常用的网络安全协议包括:SSL、TLS、IPSec、Telnet、SSH、SET 等
网络安全协议是营造网络安全环境的基础,是构建安全网络的关键技术。设计并保证网络安全协议的安全性和正确性能够从基础上保证网络安全,避免因网络安全等级不够而导致网络数据信息丢失或文件损坏等信息泄露问题。在计算机网络应用中,人们对计算机通信的安全协议进行了大量的研究,以提高网络信息传输的安全性。
网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
‘贰’ 计算机网络协议
计算机网络协议:
应用层
·DHCP(动态主机分配协议) · DNS (域名解析) · FTP(File Transfer Protocol)文件传输协议 · Gopher (英文原义:The Internet Gopher Protocol 中文释义:(RFC-1436)网际Gopher协议) · HTTP (Hypertext Transfer Protocol)超文本传输协议 · IMAP4 (Internet Message Access Protocol 4) 即 Internet信息访问协议的第4版本 · IRC (Internet Relay Chat )网络聊天协议 · NNTP (Network News Transport Protocol)RFC-977)网络新闻传输协议 · XMPP 可扩展消息处理现场协议 · POP3 (Post Office Protocol 3)即邮局协议的第3个版本 · SIP 信令控制协议 · SMTP (Simple Mail Transfer Protocol)即简单邮件传输协议 · SNMP (Simple Network Management Protocol,简单网络管理协议) · SSH (Secure Shell)安全外壳协议 · TELNET 远程登录协议 · RPC (Remote Procere Call Protocol)(RFC-1831)远程过程调用协议 · RTCP (RTP Control Protocol)RTP 控制协议 · RTSP (Real Time Streaming Protocol)实时流传输协议 · TLS (Transport Layer Security Protocol)安全传输层协议 · SDP( Session Description Protocol)会话描述协议 · SOAP (Simple Object Access Protocol)简单对象访问协议 · GTP 通用数据传输平台 · STUN (Simple Traversal of UDP over NATs,NAT 的UDP简单穿越)是一种网络协议 · NTP (Network Time Protocol)网络校时协议
传输层
·TCP(Transmission Control Protocol) 传输控制协议 · UDP (User Datagram Protocol) 用户数据报协议 · DCCP (Datagram Congestion Control Protocol)数据报拥塞控制协议 · SCTP(STREAM CONTROL TRANSMISSION PROTOCOL)流控制传输协议 · RTPReal-time Transport Protocol或简写RTP)实时传送协议 · RSVP (Resource ReSer Vation Protocol)资源预留协议 · PPTP ( Point to Point Tunneling Protocol)点对点隧道协议
网络层
IP (IPv4 · IPv6) · ARP · RARP · ICMP · ICMPv6 · IGMP · RIP · OSPF · BGP · IS-IS · IPsec
数据链路层
802.11 · 802.16 · Wi-Fi · WiMAX · ATM · DTM · 令牌环 · 以太网 · FDDI · 帧中继 · GPRS · EVDO · HSPA · HDLC · PPP · L2TP · ISDN
物理层
以太网物理层 · 调制解调器 · PLC · SONET/SDH · G.709 · 光导纤维 · 同轴电缆 · 双绞线
‘叁’ 安全的计算机网络在snmp v2,v3中是如何实现的
简单网络管理协议(SNMP)是基于TCP/IP的网络管理,实际上就是一群标准的集合。80年代末期由IETF开发后,开始被广泛应用在各类网络设备中,成为一种网管的工业标准。SNMP又称之为管理者和代理之间的通信协议,包括理解SNMP的操作、SNMP信息的格式及如何在应用程序和设备之间交换信息。
