網(wǎng)絡(luò)與信息安全考試分優(yōu)質(zhì)資料

網(wǎng)絡(luò)與信息安全考試分優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）

1.在技術(shù)領(lǐng)域中，網(wǎng)絡(luò)安全包括（），用來保障信息不會被非法閱讀、修改和泄露。(單選)網(wǎng)絡(luò)與信息安全考試分優(yōu)質(zhì)資料(可以直接使用，可編輯優(yōu)質(zhì)資料，歡迎下載）A、實(shí)體安全B、運(yùn)行安全C、信息安全D、經(jīng)濟(jì)安全2.信息的（）是指信息在存儲、傳輸和提取的過程中保持不被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性。(單選)A、完整性B、可控性C、不可否認(rèn)性D、可用性3.下列屬于與網(wǎng)絡(luò)信息安全相關(guān)的法律的是（）。(單選)A、《國家安全法》B、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》C、《中華人民共和國電信條例》D、《計(jì)算機(jī)軟件保護(hù)條例》4.（）是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非授權(quán)訪問。(單選)A、物理安全策略B、系統(tǒng)管理策略C、訪問控制策略D、資源需求分配策略5.（）是由設(shè)備、方法、過程以及人所組成并完成特定的數(shù)據(jù)處理功能的系統(tǒng)，它包括對數(shù)據(jù)進(jìn)行收集、存儲、傳輸或變換等過程。(單選)A、數(shù)據(jù)處理系統(tǒng)B、管理信息系統(tǒng)C、辦公自動化系統(tǒng)D、決策支持系統(tǒng)6.（）是非常簡單的。它們只做一件事情，就是記錄受害者的鍵盤敲擊并且在LOG文件里查找密碼。(單選)A、破壞型木馬B、密碼發(fā)送型木馬C、遠(yuǎn)程訪問型木馬D、鍵盤記錄木馬7.（）是黑客常用的攻擊手段之一，分為兩種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。(單選)A、電子郵件欺騙B、ARP欺騙C、源路由欺騙D、Web欺騙8.（）為8個字節(jié)64位，是要被加密或被解密的數(shù)據(jù)。(單選)A、KeyB、DAtAC、ModeD、以上都對9.（）防火墻的核心是運(yùn)行于防火墻主機(jī)上的代理服務(wù)進(jìn)程，該進(jìn)程代理用戶完成TCP/IP功能，實(shí)際上是為特定網(wǎng)絡(luò)應(yīng)用而連接兩個網(wǎng)絡(luò)的網(wǎng)關(guān)。(單選)A、電路層網(wǎng)關(guān)B、自適應(yīng)代理技術(shù)C、代理服務(wù)器型D、包過濾型10.（）只備份數(shù)據(jù)，不承擔(dān)生產(chǎn)系統(tǒng)的業(yè)務(wù)。當(dāng)災(zāi)難發(fā)生時(shí)，數(shù)據(jù)丟失量小，甚至零丟失，但是，系統(tǒng)恢復(fù)速度慢，無法保持業(yè)務(wù)的連續(xù)性。(單選)A、本地容災(zāi)B、異地?cái)?shù)據(jù)冷備份C、異地?cái)?shù)據(jù)熱備份D、異地應(yīng)用級容災(zāi)11.（）就是將信息系統(tǒng)從災(zāi)難造成的故障或癱瘓狀態(tài)恢復(fù)到可正常運(yùn)行狀態(tài)，并將其支持的業(yè)務(wù)功能從災(zāi)難造成的不正常狀態(tài)恢復(fù)到可接受狀態(tài)，而設(shè)計(jì)的活動和流程。(單選)A、容災(zāi)備份B、數(shù)據(jù)備份C、應(yīng)急響應(yīng)D、災(zāi)難恢復(fù)12.（）也就是可信路徑，是終端人員能借以直接同可信計(jì)算機(jī)通信的一種機(jī)制，該機(jī)制只能由有關(guān)終端人員或可信計(jì)算機(jī)啟動，并且不能被不可信軟件所模仿。(單選)A、審計(jì)日志歸并B、可確認(rèn)性C、可信路徑D、全面調(diào)節(jié)13.數(shù)據(jù)庫的（）是指不應(yīng)拒絕授權(quán)用戶對數(shù)據(jù)庫的正常操作，同時(shí)保證系統(tǒng)的運(yùn)行效率并提供用戶友好的人機(jī)交互。(單選)A、完整性B、獨(dú)立性C、保密性D、可用性14.通過稅收政策促使網(wǎng)站限制未成年人瀏覽不良信息，是通過（）手段對互聯(lián)網(wǎng)進(jìn)行管理。(單選)A、立法B、行政C、司法D、行業(yè)自律15.（），英文名為“domainname”，是在互聯(lián)網(wǎng)上定位和使用網(wǎng)頁的工具。(單選)A、域名B、商標(biāo)C、主頁D、作品16.相對于傳統(tǒng)系統(tǒng)而言，數(shù)字化網(wǎng)絡(luò)的特點(diǎn)使得這些信息系統(tǒng)的運(yùn)作方式，在（）上都有著根本的區(qū)別。(多選)A、信息采集B、數(shù)據(jù)交換C、數(shù)據(jù)處理D、信息傳送17.信息安全涉及的領(lǐng)域還包括（）等方面。(多選)A、黑客的攻防B、網(wǎng)絡(luò)安全管理C、網(wǎng)絡(luò)犯罪取證D、網(wǎng)絡(luò)安全評估18.企業(yè)將商業(yè)數(shù)據(jù)和業(yè)務(wù)搬到云端面臨的安全問題主要有：（）。(多選)A、虛擬機(jī)管理程序B、低準(zhǔn)入門檻C、高準(zhǔn)入門檻D、虛擬應(yīng)用與硬件分離19.網(wǎng)絡(luò)的安全管理策略包括：（）。(多選)A、確定安全管理的等級和安全管理的范圍B、制定有關(guān)網(wǎng)絡(luò)操作使用規(guī)程C、制定人員出入機(jī)房管理制度D、制定網(wǎng)絡(luò)系統(tǒng)維護(hù)制度和應(yīng)急措施20.網(wǎng)絡(luò)攻擊一般分為如下幾個步驟：（）。(多選)A、調(diào)查、收集信息B、判斷出目標(biāo)計(jì)算機(jī)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)C、對目標(biāo)系統(tǒng)安全的脆弱性進(jìn)行探測與分析D、對目標(biāo)系統(tǒng)實(shí)施攻擊21.目前比較優(yōu)秀的木馬軟件有（）。(多選)A、冰河B、血蜘蛛C、NETBUSD、WincrAsh22.公認(rèn)的容災(zāi)級別包括（）。(多選)A、本地容災(zāi)B、異地?cái)?shù)據(jù)冷備份C、異地?cái)?shù)據(jù)熱備份D、異地應(yīng)用級容災(zāi)23.在數(shù)據(jù)和通信安全方面，Windows2000實(shí)現(xiàn)了如下的特性：（）。(多選)A、數(shù)據(jù)安全性B、企業(yè)間通信的安全性C、企業(yè)和Internet網(wǎng)的單點(diǎn)安全登錄D、易用的管理性和高擴(kuò)展性24.中國宗教徒信奉的主要有（）。(多選)A、佛教B、道教C、天主教D、基督教25.著作權(quán)包括（）。(多選)A、發(fā)表權(quán)B、修改權(quán)C、保護(hù)作品完整權(quán)D、署名權(quán)26.PDCA四個過程不是運(yùn)行一次就結(jié)束，而是周而復(fù)始的進(jìn)行，一個循環(huán)完了，解決一些問題，未解決的問題進(jìn)入下一個循環(huán)，這樣階梯式上升。(判斷)正確錯誤27.信息安全策略的內(nèi)容應(yīng)該有別于技術(shù)方案，信息安全策略只是描述一個組織保證信息安全的途徑的指導(dǎo)性文件，它不涉及具體做什么和如何做的問題，只需指出要完成的目標(biāo)。(判斷)正確錯誤28.信息安全策略的另外一個特性就是可以被審核，即能夠?qū)M織內(nèi)各個部門信息安全策略的遵守程度給出評價(jià)。(判斷)正確錯誤29.抑制和防止電磁泄漏是物理安全策略的一個主要問題。(判斷)正確錯誤30.DDoS（DistributedDenialofService）其中文含義為分布式拒絕服務(wù)攻擊。(判斷)正確錯誤31.IP欺騙技術(shù)就是偽造某臺主機(jī)的IP地址的技術(shù)。通過IP地址的偽裝使得某臺主機(jī)能夠偽裝另外的一臺主機(jī)，而被偽造了IP地址的這臺主機(jī)往往具有某種特權(quán)或者被另外的主機(jī)所信任。(判斷)正確錯誤32.RSA公開密鑰密碼體制。所謂的公開密鑰密碼體制就是使用不同的加密密鑰與解密密鑰，是一種“由已知加密密鑰推導(dǎo)出解密密鑰在計(jì)算上是不可行的”密碼體制。(判斷)正確錯誤33.由于短信網(wǎng)關(guān)技術(shù)非常成熟，大大降低短信密碼系統(tǒng)上馬的復(fù)雜度和風(fēng)險(xiǎn)，短信密碼業(yè)務(wù)后期客服成本低，穩(wěn)定的系統(tǒng)在提升安全同時(shí)也營造良好的口碑效應(yīng)，這也是銀行也大量采納這項(xiàng)技術(shù)很重要的原因。(判斷)正確錯誤34.當(dāng)規(guī)則組織好后，應(yīng)該寫上注釋并經(jīng)常更新，注釋可以幫助理解每一條規(guī)則做什么。對規(guī)則理解得越好，錯誤配置的可能性就越小。(判斷)正確錯誤35.數(shù)據(jù)的快速增長及其高可用性、安全性的要求刺激了容災(zāi)備份技術(shù)的發(fā)展，容災(zāi)備份技術(shù)已成為IT基礎(chǔ)架構(gòu)的一個關(guān)鍵因素。(判斷)正確錯誤36.早期的主數(shù)據(jù)中心和備援?dāng)?shù)據(jù)中心之間的數(shù)據(jù)備份，主要是基于SAN的遠(yuǎn)程復(fù)制（鏡像），即通過光纖通道FC，把兩個SAN連接起來，進(jìn)行遠(yuǎn)程鏡像（復(fù)制）。(判斷)正確錯誤37.硬件時(shí)鐘與調(diào)度規(guī)則相組合可以提供公平性，硬件設(shè)施和數(shù)據(jù)表組合則提供控制功能。(判斷)正確錯誤38.各國越來越強(qiáng)調(diào)政府作為服務(wù)者的角色，承認(rèn)政府管理的“有限性”，著重發(fā)揮政府的服務(wù)和協(xié)調(diào)職能。(判斷)正確錯誤39.中國公民可以自由地選擇、表達(dá)自己的信仰和表明宗教身份。(判斷)正確錯誤40.公務(wù)員（涉密人員）必須按照“防得住、管得住、靠得住、過得硬”的要求，盡心盡職履行保密責(zé)任。(判斷)正確錯誤目錄TOC\o”1-4”\h\z\uHYPERLINK\l”_Toc276498691"1網(wǎng)絡(luò)安全實(shí)施的難點(diǎn)分析1HYPERLINK\l”_Toc276498692"1.1IT系統(tǒng)建設(shè)面臨的問題1_Toc276498694”2系統(tǒng)安全2_Toc276498696”2。1。1設(shè)備安全風(fēng)險(xiǎn)分析22。1.2網(wǎng)絡(luò)安全系統(tǒng)分析3HYPERLINK\l”_Toc276498698"系統(tǒng)安全風(fēng)險(xiǎn)分析3HYPERLINK\l”_Toc276498699"2.1。