电商安全复习资料.doc

1章 电子商务安全基础1商务：是经济领域特别是市场经济环境下的一种社会活动，它涉及货品、服务、金融、知识信息等的交易。2电子商务：建立在电子技术基础上的商业运作，是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。3电子商务的模式：BtoB，企业机构之间的电子商务活动。（最先出现）BtoC，企业机构和消费者之间的电子商务活动。CtoC，消费者之间的电子商务活动。BtoG，企业机构和政府之间的电子商务活动。4电子商务的技术要素有：网络、应用软件、硬件：计算机硬件技术5几种常见的电子商务模式：大字报/告示牌模式、在线黄页簿模式、电脑空间上的小册子模式、虚拟百货店模式、预订/订购模式、广告推销模式。6Internet：通过传输控制协议(TCP)和网际协议(IP)交换数据的计算机通信网络。7Intranet：指基于TCP/IP协议的企业内部网络，它通过防火墙或其它安全机制与Internet建立连接。Intranet上提供的服务主要面向的是企业内部。8Extranet：指基于TCP/IP协议的企业外域网络，它是一种企业之间的合作性网络。9OSI与TCP/IP之比较10电子商务的运作模式：(1)信息流：询价(2)商流：合同(3)资金流：资金支付(4)物流：商品交付11发展电子商务的驱动力：信息产品硬件制造商、信息产品软件制造商、大型网上服务厂商、银行和金融机构、大企业、政府12中国主要的ISP：(1)中国科技网CSTNET(2)中国公用计算机互联CHINANET(3)中国教育和科研计算机互联网CERNET(4)中国联通互联网UNINET(5)中国网通公用互联网CNCNET (6)中国国际经济贸易互联网CIETNET(7)中国移动互联网CMNET(8)中国铁通互联网CRNET (9)中国卫星通信网CHINASATCOM13电子商务存在的安全隐患（1）计算机系统的安全隐患：硬件系统、软件系统（2）电子商务的安全隐患（电子商务自身独有的问题）1)数据的安全：数据大量、商业机密2)交易的安全：交易手续、收据凭证、签名盖章，避免恶意诈骗14电子商务系统可能遭受的攻击(1)系统穿透 (2)违反授权原则(3)植入(4)通信监视 (5)通信窜扰 (6)中断(7)拒绝服务 (8)否认 (9)病毒15电子商务安全的中心内容：商务数据的机密性、商务数据的完整性、商务对象的认证性、商务服务的不可否认性、商务服务的不可拒绝性、访问的控制性。16商务数据的完整性：是保护数据不被未授权者修改，建立，嵌入，删除，重复传送或由于其他原因使原始数据被更改。在存储时，要防止非法篡改，防止网站上的信息被破坏。17商务数据的机密性：是指信息在网络上传送或存储的过程中不被他人窃取，不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。(2)商务数据的完整性(3)商务对象的认证性(4)商务服务的不可否认性(5)商务服务的不可拒绝性(6)访问的控制性(7)其它内容 匿名性业务（业务分离、个人隐私）17产生电子商务安全威胁的原因（1）Internet在安全方面的缺陷（2）我国电子商务安全威胁的特殊原因：我国的计算机主机、网络交换机、路由器和网络操作系统大多来自国外；密钥较短（3）Internet的安全漏洞（4）TCP/IP协议及其应用的不安全性18外界攻击，Internet安全的类型分为主动攻击(明显可知)、被动攻击(窃听信息)被动攻击：是攻击者不介入Internet中的信息流动，只是窃听其中的信息。被动攻击后，被攻击的双方往往无法发现攻击的存在。(1)截断信息（可用性）(2)伪造（机密性、完整性、认证性）(3)篡改（机密性、完整性、认证性）(4)介入（窃听，机密性）19TCP/IP协议简介(1)源主机：一个文件信息被拆分成多个有一定序号的IP包（目标IP地址+序号）传送出去(2)目的主机：将多个IP包按一定序号组合成一个文件信息(3)端到端(end to end)的稳定连接：TCP(4)端到端的不稳定连接：UDPIP协议的安全隐患TCP劫持入侵：是对服务器的最大威胁之一，其基本思想是控制一台连接于入侵目标网的计算机，然后从网上断开，让网络服务器误以为黑客就是实际的客户端。(1)针对IP的“拒绝服务”攻击(2)IP地址顺序号预测攻击步骤首先，得到服务器的IP地址。黑客一般通过网上报文嗅探，顺序测试号码，由web连接到结点上并在状态栏中寻找结点的IP地址。然后，攻击者在试过这些IP地址后，可以开始监视网上传送包的序号，推测服务器可能产生的下一个序列号，再将自己插入到服务器和用户之间，模仿IP地址及包裹序列号以愚弄服务器，使之成为受到信任的合法网络用户，接着便可访问系统传给服务器的密钥文件、日志名、机密数据等信息。(3)TCP协议支持入侵（在被攻击的目标网络中控制一台主机）(4)嗅探入侵（用一个合法用户的信息注册于一个分布式网络上，嗅探传送的IP数据包）HTTP和Web的不安全性(1)HTTP协议的 “无记忆状态”协议：即服务器在发送给客户机的应答后便遗忘了些次交互。