常用的網路安全協議包括:SSL、TLS、IPSec、Telnet、SSH、SET 等
網路安全協議是營造網路安全環境的基礎,是構建安全網路的關鍵技術。設計並保證網路安全協議的安全性和正確性能夠從基礎上保證網路安全,避免因網路安全等級不夠而導致網路數據信息丟失或文件損壞等信息泄露問題。在計算機網路應用中,人們對計算機通信的安全協議進行了大量的研究,以提高網路信息傳輸的安全性。
網路安全的內容包括:計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
『貳』 計算機網路協議
計算機網路協議:
應用層
·DHCP(動態主機分配協議) · DNS (域名解析) · FTP(File Transfer Protocol)文件傳輸協議 · Gopher (英文原義:The Internet Gopher Protocol 中文釋義:(RFC-1436)網際Gopher協議) · HTTP (Hypertext Transfer Protocol)超文本傳輸協議 · IMAP4 (Internet Message Access Protocol 4) 即 Internet信息訪問協議的第4版本 · IRC (Internet Relay Chat )網路聊天協議 · NNTP (Network News Transport Protocol)RFC-977)網路新聞傳輸協議 · XMPP 可擴展消息處理現場協議 · POP3 (Post Office Protocol 3)即郵局協議的第3個版本 · SIP 信令控制協議 · SMTP (Simple Mail Transfer Protocol)即簡單郵件傳輸協議 · SNMP (Simple Network Management Protocol,簡單網路管理協議) · SSH (Secure Shell)安全外殼協議 · TELNET 遠程登錄協議 · RPC (Remote Procere Call Protocol)(RFC-1831)遠程過程調用協議 · RTCP (RTP Control Protocol)RTP 控制協議 · RTSP (Real Time Streaming Protocol)實時流傳輸協議 · TLS (Transport Layer Security Protocol)安全傳輸層協議 · SDP( Session Description Protocol)會話描述協議 · SOAP (Simple Object Access Protocol)簡單對象訪問協議 · GTP 通用數據傳輸平台 · STUN (Simple Traversal of UDP over NATs,NAT 的UDP簡單穿越)是一種網路協議 · NTP (Network Time Protocol)網路校時協議
傳輸層
·TCP(Transmission Control Protocol) 傳輸控制協議 · UDP (User Datagram Protocol) 用戶數據報協議 · DCCP (Datagram Congestion Control Protocol)數據報擁塞控制協議 · SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制傳輸協議 · RTPReal-time Transport Protocol或簡寫RTP)實時傳送協議 · RSVP (Resource ReSer Vation Protocol)資源預留協議 · PPTP ( Point to Point Tunneling Protocol)點對點隧道協議
網路層
IP (IPv4 · IPv6) · ARP · RARP · ICMP · ICMPv6 · IGMP · RIP · OSPF · BGP · IS-IS · IPsec
數據鏈路層
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌環 · 乙太網 · FDDI · 幀中繼 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
物理層
乙太網物理層 · 數據機 · PLC · SONET/SDH · G.709 · 光導纖維 · 同軸電纜 · 雙絞線
『叄』 安全的計算機網路在snmp v2,v3中是如何實現的
簡單網路管理協議(SNMP)是基於TCP/IP的網路管理,實際上就是一群標準的集合。80年代末期由IETF開發後,開始被廣泛應用在各類網路設備中,成為一種網管的工業標准。SNMP又稱之為管理者和代理之間的通信協議,包括理解SNMP的操作、SNMP信息的格式及如何在應用程序和設備之間交換信息。
