1、安全技術(shù)概況2022/7/8江西智通1安全技術(shù)概況防火墻加密與數(shù)字簽名用戶識(shí)別和安全認(rèn)證網(wǎng)絡(luò)病毒的防御2022/7/8江西智通2防火墻一、防火墻原理二、防火墻的種類三、使用防火墻2022/7/8江西智通3 使用防火墻防火墻的技術(shù)種類 防火墻原理一、防火墻原理防火墻原理 作為近年來新興的保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)性措施，防火墻（FireWall）是一種隔離控制技術(shù)，在某個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)和不安全的網(wǎng)絡(luò)（如Internet）之間設(shè)置屏障，阻止對(duì)信息資源的非法訪問，也可以使用防火墻阻止專利信息從企業(yè)的網(wǎng)絡(luò)上被非法輸出。防火墻是一種被動(dòng)防衛(wèi)技術(shù)，由于它假設(shè)了網(wǎng)絡(luò)的邊界和服務(wù)，因此對(duì)內(nèi)部的非法訪問難以有效地控制，

2、因此，防火墻最適合于相對(duì)獨(dú)立的與外部網(wǎng)絡(luò)互連途徑有限、網(wǎng)絡(luò)服務(wù)種類相對(duì)集中的單一網(wǎng)絡(luò)。2022/7/8江西智通4一、防火墻原理作為Internet網(wǎng)的安全性保護(hù)應(yīng)用，F(xiàn)ireWall已經(jīng)得到廣泛的應(yīng)用。通常企業(yè)為了維護(hù)內(nèi)部的信息系統(tǒng)安全，在企業(yè)網(wǎng)和Internet間設(shè)立FireWall軟件。企業(yè)信息系統(tǒng)對(duì)于來自Internet的訪問，采取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應(yīng)用。如果在某一臺(tái)IP主機(jī)上有需要禁止的信息或危險(xiǎn)的用戶，則可以通過設(shè)置使用FireWall過濾掉從該主機(jī)發(fā)出的包。如果一個(gè)企業(yè)只是使用Internet的電子

3、郵件和WWW服務(wù)器向外部提供信息，那么就可以在FireWall上設(shè)置使得只有這兩類應(yīng)用的數(shù)據(jù)包可以通過。這對(duì)于路由器來說，就要不僅分析IP層的信息，而且還要進(jìn)一步了解TCP傳輸層甚至應(yīng)用層的信息以進(jìn)行取舍。FireWall一般安裝在路由器上以保護(hù)一個(gè)子網(wǎng)，也可以安裝在一臺(tái)主機(jī)上，保護(hù)這臺(tái)主機(jī)不受侵犯。 2022/7/8江西智通5二、防火墻技術(shù)的種類從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類：網(wǎng)絡(luò)級(jí)防火墻（也叫包過濾型防火墻）應(yīng)用級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)規(guī)則檢查防火墻它們之間各有所長(zhǎng)，具體使用哪一種或是否混合使用，要看具體需要。 2022/7/8江西智通6二、防火墻技術(shù)的種類1.網(wǎng)絡(luò)級(jí)防火墻一般是基于源地址

4、和目的地址、應(yīng)用或協(xié)議以及每個(gè)IP包的端口來作出通過與否的判斷。一個(gè)路由器便是一個(gè)“傳統(tǒng)”的網(wǎng)絡(luò)級(jí)防火墻，大多數(shù)的路由器都能通過檢查這些信息來決定是否將所收到的包轉(zhuǎn)發(fā)，但它不能判斷出一個(gè)IP包來自何方，去向何處。防火墻檢查每一條規(guī)則直至發(fā)現(xiàn)包中的信息與某規(guī)則相符。如果沒有一條規(guī)則能符合，防火墻就會(huì)使用默認(rèn)規(guī)則，一般情況下，默認(rèn)規(guī)則就是要求防火墻丟棄該包。其次，通過定義基于TCP或UDP數(shù)據(jù)包的端口號(hào)，防火墻能夠判斷是否允許建立特定的連接，如Telnet、FTP連接。2022/7/8江西智通7二、防火墻技術(shù)的種類2應(yīng)用級(jí)網(wǎng)關(guān)應(yīng)用級(jí)網(wǎng)關(guān)能夠檢查進(jìn)出的數(shù)據(jù)包，通過網(wǎng)關(guān)復(fù)制傳遞數(shù)據(jù)，防止在受信任服務(wù)器