TELNET等协议是“有记忆状态”的，它们需记住许多关于协议双方的信息，请求与应答。(2)HTTP协议中的不安全性(3)Web站点的安全隐患E-mail、Telnet及网页的不安全性(1)E-mail的不安全性（ASCII明码）(2)入侵Telnet会话（Telnet本身的缺陷）(3)网页做假(4)电子邮件炸弹和电子邮件列表链接邮件炸弹：是攻击者向同一个邮件信箱发送大量的垃圾邮件，以堵塞该邮箱。5web站点可能遇到的安全威胁（1）安全信息被破译（2）非法访问（3）交易信息被截获（4）软件漏洞被利用（5）当CGI脚本编写的程序或其他涉及远程用户从浏览器输入表格并进行像检索之类在主机上直接执行命令时，会给web主机系统造成危险7电子商务安全威胁采取的相应对策：(1)保密业务(2)认证业务(3)接入控制业务 (4)数据完整性业务(5)不可否认业务：在数字环境下可看做通信的一种属性，用来防止通信参与者对己进行的业务否认。(6)研发自主知识产权的电子商务安全产品(7)按相关法律法规来规范企业电子商务设施的建设和管理8美国的可信任的计算机安全评估标准为计算机安全的不同级别制定了4个标准，由低到高分别为D、C（C1、C2）、B（B1、B2、B3）、A级。（其中A级是最安全的）第2章 电子商务安全需求与密码技术1电子商务的安全需求：可靠性、真实性、机密性、完整性、有效性、不可抵赖性、内部网的严密性。2电子商务的可靠性：是指电子商务系统的可靠性，电子商务系统也就是计算机系统，其可靠性是指为防止由于计算机失效，程序错误，传输错误，硬件故障，系统软件错误，计算机病毒和自然灾害等所产生的潜在威胁，并加以控制和预防，确保系统安全可靠性。3电子商务的真实性：是指商务活动中交易身份的真实，即交易双方确实存在的，不是假冒的。4明文：原始的、未被伪装的消息称做明文，也称信源。通常用M表示。密文：通过一个密钥和加密算法可将明文变换成一种伪装的信息，称为密文。通常用C表示。加密：就是用基于数学算法的程序和加密的密钥对信息进行编码，生成别人难以理解的符号，即把明文变成密文的过程，通常用E表示。解密：由密文恢复成明文的过程，称为解密。通常用D表示。加密算法：对明文进行加密所采用的一组规则，即加密程序的逻辑称做加密算法。解密算法：消息传送给接受者后，要对密文进行解密时所采用的一组规则称做解密算法。密钥：加密和解密算法的操作通常都是在一组密钥的控制下进行的，分别称作加密密钥和解密密钥。通常用K表示。4单钥密码体制：是加密和解密使用相同或实质上等同的密钥的加密体制。5单钥密码体制的特点：(1)加密和解密的速度快，效率高。(2)单钥密码体制的加密和解密过程使用同一个密钥。6.替换加密和转换加密的主要区别：在替换加密法中，原文的顺序没被改变，而是通过各种字母映射关系把原文隐藏了起来。转换加密法是将原字母的顺序打乱，将其重新排列。7.单钥密码体制的几种算法:DES、IDEA、RC-5、AES。8.IDEA加密算法是既能用于数据加密、又能用于数字签名的算法。1)采用三种基本运算：异或运算、模加、模乘2)首先将明文分为64位的数据块，然后进行8轮迭代和一个输出变换。3)IDEA的输入和输出都是64位，密钥长度为128位。9.双钥密码体制又称作公共密钥体制或非对称加密体制，这种加密法在加密和解密过程中要使用一对（两个）密钥，一个用于加密，另一个用于解密。这样每个用户都拥有两个（一对）密钥：公共密钥(公钥)和个人密钥(私钥)，公共密钥用于加密，个人密钥用于解密。用户将公共密钥交给发送方或公开，信息发送者使用接收人的公共密钥加密的信息只有接收人才能解密。10.双钥密码体制算法的特点：(1)适合密钥的分配和管理(2)算法速度慢，只适合加密小数量的信息11.双钥密码体制的原理 (1)参与方B容易通过计算产生一对密钥（公开密钥KUb和私有密钥KRb）。(2)在知道公开密钥和待加密报文M的情况下，对于发送方A，很容易通过计算产生对应的密文：CEKUb(M)(3)接收方B使用私有密钥容易通过计算解密所得的密文以便恢复原来的报文：MDKRb(C)DKRb(EKUb(M)(4)敌对方即使知道公开密钥KUb，要确定私有密钥KRb在计算上是不可行的。(5)敌对方即使知道公开密钥KUb和密文C，要想恢复原来的报文M在计算上也是不可行的。(6)加密和解密函数可以按两个次序中的任何一个来使用:MDKRb(EKUb(M) M=EKUb(DKRb(M)12属于使用两个密钥进行加密的单钥密码体制的是双重DES、三重DES。13. 属于公钥加密体制的算法包括RSA、ECC 、ELGamal。14双钥密码体制的几种算法：(1)RSA加密算法（重点掌握）(2)ELGamal密码体制(3)椭圆曲线密码体制(ECC)15.RSA加密算法的具体做法：1)随机选择两个大素数p与q，且pq=n2)计算n的欧拉函数值： (n)= (pq)= (p-1)(q-1)3)随机选择一个大的正整数e，e满足小于n且与(n)互素的条件，即e与(n)的最大公因子是14)根据e，(n)计算另外一个值d，d是e的乘法逆元，且(n)是它们的模，由模算及乘法逆元的性质，de=1 mod (n)。