網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)

網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)

網(wǎng)絡(luò)安全技術(shù)指致力于解決諸多如何有效進行介入控制，以及如何保證數(shù)據(jù)傳輸?shù)陌踩缘募夹g(shù)手段，主要包括物理安全分析技術(shù)，網(wǎng)絡(luò)結(jié)構(gòu)安全分析技術(shù)，系統(tǒng)安全分析技術(shù)，管理安全分析技術(shù)，及其它的安全服務(wù)和安全機制策略等。書

名網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)作

者楊寅春編

[1]

ISBN9787560621524

[1]

類

別虛擬網(wǎng)技術(shù)出版時間20092

[1]

裝

幀平裝開

本16目錄1

概述2

分類?

虛擬網(wǎng)技術(shù)?

防火墻技術(shù)3

使用益處?

設(shè)置要素?

基本分類?

建設(shè)原則?

選擇要點?

病毒防護技術(shù)?

入侵檢測技術(shù)?

安全掃描技術(shù)?

認證簽名技術(shù)?

VPN技術(shù)?

應(yīng)用安全技術(shù)4

常見產(chǎn)品?

瑞星?

金山毒霸?

江民?

卡巴斯基?

諾頓?

NOD32?

安全衛(wèi)士360?

微點防御軟件?

費爾托斯特?

超級巡警軟件5

技術(shù)問題6

安全對策7

技術(shù)案例?

概況?

國外?