就概念而言,SNMP为网管界定了管理者(Manager)和代理者(Agent,被管理设备)之间的关系。两者之间的共同点是都运行TCP/IP协议。管理者可对管理设备提出效能、配置、和状态等信息的询问,透过要求与回复(request/replay)的简单机制来撷取代理者身上的信息,而两者之间的信息主要是通过PDU协议数据单元来载送。SNMP使用UDP作为IP的传输层协议。
在实现过程中,管理者会发送一个PDU给一个代理者(可以是路由器、交换机、防火墙……等可支持网管的设备),代理者收到管理者所发出内含询问信息的PDU报文后,再透过PDU回传给相关的管理者。在该过程中,代理者基本上只能处于被动的状态,反复进行一问一答的模式,而唯一可由代理者自动发出的只有Trap的不定期回报特殊状况信息。
SNMP协议有两个基本命令模式:read和read/write。read是可以通过SNMP协议观察设备配置细节,而使用read/write模式可以让管理者有权限修改设备配置。以当前市场流行的大多数被网管的设备为例,如果设备的默认口令没有改变,那么攻击者就可以利用默认的口令得到其配置文件,文件一旦被破解,攻击者就能够对设备进行远程非法的配置,实行攻击。
目前,绝大多数的网络设备和操作系统都可以支持SNMP,如D-Link、Cisco、3Com等等。
SNMPv3实现更优管理
目前SNMP的发展主要包括三个版本:SNMPv1、SNMPv2以及最新的SNMPv3。从市场应用来看,目前大多数厂商普遍支持的版本是SNMPv1和v2,但从安全鉴别机制来看,二者表现较差。而SNMPv3采用了新的SNMP扩展框架,在此架构下,安全性和管理上有很大的提高。在当前的网络设备市场中,D-Link已经率先推出了支持SNMPv3的网络产品,如DES-3226S、DES-3250TG交换机等,在安全功能和管理功能上都有良好的表现。
总体来看,SNMPv1和v2版本对用户权力的惟一限制是访问口令,而没有用户和权限分级的概念,只要提供相应的口令,就可以对设备进行read或read/write操作,安全性相对来的薄弱。虽然SNMPv2使用了复杂的加密技术,但并没有实现提高安全性能的预期目标,尤其是在身份验证(如用户初始接入时的身份验证、信息完整性的分析、重复操作的预防)、加密、授权和访问控制、适当的远程安全配置和管理能力等方面。
SNMPv3是在SNMPv2基础之上增加、完善了安全和管理机制。RFC 2271定义的SNMPv3体系结构体现了模块化的设计思想,使管理者可以简单地实现功能的增加和修改。其主要特点在于适应性强,可适用于多种操作环境,不仅可以管理最简单的网络,实现基本的管理功能,还能够提供强大的网络管理功能,满足复杂网络的管理需求。
目前,市场上的网络设备尚停留在SNMPv1/v2的范畴,并未广泛支持SNMPv3,如何配置设备的SNMP服务以确保网络安全、完善管理机制呢?以下几个方面建议或许值得网管人员一试:由于基于SNMPv1/v2协议本身具有不安全性,所以在管理过程中,如果没有必要,可以不要开启SNMP代理程序;可以限制未授权IP对SNMP的访问,或者改变SNMP代理的默认口令,并使用复杂的口令;在后续采购设备中,尽可能选用支持SNMPv3的设备产品。
综合SNMP的不同版本,显然SNMPv3的应用推广势在必行,必然会以突出的优势成为新的应用趋势。一些市场反应敏捷的网络设备制造商已经推出了相关产品。据了解,D-Link在新一代产品推出时,已将此技术列入基本的协议支持,包括DES-3226S、DES-3250TG在内的多款交换机已经率先支持SNMPv3。
你问的比较笼统自己看看吧。
‘肆’ 计算机网络安全管理的目录
第1章网络安全管理基础1
1.1网络体系结构概述1
1.2网络体系结构的参考模型2
1.2.1OSI参考模型2
1.2.2TCP/IP协议结构体系3
1.3系统安全结构4
1.4TCP/IP层次安全5
1.4.1网络层的安全性6
1.4.2传输层的安全性6
1.4.3应用层的安全性6
1.5TCP/IP的服务安全7
1.5.1WWW服务7
1.5.2电子邮件服务7
1.5.3FTP服务和TFTP服务8
1.5.4Finger服务8
1.5.5其他服务8
1.6个人网络安全8
1.7局域网的安全9
1.7.1网络分段9
1.7.2以交换式集线器代替共享式集线器9
1.7.3虚拟专网10
1.8广域网的安全10
1.8.1加密技术10
1.8.2VPN技术10
1.8.3身份认证技术10
1.9网络安全威胁11
1.10网络系统安全应具备的功能12
1.11网络安全的主要攻击形式12
1.11.1信息收集13
1.11.2利用技术漏洞型攻击14
1.12网络安全的关键技术16
1.13保证网络安全的措施18
1.14网络的安全策略20
1.14.1数据防御21
1.14.2应用程序防御21
1.14.3主机防御21
1.14.4网络防御21
1.14.5周边防御21
1.14.6物理安全22
1.15网络攻击常用工具22