则两个二元组(e,n),(d,n)构成RSA的密钥对，选择其中任意一个二元组作为公钥，则另外一个就为私钥。16.单钥密码体制和双钥密码体制的比较17密钥管理包括密钥的设置、产生、分配、存储、装入、保护、使用以及销毁等内容。18.最底层的密钥也叫工作密钥，作为数据加密密钥，用于直接对数据加解密，所有上层的密钥都是密钥加密密钥。工作密钥并不放在加密装置中保存，而是在需要时由上层的密钥临时产生，使用完毕后立即清除。19.最高层的密钥也叫主密钥，是整个密钥管理系统中去的最核心、最重要的部分，应采用最保险的手段严格保护。20.现代密钥分配一般解决两个问题：引进自动分配密钥机制，提高系统效率；尽可能减少系统中驻留的密钥量。21.两种自动密钥分配途径：集中式分配方案：利用网络中的“密钥管理中心”来集中管理系统中的密钥，中心接受系统中用户的请求，为用户提供安全分配密钥的服务分布式分配方案：网络中各主机具有相同的地位，它们之间的密钥分配取决于它们自己的协商，不受任何其它方面的限制22.Diffie-Hellman密钥交换体制：用指数对一个素数求模的运算来进行直接密钥交换，是一个安全的密钥分配协议。23. 密钥的托管加密标准EES（密钥的分配）有两个特点：(1)一个新的加密算法(Skipjack算法)(2)一个密钥托管系统24.一个密码体制的安全性取决于破译者具备的计算能力。25.无条件安全（理论安全）：一个密码体制对于拥有无限计算资源的破译者来说是安全的26.计算上安全（实用安全）：一个密码体制对于拥有有限计算资源的破译者来说是安全的27.目前已知的无条件安全的密码体制都是不实用的；同时还没有一个实用的密码体制被证明是计算上安全的第3章 密码技术的应用1数据完整性（目的）：是指数据处于“一种未受损的状态”和“保持完整或未被分割的品质或状态”。保持数据完整性是指在有自然或人为干扰的条件下，网络嵌入、删除及重复传送，或防止由于其他原因使原始数据被更改。2数据完整性被破坏的严重后果(1)造成直接的经济损失。(2)影响一个供应链上许多厂商的经济活动。(3)可能造成过不了“关”。(4)会牵涉到经济案件中。(5)造成电子商务经营的混乱与不信任。3.双密钥加密：它是一对匹配使用的密钥。一个是公钥，是公开的，其他人可以得到；另一个是私且，为个人所有。这对密钥经常一个用来加密，一个用来解密。4散列函数也叫哈希函数、杂凑函数、压缩函数、收缩函数、消息摘要、数字指纹等,是实现数据完整性的主要手段。是将一个长度不确定的输入串转换成一个长度确定的输出串称为散列值。也叫哈希值、杂凑值和消息摘要。实际中也常常借助于纠错检错技术来保证消息的完整性。5.简述散列函数应用于数据的完整性。答：可用多种技术的组合来认证消息的完整性。为消除因消息被更改而导致的欺诈和滥用行为，可将两个算法同时应用到消息上。首先用散列算法，由散列函数计算机出散列值后，就将此值消息摘要附加到这条消息上。当接收者收到消息及附加的消息摘要后，就用此消息独自再计算出一个消息摘要。如果接收者所计算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息没有被篡改。6常用散列函数(1)MD一4：MD-4散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是512。(2)MD一5散列算法。(3)安全散列算法(SHA)。(4)其他散列算法。7安全散列算法(SHA):美国NIST和NSA设计的一种标准算法安全散列算法SHA，用于数字签名标准算法DSS，亦可用于其他需要散列算法的场合，具有较高的安全性。输入消息长度小于264比特，输出压缩值为160比特而后送给DSA计算此消息的签名。这种对消息散列值的签名要比对消息直接进行签名的效率更高。8.散列函数应用于数据的完整性的方法(1)首先用散列函数对某条消息计算出散列值后，将此值附加到这条消息上，然后发出消息及其散列值。(2)当接收者收到消息及附加的消息摘要后，就用此消息独自再计算出一个消息摘要。(3)如果接收者所计算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息没有被篡改。9数字签名：是保证认证性和不可否认性的电子商务安全技术,对于用散列函数处理得到的消息摘要，再用双钥密码体制的私钥加密，得到的密文被称为数字签名。是利用数字技术实现在网络传送文件时，附加个人标记，完成传统上手书签名盖章的作用，以表示确认、负责、经手等。数字签名与消息的真实性是不同的。消息认证是使接收方能验主消息发送及所发信息内容是否被篡改过。当接收者和发送者之间相互有利害冲突时，单纯用消息认证技术就无法解决他们之间的纠纷，需借助数字签名技术。10数字签名的使用方法是：(1)消息M用散列函数H得到消息摘要h1=H(M)。(2)发送方用自己的双钥密码体制的私钥对这个消息摘要进行加密h=EKSA(h1)，形成数字签名。(3)发送方将这个数字签名作为消息M的附件消息一起发送给消息的接收方。