4應(yīng)用安全風(fēng)險(xiǎn)分析4HYPERLINK\l”_Toc276498700"2。1.5數(shù)據(jù)安全風(fēng)險(xiǎn)分析42。2.1設(shè)備安全4HYPERLINK\l”_Toc276498703"2。2.2網(wǎng)絡(luò)安全4_Toc276498705"2.2。4應(yīng)用安全62。2。5數(shù)據(jù)安全62.3系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計(jì)7HYPERLINK\l”_Toc276498708"2。3.1防火墻系統(tǒng)7_Toc276498710"2。3。1.2常用攻擊方法10_Toc276498712”2。3。2VPN路由器11_Toc276498714”2。3。4CA認(rèn)證與SSL加密13HYPERLINK\l”_Toc276498715”2。3。4.1CA的作用13HYPERLINK\l”_Toc276498716"系統(tǒng)簡介14HYPERLINK\l”_Toc276498717"2.3.4。3SSL加密17_Toc276498720"病毒的檢測22HYPERLINK\l”_Toc276498721"2.3.5。3防病毒建議方案24_Toc276498723"網(wǎng)絡(luò)存儲/備份/災(zāi)難恢復(fù):243業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)計(jì)24HYPERLINK\l”_Toc276498725"3。1網(wǎng)絡(luò)安全設(shè)計(jì)原則243。2。1威脅及漏洞25HYPERLINK\l”_Toc276498728"3.2。2計(jì)說明26HYPERLINK\l”_Toc276498729”3。3系統(tǒng)的安全設(shè)計(jì)273。3。1各業(yè)務(wù)系統(tǒng)的分離273。3。2敏感數(shù)據(jù)區(qū)的保護(hù)28HYPERLINK\l”_Toc276498732”通迅線路數(shù)據(jù)加密293。3.4防火墻自身的保護(hù)30HYPERLINK\l”_Toc276498734”網(wǎng)絡(luò)安全設(shè)計(jì)31HYPERLINK\l”_Toc276498735"3。3。5.1設(shè)計(jì)說明：33網(wǎng)絡(luò)安全實(shí)施的難點(diǎn)分析IT系統(tǒng)建設(shè)面臨的問題企業(yè)在IT系統(tǒng)建設(shè)過程中，往往面臨以下方面的問題；其一:專業(yè)人員少，因?yàn)槿魏我粋€企業(yè)的IT系統(tǒng)建設(shè)，往往都是為企業(yè)內(nèi)部使用，只有自己最為了解自己企業(yè)的需求，但是往往企業(yè)內(nèi)部的專業(yè)人員比較少.其二：經(jīng)驗(yàn)不足，專業(yè)性不強(qiáng)，由于企業(yè)內(nèi)部的專業(yè)人員僅僅著眼于本企業(yè)自身的需求,項(xiàng)目實(shí)施的少,相應(yīng)的項(xiàng)目經(jīng)驗(yàn)欠缺專業(yè)性不強(qiáng);其三：效率不高，效果不好，應(yīng)為欠缺對系統(tǒng)建設(shè)的系統(tǒng)知識和經(jīng)驗(yàn),總是在摸索著前進(jìn)，在這個過程中，實(shí)施人員和使用人員的積極性就會降低，無法按照預(yù)期完成項(xiàng)目.IT系統(tǒng)運(yùn)維面臨的問題系統(tǒng)安全網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析設(shè)備安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)設(shè)備、服務(wù)器設(shè)備、存儲設(shè)備的安全是保證網(wǎng)絡(luò)安全運(yùn)行的一個重要因素。為了保證網(wǎng)絡(luò)的安全而制定的安全策略都是由網(wǎng)絡(luò)設(shè)備執(zhí)行的，如果一些非網(wǎng)絡(luò)管理人員故意或無意對網(wǎng)絡(luò)設(shè)備進(jìn)行非法操作，勢必會對網(wǎng)絡(luò)的安全造成影響，甚至是重大的安全事故。因此,沒有網(wǎng)絡(luò)設(shè)備的安全，網(wǎng)絡(luò)設(shè)備的安全就無從談起。所以，必須從多個層面來保證網(wǎng)絡(luò)設(shè)備的安全。網(wǎng)絡(luò)安全系統(tǒng)分析網(wǎng)絡(luò)層位于系統(tǒng)平臺的最低層，是信息訪問、共享、交流和發(fā)布的必由之路，也是黑客（或其它攻擊者)等進(jìn)行其截獲、竊聽竊取信息、篡改信息、偽造和冒充等攻擊的必由之路。所以，網(wǎng)絡(luò)層所面臨的安全風(fēng)險(xiǎn)威脅是整個系統(tǒng)面臨的主要安全風(fēng)險(xiǎn)之一.網(wǎng)絡(luò)層的安全風(fēng)險(xiǎn)包括以下幾方面：黑客攻擊外網(wǎng)通過防火墻與Internet公眾網(wǎng)相連，所以Internet上的各種各樣的黑客攻擊、病毒傳播等都可能威脅到系統(tǒng)的安全。其存在的安全風(fēng)險(xiǎn)主要是黑客攻擊，竊取或篡改重要信息，攻擊網(wǎng)站等。許多機(jī)器臨時(shí)性（甚至經(jīng)常性的）連接到外網(wǎng)上或直接連接到Internet上.這樣Internet上的黑客或敵對勢力使用木馬等黑客攻擊手段，就可以將該員工機(jī)器用作一個偵察站。網(wǎng)內(nèi)可能存在的相互攻擊由于公司內(nèi)網(wǎng)中的各級網(wǎng)絡(luò)互連，這些設(shè)備在網(wǎng)絡(luò)層是可以互通的，在沒有任何安全措施的情況下，一個單位的用戶可以連接到另一個單位使用的機(jī)器,訪問其中的數(shù)據(jù)。這樣就會造成網(wǎng)絡(luò)間的互相病毒等其他因素引起的網(wǎng)絡(luò)攻擊。系統(tǒng)安全風(fēng)險(xiǎn)分析系統(tǒng)安全通常分為系統(tǒng)級軟件比如操作系統(tǒng)、數(shù)據(jù)庫等的安全漏洞、病毒防治.1、系統(tǒng)軟件安全漏洞系統(tǒng)級軟件比如操作系統(tǒng)、數(shù)據(jù)庫等總是存在著這樣那樣的安全漏洞，包括已發(fā)現(xiàn)或未發(fā)現(xiàn)的安全漏洞。2、病毒侵害計(jì)算機(jī)病毒一直是困擾每一個計(jì)算機(jī)用戶的重要問題,一旦計(jì)算機(jī)程序被感染了病毒，它就有可能破壞掉用戶工作中的重要信息。網(wǎng)絡(luò)使病毒的傳播速度極大的加快，公司內(nèi)部網(wǎng)絡(luò)與Internet相連，這意味著每天可能受到來自世界各地的新病毒的攻擊。應(yīng)用安全風(fēng)險(xiǎn)分析基于B/S模式的業(yè)務(wù)系統(tǒng)由于身份認(rèn)證、數(shù)據(jù)傳輸、訪問控制、授權(quán)、口令等存在安全隱患，從而對整個系統(tǒng)造成安全威脅.數(shù)據(jù)安全風(fēng)險(xiǎn)分析在系統(tǒng)中存放有的重要的數(shù)據(jù)。這些數(shù)據(jù)如被非法復(fù)制、篡改、刪除，或是因各種天災(zāi)人禍丟失，將威脅到數(shù)據(jù)的保密性、完整性和一致性。網(wǎng)絡(luò)系統(tǒng)安全設(shè)計(jì)針對上面提到的種種安全風(fēng)險(xiǎn),對系統(tǒng)安全進(jìn)行設(shè)計(jì).設(shè)備安全設(shè)備安全在這里主要指控制對交換機(jī)等網(wǎng)絡(luò)設(shè)備的訪問,包括物理訪問和登錄訪問兩種。針對訪問的兩種方式采取以下措施：對基礎(chǔ)設(shè)施采取防火、防盜、防靜電、防潮措施。系統(tǒng)主機(jī)應(yīng)采用雙機(jī)熱備（主備/互備）方式,構(gòu)成集群系統(tǒng)；系統(tǒng)關(guān)鍵通信設(shè)備應(yīng)考慮冗余備份;要求利用系統(tǒng)監(jiān)控工具,實(shí)時(shí)監(jiān)控系統(tǒng)中各種設(shè)備和網(wǎng)絡(luò)運(yùn)行狀態(tài)，及時(shí)發(fā)現(xiàn)故障或故障苗頭，及時(shí)采取措施，排除故障,保障系統(tǒng)平穩(wěn)運(yùn)行。網(wǎng)絡(luò)安全為保障網(wǎng)絡(luò)安全，在網(wǎng)絡(luò)上要采取以下措施：設(shè)立防火墻.防火墻作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，一般用在企業(yè)網(wǎng)與Internet等公眾網(wǎng)之間的連接點(diǎn)處,防護(hù)來自外部的攻擊，并過濾掉不安全的服務(wù)請求和非法用戶進(jìn)入；在內(nèi)部系統(tǒng)的Web服務(wù)器到應(yīng)用服務(wù)器之間設(shè)置防火墻，防止來自內(nèi)部的攻擊和破壞，保證系統(tǒng)的安全;進(jìn)行入侵檢測。對計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)的關(guān)鍵結(jié)點(diǎn)的信息進(jìn)行收集分析,檢測其中是否有違反安全策略的事件發(fā)生或攻擊跡象，并通知系統(tǒng)安全管理員。采用相應(yīng)技術(shù)和手段，保證網(wǎng)絡(luò)安全。對傳輸數(shù)據(jù)進(jìn)行加密,保障數(shù)據(jù)傳輸安全防止網(wǎng)頁的篡改；利用防護(hù)工具防止黑客篡改或非法破壞網(wǎng)頁，保證網(wǎng)站網(wǎng)頁安全。針對防止網(wǎng)頁篡改,推薦使用InforGuard。InforGuard主要提供文件監(jiān)控保護(hù)功能，保證文件系統(tǒng)安全,防止被非法修改。InforGuard適用于網(wǎng)站網(wǎng)頁文件的安全保護(hù)，解決了網(wǎng)站被非法修改的問題,是一套安全、高效、簡單、易用的網(wǎng)頁保護(hù)系統(tǒng)；采用數(shù)字證書技術(shù)實(shí)現(xiàn)InforGuard的用戶管理，加強(qiáng)了對Web站點(diǎn)目錄的ftp用戶和口令的保護(hù)，防止了ftp口令泄漏造成的安全隱患;通過用戶操作日志提供對網(wǎng)頁文件更新過程的全程監(jiān)控.從而保證了網(wǎng)站網(wǎng)頁文件的絕對安全.定期進(jìn)行安全檢查，查補(bǔ)安全漏洞，采用漏洞掃描軟件對內(nèi)部服務(wù)器瀏覽器和所有網(wǎng)絡(luò)設(shè)備進(jìn)行漏洞掃描,及時(shí)彌補(bǔ)各類安全漏洞.