qiáng)主機(jī)本身的安全，做好安全配置，及時(shí)安裝安全補(bǔ)丁程序，減少漏洞；用各種系統(tǒng)漏洞檢測軟件定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行掃描分析，找出可能存在的安全隱患，并及時(shí)加以修補(bǔ)；從路由器到用戶各級(jí)建立完善的訪問控制措施，安裝防火墻，加強(qiáng)授權(quán)管理和認(rèn)證；利用RAID5等數(shù)據(jù)存儲(chǔ)技術(shù)加強(qiáng)數(shù)據(jù)備份和恢復(fù)措施；

對(duì)敏感的設(shè)備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施；

對(duì)在公共網(wǎng)絡(luò)上傳輸?shù)拿舾行畔⒁M(jìn)行數(shù)據(jù)加密；

安裝防病毒軟件，加強(qiáng)內(nèi)部網(wǎng)的整體防病毒措施；

建立詳細(xì)的安全審計(jì)日志，以便檢測并跟蹤入侵攻擊等81在實(shí)施網(wǎng)絡(luò)安全防范措施時(shí)要考慮以下幾點(diǎn)：81Internet網(wǎng)上銀行WEB服務(wù)器支付網(wǎng)關(guān)入侵檢測機(jī)網(wǎng)絡(luò)漏洞掃描機(jī)銀行數(shù)據(jù)通信網(wǎng)外部WEB服務(wù)器CA服務(wù)器網(wǎng)上銀行數(shù)據(jù)庫服務(wù)器客戶服務(wù)代表機(jī)內(nèi)部管理與維護(hù)機(jī)采用ISS公司的如下產(chǎn)品：InternetScannerSystemScannerRealSecure網(wǎng)上銀行安全檢測結(jié)構(gòu)圖82Internet網(wǎng)上銀行WEB服務(wù)器支付網(wǎng)關(guān)入侵檢測機(jī)網(wǎng)絡(luò)如何防范黑客下載最新的網(wǎng)絡(luò)安全軟件包并安裝在你的計(jì)算機(jī)上，確保你使用的是最新版的瀏覽器，防止別人利用軟件的BUG來進(jìn)行攻擊。確保你的密碼不易被人猜中，盡量采用數(shù)字與字符相混的口令，并且經(jīng)常更改你的口令。不要打開不名來歷的電子郵件，特別是用OUTLOOK收信的朋友。對(duì)于建局域網(wǎng)的企業(yè)，建議安裝防火墻軟件，屏蔽內(nèi)部IP。83如何防范黑客下載最新的網(wǎng)絡(luò)安全軟件包并安裝在你的計(jì)算機(jī)上，確其他安全與保密問題病毒及病毒防范數(shù)據(jù)庫安全與保密計(jì)算機(jī)軟硬件安全與保密物理安全與保密84其他安全與保密問題病毒及病毒防范84綜合網(wǎng)絡(luò)安全體系攻擊者

系統(tǒng)審計(jì)、分析-----入侵檢測-----實(shí)時(shí)響應(yīng)（警告、拒絕服務(wù)）弱點(diǎn)分析------------------------------檢測-----------------------漏洞修補(bǔ)系統(tǒng)第一道防線-----------------防止遠(yuǎn)程攻擊系統(tǒng)第二道防線--------防止內(nèi)部權(quán)限提升系統(tǒng)備份安全措施

各種層次服務(wù)的安全保證各種層次服務(wù)的安全保證系統(tǒng)的全方位防衛(wèi)示意圖85綜合網(wǎng)絡(luò)安全體系攻擊者系統(tǒng)審計(jì)、分析-----入侵中國信息安全產(chǎn)品測評(píng)認(rèn)證中心86中國信息安全產(chǎn)品測評(píng)認(rèn)證中心86案例：淘寶網(wǎng)的安全管理安全策略中心