(4)接收方从接收到的原始消息M中计算出消息摘要h2=H(M)。(5)接收方用发送方的双钥密码体制的公钥来对消息的数字签名进行解密h1=DKPA(h)。(6)如果h1=h2，表明接收方确认数字签名是发送方的，而且还可以确定此消息没有被篡改过。11数字签名的要求：(1)接收方B能够确认或证实发送方A的签名，但不能由B或第三方C伪造；(2)发送方A发出签名的消息给接收方B后，A就不能再否认自己所签发的消息；(3)接收方B对已收到的签名消息不能否认，即有收报认证；(4)第三者C可以确认收发双方之间的消息传送，但不能伪造这一过程。12数字签名的作用：(1)如果他人可以用公钥正确地解开数字签名，则表示数字签名的确是由签名者产生的。(2)如果消息M是用散列函数H得到的消息接要H(M)，和消息的接收方从接收到的消息M计算出散列值H(M)，这两种消息摘要相同则表示文件具有完整性。13数字签名解决下述安全鉴别问题：(1)接收方伪造(2)发送者或接收者否认(3)第三方冒充(4)接收方篡改14数字签名与消息的真实性认证有什么不同？实体认证与消息认证的差别在于，消息认证本身不提供时间性，而实体认证一般都是实时的。另一方面，实体认证通常证实实体本身，而消息认证除了证实消息的合法性和完整性外，还要知道消息的含义。消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。但当接收者和发送者之间相互有利害冲突时，单纯用消息认证技术就无法解决他们之间的纠纷，此是需借助数字签名技术。15.数字签名和手书签名有什么不同？手书签名是模拟的，因人而异，即使同一个人也有细微差别，比较容易伪造，要区别是否是伪造，往往需要特殊专家。而数字签名是0和1的数字串，极难伪造，不需专家。对不同的信息摘要，即使是同一人，其数字签名也是不同的。这样就实现了文件与签署的最紧密的“捆绑”。16.数字签名可以解决哪些安全鉴别问题？（1）接收方伪造：接收方伪造一份文件，并声称这是发送方发送的；（2）发送者或收者否认：发送者或接收者事后不承认自己曾经发送或接收过文件；（3）第三方冒充：网上的第三方用户冒充发送或接收文件；（4）接收方篡改：接收方对收到的文件进行改动。17.无可争辩签名：在没有签名者自己的合作下不可能验证签名。这种签名是为了防止所签文件被复制，有利于产权拥有者控制产品的散发。但是，需要“否认协议”，以表明签名的真伪。因为签名者有可能在不利于他时拒绝合作，去证明一个伪造的签名的确是假的。18. 无可争辩签名有何优缺点？无可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。它是为了防止所签文件被复制，有利于产权拥有者控制产品的散发。适用于某些应用，如电子出版系统，以利于对知识产权的保护。在签名人合作下才能验证签名，又会给签名者一种机会，在不利于他时可拒绝合作，因而不具有“不可否认性”。无可争辩签名除了一般签名体制中的签名算法和验证算法外，还需要第三个组成部分，即否认协议：签名者利用无可争辩签名可向法庭或公众证明一个伪造的签名的确是假的；但如果签名者拒绝参与执行否认协议，就表明签名真的由他签署。19确定性数字签名：其明文与密文一一对应，它对一特定消息的签名不变化。20随机式数字签名：根据签名算法中的随机参值，对同一消息的签名也有对应变化。21盲签名：一般数字签名中，总是要先知道文件内容而后才签署，这正是通常所需要的。但有时需要某人对一个文件签名，而又不让他知道文件内容，称为盲签名。盲签名在选举投票和数字货币协议中使用。例：用实际钞票的时候，钞票上有没有写你的名字？当然没有，我们也不希望。但是，银行通过追踪用户自己发出的签名，来获得用户的消费情况，于是就设计出盲签名。22.完全盲签名：设1是一位仲裁人，2要1签署一个文件，但不想让他知道所签的文件内容是什么，而1并不关心所签的内容，他只是确保在需要时可以对此进行仲裁，这时便可通过完全盲签名协议实现。完全盲签名就是当前对所签署的文件内容不关心，不知道，只是以后需要时，可以作证进行仲裁。23.双联签名(双重签名)：在一次电子商务活动过程中可能同时有两个有联系的消息M1和M2，要对它们同时进行数字签名。24数字信封：发送方用一个随机产生的DES密钥加密消息，然后用接收方的公钥加密DES密钥，称为消息的“数字信封”，将数字信封与DES加密后的消息一起发给接收方。接收者收到消息后，先用其私钥找开数字信封，得到发送方的DES密钥，再用此密钥去解密消息。只有用接收方的RSA私钥才能够找开此数字信封，确保了接收者的身份。25简述数据交换时如何利用数字信封来确保接收者的身份。答：发送方用一个随机产生的DES密钥加密信息，然后用接收方的公钥加密DES密钥，形成消息的“数字信封”。发送方将数字信封与DES加密后的消息一起发给接收方。接收者收到消息后，先用其私钥打开数字信封，得到发送方的DES密钥后，再用此密钥去解密消息。只有用接收方的RSA私钥才能打开此数字信封，确保了接受者的身份。26.混合加密系统：综合利用消息加密，数字信封，散列函数和数字签名实现安全性，完整性，可鉴别和不可否认。