就概念而言,SNMP為網管界定了管理者(Manager)和代理者(Agent,被管理設備)之間的關系。兩者之間的共同點是都運行TCP/IP協議。管理者可對管理設備提出效能、配置、和狀態等信息的詢問,透過要求與回復(request/replay)的簡單機制來擷取代理者身上的信息,而兩者之間的信息主要是通過PDU協議數據單元來載送。SNMP使用UDP作為IP的傳輸層協議。
在實現過程中,管理者會發送一個PDU給一個代理者(可以是路由器、交換機、防火牆……等可支持網管的設備),代理者收到管理者所發出內含詢問信息的PDU報文後,再透過PDU回傳給相關的管理者。在該過程中,代理者基本上只能處於被動的狀態,反復進行一問一答的模式,而唯一可由代理者自動發出的只有Trap的不定期回報特殊狀況信息。
SNMP協議有兩個基本命令模式:read和read/write。read是可以通過SNMP協議觀察設備配置細節,而使用read/write模式可以讓管理者有許可權修改設備配置。以當前市場流行的大多數被網管的設備為例,如果設備的默認口令沒有改變,那麼攻擊者就可以利用默認的口令得到其配置文件,文件一旦被破解,攻擊者就能夠對設備進行遠程非法的配置,實行攻擊。
目前,絕大多數的網路設備和操作系統都可以支持SNMP,如D-Link、Cisco、3Com等等。
SNMPv3實現更優管理
目前SNMP的發展主要包括三個版本:SNMPv1、SNMPv2以及最新的SNMPv3。從市場應用來看,目前大多數廠商普遍支持的版本是SNMPv1和v2,但從安全鑒別機制來看,二者表現較差。而SNMPv3採用了新的SNMP擴展框架,在此架構下,安全性和管理上有很大的提高。在當前的網路設備市場中,D-Link已經率先推出了支持SNMPv3的網路產品,如DES-3226S、DES-3250TG交換機等,在安全功能和管理功能上都有良好的表現。
總體來看,SNMPv1和v2版本對用戶權力的惟一限制是訪問口令,而沒有用戶和許可權分級的概念,只要提供相應的口令,就可以對設備進行read或read/write操作,安全性相對來的薄弱。雖然SNMPv2使用了復雜的加密技術,但並沒有實現提高安全性能的預期目標,尤其是在身份驗證(如用戶初始接入時的身份驗證、信息完整性的分析、重復操作的預防)、加密、授權和訪問控制、適當的遠程安全配置和管理能力等方面。
SNMPv3是在SNMPv2基礎之上增加、完善了安全和管理機制。RFC 2271定義的SNMPv3體系結構體現了模塊化的設計思想,使管理者可以簡單地實現功能的增加和修改。其主要特點在於適應性強,可適用於多種操作環境,不僅可以管理最簡單的網路,實現基本的管理功能,還能夠提供強大的網路管理功能,滿足復雜網路的管理需求。
目前,市場上的網路設備尚停留在SNMPv1/v2的范疇,並未廣泛支持SNMPv3,如何配置設備的SNMP服務以確保網路安全、完善管理機制呢?以下幾個方面建議或許值得網管人員一試:由於基於SNMPv1/v2協議本身具有不安全性,所以在管理過程中,如果沒有必要,可以不要開啟SNMP代理程序;可以限制未授權IP對SNMP的訪問,或者改變SNMP代理的默認口令,並使用復雜的口令;在後續采購設備中,盡可能選用支持SNMPv3的設備產品。
綜合SNMP的不同版本,顯然SNMPv3的應用推廣勢在必行,必然會以突出的優勢成為新的應用趨勢。一些市場反應敏捷的網路設備製造商已經推出了相關產品。據了解,D-Link在新一代產品推出時,已將此技術列入基本的協議支持,包括DES-3226S、DES-3250TG在內的多款交換機已經率先支持SNMPv3。
你問的比較籠統自己看看吧。
『肆』 計算機網路安全管理的目錄
第1章網路安全管理基礎1
1.1網路體系結構概述1
1.2網路體系結構的參考模型2
1.2.1OSI參考模型2
1.2.2TCP/IP協議結構體系3
1.3系統安全結構4
1.4TCP/IP層次安全5
1.4.1網路層的安全性6
1.4.2傳輸層的安全性6
1.4.3應用層的安全性6
1.5TCP/IP的服務安全7
1.5.1WWW服務7
1.5.2電子郵件服務7
1.5.3FTP服務和TFTP服務8
1.5.4Finger服務8
1.5.5其他服務8
1.6個人網路安全8
1.7區域網的安全9
1.7.1網路分段9
1.7.2以交換式集線器代替共享式集線器9
1.7.3虛擬專網10
1.8廣域網的安全10
1.8.1加密技術10
1.8.2VPN技術10
1.8.3身份認證技術10
1.9網路安全威脅11
1.10網路系統安全應具備的功能12
1.11網路安全的主要攻擊形式12
1.11.1信息收集13
1.11.2利用技術漏洞型攻擊14
1.12網路安全的關鍵技術16
1.13保證網路安全的措施18
1.14網路的安全策略20
1.14.1數據防禦21
1.14.2應用程序防禦21
1.14.3主機防禦21
1.14.4網路防禦21
1.14.5周邊防禦21