第2章加密技术25
2.1密码算法25
2.2对称加密技术26
2.2.1DES算法26
2.2.2三重DES算法27
2.3不对称加密技术27
2.4RSA算法简介29
2.4.1RSA算法29
2.4.2密钥对的产生30
2.4.3RSA的安全性30
2.4.4RSA的速度30
2.4.5RSA的选择密文攻击31
2.4.6RSA的数字签名31
2.4.7RSA的缺点32
2.4.8关于RSA算法的保密强度安全评估32
2.4.9RSA的实用性33
2.5RSA算法和DES算法的比较34
2.6DSS/DSA算法34
2.7椭圆曲线密码算法35
2.8量子加密技术37
2.9PKI管理机制37
2.9.1认证机构38
2.9.2加密标准39
2.9.3证书标准39
2.9.4数字证书39
2.10智能卡41
第3章Windows2000操作系统的安全管理44
3.1Windows2000的安全性设计44
3.2Windows2000中的验证服务架构44
3.3Windows2000安全特性45
3.4Windows2000组策略的管理安全47
3.4.1Windows2000中的组策略47
3.4.2加强内置账户的安全53
3.4.3组策略的安全模板54
3.4.4组策略的实现54
3.5审计与入侵检测58
3.5.1审计58
3.5.2入侵检测66
3.6修补程序69
第4章WindowsServer2003的安全管理71
4.1WindowsServer2003安全架构71
4.2WindowsServer2003的新安全机制72
4.3WindowsServer2003的身份验证73
4.3.1交互验证与网络验证74
4.3.2KerberosV5身份验证75
4.3.3存储用户名和密码77
4.4WindowsServer2003的授权78
4.4.1授权基础78
4.4.2WindowsServer2003的授权81
4.5WindowsServer2003的授权管理器86
4.6WindowsServer2003的安全模式88
4.6.1WindowsServer2003的安全策略88
4.6.2在网络中WindowsServer2003的安全性90
4.7WindowsServer2003的安全管理93
4.7.1WindowsServer2003组策略94
4.7.2安全分区99
4.7.3安全分区加密文件系统100
4.7.4WindowsServer2003安全管理采用的对策101
4.8安全工具107
4.8.1Nbtstat实用命令107
4.8.2Netview110
4.8.3Usersat111
4.8.4Global111
4.8.5local工具111
4.8.6NetDom工具112
4.8.7NetWatch工具112
4.8.8Netusex112
第5章Linux网络操作系统的安全管理113
5.1系统安全113
5.1.1C1/C2安全级设计框架113
5.1.2身份认证114
5.1.3用户权限和超级用户119
5.1.4存储空间安全121
5.1.5数据的加密124
5.1.6B1安全级强化128
5.1.7日志130
5.2网络安全134
5.2.1网络接口层134
5.2.2网络层138
5.2.3传输层140
5.2.4应用层142
5.3安全工具151
5.3.1tcpserver151
5.3.2xinetd153
5.3.3Sudo162
5.3.4安全检查工具nessus166
5.3.5监听工具sniffit170
5.3.6扫描工具nmap172
5.3.7其他安全工具176
5.4配置安全可靠的系统177
5.4.1SSH实践177
5.4.2SSL实践185
5.4.3构造chroot的DNS188
5.4.4代理服务器socks191
5.4.5邮件服务器192
第6章路由器安全管理196
第7章电子邮件的安全管理234
第8章计算机病毒258
第9章防火墙安全管理282
第10章电子商务网站的安全304
……
‘伍’ 简述计算机网络协议
网络协议概述
在网络的各层中存在着许多协议,它是定义通过网络进行通信的规则,接收方的发送方同层的协议必须一致,否则一方将无法识别另一方发出的信息,以这种规则规定双方完成信息在计算机之间的传送过程。
要使服务器支持远程启动服务,必须在服务器上安装DLC(Data Link Control)和NetBEUI(NetBIOS Extended User Interface)协议,并确保工作站能用这些协议与服务器通讯。 DLC不同于NT中的其它协议如NetBEUI和TCP/IP,DLC协议并不在OSI参考模型的网络层和传输层发挥作用,而是向较高层提供了一个与数据链路层的直接接口。使用DLC,可使得NT计算机可以运行访问主机系统的软件,使得NT计算机作为直连网络的打印机的打印服务器。通常我们不把DLC作为PC和PC的通信的主协议。NetBIOS扩展用户接口协议(NetBEUI)最初由IBM于1995年开发的,被优化为在用于非常高的性能,在一个LAN分段里的通信。NetBEUI是NT发行的协议中速度最快的一种协议之一。它还具有良好的错误保护,占用很少的内存,但它不支持路由选择且跨WAN的性能很差。 而TCP/IP则成为当前应用协议中无可非议的标准。