賬戶安全策略交易安全策略資金安全策略隱私保護(hù)策略智能風(fēng)險(xiǎn)控制

87案例：淘寶網(wǎng)的安全管理安全策略中心賬戶安全策略87案例：淘寶網(wǎng)的安全產(chǎn)品88案例：淘寶網(wǎng)的安全產(chǎn)品88思考題思考B2B、B2C、C2C網(wǎng)站存在的安全問題及對(duì)應(yīng)防范措施。對(duì)淘寶網(wǎng)的安全服務(wù)進(jìn)行體驗(yàn)與學(xué)習(xí)89思考題思考B2B、B2C、C2C網(wǎng)站存在的安全問題及對(duì)應(yīng)防范電子商務(wù)的安全體系胡桃hutao666@90電子商務(wù)的安全體系胡桃hutao666@vip.sina教學(xué)目的：通過本節(jié)學(xué)習(xí)，使學(xué)生了解電子商務(wù)安全技術(shù)在專業(yè)課程學(xué)習(xí)中的位置體會(huì)電子商務(wù)安全的重要性了解常見的計(jì)算機(jī)安全問題掌握電子商務(wù)安全的基本概念，原理，技術(shù)及應(yīng)用教學(xué)要求掌握以下概念電子商務(wù)系統(tǒng)安全，系統(tǒng)硬件安全，軟件安全，運(yùn)行安全風(fēng)險(xiǎn)管理模型，安全策略，認(rèn)證，審計(jì)，訪問控制，日志信息的保密性，信息的完整性，信息的不可否認(rèn)性，交易者身份的真實(shí)性，系統(tǒng)的可靠性加密，解密，算法，密鑰，密鑰長度防火墻，對(duì)稱密鑰，非對(duì)稱密鑰（公鑰和私鑰），消息摘要，數(shù)字時(shí)間戳，數(shù)字簽名，認(rèn)證中心，數(shù)字證書S-HTTP,S/MIME,SSL,SET91教學(xué)目的：2理解和掌握以下原理風(fēng)險(xiǎn)管理模型分析原理加解密原理各種加密技術(shù)工作原理及其實(shí)現(xiàn)的信息安全性，包括防火墻，對(duì)稱密鑰，非對(duì)稱密鑰（公鑰和私鑰），消息摘要，數(shù)字時(shí)間戳，數(shù)字簽名，認(rèn)證中心，數(shù)字證書各種安全協(xié)議工作原理，包括S-HTTP,S/MIME,SSL,SET認(rèn)證中心的數(shù)形結(jié)構(gòu)理解和掌握以下應(yīng)用能用風(fēng)險(xiǎn)管理模型分析系統(tǒng)風(fēng)險(xiǎn)程度并制定合理安全策略申請、下載、安裝數(shù)字證書發(fā)送數(shù)字簽名郵件和加密郵件教學(xué)重點(diǎn)和難點(diǎn)各種加密技術(shù)工作原理數(shù)字證書的應(yīng)用應(yīng)用風(fēng)險(xiǎn)管理模型分析系統(tǒng)風(fēng)險(xiǎn)的方法各種安全協(xié)議工作原理92理解和掌握以下原理3電子商務(wù)的安全策略確保在因特網(wǎng)上用戶和商家的身份認(rèn)證保護(hù)因特網(wǎng)上的交易保護(hù)站點(diǎn)及企業(yè)網(wǎng)抵抗黑客的攻擊93電子商務(wù)的安全策略確保在因特網(wǎng)上用戶和商家的身份認(rèn)證4電子商務(wù)安全問題的類型物理安全問題網(wǎng)絡(luò)安全問題數(shù)據(jù)的安全性對(duì)交易不同方表現(xiàn)的不同安全問題網(wǎng)絡(luò)交易的風(fēng)險(xiǎn)源：信息風(fēng)險(xiǎn)（冒名偷竊、篡改數(shù)據(jù)、信息丟失）、信用風(fēng)險(xiǎn)、管理方面的風(fēng)險(xiǎn)、法律方面的風(fēng)險(xiǎn)94電子商務(wù)安全問題的類型物理安全問題網(wǎng)絡(luò)交易的風(fēng)險(xiǎn)源：信息風(fēng)險(xiǎn)買方面臨的安全威脅（1）虛假訂單：一個(gè)假冒者可能會(huì)以客戶的名字來訂購商品，而且有可能收到商品，而此時(shí)客戶卻被要求付款或返還商品。（2）付款后不能收到商品：在要求客戶付款后，銷售商中的內(nèi)部人員不將訂單和錢轉(zhuǎn)發(fā)給執(zhí)行部門，因而使客戶不能收到商品。（3）機(jī)密性喪失：客戶有可能將秘密的個(gè)人數(shù)據(jù)或自己的身份數(shù)據(jù)（如PIN，口令等）發(fā)送給冒充銷售商的機(jī)構(gòu)，這些信息也可能會(huì)在傳遞過程中被竊聽。（4）拒絕服務(wù)：攻擊者可能向銷售商的服務(wù)器發(fā)送大量的虛假定單來擠占它的資源，從而使合法用戶不能得到正常的服務(wù)。95買方面臨的安全威脅（1）虛假訂單：一個(gè)假冒者可能會(huì)以客戶的名賣方面臨的安全威脅96賣方面臨的安全威脅7解決電子商務(wù)安全問題的策略技術(shù)保障法律控制社會(huì)道德規(guī)范完善的管理政策的制度97解決電子商務(wù)安全問題的策略技術(shù)保障8安全電子交易的基本要求互聯(lián)網(wǎng)開放性成員多樣性位置分散性信息保密性信息完整性系統(tǒng)抗攻擊性消費(fèi)者隱私保護(hù)性抗抵賴性身份真實(shí)性推動(dòng)電子商務(wù)安全技術(shù)98安全電子交易的基本要求互聯(lián)網(wǎng)開放性信息信息系統(tǒng)抗消費(fèi)者抗抵賴安全認(rèn)證手段數(shù)字摘要、數(shù)字簽名、數(shù)字信封、CA體系…安全應(yīng)用協(xié)議SET、SSL、S/HTTP、S/MIME…基本加密算法非對(duì)稱密鑰加密、對(duì)稱密鑰加密、DES、RSA…電子商務(wù)業(yè)務(wù)系統(tǒng)電子商務(wù)支付系統(tǒng)電子商務(wù)安全交易體系99安全認(rèn)證手段安全應(yīng)用協(xié)議基本加密算法電子商務(wù)業(yè)務(wù)系統(tǒng)電子商務(wù)信息加密技術(shù)對(duì)稱密鑰加密體制(私鑰加密體制)非對(duì)稱密鑰加密體制(公鑰加密體制)100信息加密技術(shù)對(duì)稱密鑰加密體制(私鑰加密體制)11對(duì)稱密鑰加密體制是指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進(jìn)行加密和解密運(yùn)算，這時(shí)的密鑰稱為對(duì)稱密鑰。最典型的對(duì)稱密鑰加密算法：美國數(shù)據(jù)加密標(biāo)準(zhǔn)（DES：DataEncryptStandard）。優(yōu)點(diǎn)：加密速度快，適于大量數(shù)據(jù)的加密處理。缺點(diǎn)：密鑰需傳遞給接受方原信息：1101101100101001

