第8讲移动电子商务

第8章

移动商务安全与应用

引例8移动商务安全——“高温”下的炸弹8.1移动商务安全概述8.2移动终端安全策略8.3无线商务安全策略8.43G系统安全

1[本章要点]移动商务安全的三大方面的威胁、六大安全需求、解决方案的七项基本内容及面临的三大问题；移动终端的安全隐患及防护措施：主要介绍手机的安全隐患及防护措施。无线因特网安全策略：蓝牙标准、WTLS、WPKI、Mobile3-DSecure、802.11b、802.1X。3G系统面临的三类主要攻击、三层安全体系及十个主要安全算法。

28.1移动商务安全概述8.1.1移动商务的安全威胁8.1.2移动商务的安全需求8.1.3移动商务安全解决方案8.1.4移动商务面临的隐私和法律问题38.1.1移动商务的安全威胁移动设备是电子商务应用的新接口，但它们的安全功能却受到严重限制。归纳起，主要是以下三大方面的安全问题。1.移动终端的安全问题:终端易被盗、弱加密能力和易被窃听等方面。（1）终端被盗用。（2）终端弱加密能力。（3）移动信息在空中更容易被拦截。48.1.1移动商务的安全威胁（续）2.无线通信网络的安全问题：主要包括以下三个方面：（1）非授权访问数据攻击者可以窃听无线链路上的用户敏感数据。（2）完整性的威胁攻击者可以修改、插入、重放或删除用户的敏感数据。（3）拒绝服务攻击者通过在物理上或协议上干扰用户信息在无线链路上的正确传输，来实现无线链路上的拒绝服务攻击。58.1.1移动商务的安全威胁(续)3.服务网络的安全问题:主要包括以下五个方面：（1）非授权访问数据攻击者在服务网内窃听、非授权访问用户的敏感数据。（2）完整性威胁攻击者可以修改、重放或删除服务网内的用户敏感数据，或假冒通信的某一方修改通信的数据。（3）拒绝服务攻击者通过在物理上或协议上干扰用户信息在网络中的正确传输，来实现网络中的拒绝服务攻击。（4）否认用户可能对已完成的交易或行为进行否认，网络单元可能否认发出的信令或控制数据，或否认接收到其它网络单元发出的信令或控制数据。（5）非授权访问服务攻击者可能模仿合法用户使用网络服务，也可能假冒服务网以利用合法用户的接入尝试获得网络服务；攻击者还可假冒归属网以获得其假冒某一用户所需的信息等。68.1.2移动商务的安全需求1.双向身份认证：指移动用户与移动通信网络之间相互认证身份2.密钥协商和双向密钥控制：指移动用户与移动网络之间通过安全参数协商确定会话密钥，不能单独由一方确定，保证一次一密。3.双向密钥确认：移动用户与移动网络系统要进行相互确认，确保对方和自己拥有相同的会话密钥，以保证接下来的会话中经过自己加密的信息在被对方接收后能够进行解密。4.相关数据的不可否认：指移动通信中的某一方对自己发送或者接收到的某些数据在事后不能进行抵赖。78.1.2移动商务的安全需求（续）5.相关敏感数据的机密性：特别适用于用户的身份信息，因为有些用户为了防止自己的所在位置信息和行踪泄漏，需要对自己的身份信息进行保护，即身份信息不能以明文形式在网络传输。6.协议尽量简单：考虑到目前移动通信系统的带宽受限，以及移动通信终端的计算资源有限，所设计的身份认证和密钥协商协议应该保证尽量简单、计算量小、通信量小。对于上述安全需求，并不是每个身份认证协议都要全部满足。在设计身份认证和密钥协商协议时，可以根据具体实际情况的需要，设计满足其中上述部分安全需求的协议。88.1.3移动商务安全解决方案目前，市场上提供了许多安全性解决方案来降低移动电子商务的风险及易受攻击性。首先，无线电子商务解决方案要求的安全控制，与用来保护有线电子商务环境中使用的企业网络外围设备，以及Web应用的安全控制完全相同。还需要其他技术在所有无线电子商务信道提供安全性。在这些移动电子商务安全性技术中，有许多正处在开发或演进阶段。然而，公司考虑的一些主要发展趋势和选项一般包括：98.1.3移动商务安全解决方案（续）

1.加密技术2.个人防火墙3.严格的用户鉴权4.单一登入5.无线PKI技术6.授权7.安全流程108.1.4移动商务面临的隐私和法律问题1.垃圾短信息在移动通信给人们带来便利和效率的同时，也带来了很多烦恼，遍地而来的垃圾短信广告打扰着我们的生活。在移动用户进行商业交易时，会把手机号码留给对方。垃圾短信使得人们对移动商务充满恐惧，而不敢在网络上使用自己的移动设备从事商务活动。目前，还没有相关的法律法规来规范短信广告，运营商还只是在技术层面来限制垃圾短信的群发。目前，信息产业部正在起草手机短信的规章制度，相信不久的将来会还手机短信一片绿色的空间。118.1.4移动商务面临的隐私和法律问题续）2.定位新业务的隐私威胁定位是移动业务的新应用，其技术包括:全球定位系统，该种技术利用24颗GPS卫星来精确（误差在几米之内）定位地面上的人和车辆；基于手机的定位技术TOA，该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时，也暴露了其不利的一面——隐私问题。128.1.4移动商务面临的隐私和法律问题（续）3.移动商务的法律保障电子商务的迅猛发展推动了相关的立法工作。2005年4月1日，中国首部真正意义上的信息化法律《电子签名法》正式实施，电子签名与传统的手写签名和盖章将具有同等的法律效力，标志着我国电子商务向诚信发展迈出了第一步。《电子签名法》立法的重要目的是为了促进电子商务和电子政务的发展，增强交易的安全性。138.2移动终端安全策略8.2.1手机病毒的种类及症状8.2.2手机病毒的原理8.2.3手机病毒的攻击模式8.2.4手机病毒的防护措施148.2.1手机病毒的种类及症状2001年7月初，一种恶作剧手机病毒让日本警方受惊不少。当时，一种具有电子邮件和浏览HTML页面功能的手机成为抢手货。该病毒通过电子邮件大量散发内含恶意链接的HTML程序，当手机用户打开链接后就会自动拨打日本警方的报警电话。158.2.1手机病毒的种类及症状（续）手机病毒按病毒形式可分以下四大类：（1）通过“无线传送”蓝牙设备传播的病毒，如“卡比尔（Cabir)”，“Lasco.A”（2）针对移动通信商的手机病毒，如“蚊子木马”（3）针对手机BUG的病毒，如移动黑客（Hack.MobileSmsdos)（4）利用短信或彩信进行攻击的”MobileSmsdos”病毒168.2.1手机病毒的种类及症状（续）手机感染病毒后，一般会出现以下4种症状：（1）开机困难或开不了机（2）操作反应迟钝（3）电池耗电量大（4）自动关机或死机178.2.2手机病毒的原理手机病毒的原理和计算机病毒一样是一种计算机程序，只不过它是以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信等形式，对手机进行攻击，从而造成手机异常的一种新型病毒。因此手机病毒具有同计算机病毒类似的特点：①手机病毒也是由计算机程序编写而成；②同样具有传播功能，可利用发送普通短信、彩信、上网浏览、下载软件、铃声等方式，实现网络到手机的传播（有些病毒可以在手机之间传播）；188.2.2手机病毒的原理（续）③具有类似计算机病毒的危害后果，包括“软”危害（如死机、关机、删除存储的资料、向外发送垃圾邮件、拨打电话等）和“硬”危害（损毁SIM卡、芯片等硬件损坏）。④在攻击手段上，手机病毒也与计算机病毒相似，主要通过垃圾信息、系统漏洞和技术手段进行攻击。不过，手机病毒必须具备两个基本的条件才能传播和发作，首先移动服务商要提供数据传输功能，另外，要求手机使用的是动态操作系统，也就是支持Java等高级程序写入功能198.2.3手机病毒的攻击模式手机病毒有以下三种攻击方式一、直接攻击手机本身，使手机无法提供服务。二、攻击WAP服务器使WAP手机无法接收正常信息。三、攻击和控制“网关”，向手机发送垃圾信息。以上分析以看出，第一种攻击是病毒对手机本身进行直接攻击，后两种是手机病毒对网络的攻击，目前手机病毒主要以对手机直接攻击为主，其他两种攻击方式的手机病毒还未出现。但随着新一代手机网络的兴起，手机的网络功能将会越来越强，而能进行后两种攻击的手机病毒也将会越来越普遍。208.2.4手机病毒的防护措施一般可以采取以下5种措施预防手机病毒（1）不要随意使用手机蓝牙功能（2）确定手机下载站点的安全性，到专业站点下载相关信息（3）养成良好的信息保存习惯（4）诱人短信不可信（5）采取必要的放病毒措施218.3无线商务安全策略8.3.1蓝牙技术安全策略8.3.2无线应用协议和无线传输层安全8.3.3无线PKI8.3.4Mobile3-DSecure标准8.3.5无线网络标准IEEE802.11b228.3.1蓝牙技术安全策略蓝牙技术中，物理层数据的安全性主要是采用了跳频扩展频谱