成为目前信息安全传送的标准模式，一般把它叫作“混合加密系统”，被广泛采用。27.数字时间戳应当保证：(1)数据文件加盖的时戳与存储数据的物理媒体无关(2)对已加盖时戳的文件不可能做丝毫改动(3)想要对某个文件加盖与当前日期和时间不同时戳是不可能的28.数字时间戳仲裁方案：利用散列函数和数字签名协议实现(1)A产生文件的散列函数值(2)A将散列函数值传送给B(3)B在收到的散列函数值的后面附加上日期和时间，并对它进行数字签名(4)B将签名的散列函数值和时戳一起送还给A4)但是，A和B可能会合谋生成任何想要的时戳(例如，构造虚假的交易洗黑钱)第4章 网络系统物理安全与计算机病毒的防治1网络物理安全：指物理设备可靠，稳定运行环境，容错，备份，归档和数据完整性预防。2容错技术的目的及其常用的容错技术:目的是当系统发生某些错误或故障时，在不排除错误和故障的条件下使系统能够继续正常工作或进入应急工作状态。容错技术最实用的一种技术是组成冗余系统。冗余系统是系统中除了配置正常的部件以外，还配制出的备份部件。当正常的部件出现故障时，备份部件能够立即取代它继续工作。当然系统中必须另有冗余系统的管理机制和设备。另有一种容错技术是使用双系统。用两个相同的系统共同承担同一项任务，当一个系统出现故障时，另一系统承担全部任务。如双电源系统。3网络备份系统：备份系统使用了恢复出错系统的办法之一。当丢失了系统的数据完整性后，可以用备份系统将最近的一次系统备份恢复到机器上去。在局域网环境中做备份系统工作容易出错。现在网络系统的备份工作变得越来越困难，其原因是网络系统的复杂性随着不同的操作系统和网络应用软件的增加而增加。4数据（文件）备份是指为防止系统出现操作失误或系统故障导致数据丢失，而将全系统或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。传统的数据备份主要是采用数据内置或外置的磁带机进行冷备份。5容灾与数据备份(1)两者关系：数据备份是容灾的基础，容灾是一个系统工程。(2)容灾等级：国际标准SHARE78分类七个层次第0级：本地冗余备份，无异地备份数据。第1级：数据介质转移，有异地备份数据，无备用系统。第2级：应用系统冷备，有备用系统，备份系统休眠。第3级：数据电子传送，网络连接存储系统，备份系统休眠。第4级：应用系统温备，备份系统处于活动状态，小时级。第5级：应用系统热备，硬件镜像、数据复制技术，分钟级。第6级：数据零丢失，数据在本地、远程两次写完后才有效。6网络备份系统，目前有三种基本的备份系统(1)简单的网络备份系统：在网络上的服务器直接把数据通过总线备份到设备中。也可把数据通过对网络经过专用的工作站备份到工作站的设备中。(2)服务器到服务器的备份：在网络上的一个服务器除了把数据通过总线备份到自己设备中以外，同时又备份到另一个服务器上。(3)使用专用的备份服务器：不同于第二种中所说的另一类服务器，它主要的任务是为网络服务的服务器，使用专用服务器可以使备份工作更加可靠。7数据文件的常见的备份方式：(1)定期磁带备份数据(2)远程磁带库、光盘库备份(3)远程关键数据并兼有磁带备份(4)远程数据库备份(5)网络数据镜像 (6)远程镜像磁盘8数据备份与传统的数据备份的概念：数据备份，是指为防止系统出现操作失误或系统故障导致数据丢失，而半全系统或部分数据集合从应用主机的硬件或阵列复制到其他的存储介质的过程。9备份：是恢复出划系统的办法之一，可以用备份系统将最近的一次系统备份恢复到机器上去。10归档：是指将文件从计算机的存储介质中转移到其他永久性的介质上，以便长期保存的过程。归档不同于备份，备份的目的在于从灾难中恢复。11归档与备份的区别：归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的，以便长期保存的过程。备份的目的是从灾难中恢复。归档是把需要的数据拷贝或打包，用于长时间的历史性的存放，归档可以清理和整理服务器中的数据。归档也是提高数据完整性的一种预防性措施。12提高数据完整性的预防性措施：(1)镜像技术：是数据备份技术的一种，主要有网络数据镜像，远程镜像磁盘等。(2)故障前兆分析(3)奇偶校验:是服务器的一种子特征，它们提供一种机器机制来保证对内存错误的检测，因此，不会引起由于服务的出错，导致数据完整性的丧失。(4)隔离不安全的人员(5)电源保障13物理隔离网闸，是利用双主机形式，从物理上来隔离阻断潜在攻击的连接，其中包括一系列的阻断特征，如没有通信连接，没有命令，没有协议，没有TCP/IP连接，没有应用连接，没有包转发，只有裸数据“摆渡”，对固态介质只有读和写两个命令。其结果是无法攻击，无法入侵，无法破坏。14对物理隔离的理解表现为以下几点：(1)阻断网络的直接连接，即没有两个网络同时连在隔离设备上；(2)阻断网络的互联网逻辑连接，即TCP/IP的协议必需被剥离，将原始数据通过P2P的非TCP/IP连接协议透过隔离设备传递；(3)隔离设备的传输机制具有不可编程的特性，不具有感染的特性；(4)任何数据都是通过两级移动代理的方式来完成，两级移动代理之间是物理隔离的；(5)隔离设备具有审查的功能；(6)隔离设备传输的原始数据，不具有攻击或对网络安全有害的特性。