加密信息0110000010010010

還原：密鑰：10111011101對(duì)稱密鑰加密體制是指發(fā)送和接收數(shù)據(jù)的雙方必須使用相同的密鑰進(jìn)非對(duì)稱密鑰加密體制信息加密和解密使用的是不同的兩個(gè)密鑰（稱為“密鑰對(duì)”，一個(gè)是公開密鑰，一個(gè)是私用密鑰）。如果用公開密鑰對(duì)數(shù)據(jù)進(jìn)行加密，則只有用對(duì)應(yīng)的私有密鑰才能解密；反之，若用私有密鑰對(duì)數(shù)據(jù)進(jìn)行加密，則須用相應(yīng)的公開密鑰才能解密。缺點(diǎn)：加密速度較慢代表性加密技術(shù)：RSA技術(shù)102非對(duì)稱密鑰加密體制信息加密和解密使用的是不同的兩個(gè)密鑰（稱為RSA的算法1)選取兩個(gè)足夠大的質(zhì)數(shù)P和Q；如：P=101，Q=1132)計(jì)算P和Q相乘所產(chǎn)生的乘積n=P×Q；如：n=114133)找出一個(gè)小于n的數(shù)e，使其符合與（P－1）×（Q－1）互為質(zhì)數(shù)；如：取e=35334)另找一個(gè)數(shù)d，使其滿足（e×d）mod[（P－1）×（Q－1）]＝1（其中mod為相除取余）；如：取d=65975)（n，e）即為公開密鑰；（n，d）即為私用密鑰；6)將明文X分組，X=X1X2…Xr（Xi<=n);7)加密：Yi=Xie（modn）,得密文Y=Y1Y2…Yr如：明文c=5761，密文m=92268)密文c＝me（modn）==》明文m＝cd（modn），即無論哪一個(gè)質(zhì)數(shù)先與原文加密，均可由另一個(gè)質(zhì)數(shù)解密。但要用一個(gè)質(zhì)數(shù)來求出另一個(gè)質(zhì)數(shù)，則是非常困難的。103RSA的算法1)選取兩個(gè)足夠大的質(zhì)數(shù)P和Q；如：P=10安全電子交易認(rèn)證技術(shù)數(shù)字摘要數(shù)字信封數(shù)字簽名數(shù)字時(shí)間戳數(shù)字證書生物統(tǒng)計(jì)學(xué)身份識(shí)別104安全電子交易認(rèn)證技術(shù)數(shù)字摘要15原信息發(fā)送端接收端數(shù)字摘要采用單向Hash函數(shù)對(duì)文件進(jìn)行變換運(yùn)算得到摘要碼，并把摘要碼和文件一同送給接收方，接收方接到文件后，用相同的方法對(duì)文件進(jìn)行變換計(jì)算，用得出的摘要碼與發(fā)送來的摘要碼進(jìn)行比較來斷定文件是否被篡改。摘要Hash函數(shù)加密摘要Hash函數(shù)加密對(duì)比原信息摘要internetinternet105原發(fā)送端接收端數(shù)字摘要采用單向Hash函數(shù)對(duì)文件進(jìn)行變換運(yùn)算數(shù)字信封發(fā)送方采用對(duì)稱密鑰加密信息，然后將此對(duì)稱密鑰用接收方的公開密鑰加密之后，將它和信息一起發(fā)送給接收方，接收方先用相應(yīng)的私有密鑰打開數(shù)字信封，得到對(duì)稱密鑰，然后使用對(duì)稱密鑰解開信息。安全性能高，保證只有規(guī)定的接收方才能閱讀信的內(nèi)容。發(fā)送端接收端原信息密文對(duì)稱密鑰加密internetinternet密文數(shù)字信封原信息對(duì)稱密鑰解密接收者公鑰加密數(shù)字信封對(duì)稱密鑰接收者私鑰解密對(duì)稱密鑰106數(shù)字信封發(fā)送方采用對(duì)稱密鑰加密信息，然后將此對(duì)稱密鑰用接收方發(fā)送端接收端原信息數(shù)字簽名用發(fā)送方的私有密鑰對(duì)數(shù)字摘要進(jìn)行加密得的數(shù)字簽名，因此數(shù)字簽名是只有信息的發(fā)送者才能產(chǎn)生而別人無法偽造的一段數(shù)字串，有確認(rèn)對(duì)方的身份，防抵賴的作用；接收方用發(fā)送方的公開密鑰對(duì)數(shù)字簽名進(jìn)行解密，用數(shù)字摘要原理保證信息的完整和防篡改性。摘要Hash函數(shù)加密數(shù)字簽名發(fā)送者私鑰加密internetinternet原信息數(shù)字簽名摘要摘要Hash函數(shù)加密發(fā)送者公鑰解密對(duì)比107發(fā)送端接收端原數(shù)字簽名用發(fā)送方的私有密鑰對(duì)數(shù)字摘要進(jìn)行加密得發(fā)送端第三方原信息數(shù)字時(shí)間戳數(shù)字時(shí)間戳技術(shù)就是對(duì)電子文件簽署的日期和時(shí)間進(jìn)行的安全性保護(hù)和有效證明的技術(shù)。它是由專門的認(rèn)證機(jī)構(gòu)來加的，并以認(rèn)證機(jī)構(gòu)收到文件的時(shí)間為依據(jù)。摘要Hash函數(shù)加密新摘要Hash函數(shù)加密第三方私鑰加密數(shù)字時(shí)間戳internet摘要摘要時(shí)間加時(shí)間internet數(shù)字時(shí)間戳摘要時(shí)間108發(fā)送端第三方原數(shù)字時(shí)間戳數(shù)字時(shí)間戳技術(shù)就是對(duì)電子文件簽署的日數(shù)字證書（digitalID）所謂數(shù)字證書，就是用電子手段來證實(shí)一個(gè)用戶的身份及用戶對(duì)網(wǎng)絡(luò)資源的訪問的權(quán)限；CCITTX.509國際標(biāo)準(zhǔn)（數(shù)字證書必須包含以下幾點(diǎn)：證書的版本號(hào)；數(shù)字證書的序列號(hào)；證書擁有者的姓名；證書擁有者的公開密鑰；公開密鑰的有效期；簽名算法；頒發(fā)數(shù)字證書的單位；頒發(fā)數(shù)字證書單位的數(shù)字簽名）；一般數(shù)字證書類型：客戶證書、商家證書、網(wǎng)關(guān)證書、CA系統(tǒng)證書。109數(shù)字證書（digitalID）所謂數(shù)字證書，就是用電子手段1102111122生物統(tǒng)計(jì)學(xué)身份識(shí)別生物統(tǒng)計(jì)學(xué)技術(shù)包指紋。隔膜和視網(wǎng)膜掃描，字體的分析也是一中常用的生物統(tǒng)計(jì)學(xué)識(shí)別方法。由于已經(jīng)開始顯示出有前途，聲音和手紋辯認(rèn)也會(huì)成為未來的技術(shù)選擇。未來安全電子交易中常見的將是使用多種技術(shù)來識(shí)別用戶。指紋掃描和聲音識(shí)別會(huì)比只使用一種技術(shù)更可靠。需用高價(jià)位計(jì)算機(jī)來才能支持大量用戶的環(huán)境。112生物統(tǒng)計(jì)學(xué)身份識(shí)別生物統(tǒng)計(jì)學(xué)技術(shù)包指紋。隔膜和視網(wǎng)膜掃描，字指紋認(rèn)證虹膜認(rèn)證113指紋認(rèn)證虹24步態(tài)識(shí)別認(rèn)證手工簽名認(rèn)證114步手25生物認(rèn)證技術(shù)手工簽名認(rèn)證115生物認(rèn)證技術(shù)手26認(rèn)證中心CA116認(rèn)證中心CA27認(rèn)證中心CA117認(rèn)證中心CA28CFCA的功能1、證書的申請離線申請方式在線申請方式2．證書的審批離線審核方式在線審核方式3．證書的發(fā)放離線方式發(fā)放在線方式發(fā)放4．證書的歸檔5．證書的撤銷6．證書的更新人工密鑰更新自動(dòng)密鑰更新

