名師精編優(yōu)秀教案工商管理學(xué)院課程學(xué)分：2名師精編優(yōu)秀教案教學(xué)進(jìn)度計(jì)劃章節(jié)教學(xué)手段教學(xué)環(huán)境第一章共2節(jié)4第二章共2節(jié)4第三章共4節(jié)8第四章共3節(jié)6第五章2第六章共4節(jié)8名師精編優(yōu)秀教案第一章電子商務(wù)安全導(dǎo)論……第二章電子商務(wù)安全管理……第三章信息安全技術(shù)…………第四章數(shù)字證書……………………第六章Internet安全…………名師精編優(yōu)秀教案名師精編優(yōu)秀教案一、組織教學(xué)、熟悉學(xué)生情況（5ˊ)二、課程簡介、前期知識(shí)儲(chǔ)備要求（10ˊ)三、進(jìn)入本次課講授內(nèi)容（包括課堂練習(xí)80ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)第一章電子商務(wù)安全導(dǎo)論地位、總體概論】一、安全問題的提出引入當(dāng)前的最新案例二、電子商務(wù)的安全問題主要來自以下幾個(gè)方面：用源IP地址欺騙攻擊。修改、重發(fā)某些重要信息，破壞數(shù)據(jù)的完整性，損害他人利益。例：hacker在截獲某些信息（如從銀行轉(zhuǎn)帳的信息）后，重復(fù)向銀行服務(wù)器發(fā)出這條信息，這樣將導(dǎo)致銀行的經(jīng)濟(jì)遭受損失，實(shí)現(xiàn)自己的非法目的。（3）信息丟失：三種情況下可能丟失信息，一是由于線路信息丟失，如電源斷電、通信線路斷開等；二是安全措施不錄導(dǎo)致丟失數(shù)據(jù)信息，如信息在傳遞過程中未加密，被hacker修改、刪除了；三是不同的操作平臺(tái)上轉(zhuǎn)換操作從而丟失信息。名師精編優(yōu)秀教案（4）信息傳遞出問題：信息在傳遞的過程中，可能由于線路質(zhì)量較差，水災(zāi)、火災(zāi)等問題而出現(xiàn)問題，或者被hacker搭線竊聽致用戶⑤黑客以服務(wù)器IP①請(qǐng)示信息服務(wù)器④響應(yīng)請(qǐng)②截?cái)嗾?qǐng)④響應(yīng)請(qǐng)用戶IP請(qǐng)示（1）來自買方的信用安全問題消費(fèi)者使用信用卡惡意透支或提交訂單后不付款、提供虛假訂單。（2）來自賣方的信用安全問題不能按質(zhì)、按量、按時(shí)送寄消費(fèi)者購買的貨物，或者生成虛假的訂單，將虛假的信息輸入系統(tǒng)。（3）雙方都存在抵賴的情況當(dāng)交易一方發(fā)現(xiàn)交易行為對(duì)自己不利時(shí)，否認(rèn)電子交易行為。元，于是該股民就有可能否認(rèn)以前的購買行為。交易過程中的管理、人員管理如：交易過程中，要監(jiān)督買方按時(shí)付款、賣方按時(shí)提供符合合同要在人員管理方面，主要是工作人員職業(yè)道德不高，或是離職人員在主要涉及的法律有：CA中心的法律、保護(hù)個(gè)人隱私、個(gè)人秘密的法律、電子合同法、EC的消費(fèi)者權(quán)益保護(hù)法、網(wǎng)絡(luò)知識(shí)產(chǎn)權(quán)保護(hù)法名師精編優(yōu)秀教案即對(duì)信息、實(shí)體的有效性、真實(shí)性進(jìn)行鑒別。即能保證信息不被泄露給非授權(quán)的人/實(shí)體。即既要保證數(shù)據(jù)的一致性，又要防止數(shù)據(jù)被非法授權(quán)建立、修改和（1）可靠性：即能保證合法用戶對(duì)信息和資源的使參考資料二、電子商務(wù)存在的安全問題三、電子商務(wù)的安全需求名師精編優(yōu)秀教案一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（包括課堂練習(xí)85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)即保護(hù)計(jì)算機(jī)設(shè)備、設(shè)施及其他媒體免遭地震、水災(zāi)、火災(zāi)、有害氣體和其他環(huán)境事故破壞的措施、過程。實(shí)體安全是EC安全的最基本保障，是整個(gè)安全系統(tǒng)不可缺少或忽視的組成部分。