‘陆’ 网络安全协议的分类
计算机网络安全的内容包括:
计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。 未进行操作系统相关安全配置
不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。
未进行CGI程序代码审计
如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
拒绝服务(DoS,Denial of Service)攻击
随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。2014年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。
安全产品使用不当
虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
缺少严格的网络安全管理制度
网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。 一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,极大地增加了恶意攻击的难度,并增加了审核信息的数量,利用这些审核信息可以跟踪入侵者。
在实施网络安全防范措施时:
首先要加强主机本身的安全,做好安全配置,及时安装安全补丁程序,减少漏洞;
其次要用各种系统漏洞检测软件定期对网络系统进行扫描分析,找出可能存在的安全隐患,并及时加以修补;
从路由器到用户各级建立完善的访问控制措施,安装防火墙,加强授权管理和认证;
利用RAID5等数据存储技术加强数据备份和恢复措施;
对敏感的设备和数据要建立必要的物理或逻辑隔离措施;
对在公共网络上传输的敏感信息要进行强度的数据加密;
安装防病毒软件,加强内部网的整体防病毒措施;
建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
网络安全技术是伴随着网络的诞生而出现的,但直到80年代末才引起关注,90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界的高度重视,计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层数据加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。安全核心系统在实现一个完整或较完整的安全体系的同时也能与传统网络协议保持一致。它以密码核心系统为基础,支持不同类型的安全硬件产品,屏蔽安全硬件以变化对上层应用的影响,实现多种网络安全协议,并在此之上提供各种安全的计算机网络应用。
互联网已经日渐融入到人类社会的各个方面中,网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。 当许多传统的商务方式应用在Internet上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间,但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样,涉及的安全问题各不相同,但在Internet上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说商务安全中普遍存在着以下几种安全隐患:
窃取信息
由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
篡改信息
当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。
假冒
由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
恶意破坏
由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
因此,电子商务的安全交易主要保证以下四个方面:
信息保密性
交易中的商务信息均有保密的要求。如信用卡的账号和用户名等不能被他人知悉,因此在信息传播中一般均有加密的要求。