7．證書廢止列表的管理功能(CRL)證書廢止原因編碼CRL的產(chǎn)生及其發(fā)布企業(yè)證書及CRL的在線服務(wù)功能

8．CA的管理功能9．CA自身密鑰的管理功能118CFCA的功能1、證書的申請6．證書的更新29安全認(rèn)證協(xié)議安全超文本傳輸協(xié)議（S-HTTP）電子郵件安全S-MIME協(xié)議安全套接層SSL（SecureSocketsLayer）協(xié)議安全電子交易SET（SecureElectronicTransaction）協(xié)議119安全認(rèn)證協(xié)議安全超文本傳輸協(xié)議（S-HTTP）30S-HTTP協(xié)議能保證Web信息站點(diǎn)上信息的安全，是應(yīng)用層的協(xié)議。用對(duì)稱密鑰、消息摘要、公開密鑰加密等來實(shí)現(xiàn)建立一個(gè)安全會(huì)話。頁面的URL為https://開始。S-MIME協(xié)議依靠密鑰對(duì)保證電子郵件的安全傳輸?shù)膮f(xié)議。提供發(fā)送方身份識(shí)別、信息的完整性、信息傳遞過程的機(jī)密性等安全功能；設(shè)計(jì)成模塊，加裝在電子郵件軟件中（如：IE、Netscape）要求申請電子郵件數(shù)字證書，發(fā)保密郵件要求有對(duì)方的公鑰。120S-HTTP協(xié)議S-MIME協(xié)議31安全電子郵件安全電子郵件：就是采用了數(shù)字證書認(rèn)證（郵件密鑰和數(shù)字簽名）技術(shù)（如PKI/CA技術(shù)），為企業(yè)用戶和個(gè)人用戶提供可以確保電子郵件的保密性、完整性和不可否認(rèn)性的郵件服務(wù)。國外大部分運(yùn)營商都在提供安全電子郵件業(yè)務(wù)，如AT&T、BT、KT、Verizon、MCI、JT等。目前國外運(yùn)營商開展的安全電子郵件業(yè)務(wù)的主要功能有：數(shù)據(jù)加密和數(shù)字簽名、防病毒、反垃圾郵件、內(nèi)容過濾、冗余檢驗(yàn)、容錯(cuò)支持等安全功能。并根據(jù)不同的使用者進(jìn)行業(yè)務(wù)的區(qū)別定位。分為個(gè)人用戶與企業(yè)集團(tuán)用戶。對(duì)企業(yè)用戶側(cè)重安全便捷的系統(tǒng)提供；對(duì)于個(gè)人用戶側(cè)重引導(dǎo)和宣傳等。121安全電子郵件安全電子郵件：就是采用了數(shù)字證書認(rèn)證（郵件密鑰和安全電子郵件122安全電子郵件33中國電信----安全電子郵件目標(biāo)用戶：電子商務(wù)經(jīng)營者，尤其是對(duì)安全認(rèn)證有特殊需求的用戶，包括政府、企業(yè)、個(gè)人策略：

