电子商务安全技术--课件

第四章 电子商务安全技术案例学习目标学习内容1ppt课件案例国外 早期，Yahoo,ebay,Amazon 等著名网站被黑客攻击，直接和间接损失10亿美元。国内 早期，有人利用普通的技术，从电子商务网站窃取到8万个信用卡号和密码，标价26万元出售。2ppt课件第四章 电子商务安全技术 电子商务安全面临的问题 电子商务安全的要求 电子商务安全技术3ppt课件一 电子商务所面临的安全问题v电子商务中的安全隐患可分为如下几类：1.1.信息的截获和窃取 2.2.信息的篡改 3.3.信息假冒 4.4.交易抵赖4ppt课件二 电子商务安全要求数据完整性 即数据在传输过程中的完整性.也就是数据在发送前和到达后是否完全一样.数据保密性 即数据是否会被非法窃取.数据可用性 即当需要时能否存取所需的信息,或在系统故障的情况下数据会否丢失.身份认证 对信息的传播即内容具有控制能力.5ppt课件三 电子商务安全内容v 电子商务安全从整体上可分为两大部分：计算机网络安全和商务交易安全,两者相辅相成，缺一不可。v 计算机网络安全的内容包括：计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题，实施网络安全增强方案，以保证计算机网络自身的安全性为目标。v 6ppt课件 商务交易安全紧紧围绕传统商务在互联网络商务交易安全紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。全的基础上，如何保障电子商务过程的顺利进行。即实现电子商务的保密性、完整性、可鉴别性、即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。不可伪造性和不可抵赖性。7ppt课件电子商务安全构架交易安全技术交易安全技术安全应用协议安全应用协议SET、SSL安全认证手段安全认证手段数字签名、数字签名、CA体系体系基本加密算法基本加密算法对称和非对称密算法对称和非对称密算法安安全全管管理理体体系系网络安全技术网络安全技术病毒防范病毒防范身份识别技术身份识别技术防火墙技术防火墙技术分组过滤和代理服分组过滤和代理服务等务等法律、法规、政策法律、法规、政策8ppt课件安安全全模模型型9ppt课件企业级安全企业级安全总总体体规规划划安安全全业业务务调调度度安安全全安安全全政政策策法法规规功功能能设设计计安安全全职职能能划划分分安安全全应用级安全应用级安全文文件件安安全全目目录录安安全全数数据据安安全全邮邮件件安安全全群群件件安安全全事事件件安安全全系统级安全系统级安全操操作作系系统统安安全全用用户户管管理理安安全全分分布布系系统统管管理理安安全全故故障障诊诊断断系系统统监监控控安安全全网网络络运运行行监监测测平平台台安安全全网络级安全网络级安全 .信信息息传传输输安安全全路路由由安安全全广广域域网网安安全全节节点点安安全全协协议议安安全全链链路路安安全全物物理理安安全全网络安全内容-网络安全体系10ppt课件 电子商务安全要求对应的安全技术11ppt课件数据完整性机制奇偶位、校验和、循环冗余校验CRC(Cyclic Redundancy Check）消息发送方可同时发送该消息的校验值，消息接收方接到消息时只需要重新计算一次校验值，并比较两校验值是否相同就可以判断该消息是否正确了。以上技术不能绝对保证数据的完整性，2个原因:1.如果校验值和消息数据同时破坏，且改变后的校验值和消息又正巧匹配，则系统无法发现错误。2.1中所述技术上的缺陷，可能被人恶意利用。12ppt课件数据完整性机制消息验证码(MAC)1.为防止传输和存储的消息被有意或无意地篡改，采用密码技术对消息进行运算生成消息验证码（MAC），附在消息之后发出或与信息一起 存储，对信息进行认证。2.计算MAC的算法是不可逆的。3.加密的数据和MAC一起发送给接收者，接收者就可以用MAC来校验加密数据，保证数据没有被窜改过。13ppt课件数据保密性机制加密与解密算法和密钥数据加密标准DES公开密钥密码体制数字签名14ppt课件加密与解密 消息（message）被称为明文（plaintext）。用某种方法伪装消息以隐藏它的内容的过程称为加密（encryption），被 加 密 的 消 息 称 为 密 文（ciphertext），而把密文转变为明文的过程称为解密（decryption）。加密解密明文密文原始明文15ppt课件算法和密钥 算法和密钥密码算法（algorithm）也叫密码（cipher），适用于加密和解密的数学函数。（通常情况下有两个相关的函数，一个用来加密，一个用来解密）如果算法的保密性是基于保持算法的秘密，这种算法称为受限制的（restricted）算法。受限制的算法不可能进行质量控制或标准化。每个用户和组织必须由他们自己唯一的算法。16ppt课件算法和密钥现代密码学用密钥（key）解决了这个问题。