服務(wù)器技術(shù)與信息安全技術(shù) 技術(shù)服務(wù)和信息技術(shù)服務(wù)區(qū)別

信息安全的相關(guān)技術(shù)

在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：

成都創(chuàng)新互聯(lián)公司從2013年成立，先為洛隆等服務(wù)建站，洛隆等地企業(yè)，進(jìn)行企業(yè)商務(wù)咨詢服務(wù)。為洛隆企業(yè)網(wǎng)站制作PC+手機(jī)+微官網(wǎng)三網(wǎng)同步一站式服務(wù)解決您的所有建站問題。

◆ 用戶身份認(rèn)證：是安全的第一道大門，是各種安全措施可以發(fā)揮作用的前提，身份認(rèn)證技術(shù)包括：靜態(tài)密碼、動(dòng)態(tài)密碼（短信密碼、動(dòng)態(tài)口令牌、手機(jī)令牌）、USB KEY、IC卡、數(shù)字證書、指紋虹膜等。

◆防火墻：防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對(duì)內(nèi)部資源的非法訪問，防止內(nèi)部對(duì)外部的不安全訪問。主要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它其本身可能存在安全問題，也可能會(huì)是一個(gè)潛在的瓶頸。

◆網(wǎng)絡(luò)安全隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實(shí)現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的。隔離卡主要用于對(duì)單臺(tái)機(jī)器的隔離，網(wǎng)閘主要用于對(duì)于整個(gè)網(wǎng)絡(luò)的隔離。這兩者的區(qū)別可參見參考資料。網(wǎng)絡(luò)安全隔離與防火墻的區(qū)別可參看參考資料。

◆安全路由器：由于WAN連接需要專用的路由器設(shè)備，因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。

◆虛擬專用網(wǎng)(VPN)：虛擬專用網(wǎng)（VPN）是在公共數(shù)據(jù)網(wǎng)絡(luò)上，通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)，實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互聯(lián)。VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。

◆ 安全服務(wù)器：安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)陌踩Ｃ軉栴}，其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制，對(duì)局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。

◆ 電子簽證機(jī)構(gòu)--CA和PKI產(chǎn)品：電子簽證機(jī)構(gòu)（CA）作為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。CA可向用戶發(fā)行電子簽證證書，為用戶提供成員身份驗(yàn)證和密鑰管理等功能。PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件。

◆ 安全管理中心：由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。

◆入侵檢測系統(tǒng)（IDS）：入侵檢測，作為傳統(tǒng)保護(hù)機(jī)制（比如訪問控制，身份識(shí)別等）的有效補(bǔ)充，形成了信息系統(tǒng)中不可或缺的反饋鏈。

◆入侵防御系統(tǒng)（IPS）：入侵防御，入侵防御系統(tǒng)作為IDS很好的補(bǔ)充，是信息安全發(fā)展過程中占據(jù)重要位置的計(jì)算機(jī)網(wǎng)絡(luò)硬件。

◆安全數(shù)據(jù)庫：由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫內(nèi)，有些信息是有價(jià)值的，也是敏感的，需要保護(hù)。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控制與用戶身份識(shí)別等。

◆ 安全操作系統(tǒng)：給系統(tǒng)中的關(guān)鍵服務(wù)器提供安全運(yùn)行平臺(tái)，構(gòu)成安全WWW服務(wù)，安全FTP服務(wù)，安全SMTP服務(wù)等，并作為各類網(wǎng)絡(luò)安全產(chǎn)品的堅(jiān)實(shí)底座，確保這些安全產(chǎn)品的自身安全。

◆DG圖文檔加密:能夠智能識(shí)別計(jì)算機(jī)所運(yùn)行的涉密數(shù)據(jù)，并自動(dòng)強(qiáng)制對(duì)所有涉密數(shù)據(jù)進(jìn)行加密操作，而不需要人的參與。體現(xiàn)了安全面前人人平等。從根源解決信息泄密

信息安全行業(yè)中的主流技術(shù)如下： 1、病毒檢測與清除技術(shù) 2、安全防護(hù)技術(shù) 包含網(wǎng)絡(luò)防護(hù)技術(shù)（防火墻、UTM、入侵檢測防御等）；應(yīng)用防護(hù)技術(shù)（如應(yīng)用程序接口安全技術(shù)等）；系統(tǒng)防護(hù)技術(shù)（如防篡改、系統(tǒng)備份與恢復(fù)技術(shù)等），防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的相關(guān)技術(shù)。 3、安全審計(jì)技術(shù) 包含日志審計(jì)和行為審計(jì)，通過日志審計(jì)協(xié)助管理員在受到攻擊后察看網(wǎng)絡(luò)日志，從而評(píng)估網(wǎng)絡(luò)配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，并能為實(shí)時(shí)防御提供手段。通過對(duì)員工或用戶的網(wǎng)絡(luò)行為審計(jì)，確認(rèn)行為的合規(guī)性，確保信息及網(wǎng)絡(luò)使用的合規(guī)性。 4、安全檢測與監(jiān)控技術(shù) 對(duì)信息系統(tǒng)中的流量以及應(yīng)用內(nèi)容進(jìn)行二至七層的檢測并適度監(jiān)管和控制，避免網(wǎng)絡(luò)流量的濫用、垃圾信息和有害信息的傳播。 5、解密、加密技術(shù) 在信息系統(tǒng)的傳輸過程或存儲(chǔ)過程中進(jìn)行信息數(shù)據(jù)的加密和解密。 6、身份認(rèn)證技術(shù) 用來確定訪問或介入信息系統(tǒng)用戶或者設(shè)備身份的合法性的技術(shù)，典型的手段有用戶名口令、身份識(shí)別、PKI 證書和生物認(rèn)證等。

信息安全服務(wù)

信息安全服務(wù)是指為確保信息和信息系統(tǒng)的完整性、保密性和可用性所提供的信息技術(shù)專業(yè)服務(wù)，包括對(duì)信息系統(tǒng)安全的的咨詢、集成、監(jiān)理、測評(píng)、認(rèn)證、運(yùn)維、審計(jì)、培訓(xùn)和風(fēng)險(xiǎn)評(píng)估、容災(zāi)備份、應(yīng)急響應(yīng)等工作 信息安全可以建立、采取有效的技術(shù)和管理手段，保護(hù)計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)硬件、軟件、數(shù)據(jù)及應(yīng)用等不因偶然或惡意的原因而遭到破壞、更改和泄漏，保障信息系統(tǒng)能夠連續(xù)、正常運(yùn)行。