國內(nèi)概述編輯21世紀全世界的計算機都將通過Internet聯(lián)到一起,信息安全的內(nèi)涵也就發(fā)生了根本的變化.它不僅從一般性的防衛(wèi)變成了一種非常普通的防范,而且還從一種專門的領(lǐng)域變成了無處不在.當人類步入21世紀這一信息社會,網(wǎng)絡(luò)社會的時候,我國將建立起一套完整的網(wǎng)絡(luò)安全體系,特別是從政策上和法律上建立起有中國自己特色的網(wǎng)絡(luò)安全體系。一個國家的信息安全體系實際上包括國家的法規(guī)和政策,以及技術(shù)與市場的發(fā)展平臺.我國在構(gòu)建信息防衛(wèi)系統(tǒng)時,應(yīng)著力發(fā)展自己獨特的安全產(chǎn)品,我國要想真正解決網(wǎng)絡(luò)安全問題,最終的辦法就是通過發(fā)展民族的安全產(chǎn)業(yè),帶動我國網(wǎng)絡(luò)安全技術(shù)的整體提高。網(wǎng)絡(luò)安全產(chǎn)品有以下幾大特點:第一,網(wǎng)絡(luò)安全來源于安全策略與技術(shù)的多樣化,如果采用一種統(tǒng)一的技術(shù)和策略也就不安全了;第二,網(wǎng)絡(luò)的安全機制與技術(shù)要不斷地變化;第三,隨著網(wǎng)絡(luò)在社會各方面的延伸,進入網(wǎng)絡(luò)的手段也越來越多,因此,網(wǎng)絡(luò)安全技術(shù)是一個十分復(fù)雜的系統(tǒng)工程.為此建立有中國特色的網(wǎng)絡(luò)安全體系,需要國家政策和法規(guī)的支持及集團聯(lián)合研究開發(fā).安全與反安全就像矛盾的兩個方面,總是不斷地向上攀升,所以安全產(chǎn)業(yè)將來也是一個隨著新技術(shù)發(fā)展而不斷發(fā)展的產(chǎn)業(yè)。網(wǎng)絡(luò)安全產(chǎn)品的自身安全的防護技術(shù)網(wǎng)絡(luò)安全設(shè)備安全防護的關(guān)鍵，一個自身不安全的設(shè)備不僅不能保護被保護的網(wǎng)絡(luò)而且一旦被入侵，反而會變?yōu)槿肭终哌M一步入侵的平臺。信息安全是國家發(fā)展所面臨的一個重要問題.對于這個問題,我們還沒有從系統(tǒng)的規(guī)劃上去考慮它,從技術(shù)上,產(chǎn)業(yè)上,政策上來發(fā)展它.政府不僅應(yīng)該看見信息安全的發(fā)展是我國高科技產(chǎn)業(yè)的一部分,而且應(yīng)該看到,發(fā)展安全產(chǎn)業(yè)的政策是信息安全保障系統(tǒng)的一個重要組成部分,甚至應(yīng)該看到它對我國未來電子化,信息化的發(fā)展將起到非常重要的作用。分類編輯虛擬網(wǎng)技術(shù)虛擬網(wǎng)技術(shù)主要基于局域網(wǎng)交換技術(shù)(ATM和以太網(wǎng)交換）。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。由以上運行機制帶來的網(wǎng)絡(luò)安全的好處是顯而易見的：信息只到達應(yīng)該到達的地點。因此、防止了大部分基于網(wǎng)絡(luò)監(jiān)聽的入侵手段。通過虛擬網(wǎng)設(shè)置的訪問控制，使在虛擬網(wǎng)外的網(wǎng)絡(luò)節(jié)點不能直接訪問虛擬網(wǎng)內(nèi)節(jié)點。但是，虛擬網(wǎng)技術(shù)也帶來了新的安全問題：執(zhí)行虛擬網(wǎng)交換的設(shè)備越來越復(fù)雜，從而成為被攻擊的對象?；诰W(wǎng)絡(luò)廣播原理的入侵監(jiān)控技術(shù)在高速交換網(wǎng)絡(luò)內(nèi)需要特殊的設(shè)置?；贛AC的VLAN不能防止MAC欺騙攻擊。以太網(wǎng)從本質(zhì)上基于廣播機制，但應(yīng)用了交換器和VLAN技術(shù)后，實際上轉(zhuǎn)變?yōu)辄c到點通訊，除非設(shè)置了監(jiān)聽口，信息交換也不會存在監(jiān)聽和插入（改變）問題。但是，采用基于MAC的VLAN劃分將面臨假冒MAC地址的攻擊。因此，VLAN的劃分最好基于交換機端口。但這要求整個網(wǎng)絡(luò)桌面使用交換端口或每個交換端口所在的網(wǎng)段機器均屬于相同的VLAN。網(wǎng)絡(luò)層通訊可以跨越路由器，因此攻擊可以從遠方發(fā)起。IP協(xié)議族各廠家實現(xiàn)的不完善，因此，在網(wǎng)絡(luò)層發(fā)現(xiàn)的安全漏洞相對更多，如IPsweep,teardrop,syncflood,IPspoofing攻擊等。防火墻技術(shù)網(wǎng)絡(luò)防火墻技術(shù)是一種用來加強網(wǎng)絡(luò)之間訪問控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò),訪問內(nèi)部網(wǎng)絡(luò)資源,保護內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互聯(lián)設(shè)備.它對兩個或多個網(wǎng)絡(luò)之間傳輸?shù)臄?shù)據(jù)包如鏈接方式按照一定的安全策略來實施檢查,以決定網(wǎng)絡(luò)之間的通信是否被允許,并監(jiān)視網(wǎng)絡(luò)運行狀態(tài).防火墻產(chǎn)品主要有堡壘主機,包過濾路由器,應(yīng)用層網(wǎng)關(guān)(代理服務(wù)器)以及電路層網(wǎng)關(guān),屏蔽主機防火墻,雙宿主機等類型.雖然防火墻是保護網(wǎng)絡(luò)免遭黑客襲擊的有效手段,但也有明顯不足:無法防范通過防火墻以外的其它途徑的攻擊,不能防止來自內(nèi)部變節(jié)者和不經(jīng)心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟件或文件,以及無法防范數(shù)據(jù)驅(qū)動型的攻擊.自從1986年美國Digital公司在Internet上安裝了全球第一個商用防火墻系統(tǒng),提出了防火墻概念后,防火墻技術(shù)得到了飛速的發(fā)展.國內(nèi)外已有數(shù)十家公司推出了功能各不相同的防火墻產(chǎn)品系列.防火墻處于5層網(wǎng)絡(luò)安全體系中的最底層,屬于網(wǎng)絡(luò)層安全技術(shù)范疇.在這一層上,企業(yè)對安全系統(tǒng)提出的問題是:所有的IP是否都能訪問到企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)如果答案是"是",則說明企業(yè)內(nèi)部網(wǎng)還沒有在網(wǎng)絡(luò)層采取相應(yīng)的防范措施.作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一.雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負責網(wǎng)絡(luò)間的安全認證與傳輸,但隨著網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過濾任務(wù),同時還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù).另外還有多種防火墻產(chǎn)品正朝著數(shù)據(jù)安全與用戶認證,防止病毒與黑客侵入等方向發(fā)展.使用益處編輯保護脆弱的服務(wù)通過過濾不安全的服務(wù)，F(xiàn)irewall可以極大地提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風險。例如，F(xiàn)irewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包?？刂茖ο到y(tǒng)的訪問Firewall可以提供對系統(tǒng)的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，F(xiàn)irewall允許外部訪問特定的MailServer和WebServer。集中的安全管理Firewall對企業(yè)內(nèi)部網(wǎng)實現(xiàn)集中的安全管理，在Firewall定義的安全規(guī)則可以運用于整個內(nèi)部網(wǎng)絡(luò)系統(tǒng)，而無須在內(nèi)部網(wǎng)每臺機器上分別設(shè)立安全策略。如在Firewall可以定義不同的認證方法，而不需在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經(jīng)過—次認證即可訪問內(nèi)部網(wǎng)。增強的保密性使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。記錄和統(tǒng)計網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)Firewall可以記錄和統(tǒng)計通過Firewall的網(wǎng)絡(luò)通訊，提供關(guān)于網(wǎng)絡(luò)使用的統(tǒng)計數(shù)據(jù)，并且，F(xiàn)irewall可以提供統(tǒng)計數(shù)據(jù)，來判斷可能的攻擊和探測。策略執(zhí)行Firewall提供了制定和執(zhí)行網(wǎng)絡(luò)安全策略的手段。未設(shè)置Firewall時，網(wǎng)絡(luò)安全取決于每臺主機的用戶。設(shè)置要素網(wǎng)絡(luò)策略影響Firewall系統(tǒng)設(shè)計、安裝和使用的網(wǎng)絡(luò)策略可分為兩級，高級的網(wǎng)絡(luò)策略定義允許和禁止的服務(wù)以及如何使用服務(wù)，低級的網(wǎng)絡(luò)策略描述Firewall如何限制和過濾在高級策略中定義的服務(wù)。服務(wù)訪問策略服務(wù)訪問策略集中在Internet訪問服務(wù)以及外部網(wǎng)絡(luò)訪問（如撥入策略、SLIP/PPP連接等）。服務(wù)訪問策略必須是可行的和合理的?？尚械牟呗员仨氃谧柚辜褐木W(wǎng)絡(luò)風險和提供用戶服務(wù)之間獲得平衡。典型的服務(wù)訪問策略是：允許通過增強認證的用戶在必要的情況下從Internet訪問某些內(nèi)部主機和服務(wù)；允許內(nèi)部用戶訪問指定的Internet主機和服務(wù)。Firewall設(shè)計策略Firewall設(shè)計策略基于特定的firewall，定義完成服務(wù)訪問策略的規(guī)則。通常有兩種基本的設(shè)計策略：允許任何服務(wù)除非被明確禁止；禁止任何服務(wù)除非被明確允許。通常采用第二種類型的設(shè)計策略?；痉诸愄摂M補丁虛擬補丁也成VPatch，旨在通過控制受影響的應(yīng)用程序的輸入或輸出，來改變或消除漏洞。這些漏洞給入侵者敞開了大門，數(shù)據(jù)庫廠商會定期推出數(shù)據(jù)庫漏洞補丁，由于數(shù)據(jù)庫打補丁工作的復(fù)雜性和對應(yīng)用穩(wěn)定性的考慮，大多數(shù)企業(yè)無法及時更新補丁。數(shù)據(jù)庫防火墻提供了虛擬補丁功能，在數(shù)據(jù)庫外的網(wǎng)絡(luò)層創(chuàng)建了一個安全層，在用戶在無需補丁情況下，完成數(shù)據(jù)庫漏洞防護。DBFirewall支持22類，460個以上虛擬補丁。包過濾型包過濾型產(chǎn)品是防火墻的初級產(chǎn)品,其技術(shù)依據(jù)是網(wǎng)絡(luò)中的分包傳輸技術(shù).網(wǎng)絡(luò)上的數(shù)據(jù)都是以"包"為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址,目標地址,TCP/UDP源端口和目標端口等.防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些"包"是否來自可信任的安全站點,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包,防火墻便會將這些數(shù)據(jù)拒之門外.系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則.包過濾技術(shù)的優(yōu)點是簡單實用,實現(xiàn)成本較低,在應(yīng)用環(huán)境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統(tǒng)的安全.但包過濾技術(shù)的缺陷也是明顯的.包過濾技術(shù)是一種完全基于網(wǎng)絡(luò)層的安全技術(shù),只能根據(jù)數(shù)據(jù)包的來源,目標和端口等網(wǎng)絡(luò)信息進行判斷,無法識別基于應(yīng)用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒.有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻.網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)是一種用于把IP地址轉(zhuǎn)換成臨時的,外部的,注冊的IP地址標準.它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng).它還意味著用戶不需要為其網(wǎng)絡(luò)中每一臺機器取得注冊的IP地址.在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時,將產(chǎn)生一個映射記錄.系統(tǒng)將外出的源地址和源端口映射為一個偽裝的地址和端口,讓這個偽裝的地址和端口通過非安全網(wǎng)卡與外部網(wǎng)絡(luò)連接,這樣對外就隱藏了真實的內(nèi)部網(wǎng)絡(luò)地址.在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時,它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況,而只是通過一個開放的IP地址和端口來請求訪問.OLM防火墻根據(jù)預(yù)先定義好的映射規(guī)則來判斷這個訪問是否安全.當符合規(guī)則時,防火墻認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內(nèi)部計算機中.當不符合規(guī)則時,防火墻認為該訪問是不安全的,不能被接受,防火墻將屏蔽外部的連接請求.網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的,不需要用戶進行設(shè)置,用戶只要進行常規(guī)操作即可.代理型代理型防火墻也可以被稱為代理服務(wù)器,它的安全性要高于包過濾型產(chǎn)品,并已經(jīng)開始向應(yīng)用層發(fā)展.代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流.從客戶機來看,代理服務(wù)器相當于一臺真正的服務(wù)器;而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機.當客戶機需要使用服務(wù)器上的數(shù)據(jù)時,首先將數(shù)據(jù)請求發(fā)給代理服務(wù)器,代理服務(wù)器再根據(jù)這一請求向服務(wù)器索取數(shù)據(jù),然后再由代理服務(wù)器將數(shù)據(jù)傳輸給客戶機.由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng).代理型防火墻的優(yōu)點是安全性較高,可以針對應(yīng)用層進行偵測和掃描,對付基于應(yīng)用層的侵入和病毒都十分有效.其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。監(jiān)測型防火墻是新一代的產(chǎn)品,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義.監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的,實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入.同時,這種檢測型防火墻產(chǎn)品一般還帶有分布式探測器,這些探測器安置在各種應(yīng)用服務(wù)器和其他網(wǎng)絡(luò)的節(jié)點之中,不僅能夠檢測來自網(wǎng)絡(luò)外部的攻擊,同時對來自內(nèi)部的惡意破壞也有極強的防范作用.據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡(luò)內(nèi)部.因此,監(jiān)測型防火墻不僅超越了傳統(tǒng)防火墻的定義,而且在安全性上也超越了前兩代產(chǎn)品雖然監(jiān)測型防火墻安全性上已超越了包過濾型和代理服務(wù)器型防火墻,但由于監(jiān)測型防火墻技術(shù)的實現(xiàn)成本較高,也不易管理,所以在實用中的防火墻產(chǎn)品仍然以第二代代理型產(chǎn)品為主,但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻.基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù).這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求,同時也能有效地控制安全系統(tǒng)的總擁有成本.實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢.由于這種產(chǎn)品是基于應(yīng)用的,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾.例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄.正是由于應(yīng)用網(wǎng)關(guān)的這些特點,使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。建設(shè)原則分析安全和服務(wù)需求以下問題有助于分析安全和服務(wù)需求：√計劃使用哪些Internet服務(wù)(如，ftp，gopher)，從何處使用Internet服務(wù)(本地網(wǎng)，撥號，遠程辦公室)。√增加的需要，如加密或拔號接入支持?！烫峁┮陨戏?wù)和訪問的風險?！烫峁┚W(wǎng)絡(luò)安全控制的同時，對系統(tǒng)應(yīng)用服務(wù)犧牲的代價。策略的靈活性Internet相關(guān)的網(wǎng)絡(luò)安全策略總的來說，應(yīng)該保持一定的靈活性，主要有以下原因：√Internet自身發(fā)展非常快，機構(gòu)可能需要不斷使用Internet提供的新服務(wù)開展業(yè)務(wù)。新的協(xié)議和服務(wù)大量涌現(xiàn)帶來新的安全問題，安全策略必須能反應(yīng)和處理這些問題。√機構(gòu)面臨的風險并非是靜態(tài)的，機構(gòu)職能轉(zhuǎn)變、網(wǎng)絡(luò)設(shè)置改變都有可能改變風險。遠程用戶認證策略√遠程用戶不能通過放置于Firewall后的未經(jīng)認證的Modem訪問系統(tǒng)。√PPP/SLIP連接必須通過Firewall認證?！虒h程用戶進行認證方法培訓。撥入/撥出策略√撥入/撥出能力必須在設(shè)計Firewall時進行考慮和集成。√外部撥入用戶必須通過Firewall的認證。InformationServer策略√公共信息服務(wù)器的安全必須集成到Firewall中?！瘫仨殞残畔⒎?wù)器進行嚴格的安全控制，否則將成為系統(tǒng)安全的缺口。√為Informationserver定義折中的安全策略允許提供公共服務(wù)?！虒残畔⒎?wù)和商業(yè)信息(如email)講行安全策略區(qū)分。Firewall系統(tǒng)的基本特征√Firewall必須支持．“禁止任何服務(wù)除非被明確允許”的設(shè)計策略?！蘁irewall必須支持實際的安全政策，而非改變安全策略適應(yīng)Firewall?！蘁irewall必須是靈活的，以適應(yīng)新的服務(wù)和機構(gòu)智能改變帶來的安全策略的改變?！蘁irewall必須支持增強的認證機制。√Firewall應(yīng)該使用過濾技術(shù)以允許或拒絕對特定主機的訪問。√IP過濾描述語言應(yīng)該靈活，界面友好，并支持源IP和目的IP，協(xié)議類型，源和目的TCP/UDP口，以及到達和離開界面?！蘁irewall應(yīng)該為FTP、TELNET提供代理服務(wù)，以提供增強和集中的認證管理機制。如果提供其它的服務(wù)(如NNTP，等)也必須通過代理服務(wù)器?！蘁irewall應(yīng)該支持集中的SMTP處理，減少內(nèi)部網(wǎng)和遠程系統(tǒng)的直接連接?！蘁irewall應(yīng)該支持對公共Informationserver的訪問，支持對公共Informationserver的保護，并且將Informationserver同內(nèi)部網(wǎng)隔離?！蘁irewall可支持對撥號接入的集中管理和過濾?！蘁irewall應(yīng)支持對交通、可疑活動的日志記錄?！倘绻鸉irewall需要通用的操作系統(tǒng)，必須保證使用的操作系統(tǒng)安裝了所有己知的安全漏洞Patch?！蘁irewall的設(shè)計應(yīng)該是可理解和管理的。√Firewall依賴的操作系統(tǒng)應(yīng)及時地升級以彌補安全漏洞。選擇要點(1)安全性：即是否通過了嚴格的入侵測試。(2)抗攻擊能力：對典型攻擊的防御能力(3)性能：是否能夠提供足夠的網(wǎng)絡(luò)吞吐能力(4)自我完備能力：自身的安全性，F(xiàn)ailclose(5)可管理能力：是否支持SNMP網(wǎng)管(6)VPN支持(7)認證和加密特性(8)服務(wù)的類型和原理(9)網(wǎng)絡(luò)地址轉(zhuǎn)換能力病毒防護技術(shù)病毒歷來是信息系統(tǒng)安全的主要問題之一。由于網(wǎng)絡(luò)的廣泛互聯(lián)，病毒的傳播途徑和速度大大加快。我們將病毒的途徑分為：(1)通過FTP，電子郵件傳播。(2)通過軟盤、光盤、磁帶傳播。(3)通過Web游覽傳播，主要是惡意的Java控件網(wǎng)站。(4)通過群件系統(tǒng)傳播。病毒防護的主要技術(shù)如下：(1)阻止病毒的傳播。在防火墻、代理服務(wù)器、SMTP服務(wù)器、網(wǎng)絡(luò)服務(wù)器、群件服務(wù)器上安裝病毒過濾軟件。在桌面PC安裝病毒監(jiān)控軟件。(2)檢查和清除病毒。使用防病毒軟件檢查和清除病毒。(3)病毒數(shù)據(jù)庫的升級。病毒數(shù)據(jù)庫應(yīng)不斷更新，并下發(fā)到桌面系統(tǒng)。(4)在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件和安裝。入侵檢測技術(shù)利用防火墻技術(shù)，經(jīng)過仔細的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護，降低了網(wǎng)絡(luò)安全風險。但是，僅僅使用防火墻、網(wǎng)絡(luò)安全還遠遠不夠：(1)入侵者可尋找防火墻背后可能敞開的后門。(2)入侵者可能就在防火墻內(nèi)。(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。入侵檢測系統(tǒng)是新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實時入侵檢測能力之所以重要首先它能夠?qū)Ω秮碜詢?nèi)部網(wǎng)絡(luò)的攻擊，其次它能夠縮短hacker入侵的時間。入侵檢測系統(tǒng)可分為兩類：√基于主機√基于網(wǎng)絡(luò)基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應(yīng)用的監(jiān)視如Web服務(wù)器應(yīng)用?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)用于實時監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息，其基本模型如右圖示：上述模型由四個部分組成：入侵檢測系統(tǒng)的基本模型(1)PassiveprotocolAnalyzer網(wǎng)絡(luò)數(shù)據(jù)包的協(xié)議分析器、將結(jié)果送給模式匹配部分并根據(jù)需要保存。(2)PatternMatchingSignatureAnalysis根據(jù)協(xié)議分析器的結(jié)果匹配入侵特征，結(jié)果傳送給Countermeasure部分。(3)countermeasure執(zhí)行規(guī)定的動作。(4)Storage保存分析結(jié)果及相關(guān)數(shù)據(jù)。基于主機的安全監(jiān)控系統(tǒng)具備如下特點：(1)精確，可以精確地判斷入侵事件。(2)高級，可以判斷應(yīng)用層的入侵事件。(3)對入侵時間立即進行反應(yīng)。(4)針對不同操作系統(tǒng)特點。(5)占用主機寶貴資源?；诰W(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)具備如下特點：(1)能夠監(jiān)視經(jīng)過本網(wǎng)段的任何活動。(2)