加密解密明文密文原始明文加密解密明文密文原始明文密钥密钥加密密钥解密密钥17ppt课件算法和密钥所有这些算法的安全性都基于密钥的安全性；而不是基于算法的安全性。这就意味着算法可以公开，也可以被分析，可以大量生产使用算法的产品，即使偷听者知道你的算法也没有关系。密码系统由（cryptosystem）由算法以及所有可能的明文、密文和密钥组成。对称算法基于密钥的算法通常有两类：对称算法和公开密钥算法。18ppt课件算法和密钥对称算法（symmetric algorithm）有时又叫传统密码算法，就是加密密钥能够从解密密钥推算出来，反过来也成立。在大多数对称算法中，加/解密密钥是相同的。这些算法也叫做秘密密钥算法或单钥算法，它要求发送者和接收者在安全通信之前，商定一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加/解密。只要通信需要保密，密钥就必须保密。19ppt课件算法和密钥对称算法可以分为两类。一次只对明文中的单个位（有时对字节）运算的算法称为序列算法（stream algorithm）或序列密码（stream cipher）。另一类算法是对明文的一组位进行运算，这些位称为分组（block），相应的算法称为分组算法（block algorithm）或分组密码（block cipher）。20ppt课件算法和密钥 公开密钥算法公开密钥算法（public-key algorithm，也叫非对称算法）是这样设计的：用作加密的密钥不同于用作解密的密钥，而且解密密钥不能根据加密密钥计算出来（至少在合理假定的长时间内）。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。在这些系统中，加密密钥叫做公开密钥（public key），解密密钥叫做私人密钥（private key）。21ppt课件算法常见的计算机算法 DES是最通用的计算机加密算法。DES是美国和国际标准，它是对称算法，加密和解密的密钥是相同的。RSA是最流行的公开密钥算法，它能用作加密和数字签名 DSA是另外一种公开密钥算法，它不能用作加密，只能用作数字签名。22ppt课件一般加密/解密的函数（算法）是公开的，一个算法的强度（被破解的难度）除了依赖于算法本身以外，还往往与密钥长度有关，通常密钥越长，强度越高。这是因为，密钥越长，被猜出的可能性越低。所以，保密入情入理在于一个强度高的算法加上一个长度长的密钥。对于不同的要求，长度可以不同，比如，为了保护你的电子邮件不让孩子阅读，密钥长度有64位就可以了，但是，为了保护一个商业秘密，可能至少需要256位的密钥。(1）替换（substitution）加密算法 （2）变换（transposition）加密算法 (3）数据加密标准（DES，Data Encryption Standard）是美国政府于1997年发布的，DES使用相同的算法来对数据进行加密和解密，所使用的加密密钥和解密密钥是相同的。算法的输入有64位的明文，使用56位的密钥，输出是64位的密文，它例用16轮的混合操作，目的是彻底地打乱明文的信息，使得密文的每一位都依赖于明文的每一位和密钥的每一位.。23ppt课件常规密钥密码体制常规密钥密码体制 密码技术是保证网络、信息安全的核心技术。加密方法有：替换加密和转换加密一替换加密法：1.单字母加密法 2.多字母加密法例一：Caesar(恺撒)密码例二：将字母倒排序例三：单表置换密码例一：Vigenere密码例二：转换加密24ppt课件单字母加密方法例：明文（记做m）为“important”，Key=3，则密文（记做C）则为“LPSRUWDQW”。25ppt课件例：如果明文m为“important”，则密文C则为“RNKLIGZMZ”。26ppt课件 例：如果明文m为“important”，则密文C则 为“HDLKOQBFQ”。27ppt课件公开密钥加密技术加密密钥是公开的，不加密密钥是公开的，不 可进行解密，解密密钥为可进行解密，解密密钥为 私钥，是保密的，且解密密私钥，是保密的，且解密密钥不可被推算出来的单向函钥不可被推算出来的单向函数算法称公开密钥算法。所数算法称公开密钥算法。所有的通信仅涉及公钥，而任有的通信仅涉及公钥，而任何私钥不会被传输。何私钥不会被传输。28ppt课件公钥密码体制（公钥密码体制（RSARSA）公钥（m,n=pq)私钥(r,p,q)原文ABCD原文ABCD密文%#%￥公钥(m,n=pq)乱文乱文;互连网络互连网络密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;乱文乱文;密文%#%￥乱文乱文;原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD密文%#%￥29ppt课件秘密密钥加密技术秘密密钥加密技术 加密算法与解密算法是加密算法与解密算法是 相同的且是公开的，加密密相同的且是公开的，加密密钥与解密密钥是同一个且不钥与解密密钥是同一个且不可被推算出来可被推算出来 的单向函数的单向函数算法。