（1）環(huán)境安全：主要是對(duì)EC系統(tǒng)所在的環(huán)境實(shí)施安全保護(hù)。如區(qū)（2）設(shè)備安全：對(duì)EC系統(tǒng)的設(shè)備進(jìn)行安全保護(hù)，主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄露、防止線路截獲、抗電磁干（3）媒體安全：包括媒體數(shù)據(jù)的安全和媒體本身的安全。媒體的安全：提供對(duì)媒體的安全保管。如防霉變。媒體數(shù)據(jù)的安全：指提供對(duì)媒體數(shù)據(jù)的保護(hù)，實(shí)施對(duì)媒體數(shù)據(jù)的安全刪除和媒體的安全銷毀。如防止媒體數(shù)據(jù)被非法拷貝。名師精編優(yōu)秀教案環(huán)境安全實(shí)體安全設(shè)備安全媒體安全電子商務(wù)系統(tǒng)安全風(fēng)險(xiǎn)分析電子商務(wù)系統(tǒng)安全審計(jì)跟蹤運(yùn)行安全備份與恢復(fù)應(yīng)急操作系統(tǒng)安全數(shù)據(jù)庫安全信息安全病毒防護(hù)信息安全訪問控制加密鑒別系統(tǒng)安全結(jié)構(gòu)圖系統(tǒng)安全結(jié)構(gòu)圖特點(diǎn)：突發(fā)性、自然性、非針對(duì)性破壞性：對(duì)EC信息的完整性和可用性威脅最大解決方法：采取各種防護(hù)措施、隨時(shí)數(shù)據(jù)備份等。全進(jìn)程之后半途離開）、痕跡泄露（如口令密鑰等保管不善，被非法用戶獲得）等。特點(diǎn)：隱蔽性、人為實(shí)施的故意性、信息的無意泄露性解決方法：采取輻射防護(hù)、屏幕口令、隱藏銷毀等手段。特點(diǎn)：人為實(shí)施的無意性、非針對(duì)性破壞性：破壞EC信息的完整性和可用性解決方法：狀態(tài)檢測(cè)、報(bào)警確認(rèn)、應(yīng)急恢復(fù)等。（1）對(duì)機(jī)房及重要信息存儲(chǔ)、收發(fā)部門進(jìn)行屏蔽處理（2）對(duì)本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制。①訂購設(shè)備上晝選取低輻射產(chǎn)品；②采取主動(dòng)式的干擾設(shè)備，用干擾機(jī)來破壞對(duì)應(yīng)信息的即為保障系統(tǒng)功能的安全實(shí)現(xiàn)，提供一套安全措施來保護(hù)信息處主要由四個(gè)部分組成：風(fēng)險(xiǎn)分析、審計(jì)跟蹤、備份與恢復(fù)、應(yīng)急對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)的分析、測(cè)試、跟蹤并記錄系統(tǒng)的運(yùn)行，以發(fā)現(xiàn)系統(tǒng)運(yùn)行期的安全漏洞；對(duì)系統(tǒng)進(jìn)行靜態(tài)分析，以發(fā)現(xiàn)系統(tǒng)潛在的威脅，并對(duì)系統(tǒng)的脆弱性做出分析報(bào)告。如記錄對(duì)系統(tǒng)故意入侵的行為。對(duì)系統(tǒng)設(shè)備和系統(tǒng)數(shù)據(jù)的備份和恢復(fù)。在緊急事件或安全事故發(fā)生時(shí)，提供保障EC系統(tǒng)繼續(xù)運(yùn)行或緊急恢復(fù)所需要的策略。即指防止信息被故意的或偶然的非授權(quán)泄露、更改、破壞或使信息被非法的系統(tǒng)辨識(shí)、控制，也就是要確保信息的完整性、保密性、主要由七部分組成：加密、鑒別名師精編優(yōu)秀教案即對(duì)EC系統(tǒng)的硬件和軟件資源衽有效的控制，為能管理的資源提供相應(yīng)的安全保護(hù)。C1特點(diǎn)：用戶擁有注冊(cè)賬號(hào)和口令，系統(tǒng)通過賬號(hào)和口令來識(shí)別用戶是否合法，并決定用戶對(duì)程序和作息擁有什么樣的訪問權(quán)。如：讓文件擁有者有讀、寫和執(zhí)行的權(quán)力，給同組用戶讀和執(zhí)行的權(quán)力，而給其它用戶以讀的權(quán)力。