實時網(wǎng)絡(luò)監(jiān)視。(3)監(jiān)視粒度更細致。(4)精確度較差。(5)防入侵欺騙的能力較差。(6)交換網(wǎng)絡(luò)環(huán)境難于配置。基于主機及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式：(1)在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。(2)在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊(sensor),分別向管理服務(wù)器報告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。選擇入侵監(jiān)視系統(tǒng)的要點是：(1)協(xié)議分析及檢測能力。(2)解碼效率(速度)。(3)自身安全的完備性。(4)精確度及完整度，防欺騙能力。(5)模式更新速度。安全掃描技術(shù)網(wǎng)絡(luò)安全技術(shù)中，另一類重要技術(shù)為安全掃描技術(shù)。安全掃描技術(shù)與防火墻、安全監(jiān)控系統(tǒng)互相配合能夠提供很高安全性的網(wǎng)絡(luò)。安全掃描工具源于Hacker在入侵網(wǎng)絡(luò)系統(tǒng)時采用的工具。商品化的安全掃描工具為網(wǎng)絡(luò)安全漏洞的發(fā)現(xiàn)提供了強大的支持。安全掃描工具通常也分為基于服務(wù)器和基于網(wǎng)絡(luò)的掃描器?；诜?wù)器的掃描器主要掃描服務(wù)器相關(guān)的安全漏洞，如password文件，目錄和文件權(quán)限，共享文件系統(tǒng)，敏感服務(wù)，軟件，系統(tǒng)漏洞等，并給出相應(yīng)的解決辦法建議。通常與相應(yīng)的服務(wù)器操作系統(tǒng)緊密相關(guān)?；诰W(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。通常該類掃描器限制使用范圍(IP地址或路由器跳數(shù))。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面：(1)速度。在網(wǎng)絡(luò)內(nèi)進行安全掃描非常耗時。(2)

