現(xiàn)代服務(wù)學(xué)第七章1214

現(xiàn)代服務(wù)系統(tǒng)的安全與保密第七章1網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注網(wǎng)絡(luò)病毒肆虐：

2001年日本東京國(guó)際機(jī)場(chǎng)航管失靈，影響巨大（紅色病毒、幾百架飛機(jī)無法起降、千人行程受阻）

2003年美國(guó)銀行的ATM網(wǎng)遭入侵，損失慘重（Slammer、幾十億美元）2005年CardSystem公司4000萬張卡用戶信息被盜（美國(guó)最大的竊密事件、植入特洛伊木馬、假冒消費(fèi)）2009年1月我國(guó)共截獲5.7萬余種病毒，其中新增病毒2.3萬余種，但多為已有病毒的變種。被感染計(jì)算機(jī)1975萬余臺(tái)。。。。。。。2網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注網(wǎng)絡(luò)攻擊事件層出不窮：2010年1月國(guó)家互聯(lián)網(wǎng)安全中心共收到網(wǎng)絡(luò)安全事件報(bào)告4757件，其中網(wǎng)站網(wǎng)頁被篡改事件為4611件，占所有網(wǎng)絡(luò)安全事件的97%。據(jù)信息產(chǎn)業(yè)部對(duì)互聯(lián)網(wǎng)國(guó)際出入口節(jié)點(diǎn)信息流抽樣監(jiān)測(cè)發(fā)現(xiàn)，我國(guó)大陸地區(qū)13.2萬余臺(tái)主機(jī)被植入木馬。國(guó)防科工委2011年1月監(jiān)測(cè)發(fā)現(xiàn)并成功防御了對(duì)國(guó)防科工委非涉密網(wǎng)絡(luò)系統(tǒng)的攻擊2.7萬余次。其中，高風(fēng)險(xiǎn)等級(jí)攻擊1.8萬余次。。。。。。。3非法侵入計(jì)算機(jī)信息系統(tǒng)罪