交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。
不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可否认的。
不可修改性
交易的文件是不可被修改的,否则也必然会损害一方的商业利益。因此电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。
电子商务交易中的安全措施
在早期的电子交易中,曾采用过一些简易的安全措施,包括:
部分告知(Partial Order):即在网上交易中将最关键的数据如信用卡号码及成交数额等略去,然后再用电话告之,以防泄密。
另行确认(Order Confirmation):即当在网上传输交易信息后,再用电子邮件对交易做确认,才认为有效。
此外还有其它一些方法,这些方法均有一定的局限性,且操作麻烦,不能实现真正的安全可靠性。
二十世纪90年代以来,针对电子交易安全的要求,IT业界与金融行业一起,推出不少有效的安全交易标准和技术。
主要的协议标准有:
安全超文本传输协议(S-HTTP):依靠密钥对的加密,保障Web站点间的交易信息传输的安全性。
安全套接层协议(SSL):由Netscape公司提出的安全交易协议,提供加密、认证服务和报文的完整性。SSL被用于Netscape Communicator和Microsoft IE浏览器,以完成需要的安全交易操作。
安全交易技术协议(STT,Secure Transaction Technology):由Microsoft公司提出,STT将认证和解密在浏览器中分离开,用以提高安全控制能力。Microsoft在Internet Explorer中采用这一技术。
安全电子交易协议(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的标准SET发布公告,并于1997年5月底发布了SET Specification Version 1.0,它涵盖了信用卡在电子商务交易中的交易协定、信息保密、资料完整及数据认证、数据签名等。
SET 2.0预计今年发布,它增加了一些附加的交易要求。这个版本是向后兼容的,因此符合SET 1.0的软件并不必要跟着升级,除非它需要新的交易要求。SET规范明确的主要目标是保障付款安全,确定应用之互通性,并使全球市场接受。
所有这些安全交易标准中,SET标准以推广利用信用卡支付网上交易,而广受各界瞩目,它将成为网上交易安全通信协议的工业标准,有望进一步推动Internet电子商务市场。 虚拟专用网(VPN)
这是用于Internet交易的一种专用网络,它可以在两个系统之间建立安全的信道(或隧道),用于电子数据交换(EDI)。它与信用卡交易和客户发送订单交易不同,因为在VPN中,双方的数据通信量要大得多,而且通信的双方彼此都很熟悉。这意味着可以使用复杂的专用加密和认证技术,只要通信的双方默认即可,没有必要为所有的VPN进行统一的加密和认证。现有的或正在开发的数据隧道系统可以进一步增加VPN的安全性,因而能够保证数据的保密性和可用性。
数字认证
数字认证可用电子方式证明信息发送者和接收者的身份、文件的完整性(如一个发票未被修改过),甚至数据媒体的有效性(如录音、照片等)。随着商家在电子商务中越来越多地使用加密技术,人们都希望有一个可信的第三方,以便对有关数据进行数字认证。
随着现代密码学的应用,数字认证一般都通过单向Hash函数来实现,它可以验证交易双方数据的完整性,Java JDK1.1也能够支持几种单向Hash算法。另外,S/MIME协议已经有了很大的进展,可以被集成到产品中,以便用户能够对通过E?mail发送的信息进行签名和认证。同时,商家也可以使用PGP(Pretty Good Privacy)技术,它允许利用可信的第三方对密钥进行控制。可见,数字认证技术将具有广阔的应用前景,它将直接影响电子商务的发展。
加密技术
保证电子商务安全的最重要的一点就是使用加密技术对敏感的信息进行加密。现代密码学一些专用密钥加密算法(如3DES、IDEA、RC4和RC5)和公钥加密算法(如RSA、SEEK、PGP和EU)可用来保证电子商务的保密性、完整性、真实性和非否认服务。然而,这些技术的广泛使用却不是一件容易的事情。
密码学界有一句名言:加密技术本身都很优秀,但是它们实现起来却往往很不理想。世界各国提出了多种加密标准,但人们真正需要的是针对企业环境开发的标准加密系统。加密技术的多样化为人们提供了更多的选择余地,但也同时带来了一个兼容性问题,不同的商家可能会采用不同的标准。另外,加密技术向来是由国家控制的,例如SSL的出口受到美国国家安全局(NSA)的限制。美国的商家一般都可以使用128位的SSL,但美国只允许加密密钥为40位以下的算法出口。虽然40位的SSL也具有一定的加密强度,但它的安全系数显然比128位的SSL要低得多。一个法国的研究生和两个美国柏克莱大学的研究生破译了一个SSL的密钥,这已引起了人们的广泛关注。美国以外的国家很难真正在电子商务中充分利用SSL,这不能不说是一种遗憾。上海市电子商务安全证书管理中心推出128 位 SSL的算法,弥补国内的空缺,并采用数字签名等技术确保电子商务的安全。