一個(gè)安全有效的計(jì)算機(jī)信息系統(tǒng)可以同時(shí)支持機(jī)密性、真實(shí)性、可控性、可用性這四個(gè)核心安全屬性，而提供信息安全業(yè)務(wù)的基本目標(biāo)就是幫助信息系統(tǒng)實(shí)現(xiàn)上述全部或大部分內(nèi)容。 電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全

（一）計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：

（1）未進(jìn)行操作系統(tǒng)相關(guān)安全配置

不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會(huì)存在一些安全問題，只有專門針對(duì)操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強(qiáng)的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和“后門”　是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。

（2）未進(jìn)行CGI程序代碼審計(jì)

如果是通用的CGI問題，防范起來還稍微容易一些，但是對(duì)于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴(yán)重的CGI問題，對(duì)于電子商務(wù)站點(diǎn)來說，會(huì)出現(xiàn)惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購物等嚴(yán)重后果。

（3）拒絕服務(wù)（DoS，Denial　of　Service）攻擊

隨著電子商務(wù)的興起，對(duì)網(wǎng)站的實(shí)時(shí)性要求越來越高，DoS或DDoS對(duì)網(wǎng)站的威脅越來越大。以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強(qiáng)烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風(fēng)險(xiǎn)卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對(duì)方?jīng)]有實(shí)行報(bào)復(fù)打擊的可能。

（4）安全產(chǎn)品使用不當(dāng)

雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多安全廠商的產(chǎn)品對(duì)配置人員的技術(shù)背景要求很高，超出對(duì)普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動(dòng)，需要改動(dòng)相關(guān)安全產(chǎn)品的設(shè)置時(shí)，很容易產(chǎn)生許多安全問題。

（5）缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度

網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。

（二）計(jì)算機(jī)商務(wù)交易安全的內(nèi)容包括：

（1）竊取信息

由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。

（2）篡改信息

當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。

（3）假冒

由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息，而遠(yuǎn)端用戶通常很難分辨。

（4）惡意破壞

由于攻擊者可以接入網(wǎng)絡(luò)，則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。 電子商務(wù)的一個(gè)重要技術(shù)特征是利用計(jì)算機(jī)技術(shù)來傳輸和處理商業(yè)信息。因此，電子商務(wù)安全問題的對(duì)策從整體上可分為計(jì)算機(jī)網(wǎng)絡(luò)安全措施和商務(wù)交易安全措施兩大部分。

1．計(jì)算機(jī)網(wǎng)絡(luò)安全措施

計(jì)算機(jī)網(wǎng)絡(luò)安全措施主要包括保護(hù)網(wǎng)絡(luò)安全、保護(hù)應(yīng)用服務(wù)安全和保護(hù)系統(tǒng)安全三個(gè)方面，各個(gè)方面都要結(jié)合考慮安全防護(hù)的物理安全、防火墻、信息安全、Web安全、媒體安全等等。

（一）保護(hù)網(wǎng)絡(luò)安全。

網(wǎng)絡(luò)安全是為保護(hù)商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性。保證機(jī)密性、完整性、認(rèn)證性和訪問控制性是網(wǎng)絡(luò)安全的重要因素。保護(hù)網(wǎng)絡(luò)安全的主要措施如下：

（1）全面規(guī)劃網(wǎng)絡(luò)平臺(tái)的安全策略。

（2）制定網(wǎng)絡(luò)安全的管理措施。

（3）使用防火墻。

（4）盡可能記錄網(wǎng)絡(luò)上的一切活動(dòng)。

（5）注意對(duì)網(wǎng)絡(luò)設(shè)備的物理保護(hù)。

（6）檢驗(yàn)網(wǎng)絡(luò)平臺(tái)系統(tǒng)的脆弱性。

（7）建立可靠的識(shí)別和鑒別機(jī)制。

（二）保護(hù)應(yīng)用安全。

保護(hù)應(yīng)用安全，主要是針對(duì)特定應(yīng)用（如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng)）所建立的安全防護(hù)措施，它獨(dú)立于網(wǎng)絡(luò)的任何其他安全防護(hù)措施。雖然有些防護(hù)措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊，如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對(duì)網(wǎng)絡(luò)支付結(jié)算信息包的加密，都通過IP層加密，但是許多應(yīng)用還有自己的特定安全要求。

由于電子商務(wù)中的應(yīng)用層對(duì)安全的要求最嚴(yán)格、最復(fù)雜，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。

雖然網(wǎng)絡(luò)層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務(wù)應(yīng)用的安全性。應(yīng)用層上的安全業(yè)務(wù)可以涉及認(rèn)證、訪問控制、機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。

（三）保護(hù)系統(tǒng)安全。

保護(hù)系統(tǒng)安全，是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進(jìn)行安全防護(hù)，它與網(wǎng)絡(luò)系統(tǒng)硬件平臺(tái)、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施：

（1）在安裝的軟件中，如瀏覽器軟件、電子錢包軟件、支付網(wǎng)關(guān)軟件等，檢查和確認(rèn)未知的安全漏洞。

（2）技術(shù)與管理相結(jié)合，使系統(tǒng)具有最小穿透風(fēng)險(xiǎn)性。如通過諸多認(rèn)證才允許連通，對(duì)所有接入數(shù)據(jù)必須進(jìn)行審計(jì)，對(duì)系統(tǒng)用戶進(jìn)行嚴(yán)格安全管理。

（3）建立詳細(xì)的安全審計(jì)日志，以便檢測并跟蹤入侵攻擊等。

商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。

各種商務(wù)交易安全服務(wù)都是通過安全技術(shù)來實(shí)現(xiàn)的，主要包括加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)安全協(xié)議等。

（一）加密技術(shù)。

加密技術(shù)是電子商務(wù)采取的基本安全措施，交易雙方可根據(jù)需要在信息交換的階段使用。加密技術(shù)分為兩類，即對(duì)稱加密和非對(duì)稱加密。

（1）對(duì)稱加密。

對(duì)稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以通過這種加密方法加密機(jī)密信息、隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。

（2）非對(duì)稱加密。

非對(duì)稱加密又稱公鑰加密，使用一對(duì)密鑰來分別完成加密和解密操作，其中一個(gè)公開發(fā)布（即公鑰），另一個(gè)由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對(duì)密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對(duì)信息進(jìn)行加密后再發(fā)送給甲方，甲方再用自己保存的私鑰對(duì)加密信息進(jìn)行解密。

（二）認(rèn)證技術(shù)。

認(rèn)證技術(shù)是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術(shù)，即確認(rèn)雙方的身份信息在傳送或存儲(chǔ)過程中未被篡改過。