系統(tǒng)安全應(yīng)用安全的解決往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全，所以對系統(tǒng)級軟件的安全防范突顯其重要性；由于病毒通過Internet網(wǎng)，可以在極短的時(shí)間內(nèi)傳到Internet的各個角落,而病毒對系統(tǒng)穩(wěn)定性和數(shù)據(jù)安全性的威脅眾所周知，所以對病毒的預(yù)防是一項(xiàng)十分重要的工作；同時(shí)對一些專用服務(wù)器的特別防護(hù)也是我們保證系統(tǒng)良好運(yùn)行的前提。下面就從系統(tǒng)漏洞防護(hù)、病毒防護(hù)和專用服務(wù)器防護(hù)等方面來闡述安全防范的措施.系統(tǒng)安全漏洞防護(hù)：通過系統(tǒng)掃描工具，定期檢查系統(tǒng)中與安全有關(guān)的軟件、資源、各廠商安全“補(bǔ)丁包"的情況,發(fā)現(xiàn)問題及時(shí)報(bào)告并給出解決建議.病毒防護(hù)：在內(nèi)網(wǎng)和外網(wǎng)中分別設(shè)置網(wǎng)絡(luò)防病毒軟件控制中心，安裝網(wǎng)絡(luò)版的防病毒控制臺,在服務(wù)器系統(tǒng)和網(wǎng)絡(luò)內(nèi)的主機(jī)均安裝防病毒軟件的客戶端。管理員負(fù)責(zé)每天檢查有沒有新的病毒庫更新，并對防病毒服務(wù)器上的防病毒軟件進(jìn)行及時(shí)更新。然后再由防病毒服務(wù)器將最新的病毒庫文件下發(fā)到各聯(lián)網(wǎng)的機(jī)器上，實(shí)現(xiàn)全網(wǎng)統(tǒng)一、及時(shí)的防病毒軟件更新,防止因?yàn)樯贁?shù)內(nèi)部用戶的疏忽，感染病毒，導(dǎo)致病毒在全網(wǎng)的傳播。專用服務(wù)器的專門保護(hù)：針對重要的、最常受到攻擊的應(yīng)用系統(tǒng)實(shí)施特別的保護(hù)。對WEB服務(wù)器保護(hù)對Web訪問、監(jiān)控/阻塞/報(bào)警、入侵探測、攻擊探測、惡意applets、惡意Email等在內(nèi)的安全政策進(jìn)行明確規(guī)劃.對E—mail服務(wù)程序、瀏覽器，采取正確的配置與及時(shí)下載安全補(bǔ)丁實(shí)現(xiàn)。應(yīng)用安全針對人為操作造成的風(fēng)險(xiǎn),必須從系統(tǒng)的應(yīng)用層進(jìn)行防范，因此應(yīng)用系統(tǒng)在建設(shè)時(shí)需考慮系統(tǒng)的安全性。具體包括以下幾個方面:訪問控制:操作系統(tǒng)的用戶管理、權(quán)限管理;限制用戶口令規(guī)則和長度,禁止用戶使用簡單口令，強(qiáng)制用戶定期修改口令；按照登錄時(shí)間、登錄方式限制用戶的登錄請求；加強(qiáng)文件訪問控制管理，根據(jù)訪問的用戶范圍，設(shè)置文件的讀、寫、執(zhí)行權(quán)限；對重要資料設(shè)置被訪問的時(shí)間和日期。權(quán)限控制和管理：按照單位、部門、職務(wù)、工作性質(zhì)等對用戶進(jìn)行分類，不同的用戶賦予不同的權(quán)限、可以訪問不同的系統(tǒng)、可以操作不同的功能模塊；應(yīng)用系統(tǒng)的權(quán)限實(shí)行分級管理，每個系統(tǒng)的管理員自己定義各類用戶對該系統(tǒng)資源的可訪問內(nèi)容。身份驗(yàn)證：通過采用口令識別、數(shù)字認(rèn)證方式，來確保用戶的登錄身份與其真實(shí)身份相符,保證數(shù)據(jù)的安全性、完整性、可靠性和交易的不可抵賴性、增強(qiáng)顧客、商家、企業(yè)等對網(wǎng)上交易的信心。數(shù)據(jù)加密存儲：關(guān)聯(lián)及關(guān)鍵數(shù)據(jù)加密存儲，提取數(shù)據(jù)庫中表間關(guān)聯(lián)數(shù)據(jù)或重要數(shù)據(jù)信息，采用HASH算法,生成一加密字段，存放在數(shù)據(jù)表中，保證數(shù)據(jù)庫中關(guān)聯(lián)數(shù)據(jù)的一致性、完整性，防止重要數(shù)據(jù)的非法篡改。日志記載：數(shù)據(jù)庫日志：使得系統(tǒng)發(fā)生故障后能提供數(shù)據(jù)動態(tài)恢復(fù)或向前恢復(fù)等功能，確保數(shù)據(jù)的可靠性和一致性。應(yīng)用系統(tǒng)日志：通過記錄應(yīng)用系統(tǒng)中操作日志，通過事后審計(jì)功能為將來分析提供數(shù)據(jù)分析源，確保業(yè)務(wù)的可追溯性。數(shù)據(jù)安全業(yè)務(wù)數(shù)據(jù)是業(yè)務(wù)系統(tǒng)運(yùn)行的重要元素,也是企業(yè)中寶貴的資源。這些數(shù)據(jù)如被非法復(fù)制、篡改、刪除,或是因系統(tǒng)崩潰及各種天災(zāi)人禍丟失，將威脅到數(shù)據(jù)的保密性、完整性和一致性。由此造成的損失將是巨大的。為了保證數(shù)據(jù)的安全，通常的做法是對數(shù)據(jù)進(jìn)行備份。數(shù)據(jù)備份解決方案大致可以分為兩種:數(shù)據(jù)級的備份和系統(tǒng)級的備份。數(shù)據(jù)級的備份是指對存儲在磁盤陣列、磁帶庫等設(shè)備上的數(shù)據(jù)的備份。系統(tǒng)級備份主要是指對服務(wù)器系統(tǒng)、數(shù)據(jù)庫系統(tǒng)等系統(tǒng)的備份。對于數(shù)據(jù)庫系統(tǒng)備份，有兩種方式可以選擇：第一種是采用數(shù)據(jù)庫自身的備份功能，其優(yōu)點(diǎn)是不需要追加額外的投資,缺點(diǎn)是這種備份方式是手工進(jìn)行的,備份效率較低，并且在備份時(shí)需要關(guān)閉數(shù)據(jù)庫,即需要shutdown數(shù)據(jù)庫實(shí)例。第二種方式是采用專業(yè)的備份工具，這種方式能夠?qū)崿F(xiàn)在線備份的方式，即在備份的過程中不需Shutdown數(shù)據(jù)庫實(shí)例。同時(shí)，在備份過程中,通過追蹤數(shù)據(jù)塊的變動記錄來實(shí)現(xiàn)增量備份，縮短備份窗口.在保持?jǐn)?shù)據(jù)庫online的前提下,這種方式還能夠充分保證數(shù)據(jù)庫的OLTP聯(lián)機(jī)事務(wù)處理的性能。數(shù)據(jù)庫的數(shù)據(jù)量龐大，可以通過同時(shí)驅(qū)動多個磁帶驅(qū)動器來保證數(shù)據(jù)庫備份的效率。通過這種方式，能夠在夜間的非工作時(shí)段內(nèi)完成全備份，并在相對更短的時(shí)間段內(nèi)完成日增量備份。在上述數(shù)據(jù)備份環(huán)境中，可以對操作系統(tǒng)及應(yīng)用程序環(huán)境實(shí)現(xiàn)動態(tài)即時(shí)在線快速備份，即在不影響用戶和應(yīng)用程序運(yùn)行的前提下，備份系統(tǒng)的動態(tài)數(shù)據(jù)，同時(shí)能夠?qū)鹘y(tǒng)文件系統(tǒng)的備份速度成倍提高。在前面的服務(wù)器平臺設(shè)計(jì)中，我們?yōu)槊颗_服務(wù)器都配置了兩塊硬盤,通過磁盤鏡像（RAID1）技術(shù)實(shí)現(xiàn)系統(tǒng)冗余備份，可以極大提高服務(wù)器系統(tǒng)的安全性.保證數(shù)據(jù)安全,對數(shù)據(jù)進(jìn)行備份。系統(tǒng)的網(wǎng)絡(luò)安全設(shè)計(jì)防火墻系統(tǒng)防火墻的基本類型實(shí)現(xiàn)防火墻的技術(shù)主要包括四類:包過濾防火墻、電路網(wǎng)關(guān)防火墻、應(yīng)用層防火墻以及動態(tài)包過濾防火墻。其各自的特點(diǎn)如下：包過濾防火墻：包過濾防火墻技術(shù)主要通過分析網(wǎng)絡(luò)傳輸層數(shù)據(jù)，并通過預(yù)先定義的規(guī)則對數(shù)據(jù)包轉(zhuǎn)發(fā)或丟棄。其檢查信息為網(wǎng)絡(luò)層、傳輸層以及傳輸方向等報(bào)頭信息，典型的包過濾主要利用下面的控制信息：數(shù)據(jù)包到達(dá)的物理網(wǎng)絡(luò)接口數(shù)據(jù)包的源網(wǎng)絡(luò)層地址數(shù)據(jù)包的目的網(wǎng)絡(luò)層地址傳輸層協(xié)議類型傳輸層源端口傳輸層目的端口包過濾防火墻有以下先進(jìn)性：包過濾防火墻通常性能高,因?yàn)樗麄儓?zhí)行的評估比較少而且通?？梢杂糜布瓿??？梢院唵蔚赝ㄟ^禁止特定外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接來保護(hù)整個網(wǎng)絡(luò)。包過濾防火墻對客戶端是透明的，所有工作都在防火墻中完成。結(jié)合NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換功能，可以將內(nèi)部網(wǎng)絡(luò)從外部網(wǎng)絡(luò)中屏蔽起來.包過濾防火墻具有以下缺點(diǎn)：包過濾防火墻不能識別上層信息，因此，同應(yīng)用層防火墻以及電路網(wǎng)關(guān)防火墻相比，其安全性較低。包過濾防火墻不是基于連接狀態(tài)的，因此，它不保存會話連接信息或上層應(yīng)用信息。包過濾只利用了數(shù)據(jù)包中有限的信息。包過濾不提供增值服務(wù),如HTTPCache，URL過濾等。電路網(wǎng)關(guān)防火墻電路網(wǎng)關(guān)防火墻是一種基于連接狀態(tài)的防火墻技術(shù)，它能確認(rèn)、證實(shí)一個數(shù)據(jù)包是兩個傳輸層之間連接請求、兩個傳輸層之間已建連接中的數(shù)據(jù)包或兩個傳輸層之間的虛電路.電路網(wǎng)關(guān)防火墻檢查每一個連接的建立過程來保證連接的合法性，以及利用一個合法的連接信息表(包括狀態(tài)以及序列號）來檢查數(shù)據(jù)包的正確性。當(dāng)一個連接關(guān)閉時(shí)，這個連接信息表就被關(guān)閉。電路網(wǎng)關(guān)級防火墻主要應(yīng)用下列狀態(tài)信息：一個唯一的會話識別用于跟蹤處理.連接狀態(tài)，包括:握手、建立以及關(guān)閉。序列號信息。源網(wǎng)絡(luò)地址。目的網(wǎng)絡(luò)地址.數(shù)據(jù)包到達(dá)的物理網(wǎng)絡(luò)接口.數(shù)據(jù)包離開的物理網(wǎng)絡(luò)接口.電路網(wǎng)關(guān)級防火墻具有以下優(yōu)點(diǎn)：電路網(wǎng)關(guān)防火墻通常性能高，因?yàn)樗麄儓?zhí)行的評估比較少。可以簡單地通過禁止特定外部網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)的連接來保護(hù)整個網(wǎng)絡(luò)。包過濾防火墻對客戶端是透明的,所有工作都在防火墻中完成。結(jié)合NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換功能,可以將內(nèi)部網(wǎng)絡(luò)從外部網(wǎng)絡(luò)中屏蔽起來。電路應(yīng)用網(wǎng)關(guān)具有以下缺點(diǎn)：電路應(yīng)用網(wǎng)關(guān)不能限制TCP之外的其他協(xié)議集。