蓝牙技术产品的认证和加密服务一般由链路层提供，认证采用口令/应答方式进行

为了得到完整的传输数据，蓝牙技术采用3种纠错方案：①1/3比例前向纠错码（FEC）；②2/3比例前向纠错码（FEC）；③数据的自动重发请求（ARQ）方案。蓝牙技术产品还可以采用更高级别的传输层和应用层安全机制238.3.1蓝牙技术安全策略（续）在链路层中，蓝牙系统提供了认证、加密和密钥管理等功能，每一个用户都有一个标识码（PIN），蓝牙设备中所用的PIN码的长度可以在1到16个字节之间变化。通常4个字节的PIN码已经可以满足一般应用，但是更高安全级别的应用将需要更长的码字。PIN码可以是蓝牙设备提供的一个固定码，也可以由用户任意指定，标识码（PIN）会被一个128位链路密钥来进行单双向认证。一旦认证完毕，链路层会以不同长度的密钥来加密，如图8-1所示248.3.1蓝牙技术安全策略（续）258.3.2无线应用协议和无线传输层安全无线应用协议（WirelessApplicationProtocol,WAP）是一个用于向无线终端进行智能化信息传递的无需授权、不依赖平台的协议。WAP提供一种以安全迅速、灵活、在线和交互的方式连接服务、信息和其他用户的媒介。用户可以从通过移动电话、寻呼机或其他无线设备实现的对相关Internet／Intranet信息的方便安全的访问。还可以得到消息通知与呼叫管理、电子邮件、电话增值服务与联合消息发送、地图与定位服务、天气与交通预报、新闻、体育信息服务、电子商务交易与银行服务、在线地址簿与目录服务以及企业内联网应用等多项服务。

268.3.3无线PKI它是基于移动GSM网络短消息和STK卡技术开发的移动增值应用服务平台。它将移动通信网络、Internet、在线支付和WPKI安全加密认证技术有机地结合起来，向移动用户提供安全的服务。WPKI可以使得移动用户可以个人拥有的数字证书而使交易信息获得有效的、端到端的安全保证，满足保密性、完整性、身份认证、不可抵赖性的要求，解决了电子商务领域中人们最担心的安全问题。278.3.4Mobile3-DSecure标准VisaInternational日前公布了一项新的移动商务安全标准，名为“Mobile3-DSecure”，这项标准针对移动商务支付环节，将互联网安全标准扩展到了无线设备中

“Mobile3-DSecure”标准是它与15家企业共同开发的，其中包括爱立信、摩托罗拉及Oracle。Visa正在将这种标准结合到其可鉴别性支付电子商务程序中。新的标准使Visa信用卡发行者能实时确认持卡者身份，并使发行者能在公开网络及公开电波中加密支付及帐号信息。

288.3.5无线网络标准IEEE802.11bIEEE802.11是IEEE（电气和电子工程师协会）制定的一个无线局域网标准，主要用于解决办公室局域网和校园网中的用户与用户终端之间的无线接入。IEEE802.11业务主要限于数据存取，传输速率最高只能达到2Mbps。由于IEEE802.11在速率上的不足，已不能满足数据应用的需求；因此，IEEE又相继推出了IEEE802.11b和IEEE802.11a这两个新的标准。三者之间技术差别主要在于MAC（Medium

