前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的防火墻技術(shù)論文主題范文,僅供參考,歡迎閱讀并收藏。
1.1黑客攻擊的問(wèn)題
因?yàn)樾@網(wǎng)絡(luò)需要同互聯(lián)網(wǎng)連接,從而給師生查找資料提供便利,不過(guò)也因此容易受到黑客攻擊。當(dāng)代黑客攻擊的技術(shù)越來(lái)越高明,破壞程度同樣越來(lái)越嚴(yán)重,黑客攻擊校園網(wǎng)絡(luò),有著時(shí)間長(zhǎng)、范圍廣、損失大以及處理難的特點(diǎn),校園網(wǎng)絡(luò)當(dāng)中的DNS服務(wù)器、WEB服務(wù)器以及郵件服務(wù)器是容易遭到黑客攻擊的地方[8],黑客很多時(shí)候使用專業(yè)工具攻擊校園挽留過(guò),導(dǎo)致校園網(wǎng)絡(luò)服務(wù)器無(wú)法正常使用,部分攻擊軟件甚至可以讓非法用戶可以隨便攻擊校園網(wǎng)絡(luò),同時(shí)篡改校園網(wǎng)絡(luò)的主頁(yè)、破壞各種數(shù)據(jù)從而擾亂教學(xué)秩序。
1.2內(nèi)部用戶的問(wèn)題
現(xiàn)在學(xué)生對(duì)于網(wǎng)絡(luò)了解程度比較深,這就導(dǎo)致部分學(xué)生會(huì)在好奇心趨勢(shì)下,攻擊校園網(wǎng)絡(luò)系統(tǒng),從而給校園網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)不利影響,提高了校園網(wǎng)絡(luò)管理的難度。統(tǒng)計(jì)顯示內(nèi)部用戶造成的校園網(wǎng)絡(luò)攻擊占到30%左右,大部分情況由學(xué)生好奇心而引起,同時(shí)學(xué)校對(duì)于學(xué)生的管理以及教育不夠重視,縱容他們破壞校園網(wǎng)絡(luò)安全的種種行為。
2防火墻技術(shù)在校園網(wǎng)絡(luò)安全中的應(yīng)用
2.1選擇合適的防火墻產(chǎn)品
最簡(jiǎn)單的防火墻是在校園網(wǎng)絡(luò)的內(nèi)部網(wǎng)以及外部網(wǎng)間加裝應(yīng)用網(wǎng)關(guān)或者是過(guò)濾路由器。為更好實(shí)現(xiàn)校園網(wǎng)絡(luò)的安全,很多時(shí)候需要綜合使用不同的防火墻技術(shù)從而組合防火墻系統(tǒng)。這就需要明確設(shè)置防火墻設(shè)置的方案,然后選擇合適的防火墻產(chǎn)品。從形式的角度而言,防火墻可以分成硬件防火墻以及軟件防火墻這2大類,硬件防火墻同軟件防火墻比較而言,由于使用專用硬件設(shè)備,并且集成生產(chǎn)廠商防火墻軟件,功能上通過(guò)內(nèi)置安全軟件,并且使用強(qiáng)化甚至專屬的操作系統(tǒng),有著管理方便以及更換容易的特點(diǎn),并且軟硬件的搭配往往比較固定。也就是說(shuō)硬件防火墻的效率更高,可以解決防火墻性能以及效率之間的關(guān)系,可以根據(jù)校園網(wǎng)絡(luò)的具體情況來(lái)加以選擇。
2.2使用服務(wù)器
服務(wù)器指的是連接校園網(wǎng)絡(luò)局域網(wǎng)以及Internet的網(wǎng)關(guān),這一網(wǎng)關(guān)運(yùn)行服務(wù)軟件,可以實(shí)現(xiàn)不同網(wǎng)絡(luò)之間的互相通信。服務(wù)器可以在用戶以及服務(wù)器間實(shí)現(xiàn)協(xié)同工作,所以提供應(yīng)用級(jí)的網(wǎng)關(guān)。客戶端往服務(wù)器發(fā)送請(qǐng)求,請(qǐng)求到達(dá)服務(wù)器,然后服務(wù)器在接收連接請(qǐng)求之后,進(jìn)行身份認(rèn)證以及訪問(wèn)控制,要是客戶端確認(rèn)服務(wù)器身份認(rèn)證以及訪問(wèn)控制,那么就代替客戶端發(fā)送請(qǐng)求。服務(wù)器在響應(yīng)之后,服務(wù)器則將數(shù)據(jù)反饋到客戶端。
2.3配置路由器防火墻
關(guān)鍵詞:網(wǎng)絡(luò);安全;防火墻
1 緒論
隨著國(guó)家的快速發(fā)展,社會(huì)的需求等諸多問(wèn)題都體現(xiàn)了互聯(lián)網(wǎng)的重要性,各高校也都相繼有了自己的內(nèi)部和外部網(wǎng)絡(luò)。致使學(xué)校網(wǎng)絡(luò)安全問(wèn)題是我們急需要解決的問(wèn)題。小到別人的電腦系統(tǒng)癱瘓、帳號(hào)被盜,大到學(xué)校重要的機(jī)密資料,財(cái)政資料,教務(wù)處的數(shù)據(jù)被非法查看修改等等。學(xué)校機(jī)房網(wǎng)絡(luò)安全也是一個(gè)很重要的地方。由于是公共型機(jī)房。對(duì)于公共機(jī)房的網(wǎng)絡(luò)安全問(wèn)題,提出以下幾個(gè)方法去解決這類的一部分問(wèn)題。
2 PC機(jī)
2.1 PC終端機(jī)。對(duì)于終端機(jī)來(lái)說(shuō),我們應(yīng)該把一切的系統(tǒng)漏洞全部打上補(bǔ)丁。像360安全衛(wèi)士(省略/)是一款不錯(cuò)的實(shí)用、功能強(qiáng)大的安全軟件。里面有“修復(fù)系統(tǒng)漏洞”選項(xiàng),我們只要點(diǎn)擊掃描,把掃描到的系統(tǒng)漏洞,點(diǎn)擊下載安裝,并且都是自動(dòng)安裝,安裝完就可以了。
2.2 安裝殺毒軟件。比如說(shuō)中國(guó)著名的瑞星2008殺毒軟件,從瑞星官方網(wǎng)站(省略/)下載,下載完,安裝簡(jiǎn)體版就可以了。安裝完之后,就進(jìn)行全盤查毒。做到客戶機(jī)沒(méi)有病毒。讓電腦處于無(wú)毒環(huán)境中。也可以在【開始-運(yùn)行】中輸入【sigverif】命令,檢查系統(tǒng)的文件有沒(méi)有簽名,沒(méi)有簽名的文件就有可能是被病毒感染了??梢陨暇W(wǎng)查詢之后,進(jìn)行刪除。
2.3 防火墻。打好系統(tǒng)漏洞補(bǔ)丁,安裝好殺毒軟件之后,就是安裝防火墻像瑞星防火墻,天網(wǎng)防火墻以及風(fēng)云防火墻等。風(fēng)云防火墻是一款功能強(qiáng)大的防火墻軟件,它不僅僅能防病毒,還能防現(xiàn)在很是厲害的ARP病毒。
2.4 用戶設(shè)置。把Administrator超級(jí)用戶設(shè)置密碼,對(duì)不同的用戶進(jìn)行用戶權(quán)限設(shè)置。
3 解決方案
3.1 防火墻技術(shù)。防火墻是一種網(wǎng)絡(luò)安全保障手段,是網(wǎng)絡(luò)通信時(shí)執(zhí)行的一種訪問(wèn)控制尺度,其主要目標(biāo)就是通過(guò)控制入、出一個(gè)網(wǎng)絡(luò)的權(quán)限,并迫使所有的連接都經(jīng)過(guò)這樣的檢查,防止一個(gè)需要保護(hù)的網(wǎng)絡(luò)遭外界因素的干擾和破壞。在邏輯上,防火墻是一個(gè)分離器,一個(gè)限制器,也是一個(gè)分析器,有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和Internet之間地任何活動(dòng),保證了內(nèi)部網(wǎng)絡(luò)地安全;在物理實(shí)現(xiàn)上,防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備路由器、計(jì)算機(jī)或其他特制地硬件設(shè)備。防火墻可以是獨(dú)立地系統(tǒng),也可以在一個(gè)進(jìn)行網(wǎng)絡(luò)互連地路由器上實(shí)現(xiàn)防火墻。用防火墻來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全必須考慮防火墻的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu):
①屏蔽路由器:又稱包過(guò)濾防火墻。
②雙穴主機(jī):雙穴主機(jī)是包過(guò)濾網(wǎng)關(guān)的一種替代。
③主機(jī)過(guò)濾結(jié)構(gòu):這種結(jié)構(gòu)實(shí)際上是包過(guò)濾和的結(jié)合。
④屏蔽子網(wǎng)結(jié)構(gòu):這種防火墻是雙穴主機(jī)和被屏蔽主機(jī)的變形。
3.2 VPN技術(shù)。VPN的安全保證主要是通過(guò)防火墻技術(shù)、路由器配以隧道技術(shù)、加密協(xié)議和安全密鑰來(lái)實(shí)現(xiàn),可以保證企業(yè)員工安全地訪問(wèn)公司網(wǎng)絡(luò)。
3.3 網(wǎng)絡(luò)加密技術(shù)(Ipsec)。IP層是TCP/IP網(wǎng)絡(luò)中最關(guān)鍵的一層,IP作為網(wǎng)絡(luò)層協(xié)議,其安全機(jī)制可對(duì)其上層的各種應(yīng)用服務(wù)提供透明的覆蓋式安全保護(hù)。因此,IP安全是整個(gè)TCP/IP安全的基礎(chǔ),是網(wǎng)絡(luò)安全的核心。IPSec提供的安全功能或服務(wù)主要包括:
①訪問(wèn)控制;②無(wú)連接完整性;③數(shù)據(jù)起源認(rèn)證;④抗重放攻擊;⑤機(jī)密性;⑥有限的數(shù)據(jù)流機(jī)密性。
3.4 身份認(rèn)證。在一個(gè)更為開放的環(huán)境中,支持通過(guò)網(wǎng)絡(luò)與其他系統(tǒng)相連,就需要“調(diào)用每項(xiàng)服務(wù)時(shí)需要用戶證明身份,也需要這些服務(wù)器向客戶證明他們自己的身份?!钡牟呗詠?lái)保護(hù)位于服務(wù)器中的用戶信息和資源。像數(shù)字簽名。
4會(huì)話控制與帶寬管理策略
4.1 會(huì)話數(shù)控制。 使用校園網(wǎng)出口防火墻,通過(guò)單用戶會(huì)話和流量控制功能進(jìn)行相關(guān)管理。通過(guò)應(yīng)用防火墻設(shè)置新建連接閥值,可以對(duì)網(wǎng)絡(luò)中每個(gè)用戶會(huì)話連接數(shù)進(jìn)行控制,當(dāng)閥值被觸動(dòng)后,動(dòng)態(tài)地將非法用戶添加到黑名單,直接將非法用戶連接阻斷,并且可以靈活的設(shè)置控制黑名單的有效時(shí)間。通過(guò)單用戶會(huì)話數(shù)限制,可以做到:當(dāng)校園網(wǎng)內(nèi)機(jī)器病毒爆發(fā)時(shí),阻止大量數(shù)據(jù)包對(duì)外建立連接,耗費(fèi)網(wǎng)絡(luò)資源;阻止黑客對(duì)網(wǎng)絡(luò)的掃描;阻止黑客進(jìn)行DDOS攻擊。
5 結(jié)論
隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)安全逐漸成為一個(gè)潛在的巨大問(wèn)題。網(wǎng)絡(luò)安全性是一個(gè)涉及面很廣泛的問(wèn)題,其中也會(huì)涉及到是否構(gòu)成犯罪行為的問(wèn)題。在其最簡(jiǎn)單的形式中,它主要關(guān)心的是確保無(wú)關(guān)人員不能讀取,更不能修改傳送給其他接收者的信息。此時(shí),它關(guān)心的對(duì)象是那些無(wú)權(quán)使用,但卻試圖獲得遠(yuǎn)程服務(wù)的人。安全性也處理合法消息被截獲和重播的問(wèn)題,以及發(fā)送者是否曾發(fā)送過(guò)該條消息的問(wèn)題。本論文從多方面描述了網(wǎng)絡(luò)安全的解決方案,目的在于為用戶提供信息的保密,認(rèn)證和完整性保護(hù)機(jī)制,使網(wǎng)絡(luò)中的服務(wù),數(shù)據(jù)以及系統(tǒng)免受侵?jǐn)_和破壞。比如防火墻,認(rèn)證,加密技術(shù)等都是當(dāng)今常用的方法,本論文從這些方法入手深入研究各個(gè)方面的網(wǎng)絡(luò)安全問(wèn)題的解決,可以使讀者有對(duì)網(wǎng)絡(luò)安全技術(shù)的更深刻的了解。
參考文獻(xiàn)
[1] 雷震甲.網(wǎng)絡(luò)工程師教程.[M].北京:清華大學(xué)出版社,2004.