就像txt文本不会有病毒一样，也不会执行命令等。(7)强大的管理和控制功能。15.物理隔离的技术路线：(1)网络开关(2)实时交换(3)单向连接16计算机病毒：指编制者在计算机程序中插入的程序代码，这个程序代码有以下特点：(1)破坏计算机功能(2)毁坏数据(3)影响计算机使用(4)能自我复制（能将自身附着在各种类型的文件上，当文件从一个用户传送到另一个用户时，就随同文件一起蔓延开来）17.计算机病毒的特征:(1)非授权可执行性 (2)隐蔽性(3)传染性 (4)潜伏性(5)表现性或破坏性(6)可触发性18.计算机病毒是如何产生的：是人为产生的，是编制者在计算机程序中插入的破坏计算机功能，或毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。19计算机病毒的分类:(1)按寄生方式分为引导型病毒：是指寄生在磁盘引导区或主引导区的计算机病毒。文件型病毒：是指能够寄存在文件中的计算机病毒。这类病毒程序感染可执行文件或数据文件。复合型病毒(2)按破坏性分为良性病毒：是指那些只是为了表现自身，并不彻底破坏系统和数据，但会大量占用CPU时间，增加系统开销，降低系统工作效率的一类计算机病毒。如：小球病毒、扬基病毒救护车病毒恶性病毒：是指那些一旦发作后，就会破坏系统或数据，造成计算机系统瘫痪的一类计算机病毒。20.计算机病毒的主要来源:(1)引进的计算机系统和软件中带有病毒(2)各类出国人员带回的机器和软件染有病毒(3)一些染有病毒的游戏软件(4)非法拷贝中毒(5)计算机生产、经营单位销售的机器和软件染有病毒(6)维修部门交叉感染(7)有人研制、改造病毒(8)敌对分子以病毒为载体进行宣传和破坏(9)通过互联网络传入21.计算机病毒的防治策略:(1)依法治毒(2)建立一套行之有效的病毒防治体系(3)制定严格的病毒防治技术规范第5章 防火墙与VPN技术1防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其它外部网络互相隔离、限制网络互访，用来保护内部网络。2.设置防火墙的目的：(1)在内部网和外部网之间设立唯一通道(2)提供内、外两个网络间的访问控制(3)通过一定的安全策略防止发生网络安全事件引起的危害3防火墙的基本组成:(1)安全操作系统。(2)过滤器。(3)网关。(4)域名服务器。(5)Email处理。4防火墙具备的功能：(1)针对个人终端和端口提供信息流过滤(2)对网络信息流进行稽核和监控5(1)外网(非受信网络)：防火墙外的网络，一般为Internet。(2)内网(受信网络)：防火墙的网络。受信主机和非受信主机分别对照内网和外网的主机。(3)非军事化区(DMZ)：它是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题，而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。6.防火墙的作用：保护主系统的安全；过滤不安全的、易受攻击的服务；控制对网点系统的访问；集中身份认证、安全访问等软件，降低成本；提供网络使用率的统计数字，可供分析或告警；提供实施和执行网络访问安全策略7.防火墙的设计须遵循以下基本原则：(1)由内到外和由外到内的业务流必须经过防火墙。(2)只允许本地安全政策认可的业务流通过防火墙。(3)尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网。(4)具有足够的透明性，保证正常业务的流通。(5)具有抗穿透攻击能力、强化记录、审计和告警。8.防火墙的分类(1)包过滤型：检查进出防火墙的IP包标头内容，如来源及目的IP地址、控制协议TCP或UDP、访问端口Port等信息。缺点是无法控制“连线”能力。处理效率最高。如：防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙(2)包检验型：包过滤型的加强版，增加了控制“连线”能力。缺点是无法识别“IP欺骗”。9.防火墙原理：监测引擎软件在不影响网络正常运行的前提下，采用抽取有关数据的方法对网络通信的各层实施监测，抽取状态信息，并动态的保存起来，作为执行安全策略的参考，根据这些状态信息，可对防火墙外界用户的访问操作进行“行为分析”，对“正常行为”放过，拦截“不正常行为”。10.防火墙的优缺点：(1)优点1)遏制来自Internet各种路线的攻击2)借助网络服务选择，保护网络中脆弱的易受攻击的服务3)监视整个网络的安全性，具有实时报警提醒功能4)作为部署NAT的逻辑地址5)增强内部网中资源的保密性，强化私有权(2)缺点1)限制了一些有用的网络服务的使用，降低了网络性能2)只能限制内部用户对外的访问，无法防护来自内部网络用户的攻击3)不能完全防止传送感染病毒的软件或文件，特别是一些数据驱动型的攻击数据4)被动防守，不能防备新的网络安全问题11防火墙不能解决的问题(1)防火墙无法防范通过防火墙以外的其他途径的攻击。