5、和客戶機(jī)與不受信任的主機(jī)間直接建立聯(lián)系。應(yīng)用級(jí)網(wǎng)關(guān)能夠理解應(yīng)用層上的協(xié)議，能夠做復(fù)雜一些的訪問控制，并做精細(xì)的注冊(cè)和稽核。它針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，并且能夠?qū)?shù)據(jù)包分析并形成相關(guān)的報(bào)告。應(yīng)用網(wǎng)關(guān)對(duì)某些易于登錄和控制所有輸出輸入的通信的環(huán)境給予嚴(yán)格的控制，以防有價(jià)值的程序和數(shù)據(jù)被竊取。在實(shí)際工作中，應(yīng)用網(wǎng)關(guān)一般由專用工作站系統(tǒng)來完成。但每一種協(xié)議需要相應(yīng)的代理軟件，使用時(shí)工作量大，效率不如網(wǎng)絡(luò)級(jí)防火墻。應(yīng)用級(jí)網(wǎng)關(guān)有較好的訪問控制，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)困難，而且有的應(yīng)用級(jí)網(wǎng)關(guān)缺乏“透明度”。在實(shí)際使用中，用戶在受信任的網(wǎng)絡(luò)上通過防火墻訪問Internet時(shí)，經(jīng)常會(huì)發(fā)現(xiàn)

6、存在延遲并且必須進(jìn)行多次登錄（Login）才能訪問Internet或Intranet。2022/7/8江西智通8二、防火墻技術(shù)的種類3電路級(jí)網(wǎng)關(guān)電路級(jí)網(wǎng)關(guān)用來監(jiān)控受信任的客戶或服務(wù)器與不受信任的主機(jī)間的TCP握手信息,這樣來決定該會(huì)話（Session）是否合法,電路級(jí)網(wǎng)關(guān)是在OSI模型中會(huì)話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。電路級(jí)網(wǎng)關(guān)還提供一個(gè)重要的安全功能：代理服務(wù)器（Proxy Server）。代理服務(wù)器是設(shè)置在Internet防火墻網(wǎng)關(guān)的專用應(yīng)用級(jí)代碼。這種代理服務(wù)準(zhǔn)許網(wǎng)管員允許或拒絕特定的應(yīng)用程序或一個(gè)應(yīng)用的特定功能。包過濾技術(shù)和應(yīng)用網(wǎng)關(guān)是通過特定的邏輯判斷來決定是否允許特

7、定的數(shù)據(jù)包通過，一旦判斷條件滿足，防火墻內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)便“暴露”在外來用戶面前，這就引入了代理服務(wù)的概念，即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的“鏈接”由兩個(gè)終止于代理服務(wù)的“鏈接”來實(shí)現(xiàn)，這就成功地實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。同時(shí)，代理服務(wù)還可用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等功能。代理服務(wù)技術(shù)主要通過專用計(jì)算機(jī)硬件（如工作站）來承擔(dān)。2022/7/8江西智通9二、防火墻技術(shù)的種類4規(guī)則檢查防火墻該防火墻結(jié)合了包過濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡(luò)層上通過IP地址和端口號(hào)，過濾進(jìn)出的數(shù)據(jù)包。它也象電路級(jí)網(wǎng)關(guān)一樣，能夠

8、檢查SYN和ACK標(biāo)記和序列數(shù)字是否邏輯有序。當(dāng)然它也象應(yīng)用級(jí)網(wǎng)關(guān)一樣，可以在OSI應(yīng)用層上檢查數(shù)據(jù)包的內(nèi)容，查看這些內(nèi)容是否能符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。規(guī)則檢查防火墻雖然集成前三者的特點(diǎn)，但是不同于一個(gè)應(yīng)用級(jí)網(wǎng)關(guān)的是，它并不打破客戶機(jī)/服務(wù)器模式來分析應(yīng)用層的數(shù)據(jù)，它允許受信任的客戶機(jī)和不受信任的主機(jī)建立直接連接。規(guī)則檢查防火墻不依靠與應(yīng)用層有關(guān)的代理，而是依靠某種算法來識(shí)別進(jìn)出的應(yīng)用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進(jìn)出數(shù)據(jù)包，這樣從理論上就能比應(yīng)用級(jí)代理在過濾數(shù)據(jù)包上更有效。2022/7/8江西智通10三、使用防火墻 防火墻是企業(yè)網(wǎng)安全問題的流行方案，即把公共數(shù)據(jù)和服務(wù)置于防火