電路應(yīng)用網(wǎng)關(guān)防火墻不能進(jìn)行嚴(yán)格的高層應(yīng)用檢查。包過濾不提供增值服務(wù)，如HTTPCache，URL過濾等.應(yīng)用層防火墻應(yīng)用層防火墻檢查所有的數(shù)據(jù)包、連接狀態(tài)信息以及序列號，同時(shí)還能驗(yàn)證應(yīng)用層特定的安全控制，包括：用戶名，口令等.大多數(shù)應(yīng)用層防火墻包括一個特定服務(wù)程序和代理服務(wù)，代理是一個面向特定應(yīng)用的流量管理程序，如HTTP、FTP等，能提供增強(qiáng)的訪問控制、細(xì)節(jié)檢查以及審記記錄等信息.每一個應(yīng)用代理一般由兩部分組成，代理服務(wù)器以及代理客戶，相對于發(fā)起連接的客戶端來說,代理服務(wù)器充當(dāng)一個最終服務(wù)器。代理客戶端代替實(shí)際的客戶應(yīng)用同外部服務(wù)器進(jìn)行數(shù)據(jù)交換。應(yīng)用層防火墻具有以下優(yōu)點(diǎn):代理服務(wù)能完全理解和實(shí)施上層協(xié)議。如HTTP、FTP等。代理服務(wù)維護(hù)所有的應(yīng)用狀態(tài)信息，包括：部分的通訊層狀態(tài)信息、全部應(yīng)用層狀態(tài)信息以及部分會話信息。代理服務(wù)能處理和利用數(shù)據(jù)包.代理服務(wù)不允許外部服務(wù)器和內(nèi)部主機(jī)之間的直接通訊，可有效的隱含內(nèi)部網(wǎng)絡(luò)信息。代理服務(wù)能提供增值特征，包括:HTTPCache、URL過濾以及用戶認(rèn)證等。代理服務(wù)能很好的產(chǎn)生審記記錄，允許管理員監(jiān)控企圖違反網(wǎng)絡(luò)安全策略的行為。應(yīng)用層防火墻具有以下缺點(diǎn):代理服務(wù)需要替換防火墻服務(wù)器的本來的網(wǎng)絡(luò)堆棧。由于代理服務(wù)要監(jiān)聽服務(wù)端口,因此，在防火墻服務(wù)器上不能提供同樣的服務(wù)。代理服務(wù)對數(shù)據(jù)包需要處理兩次，因此，性能比較差。通常,對于不同的應(yīng)用，需要對每一個服務(wù)提供一個代理服務(wù)程序。應(yīng)用級防火墻不能提供UDP、TCP以及其他協(xié)議代理功能。代理服務(wù)通常需要修改客戶應(yīng)用程序端或應(yīng)用配置。代理服務(wù)通常依賴操作系統(tǒng)提供設(shè)備驅(qū)動，因此，一個操作系統(tǒng)或應(yīng)用Bug都有可能造成代理服務(wù)容易受到攻擊。代理服務(wù)經(jīng)常會遇到多次登錄的情況.動態(tài)包過濾防火墻動態(tài)包過濾防火墻類似電路網(wǎng)關(guān)防火墻，但它提供了對面向非連接的傳輸層協(xié)議，如UDP的支持.其同電路網(wǎng)關(guān)有相同的優(yōu)缺點(diǎn)。常用攻擊方法了解常用的攻擊方法可以更好的制定安全防范措施，常用的攻擊方法包括以下幾種:被動監(jiān)聽：這種攻擊方法是攻擊者利用網(wǎng)絡(luò)監(jiān)聽或分析工具,直接竊獲用戶的報(bào)文信息，從而獲得用戶/口令信息,這時(shí)，攻擊者就可以以合法用戶的身份對應(yīng)用進(jìn)行破壞。地址欺騙：在這種方法中,攻擊者偽裝成一個信任主機(jī)的IP地址，對系統(tǒng)進(jìn)行破壞。端口掃描：這是一種主動的攻擊方法，攻擊者不斷的掃描安全控制點(diǎn)上等待連接的監(jiān)聽端口，一旦發(fā)現(xiàn)，攻擊者就集中精力對端口上的應(yīng)用發(fā)起攻擊.否認(rèn)服務(wù):這種攻擊方法又細(xì)分為兩種:即洪水連接和報(bào)文注入，洪水連接是向目的主機(jī)發(fā)出大量原地址非法的TCP連接,這樣,目的主機(jī)就一直處于等待狀態(tài),最后由于資源耗盡而死機(jī)。報(bào)文注入就是在合法連接的報(bào)文中插入攻擊者發(fā)出的數(shù)據(jù)包，從而對目的主機(jī)進(jìn)行攻擊。應(yīng)用層攻擊:這種攻擊方法是利用應(yīng)用軟件的缺陷，從而獲得對系統(tǒng)的訪問權(quán)利。特洛伊木馬：在這種攻擊方法中,攻擊者讓用戶運(yùn)行一個用戶誤認(rèn)為是一個合法程序的攻擊程序，從而寄生在用戶系統(tǒng)中,為以后的攻擊埋下伏筆.這種攻擊方法最常見的應(yīng)用就是在WEB服務(wù)嵌入JavaApplet、Active—X等控件，使用戶在瀏覽網(wǎng)頁時(shí)，不知不覺中被寄生了攻擊程序.常用攻擊對策下面我們對上面所述的攻擊方法提出自己的防范措施。被動監(jiān)聽：在共享式以太網(wǎng)結(jié)構(gòu)中，一個主機(jī)發(fā)送的數(shù)據(jù)會發(fā)送到一個網(wǎng)段上的每主機(jī)數(shù)據(jù)包被監(jiān)聽是不可避免的。而交換式網(wǎng)絡(luò)根據(jù)目的地址選擇發(fā)送的端口，因此，盡量連接桌面工作站到交換機(jī)端口會避免數(shù)據(jù)包被監(jiān)聽.對于同各個分支機(jī)構(gòu)的按Extranet方式連接的采用IPSec技術(shù)對IP數(shù)據(jù)包加密,該加密算法對數(shù)據(jù)加密采用DES算法，其DES密鑰是動態(tài)產(chǎn)生的，連接雙方加密密鑰是通過RAS算法傳送的，因此，具有很高的安全性。對于Internet個人用戶的訪問，數(shù)據(jù)被監(jiān)聽是不可避免的，因此，對這種攻擊的防范是合理設(shè)定用戶權(quán)限。地址欺騙：對這種攻擊的防范采用擴(kuò)展訪問過濾列表方式，凡是從其他網(wǎng)段進(jìn)來的數(shù)據(jù)包，如果其源地址不是來自該網(wǎng)段的合法地址，就拋棄該數(shù)據(jù)包。端口掃描：對這種攻擊的防范采用擴(kuò)展訪問列表方式，拒絕非授權(quán)網(wǎng)絡(luò)訪問特定的網(wǎng)絡(luò)服務(wù)。否認(rèn)服務(wù):對于洪水連接攻擊我們采用TCP攔截技術(shù)，對一個主機(jī)的訪問限制在一個可接受范圍內(nèi),對于超過的可按幾種設(shè)定方式丟棄連接.對于報(bào)文注入，CiscoPIX防火墻產(chǎn)品是一種基于狀態(tài)的包過濾產(chǎn)品，本身能很好的防范報(bào)文注入攻擊。應(yīng)用層攻擊：改進(jìn)、替換具有安全漏洞的應(yīng)用服務(wù)器。特洛伊木馬：對于這種攻擊方式，首先應(yīng)該教育公司職員不要運(yùn)行不明來源的程序，避免內(nèi)部主機(jī)被攻破，一旦內(nèi)部主機(jī)被攻破，攻擊者就可以以被攻破主機(jī)為落腳點(diǎn)，對內(nèi)部所有主機(jī)進(jìn)行攻擊。對JavaApplet和Active—X的防范采用員工教育方式，教育職員不要訪問不明站點(diǎn)，盡量在瀏覽器中關(guān)閉JavaApplet和Active—X功能。VPN路由器采用CiscoRouter進(jìn)行IP數(shù)據(jù)包過濾，安全VLAN子網(wǎng)劃分作為VPN配置路由使用，可方便進(jìn)行安全訪問的劃分結(jié)合PIX防火墻、NetRanger入侵檢測系統(tǒng)和NetSonar安全掃描程序三者配合，最大限度地保證了企業(yè)VPN的可靠性和安全性IDS入侵檢測入侵檢測（eTrustIntrusionDetection簡稱eID)提供了全面的網(wǎng)絡(luò)保護(hù)功能，其內(nèi)置主動防御功能可以防止破壞的發(fā)生。這種高性能且使用方便的解決方案在單一軟件包中提供了最廣泛的監(jiān)視、入侵和攻擊探測、非法URL探測和阻塞、警告、記錄和實(shí)時(shí)響應(yīng)。網(wǎng)絡(luò)訪問控制入侵檢測(eTrustIntrusionDetection)使用基本規(guī)則定義可以訪問特定網(wǎng)絡(luò)資源的用戶，從而確保只對網(wǎng)絡(luò)資源進(jìn)行授權(quán)訪問。高級反病毒引擎能夠探測包含計(jì)算機(jī)病毒的網(wǎng)絡(luò)流量的病毒掃描引擎.它可以防止用戶在不知情的情況下下載受病毒感染的文件。從CAweb站點(diǎn)可以得到最新和更新后的病毒特征碼。全面的攻擊模式庫入侵檢測eID可以自動探測來自網(wǎng)絡(luò)流量的攻擊模式（即使是正在進(jìn)行中的攻擊）。定期更新的攻擊模式庫-可以從CAweb站點(diǎn)獲得—能夠確保入侵檢測保持最新。包檢測技術(shù)入侵檢測eID在隱蔽模式下工作，攻擊者是察覺不到的。因?yàn)楹诳筒恢浪麄冋诒槐O(jiān)視，因此通常在未察覺的情況下被捕獲。URL阻塞管理員可以指定不允許用戶訪問的URL，從而防止了非工作性Web沖浪。內(nèi)容掃描管理員通過入侵檢測eID可以定義策略對內(nèi)容進(jìn)行檢查。這可以防止在沒有授權(quán)的情況下通過電子郵件或Web發(fā)送敏感數(shù)據(jù)。網(wǎng)絡(luò)使用情況記錄入侵檢測eID允許網(wǎng)絡(luò)管理員跟蹤最終用戶、應(yīng)用程序等的網(wǎng)絡(luò)使用情況。它有助于改進(jìn)網(wǎng)絡(luò)策略規(guī)劃和提供精確的網(wǎng)絡(luò)收費(fèi).集中化監(jiān)控網(wǎng)絡(luò)管理員可以從本地或遠(yuǎn)程監(jiān)控運(yùn)行入侵檢測(eTrustIntrusionDetection）的一個或多個站，在不同網(wǎng)絡(luò)段（本地或遠(yuǎn)程）上安裝了受中央站控制的入侵檢測（eTrustIntrusionDetection）代理后，管理員可以根據(jù)收集到的合并信息查看報(bào)警和生成報(bào)告。遠(yuǎn)程管理遠(yuǎn)程用戶可以使用TCP/IP或者調(diào)制解調(diào)器連接訪問運(yùn)行入侵檢測(eTrustIntrusionDetection）的站。在連接后，根據(jù)入侵檢測（eTrustIntrusionDetection）管理員定義的權(quán)限,用戶可以查看和監(jiān)控入侵檢測(eTrustIntrusionDetection)數(shù)據(jù)、更改規(guī)則以及創(chuàng)建報(bào)告.入侵記錄和分析入侵檢測(eTrustIntrusionDetection）為捕獲信息和進(jìn)行分析提供了全面的系統(tǒng)功能.在安裝軟件并指定歸檔地點(diǎn)后,用戶可以定義在檔案中記錄會話的規(guī)則。然后用戶可以通過瀏覽器過濾、排序和查看歸檔信息，并創(chuàng)建詳細(xì)的報(bào)告。入侵檢測eID代表了最新一代企業(yè)網(wǎng)絡(luò)保護(hù)技術(shù)，具有前所未有的訪問控制、用戶透明性、高性能、靈活性、適應(yīng)性及易用性等。它提供給企業(yè)一個易于部署的網(wǎng)絡(luò)保護(hù)方案.CA認(rèn)證與SSL加密CA的作用數(shù)字證書能為你做什么:

個人數(shù)字證書是網(wǎng)友進(jìn)入21世紀(jì)的必需品.網(wǎng)上證券少不了它;網(wǎng)上繳款不能沒有它；進(jìn)入全球知名網(wǎng)站，更不得沒有它。它簡單易懂、安裝容易，它比“卡”還要重要，是您身份的表征，網(wǎng)絡(luò)新貴的識別證.現(xiàn)今不論X、Y、Z世代,您皮夾中至少必備四五張卡（提款卡、萬事達(dá)卡、威士卡、會員卡、金卡、普卡、卡、保健卡...)，因?yàn)槟壳笆恰翱ā钡臅r(shí)代.而在網(wǎng)際路上,您如果沒有數(shù)字證書，不管您外表多young、多炫,多酷,依舊是寸步難行。因?yàn)椤耙蛔C在手，走遍天下"的時(shí)代已經(jīng)到來。CA為了更好地滿足客戶的需要，給客戶提供更大的便利，設(shè)計(jì)開發(fā)的通用證書系統(tǒng)使得一證多用成為可能。數(shù)字證書和電子商務(wù)的關(guān)系電子商務(wù)正以不可逆轉(zhuǎn)之勢席卷全球的各行各業(yè)，但世界各地也面臨著共同的阻礙--電子商務(wù)的安全問題,必須要采用先進(jìn)的安全技術(shù)對網(wǎng)上的數(shù)據(jù)、信息發(fā)送方、接收方進(jìn)行身份確認(rèn)，以保證各方信息傳遞的安全性、完整性、可靠性和交易的不可抵賴性.以數(shù)字證書為核心的身份認(rèn)證、數(shù)字簽名、數(shù)字信封等數(shù)字加密技術(shù)是目前通用可行的安全問題解決方案。數(shù)字安全證書建立了一套嚴(yán)密的身份認(rèn)證系統(tǒng)，可以確保電子商務(wù)的安全性。信息的保密性交易中的商務(wù)信息均有保密的要求.如信用卡的帳號和用戶名被人知悉,就可能被盜用，訂貨和付款的信息被競爭對手獲悉，就可能喪失商機(jī)。因此在電子商務(wù)的信息傳播中一般均有加密的要求。交易者身份的確定性網(wǎng)上交易的雙方很可能素昧平生，相隔千里。要使交易成功首先要能確認(rèn)對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔(dān)心網(wǎng)上的商店不是一個玩弄欺詐的黑店.因此能方便而可靠地確認(rèn)對方身份是交易的前提。對于為顧客或用戶開展服務(wù)的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務(wù)活動,都要進(jìn)行身份認(rèn)證的工作.對有關(guān)的銷售商店來說，他們對顧客所用的信用卡的號碼是不知道的，商店只能把信用卡的確認(rèn)工作完全交給銀行來完成.銀行和信用卡公司可以采用各種保密與識別方法，確認(rèn)顧客的身份是否合法，同時(shí)還要防止發(fā)生拒付款問題以及確認(rèn)訂貨和訂貨收據(jù)信息等。不可否認(rèn)性由于商情的千變?nèi)f化,交易一旦達(dá)成是不能被否認(rèn)的。否則必然會損害一方的利益。例如訂購黃金，訂貨時(shí)金價(jià)較低，但收到訂單后，金價(jià)上漲了，如收單方能否認(rèn)受到訂單的實(shí)際時(shí)間，甚至否認(rèn)收到訂單的事實(shí)，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認(rèn)的.不可修改性交易的文件是不可被修改的，如上例所舉的訂購黃金.供貨單位在收到訂單后，發(fā)現(xiàn)金價(jià)大幅上漲了,如其能改動文件內(nèi)容，將訂購數(shù)1噸改為1克,則可大幅受益,那么訂貨單位可能就會因此而蒙受損失。因此電子交易文件也要能做到不可修改，以保障交易的嚴(yán)肅和公正。CA系統(tǒng)簡介人們在感嘆電子商務(wù)的巨大潛力的同時(shí)，不得不冷靜地思考，在人與人不見面的計(jì)算機(jī)互聯(lián)網(wǎng)上進(jìn)行交易和作業(yè)時(shí)，怎么才能保證交易的公正性和安全性，保證交易方身份的真實(shí)性。國際上已經(jīng)有比較成熟的安全解決方案，那就是建立安全證書體系結(jié)構(gòu)。數(shù)字安全證書提供了一種在網(wǎng)上驗(yàn)證身份的方式。安全證書體制主要采用了公開密鑰體制，其它還包括對稱密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù).我們可以使用數(shù)字證書，通過運(yùn)用對稱和非對稱密碼體制等密碼技術(shù)建立起一套嚴(yán)密的身份認(rèn)證系統(tǒng)，從而保證:信息除發(fā)送方和接收方外不被其它人竊取;信息在傳輸過程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認(rèn)接收方的身份；發(fā)送方對于自己的信息不能抵賴.系統(tǒng)特性高強(qiáng)度加密和認(rèn)證UniversalCA采用基于RSA加密算法的公鑰體系加密和認(rèn)證，可以生成512、768、1024位三種不同密鑰的長度的證書,確保證書的安全性和可靠性。多種生成證書的方法由用戶的請求文件生成證書.在服務(wù)器端由管理員為用戶生成證書。利用已有的數(shù)據(jù)庫為用戶生成證書。UniversalCA可以以上述三種方法生成證書,使用戶應(yīng)用極為方便。支持國際互聯(lián)網(wǎng)UniversalCA發(fā)放的證書不依賴于固定的內(nèi)部用戶，只需一個Email地址即可實(shí)現(xiàn)證書的申請及應(yīng)用，因此具有廣泛的應(yīng)用性.具有同其他系統(tǒng)交換數(shù)據(jù)的能力UniversalCA后臺應(yīng)用了東大阿爾派自主版權(quán)的數(shù)據(jù)庫Oopenbase可以實(shí)現(xiàn)證書的海量管理,并具有同其他系統(tǒng)交換數(shù)據(jù)的能力,這使得系統(tǒng)具有良好的開放性與通用性。易使用、功能強(qiáng)UniversalCA運(yùn)行在Windows環(huán)境下，將各種復(fù)雜操作屏蔽于后臺，前臺界面簡單，且支持請求、證書的批量操作，以及可以實(shí)現(xiàn)過期證書的自動撤消。CA機(jī)構(gòu)，又稱為證書授證(CertificateAuthority）中心，作為電子商務(wù)交易中受信任和具有權(quán)威性的第三方，承擔(dān)公鑰體系中公鑰的合法性檢驗(yàn)的責(zé)任。CA中心為每個使用公開密鑰的客戶發(fā)放數(shù)字證書，數(shù)字證書的作用是證明證書中列出的客戶合法擁有證書中列出的公開密鑰。CA機(jī)構(gòu)的數(shù)字簽名使得第三者不能偽造和篡改證書.它負(fù)責(zé)產(chǎn)生、分配并管理所有參與網(wǎng)上信息交換各方所需的數(shù)字證書，因此是安全電子信息交換的核心。為保證客戶之間在網(wǎng)上傳遞信息的安全性、真實(shí)性、可靠性、完整性和不可抵賴性，不僅需要對客戶的身份真實(shí)性進(jìn)行驗(yàn)證，也需要有一個具有權(quán)威性、公正性、唯一性的機(jī)構(gòu)，負(fù)責(zé)向電子商務(wù)的各個主體頒發(fā)并管理符合國內(nèi)、國際安全電子交易協(xié)議標(biāo)準(zhǔn)的安全證書。數(shù)字證書管理中心是保證電子商務(wù)安全的基礎(chǔ)設(shè)施.它負(fù)責(zé)電子證書的申請、簽發(fā)、制作、廢止、認(rèn)證和管理,提供網(wǎng)上客戶身份認(rèn)證、數(shù)字簽名、電子公證、安全電子郵件等服務(wù)等業(yè)務(wù)。

CA為電子商務(wù)服務(wù)的證書中心，是PKI（PublicKeyInfrastructure）體系的核心.它為客戶的公開密鑰簽發(fā)公鑰證書、發(fā)放證書和管理證書,并提供一系列密鑰生命周期內(nèi)的管理服務(wù).它將客戶的公鑰與客戶的名稱及其他屬性關(guān)聯(lián)起來,為客戶之間電子身份進(jìn)行認(rèn)證.證書中心是一個具有權(quán)威性、可信賴性和公證性的第三方機(jī)構(gòu)。它是電子商務(wù)存在和發(fā)展的基礎(chǔ)。認(rèn)證中心在密碼管理方面的作用如下:自身密鑰的產(chǎn)生、存儲、備份/恢復(fù)、歸檔和銷毀從根CA開始到直接給客戶發(fā)放證書的各層次CA，都有其自身的密鑰對。CA中心的密鑰對一般由硬件加密服務(wù)器在機(jī)器內(nèi)直接產(chǎn)生，并存儲于加密硬件內(nèi)，或以一定的加密形式存放于密鑰數(shù)據(jù)庫內(nèi)。加密備份于IC卡或其他存儲介質(zhì)中,并以高等級的物理安全措施保護(hù)起來。密鑰的銷毀要以安全的密鑰沖寫標(biāo)準(zhǔn),徹底清除原有的密鑰痕跡。需要強(qiáng)調(diào)的是,根CA密鑰的安全性至關(guān)重要，它的泄露意味著整個公鑰信任體系的崩潰,所以CA的密鑰保護(hù)必須按照最高安全級的保護(hù)方式來進(jìn)行設(shè)置和管理.為認(rèn)證中心與各地注冊審核發(fā)放機(jī)構(gòu)的安全加密通信提供安全密鑰管理服務(wù)。在客戶證書的生成與發(fā)放過程中，除了有CA中心外，還有注冊機(jī)構(gòu)、審核機(jī)構(gòu)和發(fā)放機(jī)構(gòu)(對于有外部介質(zhì)的證書）的存在.行業(yè)使用范圍內(nèi)的證書，其證書的審批控制，可由獨(dú)立于CA中心的行業(yè)審核機(jī)構(gòu)來完成。CA中心在與各機(jī)構(gòu)進(jìn)行安全通信時(shí)，可采用多種手段。對于使用證書機(jī)制的安全通信，各機(jī)構(gòu)（通信端）的密鑰產(chǎn)生、發(fā)放與管理維護(hù)，都可由CA中心來完成。確定客戶密鑰生存周期,實(shí)施密鑰吊銷和更新管理。每一張客戶公鑰證書都會有有效期，密鑰對生命周期的長短由簽發(fā)證書的CA中心來確定。各CA系統(tǒng)的證書有效期限有所不同，一般大約為2～3年.密鑰更新不外為以下兩種情況：密鑰對到期、密鑰泄露后需要啟用新的密鑰對（證書吊銷)。密鑰對到期時(shí)，客戶一般事先非常清楚，可以采用重新申請的方式實(shí)施更新。采用證書的公鑰吊銷,是通過吊銷公鑰證書來實(shí)現(xiàn)的。公鑰證書的吊銷來自于兩個方向，一個是上級的主動吊銷，另一個是下級主動申請證書的吊銷。當(dāng)上級CA對下級CA不能信賴時(shí)（如上級發(fā)現(xiàn)下級CA的私鑰有泄露的可能）,它可以主動停止下級CA公鑰證書的合法使用。當(dāng)客戶發(fā)現(xiàn)自己的私鑰泄露時(shí),也可主動申請公鑰證書的吊銷，防止其他客戶繼續(xù)使用該公鑰來加密重要信息，而使非法客戶有盜取機(jī)密的可能.一般而言，在電子商務(wù)實(shí)際應(yīng)用中，可能會較少出現(xiàn)私鑰泄露的情況，多數(shù)情況是由于某個客戶由于組織變動而調(diào)離該單位,需要提前吊銷代表企業(yè)身份的該客戶的證書。提供密鑰生成和分發(fā)服務(wù)。CA中心可為客戶提供密鑰對的生成服務(wù),它采用集中或分布式的方式進(jìn)行。在集中的情形下,CA中心可使用硬件加密服務(wù)器,為多個客戶申請成批的生成密鑰對，然后采用安全的信道分發(fā)給客戶。也可由多個注冊機(jī)構(gòu)(RA）分布生成客戶密鑰對并分發(fā)給客戶.提供密鑰托管和密鑰恢復(fù)服務(wù)。