（刑法第285條，行為罪）

國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)破壞計(jì)算機(jī)信息系統(tǒng)罪

（刑法第286條，結(jié)果罪）

系統(tǒng)功能，數(shù)據(jù)程序，病毒利用計(jì)算機(jī)實(shí)施金融詐騙、盜竊、貪污、挪用公款、竊取國(guó)家秘密或者其他犯罪（刑法第287條）刑法4非法侵入計(jì)算機(jī)信息系統(tǒng)，造成危害的；非法改變計(jì)算機(jī)信息系統(tǒng)功能，造成計(jì)算機(jī)信息系統(tǒng)不能正常運(yùn)行的；非法改變計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)和應(yīng)用程序；故意制作、傳播計(jì)算機(jī)破壞性程序，影響計(jì)算機(jī)信息系統(tǒng)正常運(yùn)行的。5日以下拘留；情節(jié)較重的，5-10日拘留。治安管理處罰法5網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注流氓軟件五花八門：“流氓軟件”沒有明確的定義，通常認(rèn)為，是一種非正規(guī)軟件，它具有間諜、行為記錄、瀏覽器劫持、搜索引擎劫持、自動(dòng)發(fā)布廣告、自動(dòng)撥號(hào)、盜竊密碼等軟件功能。據(jù)美國(guó)聯(lián)邦貿(mào)易委員會(huì)(FTC)估計(jì)，每年大約1000萬美國(guó)人的個(gè)人信息被盜竊或?yàn)E用，個(gè)人信息失竊以及由此引發(fā)的相關(guān)欺詐活動(dòng)，給消費(fèi)者造成50億美元損失，使商業(yè)和金融機(jī)構(gòu)的損失高達(dá)480億元。信息網(wǎng)絡(luò)被入侵、信息被竊取的事件層出不窮。。。。。。6現(xiàn)代服務(wù)業(yè)的網(wǎng)絡(luò)安全問題？建立健全安全與保密系統(tǒng)7現(xiàn)代服務(wù)業(yè)政策、標(biāo)準(zhǔn)和示范工程現(xiàn)代服務(wù)的安全風(fēng)險(xiǎn)管理7.2.1安全風(fēng)險(xiǎn)來源7.2.2安全風(fēng)險(xiǎn)管理原理及方法7.2.3安全風(fēng)險(xiǎn)管理系統(tǒng)7.2現(xiàn)代服務(wù)系統(tǒng)安全概述7.1.1安全的概念和基本原理7.1.2國(guó)內(nèi)外現(xiàn)狀及存在的問題7.18現(xiàn)代服務(wù)業(yè)政策、標(biāo)準(zhǔn)和示范工程未來的發(fā)展方向7.4.1理論研究方面7.4.2實(shí)踐應(yīng)用方面7.4現(xiàn)代服務(wù)安全工程7.3.1概念和基本原理7.3.2安全和保密技術(shù)7.3.3安全和保密的基本結(jié)合7.397.1現(xiàn)代服務(wù)系統(tǒng)安全概述7.1.1安全的概念和基本原理2009年12月，美國(guó)花旗銀行被黑客入侵，竊取了上千萬美金，舉世為之震驚。不久前，一名只有16歲的中學(xué)生侵入某銀行的網(wǎng)絡(luò)系統(tǒng)，竊取了100萬人民幣。某人預(yù)存在支付寶賬戶中的資金被盜490元，無法立案查找。107.1.1安全的概念和基本原理據(jù)統(tǒng)計(jì)，目前國(guó)內(nèi)共有WWW的網(wǎng)站約有29萬左右，其中大部分缺乏可靠的安全措施。某些網(wǎng)站由于沒有防火墻等必要的安全設(shè)備，加上部分網(wǎng)管人員安全意識(shí)淡薄，以至于被同一種入侵方式入侵多次。從2000年初到現(xiàn)在，許多商務(wù)網(wǎng)站受到了黑客們不同層次的攻擊，這些網(wǎng)站包括eBay、eTrade、Yahoo等著名公司。據(jù)有關(guān)部門統(tǒng)計(jì)，目前只有不到一半的商務(wù)公司人們他們的安全措施是足夠的；來自系統(tǒng)內(nèi)部的攻擊行為在整個(gè)系統(tǒng)受到的攻擊中占到了70%以上。117.1.1安全的概念和基本原理服務(wù)系統(tǒng)的安全不僅僅是狹義上的網(wǎng)絡(luò)安全，比如防病毒、防黑客、入侵檢測(cè)等等，從廣義上講還包括信息的完整性以及交易雙方身份的不可抵賴性。從這種意義上說，服務(wù)系統(tǒng)的安全涵蓋面比一般的網(wǎng)絡(luò)安全要廣泛得多，從整體上可分為兩部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全，即信息安全。127.1.1安全的概念和基本原理服務(wù)系統(tǒng)安全的定義：服務(wù)系統(tǒng)的安全包括網(wǎng)絡(luò)安全和信息安全兩個(gè)部分，網(wǎng)絡(luò)安全就是要做到保障各種網(wǎng)絡(luò)資源穩(wěn)定、可靠地運(yùn)行及受控、合法地使用；所謂信息安全就是要保證數(shù)據(jù)的機(jī)密性、完整性、抗否認(rèn)性和可用性。書P114137.1.1安全的概念和基本原理

(1)人為的無意失誤：如操作員安全配置不當(dāng)造成的安全漏洞，用戶安全意識(shí)不強(qiáng)，用戶口令選擇不慎，用戶將自己的賬號(hào)隨意轉(zhuǎn)借他人或與別人共享等都會(huì)對(duì)分布信息服務(wù)安全帶來威脅。

(2)人為的惡意攻擊：這是分布信息服務(wù)所面臨的最大威脅，敵手的攻擊和計(jì)算機(jī)犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動(dòng)攻擊，它以各種方式有選擇地破壞信息的有效性和完整性，另一類是被動(dòng)攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。147.1.1安全的概念和基本原理