1.14.6物理安全22
1.15網路攻擊常用工具22
第2章加密技術25
2.1密碼演算法25
2.2對稱加密技術26
2.2.1DES演算法26
2.2.2三重DES演算法27
2.3不對稱加密技術27
2.4RSA演算法簡介29
2.4.1RSA演算法29
2.4.2密鑰對的產生30
2.4.3RSA的安全性30
2.4.4RSA的速度30
2.4.5RSA的選擇密文攻擊31
2.4.6RSA的數字簽名31
2.4.7RSA的缺點32
2.4.8關於RSA演算法的保密強度安全評估32
2.4.9RSA的實用性33
2.5RSA演算法和DES演算法的比較34
2.6DSS/DSA演算法34
2.7橢圓曲線密碼演算法35
2.8量子加密技術37
2.9PKI管理機制37
2.9.1認證機構38
2.9.2加密標准39
2.9.3證書標准39
2.9.4數字證書39
2.10智能卡41
第3章Windows2000操作系統的安全管理44
3.1Windows2000的安全性設計44
3.2Windows2000中的驗證服務架構44
3.3Windows2000安全特性45
3.4Windows2000組策略的管理安全47
3.4.1Windows2000中的組策略47
3.4.2加強內置賬戶的安全53
3.4.3組策略的安全模板54
3.4.4組策略的實現54
3.5審計與入侵檢測58
3.5.1審計58
3.5.2入侵檢測66
3.6修補程序69
第4章WindowsServer2003的安全管理71
4.1WindowsServer2003安全架構71
4.2WindowsServer2003的新安全機制72
4.3WindowsServer2003的身份驗證73
4.3.1交互驗證與網路驗證74
4.3.2KerberosV5身份驗證75
4.3.3存儲用戶名和密碼77
4.4WindowsServer2003的授權78
4.4.1授權基礎78
4.4.2WindowsServer2003的授權81
4.5WindowsServer2003的授權管理器86
4.6WindowsServer2003的安全模式88
4.6.1WindowsServer2003的安全策略88
4.6.2在網路中WindowsServer2003的安全性90
4.7WindowsServer2003的安全管理93
4.7.1WindowsServer2003組策略94
4.7.2安全分區99
4.7.3安全分區加密文件系統100
4.7.4WindowsServer2003安全管理採用的對策101
4.8安全工具107
4.8.1Nbtstat實用命令107
4.8.2Netview110
4.8.3Usersat111
4.8.4Global111
4.8.5local工具111
4.8.6NetDom工具112
4.8.7NetWatch工具112
4.8.8Netusex112
第5章Linux網路操作系統的安全管理113
5.1系統安全113
5.1.1C1/C2安全級設計框架113
5.1.2身份認證114
5.1.3用戶許可權和超級用戶119
5.1.4存儲空間安全121
5.1.5數據的加密124
5.1.6B1安全級強化128
5.1.7日誌130
5.2網路安全134
5.2.1網路介面層134
5.2.2網路層138
5.2.3傳輸層140
5.2.4應用層142
5.3安全工具151
5.3.1tcpserver151
5.3.2xinetd153
5.3.3Sudo162
5.3.4安全檢查工具nessus166
5.3.5監聽工具sniffit170
5.3.6掃描工具nmap172
5.3.7其他安全工具176
5.4配置安全可靠的系統177
5.4.1SSH實踐177
5.4.2SSL實踐185
5.4.3構造chroot的DNS188
5.4.4代理伺服器socks191
5.4.5郵件伺服器192
第6章路由器安全管理196
第7章電子郵件的安全管理234
第8章計算機病毒258
第9章防火牆安全管理282
第10章電子商務網站的安全304
……
『伍』 簡述計算機網路協議
網路協議概述
在網路的各層中存在著許多協議,它是定義通過網路進行通信的規則,接收方的發送方同層的協議必須一致,否則一方將無法識別另一方發出的信息,以這種規則規定雙方完成信息在計算機之間的傳送過程。