9、墻外，使其對(duì)防火墻內(nèi)部資源的訪問受到限制。一般說來，防火墻是不能防病毒的，盡管有不少的防火墻產(chǎn)品聲稱其具有這個(gè)功能。防火墻技術(shù)的另外一個(gè)弱點(diǎn)在于數(shù)據(jù)在防火墻之間的更新是一個(gè)難題，如果延遲太大將無法支持實(shí)時(shí)服務(wù)請(qǐng)求。此外，防火墻采用濾波技術(shù)，濾波通常使網(wǎng)絡(luò)的性能降低50%以上，如果為了改善網(wǎng)絡(luò)性能而購置高速路由器，又會(huì)大大提高經(jīng)濟(jì)預(yù)算。作為一種網(wǎng)絡(luò)安全技術(shù)，防火墻具有簡(jiǎn)單實(shí)用的特點(diǎn)，并且透明度高，可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)的情況下達(dá)到一定的安全要求。但是，如果防火墻系統(tǒng)被攻破，則被保護(hù)的網(wǎng)絡(luò)處于無保護(hù)狀態(tài)。所以企業(yè)在挑選防火墻產(chǎn)品時(shí)一定謹(jǐn)慎。2022/7/8江西智通112022/7/8江西智通

10、12加密與數(shù)字簽名一、加密 二、數(shù)字簽名三、密鑰的管理 2022/7/8江西智通13一、加密 數(shù)據(jù)加密技術(shù)從技術(shù)上的實(shí)現(xiàn)分為在軟件和硬件兩方面。按作用不同，數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸數(shù)據(jù)存儲(chǔ)數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。2022/7/8江西智通14一、加密 在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式：對(duì)稱密鑰和公開密鑰，采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng)，而不能簡(jiǎn)單地根據(jù)其加密強(qiáng)度來作出判斷。因?yàn)槌思用芩惴ū旧碇猓荑€合理分配、加密效率與現(xiàn)有系統(tǒng)的結(jié)合性，以及投入產(chǎn)出分析都應(yīng)在實(shí)際環(huán)境中具體考慮。2022/7/8江西智通15一、加密 對(duì)于對(duì)稱密鑰加密。其常見加密標(biāo)準(zhǔn)為DES等，當(dāng)

11、使用DES時(shí)，用戶和接受方采用64位密鑰對(duì)報(bào)文加密和解密，當(dāng)對(duì)安全性有特殊要求時(shí)，則要采取IDEA和三重DES等。作為傳統(tǒng)企業(yè)網(wǎng)絡(luò)廣泛應(yīng)用的加密技術(shù)，秘密密鑰效率高，它采用KDC來集中管理和分發(fā)密鑰并以此為基礎(chǔ)驗(yàn)證身份，但是并不適合Internet環(huán)境。2022/7/8江西智通16一、加密 在Internet中使用更多的是公鑰系統(tǒng)。即公開密鑰加密，它的加密密鑰和解密密鑰是不同的。一般對(duì)于每個(gè)用戶生成一對(duì)密鑰后，將其中一個(gè)作為公鑰公開，另外一個(gè)則作為私鑰由屬主保存。常用的公鑰加密算法是RSA算法，加密強(qiáng)度很高。2022/7/8江西智通17一、加密 具體作法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。發(fā)送方在

12、發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)據(jù)簽名，做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名，然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。當(dāng)這些密文被接收方收到后，接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名，然后，用發(fā)布方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密，如果成功，則確定是由發(fā)送方發(fā)出的。數(shù)字簽名每次還與被傳送的數(shù)據(jù)和時(shí)間等因素有關(guān)。由于加密強(qiáng)度高，而且并不要求通信雙方事先要建立某種信任關(guān)系或共享某種秘密，因此十分適合Internet網(wǎng)上使用。 2022/7/8江西智通18一、加密 下面介紹幾種最常見的加密體制的技術(shù)實(shí)現(xiàn)：1常規(guī)密鑰密碼體制所謂常規(guī)密鑰密碼體制，即加密密鑰與解密密鑰是相同的。在