Access

Control，媒介访问控制）子层和物理层。IEEE802.11b提供了MAC层的访问控制机制和加密机制，这就是所谓的有线等价保密（WiredEquivalentPrivacy，WEP），其目标是为无线LAN提供与有线网络相同级别的安全保护。在数据加密方面，IEEE802.11b标准提供了可选的RSA40位长的共享密钥RC4PRNG算法。在联系建立期间，所有端点和接入点收发的数据都使用这个密钥进行加密。除此之外，当使用加密时，接入点将给所有试图与之联系的客户端发放一个加密的查询包。除了第二层外，IEEE802.11b无线LAN也能够支持其他的802LAN所支持的访问控制（如网络操作系统登录）和加密（如IPsec或应用级加密）技术。在同时包含无线和有线组件的网络中，这些高层技术可以提供端到端的安全保护。298.43G系统安全8.4.13G面临的主要攻击8.4.23G安全结构8.4.33G安全算法308.43G系统安全（续）第三代移动通信系统(3G)是一个在全球范围内覆盖与使用的网络系统，信息的传输既经过全开放的无线链路，亦经过开放的全球有线网络，同时，在第三代移动通信系统中，除了传统的语音业务外，它还将提供多媒体业务、数据业务、以及电子商务、电子贸易、互联网服务等多种信息服务。因此，如何在第三代移动通信系统中保证业务信息的安全性以及网络资源使用的安全性已成为3G系统中重要而迫切的问题。318.43G系统安全（续）常用的网络安全措施主要包括身份认证、消息认证、密钥管理与分发、加密、存取控制等。身份认证主要是利用用户有关信息对用户的身份进行确认，它是其它安全措施的基础，常用的身份认证方法有基于口令的身份认证，基于智能卡的身份认证，以及基于生物特征的身份认证，如指纹、视网膜等。消息认证是对消息的完整性及消息的源与目的地进行确认，消息认证通常是通过附加消息认证码实现。加密是对明文消息进行变换，从而防止信息泄露，常用的加密算法主要有对称钥算法(如DES)和非对称钥算法(如RSA)两类。第三代移动通信系统综合利用上述安全措施实现完善的系统安全服务。328.4.13G面临的主要攻击3G面临的主要攻击有以下3类：(1)针对系统无线接口的攻击①对非授权数据的非法获取②对数据完整性的攻击③拒绝服务攻击④对业务的非法访问攻击。⑤主动用户身份捕获攻击。⑥对目标用户与攻击者之间的加密流程进行压制，使加密流程失效338.4.13G面临的主要攻击（续）（2）针对系统核心网的攻击①对数据的非法获取。②对数据完整性的攻击。③拒绝服务攻击。④否定。⑤对非授权业务的非法访问。348.4.13G面临的主要攻击（续）（3）针对终端的攻击①使用偷窃的终端和智能卡；②对终端或智能卡中数据进行篡改；③对终端与智能卡间的通信进行侦听；④伪装身份截取终端与智能卡间的交互信息；⑤非法获取终端或智能卡中存储的数据。358.4.23G安全结构

3G安全逻辑结构如下图368.4.23G安全结构（续）3G系统安全分为三个层面，针对不同攻击类型，分为五类：①网络接入安全：主要抗击对无线链路的攻击。包括用户身份保密、用户位置保密、用户行踪保密、实体身份认证、加密密钥分发、用户数据与信令数据的保密及消息认证。②核心网安全：主要保证核心网络实体间安全交换数据。包括网络实体间身份认证，数据加密，消息认证，以及对欺骗信息的收集。③用户安全：主要保证对移动台的安全接入。包括用户与智能卡间的认证，智能卡与终端间的认证及其链路的保护。④应用安全：主要保证用户与服务提供商间应用程序间安全交换信息。主要包括应用实体间的身份认证，应用数据重放攻击的检测，应用数据完整性保护，接收确认等。⑤安全特性可见性及可配置能力。主要指用户能获知安全特性是否在使用，以及服务提供商提供的服务是否需要以安全服务为基础。378.4.23G安全结构（续）3G安全功能结构如图8-3，其中横线表示网络实体，依据利益关系分为三部分：(1)用户部分：用户智能卡(USIM)及用户终端(UT)；(2)服务网络：服务网络无线接入控制器(RNC)和拜访位置寄存器(VLR)；(3)归属网络：用户位置寄存器(HLR)和认证中心(UIDN)。纵轴代表相应的安全措施,主要分为五类：(1)增强用户身份保密(EUIC)(2)用户与服务网间身份认证(UIC)；(3)认证与密钥协商(AKA)，(4)用户及信令数据保密(DC)(5)消息认证(DI)388.4.23G安全结构（续）398.4.33G安全算法为实现系统安全功能，定义了10个安全算法f0～f9。f0算法用于产生随机值，f8和f9分别用来实现DC和DI，为标准算法。f6与f8用于实现EUIC。AKA由算法f1～f5实现，其中f1算法用于产生消息认证码，f2算法用于消息认证中计算期望响应值，f3用于产生加密密钥，f4用于产生消息完整性认证密钥，f5用于产生匿名密钥，f6用于对用户身份(IMUI)进行加密，f7用于对用户身份进行解密。图8-4为网络端身份认证与密钥协商结构，图8-5为USIM端用户身份认证与密钥协商结构。AKA算法为非标准化算法，由运营商与制造商协商确定。408.4.33G安全算法（续）411．什么是移动商务安全？它有何特点？2．手机面临的主要安全隐患是什么？有何症状？如何预防？3．什么是蓝牙标准？蓝牙技术中有哪三种纠错措施？4．什么是无线PKI？它有什么作用？5．移动支付中常用的传输技术有哪些？6．3G系统安全包含什么内容？7．3G有哪些安全算法？思考题42第9章互联网安全技术引例9互联网安全状况令人担忧9.1网络安全基础

9.2防火墙技术

9.3VPN技术

9.4网络入侵检测

9.5防病毒技术43引例6互联网安全状况令人担忧黑客攻击的目标对象和行为性质已从最初的政府机构、知名的社会及大公司网站的炫耀式走访入侵的简单举动，发展到了对中小企业的站点进行刻意破坏的极端局面。该类事件涉及的覆盖面越来越大、程度越来越深，以至于现在很多企业都不敢真正利用互联网进行电子商务建设。

44[本章要点]

→互联网安全的九项基本服务、七大防范机制和四大关键技术。→防火墙的五个基本功能、四大基本类型、六种基本技术、五种配置方法。→防火墙的安全策略：凡是没有被列为允许访问的服务都是被禁止的；凡是没有被列为禁止访问的服务都是被允许的。→虚拟专用网的六种分类方法、三种基本技术。→虚拟专用网的安全策略。→入侵检测的三种主要的检测机制、三大检测方法、三个基本步骤。

459.1网络安全基础9.1.1网络安全的定义9.1.2网络安全服务内涵9.1.3网络安全防范机制9.1.4网络安全关键技术

469.1.1网络安全的定义网络系统的安全涉及到平台的各个方面。按照网络OSI的7层模型，网络安全贯穿于整个7层模型。针对网络系统实际运行的TCP/IP协议，网络安全贯穿于信息系统的4个层次。图6-1表示了对应网络系统的安全体系层次模型：应用层应用系统应用层应用系统安全应用平台应用平台安全会话层会话安全网络层安全路由/访问机制链路层链路安全物理层物理层信息安全479.1.2网络安全服务内涵

①认证。②对等实体鉴别③访问控制。④信息加密⑤信息的完整性。⑥抗拒绝服务⑦业务的有效性⑧审计⑨不可抵赖

489.1.3网络安全防范机制

①加密机制。②数字签名机制。③存取控制机制。④信息完整性机制

⑤业务量填充机制

⑥路由控制机制

⑦公证机制

499.1.4网络安全关键技术

访问控制技术身份认证技术加密通信技术入侵检测技术防病毒技术509.2防火墙技术9.2.1防火墙的功能特征9.2.2防火墙的基本类型9.2.3防火墙的基本技术9.2.4防火墙的配置结构9.2.5