要使伺服器支持遠程啟動服務,必須在伺服器上安裝DLC(Data Link Control)和NetBEUI(NetBIOS Extended User Interface)協議,並確保工作站能用這些協議與伺服器通訊。 DLC不同於NT中的其它協議如NetBEUI和TCP/IP,DLC協議並不在OSI參考模型的網路層和傳輸層發揮作用,而是向較高層提供了一個與數據鏈路層的直接介面。使用DLC,可使得NT計算機可以運行訪問主機系統的軟體,使得NT計算機作為直連網路的列印機的列印伺服器。通常我們不把DLC作為PC和PC的通信的主協議。NetBIOS擴展用戶介面協議(NetBEUI)最初由IBM於1995年開發的,被優化為在用於非常高的性能,在一個LAN分段里的通信。NetBEUI是NT發行的協議中速度最快的一種協議之一。它還具有良好的錯誤保護,佔用很少的內存,但它不支持路由選擇且跨WAN的性能很差。 而TCP/IP則成為當前應用協議中無可非議的標准。
『陸』 網路安全協議的分類
計算機網路安全的內容包括:
計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。
計算機網路安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網路安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求。 未進行操作系統相關安全配置
不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」 是進行網路攻擊的首選目標。
未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
拒絕服務(DoS,Denial of Service)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。2014年2月美國「雅虎」、「亞馬遜」受攻擊事件就證明了這一點。
安全產品使用不當
雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。 一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,並增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網路安全防範措施時:
首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;
其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;
從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;
利用RAID5等數據存儲技術加強數據備份和恢復措施;
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;
對在公共網路上傳輸的敏感信息要進行強度的數據加密;
安裝防病毒軟體,加強內部網的整體防病毒措施;
建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
網路安全技術是伴隨著網路的誕生而出現的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視,計算機網路安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網路的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網路協議保持一致。它以密碼核心系統為基礎,支持不同類型的安全硬體產品,屏蔽安全硬體以變化對上層應用的影響,實現多種網路安全協議,並在此之上提供各種安全的計算機網路應用。
互聯網已經日漸融入到人類社會的各個方面中,網路防護與網路攻擊之間的斗爭也將更加激烈。這就對網路安全技術提出了更高的要求。未來的網路安全技術將會涉及到計算機網路的各個層次中,但圍繞電子商務安全的防護技術將在未來幾年中成為重點,如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。 當許多傳統的商務方式應用在Internet上時,便會帶來許多源於安全方面的問題,如傳統的貸款和借款卡支付/保證方案及數據保護方法、電子數據交換系統、對日常信息安全的管理等。電子商務的大規模使用雖然只有幾年時間,但不少公司都已經推出了相應的軟、硬體產品。由於電子商務的形式多種多樣,涉及的安全問題各不相同,但在Internet上的電子商務交易過程中,最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患:
竊取信息
由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
惡意破壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。
因此,電子商務的安全交易主要保證以下四個方面:
信息保密性