（1）數(shù)字簽名。

數(shù)字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認(rèn)證、核準(zhǔn)和生效的作用。其實(shí)現(xiàn)方式是把散列函數(shù)和公開密鑰算法結(jié)合起來，發(fā)送方從報(bào)文文本中生成一個(gè)散列值，并用自己的私鑰對(duì)這個(gè)散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名；然后，將這個(gè)數(shù)字簽名作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方；報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出散列值，接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密；

（2）數(shù)字證書。

數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰的文件數(shù)字證書的最主要構(gòu)成包括一個(gè)用戶公鑰，加上密鑰所有者的用戶身份標(biāo)識(shí)符，以及被信任的第三方簽名第三方一般是用戶信任的證書權(quán)威機(jī)構(gòu)（CA），如政府部門和金融機(jī)構(gòu)。用戶以安全的方式向公鑰證書權(quán)威機(jī)構(gòu)提交他的公鑰并得到證書，然后用戶就可以公開這個(gè)證書。任何需要用戶公鑰的人都可以得到此證書，并通過相關(guān)的信任簽名來驗(yàn)證公鑰的有效性。數(shù)字證書通過標(biāo)志交易各方身份信息的一系列數(shù)據(jù)，提供了一種驗(yàn)證各自身份的方式，用戶可以用它來識(shí)別對(duì)方的身份。

（三）電子商務(wù)的安全協(xié)議。

除上文提到的各種安全技術(shù)之外，電子商務(wù)的運(yùn)行還有一套完整的安全協(xié)議。比較成熟的協(xié)議有SET、SSL等。

（1）安全套接層協(xié)議SSL。

SSL協(xié)議位于傳輸層和應(yīng)用層之間，由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報(bào)協(xié)議組成的。SSL握手協(xié)議被用來在客戶與服務(wù)器真正傳輸應(yīng)用層數(shù)據(jù)之前建立安全機(jī)制。當(dāng)客戶與服務(wù)器第一次通信時(shí)，雙方通過握手協(xié)議在版本號(hào)、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成一致，然后互相驗(yàn)證對(duì)方身份，最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個(gè)只有雙方知道的秘密信息，客戶和服務(wù)器各自根據(jù)此秘密信息產(chǎn)生數(shù)據(jù)加密算法和Hash算法參數(shù)。SSL記錄協(xié)議根據(jù)SSL握手協(xié)議協(xié)商的參數(shù)，對(duì)應(yīng)用層送來的數(shù)據(jù)進(jìn)行加密、壓縮、計(jì)算消息鑒別碼MAC，然后經(jīng)網(wǎng)絡(luò)傳輸層發(fā)送給對(duì)方。SSL警報(bào)協(xié)議用來在客戶和服務(wù)器之間傳遞SSL出錯(cuò)信息。

（2）安全電子交易協(xié)議SET。

SET協(xié)議用于劃分與界定電子商務(wù)活動(dòng)中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，給定交易信息傳送流程標(biāo)準(zhǔn)。SET主要由三個(gè)文件組成，分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET協(xié)議保證了電子商務(wù)系統(tǒng)的機(jī)密性、數(shù)據(jù)的完整性、身份的合法性。

SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計(jì)的。它位于應(yīng)用層，其認(rèn)證體系十分完善，能實(shí)現(xiàn)多方認(rèn)證。在SET的實(shí)現(xiàn)中，消費(fèi)者帳戶信息對(duì)商家來說是保密的。但是SET協(xié)議十分復(fù)雜，交易數(shù)據(jù)需進(jìn)行多次驗(yàn)證，用到多個(gè)密鑰以及多次加密解密。而且在SET協(xié)議中除消費(fèi)者與商家外，還有發(fā)卡行、收單行、認(rèn)證中心、支付網(wǎng)關(guān)等其它參與者。 信息安全工程的監(jiān)理是在信息安全工程的開發(fā)采購階段和交付實(shí)施階段為業(yè)主單位提供的信息安全保障服務(wù)。主要是在項(xiàng)目準(zhǔn)備階段、項(xiàng)目實(shí)施階段和項(xiàng)目驗(yàn)收階段通過質(zhì)量控制、進(jìn)度控制、合同管理、信息管理和協(xié)調(diào)，來促使信息安全工程以科學(xué)規(guī)范的流程，在一定的成本范圍內(nèi)，按時(shí)保質(zhì)保量地完成，實(shí)現(xiàn)項(xiàng)目預(yù)期的信息安全目標(biāo)。

信息安全工程監(jiān)理的信息安全工程監(jiān)理模型由三部分組成，即咨詢監(jiān)理支撐要素（組織結(jié)構(gòu)、設(shè)施設(shè)備、安全保障知識(shí)、質(zhì)量管理）、監(jiān)理咨詢階段過程和控制管理措施（“三控制、兩管理、一協(xié)調(diào)”，即質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和組織協(xié)調(diào)）。

信息安全技術(shù)有哪些

信息安全技術(shù)主要包括以下這些：

信息獲取技術(shù)：信息獲取技術(shù)分為主動(dòng)獲取技術(shù)和被動(dòng)獲取技術(shù)。主動(dòng)獲取技術(shù)通過向網(wǎng)絡(luò)注入數(shù)據(jù)包后的反饋來獲取信息，這種技術(shù)接入方式簡單，能夠獲取廣泛的信息，但會(huì)對(duì)網(wǎng)絡(luò)造成額外負(fù)荷。被動(dòng)獲取技術(shù)是在網(wǎng)絡(luò)出入口上通過旁路偵聽的方式獲取網(wǎng)絡(luò)信息，其特點(diǎn)是接入需要網(wǎng)絡(luò)管理者的協(xié)作，獲取的內(nèi)容僅限于進(jìn)出本地網(wǎng)絡(luò)的數(shù)據(jù)流，不會(huì)對(duì)網(wǎng)絡(luò)造成額外流量，目前大多數(shù)網(wǎng)關(guān)型內(nèi)容安全產(chǎn)品都采用被動(dòng)方式獲取網(wǎng)絡(luò)信息。

信息內(nèi)容分析與識(shí)別技術(shù)：想要防止非法內(nèi)容出現(xiàn)在應(yīng)用中，首先要求內(nèi)容安全設(shè)備能夠識(shí)別出非法內(nèi)容，主要包括文字、聲音、圖像、圖形的識(shí)別。識(shí)別的準(zhǔn)確度和速度是其中的重要指標(biāo)。文字識(shí)別包括關(guān)鍵字、特征詞、屬性詞的識(shí)別，語法、語義、語用的識(shí)別，主題、立場、屬性的識(shí)別等。文字識(shí)別涉及的技術(shù)有串匹配、規(guī)則匹配、聚類算法、自然語言處理等。目前的反垃圾郵件、網(wǎng)頁內(nèi)容過濾產(chǎn)品等基本上都采用基于文字的識(shí)別方法。基于內(nèi)容的音頻和視頻信息檢索是當(dāng)前多媒體數(shù)據(jù)庫發(fā)展的一個(gè)重要研究領(lǐng)域?，F(xiàn)在相關(guān)的音視、視頻和圖像內(nèi)容識(shí)別分析技術(shù)已經(jīng)部分進(jìn)入實(shí)用階段，主要用于影視盜版監(jiān)查、廣告監(jiān)播、色情圖片監(jiān)查等。