13、早期的常規(guī)密鑰密碼體制中，典型的有代替密碼，其原理可以用一個(gè)例子來說明：將字母a，b，c，d，w，x，y，z的自然順序保持不變，但使之與D，E，F(xiàn)，G，Z，A，B，C分別對(duì)應(yīng)（即相差3個(gè)字符）。若明文為student則對(duì)應(yīng)的密文為VWXGHQW（此時(shí)密鑰為3）。由于英文字母中各字母出現(xiàn)的頻度早已有人進(jìn)行過統(tǒng)計(jì)，所以根據(jù)字母頻度表可以很容易對(duì)這種代替密碼進(jìn)行破譯。2022/7/8江西智通19一、加密 2數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES算法原是IBM公司為保護(hù)產(chǎn)品的機(jī)密于1971年至1972年研制成功的，后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和國(guó)家安全局選為數(shù)據(jù)加密標(biāo)準(zhǔn)，并于1977年頒布使用。ISO也已將DES作為數(shù)據(jù)加密

14、標(biāo)準(zhǔn)。DES對(duì)64位二進(jìn)制數(shù)據(jù)加密，產(chǎn)生64位密文數(shù)據(jù)。使用的密鑰為64位，實(shí)際密鑰長(zhǎng)度為56位（有8位用于奇偶校驗(yàn)）。解密時(shí)的過程和加密時(shí)相似，但密鑰的順序正好相反。 DES的保密性僅取決于對(duì)密鑰的保密，而算法是公開的。DES內(nèi)部的復(fù)雜結(jié)構(gòu)是至今沒有找到捷徑破譯方法的根本原因。現(xiàn)在DES可由軟件和硬件實(shí)現(xiàn)。美國(guó)ATT首先用LSI芯片實(shí)現(xiàn)了DES的全部工作模式，該產(chǎn)品稱為數(shù)據(jù)加密處理機(jī)DEP。2022/7/8江西智通20一、加密 3公開密鑰密碼體制公開密鑰（public key）密碼體制出現(xiàn)于1976年。它最主要的特點(diǎn)就是加密和解密使用不同的密鑰，每個(gè)用戶保存著一對(duì)密鑰 ? 公開密鑰PK和秘密

15、密鑰SK，因此，這種體制又稱為雙鑰或非對(duì)稱密鑰密碼體制。在這種體制中，PK是公開信息，用作加密密鑰，而SK需要由用戶自己保密，用作解密密鑰。加密算法E和解密算法D也都是公開的。雖然SK與PK是成對(duì)出現(xiàn)，但卻不能根據(jù)PK計(jì)算出SK。2022/7/8江西智通21一、加密 公開密鑰算法的特點(diǎn)如下：1、用加密密鑰PK對(duì)明文X加密后，再用解密密鑰SK解密，即可恢復(fù)出明文，或?qū)憺椋篋SK（EPK（X）=X 2、加密密鑰不能用來解密，即DPK（EPK（X）X 3、在計(jì)算機(jī)上可以容易地產(chǎn)生成對(duì)的PK和SK。 4、從已知的PK實(shí)際上不可能推導(dǎo)出SK。 5、加密和解密的運(yùn)算可以對(duì)調(diào)，即：EPK（DSK（X）=X

16、在公開密鑰密碼體制中，最有名的一種是RSA體制。它已被ISO/TC97的數(shù)據(jù)加密技術(shù)分委員會(huì)SC20推薦為公開密鑰數(shù)據(jù)加密標(biāo)準(zhǔn)。2022/7/8江西智通22二、數(shù)字簽名數(shù)字簽名技術(shù)是實(shí)現(xiàn)交易安全的核心技術(shù)之一，它的實(shí)現(xiàn)基礎(chǔ)就是加密技術(shù)。在這里，我們介紹數(shù)字簽名的基本原理。以往的書信或文件是根據(jù)親筆簽名或印章來證明其真實(shí)性的。但在計(jì)算機(jī)網(wǎng)絡(luò)中傳送的報(bào)文又如何蓋章呢？這就是數(shù)字簽名所要解決的問題。數(shù)字簽名必須保證以下幾點(diǎn)：接收者能夠核實(shí)發(fā)送者對(duì)報(bào)文的簽名；發(fā)送者事后不能抵賴對(duì)報(bào)文的簽名；接收者不能偽造對(duì)報(bào)文的簽名。現(xiàn)在已有多種實(shí)現(xiàn)各種數(shù)字簽名的方法，但采用公開密鑰算法要比常規(guī)算法更容易實(shí)現(xiàn)。下面就