網(wǎng)絡(luò)拓撲。通過GUI的圖形界面，可迭擇一步或某些區(qū)域的設(shè)備。(3)能夠發(fā)現(xiàn)的漏洞數(shù)量。(4)是否支持可定制的攻擊方法。通常提供強大的工具構(gòu)造特定的攻擊方法。因為網(wǎng)絡(luò)內(nèi)服務(wù)器及其它設(shè)備對相同協(xié)議的實現(xiàn)存在差別，所以預(yù)制的掃描方法肯定不能滿足客戶的需求。(5)報告，掃描器應(yīng)該能夠給出清楚的安全漏洞報告。(6)更新周期。提供該項產(chǎn)品的廠商應(yīng)盡快給出新發(fā)現(xiàn)的安生漏洞掃描特性升級，并給出相應(yīng)的改進建議。安全掃描器不能實時監(jiān)視網(wǎng)絡(luò)上的入侵，但是能夠測試和評價系統(tǒng)的安全性，并及時發(fā)現(xiàn)安全漏洞。認證簽名技術(shù)認證技術(shù)主要解決網(wǎng)絡(luò)通訊過程中通訊雙方的身份認可，數(shù)字簽名作為身份認證技術(shù)中的一種具體技術(shù)，同時數(shù)字簽名還可用于通信過程中的不可抵賴要求的實現(xiàn)。認證技術(shù)將應(yīng)用到企業(yè)網(wǎng)絡(luò)中的以下方面：(1)路由器認證，路由器和交換機之間的認證。(2)操作系統(tǒng)認證。操作系統(tǒng)對用戶的認證。(3)