內(nèi)容分級(jí)技術(shù)：信息內(nèi)容分級(jí)的主要作用是對(duì)國家憲法和其他法律法規(guī)中明確的禁載內(nèi)容，通過過濾、屏蔽等技術(shù)手段使其無法在互聯(lián)網(wǎng)傳播，對(duì)于不違反法律，但是可能對(duì)國家、社會(huì)、公司、家庭和個(gè)人容易造成某些不利影響或傷害的內(nèi)容，或者只允許特定人群查閱的內(nèi)容，按明確詳細(xì)的規(guī)則予以分類處理；方便受眾在接受信息前熟悉該信息的安全級(jí)別，保證享有知情權(quán)和選擇權(quán)；為保護(hù)未成年人，可以安裝一些過濾軟件，以隔離對(duì)未成年人造成傷害的信息。

信息過濾技術(shù)：對(duì)于識(shí)別出的非法信息內(nèi)容，需要采取不同的方式進(jìn)行后續(xù)處理，阻止或中斷用戶對(duì)其訪問，過濾是常用的阻斷方式。信息過濾技術(shù)主要包括基于URL的站點(diǎn)過濾技術(shù)、基于內(nèi)容關(guān)鍵字的過濾技術(shù)、基于URL內(nèi)容關(guān)鍵字的過濾技術(shù)、基于圖像識(shí)別的過濾技術(shù)、傾向性過濾技術(shù)和幾種技術(shù)結(jié)合的組合過濾技術(shù)。目前對(duì)傾向性過濾技術(shù)的研究和應(yīng)用還較少。

內(nèi)容審計(jì)技術(shù)：內(nèi)容審計(jì)主要指對(duì)與安全有關(guān)活動(dòng)的相關(guān)信息進(jìn)行識(shí)別、記錄、存儲(chǔ)和分析；審計(jì)結(jié)果用于檢查網(wǎng)絡(luò)上發(fā)生了哪些與安全有關(guān)的活動(dòng)。它通過記錄用戶訪問的所有資源和所有訪問過程，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的動(dòng)態(tài)實(shí)時(shí)監(jiān)控，為用戶事后取證提供手段，也為信息安全的

信息安全技術(shù)應(yīng)用學(xué)什么

信息安全技術(shù)應(yīng)用主要學(xué)習(xí)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)知識(shí)、網(wǎng)絡(luò)與信息安全基礎(chǔ)、Windows系統(tǒng)的安全防護(hù)、網(wǎng)絡(luò)攻防技術(shù)、Linux服務(wù)器配置與管理、網(wǎng)絡(luò)安全管理。

信息安全專業(yè)作為計(jì)算機(jī)科學(xué)與技術(shù)專業(yè)下的一級(jí)學(xué)科，其所包含的知識(shí)卻遠(yuǎn)不止計(jì)算機(jī)，還有通信、數(shù)學(xué)、密碼學(xué)、管理等方面的多方面的知識(shí)。

信息安全技術(shù)應(yīng)用專業(yè)就業(yè)方向及前景

網(wǎng)絡(luò)信息類企事業(yè)單位：網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)檢測和評(píng)估、網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)與開發(fā)，信息安全管理、網(wǎng)絡(luò)系統(tǒng)構(gòu)建、管理和維護(hù)，服務(wù)器配置與管理、企業(yè)網(wǎng)站及軟件開發(fā)與維護(hù)。

學(xué)生畢業(yè)后可在政府機(jī)關(guān)、國家安全部門、銀行、金融、證券、通信領(lǐng)域從事各類信息安全系統(tǒng)、計(jì)算機(jī)安全系統(tǒng)的研究、設(shè)計(jì)、開發(fā)和管理工作，也可在IT領(lǐng)域從事計(jì)算機(jī)應(yīng)用工作。

以上內(nèi)容參考：百度百科-信息安全技術(shù)應(yīng)用

信息安全與信息安全技術(shù)有什么區(qū)別？

什么是信息安全

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。

信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。

信息安全的實(shí)現(xiàn)目標(biāo)

◆ 真實(shí)性：對(duì)信息的來源進(jìn)行判斷，能對(duì)偽造來源的信息予以鑒別。

◆ 保密性：保證機(jī)密信息不被竊聽，或竊聽者不能了解信息的真實(shí)含義。

◆ 完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改。

◆ 可用性：保證合法用戶對(duì)信息和資源的使用不會(huì)被不正當(dāng)?shù)鼐芙^。

◆ 不可抵賴性：建立有效的責(zé)任機(jī)制，防止用戶否認(rèn)其行為，這一點(diǎn)在電子商務(wù)中是極其重要的。

◆ 可控制性：對(duì)信息的傳播及內(nèi)容具有控制能力。

◆ 可審查性：對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段

主要的信息安全威脅

◆ 竊?。悍欠ㄓ脩敉ㄟ^數(shù)據(jù)竊聽的手段獲得敏感信息。

◆ 截?。悍欠ㄓ脩羰紫全@得信息，再將此信息發(fā)送給真實(shí)接收者。

◆ 偽造：將偽造的信息發(fā)送給接收者。

◆ 篡改：非法用戶對(duì)合法用戶之間的通訊信息進(jìn)行修改，再發(fā)送給接收者。

◆ 拒絕服務(wù)攻擊：攻擊服務(wù)系統(tǒng)，造成系統(tǒng)癱瘓，阻止合法用戶獲得服務(wù)。

◆ 行為否認(rèn)：合法用戶否認(rèn)已經(jīng)發(fā)生的行為。

◆ 非授權(quán)訪問：未經(jīng)系統(tǒng)授權(quán)而使用網(wǎng)絡(luò)或計(jì)算機(jī)資源。

◆ 傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性非常高，而且用戶很難防范。

信息安全威脅的主要來源

◆ 自然災(zāi)害、意外事故；

◆ 計(jì)算機(jī)犯罪；

◆ 人為錯(cuò)誤，比如使用不當(dāng)，安全意識(shí)差等；

◆ "黑客" 行為；

◆ 內(nèi)部泄密；

◆ 外部泄密；

◆ 信息丟失；

◆ 電子諜報(bào)，比如信息流量分析、信息竊取等；

◆ 信息戰(zhàn)；

◆ 網(wǎng)絡(luò)協(xié)議自身缺陷缺陷，例如TCP/IP協(xié)議的安全問題等等。

信息安全策略

信息安全策略是指為保證提供一定級(jí)別的安全保護(hù)所必須遵守的規(guī)則。實(shí)現(xiàn)信息安全，不但靠先進(jìn)的技術(shù)，而且也得靠嚴(yán)格的安全管理，法律約束和安全教育：