17、來介紹這種數(shù)字簽名。2022/7/8江西智通23二、數(shù)字簽名發(fā)送者A用其秘密解密密鑰SKA對(duì)報(bào)文X進(jìn)行運(yùn)算，將結(jié)果DSKA（X）傳送給接收者B。B用已知的A的公開加密密鑰得出EPKA（DSKA（X）=X。因?yàn)槌鼳外沒有別人能具有A的解密密鑰SKA，所以除A外沒有別人能產(chǎn)生密文DSKA（X）。這樣，報(bào)文X就被簽名了。假若A要抵賴曾發(fā)送報(bào)文給B。B可將X及DSKA（X）出示給第三者。第三者很容易用PKA去證實(shí)A確實(shí)發(fā)送消息X給B。反之，如果是B將X偽造成X，則B不能在第三者面前出示DSKA（X）。這樣就證明B偽造了報(bào)文。可以看出，實(shí)現(xiàn)數(shù)字簽名也同時(shí)實(shí)現(xiàn)了對(duì)報(bào)文來源的鑒別。但是上述過程只是對(duì)報(bào)文進(jìn)行

18、了簽名。對(duì)傳送的報(bào)文X本身卻未保密。因?yàn)榻氐矫芪腄SKA（X）并知道發(fā)送者身份的任何人，通過查問手冊(cè)即可獲得發(fā)送者的公開密鑰PKA，因而能夠理解報(bào)文內(nèi)容。則可同時(shí)實(shí)現(xiàn)秘密通信和數(shù)字簽名。SKA和SKB分別為A和B的秘密密鑰，而PKA和PKB分別為A和B的公開密鑰。2022/7/8江西智通24三、密鑰的管理對(duì)稱密鑰加密方法致命的一個(gè)弱點(diǎn)就是它的密鑰管理十分困難，因此它很難在電子商務(wù)的實(shí)踐中得到廣泛的應(yīng)用。在這一點(diǎn)上，公開密鑰加密方法占有絕對(duì)的優(yōu)勢(shì)。不過，無論實(shí)施哪種方案，密鑰的管理都是要考慮的問題。當(dāng)網(wǎng)絡(luò)擴(kuò)得更大、用戶增加更多時(shí)尤其如此。一家專門從事安全性咨詢的公司Cypress Consult

19、ing的總裁CyArdoin說：“在所有加密方案中，都必須有人來管理密鑰。”2022/7/8江西智通25三、密鑰的管理目前，公認(rèn)的有效方法是通過密鑰分配中心KDC來管理和分配公開密鑰。每個(gè)用戶只保存自己的秘密密鑰和KDC的公開密鑰PKAS。用戶可以通過KDC獲得任何其他用戶的公開密鑰。2022/7/8江西智通26三、密鑰的管理首先，A向KDC申請(qǐng)公開密鑰，將信息（A，B）發(fā)給KDC。KDC返回給A的信息為（CA，CB），其中，CA=DSKAS（A，PKA，T1），CB=DSKAS（B，PKB，T2）。CA和CB稱為證書（Certificate），分別含有A和B的公開密鑰。KDC使用其解密密鑰S

20、KAS對(duì)CA和CB進(jìn)行了簽名，以防止偽造。時(shí)間戳T1和T2的作用是防止重放攻擊。最后，A將證書CA和CB傳送給B。B獲得了A的公開密鑰PKA，同時(shí)也可檢驗(yàn)他自己的公開密鑰PKB。用戶識(shí)別和安全認(rèn)證僅僅加密是不夠的，全面的保護(hù)還要求認(rèn)證和識(shí)別。它確保參與加密對(duì)話的人確實(shí)是其本人。廠家依靠許多機(jī)制來實(shí)現(xiàn)認(rèn)證，從安全卡到身份鑒別。前一個(gè)安全保護(hù)能確保只有經(jīng)過授權(quán)的用戶才能通過個(gè)人計(jì)算機(jī)進(jìn)行Internet網(wǎng)上的交互式交易；后者則提供一種方法，用它生成某種形式的口令或數(shù)字簽名，交易的另一方據(jù)此來認(rèn)證他的交易伙伴。用戶管理的口令通常是前一種安全措施；硬件軟件解決方案則不僅正逐步成為數(shù)字身份認(rèn)證的手段，同

