网络安全技术[编辑]

     网络安全技术指致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。

技术概述　　

     21世纪全世界的计算机都将通过Internet联到一起,信息安全的内涵也就发生了根本的变化.它不仅从一般性的防卫变成了一种非常普通的防范,而且还从一种专门的领域变成了无处不在.当人类步入21世纪这一信息社会,网络社会的时候,我国将建立起一套完整的网络安全体系,特别是从政策上和法律上建立起有中国自己特色的网络安全体系.

　　一个国家的信息安全体系实际上包括国家的法规和政策,以及技术与市场的发展平台.我国在构建信息防卫系统时,应着力发展自己独特的安全产品,我国要想真正解决网络安全问题,最终的办法就是通过发展民族的安全产业,带动我国网络安全技术的整体提高.

　　网络安全产品有以下几大特点:第一,网络安全来源于安全策略与技术的多样化,如果采用一种统一的技术和策略也就不安全了;第二,网络的安全机制与技术要不断地变化;第三,随着网络在社会个方面的延伸,进入网络的手段也越来越多,因此,网络安全技术是一个十分复杂的系统工程.为此建立有中国特色的网络安全体系,需要国家政策和法规的支持及集团联合研究开发.安全与反安全就像矛盾的两个方面,总是不断地向上攀升,所以安全产业将来也是一个随着新技术发展而不断发展的产业.

　　网络安全产品的自身安全的防护技术网络安全设备安全防护的关键，一个自身不安全的设备不仅不能保护被保护的网络而且一旦被入侵，反而会变为入侵者进一步入侵的平台。

　　信息安全是国家发展所面临的一个重要问题.对于这个问题,我们还没有从系统的规划上去考虑它,从技术上,产业上,政策上来发展它.政府不仅应该看见信息安全的发展是我国高科技产业的一部分,而且应该看到,发展安全产业的政策是信息安全保障系统的一个重要组成部分,甚至应该看到它对我国未来电子化,信息化的发展将起到非常重要的作用.

技术分类

1、虚拟网技术

2、防火墙技术

3、病毒防护技术

4、入侵检测技术

5、安全扫描技术

6、认证和数字签字技术

7、VPN技术

8、应用系统的安全技术

电子商务网络安全技术问题
　　电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全 　　

（一）计算机网络安全的内容包括： 　　

（1）未进行操作系统相关安全配置 　　

不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门”　是进行网络攻击的首选目标。 　　

（2）未进行CGI程序代码审计 　　

如果是通用的CGI问题，防范起来还稍微容易一些，但是对于网站或软件供应商专门开发的一些CGI程序，很多存在严重的CGI问题，对于电子商务站点来说，会出现恶意攻击者冒用他人账号进行网上购物等严重后果。 　　（3）拒绝服务（DoS，Denial　of　Service）攻击 　　

随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快，范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。 　　

（4）安全产品使用不当 　　

虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。 　　（5）缺少严格的网络安全管理制度　 　　

网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 　　

（二）计算机商务交易安全的内容包括： 　　

（1）窃取信息 　　

由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。 　　（2）篡改信息 　　

当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。 　　

（3）假冒 　　

由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远端用户通常很难分辨。 　　

（4）恶意破坏 　　

由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。
电子商务安全技术的对策
　　电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此，电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。 　　

1．计算机网络安全措施 　　

计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。 　　

（一）保护网络安全。 　　

网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下： 　　

（1）全面规划网络平台的安全策略。 　　

（2）制定网络安全的管理措施。 　　

（3）使用防火墙。 　　

（4）尽可能记录网络上的一切活动。 　　

（5）注意对网络设备的物理保护。 　　

（6）检验网络平台系统的脆弱性。 　　

（7）建立可靠的识别和鉴别机制。 　　

（二）保护应用安全。 　　

保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。 　　由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。 　　

虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。 　　（三）保护系统安全。 　　

保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施： 　　

（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。 　　（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。 　　