交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉,因此在信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
交易的文件是不可被修改的,否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改,以保障商務交易的嚴肅和公正。
電子商務交易中的安全措施
在早期的電子交易中,曾採用過一些簡易的安全措施,包括:
部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以防泄密。
另行確認(Order Confirmation):即當在網上傳輸交易信息後,再用電子郵件對交易做確認,才認為有效。
此外還有其它一些方法,這些方法均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
二十世紀90年代以來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標准和技術。
主要的協議標准有:
安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,以完成需要的安全交易操作。
安全交易技術協議(STT,Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在Internet Explorer中採用這一技術。
安全電子交易協議(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標准SET發布公告,並於1997年5月底發布了SET Specification Version 1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET 2.0預計今年發布,它增加了一些附加的交易要求。這個版本是向後兼容的,因此符合SET 1.0的軟體並不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,並使全球市場接受。
所有這些安全交易標准中,SET標准以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標准,有望進一步推動Internet電子商務市場。 虛擬專用網(VPN)
這是用於Internet交易的一種專用網路,它可以在兩個系統之間建立安全的信道(或隧道),用於電子數據交換(EDI)。它與信用卡交易和客戶發送訂單交易不同,因為在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性,因而能夠保證數據的保密性和可用性。
數字認證
數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性(如一個發票未被修改過),甚至數據媒體的有效性(如錄音、照片等)。隨著商家在電子商務中越來越多地使用加密技術,人們都希望有一個可信的第三方,以便對有關數據進行數字認證。
隨著現代密碼學的應用,數字認證一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性,Java JDK1.1也能夠支持幾種單向Hash演算法。另外,S/MIME協議已經有了很大的進展,可以被集成到產品中,以便用戶能夠對通過E?mail發送的信息進行簽名和認證。同時,商家也可以使用PGP(Pretty Good Privacy)技術,它允許利用可信的第三方對密鑰進行控制。可見,數字認證技術將具有廣闊的應用前景,它將直接影響電子商務的發展。
加密技術
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現代密碼學一些專用密鑰加密演算法(如3DES、IDEA、RC4和RC5)和公鑰加密演算法(如RSA、SEEK、PGP和EU)可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而,這些技術的廣泛使用卻不是一件容易的事情。
密碼學界有一句名言:加密技術本身都很優秀,但是它們實現起來卻往往很不理想。世界各國提出了多種加密標准,但人們真正需要的是針對企業環境開發的標准加密系統。加密技術的多樣化為人們提供了更多的選擇餘地,但也同時帶來了一個兼容性問題,不同的商家可能會採用不同的標准。另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制。美國的商家一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口。雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多。一個法國的研究生和兩個美國柏克萊大學的研究生破譯了一個SSL的密鑰,這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128 位 SSL的演算法,彌補國內的空缺,並採用數字簽名等技術確保電子商務的安全。