關(guān)鍵詞:指紋系統(tǒng),安全防范,防御機(jī)制
一、概述
指紋信息系統(tǒng)作為一種公安工作的局域網(wǎng),有其特定含義和應(yīng)用范疇,它積累信息為偵察破案提供線索,概括起來(lái)有四個(gè)方面的典型應(yīng)用:第一,指紋系統(tǒng)是為公安工作服務(wù)的,是一種刑事偵察的工具,它是各地、市之間指紋交流工具,也是指紋信息資源的提供者。第二,指紋系統(tǒng)是為偵察破案提供線索,為案件進(jìn)展提供便利服務(wù)的。第三,指紋系統(tǒng)積累犯罪嫌疑人信息,如嫌疑人的指紋管理、前科管理、基本信息管理等,為串、并案件提供可靠依據(jù)。第四,指紋系統(tǒng)是溝通與其他公安工作的窗口,利用它既可以獲取各種信息,也可以向其他公安工作相關(guān)信息。
二、指紋信息系統(tǒng)安全的主要問(wèn)題
隨著網(wǎng)絡(luò)在公安工作各個(gè)方面的延伸,進(jìn)入指紋系統(tǒng)的手段也越來(lái)越多,因此,指紋信息安全是目前指紋工作中面臨的一個(gè)重要問(wèn)題。
1、物理安全問(wèn)題
指紋信息系統(tǒng)安全首先要保障系統(tǒng)上指紋數(shù)據(jù)的物理安全。物理安全是指在物理介質(zhì)層次上對(duì)存貯和傳輸?shù)闹讣y數(shù)據(jù)安全保護(hù)。目前常見的不安全因素(安全威脅或安全風(fēng)險(xiǎn))包括兩大類:第一類是自然災(zāi)害(如雷電、地震、火災(zāi)、水災(zāi)等),物理?yè)p壞(如硬盤損壞、設(shè)備使用壽命到期、外力破損等),設(shè)備故障(如停電、斷電、電磁干擾等),意外事故。第二類是操作失誤(如刪除文件、格式化硬盤、線路拆除等),意外疏漏(如系統(tǒng)掉電、“死機(jī)”等)。
2、指紋操作系統(tǒng)及應(yīng)用服務(wù)的安全問(wèn)題
現(xiàn)在應(yīng)用的主流操作系統(tǒng)為Windows 操作系統(tǒng),該系統(tǒng)存在很多安全隱患。操作系統(tǒng)不安全也是系統(tǒng)不安全的重要原因。
3、非法用戶的攻擊
幾乎每天都可能聽到在公安網(wǎng)上眾多的非法攻擊事件,這些事件一再提醒我們,必須高度重視系統(tǒng)的安全問(wèn)題。非法用戶攻擊的主要方法有:口令攻擊、網(wǎng)絡(luò)監(jiān)聽、緩沖區(qū)溢出、郵件攻擊和其他攻擊方法。
4、計(jì)算機(jī)病毒威脅
計(jì)算機(jī)病毒將導(dǎo)致指紋系統(tǒng)癱瘓,系統(tǒng)程序和指紋數(shù)據(jù)嚴(yán)重破壞,使系統(tǒng)的效率和作用大大降低,系統(tǒng)的許多功能無(wú)法使用或不敢使用。雖然,至今還沒(méi)過(guò)出現(xiàn)災(zāi)難性的后果,但層出不窮的各種各樣的計(jì)算機(jī)病毒活躍在公安網(wǎng)的各個(gè)角落,令人堪憂。計(jì)算機(jī)病毒是指人為制造的干擾和破壞計(jì)算機(jī)系統(tǒng)的程序,它具有傳染性、隱蔽性、潛伏性、破壞性等特點(diǎn)。通常,我們將計(jì)算機(jī)的病毒分為“良性”和“惡性”兩類。所謂良性病毒是指不對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,但會(huì)造成計(jì)算機(jī)工作異常、變慢等。 惡性病毒往往沒(méi)有直觀表現(xiàn),但會(huì)對(duì)計(jì)算機(jī)數(shù)據(jù)進(jìn)行破壞,有的甚至?xí)茐挠?jì)算機(jī)的硬件,造成整個(gè)計(jì)算機(jī)癱瘓。前段時(shí)間流行的沖擊波、震蕩波、狙擊波病毒,它們根據(jù) Windows漏洞進(jìn)行攻擊,電腦中毒后1分鐘重起。在重新啟動(dòng)之前,沖擊波和震蕩波允許用戶操作,而狙擊波不允許用戶操作。病毒是十分狡猾的敵人,它隨時(shí)隨地在尋找入侵電腦的機(jī)會(huì),因此,預(yù)防和清除計(jì)算機(jī)病毒是非常重要的,我們應(yīng)提高對(duì)計(jì)算機(jī)病毒的防范意識(shí),不給病毒以可乘之機(jī)。
三、指紋系統(tǒng)的安全防范措施
指紋信息系統(tǒng)是一個(gè)人機(jī)系統(tǒng),需要多人參與工作,而系統(tǒng)操作人員是系統(tǒng)安全的責(zé)任主體,因此,要重視對(duì)各級(jí)系統(tǒng)操作人員進(jìn)行系統(tǒng)安全的教育,做到專機(jī)專用,嚴(yán)禁操作人員進(jìn)行工作以外的操作;下面就本人在實(shí)際工作中總結(jié)的一些經(jīng)驗(yàn),談一 談對(duì)指紋信息系統(tǒng)的維護(hù)與病毒的預(yù)防。
1、 對(duì)指紋系統(tǒng)硬件設(shè)備和系統(tǒng)設(shè)施進(jìn)行安全防護(hù)
(1)系統(tǒng)服務(wù)器安全:服務(wù)器是指紋系統(tǒng)的大腦和神經(jīng)中樞,一旦服務(wù)器或硬盤有故障,輕者將導(dǎo)致系統(tǒng)的中斷,重者可能導(dǎo)致系統(tǒng)癱瘓或指紋數(shù)據(jù)丟失,因此在服務(wù)器端,可以采用雙機(jī)熱備份+異機(jī)備份方案。論文大全。在主服務(wù)器發(fā)生故障的情況下,備份服務(wù)器自動(dòng)在 30 秒 內(nèi)將所有服務(wù)接管過(guò)來(lái),從而保證整個(gè)指紋系統(tǒng)不會(huì)因?yàn)榉?wù)器發(fā)生故障而影響到系統(tǒng)的正常運(yùn)行,確保系統(tǒng) 24小時(shí)不間斷運(yùn)行。在磁盤陣列柜,我們可安裝多塊服務(wù)器硬盤, 用其中一塊硬盤做備份,這樣可保證在其它硬盤發(fā)生故障時(shí),直接用備份硬盤進(jìn)行替換。
(2)異機(jī)數(shù)據(jù)備份:為防止單點(diǎn)故障(如磁盤陣列柜故障)的出現(xiàn),可以另設(shè)一個(gè)備份服務(wù)器為,并給它的服務(wù)設(shè)置一個(gè)定時(shí)任務(wù),在定置任務(wù)時(shí),設(shè)定保存兩天的備份數(shù)據(jù),這樣可保證當(dāng)某天指紋數(shù)據(jù)備份過(guò)程中出現(xiàn)故障時(shí)也能進(jìn)行指紋數(shù)據(jù)的安全恢復(fù)。通過(guò)異機(jī)備份,即使出現(xiàn)不可抗拒、意外事件或人為破壞等毀滅性災(zāi)難時(shí),也不會(huì)導(dǎo)致指紋信息的丟失,并可保證在1小時(shí)內(nèi)將指紋數(shù)據(jù)恢復(fù)到最近狀態(tài)下,使損失降到最低。
(3)電路供應(yīng):中心機(jī)房電源盡量做到專線專供,同時(shí)采用UPS(不間斷電源),部分非窗口計(jì)算機(jī)采用300 W 延時(shí)20分鐘的 UPS進(jìn)行備用,這樣可保證主服務(wù)器和各服務(wù)窗口工作站不會(huì)因電源故障而造成指紋信息的丟失或系統(tǒng)的癱瘓。
(4)避雷系統(tǒng):由于通信設(shè)備尤其是裸露于墻體外的線路,易受雷擊等強(qiáng)電磁波影響而導(dǎo)致接口燒壞,為對(duì)整個(gè)系統(tǒng)進(jìn)行防雷保護(hù),分別對(duì)中心機(jī)房、主交換機(jī)、各分交換機(jī)和各工作站進(jìn)行了分層次的防護(hù)。
(5)主機(jī)房的防盜、防火、防塵:主機(jī)房是系統(tǒng)中心,一旦遭到破壞將帶來(lái)不可估量的損失,可以安裝防盜門,或安排工作人員24小時(shí)值班。同時(shí),由于服務(wù)器、交換機(jī)均屬于高精密儀器,對(duì)防塵要求很高,所以對(duì)主機(jī)房進(jìn)行裝修時(shí)應(yīng)鋪上防靜電地板,準(zhǔn)備好(電火)滅火器,安裝上空調(diào), 以保證機(jī)房的恒溫,并派專人對(duì)主機(jī)房的衛(wèi)生、防塵等具體負(fù)責(zé)。論文大全。
(6)對(duì)移動(dòng)存儲(chǔ)器,借出時(shí)要寫保護(hù),借入時(shí)要先殺毒;
(7)不使用盜版或來(lái)歷不明的軟件,做到專機(jī)專用,在公安內(nèi)網(wǎng)的機(jī)器不準(zhǔn)聯(lián)到互聯(lián)網(wǎng)上使用;
2 、 全方位的系統(tǒng)防御機(jī)制
我們常說(shuō)“病從口入”所以要做到防患于未然,必須切斷計(jì)算機(jī)病毒的傳播途徑,具體的預(yù)防措施如下:
(1)利用防病毒技術(shù)來(lái)阻止病毒的傳播與發(fā)作。
為了使系統(tǒng)免受病毒所造成的損失,采用多層的病毒防衛(wèi)體系。在每臺(tái)PC機(jī)上安裝單機(jī)版反病毒軟件,在服務(wù)器上安裝基于服務(wù)器的反病毒軟件,并在網(wǎng)關(guān)上安裝基于網(wǎng)關(guān)的反病毒軟件。因?yàn)榉乐共《镜墓羰敲總€(gè)工作人員的責(zé)任,人人都要做到自己使用的臺(tái)式機(jī)上不受病毒的感染,從而保證整個(gè)指紋系統(tǒng)不受病毒的感染。
(2)應(yīng)用防火墻技術(shù)來(lái)控制訪問(wèn)權(quán)限。
作為指紋系統(tǒng)內(nèi)部網(wǎng)絡(luò)與外部公安網(wǎng)絡(luò)之間的第一道屏障,防火墻是最先受到重視的網(wǎng)絡(luò)安全產(chǎn)品之一。雖然從理論上看,防火墻處于網(wǎng)絡(luò)安全的最底層,負(fù)責(zé)網(wǎng)絡(luò)間的安全認(rèn)證與傳輸,但隨著公安網(wǎng)絡(luò)安全技術(shù)的整體發(fā)展和公安工作中網(wǎng)絡(luò)應(yīng)用的不斷變化,現(xiàn)代防火墻技術(shù)已經(jīng)逐步走向網(wǎng)絡(luò)層之外的其他安全層次,不僅要完成傳統(tǒng)防火墻的過(guò)濾任務(wù),同時(shí)還能為各種網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。 在系統(tǒng)出口處安裝防火墻后,系統(tǒng)內(nèi)部與外部網(wǎng)絡(luò)進(jìn)行了有效的隔離,所有來(lái)自外部的訪問(wèn)請(qǐng)求都要通過(guò)防火墻的檢查,這樣系統(tǒng)的安全有了很大的提高。論文大全。防火墻可以通過(guò)源地址過(guò)濾,拒絕非法IP 地址,有效避免公安網(wǎng)上與指紋工作無(wú)關(guān)的主機(jī)的越權(quán)訪問(wèn);防火墻可以只保留有用的服務(wù),將其他不需要的服務(wù)關(guān)閉,這樣做可以將系統(tǒng)受攻擊的可能性降低到最小限度,使非法用戶無(wú)機(jī)可乘;防火墻可以制定訪問(wèn)策略,只有被授權(quán)的外部主機(jī)才可以訪問(wèn)系統(tǒng)的有限IP地址,保證其它用戶只能訪問(wèn)系統(tǒng)的必要資源,與指紋工作無(wú)關(guān)的操作將被拒絕;由于所有訪問(wèn)都要經(jīng)過(guò)防火墻,所以防火墻可以全面監(jiān)視對(duì)系統(tǒng)的訪問(wèn)活動(dòng),并進(jìn)行詳細(xì)的記錄,通過(guò)分析可以發(fā)現(xiàn)可疑的攻擊行為;防火墻可以進(jìn)行地址轉(zhuǎn)換工作,使外部用戶不能看到系統(tǒng)內(nèi)部的結(jié)構(gòu),使攻擊失去目標(biāo)。
(3)應(yīng)用入侵檢測(cè)技術(shù)及時(shí)發(fā)現(xiàn)攻擊苗頭。
入侵檢測(cè)系統(tǒng)是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)能力之所以重要是因?yàn)樗軌驅(qū)Ω秮?lái)自系統(tǒng)內(nèi)外的攻擊,縮短入侵的時(shí)間。