防火墙的安全策略

51防火墙的概念防火墙是具有以下特征的计算机硬件或软件：（1）由内到外和由外到内的所有访问都必须通过它；（2）只有本地安全策略所定义的合法访问才被允许通过它；（3）防火墙本身无法被穿透。通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙是通过软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。529.2.1防火墙的功能特征1.防止外部攻击2.防止内部信息泄漏3.对网络存取和访问进行监控审计4.ＶＰＮ功能5.防火墙自身的抗攻击能力539.2.2防火墙的基本类型

数据包过滤应用级网关代理服务器

复合型防火墙54数据包过滤防火墙1.数据包过滤防火墙的工作原理数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑---访问控制表。通过检查数据流中的每个数据包的源地址、目的地址、所用TCP端口号和协议等要素，确定是否允许该数据包通过。552.数据包过滤防火墙的优缺点

优点：不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。

缺点：以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。数据包过滤防火墙（续）56应用级网关型防火墙应用级网关(ApplicationLevelGateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有个共同的特点，都是依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这不利于抗击非法访问和攻击。57代理服务型防火墙代理服务(ProxyService)也称链路级网关或TCP通道(CircuitLevelGatewaysorTCPTunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。58应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。代理服务型防火墙（续）59复合型防火墙对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法结合起来，形成复合型防火墙产品。这种结合通常是以下两种方案。（１）屏蔽主机防火墙体系结构：在该结构中，分组过滤路由器或防火墙与Internet相连，同时一个堡垒机安装在内部网络，通过在分组过滤路由器或防火墙上过滤规则的设置，使堡垒机成为Internet上其它节点所能到达的唯一节点，这确保了内部网络不受未授权外部用户的攻击。（２）屏蔽子网防火墙体系结构：堡垒机放在一个子网内，形成非军事化区，两个分组过滤路由器放在这一子网的两端，使这一子网与Internet及内部网络分离。在屏蔽子网防火墙体系结构中，堡垒主机和分组过滤路由器共同构成了整个防火墙的安全基础。609.2.3防火墙的基本技术

先进的防火墙产品将网关与安全系统合二为一，具有以下技术：1.双端口或三端口结构

2.透明访问方式

3.代理系统技术

4.多级过滤技术

5.网络地址转换技术（NAT）

6.Internet网关技术

7.安全服务器网络（SSN）技术

8.用户鉴别与加密技术

9.用户定制技术

10.审计和告警技术

619.2.4防火墙的配置结构

在一个网络系统中，防火墙可能是单个的主机系统，更多的则可能是多个设备组成的系统，所以其体系结构可能多种多样。在各类防火墙配置结构中，就其结构的本质而言，主要有以下五种。1.屏蔽路由器2.双重宿主主机体系结构3.被屏蔽主机体系结构4.被屏蔽子网体系结构5.复合体系结构62屏蔽路由器(ScreeningRouter)，也叫安全路由器。它可以由厂家专门生产的路由器实现，也可以用主机来实现。屏蔽路由器作为内外连接的惟一通道，要求所有的报文都必须在此通过检查。路由器上可以安装基于IP层的报文过滤软件，实现报文过滤功能。许多路由器本身带有报文过滤配置选项，但一般比较简单。单纯由屏蔽路由器构成的防火墙的危险包括路由器本身及路由器允许访问的主机。屏蔽路由器的缺点是一旦被攻隐后很难发现，而且不能识别不同的用户。

1.屏蔽路由器632.双重宿主主机体系结构双重宿主主机体系结构(DualHomedGateway)围绕双重宿主主机构筑。双重宿主主机至少有两个网络接口。643.被屏蔽主机体系结构双重宿主主机体系结构(ScreenedGateway)防火墙没有使用路由器。而被屏蔽主机体系结构防火墙则使用一个路由器把内部网络和外部网络隔离开，如图6-5。654.被屏蔽子网体系结构被屏蔽子网体系结构(ScreenedSubnet)添加额外的安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步的把内部网络和外部网络（通常是Internet）隔离开。被屏蔽子网体系结构的最简单的形式为，两个屏蔽路由器，每一个都连接到周边网。一个位于周边网与内部网络之间，另一个位于周边网与外部网络（通常为Internet）之间。这样就在内部网络与外部网络之间形成了一个“隔离带”。为了侵入用这种体系结构构筑的内部网络，侵袭者必须通过两个路由器。即使侵袭者侵入堡垒主机，他将仍然必须通过内部路由器。如图6-6。664.被屏蔽子网体系结构（续）67建造防火墙时，一般很少采用单一的技术，通常是多种解决不同问题的技术的组合。一般有以下几种形式：

①使用多堡垒主机；②合并内部路由器与外部路由器；③合并堡垒主机与外部路由器；④合并堡垒主机与内部路由器；⑤使用多台内部路由器；⑥使用多台外部路由器；⑦使用多个周边网络；⑧使用双重宿主主机与屏蔽子网。5.复合体系结构689.2.5防火墙的安全策略

防火墙包含着一对矛盾(或称机制)：一方面它限制数据流通，另一方面它又允许数据流通。防火墙的安全策略存在两种极端的情形：①凡是没有被列为允许访问的服务都是被禁止的。②凡是没有被列为禁止访问的服务都是被允许的

。第一种的特点是安全但不好用，第二种易用但不安全，而多数防火墙都在两者之间采取折衷。这里所谓的好用或不好用主要指跨越防火墙的访问效率。在确保防火墙安全或比较安全前提下提高访问效率是当前防火墙技术研究和实现的热点。699.3VPN技术9.3.1VNP的功能特征9.3.2VPN的基本类型9.3.3VPN的基本技术9.3.4VPN的配置结构9.3.5VPN的安全策略

VPN是英文VirtualPrivateNetwork的缩写，中文译为虚拟专用网。VPN也使一项保证网络安全的技术之一，它是指在公共网络中建立一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传播。

709.3.1VNP的功能特征VPN的工作原理是：信息的发送进程通过可信任的内部网发送明文到VPN服务器，由VPN根据安全策略对数据包（包括源IP地址和目的IP地址等）进行加密。并附上数字签名，然后VPN服务器对包加上新的数据报头，其中包括一些安全信息和参数，对加密后的数据包重新进行封装。此数据包通过Internet上的“隧道”传输。到达目的方的VPN服务器，由该服务器解包，核对数字签名，并且解密。最后，明文信息通过内部网传输到目的地。719.3.1VNP的功能特征（续）VPN具有虚拟的特点，VPN并不是某个公司专有的封闭线路或者是租用某个网络服务商提供的封闭线路，但同时VPN又具有专线的数据传输功能，因为VPN能够像专线一样在公共网络上处理自己公司的信息。VPN可以说是一种网络外包，企业不再追求拥有自己的专有网络，而是将对另外一个公司的访问任务部分或全部外包给一个专业公司去做，这类专业公司的典型代表是电信企业。729.3.1VNP的功能特征（续）VPN具有以下优点：①低成本；②易扩展；③完全控制主动权。VPN还存在不足，主要几个方面:①尽管VPN的设备供应商们可以为远程办公室或Extranet服务的专线或帧中继提供有效方式，可是VPN的服务提供商们只保证数据在其管辖范围内的性能，一旦出了其“辖区”则安全没有保证。②作为一种典型技术，VPN的应用时间还不长，VPN的管理流程和平台相对于其他远程接入服务器或其他网络结构的设备来说，有时并不太好用。③不同厂商的IPSecVPN的管理和配置掌握起来是最难的，这需要同时熟悉IPSec和不同厂商的执行方式，包括不同的术语。739.3.1VNP的功能特征（续）