電子商務認證中心(CA,Certificate Authority)
實行網上安全支付是順利開展電子商務的前提,建立安全的認證中心(CA)則是電子商務的中心環節。建立CA的目的是加強數字證書和密鑰的管理工作,增強網上交易各方的相互信任,提高網上購物和網上交易的安全,控制交易的風險,從而推動電子商務的發展。
為了推動電子商務的發展,首先是要確定網上參與交易的各方(例如持卡消費戶、商戶、收單銀行的支付網關等)的身份,相應的數字證書(DC:Digital Certificate)就是代表他們身份的,數字證書是由權威的、公正的認證機構管理的。各級認證機構按照根認證中心(Root CA)、品牌認證中心(Brand CA)以及持卡人、商戶或收單銀行(Acquirer)的支付網關認證中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按層次結構建立的。
電子商務安全認證中心(CA)的基本功能是:
生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
對數字證書和數字簽名進行驗證。
對數字證書進行管理,重點是證書的撤消管理,同時追求實施自動管理(非手工管理)。
建立應用介面,特別是支付介面。CA是否具有支付介面是能否支持電子商務的關鍵。
第一代CA是由SETCO公司(由Visa & MasterCard組建)建立的,以SET協議為基礎,服務於B?C電子商務模式的層次性結構。
由於B?B電子商務模式的發展,要求CA的支付介面能夠兼容支持B?B與B?C的模式,即同時支持網上購物、網上銀行、網上交易與供應鏈管理等職能,要求安全認證協議透明、簡單、成熟(即標准化),這樣就產生了以公鑰基礎設施(PKI)為技術基礎的平面與層次結構混合型的第二代CA體系。
二十世紀以來,PKI技術無論在理論上還是應用上以及開發各種配套產品上,都已經走向成熟,以PKI技術為基礎的一系列相應的安全標准已經由Internet特別工作組(IETF)、國際標准化組織(ISO)和國際電信聯盟(ITU)等國際權威機構批准頒發實施。
建立在PKI技術基礎上的第二代安全認證體系與支付應用介面所使用的主要標准有:
由Internet特別工作組頒發的標准:LDAP(輕型目錄訪問協議)、S/MIME(安全電子郵件協議)、TLC(傳輸層安全套接層傳輸協議)、CAT(通用認證技術,Common Authentication Technology)和GSS-API(通用安全服務介面)等。
由國際標准化組織(ISO)或國際電信聯盟(ITU)批准頒發的標准為9594-8/X.509(數字證書格式標准)。
『柒』 計算機網路安全的內容簡介
涉及的內容: 第1章 計算機網路安全概述 1 1.1 計算機網路安全的基本概念 1 1.1.1 網路安全的定義 1 1.1.2 網路安全的特性 2 1.2 計算機網路安全的威脅 3 1.2.1 網路安全威脅的分類 3 1.2.2 計算機病毒的威脅 3 1.2.3 木馬程序的威脅
『捌』 26.計算機網路安全管理的主要內容有哪些
計算機網路安全管理的主要內容,我認為有以下幾個方面:
1.建立建全計算機網路安全法律法規,單位內部建立健全計算機網路安全使用管理條例規章。
2.完善計算機網路使用、應用規范。不斷提高人員使用計算機安全、信息安全防範意識。
3.嚴防計算機病毒在網路中和計算機中的傳播。規范操作規程,嚴格U盤和存儲硬體的使用,防止病毒從內部傳入。
4.配置好網路防火牆和IP協議,規劃好內網分段及客戶IP地址,綁定MAC, 防止非授權人員隨意上機。
5.建立入侵檢測系統,通過入侵檢測,經常監控網路安全情況,一旦發現入侵,有一套防範措施和應急方案。
6.建全安全檢測系統,對於網路內部人員經常使用的Web、Email、BBS、QQ聊天等軟體有檢測、記錄、跟蹤能力,一旦發現問題,能對應到使用人。
7.定時對網路管理、服務的計算機系統維護和升級。
8.定時對全網各網段掃描,建立IP異常登記、通報制度,發現異常,及時處理。
9.電力安全管理,防止系統因供電不正常而損傷損壞,保障線路暢通。
總之,計算機網路安全管理是一個系統工程,不可能僅靠幾個殺毒、防火牆、檢測軟體和周密的軟、硬體防護,就萬事大吉。要認識到計算機網路是一個人機對話,雙向的管理過程。機器是死的,人是活的,且在不斷發展變化中,所以,一個計算機網路的安全管理,不僅要做到物理硬體的安全,邏輯軟體的安全,還必須有人的配合、遵守和協助。這樣,
才能做到防微杜漸,防範於未然,從而提高管理實效。