(4)應(yīng)用安全掃描技術(shù)主動(dòng)探測(cè)系統(tǒng)安全漏洞,進(jìn)行系統(tǒng)安全評(píng)估與安全加固。安全掃描技術(shù)與防火墻、入侵檢測(cè)系統(tǒng)互相配合,能夠有效提高指紋系統(tǒng)的安全性。通過(guò)對(duì)系統(tǒng)的掃描,系統(tǒng)管理員可以了解系統(tǒng)的安全配置和運(yùn)行的應(yīng)用服務(wù),及時(shí)發(fā)現(xiàn)安全漏洞,客觀評(píng)估系統(tǒng)風(fēng)險(xiǎn)等級(jí)。系統(tǒng)管理員也可以根據(jù)掃描的結(jié)果及時(shí)消除系統(tǒng)安全漏洞和更正系統(tǒng)中的錯(cuò)誤配置,在非法用戶攻擊前進(jìn)行防范。
(5)應(yīng)用系統(tǒng)安全緊急響應(yīng)體系,防范安全突發(fā)事件。
指紋系統(tǒng)安全作為一項(xiàng)動(dòng)態(tài)工程,意味著它的安全程度會(huì)隨著時(shí)間的變化而發(fā)生改變。 在信息技術(shù)日新月異的今天,即使昔日固若金湯的系統(tǒng)安全策略,也難免會(huì)隨著時(shí)間和環(huán)境的變化,變得不堪一擊。因此,我們需要隨時(shí)間和系統(tǒng)環(huán)境的變化或技術(shù)的發(fā)展而不斷調(diào)整自身的安全策略,并及時(shí)組建系統(tǒng)安全緊急響應(yīng)體系,專人負(fù)責(zé),防范安全突發(fā)事件。
參考文獻(xiàn):
[1] JonathanPBowen,Kirill Bogdanov,et al.FORTEST: formal methods andtesting.In:26thInternational Computer Software and Applications Conference(COMPSAC 2002).Prolonging Software Life: Development and Redevelopment,England:Oxford,August 2002.91~104
[2] J Dick, AFaivre.Automating the generation and sequencing of test cases frommodel-basedspecifications.In:Proceedings of FME’93, Industrial-StrengthFormal Methods,Odense Denmark, Springer-Verlag.Lecture Notes in ComputerScience,1993,670:268~284
[3] 張 敏,徐 震,馮登國(guó).基于安全策略模型的安全功能測(cè)試用例生成方法,軟件學(xué)報(bào)(已投稿),2006
[4] 何永忠.DBMS安全策略模型的研究:[博士學(xué)位論文],北京市石景山區(qū)玉泉路19號(hào)(甲):中國(guó)科學(xué)院研究生院,2005
[5] National Computer Security Center,A guide to understanding security models intrusted Systems,NCSC-TG-010,1992
[6]蔣平.計(jì)算機(jī)犯罪問(wèn)題研究[M].北京:電子工業(yè)出版社,2002.
[7]高銘喧.新編中國(guó)刑法學(xué)[M].北京:中國(guó)科學(xué)技術(shù)出版社,2000.
[8]朱廣艷. 信息技術(shù)與課程整合的發(fā)展與實(shí)踐[J]. 中國(guó)電化教育,2003(194):8- 10.
[9]黃叔武 劉建新 計(jì)算機(jī)網(wǎng)絡(luò)教程 清華大學(xué)出版社 2004年11 月
[10]戴紅 王海泉 黃堅(jiān) 計(jì)算機(jī)網(wǎng)絡(luò)安全 電子工業(yè)出版社2004.9.8
[11]丁志芳, 徐夢(mèng)春. 評(píng)說(shuō)防火墻和入侵檢測(cè)[J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用, 2004,(4):37- 41.
[12]周國(guó)民. 黑客蘇南與用戶防御[J].計(jì)算機(jī)安全, 2005,(7):72-74.
[13]周筱連. 計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)[J].電腦知識(shí)與技術(shù)( 學(xué)術(shù)交流) ,2007,(1).
[14]阿星. 網(wǎng)絡(luò)安全不容忽視[J]. 電腦采購(gòu)周刊, 2002,(32).
[15]網(wǎng)絡(luò)安全新概念[J].計(jì)算機(jī)與網(wǎng)絡(luò), 2004,(7).
[16]王銳. 影響網(wǎng)絡(luò)安全的因素及需要考慮的問(wèn)題[J]. 計(jì)算機(jī)教育, 2005,(1).
【關(guān)鍵詞】防火墻 網(wǎng)絡(luò)安全 控制程序 測(cè)試方案
隨著網(wǎng)絡(luò)安全市場(chǎng)的打開,越來(lái)越多的公司加入到網(wǎng)絡(luò)安全軟件、硬件開發(fā)行列中,市場(chǎng)上就開始出現(xiàn)各類防火墻,其基本原理也就是通過(guò)源地址、目標(biāo)地址互聯(lián)安全控制來(lái)達(dá)到目的主機(jī)的安全。是否到達(dá)這個(gè)終極目標(biāo)、以及防火墻在強(qiáng)力攻擊之下能否還能穩(wěn)定運(yùn)行,規(guī)則判斷能否準(zhǔn)確而無(wú)誤執(zhí)行等,這些是需要經(jīng)過(guò)嚴(yán)密的測(cè)試與檢驗(yàn)才可以得出結(jié)論。只用通過(guò)嚴(yán)格檢驗(yàn),才能保證核心系統(tǒng)與主機(jī)的安全,所以測(cè)試對(duì)于產(chǎn)品檢驗(yàn)來(lái)說(shuō)是致關(guān)重要。
1 防火墻功簡(jiǎn)介
1.1 防火墻信息安全與屬性
防火墻作為企業(yè)內(nèi)外網(wǎng)中間安全監(jiān)測(cè)點(diǎn),為了實(shí)現(xiàn)數(shù)據(jù)通信安全審查與訪問(wèn)的隔離,防火墻就必須具備如下幾個(gè)功能:
(1)通過(guò)地址訪問(wèn)控制,執(zhí)行本地網(wǎng)絡(luò)安全策略。
(2)防火墻自身的安全性保障,該功能是防火墻本身需要具備的重要一個(gè)原則。
(3)對(duì)網(wǎng)絡(luò)中的各種行為提供日志和統(tǒng)計(jì)功能。
(4)防火墻的效率和可用性,其執(zhí)行效率直接影響內(nèi)外網(wǎng)的通信效率和。
(5)能提供統(tǒng)一、集中的網(wǎng)絡(luò)安全和管理。
1.2 防火墻核心參數(shù)與測(cè)試方法
吞吐量:吞吐量主要體現(xiàn)防火墻數(shù)據(jù)轉(zhuǎn)發(fā)能力,測(cè)試防火墻吞吐量主要通過(guò)試儀端口數(shù)量進(jìn)行體現(xiàn),測(cè)試中涉及的配置情況包括:透明模式,路由模式,配置NAT,配置policy,配置AV掃描,配置QoS等。一般情況下設(shè)備在配置大量policy的情況下的吞吐量不會(huì)有太大變化。在配置雙向或者單向NAT后吞吐量大約是路由模式的98%左右。透明模式的吞吐量大約是路由模式吞吐量的80%左右。
時(shí)延:時(shí)延所測(cè)試的是系統(tǒng)處理數(shù)據(jù)包所需要的時(shí)間。防火墻的時(shí)延測(cè)試的是其存儲(chǔ)轉(zhuǎn)發(fā)(Store and Forward)的性能(另一種是Cut and Through)。時(shí)延的測(cè)試通常會(huì)選用測(cè)試儀所對(duì)應(yīng)的RFC測(cè)試套件進(jìn)行測(cè)試。
丟包率:丟包率是測(cè)試系統(tǒng)在一定負(fù)載的情況下丟包數(shù)量多少的測(cè)試。測(cè)試的意義在于通過(guò)過(guò)載的流量來(lái)考查對(duì)設(shè)備正常轉(zhuǎn)發(fā)性能的影響。包率的測(cè)試通常會(huì)選用測(cè)試儀所對(duì)應(yīng)的RFC測(cè)試套件進(jìn)行測(cè)試。
系統(tǒng)恢復(fù)時(shí)間:系統(tǒng)恢復(fù)時(shí)間的測(cè)試包括:系統(tǒng)重起的時(shí)間測(cè)試,系統(tǒng)斷電重起的時(shí)間測(cè)試,HA倒換時(shí)間測(cè)試,HA恢復(fù)時(shí)間測(cè)試,系統(tǒng)過(guò)載恢復(fù)測(cè)試(這個(gè)一般很少見),在HA倒換時(shí)間測(cè)試中測(cè)試包括主->備切換時(shí)間測(cè)試,備->主恢復(fù)時(shí)間測(cè)試。通用的測(cè)試方法為:使用測(cè)試儀發(fā)送恒定速率的流量穿過(guò)DUT,DUT進(jìn)行reset,或者斷電操作,直到流量恢復(fù)正常?;謴?fù)時(shí)間=丟包數(shù)量/發(fā)包速率。另外一種測(cè)試方法是通過(guò)ping包丟棄的數(shù)量來(lái)衡量倒換的時(shí)間
2 防火墻強(qiáng)測(cè)試方案設(shè)計(jì)
2.1 防火墻性能測(cè)試架構(gòu)
性能測(cè)試部分主要利用SmartBits6000B專業(yè)測(cè)試儀,依照RFC2544定義的規(guī)范,對(duì)防火墻的吞吐量、延遲和丟包率三項(xiàng)重要指標(biāo)進(jìn)行驗(yàn)證。在性能測(cè)試中,需要綜合驗(yàn)證防火墻橋接模式的性能表現(xiàn),其拓?fù)鋱D采用圖1所示方案。
吞吐量測(cè)試是測(cè)試防火墻在正常工作時(shí)的數(shù)據(jù)傳輸處理能力的重要指標(biāo),更高的吞吐量使得防火墻更能適用于網(wǎng)絡(luò)核心層對(duì)流量要求很高的網(wǎng)絡(luò)環(huán)境,使防火墻不會(huì)成為網(wǎng)絡(luò)的性能瓶頸,不會(huì)影響正常的業(yè)務(wù)通訊。單條規(guī)則,2GE,1G雙向流量測(cè)試 無(wú)小包加速結(jié)果。(吞吐量測(cè)試結(jié)果)幀長(zhǎng)(字節(jié))分別為64,128,256,512,1024,1280,1518。分別得到橋接模式雙向零丟包率吞吐率(%) 為14.48,25.87,45.10,87.50,100,100,100。
2.2 防火墻壓力仿真測(cè)試
考慮到防火墻在實(shí)際應(yīng)用中的復(fù)雜性,在本次的測(cè)試方案中,我們需要進(jìn)行壓力仿真測(cè)試,模擬實(shí)際應(yīng)用的復(fù)雜度??紤]到測(cè)試時(shí)間及測(cè)試環(huán)境的限制,壓力測(cè)試選取以下最為重要的幾點(diǎn)進(jìn)行,本次測(cè)試進(jìn)行防火墻橋接模式的驗(yàn)證,拓?fù)鋱D采取以下方案。本次測(cè)試以100條控制規(guī)則壓力為前提進(jìn)行,性能考慮吞吐量和延遲和丟包率。單機(jī)吞吐率(100條規(guī)則,2個(gè)GE口,1Gbps雙向流量測(cè)試 無(wú)小包加速結(jié)果)。(單機(jī)吞吐量)幀長(zhǎng)(字節(jié))為64,128,256,512,1024,1280,1518;分別得到橋接模式雙向零丟包率,壓力吞吐率(%)為14.48,25.87,45.10,79.17,100,100,100。
3 結(jié)束語(yǔ)
防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全體系的重要設(shè)備,其目的是要在內(nèi)部、外部?jī)蓚€(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn),通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制,系統(tǒng)測(cè)試從穩(wěn)定性、可靠性、安全性及性能表現(xiàn)等多方面綜合驗(yàn)證防火墻的技術(shù)指標(biāo)。
參考文獻(xiàn)
[1]沈偉峰,陳維均.基于防火墻的構(gòu)建[J].微型電腦應(yīng)用,2012,17(1):23-25.