信息服務(wù)系統(tǒng)面臨的安全威脅又要有哪些？(3)網(wǎng)絡(luò)軟件的漏洞和“后門”：網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷和無漏洞，然而，這些漏洞和缺陷恰恰是黑客進(jìn)行攻擊的首選目標(biāo)。曾經(jīng)出現(xiàn)黑客攻入網(wǎng)絡(luò)內(nèi)部的事件，這些事件的大部分就是因?yàn)榘踩胧┎煌晟扑鶎?dǎo)致的。另外，軟件的“后門”都是軟件公司的設(shè)計(jì)編程人員為了自己方便而設(shè)置的，一般不為外人所知，但一旦“后門”洞開，其造成的后果將不堪設(shè)想。157.1.1安全的概念和基本原理（4）來自企業(yè)內(nèi)部的安全威脅很多資料表明，對(duì)企業(yè)信息系統(tǒng)的安全威脅有超過50%來自企業(yè)內(nèi)部，甚至有統(tǒng)計(jì)表明來自內(nèi)部的威脅達(dá)到了60%。這也更凸現(xiàn)了“管理”的重要性。企業(yè)內(nèi)部的安全威脅包括：安全意識(shí)淡漠缺乏相應(yīng)的安全制度商業(yè)間諜使用盜版軟件16現(xiàn)代服務(wù)系統(tǒng)安全的重要性現(xiàn)代服務(wù)業(yè)面對(duì)的最大的難題是交易信用的把握和交易安全性的全面降低，“信用與安全”問題是現(xiàn)代服務(wù)業(yè)發(fā)展的嚴(yán)重瓶頸。對(duì)于服務(wù)系統(tǒng)中的安全問題，IT業(yè)最初側(cè)重于從提升網(wǎng)絡(luò)運(yùn)行品質(zhì)、確保網(wǎng)絡(luò)安全著手，更多關(guān)注的是怎樣防范病毒和黑客的攻擊。隨著人們逐漸認(rèn)識(shí)到現(xiàn)代服務(wù)系統(tǒng)安全問題不僅僅是技術(shù)層面的問題，而是一整套預(yù)防、監(jiān)測(cè)和實(shí)際應(yīng)對(duì)措施的完整結(jié)合，是制度層面的問題。17現(xiàn)代服務(wù)系統(tǒng)安全的重要性如果不重視安全和保密問題，可能帶來的后果：對(duì)于企業(yè)來說：（1）影響服務(wù)質(zhì)量，信譽(yù)下降（2）商業(yè)機(jī)密被竊取，損失利潤(rùn)（3）面臨財(cái)務(wù)危機(jī)的風(fēng)險(xiǎn)對(duì)于消費(fèi)者來說（1）虛假交易（2）付款后收不到商品（3）個(gè)人信息的泄露187.1.2國(guó)內(nèi)外的研究現(xiàn)狀和存在問題研究現(xiàn)狀：當(dāng)前的研究工作重點(diǎn)只是局限于如果通過技術(shù)的改善來回避安全風(fēng)險(xiǎn)問題。這種研究思路治標(biāo)不治本。存在的問題：還沒有什么實(shí)際工作從商業(yè)角度、以傳統(tǒng)風(fēng)險(xiǎn)管理及風(fēng)險(xiǎn)回避為出發(fā)點(diǎn)來闡述安全與保密問題的研究，而從商業(yè)角度出發(fā)的安全與保密方法則是從根本上解決服務(wù)系統(tǒng)安全隱患的根本突進(jìn)。197.2現(xiàn)代服務(wù)的安全風(fēng)險(xiǎn)管理7.2.1安全風(fēng)險(xiǎn)的來源服務(wù)安全風(fēng)險(xiǎn)指的是由于專業(yè)技術(shù)團(tuán)體在提供技術(shù)服務(wù)過程中的過失，造成了建設(shè)方或依賴于這些技術(shù)服務(wù)的第三方的損失，對(duì)造成這種損失的技術(shù)服務(wù)團(tuán)體，除應(yīng)負(fù)合同的責(zé)任外，還需負(fù)相應(yīng)的法律責(zé)任。207.2現(xiàn)代服務(wù)的安全風(fēng)險(xiǎn)管理7.2.1安全風(fēng)險(xiǎn)的來源（1）合同風(fēng)險(xiǎn)（2）專業(yè)服務(wù)人員疏忽大意（3）專業(yè)團(tuán)體資質(zhì)欠佳217.2現(xiàn)代服務(wù)的安全風(fēng)險(xiǎn)管理7.2.1安全風(fēng)險(xiǎn)的來源（1）合同風(fēng)險(xiǎn)合同法所稱合同是:平等主體的自然人、法人、其他組織之間設(shè)立、變更、終止民事權(quán)利義務(wù)關(guān)系的協(xié)議。合同形式:一方要約，另一方承諾227.2現(xiàn)代服務(wù)的安全風(fēng)險(xiǎn)管理7.2.1安全風(fēng)險(xiǎn)的來源（1）合同風(fēng)險(xiǎn)什么是風(fēng)險(xiǎn)？風(fēng)險(xiǎn)就是遭受損失或傷害的機(jī)會(huì)或可能性表現(xiàn)在合同簽訂和合同履行兩階段237.2.1安全風(fēng)險(xiǎn)的來源（1）合同風(fēng)險(xiǎn)