（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。 　　

2．商务交易安全措施 　　

商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。 　　

各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。 　　（一）加密技术。 　　

加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。 　　

（1）对称加密。 　　

对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。 　　

（2）非对称加密。

 　　非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。 　　

（二）认证技术。 　　

认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。 　　

（1）数字签名。 　　

数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充、篡改等问题。 　　

（2）数字证书。 　　

数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。 　　（三）电子商务的安全协议。 　

　除上文提到的各种安全技术之外，电子商务的运行还有一套完整的安全协议。目前，比较成熟的协议有SET、SSL等。 　　

（1）安全套接层协议SSL。 　　

SSL协议位于传输层和应用层之间，由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC，然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。 　　

（2）安全电子交易协议SET。 　　

SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。SET主要由三个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。 　　SET协议是专为电子商务系统设计的。它位于应用层，其认证体系十分完善，能实现多方认证。在SET的实现中，消费者帐户信息对商家来说是保密的。但是SET协议十分复杂，交易数据需进行多次验证，用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外，还有发卡行、收单行、认证中心、支付网关等其它参与者。

 三.病毒防护技术

　　病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。

　　我们将病毒的途径分为：

　　(1 ) 通过FTP，电子邮件传播。

　　(2) 通过软盘、光盘、磁带传播。

　　(3) 通过Web游览传播，主要是恶意的Java控件网站。

　　(4) 通过群件系统传播。

　　病毒防护的主要技术如下：

　　(1) 阻止病毒的传播。

　　在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。

　　(2) 检查和清除病毒。

　　使用防病毒软件检查和清除病毒。

　　(3) 病毒数据库的升级。

　　病毒数据库应不断更新，并下发到桌面系统。

　　(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件，禁止未经许可的控件下载和安装。四.入侵检测技术

　　利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险。但是，仅仅使用防火墙、网络安全还远远不够：

　　(1) 入侵者可寻找防火墙背后可能敞开的后门。

　　(2) 入侵者可能就在防火墙内。

　　(3) 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。

　　入侵检测系统是近年出现的新型网络安全技术，目的是提供实时的入侵检测及采取相应的防护手段，如记录证据用于跟踪和恢复、断开网络连接等。

　　实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击，其次它能够缩短hacker入侵的时间。

　　入侵检测系统可分为两类：

　　√ 基于主机

　　√ 基于网络

　　基于主机的入侵检测系统用于保护关键应用的服务器，实时监视可疑的连接、系统日志检查，非法访问的闯入等，并且提供对典型应用的监视如Web服务器应用。

　　基于网络的入侵检测系统用于实时监控网络关键路径的信息，其基本模型如右图示：

　　上述模型由四个部分组成：

　　 入侵检测系统的基本模型

(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。

　　(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征，结果传送给Countermeasure部分。

　　(3) countermeasure执行规定的动作。

　　(4) Storage保存分析结果及相关数据。

　　基于主机的安全监控系统具备如下特点：

　　(1) 精确，可以精确地判断入侵事件。

　　(2) 高级，可以判断应用层的入侵事件。

　　(3) 对入侵时间立即进行反应。

　　(4) 针对不同操作系统特点。　

　　(5) 占用主机宝贵资源。

　　基于网络的安全监控系统具备如下特点：

　　(1) 能够监视经过本网段的任何活动。

　　(2) 实时网络监视。

　　(3) 监视粒度更细致。

　　(4) 精确度较差。

　　(5) 防入侵欺骗的能力较差。

　　(6) 交换网络环境难于配置。

　　基于主机及网络的入侵监控系统通常均可配置为分布式模式：

　　(1) 在需要监视的服务器上安装监视模块(agent)，分别向管理服务器报告及上传证据，提供跨平台的入侵监视解决方案。

　　(2) 在需要监视的网络路径上，放置监视模块(sensor),分别向管理服务器报告及上传证据，提供跨网络的入侵监视解决方案。

　　选择入侵监视系统的要点是：

　　(1) 协议分析及检测能力。

　　(2) 解码效率(速度)。

　　(3) 自身安全的完备性。

　　(4) 精确度及完整度，防欺骗能力。

　　(5) 模式更新速度。五.安全扫描技术

　　网络安全技术中，另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。

　　安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。

　　安全扫描工具通常也分为基于服务器和基于网络的扫描器。

　　基于服务器的扫描器主要扫描服务器相关的安全漏洞，如password文件，目录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。