电子商务认证中心(CA,Certificate Authority)
实行网上安全支付是顺利开展电子商务的前提,建立安全的认证中心(CA)则是电子商务的中心环节。建立CA的目的是加强数字证书和密钥的管理工作,增强网上交易各方的相互信任,提高网上购物和网上交易的安全,控制交易的风险,从而推动电子商务的发展。
为了推动电子商务的发展,首先是要确定网上参与交易的各方(例如持卡消费户、商户、收单银行的支付网关等)的身份,相应的数字证书(DC:Digital Certificate)就是代表他们身份的,数字证书是由权威的、公正的认证机构管理的。各级认证机构按照根认证中心(Root CA)、品牌认证中心(Brand CA)以及持卡人、商户或收单银行(Acquirer)的支付网关认证中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按层次结构建立的。
电子商务安全认证中心(CA)的基本功能是:
生成和保管符合安全认证协议要求的公共和私有密钥、数字证书及其数字签名。
对数字证书和数字签名进行验证。
对数字证书进行管理,重点是证书的撤消管理,同时追求实施自动管理(非手工管理)。
建立应用接口,特别是支付接口。CA是否具有支付接口是能否支持电子商务的关键。
第一代CA是由SETCO公司(由Visa & MasterCard组建)建立的,以SET协议为基础,服务于B?C电子商务模式的层次性结构。
由于B?B电子商务模式的发展,要求CA的支付接口能够兼容支持B?B与B?C的模式,即同时支持网上购物、网上银行、网上交易与供应链管理等职能,要求安全认证协议透明、简单、成熟(即标准化),这样就产生了以公钥基础设施(PKI)为技术基础的平面与层次结构混合型的第二代CA体系。
二十世纪以来,PKI技术无论在理论上还是应用上以及开发各种配套产品上,都已经走向成熟,以PKI技术为基础的一系列相应的安全标准已经由Internet特别工作组(IETF)、国际标准化组织(ISO)和国际电信联盟(ITU)等国际权威机构批准颁发实施。
建立在PKI技术基础上的第二代安全认证体系与支付应用接口所使用的主要标准有:
由Internet特别工作组颁发的标准:LDAP(轻型目录访问协议)、S/MIME(安全电子邮件协议)、TLC(传输层安全套接层传输协议)、CAT(通用认证技术,Common Authentication Technology)和GSS-API(通用安全服务接口)等。
由国际标准化组织(ISO)或国际电信联盟(ITU)批准颁发的标准为9594-8/X.509(数字证书格式标准)。
‘柒’ 计算机网络安全的内容简介
涉及的内容: 第1章 计算机网络安全概述 1 1.1 计算机网络安全的基本概念 1 1.1.1 网络安全的定义 1 1.1.2 网络安全的特性 2 1.2 计算机网络安全的威胁 3 1.2.1 网络安全威胁的分类 3 1.2.2 计算机病毒的威胁 3 1.2.3 木马程序的威胁
‘捌’ 26.计算机网络安全管理的主要内容有哪些
计算机网络安全管理的主要内容,我认为有以下几个方面:
1.建立建全计算机网络安全法律法规,单位内部建立健全计算机网络安全使用管理条例规章。
2.完善计算机网络使用、应用规范。不断提高人员使用计算机安全、信息安全防范意识。
3.严防计算机病毒在网络中和计算机中的传播。规范操作规程,严格U盘和存储硬件的使用,防止病毒从内部传入。
4.配置好网络防火墙和IP协议,规划好内网分段及客户IP地址,绑定MAC, 防止非授权人员随意上机。
5.建立入侵检测系统,通过入侵检测,经常监控网络安全情况,一旦发现入侵,有一套防范措施和应急方案。
6.建全安全检测系统,对于网络内部人员经常使用的Web、Email、BBS、QQ聊天等软件有检测、记录、跟踪能力,一旦发现问题,能对应到使用人。
7.定时对网络管理、服务的计算机系统维护和升级。
8.定时对全网各网段扫描,建立IP异常登记、通报制度,发现异常,及时处理。
9.电力安全管理,防止系统因供电不正常而损伤损坏,保障线路畅通。
总之,计算机网络安全管理是一个系统工程,不可能仅靠几个杀毒、防火墙、检测软件和周密的软、硬件防护,就万事大吉。要认识到计算机网络是一个人机对话,双向的管理过程。机器是死的,人是活的,且在不断发展变化中,所以,一个计算机网络的安全管理,不仅要做到物理硬件的安全,逻辑软件的安全,还必须有人的配合、遵守和协助。这样,
才能做到防微杜渐,防范于未然,从而提高管理实效。