◆ 先進(jìn)的信息安全技術(shù)是網(wǎng)絡(luò)安全的根本保證。用戶對(duì)自身面臨的威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其所需要的安全服務(wù)種類，選擇相應(yīng)的安全機(jī)制，然后集成先進(jìn)的安全技術(shù)，形成一個(gè)全方位的安全系統(tǒng)；

◆ 嚴(yán)格的安全管理。各計(jì)算機(jī)網(wǎng)絡(luò)使用機(jī)構(gòu)，企業(yè)和單位應(yīng)建立相應(yīng)的網(wǎng)絡(luò)安全管理辦法，加強(qiáng)內(nèi)部管理，建立合適的網(wǎng)絡(luò)安全管理系統(tǒng)，加強(qiáng)用戶管理和授權(quán)管理，建立安全審計(jì)和跟蹤體系，提高整體網(wǎng)絡(luò)安全意識(shí)；

◆ 制訂嚴(yán)格的法律、法規(guī)。計(jì)算機(jī)網(wǎng)絡(luò)是一種新生事物。它的許多行為無法可依，無章可循，導(dǎo)致網(wǎng)絡(luò)上計(jì)算機(jī)犯罪處于無序狀態(tài)。面對(duì)日趨嚴(yán)重的網(wǎng)絡(luò)上犯罪，必須建立與網(wǎng)絡(luò)安全相關(guān)的法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動(dòng)。

信息安全涉及的主要問題

◆ 網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題

◆ 安全漏洞與安全對(duì)策問題

◆ 信息安全保密問題

◆ 系統(tǒng)內(nèi)部安全防范問題

◆ 防病毒問題

◆ 數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)問題

信息安全技術(shù)簡介

目前，在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：

◆ 防火墻：防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對(duì)內(nèi)部資源的非法訪問，防止內(nèi)部對(duì)外部的不安全訪問。主要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它其本身可能存在安全問題，也可能會(huì)是一個(gè)潛在的瓶頸。

◆ 安全路由器：由于WAN連接需要專用的路由器設(shè)備，因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。

◆ 虛擬專用網(wǎng)(VPN)：虛擬專用網(wǎng)（VPN）是在公共數(shù)據(jù)網(wǎng)絡(luò)上，通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)，實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互聯(lián)。VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。

◆ 安全服務(wù)器：安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)陌踩Ｃ軉栴}，其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制，對(duì)局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。

◆ 電子簽證機(jī)構(gòu)--CA和PKI產(chǎn)品：電子簽證機(jī)構(gòu)（CA）作為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。CA可向用戶發(fā)行電子簽證證書，為用戶提供成員身份驗(yàn)證和密鑰管理等功能。PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件。

◆ 用戶認(rèn)證產(chǎn)品：由于IC卡技術(shù)的日益成熟和完善，IC卡被更為廣泛地用于用戶認(rèn)證產(chǎn)品中，用來存儲(chǔ)用戶的個(gè)人私鑰，并與其它技術(shù)如動(dòng)態(tài)口令相結(jié)合，對(duì)用戶身份進(jìn)行有效的識(shí)別。同時(shí)，還可利用IC卡上的個(gè)人私鑰與數(shù)字簽名技術(shù)結(jié)合，實(shí)現(xiàn)數(shù)字簽名機(jī)制。隨著模式識(shí)別技術(shù)的發(fā)展，諸如指紋、視網(wǎng)膜、臉部特征等高級(jí)的身份識(shí)別技術(shù)也將投入應(yīng)用，并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合，必將使得對(duì)于用戶身份的認(rèn)證和識(shí)別更趨完善。

◆ 安全管理中心：由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。

◆ 入侵檢測系統(tǒng)（IDS）：入侵檢測，作為傳統(tǒng)保護(hù)機(jī)制（比如訪問控制，身份識(shí)別等）的有效補(bǔ)充，形成了信息系統(tǒng)中不可或缺的反饋鏈。

◆ 安全數(shù)據(jù)庫：由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫內(nèi)，有些信息是有價(jià)值的，也是敏感的，需要保護(hù)。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控制與用戶身份識(shí)別等。

◆ 安全操作系統(tǒng)：給系統(tǒng)中的關(guān)鍵服務(wù)器提供安全運(yùn)行平臺(tái)，構(gòu)成安全WWW服務(wù)，安全FTP服務(wù)，安全SMTP服務(wù)等，并作為各類網(wǎng)絡(luò)安全產(chǎn)品的堅(jiān)實(shí)底座，確保這些安全產(chǎn)品的自身安全。

參考資料：

通過以上你搞懂了信息安全，接下來告訴你網(wǎng)路與信心安全，它是個(gè)學(xué)科的專業(yè)，我的一個(gè)朋友的專業(yè)就是網(wǎng)絡(luò)與信息安全，（你區(qū)別以下就行了 ）我估計(jì)網(wǎng)絡(luò)與信息安全是信息安全的一個(gè)分支。

網(wǎng)路信息安全的關(guān)鍵技術(shù)（轉(zhuǎn)）

---- 近幾年來，Internet技術(shù)日趨成熟，已經(jīng)開始了從以提供和保證網(wǎng)絡(luò)聯(lián)通性為主要目標(biāo)的第一代Internet技術(shù)向以提供網(wǎng)絡(luò)數(shù)據(jù)信息服務(wù)為特征的第二代Internet技術(shù)的過渡。與此同時(shí)，數(shù)以萬計(jì)的商業(yè)公司、政府機(jī)構(gòu)在多年的猶豫、觀望之后，意識(shí)到采用Internet技術(shù)并使企業(yè)數(shù)據(jù)通信網(wǎng)絡(luò)成為Internet的延伸已成為發(fā)展趨勢。這使得企業(yè)數(shù)據(jù)網(wǎng)絡(luò)正迅速地從以封閉型的專線、專網(wǎng)為特征的第二代技術(shù)轉(zhuǎn)向以Internet互聯(lián)技術(shù)為基礎(chǔ)的第三代企業(yè)信息網(wǎng)絡(luò)。所有這些，都促使了計(jì)算機(jī)網(wǎng)絡(luò)互聯(lián)技術(shù)迅速的大規(guī)模使用。