[2]黃力,謝翠蘭.多線程防火墻過(guò)濾模塊的設(shè)計(jì)與實(shí)現(xiàn)[J].廣西民族大學(xué)學(xué)報(bào):自然科學(xué)版,2011(1):70-74.
[3]王永強(qiáng),劉世棟,戴浩.入侵檢測(cè)系統(tǒng)測(cè)試方法的缺陷與建議[J].信息網(wǎng)絡(luò)安全,2013(12):24-26.
作者簡(jiǎn)介
朱軍紅,男,甘肅省平?jīng)鍪腥恕,F(xiàn)為中國(guó)石油東方公司研究院長(zhǎng)慶分院工程師,從事計(jì)算機(jī)系統(tǒng)維護(hù)工作。
論文摘要:隨著網(wǎng)絡(luò)在社會(huì)生活中不斷普及,網(wǎng)絡(luò)安全問(wèn)題越來(lái)越顯得重要。當(dāng)因特網(wǎng)以變革的方式提供信息檢索與能力的同時(shí),也以變革的方式帶來(lái)信息污染與破壞的危險(xiǎn)。對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全保護(hù)模式與安全保護(hù)策略進(jìn)行探討。
計(jì)算機(jī)網(wǎng)絡(luò)最重要的資源是它所提供的服務(wù)及所擁有的信息,計(jì)算機(jī)網(wǎng)絡(luò)的安全性可以定義為保障網(wǎng)絡(luò)服務(wù)的可用性和網(wǎng)絡(luò)信息的完整性。為了有效保護(hù)網(wǎng)絡(luò)安全,應(yīng)選擇合適的保護(hù)模式。
1 安全保護(hù)模式
為盡量減少和避免各種外來(lái)侵襲的安全模式有以下幾種類型:
1.1 無(wú)安全保護(hù)。最簡(jiǎn)單的安全保護(hù)模式是完全不實(shí)施任何安全機(jī)制,按銷售商所提供的最小限度安全運(yùn)行。這是最消極的一種安全保護(hù)模式。
1.2 模糊安全保護(hù)。另一種安全保護(hù)模式通常稱之為“模糊安全保護(hù)”,采用這種模式的系統(tǒng)總認(rèn)為沒(méi)有人會(huì)知道它的存在、目錄、安全措施等,因而它的站點(diǎn)是安全的。但是實(shí)際上對(duì)這樣的一個(gè)站點(diǎn),可以有很多方法查找到它的存在。站點(diǎn)的防衛(wèi)信息是很容易被人知道的。在主機(jī)登錄信息中了解到系統(tǒng)的硬件和軟件以及使用的操作系統(tǒng)等信息后,一個(gè)入侵者就能由此試一試安全漏洞的重要線索。入侵者一般有足夠多的時(shí)間和方法來(lái)收集各種信息,因此這種模式也是不可取的。
1.3 主機(jī)安全保護(hù)。主機(jī)安全模式可能是最普通的種安全模式而被普遍采用,主機(jī)安全的目的是加強(qiáng)對(duì)每一臺(tái)主機(jī)的安全保護(hù),在最大程度上避免或者減少已經(jīng)存在的可能影響特定主機(jī)安全的問(wèn)題。
在現(xiàn)代的計(jì)算機(jī)環(huán)境中,主機(jī)安全的主要障礙就是環(huán)境復(fù)雜多變性。不同品牌的計(jì)算機(jī)有不同的商,同一版本操作系統(tǒng)的機(jī)器,也會(huì)有不同的配置、不同的服務(wù)以及不同的子系統(tǒng)。這就得要作大量的前期工作和后期保障上作,以維護(hù)所有機(jī)器的安全保護(hù),而且機(jī)器越多安全問(wèn)題也就越復(fù)雜。即使所有工作都正確地執(zhí)行了,主機(jī)保護(hù)還會(huì)由于軟件缺陷或缺乏合適功能和安全的軟件而受到影響。
1.4 網(wǎng)絡(luò)安全保護(hù)。由于環(huán)境變得大而復(fù)雜,主機(jī)安全模式的實(shí)施也變得愈來(lái)愈困難。有更多的站點(diǎn)開始采用網(wǎng)絡(luò)安全保護(hù)模式。用這種安全保護(hù)模式解決如何控制主機(jī)的網(wǎng)絡(luò)通道和它們所提供的服務(wù)比對(duì)逐個(gè)主機(jī)進(jìn)行保護(hù)更有效。現(xiàn)在一般采用的網(wǎng)絡(luò)安全手段包括:構(gòu)建防火墻保護(hù)內(nèi)部系統(tǒng)與網(wǎng)絡(luò),運(yùn)用可靠的認(rèn)證方法(如一次性口令),使用加密來(lái)保護(hù)敏感數(shù)據(jù)在網(wǎng)絡(luò)上運(yùn)行等。
在用防火墻解決網(wǎng)絡(luò)安全保護(hù)的同時(shí),也決不應(yīng)忽視主機(jī)自身的安全保護(hù)。應(yīng)該采用盡可能強(qiáng)的主機(jī)安全措施保護(hù)大部分重要的機(jī)器,尤其是互聯(lián)網(wǎng)直接連接的機(jī)器,防止不是來(lái)自因特網(wǎng)侵襲的安全問(wèn)題在內(nèi)部機(jī)器上發(fā)生。上面討論了各種安全保護(hù)模式,但沒(méi)有一種模式可以解決所有的問(wèn)題,也不存在一種安全模式可以解決好網(wǎng)絡(luò)的管理問(wèn)題。安全保護(hù)不能防止每一個(gè)單個(gè)事故的出現(xiàn),它卻可以減少或避免事故的嚴(yán)重?fù)p失,甚至工作的停頓或終止。
2 安全保護(hù)策略
所謂網(wǎng)絡(luò)安全保護(hù)策略是指一個(gè)網(wǎng)絡(luò)中關(guān)于安全問(wèn)題采取的原則、對(duì)安全使用的要求以及如何保護(hù)網(wǎng)絡(luò)的安全運(yùn)行。以下是加強(qiáng)因特網(wǎng)安全保護(hù)措施所采取的幾種基本策略。
2.1 最小特權(quán)。這是最基本的安全原則。最小特權(quán)原則意味著系統(tǒng)的任一對(duì)象(無(wú)論是用戶、管理員還是程序、系統(tǒng)等),應(yīng)該僅具有它需要履行某些特定任務(wù)的那些特權(quán)。最小特權(quán)原則是盡量限制系統(tǒng)對(duì)侵入者的暴露并減少因受特定攻擊所造成的破壞。
在因特網(wǎng)環(huán)境下,最小特權(quán)原則被大量運(yùn)用。在保護(hù)站點(diǎn)而采取的一些解決方法中也使用了最小將權(quán)原理,如數(shù)據(jù)包過(guò)濾被設(shè)計(jì)成只允許需要的服務(wù)進(jìn)入。在試圖執(zhí)行最小特權(quán)時(shí)要注意兩個(gè)問(wèn)題:一是要確認(rèn)已經(jīng)成功地裝備了最小特權(quán),二是不能因?yàn)樽钚√貦?quán)影響了用戶的正常工作。
2.2 縱深防御??v深防御是指應(yīng)該建立多種機(jī)制而不要只依靠一種安全機(jī)制進(jìn)行有效保護(hù),這也是一種基本的安全原則。防火墻是維護(hù)網(wǎng)絡(luò)系統(tǒng)安全的有效機(jī)制,但防火墻并不是因特網(wǎng)安全問(wèn)題的完全解決辦法。任何安全的防火墻,都存在會(huì)遇到攻擊破壞的風(fēng)險(xiǎn)。但可以采用多種機(jī)制互相支持,提供有效冗余的辦法,這包括安全防御(建立防火墻)、主機(jī)安全(采用堡壘主機(jī))以及加強(qiáng)安全教育和系統(tǒng)安全管理等。防火墻也可以采用多層結(jié)構(gòu)。如使用有多個(gè)數(shù)據(jù)包過(guò)濾器的結(jié)構(gòu),各層的數(shù)據(jù)包過(guò)濾系統(tǒng)可以做不同的事情,過(guò)濾不同的數(shù)據(jù)包等。在開銷不大的情況下,要盡可能采用多種防御手段。
2.3 阻塞點(diǎn)。所謂阻塞點(diǎn)就是可以對(duì)攻擊者進(jìn)行監(jiān)視和控制的一個(gè)窄小通道。在網(wǎng)絡(luò)中,個(gè)站點(diǎn)與因特網(wǎng)之間的防火墻(假定它是站點(diǎn)與因特網(wǎng)之間的唯一連接)就是一個(gè)這樣的阻塞點(diǎn)。任何想從因特網(wǎng)上攻擊這個(gè)站點(diǎn)的侵襲者必須經(jīng)過(guò)這個(gè)通道。用戶就可以在阻塞點(diǎn)上仔細(xì)觀察各種侵襲并及時(shí)做出反應(yīng)。但是如果攻擊者采用其他合法的方法通過(guò)阻塞點(diǎn),這時(shí)阻塞點(diǎn)則失去了作用。在網(wǎng)絡(luò)上,防火墻并不能阻止攻擊者通過(guò)很多線路的攻擊。
2.4 防御多樣化。在使用相同安全保護(hù)系統(tǒng)的網(wǎng)絡(luò)中,知道如何侵入一個(gè)系統(tǒng)也就知道了如何侵入整個(gè)系統(tǒng)。防御多樣化是指使用大量不同類型的安全系統(tǒng),可以減少因一個(gè)普通小錯(cuò)誤或配置錯(cuò)誤而危及整個(gè)系統(tǒng)的可能,從而得到額外的安全保護(hù)。但這也會(huì)由于不同系統(tǒng)的復(fù)雜性不同而花費(fèi)額外的時(shí)間與精力。
3 防火墻
防火墻原是建筑物大廈設(shè)計(jì)中用來(lái)防止火勢(shì)從建筑物的一部分蔓延到另一部分的設(shè)施。與之類似,作為一種有效的網(wǎng)絡(luò)安全機(jī)制,網(wǎng)絡(luò)防火墻的作用是防止互聯(lián)網(wǎng)的危險(xiǎn)波及到內(nèi)部網(wǎng)絡(luò),它是在內(nèi)部網(wǎng)與外部網(wǎng)之間實(shí)施安全防范,控制外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間服務(wù)訪問(wèn)的系統(tǒng)。但必須指出的是防火墻并不能防止站點(diǎn)內(nèi)部發(fā)生的問(wèn)題。防火墻的作用是:限制人們從一個(gè)嚴(yán)格控制的點(diǎn)進(jìn)入;防止進(jìn)攻者接近其他的防御設(shè)備;限制人們從一個(gè)嚴(yán)格控制的點(diǎn)離開。防火墻的優(yōu)點(diǎn):1)強(qiáng)化安全策略:在眾多的因特網(wǎng)服務(wù)中,防火墻可以根據(jù)其安全策略僅僅容許“認(rèn)可的”和符合規(guī)則的服務(wù)通過(guò),并可以控制用戶及其權(quán)力。2)記錄網(wǎng)絡(luò)活動(dòng):作為訪問(wèn)的唯一站點(diǎn),防火墻能收集記錄在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間傳輸?shù)年P(guān)于系統(tǒng)和網(wǎng)絡(luò)使用或誤用的信息。3)限制用戶暴露:防火墻能夠用來(lái)隔開網(wǎng)絡(luò)中的一個(gè)網(wǎng)段與另一個(gè)網(wǎng)段,防止影響局部網(wǎng)絡(luò)安全的問(wèn)題可能會(huì)對(duì)全局網(wǎng)絡(luò)造成影響。4)集中安全策略:作為信息進(jìn)出網(wǎng)絡(luò)的檢查點(diǎn),防火墻將網(wǎng)絡(luò)安全防范策略集中于一身,為網(wǎng)絡(luò)安全起了把關(guān)作用。
參考文獻(xiàn):
[1]靳攀,互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全管理與防護(hù)策略分析[J].北京工業(yè)職業(yè)技術(shù)學(xué)院學(xué)報(bào),2008,(03).