密钥的算法。密钥的 生成与发送生成与发送需严格管理。需严格管理。30ppt课件DESDES密码体制密码体制密钥原文ABCD原文ABCD密文%#%￥密钥生成与分发密钥互连网络密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD密文%#%￥40 78秒 48 5小时 56 59天 64 41年 72 10696年 80 2,738,199年PASSWORD通通常用常用DES算法算法31ppt课件对称与非对称加密体制对比特特 性性对对 称称非非 对对 称称密钥的数目单一密钥密钥是成对的密钥种类密钥是秘密的一个私有、一个公开密钥管理简单不好管理需要数字证书及可靠第三者相对速度非常快慢用途用来做大量资料的加密用来做加密小文件或对信息签字等不太严格保密的应用32ppt课件 认证技术v 信息认证的目的（1）确认信息的发送者的身份；（2）验证信息的完整性，即确认信息在传送或存储过程中未被篡改过。v常用的安全认证技术v 1.1.数字摘要v 数字摘要是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（数字指纹Finger Print），并在传输信息时将之加入文件一同送给接收方，接收方收到文件后，用相同的方法进行变换运算，若得到的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。33ppt课件2.数字信封 数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥来加密（这部分称为数字信封）之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。3.3.数字签名l 在网络环境中，可以用电子数字签名作为模拟，从而为电子商务提供不可否认服务。把HASH函数和公钥算法结合起来，可以在提供数据完整性的同时，也可以保证数据的真实性。把这两种机制结合起来就可以产生所谓的数字签名。34ppt课件数字签名（Digital Signature）的原理l 被发送文件用安全Hash编码法SHA（Secure Hash Algorithm）编码加密产生128bit的数字摘要；l 发送方用自己的私用密钥对摘要再加密，这就形成了数字签名；l 将原文和加密的摘要同时传给对方；l 对方用发送方的公共密钥对摘要解密，同时对收到的文件用SHA编码加密产生又一摘要；l 将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没有被破坏或篡改过。否则不然。35ppt课件数字签名技术数字签名技术公钥(m,n=pq)私钥(r,p,q)原文ABCD原文ABCD密文%#%￥公钥(m,n=pq)互连网络互连网络密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥密文%#%￥原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD原文ABCD密文%#%￥原文ABCD原文ABCD密文%#%￥密文%#%￥原文ABCD原文ABCD密文%#%￥36ppt课件数字签名原理示意图37ppt课件4.数字时间戳 时间戳（time-stamp）是一个经加密后形成的凭证文档，它包括三个部分：需加时间戳的文件的摘要(digest)；DTS收到文件的日期和时间；DTS的数字签名。38ppt课件图 数字时间戳的应用过程 39ppt课件5.数字证书 所谓数字证书，就是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。40ppt课件v安全认证机构安全认证机构v 电子商务授权机构（CA），也称为电子商务认证中心（Certificate Authority），是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。v CA的四大职能：证书发放证书发放证书更新证书更新证书撤销证书撤销证书验证证书验证41ppt课件 世界著名的认证中心Verisign 世界上较早的数字证书认证中心是美国的Verisign公司（）。图 认证中心VeriSign的主页42ppt课件6）中国知名的认证中心 中国数字认证网（）中国金融认证中心（）中国电子邮政安全证书管理中心（ 海 市 电 子 商 务 安 全 证 书 管 理 中 心 有 限 公 司（）海南省电子商务认证中心（）天津CA认证中心（ 数字证书能够起到标识贸易方的作用,是目前电子商务广泛采用的技术。微软公司的Internet Explorer和网景公司的Navigator和电子邮件软件Outlook Express等都提供了数字证书的功能来作为身份鉴别的手段。