合同訂立過程中的風(fēng)險(xiǎn)防范①、對(duì)對(duì)方簽約當(dāng)事人審查不嚴(yán)的風(fēng)險(xiǎn)②、混淆合同訂立、成立和生效概念③、對(duì)雙方權(quán)利義務(wù)約定不具體、詳盡④、所簽合同無效或可能被撤銷⑤、效力待定的合同

⑥、免責(zé)條款⑦、合同爭(zhēng)議的解決方式、適用法律和文本效力確定24認(rèn)清主體---自然人的行為能力：完全民事行為能力，限制民事行為能力，無行為能力---法人：經(jīng)營(yíng)范圍---如何審查身份證、營(yíng)業(yè)執(zhí)照對(duì)對(duì)方簽約當(dāng)事人審查不嚴(yán)的風(fēng)險(xiǎn)①對(duì)方?jīng)]有履約能力，造成合同不能履行，或?qū)Ψ绞杖∝浳锖蟾犊畈荒?，最終造成損失；②防范：對(duì)對(duì)方進(jìn)行盡職調(diào)查，如對(duì)方不具備能力，則應(yīng)：

A、在設(shè)計(jì)合同條款時(shí)，按其沒有能力考慮，在任何一個(gè)時(shí)點(diǎn)對(duì)方違約我方均能有效規(guī)避風(fēng)險(xiǎn)；

B、要求對(duì)方提供有效、足額擔(dān)保。25確認(rèn)合同簽章1、先蓋后蓋一樣嗎？蓋上蓋下一樣嗎（簽約地意義）2、簽約時(shí)間重要嗎？3、越權(quán)蓋章必然無效嗎？4、簽約人與落款人是否一致？5、公章名稱與企業(yè)名稱應(yīng)否一致？26正確選擇訂立合同的形式合同法規(guī)定:

當(dāng)事人訂立合同，有書面形式、口頭形式和其他形式。法律、行政法規(guī)規(guī)定采用書面形式的，應(yīng)當(dāng)采用書面形式。當(dāng)事人約定采用書面形式的，應(yīng)當(dāng)采用書面形式。

---書面形式的利與弊：傳真件的效力---口頭形式的利與弊---其他形式：公證/電子形式email---合同公證的效力27案例：電子合同糾紛案2001年3月31日，劉某在易趣交易平臺(tái)注冊(cè)，成為易趣網(wǎng)的用戶，由易趣網(wǎng)為劉某提供免費(fèi)的網(wǎng)絡(luò)交易平臺(tái)服務(wù)。2001年7月1日，易趣網(wǎng)開始向用戶收取網(wǎng)絡(luò)交易平臺(tái)使用費(fèi)，并于9月18日發(fā)布了新的《服務(wù)協(xié)議》供新老用戶確認(rèn)，該協(xié)議對(duì)用戶注冊(cè)程序、網(wǎng)上交易程序、收費(fèi)標(biāo)準(zhǔn)和方式及違約責(zé)任等作了具體的約定。此后，劉某確認(rèn)了易趣網(wǎng)的《服務(wù)協(xié)議》，并繼續(xù)使用易趣網(wǎng)的網(wǎng)絡(luò)交易平臺(tái)，但至2001年9月24日，劉某尚欠易趣網(wǎng)網(wǎng)絡(luò)平臺(tái)使用費(fèi)1330元，為此，易趣網(wǎng)訴至法院，要求劉某支付網(wǎng)絡(luò)平臺(tái)使用費(fèi)、賠償律師費(fèi)用。劉某則認(rèn)為，《服務(wù)協(xié)議》長(zhǎng)達(dá)67頁，過于冗長(zhǎng)，致使用戶不能閱讀全文，故用戶不應(yīng)受該協(xié)議的約束。28案例：電子合同糾紛案本案涉及的主要法律問題是如何確認(rèn)網(wǎng)絡(luò)服務(wù)合同的成立這一法律問題。易趣網(wǎng)單方提出的《服務(wù)協(xié)議》是否屬于網(wǎng)絡(luò)服務(wù)合同，它與傳統(tǒng)意義上的合同有何區(qū)別？易趣網(wǎng)的《服務(wù)協(xié)議》符合合同法中所規(guī)定的“書面合同”和“數(shù)據(jù)電文”的表現(xiàn)形式，故易趣網(wǎng)的《服務(wù)協(xié)議》符合我國(guó)法律規(guī)定的合同的要件形式，應(yīng)該當(dāng)做一種合同。