針對(duì)個(gè)人用戶的數(shù)字應(yīng)用業(yè)務(wù)，安全信箱針對(duì)企業(yè)用戶的，e企郵之“安全的郵件服務(wù)”（上海電信數(shù)據(jù)中心）針對(duì)政府的，“安全政務(wù)”（浙江電信有限公司）123中國電信----安全電子郵件目標(biāo)用戶：34安全電子郵件系統(tǒng)的軟件結(jié)構(gòu)安全電子郵件系統(tǒng)有B/S結(jié)構(gòu)和C/S結(jié)構(gòu)兩種，都基于數(shù)字證書完成對(duì)郵件內(nèi)容的加密/解密、數(shù)字簽名/驗(yàn)證。B/S結(jié)構(gòu)的安全電子郵件系統(tǒng)，在WEBMail的基礎(chǔ)上，通過基于IE瀏覽器的安全插件完成對(duì)郵件關(guān)鍵信息的加解密。C/S結(jié)構(gòu)的安全電子郵件系統(tǒng)，通過安全郵件客戶端完成對(duì)郵件內(nèi)容的加解密。124安全電子郵件系統(tǒng)的軟件結(jié)構(gòu)安全電子郵件系統(tǒng)有B/S結(jié)構(gòu)和C/中國電信采用GCMail安全電子郵件系統(tǒng)125中國電信采用GCMail安全電子郵件系統(tǒng)36黑莓概念黑莓，由RIM公司提出的移動(dòng)電子郵件，具有獨(dú)特PushMail概念，可將新的電子如短信一樣在后臺(tái)主動(dòng)推送到移動(dòng)終端上。黑莓其實(shí)是一套系統(tǒng)，包括移動(dòng)終端、移動(dòng)終端客戶端軟件、企業(yè)端服務(wù)器、運(yùn)營商局端移動(dòng)郵件網(wǎng)關(guān)等設(shè)備與軟件。它使用私鑰tripleDES加密處理，一個(gè)密鑰存儲(chǔ)在企業(yè)防火墻后面，一個(gè)匹配的密鑰存儲(chǔ)在終端設(shè)備上，加密的數(shù)據(jù)穿過防火墻后，只能在終端上被解密，對(duì)于收發(fā)企業(yè)郵件相當(dāng)安全。黑莓集成的無線接入能力可以讓用戶獲得對(duì)各種商業(yè)應(yīng)用內(nèi)容的訪問，包括電子郵件、電話、企業(yè)數(shù)據(jù)、網(wǎng)絡(luò)、短信息服務(wù)及管理應(yīng)用軟件。黑莓目前在美國、加拿大地區(qū)相當(dāng)流行，它將軟件客戶端結(jié)合在移動(dòng)電話、PDA及其他通信終端上，用戶可以通過其無線裝置來安全地訪問電子郵件、企業(yè)數(shù)據(jù)、Web以及進(jìn)行企業(yè)內(nèi)部的語音通話。126黑莓概念黑莓，由RIM公司提出的移動(dòng)電子郵件，具有獨(dú)特Pus黑莓的特點(diǎn)黑莓的特點(diǎn)概括如下：1可以對(duì)企業(yè)無線信息環(huán)境進(jìn)行安全的無限擴(kuò)展；2利用上推下拉技術(shù)來實(shí)現(xiàn)對(duì)企業(yè)數(shù)據(jù)的無線安全訪問；3能夠和企業(yè)現(xiàn)有的服務(wù)器系統(tǒng)有機(jī)集成；4管理簡便，并且可以對(duì)無線網(wǎng)絡(luò)進(jìn)行中央控制；5支持多種無線網(wǎng)絡(luò)和無線設(shè)備；6具有可在全球部署的能力；7自動(dòng)化的桌面軟件配置；8提供集成了電話、電子郵件、企業(yè)數(shù)據(jù)、瀏覽器、SMS以及組織應(yīng)用程序功能的高級(jí)無線手持設(shè)備；9功能強(qiáng)大的開發(fā)環(huán)境，同時(shí)具有對(duì)第三方以及內(nèi)部解決方案開發(fā)開放的架構(gòu)。競爭：面臨短信通知、wap郵箱、outlook2003等產(chǎn)品的競爭。

127黑莓的特點(diǎn)黑莓的特點(diǎn)概括如下：38BES手機(jī)郵箱業(yè)務(wù)啟示錄行業(yè)信息無時(shí)無刻在您的手機(jī)端展現(xiàn)常用的辦公文檔經(jīng)過專利技術(shù)的轉(zhuǎn)換壓縮，在手機(jī)終端上獲得完美的展現(xiàn)效果