虚拟专用网至少应能提供如下功能：①加密数据，以保证通过公网传输的信息即使被他人截获也不会泄露。②信息认证和身份认证，保证信息的完整性、合法性，并能鉴别用户的身份。③提供访问控制，不同的用户有不同的访问权限。749.3.2VPN的基本类型基于不同的角度或出发点，对VPN的分类方法多种多样，就目前而言，还没有一种公认的最为合理的划分方式。下面是几种常用的划分方法。1.按接入方式划分为两类①专线VPN：专线VPN是为已经通过专线接入ISP（因特网服务提供商）边缘路由器的用户提供的VPN实现方案。②拨号VPN：拨号VPN又称VPDN，指的是为利用拨号方式通过PSTN（公用电话交换网）或ISDN（综合业务数字网）接入ISP的用户提供的VPN业务。759.3.2VPN的基本类型（续）2.按隧道协议所属的层次划分为三类①工作在链路层的第二层隧道协议：如点到点隧道协议（PPTP）、第二层转发协议（L2F）、第二层隧道协议（LSTP）。②工作在网络层的第三层隧道协议：如通用路由封装协议（GRE）、IP安全协议（IPSec）。③介于第二层和第三层之间的隧道协议：如MPLS隧道协议。769.3.2VPN的基本类型（续）3.按VPN发起主体不同划分为两类①基于客户的VPN：由客户发起的VPN。②基于网络的VPN：也称客户透明方式，由服务器发起的VPN。4.按VPN业务类型划分有为三类①IntranetVPN：企业的总部与分支机构之间通过公网构筑的虚拟网。②AccessVPN：企业员工或企业的小分支机构通过公网远程拨号方式构筑的虚拟网。③ExtranetVPN：企业间发生收购、兼并或企业间建立战略联盟后，使不同企业间通过公网来构筑的虚拟网。779.3.2VPN的基本类型（续）5.按VPN应用平台划分为三类①软件VPN：利用软件公司提供的完全基于软件的VPN产品来实现的VPN。②专用硬件VPN：利用硬件厂商提供的专用硬件平台来实现的VPN。③辅助硬件VPN：辅助硬件平台的VPN主要是指以现有网络设备为基础、再增添适当的VPN软件实现的VPN。6.按运营商所开展的业务类型划分有4类①拨号VPN业务：它是第一种划分方式中的VPDN。②虚拟租用线（VLL）：它是对传统租用线业务的仿真，用IP网络对租用线进行模拟，而这样一条虚拟租用线在两端的用户看来，等价于过去的租用线。③虚拟专用路由网（VPRN）业务：VPRN是对多点专用广域路由网络的模拟，利用公共IP网络，在多个VPN成员之间建立起一个虚拟的隧道网络。④虚拟专用局域网段（VPLS）：VPLS利用互联网络设施仿真局域网段，转发表中包含介质访问控制层的可达信息。789.3.2VPN的基本类型（续）799.3.3VPN的基本技术VPN实现的关键技术:(1)隧道技术(2)加密技术(3)QoS技术

809.3.3VPN的基本技术（续）隧道技术：简单的说就是：原始报文在A地进行封装，到达B地后把封装去掉还原成原始报文，这样就形成了一条由A到B的通信隧道。目前实现隧道技术的有一般路由封装（GenericRoutingEncapsulation，GRE）、L2TP和PPTP三种方式。819.3.3VPN的基本技术-隧道技术（续）一般路由封装（GRE）GRE主要用于源路由和终路由之间所形成的隧道。GRE隧道技术是用在路由器中的，可以满足ExtranetVPN以及IntranetVPN的需求.L2TPL2TP是L2F（Layer2Forwarding）和PPTP的结合。隧道的建立有两种方式即：“用户初始化”隧道和“NAS初始化”（NetworkAccessServer）隧道。829.3.3VPN的基本技术-隧道技术（续）L2TP作为“强制”隧道模型是让拨号用户与网络中的另一点建立连接的重要机制。建立过程如下：①用户通过Modem与NAS建立连接；②用户通过NAS的L2TP接入服务器身份认证；③在政策配置文件或NAS与政策服务器进行协商的基础上，NAS和L2TP接入服务器动态地建立一条L2TP隧道；④用户与L2TP接入服务器之间建立一条点到点协议（PointtoPointProtocol，PPP）访问服务隧道⑤用户通过该隧道获得VPN服务。839.3.3VPN的基本技术-隧道技术（续）PPTP与L2TP相反的是，PPTP作为“主动”隧道模型允许终端系统进行配置，与任意位置的PPTP服务器建立一条不连续的、点到点的隧道。并且，PPTP协商和隧道建立过程都没有中间媒介NAS的参与。NAS的作用只是提供网络服务。PPTP建立过程如下：①用户通过串口以拨号IP访问的方式与NAS建立连接取得网络服务；②用户通过路由信息定位PPTP接入服务器；③用户形成一个PPTP虚拟接口；④用户通过该接口与PPTP接入服务器协商、认证建立一条PPP访问服务隧道；⑤用户通过该隧道获得VPN服务。849.3.3VPN的基本技术-加密技术（续）数据加密的基本思想是通过变换信息的表示形式来伪装需要保护的敏感信息，使非受权者不能了解被保护信息的内容。加密算法有用于Windows95的RC4、用于IPSec的DES和三次DES。RC4虽然强度比较弱，但是保护免于非专业人士的攻击已经足够了；DES和三次DES强度比较高，可用于敏感的商业信息。加密技术可以在协议栈的任意层进行；可以对数据或报文头进行加密。在网络层中的加密标准是IPSec。在链路层中，目前还没有统一的加密标准，因此所有链路层加密方案基本上是生产厂家自己设计的，需要特别的加密硬件859.3.3VPN的基本技术-QoS技术（续）通过隧道技术和加密技术，已经能够建立起一个具有安全性、互操作性的VPN。但是该VPN性能上不稳定，管理上不能满足企业的质量要求，这就要加入服务质量(QoS)技术。QoS是用来解决网络延迟和阻塞等问题的一种技术。不同的应用对网络通信有不同的要求，这些要求可用如下参数给予体现：①带宽：网络提供给用户的传输率；②反应时间：用户所能容忍的数据报传递延时；③抖动：延时的变化；④丢失率：数据包丢失的比率。869.3.4VPN的配置结构