CA中心可根據(jù)客戶的要求提供密鑰托管服務(wù)，備份和管理客戶的加密密鑰對。當(dāng)客戶需要時(shí)可以從密鑰庫中提出客戶的加密密鑰對，為客戶恢復(fù)其加密密鑰對，以解開先前加密的信息。這種情形下，CA中心的密鑰管理器,采用對稱加密方式對各個客戶私鑰進(jìn)行加密，密鑰加密密鑰在加密后即銷毀,保證了私鑰存儲的安全性。密鑰恢復(fù)時(shí),采用相應(yīng)的密鑰恢復(fù)模塊進(jìn)行解密，以保證客戶的私鑰在恢復(fù)時(shí)沒有任何風(fēng)險(xiǎn)和不安全因素.同時(shí),CA中心也應(yīng)有一套備份庫，避免密鑰數(shù)據(jù)庫的意外毀壞而無法恢復(fù)客戶私鑰.其他密鑰生成和管理、密碼運(yùn)算功能。CA中心在自身密鑰和客戶密鑰管理方面的特殊地位和作用，決定了它具有主密鑰、多級密鑰加密密鑰等多種密鑰的生成和管理功能.對于為客戶提供公鑰信任、管理和維護(hù)整個電子商務(wù)密碼體系的CA中心來講，其密鑰管理工作是一項(xiàng)十分復(fù)雜的任務(wù)，它涉及到CA中心自身的各個安全區(qū)域和部件、注冊審核機(jī)構(gòu)以及客戶端的安全和密碼管理策略。SSL加密SSL是一種國際標(biāo)準(zhǔn)的加密及身份認(rèn)證通信協(xié)議，您用的瀏覽器就支持此協(xié)議。SSL(SecureSocketsLayer）最初是由美國Netscape公司研究出來的，后來成為了Internet網(wǎng)上安全通訊與交易的標(biāo)準(zhǔn)。SSL協(xié)議使用通訊雙方的客戶證書以及CA根證書，允許客戶/服務(wù)器應(yīng)用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。它具備以下基本特征:信息保密性、信息完整性、相互鑒定。SSL（SecureSocketLayer）：安全套接層協(xié)議SSL協(xié)議是由Netscape首先發(fā)表的網(wǎng)絡(luò)資料安全傳輸協(xié)定，其首要目的是在兩個通信間提供秘密而可靠的連接。該協(xié)議由兩層組成，底層是建立在可靠的傳輸協(xié)議（例如:TCP）上的是SSL的記錄層，用來封裝高層的協(xié)議。SSL握手協(xié)議準(zhǔn)許服務(wù)器端與客戶端在開始傳輸數(shù)據(jù)前，能夠通過特定的加密算法相互鑒別。SSL的先進(jìn)之處在于它是一個獨(dú)立的應(yīng)用協(xié)議，其它更高層協(xié)議能夠建立在SSL協(xié)議上。目前大部分的WebServer及Browser大多支持SSL的資料加密傳輸協(xié)定。因此，可以利用這個功能，將部分具有機(jī)密性質(zhì)的網(wǎng)頁設(shè)定在加密的傳輸模式，如此即可避免資料在網(wǎng)絡(luò)上傳送時(shí)被其他人竊聽。SSL是利用公開密鑰的加密技術(shù)（RSA）來作為用戶端與主機(jī)端在傳送機(jī)密資料時(shí)的加密通訊協(xié)定.目前，大部分的WebServer及Browser都廣泛使用SSL技術(shù)。對消費(fèi)者而言，SSL已經(jīng)解決了大部分的問題.但是，對電子商務(wù)而言問題并沒有完全解決，因?yàn)镾SL只做能到資料保密，廠商無法確定是誰填下了這份資料，即使這一點(diǎn)做到了，還有和銀行清算的問題。SSL是目前在網(wǎng)上購物網(wǎng)站中最常使用的一種安全協(xié)議，它主要的設(shè)計(jì)目的在于確保信息在網(wǎng)際網(wǎng)絡(luò)上流通的安全性，讓主從式結(jié)構(gòu)的應(yīng)用程序(如瀏覽器與web服務(wù)器）能夠安全地進(jìn)行溝通。當(dāng)然，這里的安全指的是信息不被偽造，不被網(wǎng)絡(luò)上的黑客中途攔劫解毒及擅自更改。SSL的協(xié)議中結(jié)合了許多密碼學(xué)的技術(shù),其中包括:1．信息加解密。2．?dāng)?shù)字簽名與簽證技術(shù)。除此之外,在進(jìn)行安全聯(lián)機(jī)之前,SSL會先采取“握手”(Handshaking）的動作，以確保網(wǎng)絡(luò)上通信的雙方都能夠按部就班的根據(jù)預(yù)定步驟建立起兩者之間的安全通道.SSL可以提供以下三種安全防護(hù)：數(shù)據(jù)的機(jī)密性與完整性：主要是通過數(shù)據(jù)的加解密來實(shí)現(xiàn)。1．服務(wù)器端的個體識別服務(wù)：利用服務(wù)器的數(shù)字證書來驗(yàn)證商店的資格，這是必要的手續(xù)，如此我們才能保證商店的有效性。2．客戶端的個體識別服務(wù):同樣是通過客戶自己的數(shù)字證書來完成。但這個服務(wù)并不是必要的，可根據(jù)需求來設(shè)置.以網(wǎng)上購物的例子來說，為了不讓網(wǎng)絡(luò)上的第三者看到我們的信用卡數(shù)據(jù),因此必須先將數(shù)據(jù)加密之后再傳送,而當(dāng)數(shù)據(jù)到達(dá)對方服務(wù)器時(shí)再將數(shù)據(jù)解密,同時(shí)檢查數(shù)據(jù)是否有被他人更改過，如果發(fā)現(xiàn)任何的錯誤，那么這份數(shù)據(jù)就不會被接受。3．除此之外，SSL也利用數(shù)字證書的方法類確定商店的資格.因此商家如果想要提供網(wǎng)上交易的服務(wù)，他必須先向認(rèn)證中心是、提出商店的合法證明，如營業(yè)執(zhí)照，負(fù)責(zé)人等等（不同的餓認(rèn)證中心所要求的文件可能不同）。檢查通過后才能取得數(shù)字證書。SSL內(nèi)部使用的是RSA公司所授權(quán)的公開金鑰加密法，服務(wù)器必須申請屬于自己的數(shù)字證書,加裝到服務(wù)器中作為識別之用。如此一來，一個加裝SSL的服務(wù)器便可以與支持SSL的瀏覽器相互傳送機(jī)密數(shù)據(jù)了，即使是internet也不同擔(dān)心.SSL協(xié)議運(yùn)行的基點(diǎn)是商家對客戶信息保密的承諾。SSL協(xié)議有利于商家而不利于客戶.客戶的信息首先傳到商家，商家閱讀后再傳到銀行，這樣，客戶資料的安全性便受到威脅。商家認(rèn)證客戶是必要時(shí)，但整個過程中缺少了客戶對商家的認(rèn)證。在電子商務(wù)的開始階段，由于參與電子商務(wù)的公司大都是一些大公司,信譽(yù)較高，這個問題沒有引起人們的重視。隨著電子商務(wù)參與的廠商迅速增加,對廠商的認(rèn)證問題越來越突出，SSL協(xié)議的缺點(diǎn)完全暴露出來.SSL協(xié)議逐漸被新的SET協(xié)議所取代.目前我國開發(fā)的電子支付系統(tǒng)，無論是中國銀行的長城卡電子支付系統(tǒng)，還是上海長途電信局的網(wǎng)上支付系統(tǒng)，均沒有采用SSL協(xié)議.主要原因就是無法保證客戶資金的安全性.防病毒系統(tǒng)計(jì)算機(jī)病毒是附屬在其它文件上的一種程序，可以自行復(fù)制。計(jì)算機(jī)病毒十分有害,如果沒有檢測和防護(hù)，用戶經(jīng)常不知道自己感染上病毒，直到病毒發(fā)作并產(chǎn)生危害.病毒中的破壞進(jìn)程可以格式化硬盤、破壞分區(qū)表或占用計(jì)算機(jī)資源。病毒十分流行。事實(shí)上，目前世界上已存在超過10，000種，計(jì)算機(jī)存在病毒的比率高達(dá)35-85％，中國、香港、臺灣為高發(fā)區(qū)。盡管病毒在Apple機(jī)和PC上都存在,但在PC系統(tǒng)中更為廣泛，這是因?yàn)镸S-DOS結(jié)構(gòu)使用中斷和向量表，編寫病毒相對容易.清除病毒十分困難。據(jù)分析，對于數(shù)據(jù)丟失，病毒發(fā)作的損失在US＄2000-50，000，而恢復(fù)數(shù)據(jù)的代價(jià)十分昂貴甚至不可能，而且清除后病毒還可能再感染。因此,每個用戶有50%的可能感染病毒并招致?lián)p失.大的計(jì)算機(jī)網(wǎng)絡(luò)幾乎必然被病毒感染。病毒的類型介質(zhì)病毒病毒可分為兩類:文件型和引導(dǎo)型。文件型病毒駐留在另一個。EXE或.COM文件中，當(dāng)文件執(zhí)行時(shí)截取系統(tǒng)控制,并將自身附加到另外的文件上。引導(dǎo)型駐留在軟盤或硬盤的引導(dǎo)區(qū)，在系統(tǒng)啟動時(shí)裝入內(nèi)存，然后監(jiān)視DOS中斷并感染插在軟驅(qū)中的磁盤.有兩種病毒不容易被檢測:隱身病毒和多態(tài)病毒.隱身病毒使用DOS中斷，并不斷變換方式,避開文件大小監(jiān)測。多態(tài)病毒目前很多，在傳染時(shí)修改本身的版本，使根據(jù)模式掃描的病毒檢測程序無能為力。最初,大約80％的病毒是引導(dǎo)型病毒。隨著Internet的普及，文件型病毒變得越來越多.另外，一種新型的文件病毒感染文檔和圖表的病毒，被稱作宏病毒，使用文字處理器和表格中的編碼，是目前最多的病毒。這種病毒通過電子郵件的附件快速傳染，躲過了許多只檢查。EXE和。COM文件的防病毒程序。網(wǎng)絡(luò)病毒網(wǎng)絡(luò)病毒的特性通過攻擊操作系統(tǒng)或應(yīng)用軟件的已知安全漏洞來獲得控制權(quán)在本地硬盤上并不留下文件由于其在網(wǎng)絡(luò)上進(jìn)行掃描的動作，可能會引起嚴(yán)重的網(wǎng)絡(luò)負(fù)載如果攻擊是屬于常規(guī)的應(yīng)用，例如SQL,IIS等就可能穿過防火墻木馬病毒木馬病毒有可能洗劫用戶網(wǎng)上銀行存款、造成網(wǎng)絡(luò)游戲玩家裝備丟失、被黑客利用執(zhí)行不法行為等。如今，針對以上各種現(xiàn)象的危害越來越多,木馬病毒已成為威脅數(shù)字娛樂的大敵。根據(jù)木馬病毒的特點(diǎn)與其危害范圍來講，木馬病毒又分為以下五大類別:針對網(wǎng)游的木馬病毒、針對網(wǎng)上銀行的木馬病毒、針對即時(shí)通訊工具的木馬病毒、給計(jì)算機(jī)開后門的木馬病毒、推廣廣告的木馬病毒.病毒的檢測客戶端防病毒軟件安裝在客戶計(jì)算機(jī)上，當(dāng)用戶啟動計(jì)算機(jī)時(shí)或用戶手動運(yùn)行時(shí)檢查硬盤或軟盤。好的桌面產(chǎn)品使用多種檢測方式，例如監(jiān)視病毒的行為（如格式化硬盤）、根據(jù)已知病毒代碼庫比較文件、檢查無法解釋的文件大小改變等。但是,客戶端防病毒軟件有一個致命弱點(diǎn):只是在用戶使用時(shí)周期地檢測病毒，對下載的、或其他方式傳輸?shù)奈募t不檢測,而這些文件可能帶有病毒。另外，每個客戶端要同時(shí)安裝防病毒軟件,更新、維護(hù)十分麻煩。因此，出現(xiàn)了網(wǎng)絡(luò)防病毒軟件,駐留在網(wǎng)絡(luò)服務(wù)器上，運(yùn)行于NetWare或WindowsNT環(huán)境,對通過服務(wù)器傳遞的文件病毒進(jìn)行檢測。服務(wù)器防病毒軟件比客戶端防病毒軟件效率提高了很多，可以集中管理病毒防范、經(jīng)常掃描文件病毒，并及時(shí)更新病毒庫。然而，文件服務(wù)器型防病毒軟件也有一些缺點(diǎn):很強(qiáng)的網(wǎng)絡(luò)服務(wù)器防病毒功能,客戶端則沒有，對于不通過文件服務(wù)器的文件型病毒，如從Internet下載的文件和電子郵件,則無法防護(hù)。