29案例：電子合同糾紛案

但本案的問題在于，這份《服務(wù)協(xié)議》系易趣網(wǎng)在平臺(tái)上單方公布的，它作為一種合同的形式和傳統(tǒng)意義上的合同顯然有著很大的區(qū)別，我國(guó)合同法的分則雖然規(guī)定了十余種特殊的合同形式，但是此類網(wǎng)絡(luò)合同的形式?jīng)]有明確規(guī)定。30案例：電子合同糾紛案我國(guó)合同法關(guān)于合同形式的規(guī)定，可以對(duì)合同的形式作這樣的理解，一是除即時(shí)結(jié)清的合同以外，一般須訂立書面合同；二是法律法規(guī)規(guī)定了必須采用書面形式的，應(yīng)當(dāng)采用書面合同；三是合同需經(jīng)雙方協(xié)商，且需有雙方簽名蓋章。而這些要求對(duì)網(wǎng)絡(luò)服務(wù)合同來說則是不可能的。為此，我國(guó)合同法又進(jìn)一步規(guī)定，書面合同可以是合同書、信件，也可以是數(shù)據(jù)電文，包括電報(bào)、電傳、傳真、電子數(shù)據(jù)交換和電子郵件等可以有效表現(xiàn)的形式。因此，作為一種特殊的合同形式，網(wǎng)絡(luò)服務(wù)合同具備了合同的特征。317.2.1安全風(fēng)險(xiǎn)的來源（1）合同風(fēng)險(xiǎn)

合同履行中的風(fēng)險(xiǎn)防范

①履行中履行證據(jù)的收集：---交貨如何證明？（傳真與簽收人，員工身份的確認(rèn)）---付款如何證明？（第三方付款或收款的特別聲明——最常見糾紛）327.2.1安全風(fēng)險(xiǎn)的來源（1）合同風(fēng)險(xiǎn)

合同履行中的風(fēng)險(xiǎn)防范②履行方式不當(dāng)?shù)娘L(fēng)險(xiǎn)

最典型的：債務(wù)人提前履行債務(wù)給債權(quán)人帶來損失。房屋貸款人提前向銀行還貸，屬于提前履行債務(wù)合同，應(yīng)彌補(bǔ)銀行一定的損失。

《合同法》第七十一條債權(quán)人可以拒絕債務(wù)人提前履行債務(wù)，但提前履行不損害債權(quán)人利益的除外。債務(wù)人提前履行債務(wù)給債權(quán)人增加的費(fèi)用，由債務(wù)人負(fù)擔(dān)。337.2.1安全風(fēng)險(xiǎn)的來源（1）合同風(fēng)險(xiǎn)

合同履行中的風(fēng)險(xiǎn)防范③無效合同的認(rèn)定合同法第52條規(guī)定：有下列情形之一的，合同無效：（一）一方以欺詐、脅迫的手段訂立合同，損害國(guó)家利益；（二）惡意串通，損害國(guó)家、集體或者第三人利益；（三）以合法形式掩蓋非法目的；（四）損害社會(huì)公共利益；（五）違反法律、行政法規(guī)的強(qiáng)制性規(guī)定。347.2.1安全風(fēng)險(xiǎn)的來源（1）合同風(fēng)險(xiǎn)

合同履行中的風(fēng)險(xiǎn)防范③無效合同的認(rèn)定合同無效的法律后果：（一）自始沒有法律約束力；（二）財(cái)產(chǎn)返還，不能返還的，應(yīng)作價(jià)補(bǔ)償；（三）有損失的，按過錯(cuò)責(zé)任大小承擔(dān)357.2現(xiàn)代服務(wù)的安全風(fēng)險(xiǎn)管理