[2]趙薇娜,網(wǎng)絡(luò)安全技術(shù)與管理措施的探討[J].才智,2008,(10).
隨著信息技術(shù)在貿(mào)易和商業(yè)領(lǐng)域的廣泛應(yīng)用,利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信技術(shù)和因特網(wǎng)實(shí)現(xiàn)商務(wù)活動(dòng)的國(guó)際化、信息化和無(wú)紙化,已成為各國(guó)商務(wù)發(fā)展的一大趨勢(shì)。電子商務(wù)正是為了適應(yīng)這種以全球?yàn)槭袌?chǎng)的的變化而出現(xiàn)的和發(fā)展起來(lái)的,它是當(dāng)今社會(huì)發(fā)展最快的領(lǐng)域之一,同時(shí)也為全球的經(jīng)濟(jì)發(fā)展帶來(lái)新的增長(zhǎng)點(diǎn)。電子商務(wù)正在改變著人們的生活以及整個(gè)社會(huì)的發(fā)展進(jìn)程,貿(mào)易網(wǎng)絡(luò)將引起人們對(duì)管理模式、工作和生活方式,乃至經(jīng)營(yíng)管理思維方式等等的綜合革新。對(duì)貿(mào)易和商業(yè)領(lǐng)域來(lái)說(shuō),電子商務(wù)的發(fā)展正在改變著傳統(tǒng)的貿(mào)易方式,縮減交易程序,提高辦事效率?,F(xiàn)在,許多網(wǎng)站都提供有“商城”,供網(wǎng)民在網(wǎng)上購(gòu)物。可以說(shuō),電子商務(wù)應(yīng)用將越來(lái)越普及。然而,隨著Internet逐漸發(fā)展成為電子商務(wù)的最佳載體,互聯(lián)網(wǎng)具有充分開放,不設(shè)防護(hù)的特點(diǎn)使加強(qiáng)電子商務(wù)的安全問(wèn)題日益緊迫,只有在全球范圍建立一套人們能充分信任的安全保障制度,確保信息的真實(shí)性、可靠性和保密性,才能夠打消人們的顧慮,放心的參與電子商務(wù)。否則,電子商務(wù)的發(fā)展將失去其支撐點(diǎn)。
要加強(qiáng)電子商務(wù)的安全,需要企業(yè)本身采取更為嚴(yán)格的管理措施,需要國(guó)家建立健全法律制度,更需要有科學(xué)的先進(jìn)的安全技術(shù)。
在電子商務(wù)的交易中,經(jīng)濟(jì)信息、資金都要通過(guò)網(wǎng)絡(luò)傳輸,交易雙方的身份也需要認(rèn)證,因此,電子商務(wù)的安全性主要是網(wǎng)絡(luò)平臺(tái)的安全和交易信息的安全。而網(wǎng)絡(luò)平臺(tái)的安全是指網(wǎng)絡(luò)操作系統(tǒng)對(duì)抗網(wǎng)絡(luò)攻擊、病毒,使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運(yùn)行。常用的保護(hù)措施有防火墻技術(shù)、網(wǎng)絡(luò)入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)防毒技術(shù)。交易信息的安全是指保護(hù)交易雙方的不被破壞、不泄密,和交易雙方身份的確認(rèn)??梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術(shù)來(lái)保護(hù)。
在這里我想重點(diǎn)談?wù)劮阑饓夹g(shù)和數(shù)據(jù)加密技術(shù)。
一、防火墻技術(shù)。
防火墻就是在網(wǎng)絡(luò)邊界上建立相應(yīng)的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來(lái)保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實(shí)際上,防火墻是加強(qiáng)Intranet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它由一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來(lái)自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過(guò)防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件、文件傳輸、遠(yuǎn)程登錄、在特定的系統(tǒng)間進(jìn)行信息交換等安全的作用。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分,它通過(guò)控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問(wèn)行為來(lái)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。從總體上看,防火墻應(yīng)該具有以下五大基本功能:(1)過(guò)濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù);(2)管理進(jìn)、出網(wǎng)絡(luò)的訪問(wèn)行為;(3)封堵某些禁止行為;(4)記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng);(5)對(duì)網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和告警。
新一代的防火墻產(chǎn)品一般運(yùn)用了以下技術(shù):
(1)透明的訪問(wèn)方式。
以前的防火墻在訪問(wèn)方式上要么要求用戶做系統(tǒng)登錄,要么需要通過(guò)SOCKS等庫(kù)路徑修改客戶機(jī)的應(yīng)用。而現(xiàn)在的防火墻利用了透明的系統(tǒng)技術(shù),從而降低了系統(tǒng)登錄固有的安全風(fēng)險(xiǎn)和出錯(cuò)概率。
(2)靈活的系統(tǒng)。
系統(tǒng)是一種將信息從防火墻的一側(cè)傳送到另一側(cè)的軟件模塊。采用兩種機(jī)制:一種用于從內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的連接;另一種用于從外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接。前者采用網(wǎng)絡(luò)地址轉(zhuǎn)接(NIT)技術(shù)來(lái)解決,后者采用非保密的用戶定制或保密的系統(tǒng)技術(shù)來(lái)解決。
(3)多級(jí)過(guò)濾技術(shù)。
為保證系統(tǒng)的安全性和防護(hù)水平,防火墻采用了三級(jí)過(guò)濾措施,并輔以鑒別手段。在分組過(guò)濾一級(jí),能過(guò)濾掉所有的源路由分組和假冒IP地址;在應(yīng)用級(jí)網(wǎng)關(guān)一級(jí),能利用FTP、SMTP等各種網(wǎng)關(guān),控制和監(jiān)測(cè)Internet提供的所有通用服務(wù);在電路網(wǎng)關(guān)一級(jí),實(shí)現(xiàn)內(nèi)部主機(jī)與外部站點(diǎn)的透膽連接,并對(duì)服務(wù)的通行實(shí)行嚴(yán)格控制。
(4)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)。
防火墻利用NAT技術(shù)能透明地對(duì)所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡(luò)無(wú)法了解內(nèi)部網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu),同時(shí)允許內(nèi)部網(wǎng)絡(luò)使用自己編的IP源地址和專用網(wǎng)絡(luò),防火墻能詳盡記錄每一個(gè)主機(jī)的通信,確保每個(gè)分組送往正確的地址。
(5)Internet網(wǎng)關(guān)技術(shù)。
由于是直接串聯(lián)在網(wǎng)絡(luò)之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務(wù),同時(shí)還要防止與Internet服務(wù)有關(guān)的安全漏洞,故它要能夠以多種安全的應(yīng)用服務(wù)器(包括FTP、Finger、mail、Ident、News、WWW等)來(lái)實(shí)現(xiàn)網(wǎng)關(guān)功能。為確保服務(wù)器的安全性,對(duì)所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務(wù)方面,新一代防火墻采用兩種獨(dú)立的域名服務(wù)器:一種是內(nèi)部DNS服務(wù)器,主要處理內(nèi)部網(wǎng)絡(luò)和DNS信息;另一種是外部DNS服務(wù)器,專門用于處理機(jī)構(gòu)內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務(wù)器只提供對(duì)有限的受保護(hù)的部分目錄的只讀訪問(wèn)。在WWW服務(wù)器中,只支持靜態(tài)的網(wǎng)頁(yè),而不允許圖形或CGI代碼等在防火墻內(nèi)運(yùn)行。在Finger服務(wù)器中,對(duì)外部訪問(wèn),防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關(guān)的系統(tǒng)信息。SMTP與POP郵件服務(wù)器要對(duì)所有進(jìn)、出防火墻的郵件做處理,并利用郵件映射與標(biāo)頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務(wù)器對(duì)用戶連接的識(shí)別做專門處理,網(wǎng)絡(luò)新聞服務(wù)則為接收來(lái)自ISP的新聞開設(shè)了專門的磁盤空間。
(6)安全服務(wù)器網(wǎng)絡(luò)(SSN)。
為了適應(yīng)越來(lái)越多的用戶向Internet上提供服務(wù)時(shí)對(duì)服務(wù)器的需要,新一代防火墻采用分別保護(hù)的策略對(duì)用戶上網(wǎng)的對(duì)外服務(wù)器實(shí)施保護(hù),它利用一張網(wǎng)卡將對(duì)外服務(wù)器作為一個(gè)獨(dú)立網(wǎng)絡(luò)處理,對(duì)外服務(wù)器既是內(nèi)部網(wǎng)絡(luò)的一部分,又與內(nèi)部網(wǎng)關(guān)完全隔離,這就是安全服務(wù)器網(wǎng)絡(luò)(SSN)技術(shù)。而對(duì)SSN上的主機(jī)既可單獨(dú)管理,也可設(shè)置成通過(guò)FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因?yàn)镾SN與外部網(wǎng)之間有防火墻保護(hù),SSN與內(nèi)部網(wǎng)之間也有防火墻的保護(hù),而DMZ只是一種在內(nèi)、外部網(wǎng)絡(luò)網(wǎng)關(guān)之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡(luò)仍會(huì)處于防火墻的保護(hù)之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡(luò)便暴露于攻擊之下。
(7)用戶鑒別與加密。
為了降低防火墻產(chǎn)品在Ielnet、FTP等服務(wù)和遠(yuǎn)程管理上的安全風(fēng)險(xiǎn),鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來(lái)作為用戶的鑒別手段,并實(shí)現(xiàn)了對(duì)郵件的加密。
(8)用戶定制服務(wù)。
為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務(wù)的同時(shí),還為用戶定制提供支持,這類選項(xiàng)有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個(gè)數(shù)據(jù)庫(kù)的,便可以利用這些支持,方便設(shè)置。
(9)審計(jì)和告警。
新一代防火墻產(chǎn)品采用的審計(jì)和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問(wèn)、告警條件、管理日志、進(jìn)站、FTP、出站、郵件服務(wù)器、域名服務(wù)器等。告警功能會(huì)守住每一個(gè)TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報(bào)警。此外,防火墻還在網(wǎng)絡(luò)診斷、數(shù)據(jù)備份保全等方面具有特色。
目前的防火墻主要有兩種類型。其一是包過(guò)濾型防火墻。它一般由路由器實(shí)現(xiàn),故也被稱為包過(guò)濾路由器。它在網(wǎng)絡(luò)層對(duì)進(jìn)入和出去內(nèi)部網(wǎng)絡(luò)的所有信息進(jìn)行分析,一般檢查數(shù)據(jù)包的IP源地址、IP目標(biāo)地址、TCP端口號(hào)、ICMP消息類型,并按照信息過(guò)濾規(guī)則進(jìn)行篩選,若符合規(guī)則,則允許該數(shù)據(jù)包通過(guò)防火墻進(jìn)入內(nèi)部網(wǎng),否則進(jìn)行報(bào)警或通知管理員,并且丟棄該包。這樣一來(lái),路由器能根據(jù)特定的劌則允許或拒絕流動(dòng)的數(shù)據(jù),如:Telnet服務(wù)器在TCP的23號(hào)端口監(jiān)聽遠(yuǎn)程連接,若管理員想阻塞所有進(jìn)入的Telnet連接,過(guò)濾規(guī)則只需設(shè)為丟棄所有的TCP端口號(hào)為23的數(shù)據(jù)包。采用這種技術(shù)的防火墻速度快,實(shí)現(xiàn)方便,但由于它是通過(guò)IP地址來(lái)判斷數(shù)據(jù)包是否允許通過(guò),沒(méi)有基于用戶的認(rèn)證,而IP地址可以偽造成可信任的外部主機(jī)地址,另外它不能提供日志,這樣一來(lái)就無(wú)法發(fā)現(xiàn)黑客的攻擊紀(jì)錄。