　　基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞，并可设定模拟攻击，以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面：

　　(1) 速度。在网络内进行安全扫描非常耗时。

　　(2) 网络拓扑。通过GUI的图形界面，可迭择一步或某些区域的设备。

　　(3) 能够发现的漏洞数量。

　　(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫描方法肯定不能满足客户的需求。

　　(5) 报告，扫描器应该能够给出清楚的安全漏洞报告。

　　(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级，并给出相应的改进建议。

　　安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性，并及时发现安全漏洞。六. 认证和数字签名技术

　　认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。

　　认证技术将应用到企业网络中的以下方面：

　　(1) 路由器认证，路由器和交换机之间的认证。

　　(2) 操作系统认证。操作系统对用户的认证。

　　(3) 网管系统对网管设备之间的认证。

　　(4) VPN网关设备之间的认证。

　　(5) 拨号访问服务器与客户间的认证。

　　(6) 应用服务器(如Web Server)与客户的认证。

　　(7) 电子邮件通讯双方的认证。

　　数字签名技术主要用于：

　　(1) 基于PKI认证体系的认证过程。

　　(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。

　　认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。

　　UserName/Password认证

　　该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。

　　使用摘要算法的认证

　　Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。

　　基于PKI的认证

　　使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。

　　该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。、

网络安全技术案例

1.概况

　　随着计算机技术的飞速发展，信息网络已经成为社会发展的重要保证。有很多是敏感信息，甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等）。同时，网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。

　　计算机犯罪案件也急剧上升，计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告，计算机犯罪是商业犯罪中最大的犯罪类型之一，每笔犯罪的平均金额为45000美元，每年计算机犯罪造成的经济损失高达50亿美元。2.国外

　　1996年初，据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计，有53％的企业受到过计算机病毒的侵害，42％的企业的计算机系统在过去的12个月被非法使用过。而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。

　　1994年末，俄罗斯黑客弗拉基米尔?利文与其伙伴从圣彼得堡的一家小软件公司的联网计算机上，向美国CITYBANK银行发动了一连串攻击，通过电子转帐方式，从CITYBANK银行在纽约的计算机主机里窃取1100万美元。

　　1996年8月17日，美国司法部的网络服务器遭到黑客入侵，并将“ 美国司法部” 的主页改为“ 美国不公正部” ，将司法部部长的照片换成了阿道夫?希特勒，将司法部徽章换成了纳粹党徽，并加上一幅色情女郎的图片作为所谓司法部部长的助手。此外还留下了很多攻击美国司法政策的文字。

　　1996年9月18日，黑客又光顾美国中央情报局的网络服务器，将其主页由“中央情报局” 改为“ 中央愚蠢局” 。

　　1996年12月29日，黑客侵入美国空军的全球网网址并将其主页肆意改动，其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象，且声称美国政府所说的一切都是谎言。迫使美国国防部一度关闭了其他80多个军方网址。3.国内

　　1996年2月，刚开通不久的Chinanet受到攻击，且攻击得逞。

　　1997年初，北京某ISP被黑客成功侵入，并在清华大学“ 水木清华” BBS站的“ 黑客与解密” 讨论区张贴有关如何免费通过该ISP进入Internet的文章。

　　1997年4月23日，美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个PPP用户侵入中国互联网络信息中心的服务器，破译该系统的shutdown帐户，把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。

　　1996年初CHINANET受到某高校的一个研究生的攻击；96年秋，北京某ISP和它的用户发生了一些矛盾，此用户便攻击该ISP的服务器，致使服务中断了数小时。

　　2010年，Google发布公告称讲考虑退出中国市场，而公告中称：造成此决定的重要原因是因为Google被黑客攻击。

网络营销词典内容均由网友提供，仅供参考。如发现词条内容有问题，请发邮件至info # wm23.com。