網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認證。(4)VPN網(wǎng)關(guān)設(shè)備之間的認證。(5)撥號訪問服務(wù)器與客戶間的認證。(6)應(yīng)用服務(wù)器(如WebServer)與客戶的認證。(7)電子郵件通訊雙方的認證。數(shù)字簽名技術(shù)主要用于：(1)基于PKI認證體系的認證過程。(2)基于PKI的電子郵件及交易(通過Web進行的交易)的不可抵賴記錄。認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。UserName/Password認證該種認證方式是最常用的一種認證方式，用于操作系統(tǒng)登錄、telnet、rlogin等，但由于此種認證方式過程不加密，即password容易被監(jiān)聽和解密。使用摘要算法的認證Radius(撥號認證協(xié)議)、路由協(xié)議(OSPF)、SNMPSecurityProtocol等均使用共享的SecurityKey，加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的securitykey，敏感信息不在網(wǎng)絡(luò)上傳輸。市場上主要采用的摘要算法有MD5和SHA1?；赑KI的認證使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數(shù)字簽名等技術(shù)，很好地將安全性和高效率結(jié)合起來。后面描述了基于PKI認證的基本原理。這種認證方法應(yīng)用在電子郵件、應(yīng)用服務(wù)器訪問、客戶認證、防火墻驗證等領(lǐng)域。該種認證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。VPN技術(shù)1、企業(yè)對VPN技術(shù)的需求企業(yè)總部和各分支機構(gòu)之間采用internet網(wǎng)絡(luò)進行連接，由于internet是公用網(wǎng)絡(luò)，因此，必須保證其安全性。我們將利用公共網(wǎng)絡(luò)實現(xiàn)的私用網(wǎng)絡(luò)稱為虛擬私用網(wǎng)(VPN)。因為VPN利用了公共網(wǎng)絡(luò)，所以其最大的弱點在于缺乏足夠的安全性。企業(yè)網(wǎng)絡(luò)接入到internet，暴露出兩個主要危險：來自internet的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。當企業(yè)通過INTERNET進行通訊時，信息可能受到竊聽和非法修改。完整的集成化的企業(yè)范圍的VPN安全解決方案，提供在INTERNET上安全的雙向通訊，以及透明的加密方案以保證數(shù)據(jù)的完整性和保密性。企業(yè)網(wǎng)絡(luò)的全面安全要求保證：保密通訊過程不被竊聽。通訊主體真實性確認網(wǎng)絡(luò)上的計算機不被假冒。2、數(shù)字簽名數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。公共密鑰系統(tǒng)(如RSA)基于私有/公共密鑰對，作為驗證發(fā)送者身份和消息完整性的根據(jù)。CA使用私有密鑰計算其數(shù)字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數(shù)字簽名從計算能力上是不可行的。并且，如果消息隨數(shù)字簽名一同發(fā)送，對消息的任何修改在驗證數(shù)字簽名時都將會被發(fā)現(xiàn)。通訊雙方通過DiffieHellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。DiffieHellman密鑰由CA進行驗證。類型技術(shù)用途基本會話密鑰DES加密通訊加密密鑰DeffHellman生成會話密鑰認證密鑰RSA驗證加密密鑰基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關(guān)系。而其它的加密模式需要管理的密鑰數(shù)目與通訊者數(shù)目的平方成正比。3、IPSECIPSec作為在IPv4及IPv6上的加密通訊框架，已為大多數(shù)廠商所支持，預(yù)計在1998年將確定為IETF標準，是VPN實現(xiàn)的Internet標準。IPSec主要提供IP網(wǎng)絡(luò)層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式，AuthenticationHeader(AH)及encapsualtingsecuritypayload(ESP)。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協(xié)商(SecurityAssociation)。Ipsec包含兩個部分：(1)IPsecurityProtocolproper，定義Ipsec報文格式。(2)ISAKMP/Oakley，負責加密通訊協(xié)商。Ipsec提供了兩種加密通訊手段：IpsecTunnel：整個IP封裝在Ipsec報文。提供Ipsecgateway之間的通訊。Ipsectransport：對IP包內(nèi)的數(shù)據(jù)進行加密，使用原來的源地址和目的地址。IpsecTunnel不要求修改已配備好的設(shè)備和應(yīng)用，網(wǎng)絡(luò)黑客戶不能看到實際的的通訊源地址和目的地址，并且能夠提供專用網(wǎng)絡(luò)通過Internet加密傳輸?shù)耐ǖ?，因此，絕大多數(shù)均使用該模式。ISAKMP/Oakley使用X.509數(shù)字證書，因此，使VPN能夠容易地擴大到企業(yè)級。(易于管理)。在為遠程撥號服務(wù)的Client端，也能夠?qū)崿F(xiàn)Ipsec的客戶端，為撥號用戶提供加密網(wǎng)絡(luò)通訊。由于Ipsec即將成為Internet標準，因此不同廠家提供的防火墻(VPN)產(chǎn)品可以實現(xiàn)互通。應(yīng)用安全技術(shù)由于應(yīng)用系統(tǒng)的復(fù)雜性，有關(guān)應(yīng)用平臺的安全問題是整個安全體系中最復(fù)雜的部分。下面的幾個部分列出了在Internet/Intranet中主要的應(yīng)用平臺服務(wù)的安全問題及相關(guān)技術(shù)。1、域名服務(wù)Internet域名服務(wù)為Internet/Intranet應(yīng)用提供了極大的靈活性。幾乎所有的網(wǎng)絡(luò)應(yīng)用均利用域名服務(wù)。但是，域名服務(wù)通常為hacker提供了入侵網(wǎng)絡(luò)的有用信息，如服務(wù)器的IP、操作系統(tǒng)信息、推導出可能的網(wǎng)絡(luò)結(jié)構(gòu)等。同時，新發(fā)現(xiàn)的針對BINDNDS實現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問題。如由于DNS查詢使用無連接的UDP協(xié)議，利用可預(yù)測的查詢ID可欺騙域名服務(wù)器給出錯誤的主機名IP對應(yīng)關(guān)系。因此，在利用域名服務(wù)時，應(yīng)該注意到以上的安全問題。主要的措施有：(1)內(nèi)部網(wǎng)和外部網(wǎng)使用不同的域名服務(wù)器，隱藏內(nèi)部網(wǎng)絡(luò)信息。(2)域名服務(wù)器及域名查找應(yīng)用安裝相應(yīng)的安全補丁。(3)對付DenialofService攻擊，應(yīng)設(shè)計備份域名服務(wù)器。2、WebServer應(yīng)用安全WebServer是企業(yè)對外宣傳、開展業(yè)務(wù)的重要基地。由于其重要性，成為Hacker攻擊的首選目標之一。WebServer經(jīng)常成為Internet用戶訪問公司內(nèi)部資源的通道之一，如Webserver通過中間件訪問主機系統(tǒng)，通過數(shù)據(jù)庫連接部件訪問數(shù)據(jù)庫，利用CGI訪問本地文件系統(tǒng)或網(wǎng)絡(luò)系統(tǒng)中其它資源。但Web服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。為了防止Web服務(wù)器成為攻擊的犧牲品或成為進入內(nèi)部網(wǎng)絡(luò)的跳板，我們需要給予更多的關(guān)心：(1)Web服務(wù)器置于防火墻保護之下。(2)在Web服務(wù)器上安裝實時安全監(jiān)控軟件。(3)在通往Web服務(wù)器的網(wǎng)絡(luò)路徑上安裝基于網(wǎng)絡(luò)的實時入侵監(jiān)控系統(tǒng)。(4)經(jīng)常審查Web服務(wù)器配置情況及運行日志。