21、時(shí)它也可以被可信第三方用來完成用戶數(shù)字身份（ID）的相關(guān)確認(rèn)。一、認(rèn)證和識(shí)別的基本原理二、認(rèn)證的主要方法2022/7/8江西智通27一、認(rèn)證和識(shí)別的基本原理認(rèn)證就是指用戶必須提供他是誰的證明，他是某個(gè)雇員，某個(gè)組織的代理、某個(gè)軟件過程（如股票交易系統(tǒng)或Web訂貨系統(tǒng)的軟件過程）。認(rèn)證的標(biāo)準(zhǔn)方法就是弄清楚他是誰，他具有什么特征，他知道什么可用于識(shí)別他的東西。比如說，指紋、視網(wǎng)膜血管分布圖、聲波紋識(shí)別也是商業(yè)系統(tǒng)采用的一種識(shí)別方式。2022/7/8江西智通28一、認(rèn)證和識(shí)別的基本原理網(wǎng)絡(luò)通過用戶擁有什么東西來識(shí)別的方法，一般是用智能卡或其它特殊形式的標(biāo)志，這類標(biāo)志可以從連接到計(jì)算機(jī)上的讀出器讀出來

22、。至于說到“他知道什么”，最普通的就是口令，口令具有共享秘密的屬性。例如，要使服務(wù)器操作系統(tǒng)識(shí)別要入網(wǎng)的用戶，那么用戶必須把他的用戶名和口令送服務(wù)器。服務(wù)器就將它仍與數(shù)據(jù)庫里的用戶名和口令進(jìn)行比較，如果相符，就通過了認(rèn)證，可以上網(wǎng)訪問。這個(gè)口令就由服務(wù)器和用戶共享。更保密的認(rèn)證可以是幾種方法組合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽，如果口令以明碼（未加密）傳輸，接入到網(wǎng)上的規(guī)程分析儀就會(huì)在用戶輸入帳戶和口令時(shí)將它記錄下來，任何人只要獲得這些信息就可以上網(wǎng)工作。2022/7/8江西智通29一、認(rèn)證和識(shí)別的基本原理智能卡技術(shù)將成為用戶接入和用戶身份認(rèn)證等安全要求

23、的首選技術(shù)。用戶將從持有認(rèn)證執(zhí)照的可信發(fā)行者手里取得智能卡安全設(shè)備，也可從其他公共密鑰密碼安全方案發(fā)行者那里獲得。這樣智能卡的讀取器必將成為用戶接入和認(rèn)證安全解決方案的一個(gè)關(guān)鍵部分。越來越多的業(yè)內(nèi)人士在積極提供智能卡安全性的解決方案。盡管這一領(lǐng)域的情形還不明朗，但我們沒有理由排除這樣一種可能：在數(shù)字ID和相關(guān)執(zhí)照的可信發(fā)行者方面，某些經(jīng)濟(jì)組織或由某些銀行擁有的信用卡公司將可能成為這一領(lǐng)域的領(lǐng)導(dǎo)者。2022/7/8江西智通30二、認(rèn)證的主要方法為了解決安全問題，一些公司和機(jī)構(gòu)正千方百計(jì)地解決用戶身份認(rèn)證問題，主要有以下幾種認(rèn)證辦法。1雙重認(rèn)證。如波斯頓的Beth Isreal Hospital公

24、司和意大利一家居領(lǐng)導(dǎo)地位的電信公司正采用“雙重認(rèn)證”辦法來保證用戶的身份證明。也就是說他們不是采用一種方法，而是采用有兩種形式的證明方法，這些證明方法包括令牌、智能卡和仿生裝置，如視網(wǎng)膜或指紋掃描器。2022/7/8江西智通31二、認(rèn)證的主要方法2數(shù)字證書。這是一種檢驗(yàn)用戶身份的電子文件，也是企業(yè)現(xiàn)在可以使用的一種工具。這種證書可以授權(quán)購買，提供更強(qiáng)的訪問控制，并具有很高的安全性和可靠性。隨著電信行業(yè)堅(jiān)持放松管制，GTE已經(jīng)使用數(shù)字證書與其競(jìng)爭(zhēng)對(duì)手（包括Sprint公司和ATT公司）共享用戶信息。3智能卡。這種解決辦法可以持續(xù)較長(zhǎng)的時(shí)間，并且更加靈活，存儲(chǔ)信息更多，并具有可供選擇的管理方式。4