使手機(jī)成為您的移動(dòng)辦公室介紹資料PPT圖片新聞網(wǎng)頁HTML文件合同PDF財(cái)務(wù)報(bào)表Excel工作報(bào)告WordSSL加密通道財(cái)務(wù)報(bào)表Excel介紹資料PPT工作報(bào)告Word128BES手機(jī)郵箱業(yè)務(wù)啟示錄行業(yè)信息無時(shí)無刻在聯(lián)通“紅莓（Redberry）”業(yè)務(wù)中國聯(lián)通“紅莓（Redberry）”業(yè)務(wù)是基于聯(lián)通彩e技術(shù)平臺(tái)開發(fā)的，能幫助用戶實(shí)現(xiàn)手機(jī)對(duì)手機(jī)、手機(jī)對(duì)互聯(lián)網(wǎng)、互聯(lián)網(wǎng)對(duì)手機(jī)的郵件收發(fā)功能，為用戶提供PushMail服務(wù)功能。該業(yè)務(wù)支持文字、彩圖、音頻流、視頻流等多種文件格式，用戶通過手機(jī)便可輕松地發(fā)送和接收含5000字的正文郵件和100kByte的附件。通過“紅莓”業(yè)務(wù)，用戶不但可以接收彩e郵箱（）的郵件，還可以收取支持POP3協(xié)議的第三方郵箱的郵件。業(yè)務(wù)2006年4月3日推出。中國聯(lián)通“紅莓”業(yè)務(wù)推廣期的資費(fèi)政策（業(yè)務(wù)推廣時(shí)間到2006年12月31日）按照彩e資費(fèi)套餐執(zhí)行。具體資費(fèi)標(biāo)準(zhǔn)如下：標(biāo)準(zhǔn)套餐，郵箱費(fèi)5元／5M，發(fā)送0.3元／條，接收免費(fèi)；豪華套餐，郵箱費(fèi)10元／50M，發(fā)送0.1元／條，接收免費(fèi)；商務(wù)套餐，郵箱費(fèi)30元／200M，免費(fèi)發(fā)送100條，超出后按0.1元／條，接收免費(fèi)。129聯(lián)通“紅莓（Redberry）”業(yè)務(wù)中國聯(lián)通“紅莓（Redb移動(dòng)“黑莓”(Blackberry)計(jì)劃中國移動(dòng)于2006年5月17日世界電信日發(fā)布和加拿大RIM公司聯(lián)手在中國推出“黑莓”(Blackberry)移動(dòng)電子郵件服務(wù)的消息。與此同時(shí)，中國移動(dòng)還宣布推出了自有品牌的“手機(jī)郵箱”服務(wù)，該業(yè)務(wù)和“黑莓”服務(wù)相似，屬于加密郵件推送業(yè)務(wù)。中移動(dòng)的“手機(jī)郵箱”和“黑莓”服務(wù)都主要面對(duì)集團(tuán)客戶市場，主打中高端商務(wù)人士。130移動(dòng)“黑莓”(Blackberry)計(jì)劃中國移動(dòng)于2006年CFCA安全電子郵件系統(tǒng)結(jié)構(gòu)示意圖131CFCA安全電子郵件系統(tǒng)結(jié)構(gòu)示意圖42安全電子郵件的運(yùn)營策略全面的安全電子郵件服務(wù)：憑借現(xiàn)有的財(cái)力和技術(shù)力量，打造全面保護(hù)郵件系統(tǒng)的方案，將防病毒、反垃圾郵件、內(nèi)容過濾等多項(xiàng)安全功能集于一體，為用戶（尤其是企業(yè)用戶）郵件系統(tǒng)提供一站式的全面保護(hù)。將安全電子郵件提升到更高更全面的層次靈活的資費(fèi)策略：對(duì)個(gè)人用戶可以在試用期內(nèi)免費(fèi)使用（一般為一周到一個(gè)月），在使用初期（1－2月）設(shè)定較低的價(jià)格，然后采用正常的資費(fèi)標(biāo)準(zhǔn)。計(jì)費(fèi)方式上應(yīng)采用按使用數(shù)量和包月相結(jié)合的方法。對(duì)于企業(yè)政府類的集團(tuán)用戶，則可制定正常的產(chǎn)品（服務(wù)）價(jià)格，通過其使用量的多少用給予相應(yīng)的價(jià)格折扣、無償提供更多的服務(wù)等優(yōu)惠進(jìn)行鼓勵(lì)。加強(qiáng)宣傳：加強(qiáng)網(wǎng)絡(luò)安全必要性的宣傳，以提高網(wǎng)絡(luò)電子郵件用戶的安全意識(shí)。通過各種營銷手段（傳統(tǒng)營銷宣傳、網(wǎng)絡(luò)營銷、公共關(guān)系：與政府合作，配合政府的電子化進(jìn)程，促進(jìn)政府上網(wǎng)辦公）開展宣傳，并針對(duì)政府、企業(yè)等集團(tuán)用戶開通綠色專線服務(wù)，增強(qiáng)業(yè)務(wù)特色與競爭力。市場細(xì)分：要對(duì)市場進(jìn)行細(xì)分，對(duì)不同的細(xì)分市場使用不同的營銷策略，提供不同的服務(wù)和資費(fèi)。打造成熟的產(chǎn)業(yè)價(jià)值鏈：在開展業(yè)務(wù)的同時(shí)加強(qiáng)與設(shè)備商、軟件商、內(nèi)容提供商的合作，整合資源優(yōu)勢，打造成熟的產(chǎn)業(yè)價(jià)值鏈，只有使每個(gè)鏈條上的企業(yè)都有利可圖，才能調(diào)動(dòng)參與者的積極性使業(yè)務(wù)蓬勃發(fā)展起來。積極推進(jìn)網(wǎng)絡(luò)安全立法，關(guān)注相關(guān)法律法規(guī)的健全。132安全電子郵件的運(yùn)營策略全面的安全電子郵件服務(wù)：憑借現(xiàn)有的財(cái)力案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(1)網(wǎng)上招標(biāo)是指在公網(wǎng)上利用電子商務(wù)基礎(chǔ)平臺(tái)提供的安全通道進(jìn)行招標(biāo)項(xiàng)目中各種信息的傳遞和處理，包括招標(biāo)信息的公布、標(biāo)書的發(fā)放、應(yīng)標(biāo)書的收集、投標(biāo)結(jié)果的通知以及項(xiàng)目合同或協(xié)議的簽訂等完整的過程。網(wǎng)上招標(biāo)有公開招標(biāo)和邀請招標(biāo)兩種招標(biāo)方式，對(duì)招標(biāo)方提供發(fā)布招標(biāo)公告、發(fā)布招標(biāo)邀請、發(fā)布中標(biāo)信息、電子標(biāo)書管理、標(biāo)箱管理等功能；對(duì)投標(biāo)方提供招標(biāo)信息查詢、在線投標(biāo)、在線購買標(biāo)書等功能133案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(1)網(wǎng)上招標(biāo)是指在公網(wǎng)案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(2)身份確定？傳輸安全？抵賴？134案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(2)身份確定？45案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(3)招投標(biāo)雙方在CA中心獲得客戶端事務(wù)型證書，并在Web服務(wù)器上綁定服務(wù)器端證書，同時(shí)在服務(wù)器端和客戶端建立SSL通道。在網(wǎng)上招標(biāo)系統(tǒng)中設(shè)置Email服務(wù)器，并在Email服務(wù)器上設(shè)定專門的用戶帳號(hào)接收投標(biāo)機(jī)構(gòu)的附有標(biāo)書的安全電子郵件。投標(biāo)用戶將投標(biāo)書利用安全電子郵件（簽名/加密，S/MIME協(xié)議）發(fā)送給招標(biāo)方設(shè)定的郵箱中135案例：數(shù)字證書在網(wǎng)上招標(biāo)系統(tǒng)中的應(yīng)用(3)招投標(biāo)雙方在CA中SSL協(xié)議是建立兩臺(tái)計(jì)算機(jī)之間的安全連接通道的屬會(huì)話層的協(xié)議。在該通道上可透明加載任何高層應(yīng)用協(xié)議（如FTP、TELNET等）以保證應(yīng)用層數(shù)據(jù)傳輸?shù)陌踩?。認(rèn)證用戶和服務(wù)器，它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和服務(wù)器上。加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。要求服務(wù)器端安裝數(shù)字證書，客戶端可選。在涉及多方的電子交易中，SSL協(xié)議并不能協(xié)調(diào)各方間的安全傳輸和信任關(guān)系；SSL協(xié)議有利于商家而不利于客戶，適合BTOB；136SSL協(xié)議是建立兩臺(tái)計(jì)算機(jī)之間的安全連接通道的屬會(huì)話層的協(xié)議SSL客戶機(jī)（瀏覽器）SSL服務(wù)器1、客戶機(jī)的招呼發(fā)出加密算法和密鑰長度4、服務(wù)器的響應(yīng)會(huì)話會(huì)話使用私有的公用密鑰在客戶機(jī)和服務(wù)器之間傳送保密數(shù)據(jù)發(fā)出含服務(wù)器公開密鑰的服務(wù)器證書2、服務(wù)器的招呼3、客戶機(jī)的響應(yīng)發(fā)出客戶機(jī)證書(可選）和加密的私有會(huì)話密鑰建立SSL會(huì)話137SSL客戶機(jī)（瀏覽器）SSL服務(wù)器1、客戶機(jī)的招呼發(fā)出加密算SET協(xié)議SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和防抵賴性。用到了對(duì)稱密鑰系統(tǒng)、公鑰系統(tǒng)、數(shù)字簽名、數(shù)字信封、雙重簽名、身份認(rèn)證等技術(shù)；消費(fèi)者、在線商店、支付網(wǎng)關(guān)都通過CA來驗(yàn)證通信主體的身份。對(duì)購物信息和支付信息采用雙重簽名，保證商戶看不到信用卡信息，銀行看不到購物信息；速度偏慢，但是進(jìn)行電子商務(wù)的最佳協(xié)議標(biāo)準(zhǔn)，主要適用于B-C模式；138SET協(xié)議SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份13950SET數(shù)據(jù)加密140SET數(shù)據(jù)加密51SET數(shù)據(jù)交換