VPN有多种组网结构，一般分3类：①ATMPVC组建方式。

②IPTunneling组建方式。

③Dial-upAccess组网方式（VDPN）。

879.3.5VPN的安全策略

目前建造虚拟专网的国际标准有IPSec（RFC1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。IPSec是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它（L2TP标准）必须以IPSec为安全基础。889.3.5VPN的安全策略（续）VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。其处理过程如下：①要保护的主机发送明文信息到连接公共网络的VPN设备；②VPN设备根据网管设置的规则，确定是否需要对数据进行加密或让数据直接通过。对需要加密的数据，VPN设备对整个数据包进行加密和附上数字签名。③VPN设备加上新的数据报头，其中包括目的地VPN设备需要的安全信息和一些初始化参数。④当数据包到达目标VPN设备时，数据包被解封装，数字签名被核对无误后，数据包被解密。899.4网络入侵检测9.4.1入侵检测系统的概念9.4.2入侵检测系统的原理9.4.3入侵检测系统的分类9.4.4入侵检测的主要方法9.4.5入侵检测系统的实现步骤

909.4.1入侵检测系统的概念入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统。入侵检测系统执行的主要任务和功能包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。919.4.2入侵检测系统的原理基本原理：对网络上的所有数据包进行复制并检测，然后与内部的攻击特征数据库（规则库）进行匹配比较，如果相符即产生报警或响应。IDS的主要设计思想是安全风险的“可视”和“可控”，它可以提供丰富全面的实时状态信息，使用好IDS的关键是要从这些信息中提取最具有价值的内容并加以利用，以便为企业网络安全管理的决策提供依据。IDS可以采用概率统计、专家系统、神经网络、模式匹配、行为分析方法等来实现其检测机制，以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果929.4.3入侵检测系统的分类IDS按其输入数据的来源可分3类：①基于主机的入侵检测系统，其输入数据来源于系统的审计日志，一般只能检测该主机上发生的入侵。②基于网络的入侵检测系统，其输入数据来源于网络的信息流，能够检测该网段上发生的网络入侵。③分布式入侵检测系统

939.4.4入侵检测的主要方法IDS的主要方法有：(1)静态配置分析(2)异常性检测方法(3)基于行为的检测方法(4)其他检测方法与发展方向949.4.5入侵检测系统的实现步骤入侵检测实现一般分为三个步骤，依次为：（1）信息收集（2）数据分析（3）响应（被动响应和主动响应）。

959.5防病毒技术9.5.1计算机病毒定义9.5.2计算机病毒的分类9.5.3计算机病毒的特点9.5.4计算机病毒的传播途径9.5.5计算机病毒的预防969.5.1计算机病毒定义计算机病毒是一种小程序，能够自我复制，会将自己的病毒码依附在的其他程序上，通过其他程序的执行，伺机传播病毒程序，有一定潜伏期，一旦条件成熟，进行各种破坏活动，影响计算机使用。计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里,当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。979.5.2计算机病毒的分类系统病毒蠕虫病毒木马病毒、黑客病毒脚本病毒宏病毒后门病毒病毒种植程序病毒破坏性程序病毒玩笑病毒捆绑机病毒989.5.3计算机病毒的特点计算机病毒具有传染性、寄生性、隐蔽性、触发性和破坏性等特征。（1）传染性。传染性是计算机病毒的基本特征。（2）寄生性。计算机病毒一般不是以单独的程序文件形式存在，而是寄附在其他文件上。（3）隐蔽性。为了不让用户发现计算机病毒的存在，病毒程序一般都编得很小、很巧妙，而且依附在一些常用的程序文件中或自动复制到磁盘中较隐蔽的地方。（4）触发性。计算机病毒的发作一般都有一个激发条件，只有满足了这个条件时，病毒程序才会“发作”，去感染其他的文件，或去破坏计算机系统。（5）破坏性。计算机病毒“发作”一般都会对计算机的正常工作产生破坏作用，轻者则占用系统资源，降低了计算机的工作效率，重则破坏和删除计算机中的信息数据，甚至还会毁坏计算机硬件设备。999.5.4计算机病毒的传播途径计算机病毒传播途径有多种，目前病毒传播传播主要有四种情形：（1）通过不可移动的计算机硬件设备传播（2）通过移动存储设备来传播（3）通过硬盘文件操作传播（4）通过网络传播1009.5.5计算机病毒的预防在与病毒的对抗中，及早发现病毒很重要。早发现，早处置，可以减少损失。预防的方法可采用主动预防和被动预防。主动预防是指是指主动采取相应措施防止病毒袭击，被动预防是指针对一些病毒特征，采用回避办法阻止病毒的发。主动预防主要有以下办法：（1）不打开来历不明的E-Mail邮件。（2）不买、不用盗版光盘，使用正版光盘。（3）外来软盘要查毒、杀毒，重要的软盘要防写，重要的数据要备份。（4）经常使用杀毒软件，安装实时监控系统，安装病毒防火墙。常用的杀毒软件有：KV3000、金山毒霸、瑞星杀毒、诺顿杀毒、安全之星、熊猫卫士等。101第10章电子商务安全管理引例10全美最大的电脑流氓落网10.1电子商务安全管理框架10.2资产识别10.3风险评估10.4安全策略10.5应急响应10.6灾难恢复102[本章要点]电子商务安全管理框架：资产识别、风险评估、制定相应的安全策略、实施安全措施、安全审计和监控；资产识别：分类和赋值；电子商务安全策略制定的六个基本原则、六项技术安全策略、双重管理策略；风险评估的基本要素、计算模型、实施流程和八项评估结果报告；应急响应的八个基本流程、国内外的重要应急响应组织机构；灾难恢复策略的制定方法和灾难恢复计划执行策略

103引例7全美最大电脑流氓落网这是一场攻击与防范的“世界顶尖级龙虎斗”

10410.1电子商务安全管理框架采用如图10－1所示的安全管理框架，该管理框架是一个按周期循环执行的过程。审计与监控资产分析风险评估制定安全策略实施安全策略安全目标安全知识库10510.1电子商务安全管理框架（续）（1）企业根据具体情况制定其安全目标，组织专业人员对其电子商务系统进行信息资产分析识别；（2）根据资产分析的结果进行风险评估，即评定这些资产会遭受哪些安全威胁与攻击，并将这些安全风险量化；（3）依据风险评估结果和安全目标制定相应的安全策略；（4）实施安全措施；（5）对电子商务系统进行审计和监控。10610.1电子商务安全管理框架（续）发现新的安全威胁后，风险评估、安全策略的制定和安全措施的选择要重新执行。当有新的安全技术和安全产品时，要依据安全策略对安全保护措施进行更新。电子商务系统的安全知识库用于存放与安全有关的信息，其记录的信息包括资产、威胁、攻击者、风险、安全策略、安全措施等。对于资产、威胁等子类我们可以再对其进行类别的划分。此外，具体的企业可以根据实际需求给安全类及其子类增加属性和限制。10710.2资产识别