(2)防火墙不能防止来自内部变节者和不经心的用户带来的威胁。(3)防火墙也不能防止传送已感染病毒的软件或文件。(4)防火墙无法防范数据驱动型的攻击。12虚拟专用网VPN通过一个公共网络建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，它是对企业内部网的扩展。是一种架构在公用通信基础设施上的专用数据通信网络，利用网络层安全协议 和建立在PKI上的加密与签名技术来获得机密性保护。13VPN提供如下功能：(1)加密数据：保证通过公网传输的信息不泄漏。(2)信息认证和身份认证：保证信息的完整性、合法性，鉴别用户的身份。(3)提供访问控制：不同的用户有不同的访问权限。14. 按照接入方式的不同，VPN的具体实现方式（解决方案）有：（1）虚拟专用拨号网络；（2）虚拟专用路由网络；（3）虚拟租用线路；（4）虚拟专用LAN子网段。15VPN的优点：(1)成本较低(2)网络结构灵活(3)管理方便(4)VPN是一种特殊的、虚拟的“点对点”连接，它使用“隧道”(Tunnel)技术,数据包在公共的Internet网络上专门开辟的“隧道”内传输。16组建VPN应该遵循的设计原则（1010论述）：P90(1)安全性：VPN直接构建在Internet公用网上(2)网络优化：充分利用有限的广域网资源(3)VPN管理：网管功能无缝地延伸到公用网在安全性方面，企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且在防止非法用户对网络资源或私有信息的访问。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴17VPN的基础：隧道协议VPN利用隧道协议在网络之间建立一个虚拟通道，以完成数据信息的安全传输。隧道协议主要包括以下几种：(1)互联网协议安全IPSec（基于防火墙的VPN系统的协议）。(2)第2层转发协议L2F。(3)点对点隧道协议PPTP。(4)通用路由封装协议GRE。18.隧道的基本组成(1)一个隧道启动器(2)一个路由网络(Internet)(3)一个可选的隧道交换机(4)一个或多个隧道终结器19.IPSec：协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括以下主要协议：20IPSec有两种工作模式：(1)隧道模式：可以对IP头和IP数据进行加密认证，即协议使IP包通过隧道传输。(2)传输模式：可以对IP数据进行加密认证，即协议为高层数据提供基本的保护。21选择VPN解决方案时的几个要点：(1)认证方法：PKI(2)支持的加密算法：三重DES、AES(3)支持的认证算法：MD5、SHA1(4)支持的IP压缩算法：DEFI、ATE、LZS(5)易于部署(6)兼容分布式或个人防火墙的可用性22.VPN的适用范围：(1)位置众多，特别是单个用户和远程办公室站点多(2)用户/站点分布范围广，彼此距离远(3)带宽和时延要求相对不高(4)对线路保密性和可用性有一定要求23.VPN不适用的范围：(1)非常重视传输数据的安全性(2)性能第一位(3)采用不常见的专用协议，不能在IP隧道中传送(4)实时的多媒体通信24VPN的分类：(1)按VPN的部署模式分类：1)端到端模式 2)供应商企业模式 3)内部供应商模式(2)按VPN的服务类型分类：1)远程接入VPN 2)企业内联网VPN 3)企业外联网VPN25.Access VPN：流动员工、远程办公人员使用Access VPN通过公用网络与企业的内部网络建立专用的网络连接26.Intranet VPN：通过公用网络、使用专用连接把企业总部和各远程分部（或分支）连接到内部网络注意：它只允许企业内部员工访问27.Extranet VPN：通过公用网络、使用专用连接把外部客户、合作伙伴等连接到企业的内部网络注意：它允许企业之外的用户访问第6章 接入控制与数据库加密1.接入控制：通过一组机制控制不同级别的主体对目标资源的不同授权访问，在对主体认证之后实施网络资源安全管理使用。2.Internet上接入控制主要对付三类入侵者(1)伪装者：非法用户，来自外部，乔装合法用户渗透进入系统。(2)违法者：合法用户，来自外部，非法访问未授权数据、程序或资源。(3)地下用户：非法用户，来自内、外部，试图掌握系统的管理控制，逃避审计和接入控制或抑制审计作用的人。3.接入控制的功能：(1)阻止非法用户进入系统(2)允许合法用户进入系统(3)使合法用户按其权限进行各种信息活动4. 接入控制技术在入网访问控制方面具体的实现手段有：用户名的识别、用户名的验证、用户口令的识别、用户口令的验证、用户帐号默认限制检查。5接入控制机构由用户认证和授权两部分组成6.主体：对目标进行访问的实体，可为用户、用户组、终端、主机或一个应用程序客体：一个可接受访问和受控的实体，可以是一个数据文件、一个程序组或一个数据库接入权限：主体对客体访问时可拥有的权利，接入权按每一对“主体-客体”分别限定，权利包括“读、写、执行”、“添加、修改、查询、删除”等7.