----眾所周知，作為全球使用范圍最大的信息網(wǎng)，Internet自身協(xié)議的開放性極大地方便了各種計(jì)算機(jī)連網(wǎng)，拓寬了共享資源。但是，由于在早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對(duì)安全問題的忽視，以及在使用和管理上的無政府狀態(tài)，逐漸使Internet自身的安全受到嚴(yán)重威脅，與它有關(guān)的安全事故屢有發(fā)生。對(duì)網(wǎng)絡(luò)安全的威脅主要表現(xiàn)在：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等方面。這就要求我們對(duì)與Internet互連所帶來的安全性問題予以足夠重視。

防火墻

----“防火墻”是近年發(fā)展起來的一種重要安全技術(shù)，其特征是通過在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)，達(dá)到保障網(wǎng)絡(luò)安全的目的。防火墻型安全保障技術(shù)假設(shè)被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)，并且網(wǎng)絡(luò)安全的威脅僅來自外部網(wǎng)絡(luò)，進(jìn)而通過監(jiān)測、限制、更改跨越“火墻”的數(shù)據(jù)流，通過盡可能地對(duì)外部網(wǎng)絡(luò)屏蔽有關(guān)被保護(hù)網(wǎng)絡(luò)的信息、結(jié)構(gòu)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的安全保護(hù)。

----“防火墻”技術(shù)是通過對(duì)網(wǎng)絡(luò)作拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來加強(qiáng)網(wǎng)絡(luò)安全的一種手段。它所保護(hù)的對(duì)象是網(wǎng)絡(luò)中有明確閉合邊界的一個(gè)網(wǎng)塊。它的防范對(duì)象是來自被保護(hù)網(wǎng)塊外部的對(duì)網(wǎng)絡(luò)安全的威脅。所謂“防火墻”則是綜合采用適當(dāng)技術(shù)在被保護(hù)網(wǎng)絡(luò)周邊建立的分隔被保護(hù)網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的系統(tǒng)?？梢?，防火墻技術(shù)最適合于在企業(yè)專網(wǎng)中使用，特別是在企業(yè)專網(wǎng)與公共網(wǎng)絡(luò)互連時(shí)使用。

----建立“防火墻”是在對(duì)網(wǎng)絡(luò)的服務(wù)功能和拓?fù)浣Y(jié)構(gòu)仔細(xì)分析的基礎(chǔ)上，在被保護(hù)網(wǎng)絡(luò)周邊通過專用軟件、硬件及管理措施的綜合，對(duì)跨越網(wǎng)絡(luò)邊界和信息提供監(jiān)測、控制甚至修改的手段。實(shí)現(xiàn)防火墻所用的主要技術(shù)有數(shù)據(jù)包過濾、應(yīng)用網(wǎng)關(guān)(Application Gateway)和代理服務(wù)器(Proxy Server)等。在此基礎(chǔ)上合理的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)及有關(guān)技術(shù)(在位置和配置上)的適度使用也是保證防火墻有效使用的重要因素。

加密型網(wǎng)絡(luò)安全技術(shù)

----通常網(wǎng)絡(luò)系統(tǒng)安全保障的實(shí)現(xiàn)方法可以分為兩大類：以防火墻技術(shù)為代表的被動(dòng)防衛(wèi)型和建立在數(shù)據(jù)加密、用戶授權(quán)確認(rèn)機(jī)制上的開放型網(wǎng)絡(luò)安全保障系統(tǒng)。

----以數(shù)據(jù)加密和用戶確認(rèn)為基礎(chǔ)的開放型安全保障技術(shù)是普遍適用的，是對(duì)網(wǎng)絡(luò)服務(wù)影響較小的一種途徑，并可望成為網(wǎng)絡(luò)安全問題的最終的一體化解決途徑。這一類技術(shù)的特征是利用現(xiàn)代的數(shù)據(jù)加密技術(shù)來保護(hù)網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流。只有指定的用戶或網(wǎng)絡(luò)設(shè)備才能夠解譯加密數(shù)據(jù)，從而在不對(duì)網(wǎng)絡(luò)環(huán)境作特殊要求的前提下從根本上解決網(wǎng)絡(luò)安全的兩大要求(網(wǎng)絡(luò)服務(wù)的可用性和信息的完整性)。這類技術(shù)一般不需要特殊的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持，因而實(shí)施代價(jià)主要體現(xiàn)在軟件的開發(fā)和系統(tǒng)運(yùn)行維護(hù)等方面。這類方法在數(shù)據(jù)傳輸過程中不對(duì)所經(jīng)過的網(wǎng)絡(luò)路徑的安全程度作要求(因而不會(huì)受之影響)，從而真正實(shí)現(xiàn)網(wǎng)絡(luò)通信過程的端到端的安全保障。目前已經(jīng)有了相當(dāng)數(shù)量的以不同方法實(shí)施的這一類安全保障系統(tǒng)。但是由于大部分?jǐn)?shù)據(jù)加密算法源于美國，并且受到美國出口管制法的限制而無法在以國際化為特征的 Internet網(wǎng)絡(luò)上大規(guī)模使用，因而目前以這一途徑實(shí)現(xiàn)的系統(tǒng)大多局限在應(yīng)用軟件層次。在網(wǎng)絡(luò)層次上應(yīng)用和實(shí)現(xiàn)的網(wǎng)絡(luò)一般相對(duì)規(guī)模較小，限制了以此作為基礎(chǔ)的全面的網(wǎng)絡(luò)安全解決方案的產(chǎn)生。但預(yù)計(jì)在未來3～5年內(nèi)，這一類型的網(wǎng)絡(luò)安全保障系統(tǒng)有希望成為網(wǎng)絡(luò)安全的主要實(shí)現(xiàn)方式。

----1. 分類

----數(shù)據(jù)加密技術(shù)可以分為三類，即對(duì)稱型加密、不對(duì)稱型加密和不可逆加密。

----對(duì)稱型加密使用單個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密或解密，其特點(diǎn)是計(jì)算量小、加密效率高。但是此類算法在分布式系統(tǒng)上使用較為困難，主要是密鑰管理困難，使用成本較高，保安性能也不易保證。這類算法的代表是在計(jì)算機(jī)專網(wǎng)系統(tǒng)中廣泛使用的DES（Digital Encryption Standard）算法。