(5)運行新的應(yīng)用前，先進行安全測試。如新的CGI應(yīng)用。(6)認證過程采用加密通訊或使用X.509證書模式。(7)小心設(shè)置Web服務(wù)器的訪問控制表。3、電子郵件系統(tǒng)安全電子郵件系統(tǒng)也是網(wǎng)絡(luò)與外部必須開放的服務(wù)系統(tǒng)。由于電子郵件系統(tǒng)的復(fù)雜性，其被發(fā)現(xiàn)的安全漏洞非常多，并且危害很大。加強電子郵件系統(tǒng)的安全性，通常有如下辦法：(1)設(shè)置一臺位于?；饏^(qū)的電子郵件服務(wù)器作為內(nèi)外電子郵件通訊的中轉(zhuǎn)站(或利用防火墻的電子郵件中轉(zhuǎn)功能)。所有出入的電子郵件均通過該中轉(zhuǎn)站中轉(zhuǎn)。(2)同樣為該服務(wù)器安裝實施監(jiān)控系統(tǒng)。(3)該郵件服務(wù)器作為專門的應(yīng)用服務(wù)器，不運行任何其它業(yè)務(wù)(切斷與內(nèi)部網(wǎng)的通訊)。(4)升級到最新的安全版本。4、操作系統(tǒng)安全市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。對操作系統(tǒng)的安全，除了不斷地增加安全補丁外，還需要：(1)檢查系統(tǒng)設(shè)置(敏感數(shù)據(jù)的存放方式，訪問控制，口令選擇/更新)。(2)基于系統(tǒng)的安全監(jiān)控系統(tǒng)。常見產(chǎn)品編輯瑞星是國產(chǎn)殺軟的龍頭老大，其監(jiān)控能力是十分強大的，但同時占用系統(tǒng)資源較大。瑞星采用第八代殺毒引擎，能夠快速、徹底查殺大小各種病毒，這個絕對是全國頂尖的。但是瑞星的網(wǎng)絡(luò)監(jiān)控不行，最好再加上瑞星防火墻彌補缺陷。另外，瑞星2009的網(wǎng)頁監(jiān)控更是疏而不漏，這是云安全的結(jié)果。金山毒霸金山毒霸是金山公司推出的電腦安全產(chǎn)品，監(jiān)控、殺毒全面、可靠，占用系統(tǒng)資源較少。其軟件的組合版功能強大（毒霸主程序、金山清理專家、金山網(wǎng)鏢），集殺毒、監(jiān)控、防木馬、防漏洞為一體，是一款具有市場競爭力的殺毒軟件。江民是一款老牌的殺毒軟件了。它具有良好的監(jiān)控系統(tǒng)，獨特的主動防御使不少病毒望而卻步。建議與江民防火墻配套使用。本人在多次病毒測試中，發(fā)現(xiàn)江民的監(jiān)控效果非常出色，可以與國外殺軟媲美。占用資源不是很大。是一款不錯的殺毒軟件。另外江民2009與360安全衛(wèi)士有沖突，建議選擇其一安裝?？ò退够ò退够嵌砹_斯民用最多的殺毒軟件卡巴斯基有很高的警覺性，它會提示所有具有危險行為的進程或者程序，因此很多正常程序會被提醒確認操作。其實只要使用一段時間把正常程序添加到卡巴斯基的信任區(qū)域就可以了。在殺毒軟件的歷史上，有這樣一個世界紀錄：讓一個殺毒軟件的掃描引擎在不使用病毒特征庫的情況下，掃描一個包含當時已有的所有病毒的樣本庫。結(jié)果是，僅僅靠“啟發(fā)式掃描”技術(shù)，該引擎創(chuàng)造了95%檢出率的紀錄。這個紀錄，是由AVP創(chuàng)造的?？ò退够偛吭O(shè)在俄羅斯首都莫斯科，KasperskyLabs是國際著名的信息安全領(lǐng)導廠商。公司為個人用戶、企業(yè)網(wǎng)絡(luò)提供反病毒、防黒客和反垃圾郵件產(chǎn)品。經(jīng)過十四年與計算機病毒的戰(zhàn)斗，被眾多計算機專業(yè)媒體及反病毒專業(yè)評測機構(gòu)譽為病毒防護的最佳產(chǎn)品。1989年，EugeneKaspersky開始研究計算機病毒現(xiàn)象。從1991年到1997年，他在俄羅斯大型計算機公司“KAMI”的信息技術(shù)中心，帶領(lǐng)一批助手研發(fā)出了AVP反病毒程序。KasperskyLab于1997年成立，EugeneKaspersky是創(chuàng)始人之一。2000年11月，AVP更名為KasperskyAntiVirus。EugeneKaspersky是計算機反病毒研究員協(xié)會(CARO)的成員。諾頓諾頓是Symantec公司個人信息安全產(chǎn)品之一，亦是一個廣泛被應(yīng)用的反病毒程序。該項產(chǎn)品發(fā)展至今，除了原有的防毒外，還有防間諜等網(wǎng)絡(luò)安全風險的功能。諾頓反病毒產(chǎn)品包括：諾頓網(wǎng)絡(luò)安全特警（NortonInternetSecurity）諾頓反病毒（NortonAntivirus）諾頓360（NortonALLINONESecurity）諾頓計算機大師（NortonSystemWorks）等產(chǎn)品。賽門鐵克另外還有一種專供企業(yè)使用的版本被稱做SymantecEndpointProtection。NOD32NOD32是ESET公司的產(chǎn)品，為了保證重要信息的安全，在平靜中呈現(xiàn)極佳的性能。不需要那些龐大的互聯(lián)網(wǎng)安全套裝，ESETNOD32就可針對肆虐的病毒威脅為您提供快速而全面的保護。它極易使用，您所要做的只是：設(shè)置它，并忘記它！安全衛(wèi)士360360安全衛(wèi)士是一款由奇虎公司推出的完全免費(奇虎官方聲明：“永久免費”)的安全類上網(wǎng)輔助工具軟件，擁有木馬查殺、惡意軟件清理、漏洞補丁修復(fù)、電腦全面體檢、垃圾和痕跡清理、系統(tǒng)優(yōu)化等多種功能。360安全衛(wèi)士軟件硬盤占用很小，運行時對系統(tǒng)資源的占用也相對效低，是一款值得普通用戶使用的較好的安全防護軟件。奇虎公司根據(jù)用戶的需要正對它不斷進行功能的擴充與完善。系統(tǒng)要求：Win2000/XP/VISTA/win7微點防御軟件是北京東方微點信息技術(shù)有限責任公司自主研發(fā)的具有完全自主知識產(chǎn)權(quán)的新一代反病毒產(chǎn)品，在國際上首次實現(xiàn)了主動防御技術(shù)體系，并依此確立了反病毒技術(shù)新標準。微點主動防御軟件最顯著的特點是，除具有特征值掃描技術(shù)查殺已知病毒的功能外，更實現(xiàn)了用軟件技術(shù)模擬反病毒專家智能分析判定病毒的機制，自主發(fā)現(xiàn)并自動清除未知病毒。費爾托斯特(TwisterAntiTrojanVirus)是一款同時擁有反木馬、反病毒、反Rootkit功能的強大防毒軟件。擁有海量的病毒特征庫，支持Windows安全中心，支持右鍵掃描，支持對ZIP、RAR等主流壓縮格式的全面多層級掃描。能對硬盤、軟盤、光盤、移動硬盤、網(wǎng)絡(luò)驅(qū)動器、網(wǎng)站瀏覽Cache、Email附件中的每一個文件活動進行實時監(jiān)控，并且資源占用率極低。先進的動態(tài)防御系統(tǒng)(FDDS)將動態(tài)跟蹤電腦中的每一個活動程序，智能偵測出其中的未知木馬病毒，并擁有極高的識別率。解疑式在線掃描系統(tǒng)可以對檢測出的可疑程序進行在線診斷掃描。SmartScan快速掃描技術(shù)使其具有非凡的掃描速度。國際一流的網(wǎng)頁病毒分析技術(shù)，擁有最出色的惡意網(wǎng)站識別能力。能夠識別出多種經(jīng)過加殼處理的文件，有效防范加殼木馬病毒。它的“系統(tǒng)快速修工具”可以對IE、Windows、注冊表等常見故障進行一鍵修復(fù)?！澳抉R強力清除助手”可以輕松清除那些用普通防毒軟件難以清除掉的頑固性木馬病毒，并可抑制其再次生成。注冊表實時監(jiān)控能夠高效阻止和修復(fù)木馬病毒對注冊表的惡意破壞。支持病毒庫在線增量升級和自動升級，不斷提升對新木馬新病毒的反應(yīng)能力。費爾托斯特安全提供的一系列安全保護措施可以讓您的電腦變得更加穩(wěn)固，是您最值得信賴的安全專家。超級巡警軟件1、殺毒能力再增強，完全媲美于商業(yè)軟件中國第一款完全免費的殺毒引擎，兩百萬木馬與病毒庫，保護遠離病毒侵害；完全兼容其它殺毒軟件，系統(tǒng)資源占用小，可以自在地給電腦上個雙保險；全面查殺熊貓燒香、維金、灰鴿子、我的照片、機器狗、AV終結(jié)者、ARP病毒、盜號木馬等流行病毒。2、實時保護與主動防御，保護您免除盜號、盜卡煩惱關(guān)鍵位置保護、程序行為和網(wǎng)絡(luò)行為監(jiān)控，讓最新的病毒與木馬無處藏身；每天900,000在線用戶使用，實時保護功能穩(wěn)定可靠；3、補丁檢查及自動修復(fù)，把QQ、暴風、迅雷、聯(lián)眾漏洞一起管起來國內(nèi)首創(chuàng)應(yīng)用程序補丁檢查并修復(fù)，可以在官方正式補丁前直接關(guān)閉存在漏洞；全面檢查操作系統(tǒng)漏洞，精確提供所需補丁，速度遠超官方升級；4、強大直觀的分析工具讓您具備分析病毒與木馬的火眼金睛電腦高手最喜愛的病毒與木馬分析工具，也可以過把高手癮；檢查啟動項、進程、服務(wù)、端口等，并有未知項目高亮顯示，禁止進程創(chuàng)建等多種貼心設(shè)計；5、免費贈送勝過商業(yè)軟件的輔助功能ARP防火墻囊括其它同類收費軟件全部功能，防護效果好，性能影響低；系統(tǒng)優(yōu)化、系統(tǒng)修復(fù)、文件粉碎、一鍵修復(fù)IE、隱私清理等功能，只裝一個軟件，擁有全部功能；技術(shù)問題編輯電子商務(wù)安全從整體上可分為兩大部分：計算機網(wǎng)絡(luò)安全和商務(wù)交易安全（一）計算機網(wǎng)絡(luò)安全的內(nèi)容包括：（1）未進行操作系統(tǒng)相關(guān)安全配置不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進行相關(guān)的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和“后門”是進行網(wǎng)絡(luò)攻擊的首選目標。