7.2.1安全風(fēng)險(xiǎn)的來源（2）疏忽大意專業(yè)人員在提供專業(yè)服務(wù)時(shí)的疏忽大意是導(dǎo)致?lián)p失的一項(xiàng)重要風(fēng)險(xiǎn)源。應(yīng)指出的是，這類疏忽并非是一種故意或蓄意的行為，但往往會(huì)導(dǎo)致委托人或第三方遭受損失。疏忽主要指下面三種情況。一是疏忽行為，如所提供服務(wù)適應(yīng)于這件事卻干了另一件事；二是錯(cuò)誤，在計(jì)算或制圖時(shí)發(fā)生錯(cuò)誤，違反了法規(guī)或合同等；三是遺漏，漏了某些服務(wù)內(nèi)容或?qū)δ承┓?wù)細(xì)節(jié)未加考慮。367.2現(xiàn)代服務(wù)的安全風(fēng)險(xiǎn)管理

7.2.1安全風(fēng)險(xiǎn)的來源（3）專業(yè)團(tuán)體資質(zhì)欠佳某些專業(yè)技術(shù)團(tuán)體并不具備提供某項(xiàng)技術(shù)服務(wù)的資格，例如缺乏某項(xiàng)服務(wù)的人才資源，或缺少相關(guān)服務(wù)的經(jīng)驗(yàn)等，因而在捉供服務(wù)時(shí)，不能提供高質(zhì)量的服務(wù)而造成損失。這樣的原因造成的風(fēng)險(xiǎn)在某些外國(guó)技術(shù)團(tuán)體為我國(guó)提供服務(wù)時(shí)更為常見。這是由于我國(guó)有關(guān)人員對(duì)外國(guó)技術(shù)團(tuán)體的資質(zhì)認(rèn)證缺乏經(jīng)驗(yàn)和手段，常常出現(xiàn)失誤。377.2現(xiàn)代服務(wù)的安全風(fēng)險(xiǎn)管理7.2.2安全風(fēng)險(xiǎn)管理原理及方法

1、風(fēng)險(xiǎn)的減少與消除：技術(shù)服務(wù)合同必須條理清楚；建立合同審核制約機(jī)制；建立良好的信息管理系統(tǒng)；加強(qiáng)對(duì)技術(shù)服務(wù)人員的培訓(xùn)。2、風(fēng)險(xiǎn)的轉(zhuǎn)移（保險(xiǎn)公司）3、專業(yè)責(zé)任保險(xiǎn)（聘請(qǐng)律師）387.2.3安全風(fēng)險(xiǎn)管理系統(tǒng)1、隔斷外來威脅（1）采用防火墻進(jìn)行邏輯隔離（2）采用物理隔離①中間服務(wù)器+物理隔離②中間服務(wù)器+軟件隔離③采用移動(dòng)介質(zhì)進(jìn)行數(shù)據(jù)傳輸，如移動(dòng)硬盤，U盤等3940IT領(lǐng)域防火墻概念網(wǎng)絡(luò)防火墻是指隔離在內(nèi)網(wǎng)與外網(wǎng)之間的一道防御系統(tǒng)，防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信信息，僅讓安全、核準(zhǔn)了的信息進(jìn)入，拒絕抵制不安全的數(shù)據(jù)。41防火墻分類按實(shí)現(xiàn)方式分軟件防火墻實(shí)現(xiàn)：在通用的計(jì)算機(jī)系統(tǒng)上安裝防火墻軟件，通過防火墻軟件設(shè)置安全策略。特點(diǎn)：軟件防火墻成本相對(duì)較低，功能豐富靈活，可以工作在網(wǎng)絡(luò)層和應(yīng)用層；軟件防火墻采用軟件實(shí)現(xiàn)，性能受到影響；軟件防火墻建立在通用的計(jì)算機(jī)及操作系統(tǒng)之上，本身存在安全性弱點(diǎn)；硬件防火墻實(shí)現(xiàn)：采用專用的硬件和軟件合成的防火墻，通過防火墻提供的配置命令設(shè)置安全策略。特點(diǎn)：硬件防火墻的硬件、軟件都是專門針對(duì)防火墻功能而設(shè)計(jì)的，與軟件防火墻相比具有高安全性、高性能等優(yōu)點(diǎn)，但靈活性不如軟件防火墻。42防火墻分類按實(shí)現(xiàn)原理分包過濾防火墻原理：在網(wǎng)絡(luò)層和傳輸層對(duì)數(shù)據(jù)包實(shí)施有選擇的通過，依據(jù)預(yù)先設(shè)定好的過濾規(guī)則ACL，檢查經(jīng)過的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的源IP地址/目標(biāo)IP地址/協(xié)議/端口確定是否允許通過。實(shí)現(xiàn)：路由器一般都具備包過濾功能。

應(yīng)用級(jí)防火