----不對(duì)稱型加密算法也稱公用密鑰算法，其特點(diǎn)是有二個(gè)密鑰（即公用密鑰和私有密鑰），只有二者搭配使用才能完成加密和解密的全過程。由于不對(duì)稱算法擁有兩個(gè)密鑰，它特別適用于分布式系統(tǒng)中的數(shù)據(jù)加密，在Internet中得到了廣泛應(yīng)用。其中公用密鑰在網(wǎng)上公布，為數(shù)據(jù)源對(duì)數(shù)據(jù)加密使用，而用于解密的相應(yīng)私有密鑰則由數(shù)據(jù)的收信方妥善保管。

----不對(duì)稱加密的另一用法稱為“數(shù)字簽名（Digital signature）”，即數(shù)據(jù)源使用其密鑰對(duì)數(shù)據(jù)的校驗(yàn)和（Check Sum）或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進(jìn)行加密，而數(shù)據(jù)接收方則用相應(yīng)的公用密鑰解讀“數(shù)字簽名”，并將解讀結(jié)果用于對(duì)數(shù)據(jù)完整性的檢驗(yàn)。在網(wǎng)絡(luò)系統(tǒng)中得到應(yīng)用的不對(duì)稱加密算法有RSA算法和美國國家標(biāo)準(zhǔn)局提出的DSA算法（Digital Signature Algorithm）。不對(duì)稱加密法在分布式系統(tǒng)中應(yīng)用時(shí)需注意的問題是如何管理和確認(rèn)公用密鑰的合法性。

----不可逆加密算法的特征是加密過程不需要密鑰，并且經(jīng)過加密的數(shù)據(jù)無法被解密，只有同樣的輸入數(shù)據(jù)經(jīng)過同樣的不可逆加密算法才能得到相同的加密數(shù)據(jù)。不可逆加密算法不存在密鑰保管和分發(fā)問題，適合在分布式網(wǎng)絡(luò)系統(tǒng)上使用，但是其加密計(jì)算工作量相當(dāng)可觀，所以通常用于數(shù)據(jù)量有限的情形下的加密，如計(jì)算機(jī)系統(tǒng)中的口令就是利用不可逆算法加密的。近來隨著計(jì)算機(jī)系統(tǒng)性能的不斷改善，不可逆加密的應(yīng)用逐漸增加。在計(jì)算機(jī)網(wǎng)絡(luò)中應(yīng)用較多的有RSA公司發(fā)明的MD5算法和由美國國家標(biāo)準(zhǔn)局建議的可靠不可逆加密標(biāo)準(zhǔn)（SHS:Secure Hash Standard）。

----2. 應(yīng)用

----加密技術(shù)用在網(wǎng)絡(luò)安全方面通常有兩種形式，即面向網(wǎng)絡(luò)或面向應(yīng)用服務(wù)。

----前者通常工作在網(wǎng)絡(luò)層或傳輸層，使用經(jīng)過加密的數(shù)據(jù)包傳送、認(rèn)證網(wǎng)絡(luò)路由及其他網(wǎng)絡(luò)協(xié)議所需的信息，從而保證網(wǎng)絡(luò)的連通性和可用性不受損害。在網(wǎng)絡(luò)層上實(shí)現(xiàn)的加密技術(shù)對(duì)于網(wǎng)絡(luò)應(yīng)用層的用戶通常是透明的。此外，通過適當(dāng)?shù)拿荑€管理機(jī)制，使用這一方法還可以在公用的互連網(wǎng)絡(luò)上建立虛擬專用網(wǎng)絡(luò)，并保障虛擬專用網(wǎng)上信息的安全性。SKIP協(xié)議即是近來IETF在這一方面努力的結(jié)果。

----面向網(wǎng)絡(luò)應(yīng)用服務(wù)的加密技術(shù)，則是目前較為流行的加密技術(shù)的使用方法，例如使用Kerberos服務(wù)的Telnet、NFS、Rlogin等，以及用作電子郵件加密的PEM（Privacy Enhanced Mail）和PGP（Pretty Good Privacy）。這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡單，不需要對(duì)電子信息（數(shù)據(jù)包）所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。

漏洞掃描技術(shù)

----漏洞掃描是自動(dòng)檢測遠(yuǎn)端或本地主機(jī)安全脆弱點(diǎn)的技術(shù)。它查詢TCP/IP端口，并紀(jì)錄目標(biāo)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息，如正在進(jìn)行的服務(wù)，擁有這些服務(wù)的用戶，是否支持匿名登錄，是否有某些網(wǎng)絡(luò)服務(wù)需要鑒別等。這項(xiàng)技術(shù)的具體實(shí)現(xiàn)就是安全掃描程序。

----早期的掃描程序是專門為Unix系統(tǒng)編寫的，隨后情況就發(fā)生了變化?，F(xiàn)在很多操作系統(tǒng)都支持TCP/IP，因此，幾乎每一種平臺(tái)上都出現(xiàn)了掃描程序。掃描程序?qū)μ岣逫nternet安全發(fā)揮了很大的作用。

----在任何一個(gè)現(xiàn)有的平臺(tái)上都有幾百個(gè)熟知的安全脆弱點(diǎn)。人工測試單臺(tái)主機(jī)的這些脆弱點(diǎn)要花幾天的時(shí)間。在這段時(shí)間里，必須不斷進(jìn)行獲取、編譯或運(yùn)行代碼的工作。這個(gè)過程需要重復(fù)幾百次，既慢又費(fèi)力且容易出錯(cuò)。而所有這些努力，僅僅是完成了對(duì)單臺(tái)主機(jī)的檢測。更糟糕的是，在完成一臺(tái)主機(jī)的檢測后，留下了一大堆沒有統(tǒng)一格式的數(shù)據(jù)。在人工檢測后，又不得不花幾天的時(shí)間來分析這些變化的數(shù)據(jù)。而掃描程序可在在很短的時(shí)間內(nèi)就解決這些問題。掃描程序開發(fā)者利用可得到的常用攻擊方法，并把它們集成到整個(gè)掃描中。輸出的結(jié)果格式統(tǒng)一，容易參考和分析。

----從上述事實(shí)可以看出：掃描程序是一個(gè)強(qiáng)大的工具，它可以用來為審計(jì)收集初步的數(shù)據(jù)。如同一桿霰彈獵槍，它可以快速而無痛苦地在大范圍內(nèi)發(fā)現(xiàn)已知的脆弱點(diǎn)。

----在掃描程序的發(fā)展中，已有的掃描程序大約有幾十種，有的快捷小巧，能夠很好地實(shí)現(xiàn)某個(gè)單一功能；有的功能完善，界面友好，曾經(jīng)名噪一時(shí)。至今，仍然被廣泛使用的掃描程序有NSS、Strobe、SATAN、Ballista、Jakal、 IdentTCPscan、Ogre、WebTrends Security Scanner、CONNECT、FSPScan、XSCAN、 ISS。