（2）未進行CGI程序代碼審計如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務(wù)站點來說，會出現(xiàn)惡意攻擊者冒用他人賬號進行網(wǎng)上購物等嚴重后果。（3）拒絕服務(wù)（DoS，DenialofService）攻擊隨著電子商務(wù)的興起，對網(wǎng)站的實時性要求越來越高，DoS或DDoS對網(wǎng)站的威脅越來越大。以網(wǎng)絡(luò)癱瘓為目標的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對方?jīng)]有實行報復(fù)打擊的可能。美國“雅虎”、“亞馬遜”受攻擊事件就證明了這一點。（4）安全產(chǎn)品使用不當雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多安全廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動，需要改動相關(guān)安全產(chǎn)品的設(shè)置時，很容易產(chǎn)生許多安全問題。（5）缺少嚴格的網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網(wǎng)絡(luò)安全制度與策略是真正實現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。（二）計算機商務(wù)交易安全的內(nèi)容包括：（1）竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。（2）篡改信息當入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。（3）假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。（4）惡意破壞由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進行修改，掌握網(wǎng)上的機要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴重的。安全對策編輯電子商務(wù)的一個重要技術(shù)特征是利用計算機技術(shù)來傳輸和處理商業(yè)信息。因此，電子商務(wù)安全問題的對策從整體上可分為計算機網(wǎng)絡(luò)安全措施和商務(wù)交易安全措施兩大部分。1．計算機網(wǎng)絡(luò)安全措施計算機網(wǎng)絡(luò)安全措施主要包括保護網(wǎng)絡(luò)安全、保護應(yīng)用服務(wù)安全和保護系統(tǒng)安全三個方面，各個方面都要結(jié)合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。（一）保護網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是為保護商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網(wǎng)絡(luò)安全的重要因素。保護網(wǎng)絡(luò)安全的主要措施如下：（1）全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略。（2）制定網(wǎng)絡(luò)安全的管理措施。（3）使用防火墻。（4）盡可能記錄網(wǎng)絡(luò)上的一切活動。（5）注意對網(wǎng)絡(luò)設(shè)備的物理保護。（6）檢驗網(wǎng)絡(luò)平臺系統(tǒng)的脆弱性。（7）建立可靠的識別和鑒別機制。（二）保護應(yīng)用安全。保護應(yīng)用安全，主要是針對特定應(yīng)用（如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng)）所建立的安全防護措施，它獨立于網(wǎng)絡(luò)的任何其他安全防護措施。雖然有些防護措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊，如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對網(wǎng)絡(luò)支付結(jié)算信息包的加密，都通過IP層加密，但是許多應(yīng)用還有自己的特定安全要求。由于電子商務(wù)中的應(yīng)用層對安全的要求最嚴格、最復(fù)雜，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。雖然網(wǎng)絡(luò)層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務(wù)應(yīng)用的安全性。應(yīng)用層上的安全業(yè)務(wù)可以涉及認證、訪問控制、機密性、數(shù)據(jù)完整性、不可否認性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。（三）保護系統(tǒng)安全。保護系統(tǒng)安全，是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進行安全防護，它與網(wǎng)絡(luò)系統(tǒng)硬件平臺、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施：（1）在安裝的軟件中，如瀏覽器軟件、電子錢包軟件、支付網(wǎng)關(guān)軟件等，檢查和確認未知的安全漏洞。（2）技術(shù)與管理相結(jié)合，使系統(tǒng)具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數(shù)據(jù)必須進行審計，對系統(tǒng)用戶進行嚴格安全管理。（3）建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。2．商務(wù)交易安全措施商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時產(chǎn)生的各種安全問題，在計算機網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進行。各種商務(wù)交易安全服務(wù)都是通過安全技術(shù)來實現(xiàn)的，主要包括加密技術(shù)、認證技術(shù)和電子商務(wù)安全協(xié)議等。（一）加密技術(shù)。加密技術(shù)是電子商務(wù)采取的基本安全措施，交易雙方可根據(jù)需要在信息交換的階段使用。加密技術(shù)分為兩類，即對稱加密和非對稱加密。（1）對稱加密。對稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。（2）非對稱加密。非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發(fā)布（即公鑰），另一個由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密后再發(fā)送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。（二）認證技術(shù)。認證技術(shù)是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術(shù)，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。（1）數(shù)字簽名。數(shù)字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核準和生效的作用。其實現(xiàn)方式是把散列函數(shù)和公開密鑰算法結(jié)合起來，發(fā)送方從報文文本中生成一個散列值，并用自己的私鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名；然后，將這個數(shù)字簽名作為報文