其次，服務(wù)器防病毒軟件不能掃描電子郵件附件上的病毒.這是因?yàn)樵贚AN中，電子郵件和附件被加密,只有附件在“另存為”在硬盤上時(shí)病毒掃描程序才啟動,從而導(dǎo)致病毒掃描不及時(shí)、效率低。隨著Internet的普及，越來越多的企業(yè)、大學(xué)、政府和消費(fèi)者共享文件、發(fā)送信息、通過網(wǎng)絡(luò)交談。最重要的兩種方式是通過電子郵件和FTP交換郵件和文件。伴隨而來的問題是許多病毒通過文件下載和電子郵件傳播，而且傳播的速度十分驚人。本質(zhì)上,Internet成為傳播病毒的電腦空間，計(jì)算機(jī)系統(tǒng)管理員很少能控制網(wǎng)絡(luò)用戶下載帶病毒的免費(fèi)軟件、共享軟件或游戲.在公司內(nèi)部網(wǎng)絡(luò)上傳輸文件也不是沒有風(fēng)險(xiǎn)，因?yàn)榇嬖诟郊釉诜强蓤?zhí)行文件，如Word、Excel或電子郵件上的病毒。Internet上的病毒不經(jīng)過文件服務(wù)器，因此服務(wù)器防病毒軟件不起作用。許多網(wǎng)絡(luò)都配置了防火墻，可以拒絕沒有授權(quán)的訪問或阻止可能引起問題的外部用戶訪問內(nèi)部網(wǎng),但防火墻無法防病毒.因此出現(xiàn)了新型的防病毒軟件：病毒墻（Virus-Wall)。病毒墻駐留在Internet網(wǎng)關(guān),在病毒進(jìn)入系統(tǒng)搞破壞前進(jìn)行檢測并清除。防病毒建議方案由于在這次網(wǎng)站的建設(shè)中,服務(wù)器使用Linux操作系統(tǒng).現(xiàn)在流行的病毒通常情況下只是針對windows操作系統(tǒng)中。因此，系統(tǒng)在針對病毒方面是相對安全的。網(wǎng)站監(jiān)控與恢復(fù)系統(tǒng)近幾年，隨著Internet的普及，網(wǎng)絡(luò)上發(fā)生的攻擊事件越來越普遍，一個普通人員在Internet上可以很容易的找到攻擊工具，然后攻擊網(wǎng)站.網(wǎng)站被篡改的事件時(shí)有發(fā)生。因此,對網(wǎng)站進(jìn)行保護(hù)是非常必要的。網(wǎng)站實(shí)時(shí)監(jiān)控與恢復(fù)系統(tǒng)是一種網(wǎng)站的災(zāi)難恢復(fù)技術(shù)，它的立足點(diǎn)是在其它的網(wǎng)站安全措施，如使用防火墻、加強(qiáng)Web服務(wù)器軟件自身的安全性、清查不安全的CGI程序都失敗,網(wǎng)頁文件被黑客破壞的情況下，網(wǎng)站文件系統(tǒng)的自動恢復(fù)問題.SAN網(wǎng)絡(luò)存儲/備份/災(zāi)難恢復(fù)：采用目前流行的群集技術(shù)SAN技術(shù)，將存儲設(shè)備從傳統(tǒng)的以太網(wǎng)中隔離出來,成為獨(dú)立的存儲域網(wǎng)絡(luò).完全采用光纖連接,保證了數(shù)據(jù)傳輸帶寬達(dá)到100MB/S.使大量的數(shù)據(jù)只是在服務(wù)器和存儲設(shè)備之間流動，不占用網(wǎng)絡(luò)帶寬及服務(wù)器資源.建立遠(yuǎn)程備份中心，進(jìn)行遠(yuǎn)程容災(zāi)備份，確保系統(tǒng)的數(shù)據(jù)安全.業(yè)務(wù)網(wǎng)絡(luò)安全設(shè)計(jì)網(wǎng)絡(luò)安全設(shè)計(jì)原則防止來自外部的黑客攻擊防止來自內(nèi)部的惡意攻擊網(wǎng)絡(luò)資源訪問控制網(wǎng)絡(luò)傳輸?shù)膶?shí)時(shí)監(jiān)控強(qiáng)大的安全審計(jì)事件分析與告警在本方案中，網(wǎng)絡(luò)的對外出口處以及在總行和分行之間的連接都設(shè)置防火墻將是最理想的選擇，外部網(wǎng)出口都配置防火墻，以及在總行與分行的業(yè)務(wù)網(wǎng)的連接處也配置防火墻,對外防止黑客入侵，對內(nèi)以防止內(nèi)部人員的惡意攻擊或由于內(nèi)部人員造成的網(wǎng)絡(luò)安全問題。本方案中主要用到NetScreen-10和NetScreen—100，在總行與分行連接點(diǎn)采用NetScreen-100作為防火墻，同時(shí)在重要的業(yè)務(wù)連接點(diǎn)采用NetScreen獨(dú)特的多機(jī)備份技術(shù)用兩臺作為熱備份，保證整個系統(tǒng)的網(wǎng)絡(luò)安全.在分行采用NetScreen—10防火墻，為連接各終端以及服務(wù)器節(jié)點(diǎn)提供安全防護(hù).系統(tǒng)的安全設(shè)計(jì)威脅及漏洞作為一個網(wǎng)絡(luò)營銷和管理系統(tǒng)，由于涉及信息的敏感性自然會成為內(nèi)部和外部黑客攻擊的目標(biāo)，當(dāng)前面臨的主要風(fēng)險(xiǎn)和威脅有：非法訪問：一個遠(yuǎn)程互連的網(wǎng)絡(luò)營銷和管理系統(tǒng).現(xiàn)有網(wǎng)絡(luò)系統(tǒng)利用操作系統(tǒng)網(wǎng)絡(luò)設(shè)備進(jìn)行訪問控制，而這些訪問控制強(qiáng)度較弱,攻擊者可以在任一終端利用現(xiàn)有的大量攻擊工具發(fā)起攻擊;由于整個網(wǎng)絡(luò)通過公用網(wǎng)絡(luò)互連同樣存在鏈接終端進(jìn)行攻擊的可能；另一方面開發(fā)的很多增值業(yè)務(wù)、代理業(yè)務(wù)，存在大量與外界互連的接口這些接口現(xiàn)在沒有強(qiáng)的安全保護(hù)措施存在外部網(wǎng)絡(luò)通過這些接口攻擊,可能造成巨大損失。竊取PIN/密鑰等敏感數(shù)據(jù)：系統(tǒng)目前沒有使用任何的數(shù)據(jù)加密技術(shù)，因此安全的關(guān)鍵是對進(jìn)行數(shù)據(jù)加密保護(hù)，可以使用密鑰加密技術(shù)，從而避免主機(jī)中敏感數(shù)據(jù)的丟失。假冒終端/操作員：網(wǎng)絡(luò)中存在大量遠(yuǎn)程終端通過公網(wǎng)與前置機(jī)相連，因此，網(wǎng)絡(luò)服務(wù)器存在大量安全隱患。現(xiàn)有操作員身份識別唯一,但口令的安全性非常弱因此存在大量操作員假冒的安全風(fēng)險(xiǎn)。截獲和篡改傳輸數(shù)據(jù)：現(xiàn)有網(wǎng)絡(luò)系統(tǒng)通過公網(wǎng)傳輸大量的數(shù)據(jù)沒有加密，由于信息量大且采用的是開放的TCP/IP，現(xiàn)有的許多工具可以很容易的截獲、分析甚至修改信息，主機(jī)系統(tǒng)很容易成為被攻擊對象。其他安全風(fēng)險(xiǎn)：主要有病毒、系統(tǒng)安全（主要有操作系統(tǒng)、數(shù)據(jù)庫的安全配置）以及系統(tǒng)的安全備份等。計(jì)說明在對網(wǎng)絡(luò)結(jié)初步分析后我們提出以下安全措施來安全處理。圖四、網(wǎng)絡(luò)安全防火墻保護(hù)總體示意圖通常電子商務(wù)，也包括網(wǎng)絡(luò)中用到的通信線路涉及到：X.25、FR、DDN、ISDN、撥號等通信接口和協(xié)議，因此，最佳的方案是在網(wǎng)絡(luò)層上采用先進(jìn)的NETSCREEN網(wǎng)絡(luò)安全技術(shù)，以有效的阻止外來的攻擊和保證業(yè)務(wù)數(shù)據(jù)在公網(wǎng)上的安全傳輸，同時(shí)在應(yīng)用層上提供對敏感數(shù)據(jù)加密消息進(jìn)行完整性鑒別及密鑰管理因此可以通過各級節(jié)點(diǎn)配備NETSCREEN100來保證IP包的機(jī)密性。在業(yè)務(wù)系統(tǒng)中為了保護(hù)用戶敏感信息防止信息被非法篡改實(shí)現(xiàn)對業(yè)務(wù)數(shù)據(jù)加密、身份認(rèn)證等安全功能。系統(tǒng)的安全設(shè)計(jì)各業(yè)務(wù)系統(tǒng)的分離現(xiàn)有網(wǎng)絡(luò)上部署了多種應(yīng)用，包括ERP系統(tǒng)、CRM系統(tǒng)、內(nèi)部OA系統(tǒng)、在線銷售系統(tǒng)、在線銷售管理系統(tǒng)等一系列的業(yè)務(wù)系統(tǒng)，這些業(yè)務(wù)系統(tǒng)之間存在一定的聯(lián)系，但又要防止侵權(quán)使用資源，特別是在線銷售系統(tǒng)與ERP和管理系統(tǒng)，所以各業(yè)務(wù)系統(tǒng)的隔離是保障業(yè)系統(tǒng)安全的一個重環(huán)節(jié).圖五、各業(yè)務(wù)系統(tǒng)隔離方案在企業(yè)內(nèi)部，各業(yè)務(wù)系統(tǒng)使用的主機(jī)IP地址要有嚴(yán)格的區(qū)分,為建立訪問控制機(jī)制為核心的隔離措施提供方便。在局域網(wǎng)當(dāng)中，通過具有第二層（支持VLAN劃分，VLAN為虛擬局域網(wǎng)）或三層交換的交換機(jī)（支持VLAN劃分及網(wǎng)內(nèi)路由），劃分業(yè)務(wù)系統(tǒng)在一個VLAN范圍內(nèi),OA系統(tǒng)在另的一個VLAN范圍內(nèi)，各VLAN之間不直接交換數(shù)據(jù)，在必要的情況下，采取一定技術(shù)實(shí)現(xiàn)部分?jǐn)?shù)據(jù)交換。在各個業(yè)務(wù)內(nèi)可以象總部一樣，通過VLAN的劃分，劃分業(yè)務(wù)VLAN和OAVLAN，隔離辦公網(wǎng)與業(yè)務(wù)網(wǎng)。VLAN技術(shù)是近階段較流行的局域網(wǎng)隔離技術(shù)，在一套硬件網(wǎng)絡(luò)環(huán)境內(nèi)運(yùn)行許多個（視交換機(jī)支持?jǐn)?shù)據(jù)）完全獨(dú)立、互不通信的局域網(wǎng)，看起來就象兩個完全分隔開的局域網(wǎng)系統(tǒng).使用VLAN劃分開之后，當(dāng)網(wǎng)絡(luò)信息通過路由器后,MAC地址信息都會被路由器的MAC地址所替代，VLAN的隔離作用消失.就是說總行內(nèi)和分行內(nèi)劃分出的業(yè)務(wù)VLAN和OAVLAN,在局域網(wǎng)內(nèi)根據(jù)路由策略，及對對MAC地址的判別，可使隔離的業(yè)務(wù)VLAN和OAVLAN按需實(shí)現(xiàn)通迅。遠(yuǎn)程通訊是通過路由器的同一個廣域網(wǎng)端口，經(jīng)過廣域網(wǎng)傳輸后的業(yè)務(wù)網(wǎng)和OA網(wǎng)是無法通過VLAN技術(shù)加以隔離的。如不加以控制，總行的業(yè)務(wù)網(wǎng)和OA網(wǎng)雖然不能互相訪問，但總行的業(yè)務(wù)網(wǎng)可以和分行的OA網(wǎng)相互通訊，因此必須建立一定的訪問控制加以限制。因此要在路由器之后配備防火墻，執(zhí)行訪問控制功能,分劃業(yè)務(wù)網(wǎng)與OA網(wǎng)的通訊界線。