图 14为IE的Internet选项设置，在内容选项卡中就有证书项目，点击即可查看您的数字证书，如图 15为在GlobalSign申请的个人数字证书。申请了证书后就可以用证书证实你的身份，当然也可以查看你的证书的内容。如果你有多个证书，可以先选中该证书，然后点击图 6 15中的查看按钮弹出即所选证书对话框就可以查看证书中的信息，如图 16所示，点击详细内容选项卡可以查看证书的具体信息，包括版本、算法、公钥、有效期等如图 17所示，这个证书的算法是RSA算法，公钥为1024位。44ppt课件虚拟专用网VPNVPN的概念虚拟专用网是企业网在因特网等公共网络上的延伸，通过一个私有的通道在公共网络上创建一个安全的私有连接。虚拟专用网通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等跟公司的企业网连接起来，构成一个扩展的公司企业网。虚拟专用网可以对数据传输提供全方位的安全保护，不仅能在网络与网络之间建立专用通道，保护网关与网关之间信息传输的安全，而且能在企业内部的用户与网关之间、移动办公用户和网关之间、用户与用户之间建立安全通道，建立全方位的安全保护，保证网络的安全。49ppt课件VPN的类型可以根据网络连接方式的不同把VPN分为以下几种类型:Access VPN（远程访问虚拟专网）与传统的远程访问网络相对应 Intranet VPN（企业内部虚拟专网）与企业内部的Intranet相对应。Extranet VPN（扩展的企业内部虚拟专网）与企业网和相关合作伙伴的企业网所构成的Extranet相对应。50ppt课件数据可用性保证合法用户在任何时候都能使用、访问资源，阻止非法用户使用系统资源。实现方法：访问控制、防火墙、入侵检测等。51ppt课件防火墙防火墙防止攻击的屏障防止攻击的屏障 防火墙是作为Intranet的 D第一道防线，是把内部网 和公共网分隔的特殊网络互连设备，可以用于网络 用户访问控制、认证服 DD务、数据过滤等。52ppt课件防火墙的分类防火墙的分类 报文分组过滤网关 应用级网关 信息级网关53ppt课件防火墙之报文过滤网关防火墙之报文过滤网关一般是基于路由器来实现。例如，商用的CISCO、BAY公司等路由器都在不同程度上支持诸如基于TCP/IP协议集的分组的源、目地址进出路由器的过滤，即让某些地址发生的分组穿越路由器到达目的地。非特定IP地址190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33特定源IP地址202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68禁止202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68202.118.228.68特定目的IP地址202.118.224.100190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33禁止190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33190.11.12.33禁止禁止202.118.228.68202.118.228.68禁止禁止190.11.12.33190.11.12.3354ppt课件防火墙之应用级网关防火墙之应用级网关应用级网关是为专门的应用设计专用代码，用于对某些具体的应用进行防范。这种精心设计的专用代码将比通用代码更安全些。例如DEC公司生产的SEAL软件包就具有对出境的FTP进行个人身份认证，并对其使用带宽进行限制。FTP服务器服务器访问访问Emial合法访问合法访问FTP非法访问非法访问FTP访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial访问访问Emial合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP认认证证合合法法合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP合法访问合法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP认证非法非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP非法访问非法访问FTP55ppt课件防火墙之信息级网关防火墙之信息级网关 信信息息级级网网关关是是用用于于进进行行信信息息过过滤滤的的。其其基基本本思思想想是是限限制制含含有有指指定定敏敏感感词词汇汇的的信信息息包包进进入入系系统统。