10.2.1资产定义10.2.2资产分类10.2.3资产赋值10810.2.1资产定义资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有服务、企业形象等.通常信息资产的保密性、完整性和可用性是公认的能够反映资产安全特性的三个要素。信息资产安全特性的不同也决定了其信息价值的不同，以及存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同.资产还具有很强的时间特性，它的价值和安全属性都会随着时间的推移发生变化，所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。10910.2.2资产分类资产大多属于不同的信息系统，如OA系统，网管系统，业务生产系统等，而且对于提供多种业务的机构，业务生产系统的数量还可能会很多。这时首先需要将信息系统及其中的信息资产进行恰当的分类。在实际项目中，具体的资产分类方法可以根据具体环境，由评估者来灵活把握。示例：11010.2.2资产分类（续）资产分类示例11110.2.3资产赋值

资产赋值是对资产安全价值的估价，而不是以资产的账面价格来衡量的。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织业务的安全重要性。为确保资产估价时的一致性和准确性，应按照上述原则，建立一个资产价值尺度以明确如何对资产进行赋值。资产估价的过程也就是对资产保密性、完整性和可用性影响分析的过程。资产安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性，可以能够基本反映资产的价值。11210.3风险评估风险评估是信息安全管理体系（ISMS）建立的基础，是组织平衡安全风险和安全投入的依据，也是ISMS测量业绩、发现改进机会的最重要途径。10.3.1风险评估的概念10.3.2风险评估要素关系模型10.3.3风险评估计算模型10.3.4风险评估实施流程10.3.5风险评估结果记录11310.3.1风险评估概念风险评估就是根据资源的价值来确定保护它们的适当安全级别。对每一个威胁和安全漏洞都应该使用某个标准（如低、中、高）对其进行界定和等级划分。风险评估是信息安全管理体系的基础，是对现有网络的安全性进行分析的第一手资料，也是网络安全领域内最重要的内容之一，它为降低网络的风险，实施风险管理及风险控制提供了直接的依据。11410.3.2风险评估要素关系模型在风险评估之前，必须在信息安全风险管理的上下文前提下，准确定义什么是风险，风险的主要元素及其相互关系图10-2所示。图10-2中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性，也是风险评估要素的一部分。风险评估的工作是围绕其基本要素展开的，在对这些要素的评估过程中需要充分考虑业务战略、资产价值、安全事件、残余风险等与这些基本要素相关的各类因素。11510.3.2风险评估要素关系模型（续）11610.3.3风险评估计算模型风险计算模型如图10-3.风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。风险值计算过程：（1）对信息资产进行识别，并对资产赋值；（2）对威胁进行分析，并对威胁发生的可能性赋值；（3）识别信息资产的脆弱性，并对弱点的严重程度赋值；（4）根据威胁和脆弱性计算安全事件发生的可能性；（5）结合信息资产的重要性和在此资产上发生安全事件的可能性计算信息资产的风险值。11710.3.3风险评估计算模型（续）11810.3.4风险评估实施流程对于风险评估来说，其三个关键要素是信息资产、弱点/脆弱性以及威胁。每个要素有其各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。电子商务安全风险评估的具体工作流程如图10－4所示11910.3.4风险评估实施流程（续）12010.3.5风险评估结果记录风险评估的过程需要形成相关的文件及记录，需控制文件及记录质量，一般考虑以下部分：文件发布前得到批准，以确保文件是充分的；必要时对文件进行评审、更新并再次批准；确保文件的更改和现行修订状态得到识别；确保在使用时，可获得有关版本的适用文件；确保文件保持清晰、易于识别；确保外来文件得到识别；确保文件的分发得到适当的控制；防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。12110.3.5风险评估结果记录（续）对于风险评估过程中形成的记录，还应规定记录的标识、储存、保护、检索、保存期限以及处置所需的控制。记录是否需要以及详略程度由管理过程来决定。风险评估过程应形成下列文件：（1）风险评估过程计划。（2）风险评估程序。（3）信息资产识别清单。（4）重要信息资产清单。（5）威胁参考列表。（6）脆弱性参考列表。（7）风险评估记录。（8）风险处理计划。（9）风险评估报告。上述文件均应由组织的管理层批准，必要时应得到最高管理者的批准12210.4安全策略为了降低电子商务系统面临的风险，保障其安全性，必须选择并实施相应的安全保护措施。但在选择安全保护措施之前应当制定安全策略。10.4.1电子商务安全策略原则10.4.2电子商务技术安全策略10.4.3电子商务安全管理安全策略12310.4.1电子商务安全策略原则电子商务安全防范策略可以说是在一定条件下的成本和效率的平衡。虽然网络的具体应用环境不同，但在制定安全策略时应遵循如下一些总的原则：1．需求、风险、代价平衡分析的原则2．综合性、整体性原则3．一致性原则4．易操作性原则5．适应性、灵活性原则6．多重保护原则12410.4.1电子商务安全策略原则（续）电子商务系统的安全策略总则可以分为三层，如图10-5所示。根据企业的具体情况可以将第二层的策略集划分为更细的子类。安全策略总则是企业解决安全问题的指导方针，表明高层领导对安全状况的要求。第二层是电子商务安全的不同领域。其中，关于电子支付的安全策略集对电子商务至关重要。第三层是每一条安全策略的详细描述。12510.4.1电子商务安全策略原则（续）安全策略存储在安全知识库中便于管理和安全措施的选择，安全策略具有4个属性，明确地指出何时、何处、如何使用什么样的安全措施。依据策略所属的不同的安全领域，可以再定义安全策略的子类。12610.4.2电子商务技术安全策略电子商务交易流程的各环节需要依托计算机网络，按照一定的标准实现整个贸易活动的电子化。由于电子商务是建立在开放的互联网上，而互联网在物理上覆盖全球，在信息内容上无所不包，用户结构复杂，因此，很难建立起一套有效的监督和管理机制，从而造成电子商务面临严峻的安全问题。电子商务系统对信息安全的要求包括以下六个方面。12710.4.2电子商务技术安全策略（续）（1）信息的保密性。（2）数据的可靠性。（3）数据的完整性。（4）用户身份的鉴别。（5）数据原发者的不可抵赖性。（6）合法用户的安全性。针对上述六个方面，电子商务通过采用一些主要的安全技术，基本上可以从技术上保证交易的安全性，这些安全技术包括：防火墙技术、加密技术、数字签名技术、数字证书和认证中心等。12810.4.3电子商务安全管理安全策略电子商务交易的安全性在管理角度上也应该得到充分的重视，以往，我们一提及电子商务交易的安全性，人们会不由自主地想到电子商务技术上的安全隐患和安全防范措施，其实，如何加强对电子商务交易的安全管理也是至关重要的。电子商务交易实行双重管理，即电子商务交易应该在认证机构和商业管理机构的联合管理下进行，以确保交易的安全、成功和可信。图10－6是反映这种双重管理的数据流程。12910.4.3电子商务安全管理安全策略（续）13010.4.3电子商务安全管理安全策略（续）这种双重管理模式中，电子商务运营商需要向认证机构提出认证申请，在评估了运营商的软硬件设施后，认证机构便可以向电子商务运营商颁发认证证书，结合其工商营业执照就可以合法营业了。商务管理部门行使其正规的管理职能，在管理电子商务运营商的同时，还负责处理顾客的有关投诉意见。在这个双重管理模式中，还存在一个数据库，储存了电子商务运营商的认证资料、经营资料和资信数据，消费者通过查询该数据库来了解某电子商务运营商的基本情况，为从事电子商务的交易做好准备。13110.5应急响应10.5.1应急响应的概念10.5.2应急响应的流程10.5.3应急响应组织结构13210.5.1应急响应的概念一般来说，应急响应通常是指一个组织为应对特别突发事件的发生所做的准备以及事件发生后所采取的措施。计算机网络应急响应的对象是指计算机或网络存储、传输、处理的信息安全事件，事件的主体可能来自于自然界、系统自身故障、组织内部或外部的人、计算机病毒或蠕虫等。13310.5.2应急响应的流程计算机突发事件通常是复杂的，多方面的，因此，我们需要将较大的事件解决方案分解成若干个步骤，如图10－7所示13410.5.2应急响应的流程（续）根据图10－7流程，一般应急响应包括：事前准备发现突发事件初始响应制定响应策略事件调查阶段提交报告阶段解决方案阶段13510.5.3应急响应组织结构计算机应急处理的国际组织惯称为“计算机紧急响应小组CERT”，也有的被称为“计算机安全事件响应小组CSIRT”。1990年11月，在美国、英国等的发起下，一些国家的CERT组织参与成立了“计算机事件响应与安全工作组论坛”，简称FIRST。它的基本目的是使各成员能就安全漏洞、安全技术、安全管理等方面进行交流与合作，以实行国际间的信息共享、技术共享，最终达到联合防范计算机网络上攻击的目标。2002年3月CNCERT/CC与澳大利亚的AusCERT就亚太地区各应急处理组织之间如何协作处理安全事件进行了讨论，并合作草拟了建立亚太地区应急处理工作组(APCERT)的提议，提交亚太地区安全事件响应协调会议讨论，形成了成立APCERT组织的声明(征求意见稿)，并决定成立工作组来负责对该声明进行修订2003年2月，我国信息产业部批准将1999年成立的“国家计算机网络与信息安全管理中心因特网应急小组协调办公室”更名为“信息产业部互联网应急处理协调办公室”。2003年7月14日，中编办正式批复成立了国家计算机网络应急技术处理协调中心，这是计算机应急响应的处理中心，简称CNCERT/CC。13610.6灾难恢复10.6.1灾难恢复概念10.6.2灾难恢复策略10.6.3灾难恢复计划