其二是應(yīng)用級(jí)防火墻。大多數(shù)的應(yīng)用級(jí)防火墻產(chǎn)品使用的是應(yīng)用機(jī)制,內(nèi)置了應(yīng)用程序,可用服務(wù)器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問(wèn)內(nèi)部網(wǎng),它只能到達(dá)服務(wù)器,若符合條件,服務(wù)器會(huì)到內(nèi)部網(wǎng)取出所需的信息,轉(zhuǎn)發(fā)出去。同樣道理,內(nèi)部網(wǎng)要訪問(wèn)Internet,也要通過(guò)服務(wù)器的轉(zhuǎn)接,這樣能監(jiān)控內(nèi)部用戶訪問(wèn)Internet.這類防火墻能詳細(xì)記錄所有的訪問(wèn)紀(jì)錄,但它不允許內(nèi)部用戶直接訪問(wèn)外部,會(huì)使速度變慢。且需要對(duì)每一個(gè)特定的Internet服務(wù)安裝相應(yīng)的服務(wù)器軟件,用戶無(wú)法使用未被服務(wù)器支持的服務(wù)。
防火墻技術(shù)從其功能上來(lái)分,還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術(shù)被一起使用,以彌補(bǔ)各自的缺陷和增加系統(tǒng)的安全性能。
防火墻雖然能對(duì)外部網(wǎng)絡(luò)的功擊實(shí)施有效的防護(hù),但對(duì)來(lái)自內(nèi)部網(wǎng)絡(luò)的功擊卻無(wú)能為力。網(wǎng)絡(luò)安全單靠防火墻是不夠的,還需考慮其它技術(shù)和非技術(shù)的因素,如信息加密技術(shù)、制訂法規(guī)、提高網(wǎng)絡(luò)管理使用人員的安全意識(shí)等。就防火墻本身來(lái)看,包過(guò)濾技術(shù)和訪問(wèn)模式等都有一定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內(nèi)核等。但實(shí)踐證明,防火墻仍然是網(wǎng)絡(luò)安全中最成熟的一種技術(shù)。
二、數(shù)據(jù)加密技術(shù)
在電子商務(wù)中,信息加密技術(shù)是其它安全技術(shù)的基礎(chǔ),加密技術(shù)是指通過(guò)使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個(gè)可以理解的明文形式變換成一種復(fù)雜錯(cuò)亂的、不可理解的密文形式(即加密),在線路上傳送或在數(shù)據(jù)庫(kù)中存儲(chǔ),其他用戶再將密文還原成明文(即解密),從而保障信息數(shù)據(jù)的安全性。
數(shù)據(jù)加密的方法很多,常用的有兩大類。一種是對(duì)稱加密。一種是非對(duì)稱密鑰加密。對(duì)稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點(diǎn)是加密和解密使用的是同一個(gè)密鑰。典型的代表是美國(guó)國(guó)家安全局的DES。它是IBM于1971年開始研制,1977年美國(guó)標(biāo)準(zhǔn)局正式頒布其為加密標(biāo)準(zhǔn),這種方法使用簡(jiǎn)單,加密解密速度快,適合于大量信息的加密。但存在幾個(gè)問(wèn)題:第一,不能保證也無(wú)法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設(shè)每對(duì)交易方用不同的密鑰,N對(duì)交易方需要N*(N-1)/2個(gè)密鑰,難于管理。第三,不能鑒別數(shù)據(jù)的完整性。
非對(duì)稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對(duì)數(shù)據(jù)加解密時(shí),使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對(duì)外界公開,私鑰自己保管,用公鑰加密的信息,只能用對(duì)應(yīng)的私鑰解密,同樣地,用私鑰解密的數(shù)據(jù)只能用對(duì)應(yīng)的公鑰解密。具體加密傳輸過(guò)程如下:
(1)發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。
(2)發(fā)送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。
(3)接收方乙用自己的私鑰解密,得到甲的私鑰。
(4)接收方乙用甲的公鑰解密,得到明文。
這個(gè)過(guò)程包含了兩個(gè)加密解密過(guò)程:密鑰的加解密和文件本身的加解密。在密鑰的加密過(guò)程中,由于發(fā)送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無(wú)法解密。這就保證了信息的機(jī)密性。另外,發(fā)送方甲用自己的私鑰加密信息,因?yàn)樾畔⑹怯眉椎乃借€加密,只有甲保管它,可以認(rèn)定信息是甲發(fā)出的,而且沒(méi)有甲的私鑰不能修改數(shù)據(jù)。可以保證信息的不可抵賴性。
[論文摘 要]電子商務(wù)是新興商務(wù)形式,信息安全的保障是電子商務(wù)實(shí)施的前提。本文針對(duì)電子商務(wù)活動(dòng)中存在的信息安全隱患問(wèn)題,實(shí)施保障電子商務(wù)信息安全的數(shù)據(jù)加密技術(shù)、身份驗(yàn)證技術(shù)、防火墻技術(shù)等技術(shù)性措施,完善電子商務(wù)發(fā)展的內(nèi)外部環(huán)境,促進(jìn)我國(guó)電子商務(wù)可持續(xù)發(fā)展。
隨著網(wǎng)絡(luò)的發(fā)展,電子商務(wù)的迅速崛起,使網(wǎng)絡(luò)成為國(guó)際競(jìng)爭(zhēng)的新戰(zhàn)場(chǎng)。然而,由于網(wǎng)絡(luò)技術(shù)本身的缺陷,使得網(wǎng)絡(luò)社會(huì)的脆性大大增加,一旦計(jì)算機(jī)網(wǎng)絡(luò)受到攻擊不能正常運(yùn)作時(shí),整個(gè)社會(huì)就會(huì)陷入危機(jī)。所以,構(gòu)筑安全的電子商務(wù)信息環(huán)境,愈來(lái)愈受到國(guó)際社會(huì)的高度關(guān)注。
一、電子商務(wù)中的信息安全技術(shù)
電子商務(wù)的信息安全在很大程度上依賴于技術(shù)的完善,包括密碼、鑒別、訪問(wèn)控制、信息流控制、數(shù)據(jù)保護(hù)、軟件保護(hù)、病毒檢測(cè)及清除、內(nèi)容分類識(shí)別和過(guò)濾、網(wǎng)絡(luò)隱患掃描、系統(tǒng)安全監(jiān)測(cè)報(bào)警與審計(jì)等技術(shù)。
1.防火墻技術(shù)。防火墻主要是加強(qiáng)網(wǎng)絡(luò)之間的訪問(wèn)控制, 防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)。
2.加密技術(shù)。數(shù)據(jù)加密就是按照確定的密碼算法將敏感的明文數(shù)據(jù)變換成難以識(shí)別的密文數(shù)據(jù),當(dāng)需要時(shí)可使用不同的密鑰將密文數(shù)據(jù)還原成明文數(shù)據(jù)。
3.數(shù)字簽名技術(shù)。數(shù)字簽名技術(shù)是將摘要用發(fā)送者的私鑰加密,與原文一起傳送給接收者,接收者只有用發(fā)送者的公鑰才能解密被加密的摘要。
4.數(shù)字時(shí)間戳技術(shù)。時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔,包括需加時(shí)間戳的文件的摘要、dts 收到文件的日期與時(shí)間和dis 數(shù)字簽名,用戶首先將需要加時(shí)間的文件用hash編碼加密形成摘要,然后將該摘要發(fā)送到dts,dts 在加入了收到文件摘要的日期和時(shí)間信息后再對(duì)該文件加密,然后送回用戶。
二、電子商務(wù)安全防范措施
網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。網(wǎng)絡(luò)安全防范技術(shù)可以從數(shù)據(jù)的加密(解密)算法、安全的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)防火墻、完善的安全管理制度、硬件的加密和物理保護(hù)、安全監(jiān)聽系統(tǒng)和防病毒軟件等領(lǐng)域來(lái)進(jìn)行考慮和完善。
1.防火墻技術(shù)
用過(guò)internet,企業(yè)可以從異地取回重要數(shù)據(jù),同時(shí)又要面對(duì) internet 帶來(lái)的數(shù)據(jù)安全的新挑戰(zhàn)和新危險(xiǎn):即客戶、推銷商、移動(dòng)用戶、異地員工和內(nèi)部員工的安全訪問(wèn);以及保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵。因此,企業(yè)必須加筑安全的“壕溝”,而這個(gè)“壕溝”就是防火墻.防火墻系統(tǒng)決定了哪些內(nèi)容服務(wù)可以被外界訪問(wèn);外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò),而且防火墻本身必須能夠免于滲透。
2. vpn技術(shù)
虛擬專用網(wǎng)簡(jiǎn)稱vpn,指將物理上分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)聯(lián)接而形成邏輯上的虛擬“私”網(wǎng),依靠ips或 nsp在安全隧道、用戶認(rèn)證和訪問(wèn)控制等相關(guān)技術(shù)的控制下達(dá)到與專用網(wǎng)絡(luò)類同的安全性能,從而實(shí)現(xiàn)基于 internet 安全傳輸重要信息的效應(yīng)。目前vpn 主要采用四項(xiàng)技術(shù)來(lái)保證安全, 這四項(xiàng)技術(shù)分別是隧道技術(shù)、加解密技術(shù)、密鑰管理技術(shù)、使用者與設(shè)備身份認(rèn)證技術(shù)。
3.數(shù)字簽名技術(shù)
為了保證數(shù)據(jù)和交易的安全、防止欺騙,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)必須采用加密技術(shù)。數(shù)字簽名就是基于加密技術(shù)的,它的作用就是用來(lái)確定用戶是否是真實(shí)的。數(shù)字簽名就是通過(guò)一個(gè)單向哈希函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理而得到的用以認(rèn)證報(bào)文是否發(fā)生改變的一個(gè)字母數(shù)字串。發(fā)送者用自己的私鑰把數(shù)據(jù)加密后傳送給接收者,接收者用發(fā)送者的公鑰解開數(shù)據(jù)后,就可確認(rèn)消息來(lái)自于誰(shuí),同時(shí)也是對(duì)發(fā)送者發(fā)送的信息真實(shí)性的一個(gè)證明,發(fā)送者對(duì)所發(fā)信息不可抵賴,從而實(shí)現(xiàn)信息的有效性和不可否認(rèn)性。
三、電子商務(wù)的安全認(rèn)證體系
隨著計(jì)算機(jī)的發(fā)展和社會(huì)的進(jìn)步,通過(guò)網(wǎng)絡(luò)進(jìn)行的電子商務(wù)活動(dòng)當(dāng)今社會(huì)越來(lái)越頻繁,身份認(rèn)證是一個(gè)不得不解決的重要問(wèn)題,它將直接關(guān)系到電子商務(wù)活動(dòng)能否高效而有序地進(jìn)行。認(rèn)證體系在電子商務(wù)中至關(guān)重要,它是用戶獲得訪問(wèn)權(quán)限的關(guān)鍵步驟?,F(xiàn)代密碼的兩個(gè)最重要的分支就是加密和認(rèn)證。加密目的就是防止敵方獲得機(jī)密信息。認(rèn)證則是為了防止敵方的主動(dòng)攻擊,包括驗(yàn)證信息真?zhèn)渭胺乐剐畔⒃谕ㄐ胚^(guò)程被篡改刪除、插入、偽造及重放等。認(rèn)證主要包括三個(gè)方面:消息認(rèn)證、身份認(rèn)證和數(shù)字簽名。
身份認(rèn)證一般是通過(guò)對(duì)被認(rèn)證對(duì)象(人或事)的一個(gè)或多個(gè)參數(shù)進(jìn)行驗(yàn)證。從而確定被認(rèn)證對(duì)象是否名實(shí)相符或有效。這要求要驗(yàn)證的參數(shù)與被認(rèn)證對(duì)象之間應(yīng)存在嚴(yán)格的對(duì)應(yīng)關(guān)系,最好是惟一對(duì)應(yīng)的。身份認(rèn)證是安全系統(tǒng)中的第一道關(guān)卡。
數(shù)字證書是在互聯(lián)網(wǎng)通信中標(biāo)志通信各方身份信息的一系列數(shù)據(jù)。提供了一種 internet 上驗(yàn)證用戶身份的方式,其作用類似于司機(jī)的駕駛執(zhí)照或身份證。它是由一個(gè)權(quán)威機(jī)構(gòu)ca機(jī)構(gòu),又稱為證書授權(quán)(certificate authority)中心發(fā)行的,人們可以在網(wǎng)上用它識(shí)別彼此的身份。
四、結(jié)束語(yǔ)
安全實(shí)際上就是一種風(fēng)險(xiǎn)管理。任何技術(shù)手段都不能保證100%的安全。但是,安全技術(shù)可以降低系統(tǒng)遭到破壞、攻擊的風(fēng)險(xiǎn)。因此,為進(jìn)一步促進(jìn)電子商務(wù)體系的完善和行業(yè)的健康快速發(fā)展,必須在實(shí)際運(yùn)用中解決電子商務(wù)中出現(xiàn)的各類問(wèn)題,使電子商務(wù)系統(tǒng)相對(duì)更安全。電子商務(wù)的安全運(yùn)行必須從多方面入手,僅在技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的,還必須完善電子商務(wù)立法,以規(guī)范飛速發(fā)展的電子商務(wù)現(xiàn)實(shí)中存在的各類問(wèn)題,從而引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
[1] 勞幗齡.電子商務(wù)的安全技術(shù)[m].北京:中國(guó)水利水電出版社,2005.