25、安全電子交易（SET）協(xié)議。這是迄今為止最為完整最為權(quán)威的電子商務(wù)安全保障協(xié)議 2022/7/8江西智通32網(wǎng)絡(luò)病毒的防御一、網(wǎng)絡(luò)病毒的威脅 二、企業(yè)范圍的病毒防治 三、布署和管理防病毒軟件2022/7/8江西智通33一、網(wǎng)絡(luò)病毒的威脅 一、網(wǎng)絡(luò)病毒的威脅病毒本身已是令人頭痛的問題。但隨著Internet開拓性的發(fā)展，病毒可能為網(wǎng)絡(luò)帶來災(zāi)難性后果。Internet帶來了兩種不同的安全威脅。一種威脅是來自文件下載。這些被瀏覽的或是通過FTP下載的文件中可能存在病毒。而共享軟件（public shareware）和各種可執(zhí)行的文件，如格式化的介紹性文件（formatted presentation

26、）已經(jīng)成為病毒傳播的重要途徑。并且，Internet上還出現(xiàn)了Java和Active X形式的惡意小程序。另一種主要威脅來自于電子郵件。大多數(shù)的Internet郵件系統(tǒng)提供了在網(wǎng)絡(luò)間傳送附帶格式化文檔郵件的功能。只要簡(jiǎn)單地敲敲鍵盤，郵件就可以發(fā)給一個(gè)或一組收信人。因此，受病毒感染的文檔或文件就可能通過網(wǎng)關(guān)和郵件服務(wù)器涌入企業(yè)網(wǎng)絡(luò)。2022/7/8江西智通34一、網(wǎng)絡(luò)病毒的威脅 另一種網(wǎng)絡(luò)化趨勢(shì)也加重了病毒的威脅。這種趨勢(shì)是向群件應(yīng)用程序發(fā)展的，如Lotus Notes，Microsoft Exchange，Novell Groupwise和Netscape Colabra。由于群件的核心是在網(wǎng)

27、絡(luò)內(nèi)共享文檔，那么這就為病毒的發(fā)展提供了豐富的基礎(chǔ)。而群件不僅僅是共享文檔的儲(chǔ)藏室，它還提供合作功能，能夠在相關(guān)工作組之間同步傳輸文檔。這就大大提高了病毒傳播的機(jī)會(huì)。因此群件系統(tǒng)的安全保護(hù)顯得格外重要。 2022/7/8江西智通35二、企業(yè)范圍的病毒防治首先應(yīng)該考慮在何處安裝病毒防治軟件。在企業(yè)中，重要的數(shù)據(jù)往往保存在位于整個(gè)網(wǎng)絡(luò)中心結(jié)點(diǎn)的文件服務(wù)器上，這也是病毒攻擊的首要目標(biāo)。為保護(hù)這些數(shù)據(jù)，網(wǎng)絡(luò)管理員必須在網(wǎng)絡(luò)的多個(gè)層次上設(shè)置全面保護(hù)措施。2022/7/8江西智通36二、企業(yè)范圍的病毒防治有效的多層保護(hù)措施必須具備四個(gè)特性：集成性：所有的保護(hù)措施必須在邏輯上是統(tǒng)一的和相互配合的。 單點(diǎn)管理：作為一個(gè)集成的解決方案，最基本的一條是必須有一個(gè)安全管理的聚焦點(diǎn)。 自動(dòng)化：系統(tǒng)需要有能自動(dòng)更新病毒特征碼數(shù)據(jù)庫和其它相關(guān)信息的功能。 多層分布：這個(gè)解決方案應(yīng)該是多層次的，適當(dāng)?shù)姆蓝静考谶m當(dāng)?shù)奈恢梅职l(fā)出去，最大限度地發(fā)揮作用，而又不會(huì)影響網(wǎng)絡(luò)負(fù)擔(dān)。防毒軟件應(yīng)該安裝在服務(wù)器工作站和郵件系統(tǒng)上。 2022/7/8江西智通37二、企業(yè)范圍的病毒防治 工作站是病毒進(jìn)入網(wǎng)絡(luò)的主要途徑，所以應(yīng)該在工作站上安裝防病毒軟