入侵檢測技術(shù)

----人們發(fā)現(xiàn)只從防御的角度構(gòu)造安全系統(tǒng)是不夠的。因此，人們開始尋求其他途徑來補(bǔ)充保護(hù)網(wǎng)絡(luò)的安全，系統(tǒng)脆弱性評(píng)估及入侵檢測的研究課題便應(yīng)運(yùn)而生。入侵檢測可被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過程。它不僅檢測來自外部的入侵行為，同時(shí)也指內(nèi)部用戶的未授權(quán)活動(dòng)。入侵檢測應(yīng)用了以攻為守的策略，它所提供的數(shù)據(jù)不僅有可能用來發(fā)現(xiàn)合法用戶濫用特權(quán)，還有可能在一定程度上提供追究入侵者法律責(zé)任的有效證據(jù)。

----從20世紀(jì)80年代初開始，國外就有一些研究機(jī)構(gòu)及學(xué)校著手有關(guān)系統(tǒng)脆弱性分類的研究，如Information Science Institute、Lawrence Livermore National Laboratories 以及UC Davis Computer Security Lab等。系統(tǒng)脆弱性的研究一方面因?yàn)?Internet的迅速膨脹，另一方面因?yàn)槿肭謾z測的興起。對(duì)入侵檢測的研究機(jī)構(gòu)也有不少，其中有 Stanford Research Institute 的Computer Science Laboratory（SRI/CSL）， Purdue University 的 COAST （Computer Operations Audit and Security Technology）研究小組，以及美國國家能源部的Lawrence Livermore National Laboratory等機(jī)構(gòu)。系統(tǒng)脆弱性的研究目前仍不很成熟，因?yàn)橄到y(tǒng)脆弱性的涵蓋面很廣，而且還在不斷地增加，對(duì)于脆弱性的分類也會(huì)因新的漏洞被發(fā)現(xiàn)而相應(yīng)地發(fā)展補(bǔ)充，所以它是一個(gè)動(dòng)態(tài)的過程。另外，針對(duì)不同的目的也要求分類方法有所差別。對(duì)于入侵檢測的研究，從早期的審計(jì)跟蹤數(shù)據(jù)分析，到實(shí)時(shí)入侵檢測系統(tǒng)，到目前應(yīng)用于大型網(wǎng)絡(luò)和分布式系統(tǒng)，基本上已發(fā)展成具有一定規(guī)模和相應(yīng)理論的課題。

----(1) 從具體的檢測方法上，將檢測系統(tǒng)分為基于行為的和基于知識(shí)的兩類。

----基于行為的檢測指根據(jù)使用者的行為或資源使用狀況的正常程度來判斷是否發(fā)生入侵，而不依賴于具體行為是否出現(xiàn)來檢測，即建立被檢測系統(tǒng)正常行為的參考庫，并通過與當(dāng)前行為進(jìn)行比較來尋找偏離參考庫的異常行為。例如一般在白天使用計(jì)算機(jī)的用戶，如果他突然在午夜注冊(cè)登錄，則被認(rèn)為是異常行為，有可能是某入侵者在使用?；谛袨榈臋z測也被稱為異常檢測（Anomaly Detection）。

----基于知識(shí)的檢測指運(yùn)用已知攻擊方法，根據(jù)已定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來判斷。因?yàn)楹艽笠徊糠秩肭质抢昧讼到y(tǒng)的脆弱性，通過分析入侵過程的特征、條件、排列以及事件間關(guān)系，具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助，而且對(duì)即將發(fā)生的入侵也有警戒作用，因?yàn)橹灰糠譂M足這些入侵跡象就意味著可能有入侵發(fā)生?；谥R(shí)的檢測也被稱為誤用檢測（Misuse Detection）。

----(2) 根據(jù)檢測系統(tǒng)所分析的原始數(shù)據(jù)不同，可入侵檢測分為來自系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)包兩種。

----操作系統(tǒng)的日志文件中包含了詳細(xì)的用戶信息和系統(tǒng)調(diào)用數(shù)據(jù)，從中可分析系統(tǒng)是否被侵入以及侵入者留下的痕跡等審計(jì)信息。隨著Internet的推廣，網(wǎng)絡(luò)數(shù)據(jù)包逐漸成為有效且直接的檢測數(shù)據(jù)源，因?yàn)閿?shù)據(jù)包中同樣也含有用戶信息。入侵檢測的早期研究主要集中在主機(jī)系統(tǒng)的日志文件分析上。因?yàn)橛脩魧?duì)象局限于本地用戶，隨著分布式大型網(wǎng)絡(luò)的推廣，用戶可隨機(jī)地從不同客戶機(jī)上登錄，主機(jī)間也經(jīng)常需要交換信息。尤其是Internet的廣泛應(yīng)用，據(jù)統(tǒng)計(jì)入侵行為大多數(shù)發(fā)生在網(wǎng)絡(luò)上。這樣就使入侵檢測的對(duì)象范圍也擴(kuò)大至整個(gè)網(wǎng)絡(luò)。

----在現(xiàn)有的實(shí)用系統(tǒng)中，還可根據(jù)系統(tǒng)運(yùn)行特性分為實(shí)時(shí)檢測和周期性檢測，以及根據(jù)檢測到入侵行為后是否采取相應(yīng)措施而分為主動(dòng)型和被動(dòng)型。對(duì)于入侵檢測系統(tǒng)的分類可用下圖表示：

----以上僅對(duì)網(wǎng)絡(luò)信息安全方面的若干技術(shù)做了一個(gè)簡要的介紹。從中我們可以看到，與計(jì)算機(jī)黑客的斗爭，是一個(gè)“道高一尺，魔高一丈”過程。尤其在最近一年里，黑客的行為表現(xiàn)得更為組織化、規(guī)?；?，其技術(shù)水平普遍都有了很大的提高。如果想要在這場此消彼長的斗爭中保持主動(dòng)，那么就必須保持一支專業(yè)隊(duì)伍，不斷跟蹤黑客技術(shù)，研究其行為特點(diǎn)，提出自己的反黑客理論及方法，通過深入研究黑客技術(shù)，有效地提高系統(tǒng)的管理和應(yīng)用水平。

新聞名稱：服務(wù)器技術(shù)與信息安全技術(shù) 技術(shù)服務(wù)和信息技術(shù)服務(wù)區(qū)別
轉(zhuǎn)載注明：http://m.jiaotiyi.com/article/dddgspc.html