接入控制策略(1)最小权益策略：按主体执行任务所需权利最小化分配权力(2)最小泄露策略：按主体执行任务所知道的信息最小化原则分配权力(3)多级安全策略：主体和客体按普通、秘密、机密、绝密级划分，进行权限和流向控制8.接入控制的方式：自主式接入控制：简记为DAC。它由资源拥有者分配接入权，在辨别各用户的基础上实现接入控制。每个用户的接入权由数据的拥有者来建立，常以接入控制表或权限表实现。强制式接入控制：简记为MAC。它由系统管理员来分配接入权限和实施控制，易于与网络的安全策略协调，常用敏感标记实现多级安全控制。 9.数据加密的必要性(1)网络技术、网络协议是公开的(2)操作系统的漏洞(3)网络是黑客窃取情报的场所(4)我国网络技术落后10.数据加密的作用(看不懂、改不了)(1)解决外部黑客侵入后盗窃数据的问题(2)解决外部黑客侵入后篡改数据的问题(3)解决内部黑客侵入后盗窃数据的问题(4)解决内部黑客侵入后篡改数据的问题(5)解决CPU、操作系统等被黑客软件安装木马的问题11.数据加密方法(1)使用加密软件加密数据(2)使用专用软件加密数据库数据：Lotus Domino12.加密桥技术（原理）:是一种在加/解密卡的基础上开发加密桥的技术。可实现：在不存在降低加密安全强度的旁路条件下，为数据库加密字段的存储、检索、索引、运算、删除、修改等功能提供接口。它的实现与密码算法、密码设备无关，可使用任何加密手段。13. 在加密解密卡的基础上开发的数据库加密应用设计平台是使用加密桥技术。14.加密桥技术的优点：加密桥与DBMS分离(1)解决了数据库加密数据没有非密旁路漏洞的问题(2)便于解决“数据库加密应用群件系统”在不同DBMS之间的通用性(3)便于解决系统在DBMS不同版本之间的通用性(4)不必去分析DBMS的原代码(5)加密桥用C+编写，便于在不同的操作系统之间移植(6)加密桥与DBMS是分离的，可以解决嵌入各种自主知识产权加密方法的问题第7章 证书系统与身份确认1身份证明系统的组成示证者(申请者)，出示证件的人，提出某种要求验证者，检验示证者的证件的正确性和合法性，决定是否满足其要求可信赖者，调解示证者和验证者之间可能发生的纠纷攻击者，通过窃听等手段，伪装示证者骗取验证者的信任2消息认证：是使接收方能验证消息发送者及所发信息内容是否被篡改过。3身份证明与消息认证的差别：消息认证不提供时间性；身份证明具有实时性消息认证除证实消息的合法性、完整性外，还需要知道消息内容；身份证明通常证实身份本身4身份证明系统的要求(1)验证者正确识别合法示证者的概率极大化。(2)不具可传递性，验证者B不可能重用示证者A提供给他的信息，伪装示证者A成功地骗取其他人的验证，得到信任。(3)攻击者伪装示证者欺骗验证者成功的概率小到可以忽略，特别是要能抗已知密文攻击，即攻击者在截获到示证者和验证者多次(多次式表示)通信下，伪装示证者欺骗验证者。(4)计算有效性，为实现身份证明所需的计算量要小。(5)通信有效性，为实现身份证明所需通信次数和数据量要小。(6)秘密参数安全存储。(7)交互识别，有些应用中要求双方互相进行身份认证。(8)第三方的实时参与，如在线公钥检索服务。(9)第三方的可信赖性。(10)可证明安全性。5身份识别系统提出的要求：(1)交互识别，有些应用中要求双方互相进行身份认证(2)第三方的实时参与，如在线的公钥检索服务、个人身份证查询(3)第三方的可信赖性(4)可证明安全性6身份证明的基本分类(1)身份证实：对个人身份进行肯定或否定。一般方法是将输入的个人信息与卡上或库存中的信息进行比较，得出结论。认证信息一般是经过公式和算法运算后所得的结果。(2)身份识别：是指输入个人信息，经过处理提取成模板信息，试着在存储数据库中搜索找出与之匹配的模板，而后给出结论的过程。例如，人的指纹、虹膜、相貌、DNA等7实现身份证明的基本途径(1)所知：个人所知道或掌握的知识，如密码、生日、数字、文字等。(2)所有：个人所具有的东西，如身份证、护照、信用卡、钥匙等。(3)个人特征：如指纹、笔迹、声音、手型、脸型、血型、视网膜、虹膜、DNA以及个人一些习惯性动作等特征。8. 拒绝率(FRR)或虚报率(1型错误率)，是身份证明系统质量指标，非法用户的伪造身份成功的概率，即漏报率(FAR)(11型错误率) 9通行字(Password，口令、护字符)：一种根据已知事物验证身份的方法，也是一种研究和使用最广的身份验证法，最小长度至少为612字节以上。10通行字的控制措施(1)系统消息：显示系统信息的文字尽量减少(2)限制试探次数(3)通行字有效期(4)双通行字系统：对于敏感信息还需输入另外的口令(5)最小长度(6)封锁用户系统：对于长期不用的帐号封锁(7)根通行字的保护：root系统管理员用户(8)系统生成通行字(9)通行字的检验：保证口令不易被破解11通行字选择原则一个大系统的通行字的选择原则为：(1)易记。(2)难于被别人猜中或发现。(3)抗分析能力强。12通行字的