141SET數(shù)據(jù)交換52公鑰基礎(chǔ)設(shè)施(PKI)（1）認(rèn)證機(jī)構(gòu)（2）證書庫（3）密鑰生成和管理系統(tǒng)（4）證書管理系統(tǒng)（5）PKI應(yīng)用接口系統(tǒng)142公鑰基礎(chǔ)設(shè)施(PKI)（1）認(rèn)證機(jī)構(gòu)53網(wǎng)絡(luò)信息安全與保密的威脅惡意攻擊安全缺陷軟件漏洞結(jié)構(gòu)隱患143網(wǎng)絡(luò)信息安全與保密的威脅惡意攻擊54信息系統(tǒng)安全層次模型144信息系統(tǒng)安全層次模型55一、二、三層：信息、軟件、網(wǎng)絡(luò)安全這三層是計(jì)算機(jī)信息系統(tǒng)安全的關(guān)鍵。包括：數(shù)據(jù)的加密解密（加密解密算法、密鑰管理）操作系統(tǒng)、應(yīng)用軟件的安全（用戶注冊、用戶權(quán)限（如：查詢權(quán)限、錄入權(quán)限、分析權(quán)限、管理權(quán)限)管理）數(shù)據(jù)庫安全（訪問控制、數(shù)據(jù)備份與管理、數(shù)據(jù)恢復(fù)）數(shù)據(jù)的完整性（RAID冗余磁盤陣列技術(shù)、負(fù)載均衡、HA高可用技術(shù)）網(wǎng)絡(luò)安全（對(duì)網(wǎng)絡(luò)傳輸信息進(jìn)行數(shù)據(jù)加密、認(rèn)證、數(shù)字簽名、訪問控制、網(wǎng)絡(luò)地址翻譯、防毒殺毒方案等，如防火墻技術(shù)、虛擬網(wǎng)VPN、秘密電子郵件PEM）病毒防范（硬件防范、軟件防范、管理方面的防范）145一、二、三層：信息、軟件、網(wǎng)絡(luò)安全這三層是計(jì)算機(jī)信息系統(tǒng)安全第四、五層：硬件系統(tǒng)的保護(hù)和物理實(shí)體的安全對(duì)自然災(zāi)害防范：防火、防水、防地震。如：建立備份中心防范計(jì)算機(jī)設(shè)備被盜：固定件、添加鎖、設(shè)置警鈴、購置柜機(jī)、系統(tǒng)外人員不得入內(nèi)等盡量減少對(duì)硬件的損害：不間斷電源、消除靜電、系統(tǒng)接地等146第四、五層：硬件系統(tǒng)的保護(hù)和物理實(shí)體的安全57第六層：管理制度的建立與實(shí)施包括運(yùn)行與維護(hù)的管理規(guī)范、系統(tǒng)保密管理的規(guī)章制度、安全管理人員的教育培訓(xùn)、制度的落實(shí)、職責(zé)的檢查等方面內(nèi)容。第七層：法律制度與道德規(guī)范要求國家制定出嚴(yán)密的法律、政策，規(guī)范和制約人們的思想和行為，將信息系統(tǒng)納入規(guī)范化、法制化和科學(xué)化的軌道。有關(guān)的條例有：《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、