敏感數(shù)據(jù)區(qū)的保護(hù)在線銷售和ERP系統(tǒng)內(nèi)存在許多敏感數(shù)區(qū)域（如業(yè)務(wù)系統(tǒng)主機(jī)等)，這些敏感的數(shù)據(jù)區(qū)域要求嚴(yán)格保密，對訪問的權(quán)限有嚴(yán)格的限制,但所有的主機(jī)處于同一個網(wǎng)絡(luò)系統(tǒng)之內(nèi),如不加以控制,這樣很容易造成網(wǎng)內(nèi)及網(wǎng)外的惡意攻擊，所以在這些數(shù)據(jù)區(qū)域的出入口要加以嚴(yán)格控制，在這些地方放置防火墻，防火墻執(zhí)行以下控制功能.對來訪數(shù)據(jù)包進(jìn)行過濾，只允許驗(yàn)證合法主機(jī)數(shù)據(jù)包通過，禁止一切非授權(quán)主機(jī)訪問。對來訪用戶進(jìn)行驗(yàn)證。防上非法用戶侵入。運(yùn)用網(wǎng)絡(luò)地址轉(zhuǎn)換及應(yīng)用代理使數(shù)據(jù)存儲區(qū)域與業(yè)務(wù)前端主機(jī)隔離，業(yè)務(wù)前端主機(jī)不直接與數(shù)據(jù)存儲區(qū)域建立網(wǎng)絡(luò)連接,所有的數(shù)據(jù)訪問通過防火墻的應(yīng)用代理完成，以保證數(shù)據(jù)存儲區(qū)域的安全。敏感數(shù)據(jù)區(qū)保護(hù)方案通迅線路數(shù)據(jù)加密在廣域網(wǎng)傳輸系統(tǒng)中,廣泛應(yīng)用到幀中繼、X.25、DDN、PSTN等等之類的通用線路，但這些線路大多數(shù)都是由通訊公司提供，與許多用戶在一套系統(tǒng)上使用他們的業(yè)務(wù),由于這些線路都是暴露在公共場所,這樣很容易造成數(shù)據(jù)被盜。傳輸數(shù)據(jù)當(dāng)中如果不進(jìn)行數(shù)據(jù)加密，后果可想而知.所以對數(shù)據(jù)傳輸加密這是一非常重要的環(huán)節(jié)。對網(wǎng)絡(luò)數(shù)據(jù)加密大致分為以下幾處區(qū)域：層加密層加密，應(yīng)用程序?qū)ν饨缃粨Q數(shù)據(jù)時(shí)進(jìn)行數(shù)據(jù)加密。主要優(yōu)點(diǎn)是使用方便、網(wǎng)絡(luò)中數(shù)據(jù)從源點(diǎn)到終點(diǎn)均得到保護(hù)、加密對網(wǎng)絡(luò)節(jié)點(diǎn)透明。缺點(diǎn)是某些信息必須以明文形式傳輸，容易被分析。此種加密已被廣泛應(yīng)用于各應(yīng)用程序當(dāng)中,并有相應(yīng)的標(biāo)準(zhǔn).網(wǎng)絡(luò)層的數(shù)據(jù)加密在的各個業(yè)務(wù)分支服務(wù)器之間建議采用VPN加密技術(shù)進(jìn)行數(shù)據(jù)加密。VPN是通過標(biāo)準(zhǔn)的加密算法，對傳輸數(shù)據(jù)進(jìn)行加密，在公用網(wǎng)上建立數(shù)據(jù)傳輸?shù)募用堋八淼馈?。加密?shí)現(xiàn)是在IP層，與具體的廣域網(wǎng)協(xié)議無關(guān)，也就是說適應(yīng)不同的廣域網(wǎng)信道(DDN、X。25、幀中繼、PSTN等）.由于VPN技術(shù)已經(jīng)擁有標(biāo)準(zhǔn)，因此所有的VPN產(chǎn)品可以實(shí)現(xiàn)互通.利用VPN技術(shù)對數(shù)據(jù)傳輸進(jìn)行加密防火墻自身的保護(hù)要保護(hù)網(wǎng)絡(luò)安全,防火墻本身要保證安全,由于系統(tǒng)供電、硬件故障等特殊情況的發(fā)生,使防火墻系統(tǒng)癱瘓,嚴(yán)重阻礙網(wǎng)絡(luò)通訊，網(wǎng)絡(luò)的安全就無法保證，所以要求防火墻有冗余措施及足夠防攻擊的能力.防火墻雙機(jī)備份方案網(wǎng)絡(luò)安全設(shè)計(jì)目前，在發(fā)達(dá)國家，電子商務(wù)發(fā)展十分迅速,電子商務(wù)技術(shù)已趨成熟，通過Internet進(jìn)行交易也已逐漸成為潮流,全球電子商務(wù)的應(yīng)用也已拉開帷幕.網(wǎng)上銀行在電子商務(wù)中的一個具體應(yīng)用，自1995年10月，全球第一家網(wǎng)上銀行開張,到1996年8月，已有600多家銀行上網(wǎng),提供服務(wù)信息甚至在網(wǎng)上提供全套金融服務(wù).1997年，研究企業(yè)對17個國家的130家大型金融機(jī)構(gòu)調(diào)查，發(fā)現(xiàn)13%已經(jīng)在網(wǎng)上與客戶直接交易.而1999年，60％在網(wǎng)上營業(yè)。在我國，Internet的應(yīng)用發(fā)展也很快，而且金融通訊網(wǎng)絡(luò)正在迅速擴(kuò)大，我國的銀行金融系統(tǒng),以銀行金融網(wǎng)絡(luò)為基礎(chǔ)，以現(xiàn)代支付系統(tǒng)為龍頭的金融電子化工程已經(jīng)全面鋪開，進(jìn)展很快。建設(shè)網(wǎng)上銀行已是大勢所趨,而其中非常重要的一點(diǎn)就是整個系統(tǒng)的安全保證，包括數(shù)據(jù)的安全保證、交易的安全保證、支付的安全保證。現(xiàn)今有許多實(shí)現(xiàn)手段，以保證電子商務(wù)系統(tǒng)的安全運(yùn)行，其中比較流行有如下幾種:電子商務(wù)系統(tǒng)防火墻信息加密身份認(rèn)證信息簽名系統(tǒng)示意圖設(shè)計(jì)說明：通過在電子商務(wù)平臺和INTERNET之間安裝NetScreen—100,通過其基于狀態(tài)檢測包過濾，能有效的將非法的數(shù)據(jù)包排除在防火墻以外，通過NAT（網(wǎng)絡(luò)地址翻譯）,將內(nèi)部服務(wù)器（如提供電子商務(wù)服務(wù)的服務(wù)器）的IP地址轉(zhuǎn)換成外部IP地址,能有效的防止黑客通過各種手段來攻擊或入侵內(nèi)部的服務(wù)器?？梢员ＷC電子商務(wù)平臺不受到入侵，能夠?qū)λ械男畔⒘鞣怄i，并且開放希望提供的服務(wù)。Netscreen-100可以設(shè)置虛擬IP,選擇負(fù)載平衡算法，如輪詢、帶優(yōu)先級的輪詢、最少連接數(shù)、帶優(yōu)先級的最少優(yōu)先級等多種算法實(shí)現(xiàn)電子商務(wù)服務(wù)器的負(fù)載平衡。負(fù)載平衡示意可以將一個合法的外部IP地址映射給內(nèi)部多臺服務(wù)器的IP，由多臺服務(wù)器分擔(dān)網(wǎng)絡(luò)上訪問服務(wù)器的流量。如上圖中將一個IP地址：200。10.10.5指定給DMZ區(qū)的多臺服務(wù)器(各服務(wù)器IP不相同),以此來分擔(dān)整個網(wǎng)絡(luò)的流量，以保證網(wǎng)上銀行的電子商務(wù)平臺能夠安全、快速、穩(wěn)定的運(yùn)行。同樣在電子商務(wù)平臺和企業(yè)管理網(wǎng)間也安裝Netscreen-100,確保數(shù)據(jù)源控制，并且開啟防火墻的VPN功能,采用IPSEC協(xié)議，用點(diǎn)對點(diǎn)的DES和三倍DES加密,對傳輸數(shù)據(jù)加密，并且支持人工、自動ISAKMP密鑰管理，保證通過Internet進(jìn)行商務(wù)活動不受破壞。技術(shù)方案專用表格信息服務(wù)平臺所在城市北京市填表說明請勾選你公司信息服務(wù)平臺建設(shè)所在城市名稱，若在多個城市建設(shè)信息服務(wù)平臺，請如實(shí)勾選多個城市名稱.網(wǎng)絡(luò)與信息安全保障措施專用表格網(wǎng)絡(luò)與信息安全責(zé)任人孫丕春聯(lián)系（）網(wǎng)絡(luò)與信息安全管理組織機(jī)構(gòu)設(shè)置及工作職責(zé)一、組織機(jī)構(gòu)設(shè)置1、公司成立網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組，是網(wǎng)絡(luò)與信息安全的最高決策機(jī)構(gòu)，下設(shè)辦公室，負(fù)責(zé)日常事務(wù)。2、網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組下設(shè)兩個工作組：網(wǎng)絡(luò)與信息安全工作組、應(yīng)急處理工作組。組長分別由李四、王五擔(dān)任。二、工作職責(zé)（一）網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組主要職責(zé)包括：1、根據(jù)國家和行業(yè)有關(guān)政策、法律和法規(guī)，批準(zhǔn)公司網(wǎng)絡(luò)與信息安全總體策略規(guī)劃、管理規(guī)范和技術(shù)標(biāo)準(zhǔn)；2、確定公司網(wǎng)絡(luò)與信息安全各有關(guān)部門工作職責(zé)，指導(dǎo)、監(jiān)督信息安全工作。(二)網(wǎng)絡(luò)與信息安全工作組的主要職責(zé)包括:1、貫徹執(zhí)行公司網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的決議，協(xié)調(diào)和規(guī)范公司網(wǎng)絡(luò)與信息安全工作；2、根據(jù)網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組的工作部署，對網(wǎng)絡(luò)與信息安全工作進(jìn)行具體安排、落實(shí)；3、組織對重大的網(wǎng)絡(luò)與信息安全工作制度和技術(shù)操作策略進(jìn)行審查，擬訂信息安全總體策略規(guī)劃，并監(jiān)督執(zhí)行；4、負(fù)責(zé)協(xié)調(diào)、督促各職能部門和有關(guān)單位的網(wǎng)絡(luò)與信息安全工作，參與信息系統(tǒng)工程建設(shè)中的安全規(guī)劃，監(jiān)督安全措施的執(zhí)行;5、組織信息安全工作檢查,分析網(wǎng)絡(luò)與信息安全總體狀況，提出分析報(bào)告和安全風(fēng)險(xiǎn)的防范對策;6、負(fù)責(zé)接受各單位的緊急網(wǎng)絡(luò)與信息安全事件報(bào)告，組織進(jìn)行事件調(diào)查,分析原因、涉及范圍，并評估安全事件的嚴(yán)重程度，提出網(wǎng)絡(luò)與信息安全事件防范措施；7、及時(shí)向網(wǎng)絡(luò)與信息安全工作領(lǐng)導(dǎo)小組和上級有關(guān)部門、單位報(bào)告網(wǎng)絡(luò)與信息安全事件.8、跟蹤先進(jìn)的網(wǎng)絡(luò)與信息安全技術(shù),組織網(wǎng)絡(luò)與信息安全知識的培訓(xùn)和宣傳工作。（三）應(yīng)急處理工作組的主要職責(zé)包括:1、審定公司網(wǎng)絡(luò)與信息系統(tǒng)的安全應(yīng)急策略及應(yīng)急預(yù)案；2、決定相應(yīng)應(yīng)急預(yù)案的啟動，負(fù)責(zé)現(xiàn)場指揮，并組織相關(guān)人員排除故障,恢復(fù)系統(tǒng)；3、