[2] 趙泉.網(wǎng)絡(luò)安全與電子商務(wù)[m].北京:清華大學(xué)出版社,2005.
【論文摘要】國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展,進(jìn)一步帶動(dòng)了工業(yè)化發(fā)展.在電子信息系統(tǒng)建設(shè)的過(guò)程中,如何保障系統(tǒng)能提供安全可靠的服務(wù)是整個(gè)企業(yè)電子信息系統(tǒng)建設(shè)必須要考慮的問(wèn)題。本文分析了電子辦公系統(tǒng)的信息安全技術(shù)中的安全需求,針對(duì)需求提出了相應(yīng)的解決辦法。
1.企業(yè)電子辦公系統(tǒng)中的安全需求
電子辦公系統(tǒng)建設(shè)在系統(tǒng)安全性方面的總需求是安全保密、可信可靠,具體表現(xiàn)在以下幾個(gè)方面:信息的安全保密性,滿足信息在存儲(chǔ)、傳輸過(guò)程中的安全保密性需求;系統(tǒng)的安全可靠性,確保整個(gè)電子政務(wù)系統(tǒng)的安全可靠;行為的不可抵賴性,保證在所有業(yè)務(wù)處理過(guò)程中,辦公人員行為和系統(tǒng)行為的不可抵賴,以便審計(jì)和監(jiān)督;實(shí)體的可鑒別性,是實(shí)現(xiàn)監(jiān)管及其他方面需求的必要條件;對(duì)象的可授權(quán)性,針對(duì)政務(wù)工作的特點(diǎn),要求具有對(duì)對(duì)象靈活授權(quán)的功能,包括用戶對(duì)用戶的授權(quán)、系統(tǒng)對(duì)用戶的授權(quán)、系統(tǒng)對(duì)系統(tǒng)的授權(quán)等;信息的完整性,保證信息存儲(chǔ)和傳輸過(guò)程中不被篡改和破壞。
2.企業(yè)電子辦公系統(tǒng)安全保障防火墻技術(shù)
針對(duì)安全需求,在電子信息系統(tǒng)中需要采取一系列的安全保障技術(shù),包括安全技術(shù)和密碼技術(shù),對(duì)涉及到核心業(yè)務(wù)的涉密網(wǎng),還要采用物理隔離技術(shù)進(jìn)行保護(hù)。這些技術(shù)作用在網(wǎng)絡(luò)層、系統(tǒng)層和應(yīng)用層,對(duì)信息系統(tǒng)起著不同的安全保護(hù)作用。在網(wǎng)絡(luò)層主要應(yīng)用的技術(shù)有防火墻、VPN、SSL、線路加密、安全網(wǎng)關(guān)和網(wǎng)絡(luò)安全監(jiān)測(cè);系統(tǒng)層則包括操作系統(tǒng)安全、數(shù)據(jù)庫(kù)系統(tǒng)安全以及安全的傳輸協(xié)議;應(yīng)用層安全技術(shù)主要涉及認(rèn)證與訪問(wèn)控制、數(shù)據(jù)或文件加密和PKI技術(shù)。
從網(wǎng)絡(luò)安全角度上講,它們屬于不同的網(wǎng)絡(luò)安全域,因此,在各級(jí)網(wǎng)絡(luò)邊界以及企業(yè)網(wǎng)和Internet邊界都應(yīng)安裝防火墻,并實(shí)施相應(yīng)的安全策略。防火墻可以根據(jù)既定的安全策略允許特定的用戶和數(shù)據(jù)包穿過(guò),同時(shí)將安全策略不允許的用戶和數(shù)據(jù)包隔斷,達(dá)到保護(hù)高安全等級(jí)的子網(wǎng)、阻止外部攻擊、限制入侵蔓延等目的。防火墻的弱點(diǎn)主要是無(wú)法防止來(lái)自防火墻內(nèi)部的攻擊。
3.內(nèi)網(wǎng)和外網(wǎng)隔離技術(shù)
企業(yè)電子辦公網(wǎng)絡(luò)是由政務(wù)核心網(wǎng)(涉密網(wǎng))。隨著各類機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)(也稱內(nèi)網(wǎng))和公眾互聯(lián)網(wǎng)(也稱外網(wǎng))的不斷發(fā)展,許多業(yè)務(wù)系統(tǒng)正在逐步向互聯(lián)網(wǎng)轉(zhuǎn)移,使得內(nèi)外網(wǎng)的數(shù)據(jù)交換和互聯(lián)成為必然的趨勢(shì)?;ヂ?lián)網(wǎng)潛在的不安全因素,造成人們對(duì)內(nèi)外網(wǎng)互聯(lián)的擔(dān)憂,所以出現(xiàn)了多種方法來(lái)解決內(nèi)外網(wǎng)的數(shù)據(jù)交換問(wèn)題而又不影響內(nèi)網(wǎng)的安全性,如采用內(nèi)外網(wǎng)的物理隔離方法,將核心網(wǎng)與其他網(wǎng)絡(luò)之間斷開,將專用網(wǎng)和政府公眾信息網(wǎng)之間邏輯隔離。隔離技術(shù)的發(fā)展至今共經(jīng)歷了五代。
3.1隔離技術(shù),雙網(wǎng)機(jī)系統(tǒng)。
3.2隔離技術(shù),基于雙網(wǎng)線的安全隔離卡技術(shù)。
3.3隔離技術(shù),數(shù)據(jù)轉(zhuǎn)播隔離技術(shù)。
3.4隔離技術(shù),隔離服務(wù)器系統(tǒng)。該技術(shù)是通過(guò)使用開關(guān),使內(nèi)外部網(wǎng)絡(luò)分時(shí)訪問(wèn)臨時(shí)緩存器來(lái)完成數(shù)據(jù)交換的,但存在支持網(wǎng)絡(luò)應(yīng)用少、傳輸速度慢和硬件故障率高等問(wèn)題,往往成為網(wǎng)絡(luò)的瓶頸。
3.5隔離技術(shù),安全通道隔離。此技術(shù)通過(guò)專用通信硬件和專有交換協(xié)議等安全機(jī)制,來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)間的隔離和數(shù)據(jù)交換,不僅解決了以往隔離技術(shù)存在的問(wèn)題,并且在網(wǎng)絡(luò)隔離的同時(shí)實(shí)現(xiàn)高效的內(nèi)外網(wǎng)數(shù)據(jù)的安全交換,它透明地支持多種網(wǎng)絡(luò)應(yīng)用,成為當(dāng)前隔離技術(shù)的發(fā)展方向。
4.密碼技術(shù)
密碼技術(shù)是信息交換安全的基礎(chǔ),通過(guò)數(shù)據(jù)加密、消息摘要、數(shù)字簽名及密鑰交換等技術(shù)實(shí)現(xiàn)了數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性和用戶身份真實(shí)性等安全機(jī)制,從而保證了網(wǎng)絡(luò)環(huán)境中信息傳輸和交換的安全。
加密技術(shù)的原理可用下面的公式表示。
轉(zhuǎn)貼于
加密:E k1(M)一C
解密:D k2(C)一M
其中E為加密函數(shù);M為明文;K為密鑰;D為解密函數(shù);C為密文。按照密鑰的不同形式,密碼技術(shù)可以分為三類:對(duì)稱密碼算法、非對(duì)稱密碼算法和單向散列函數(shù)。
在對(duì)稱密碼算法中,使用單一密鑰來(lái)加密和解密數(shù)據(jù)。典型的對(duì)稱密碼算法是DES、IDEA和RC算法。這類算法的特點(diǎn)是計(jì)算量小、加密效率高。但加解密雙方必須對(duì)所用的密鑰保守秘密,為保障較高的安全性,需要經(jīng)常更換密鑰。因此,密鑰的分發(fā)與管理是其最薄弱且風(fēng)險(xiǎn)最大的環(huán)節(jié)。
在非對(duì)稱密碼算法中,使用兩個(gè)密鑰(公鑰和私鑰)來(lái)加密和解密數(shù)據(jù)。當(dāng)兩個(gè)用戶進(jìn)行加密通信時(shí),發(fā)送方使用接收方的公鑰加密所發(fā)送的數(shù)據(jù);接收方則使用自己的私鑰來(lái)解密所接收的數(shù)據(jù)。由于私鑰不在網(wǎng)上傳送,比較容易解決密鑰管理問(wèn)題,消除了在網(wǎng)上交換密鑰所帶來(lái)的安全隱患,所以特別適合在分布式系統(tǒng)中應(yīng)用。典型的非對(duì)稱密碼算法是RSA算法。非對(duì)稱密碼算法的缺點(diǎn)是計(jì)算量大、速度慢,不適合加密長(zhǎng)數(shù)據(jù)。
非對(duì)稱密碼算法還可以用于數(shù)字簽名。數(shù)字簽名主要提供信息交換時(shí)的不可抵賴性,公鑰和私鑰的使用方式與數(shù)據(jù)加密恰好相反。
單向散列函數(shù)的特點(diǎn)是加密數(shù)據(jù)時(shí)不需要密鑰,并且經(jīng)過(guò)加密的數(shù)據(jù)無(wú)法解密還原,只有使用同樣的單向加密算法對(duì)同樣的數(shù)據(jù)進(jìn)行加密,才能得到相同的結(jié)果。單向散列函數(shù)主要用于提供信息交換時(shí)的完整性,以驗(yàn)證數(shù)據(jù)在傳輸過(guò)程中是否被篡改。
5.公共密鑰基礎(chǔ)設(shè)施(PK 1)
PKI技術(shù)是電子政務(wù)安全系統(tǒng)的核心。它通過(guò)數(shù)字證書的頒發(fā)和管理,為上層應(yīng)用提供了完善的密鑰和證書管理機(jī)制,具有用戶管理、密鑰管理、證書管理等功能,可保證各種基于公開密鑰密碼體制的安全機(jī)制在系統(tǒng)中的實(shí)現(xiàn)。
PKI提供的證書服務(wù)主要有兩個(gè)功能,即證實(shí)用戶身份的功能及保證信息機(jī)密性和完整性的功能。它最主要的組件就是認(rèn)證中心(CA)。CA頒發(fā)的證書可以作為驗(yàn)證用戶身份的標(biāo)識(shí),可以有效解決網(wǎng)絡(luò)中的信任問(wèn)題。它是電子政務(wù)網(wǎng)中信任篚基礎(chǔ)。
在CA頒發(fā)的證書基礎(chǔ)上,可以實(shí)現(xiàn)數(shù)字信封,數(shù)字簽名、抗否認(rèn)等功能,提供數(shù)據(jù)機(jī)密性、數(shù)據(jù)完整性等電子政務(wù)系統(tǒng)中所必需的安全服務(wù)。
6.入侵檢測(cè)技術(shù)
入侵檢測(cè)系統(tǒng)(IDS)可以做到對(duì)網(wǎng)絡(luò)邊界點(diǎn)雕數(shù)據(jù)進(jìn)行檢測(cè),對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè),入侵著的蓄意破壞和篡改,監(jiān)視內(nèi)部吊戶和系統(tǒng)管運(yùn)行狀況,查找非法用戶和合法用戶的越權(quán)操作,又用戶的非正?;顒?dòng)進(jìn)行統(tǒng)計(jì)分析,發(fā)現(xiàn)人侵行為自規(guī)律,實(shí)時(shí)對(duì)檢測(cè)到的人侵行為進(jìn)行報(bào)警、阻斷,關(guān)鍵正常事件及異常行為記錄日志,進(jìn)行審計(jì)跟焉管理。