《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》等。147第六層：管理制度的建立與實(shí)施58防火墻一、防火墻（firewal1）的概念在被保護(hù)網(wǎng)絡(luò)和Internet之間，或者和其它網(wǎng)絡(luò)之間限制訪問的軟件和硬件的組合。它具有限制外界用戶對(duì)內(nèi)部網(wǎng)絡(luò)訪問及管理內(nèi)部用戶訪問外界網(wǎng)絡(luò)的權(quán)限。它可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外部服務(wù)可由內(nèi)部人員訪問，即它能控制網(wǎng)絡(luò)內(nèi)外的信息交流，提供接入控制和審查跟蹤，是一種訪問控制機(jī)制。二、防火墻的安全策略“凡是未被準(zhǔn)許的就是禁止的”“凡是未被禁止的就是允許的”防火墻148防火墻一、防火墻（firewal1）的概念防火墻59防火墻技術(shù)的功能管理功能安全特性記錄報(bào)表功能防御功能149防火墻技術(shù)的功能管理功能安全特性記錄報(bào)表功能防御功能防火墻技術(shù)的功能支持病毒掃描提供內(nèi)容過濾能部分防御DOS攻擊阻止ActiveX、Java、等侵入防御功能支持轉(zhuǎn)發(fā)和跟蹤網(wǎng)絡(luò)間報(bào)文控制協(xié)議ICMP提供入侵實(shí)時(shí)警告提供實(shí)時(shí)入侵防范識(shí)別/記錄/防止企圖進(jìn)行IP地址欺騙安全特性150防火墻技術(shù)的功能支持病毒掃描防支持轉(zhuǎn)發(fā)和跟蹤網(wǎng)絡(luò)間報(bào)文控制協(xié)防火墻技術(shù)的功能管理功能通過集成策略集中管理多個(gè)防火墻應(yīng)提供基于時(shí)間的訪問控制應(yīng)支持簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)監(jiān)視和配置本地管理遠(yuǎn)程管理支持帶寬管理負(fù)載均衡特性失敗恢復(fù)特性151防火墻技術(shù)的功能管通過集成策略集中管理多個(gè)防火墻62防火墻技術(shù)的功能記錄報(bào)表防火墻處理完整日志的方法提供自動(dòng)日志掃描提供自動(dòng)報(bào)表、日志報(bào)告書寫器報(bào)警通知機(jī)制提供簡要報(bào)表提供實(shí)時(shí)統(tǒng)計(jì)列出獲得的國內(nèi)有關(guān)部門許可證類別及號(hào)碼152防火墻技術(shù)的功能記防火墻處理完整日志的方法63防火墻技術(shù)數(shù)據(jù)包過濾技術(shù)事先在防火墻內(nèi)設(shè)定好一個(gè)過濾邏輯，對(duì)于通過防火墻數(shù)據(jù)流中的每一個(gè)數(shù)據(jù)包，根據(jù)其源地址、目的地址、所用的TCP端口與TCP鏈路狀態(tài)等方面進(jìn)行檢查，再確定該數(shù)據(jù)包是否可以通過。這種防火墻一般安裝在路由器上。代理服務(wù)技術(shù)是一種基于代理服務(wù)器的防火墻技術(shù)，通過代理服務(wù)器和代理客戶兩個(gè)部件，使內(nèi)部網(wǎng)和外部網(wǎng)不存在直接的連接。同時(shí)提供注冊（log）和審計(jì)（audit）功能。153防火墻技術(shù)數(shù)據(jù)包過濾技術(shù)64包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定義的內(nèi)容，如IP地址。包過濾防火墻的工作原理是：系統(tǒng)在網(wǎng)絡(luò)層檢查數(shù)據(jù)包，與應(yīng)用層無關(guān)。這樣系統(tǒng)就具有很好的傳輸性能，可擴(kuò)展能力強(qiáng)。但是，包過濾防火墻的安全性有一定的缺陷，因?yàn)橄到y(tǒng)對(duì)應(yīng)用層信息無感知，也就是說，防火墻不理解通信的內(nèi)容，所以可能被黑客所攻破。正是由于這種工作機(jī)制，包過濾防火墻存在以下缺陷：＊通信信息：包過濾防火墻只能訪問部分?jǐn)?shù)據(jù)包的頭信息；＊通信和應(yīng)用狀態(tài)信息：包過濾防火墻是無狀態(tài)的，所以它不可能保存來自于通信和應(yīng)用的狀態(tài)信息；＊信息處理：包過濾防火墻處理信息的能力是有限的。154包過濾防火墻包過濾防火墻一般在路由器上實(shí)現(xiàn)，用以過濾用戶定圖1包過濾防火墻工作原理圖155圖1包過濾防火墻工作原理圖66應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)／服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)／服務(wù)器通信需要兩個(gè)連接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加針對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。應(yīng)用網(wǎng)關(guān)防火墻存在以下缺陷：＊連接限制：每一個(gè)服務(wù)需要自己的代理，所以可提供的服務(wù)數(shù)和可伸縮性受到限制；＊技術(shù)限制：應(yīng)用網(wǎng)關(guān)不能為UDP、RPC及普通協(xié)議族的其他服務(wù)提供代理；＊性能：應(yīng)用網(wǎng)關(guān)防火墻犧牲了一些系統(tǒng)性能。156應(yīng)用網(wǎng)關(guān)防火墻應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢應(yīng)用網(wǎng)關(guān)防火墻工作原理圖157應(yīng)用網(wǎng)關(guān)防火墻工作原理圖68應(yīng)用代理型防火墻158應(yīng)用代理型防火墻69防火墻的基本類型包過濾型防火墻雙宿網(wǎng)關(guān)防火墻屏蔽主機(jī)防火墻屏蔽子網(wǎng)防火墻159防火墻的基本類型包過濾型防火墻70包過濾型防火墻包過濾型防火墻往往可以用一臺(tái)過濾路由器來實(shí)現(xiàn)，對(duì)所接收的每個(gè)數(shù)據(jù)包做允許或拒絕的決定。包過濾路由器型防火墻的優(yōu)點(diǎn)：處理包的速度要比代理服務(wù)器快；包過濾路由器型防火墻的缺點(diǎn)：防火墻的維護(hù)比較困難等過濾路由器Internet內(nèi)部網(wǎng)絡(luò)160包過濾型防火墻包過濾型防火墻往往可以用一臺(tái)過濾路由器來實(shí)現(xiàn)，雙宿網(wǎng)關(guān)防火墻雙宿網(wǎng)關(guān)是一種擁有兩個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻。兩個(gè)網(wǎng)絡(luò)之間的通信可通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。所以為了保證內(nèi)部網(wǎng)的安全，雙重宿主主機(jī)應(yīng)具有強(qiáng)大的身份認(rèn)證系統(tǒng)，才可以阻擋來自外部不可信網(wǎng)絡(luò)的非法登錄。NIC代理服務(wù)器NICInternet內(nèi)部網(wǎng)絡(luò)161