显显然然这这种种方方法法对对图图象象、声声音音、影影像像、加加密密信信息息是是难难以以起起作作用用的的，但但对对不不应应进进入入的的公公开开资资料的流入可以起限制性作用料的流入可以起限制性作用。.like.like.like.like.like.like.like.like.like.like.like.like.like.like.like.正常通过.like.like.like.like.like.like.like.like.like.like.like.like.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.敏感禁入.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.“64”.like.like.正常通过正常通过敏感禁入敏敏感感禁禁入入.“64”.“64”.56ppt课件防火墙的目标防火墙的目标1.确保内部网向外部网的全功能互联和内部网的安全；2.所有内部网络与外部网的信息交流必须经过防火墙；3.只有按本地的安全策略被授权的信息才允许通过；4.防火墙本身具有防止被穿透的能力。57ppt课件防火墙 从理论上来讲，防火墙是你所能采取的最严格的安全措施。然而同样和容易带来一些问题：防火墙带来的严格的安全性实际上削弱了网络的功能。你在安全上得到了多少，那么你在功能上就失去了多少。防火墙很容易使你忽视内部的安全问题。这样防火墙就成了你位一的安全屏障，如果防火墙一旦被突破，你将失去全部的安全性。防火墙将成为网络的瓶颈。58ppt课件防火墙防火墙坚不可摧吗？没有坚不可摧的防火墙。常见的入侵方式如下：从目标网络上跳出真正的攻击目标。努力获得有关内部系统的确切信息。阅读最新的安全文章 任何一个防火墙都无法有效的防止来自内部的攻击。59ppt课件防火墙商业防火墙 Checkpoint Firewall and Firewall-1http:/可以控制时间对象，可以将处理任务分散到一组工作站上。Cisco PIXhttp:/ Nokiahttp:/IP330,IP660固化CheckPoint Firewall-160ppt课件入侵检测系统入侵检测系统(IDS)(IDS)的分类的分类 基于主机 基于网络 混合分布式61ppt课件用户身份认证保证通信对方的身份是真实的。实现方法：帐号-口令，电子证书等。62ppt课件怎样构建一个安全的网络？网络安全风险分析网络安全对策63ppt课件网络安全对策物理层安全解决方案网络层安全解决方案系统层安全解决方案应用层安全解决方案64ppt课件物理层安全解决方案环境安全对系统所在环境的安全保护，如区域保护和灾难保护。对电子计算机机房设计规范、计算机场地技术条件、计算机场地安全要求国家均制定了一系列的安全规范。设备安全设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；设备冗余备份等都可通过严格管理及提高员工的整体安全意识来实现。线路安全。为了防止系统中的信息在空间上的扩散，通常是在物理上采取一定的防护措施，来减少或干扰扩散出去的空间信号。65ppt课件网络层安全解决方案防火墙安全技术建议 在内部网络和Internet边界都应安装防火墙，并需要实施相应的安全策略控制 入侵检测安全技术建议 在内联网各节点需要重点保护网段的主交换机上配备入侵检测系统的探测器，通过中心的控制台对各节点所有探测器进行集中统一管理。包括制定安全策略、修改安全策略以及升级攻击代码库等。66ppt课件网络层安全解决方案数据传输安全建议 为保证数据传输的机密性和完整性，建议在网络中采用安全VPN系统，统一安装VPN设备，对于移动用户安装VPN客户端软件。67ppt课件网络设备安全建议在漏洞扫描与风险评估的基础上对网络设备进行安全性增强配置 68ppt课件系统层安全解决方案操作系统安全技术 为了加强操作系统的安全管理，要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。数据库安全技术 U 自主访问控制（DAC）：DAC用来决定用户是否有权访问数据库对象。u 验证：保证只有授权的合法用户才能注册和访问。U 授权：对不同的用户访问数据库授予不同的权限。审计：监视各用户对数据库施加的动作。U 数据库管理系统应能够提供与安全相关事件的审计能力。系统应提供在数据库级和纪录级标识数据库信息的能力。69ppt课件应用层安全解决方案身份认证技术 公开密钥基础设施(PKI)防病毒技术 建立一个全方位的病毒防范系统是网络系统安全体系建设的重要任务。要求为：能够配置成分布式运行和集中管理，由防病毒代理和防病毒服务器端组成。公开服务器安全性增强方案 安装防火墙进行访问控制和隔离 安装入侵监测系统实时检测进出服务器网络的数据流 对www服务器实施页面保护 对重要服务器系统配置配置备份和灾难恢复系统。70ppt课件网络安全小结网络安全的一些基本知识常见的攻击手段及技术网络安全的目标和任务网络安全解决方案71ppt课件