IDS是對(duì)防火墻的非常有必要的附加,而不僅是簡(jiǎn)單的補(bǔ)充。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以與防一墻進(jìn)行聯(lián)動(dòng),一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為,將一防火墻發(fā)送通知報(bào)文,由防火墻來(lái)阻斷連接,實(shí)現(xiàn)秀態(tài)的安全防護(hù)體系。
企業(yè)電子辦公的安全保障是系統(tǒng)能夠真正發(fā)揮作用的前提,各種安全保障設(shè)施必須和系統(tǒng)建設(shè)同步實(shí)施,同時(shí)要加強(qiáng)各種安全管理制度,增強(qiáng)系統(tǒng)使用和系統(tǒng)管理者的安全意識(shí),才能從根本上保證系安全可靠的運(yùn)行。
【參考文獻(xiàn)】
[1]朱少民.現(xiàn)代辦公自動(dòng)化系統(tǒng)的架框研究,辦公自動(dòng)化技術(shù).
英國(guó)方面, 5月12日英國(guó)國(guó)家醫(yī)療服務(wù)體系遭遇了大規(guī)模網(wǎng)絡(luò)攻擊,多家公立醫(yī)院的電腦系統(tǒng)幾乎同時(shí)癱瘓,電話線路也被切斷,導(dǎo)致很多急診病人被迫轉(zhuǎn)移?!睹咳锗]報(bào)》稱,至少19家位于英格蘭和蘇格蘭的NHS所屬醫(yī)療機(jī)構(gòu)遭到網(wǎng)絡(luò)攻擊,這些機(jī)構(gòu)包括醫(yī)院和全科醫(yī)生診所。
黑客武器搭載的勒索病毒感染界面,需要支付等額的300美金比特幣才能解鎖。具體從硅谷著名的移動(dòng)安全廠商 Trustlook 提供的數(shù)據(jù)看,本次病毒爆發(fā)涉及到全球,幾乎沒(méi)有任何的遺漏,下面是檢測(cè)到的爆發(fā)點(diǎn):
由于國(guó)內(nèi)曾多次出現(xiàn)利用445端口傳播的"蠕蟲病毒",部分運(yùn)營(yíng)商對(duì)個(gè)人用戶封掉了445端口。但是教育網(wǎng)并無(wú)此限制,存在大量暴露著445端口的機(jī)器,因此成為不法分子使用NSA黑客武器攻擊的重災(zāi)區(qū)。正值高校畢業(yè)季,勒索病毒已造成一些應(yīng)屆畢業(yè)生的論文被加密篡改,直接影響到畢業(yè)答辯。
病毒發(fā)行者利用了去年被盜的美國(guó)國(guó)家安全局(NSA)自主設(shè)計(jì)的Windows系統(tǒng)黑客工具Eternal Blue“永恒之藍(lán)”,將2017年2月的一款病毒升級(jí)。被感染的Windows用戶必須在7天內(nèi)交納比特幣作為贖金,否則電腦數(shù)據(jù)將被全部刪除且無(wú)法修復(fù)。病毒要求用戶在被感染后的三天內(nèi)交納相當(dāng)于300美元的比特幣,三天后“贖金”將翻倍。
“永恒之藍(lán)”可遠(yuǎn)程攻擊Windows的445端口(文件共享),如果系統(tǒng)沒(méi)有安裝今年3月的微軟補(bǔ)丁(MS17-010),無(wú)需用戶任何操作,只要開機(jī)上網(wǎng),就能在電腦里執(zhí)行任意代碼,植入勒索病毒等惡意程序。這是一個(gè)利用永恒之藍(lán)漏洞的勒索蠕蟲,挺會(huì)PR的,外媒取了個(gè)名字叫 wannacry(想哭蠕蟲),估計(jì)很多中病毒的人都想哭吧。
windows用戶請(qǐng)務(wù)必安裝微軟MS17-010安全補(bǔ)丁信息:
technet.microsoft.com/zh-cn/library/security/MS17-010
針對(duì)NSA黑客武器利用的Windows系統(tǒng)漏洞,微軟在今年3月已補(bǔ)丁修復(fù)。此前360安全中心也已推出“NSA武器庫(kù)免疫工具”( dl.360safe.com/nsa/nsatool.exe ),能夠一鍵檢測(cè)修復(fù)NSA黑客武器攻擊的漏洞;對(duì)XP、2003等已經(jīng)停止更新的系統(tǒng),免疫工具可以關(guān)閉漏洞利用的端口,防止電腦被NSA黑客武器植入勒索病毒等惡意程序。
如何防范病毒?
如您使用的是服務(wù)器,可用這段代碼進(jìn)行技術(shù)檢測(cè):
alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Heap Spray"; flow:to_server,established; content:"|ff|SMB|33 00 00 00 00 18 07 c0 00 00 00 00 00 00 00 00 00 00 00 00 00|"; offset:4; depth:25; content:"|08 ff fe 00 08 41 00 09 00 00 00 10|"; within:12; fast_pattern; content:"|00 00 00 00 00 00 00 10|"; within:8; content:"|00 00 00 10|"; distance:4; within:4; pcre:"/^[a-zA-Z0-9+/]{1000,}/R"; threshold: type threshold, track by_src, count 12, seconds 1; classtype:trojan-activity; sid:2024217; rev:1;)
alert smb any any -> $HOME_NET any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Request (set)"; flow:to_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 18 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:set,ETPRO.ETERNALBLUE; flowbits:noalert; classtype:trojan-activity; sid:2024220; rev:1;)
alert smb $HOME_NET any -> any any (msg:"ET EXPLOIT Possible ETERNALBLUE MS17-010 Echo Response"; flow:from_server,established; content:"|00 00 00 31 ff|SMB|2b 00 00 00 00 98 07 c0|"; depth:16; fast_pattern; content:"|4a 6c 4a 6d 49 68 43 6c 42 73 72 00|"; distance:0; flowbits:isset,ETPRO.ETERNALBLUE; classtype:trojan-activity; sid:2024218; rev:1;)
如您使用的是Windows,請(qǐng)使用下面步驟進(jìn)行檢測(cè):
1. 查看445端口是否開放并決定是否關(guān)停server服務(wù)
點(diǎn)擊“開始”->“運(yùn)行”->輸入“cmd”->輸入“netstat -an ”->回車->查看445端口狀態(tài)
如果處于“listening”->暫時(shí)關(guān)停server服務(wù):
點(diǎn)擊“開始”->搜索框輸入“cmd”->右鍵菜單選擇“以管理員身份運(yùn)營(yíng)”->執(zhí)行“net stop server”命令
2. 個(gè)人用戶臨時(shí)解決方案
開啟系統(tǒng)防火墻->利用系統(tǒng)防火墻高級(jí)設(shè)置阻止向445端口進(jìn)行連接->安裝相應(yīng)系統(tǒng)安全更新
win7/win8/win10:
控制面板->系統(tǒng)與安全->啟用Windows防火墻->點(diǎn)擊"高級(jí)設(shè)置"->點(diǎn)擊“入站規(guī)則”->選擇"新建規(guī)則"->規(guī)則類型選擇“端口”->應(yīng)用于“TCP”協(xié)議 特定本地端口并輸入“445”->“操作”選擇“阻止連接”->“配置文件”中“規(guī)則應(yīng)用”全部勾選->罪責(zé)名稱任意輸入并點(diǎn)擊完成
winxp:
控制面板->安全中心->啟用“Windows防火墻”->點(diǎn)擊“開始”->“運(yùn)行”->輸入“cmd”->依次執(zhí)行“net stop rdr”、“net stop srv”和“net stop netbt”三條命令->升級(jí)操作系統(tǒng)版本并進(jìn)行安全更新
三、騰訊云用戶修復(fù)建議:
當(dāng)前已受影響的用戶,建議對(duì)未被加密的重要數(shù)據(jù)進(jìn)行備份,并開展重裝工作;
四、對(duì)于采用非騰訊云官方 Windows 鏡像的用戶,建議采取如下措施進(jìn)行緩解:
1>在安全組策略中,檢查您名下所有 Windows 云主機(jī)是否已關(guān)閉 137、 139、 445 服務(wù)端口的對(duì)外訪問(wèn),建議禁止外部訪問(wèn)此類高危端口,詳細(xì)修復(fù)可參考如下鏈接:
【安全預(yù)警】關(guān)于方程式組織黑客工具包再曝光通知-騰訊云官方論壇;
2>目前微軟官網(wǎng)的補(bǔ)丁已經(jīng)修復(fù)了可導(dǎo)致該蠕蟲病毒被傳染的漏洞,建議用戶及時(shí)安裝 Windows 最新版本補(bǔ)?。ò舜问苡绊懙?MS07-010 補(bǔ)丁),避免成為勒索蠕蟲的受害者;
3> 目前騰訊云官網(wǎng)提供的 Windows 鏡像已經(jīng)在4月20日全網(wǎng)更新完成,默認(rèn)已安裝最新補(bǔ)丁,并不受此次“比特幣勒索蠕蟲病毒”影響,請(qǐng)您放心使用。
五、普通電腦用戶修復(fù)建議:
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):百種重點(diǎn)期刊
級(jí)別:部級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:北大期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):Caj-cd規(guī)范獲獎(jiǎng)期刊