13710.6.1灾难恢复概念灾难是一种具有破坏性的突发事件。我们所关注的是灾难对单位的正常运营和社会的正常秩序造成的影响，其中最明显的影响是信息服务的中断和延迟，致使业务无法正常运营。信息系统停顿的时间越长，单位的信息化程度越高，损失就越大。灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可正常运行状态，井将其支持的业务功能从灾难造成的不正常态恢复到可接受状态，而设计的活动和流程。它的目的是减轻灾难对单位和社会带来的不良影响，保证信息系统所支持的业务功能在灾难发生后能及时恢复和继续运作。为了减少灾难带来的损失和实现灾难恢复所做的事前计划和安排被称为灾难恢复规划.13810.6.2灾难恢复策略

数据系统的灾难恢复的策略可以有以下要点：对灾难风险的评估、寻求解决的方案、执行计划和维护计划；对不同的单位、不同的业务范围会有不同的信息及通信基础设施，同时也会有不同的灾难恢复策略。当制订一个灾难恢复策略时，一个关键问题是，各部门能否允许多少宕机时间。那些基本不依靠计算机通信和进行其它联系的部门受到的影响会很小，要求数据和关键应用程序没有被破坏，而另一些部门（如政府、金融和军队等）则要求数据和系统实时的响应。13910.6.2灾难恢复策略（续）1．对灾难风险的评估信息系统风险被划分为：计算机系统和环境问题，它们带来的除其他灾难外，也包括数据系统的灾难。我们应该对每一类风险列出涉及到的计算和通信设备清单，为每一个设备分配相对应的风险因子和恢复优先级。当对硬件设施整理完全后，对涉及到的软件和数据资料也使用相同的方法进行处理。当这一切都做完以后，各部门应该已经拥有了一个可能遭到的风险以及当硬件设备、应用软件或数据受到破坏时的恢复方法和策略。14010.6.2灾难恢复策略（续）2．制定解决方案大多数硬件系统风险恢复策略的核心是物理隔离。数据（常常包括服务器）一般是异地备份保存的。存放这些设备的地点一般被称为恢复（或备份）中心，分为这几类：（1）热备份（2）冷备份（3）通过其它离站存储设备（4）合作备份14110.6.3灾难恢复计划灾难的来临没有任何提示的，因此平时制定有效的恢复计划和措施非常重要。理想情况，灾难恢复计划应规定恢复所需的时间以及用户可以期望的最终数据库状态。灾难恢复计划可通过许多方式构建，并且可以包含多种类型的信息，如：（1）硬件获取计划；（2）通讯计划；（3）灾难发生时的联系人名单；（4）与负责处理灾难的人员的联系方式；（5）对计划拥有管理权的人员信息。14210.6.3灾难恢复计划（续）执行灾难恢复计划不是一件日常进行的工作，它必须包括与数据系统相关的服务器、数据和通信设施的日常物理保护。对付灾难，通常需要考虑以下两个最基本的措施。1．需要建立一个符合要求的备份中心所谓符合要求，就是说备份中心应该具备诸如具备与主中心相似的网络和通信设置、具备业务应用运行的基本系统配置、具备稳定高效的电信通路连接主中心（例如光纤、E3/T3、ATM等）以确保数据的实时备份、与主中心相距足够安全的距离等。2．及时进行有效的备份为了做好备份，应该注意选择恰当的硬件和软件，这是成功备份和灾难恢复的重要环节。此外，完善的管理制度对一个企业来说重要程度不亚于技术和产品。平时数据的及时备份、灾难发生的处理方法等都将对灾难恢复的效果、速度产生非常大的影响。143第11章

电子安全应用

引例11发改委官员声称：我国信息化水平大幅提高11.1电子政务安全11.2社会信息化安全11.3企业信息化安全11.4社区信息化安全

144[本章要点]→电子政务安全的五大安全目标、三个安全机制和三层安全模型。→社会信息化典型行业安全分析包含金融、证卷、电信、电力、公安等行业。→企业信息化安全的主要隐患、安全策略、安全管理、中小企业安全管理方案。→社区安全的服务特点、六大安全需求、小区安全防范框架等。

14511.1电子政务安全11.1.1电子政务安全概述11.1.2电子政务的信息安全目标