這樣通過查看日志，就可以發(fā)現(xiàn)入侵的痕跡，如多次登錄失敗，也可以推測(cè)出可能有人想強(qiáng)行闖入系統(tǒng)，審計(jì)可以記錄下Administrator執(zhí)行的活動(dòng)，審計(jì)加上身份驗(yàn)證，就可以知道誰在執(zhí)行這些命令。：（其它的安全評(píng)價(jià)標(biāo)準(zhǔn)：名師精編優(yōu)秀教案第一層：指系統(tǒng)運(yùn)行安全第二層：系統(tǒng)作息安全的/惡意的原因而遭到破壞，更改泄漏，確保系統(tǒng)能夠連續(xù)、可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷②利用Firewal來l保護(hù)企業(yè)的內(nèi)部網(wǎng)絡(luò)（4）計(jì)算機(jī)病毒防護(hù)（國外是一段附著在其它程序上的可以實(shí)現(xiàn)自我繁殖的程序影響計(jì)算機(jī)使用，并能自我復(fù)制的一組計(jì)算機(jī)指令/程序代碼②計(jì)算機(jī)病毒防護(hù)：通過建立系統(tǒng)保護(hù)機(jī)制，來預(yù)防、檢測(cè)和消③分為單機(jī)系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)的防護(hù)，都包括預(yù)防病毒侵入系統(tǒng)、檢測(cè)已侵入系統(tǒng)的病毒、定位已侵入系統(tǒng)的病毒、防止系統(tǒng)中病毒的傳染、清除系統(tǒng)中已發(fā)現(xiàn)的病毒的安全功能。主體：計(jì)算機(jī)中凡是實(shí)施操作的作主體，如用戶/進(jìn)程等?？腕w：被操作的對(duì)象，如文件、設(shè)備、內(nèi)存等。訪問控制主要是阻止非授權(quán)用戶進(jìn)入。具體控制方法包括：物理通道的控制，如控制進(jìn)入機(jī)房的人；門的控制：如雙重門、陷阱門等；提供對(duì)口令字的管理和控制功能，如提供一個(gè)弱口令字庫，禁止用戶使用弱口令字，強(qiáng)制用戶更換口令字等；防止入侵者對(duì)口令字的探測(cè)；名師精編優(yōu)秀教案監(jiān)測(cè)用戶對(duì)某一分區(qū)或域的存??；提供系統(tǒng)中主體對(duì)客體訪問權(quán)限的控制。信息安全中的加密主要涉及數(shù)據(jù)的加密和密鑰的管理。其安全功）；密鑰的管理（密鑰的分發(fā)、更新、回收、歸檔、恢身份鑒別：對(duì)信息的收發(fā)方（用戶、設(shè)備、進(jìn)程）真實(shí)身份的鑒別。主要用于阻止非授權(quán)用戶對(duì)系統(tǒng)資源的訪問。信息鑒別：即對(duì)信息的正確性、完整性、不可否認(rèn)性的鑒別。主要功能是證實(shí)信息內(nèi)容末被非法被修改或遺漏。毒、身份認(rèn)證、授權(quán)等。其次，信息安全管理制度的保障（如人員、設(shè)備日常維護(hù)，保密參考資料名師精編優(yōu)秀教案名師精編優(yōu)秀教案第二章電子商務(wù)安全管理第一節(jié)安全標(biāo)準(zhǔn)與組織進(jìn)程進(jìn)程一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)第二章電子商務(wù)安全管理一、標(biāo)準(zhǔn)化組織（5ˊ)ISO：internationalstandardizationorganization制定了OSI開放系統(tǒng)互聯(lián)參考模型二、安全服務(wù)（30ˊ)（1）定義：通信雙方對(duì)各自通信對(duì)象的合法性、真實(shí)性進(jìn)行確認(rèn)，以防例：用戶名和口令郵箱服務(wù)：aslyl①對(duì)等實(shí)體認(rèn)證單向認(rèn)證：通信雙方中只有一方向另一方進(jìn)行認(rèn)證。了解安全標(biāo)準(zhǔn)化名師精編優(yōu)秀教案例：網(wǎng)上成績的查詢雙向認(rèn)證：通信雙方相互進(jìn)認(rèn)證。例：信用卡的網(wǎng)上支付②數(shù)據(jù)起源認(rèn)證認(rèn)證某個(gè)指定的數(shù)據(jù)項(xiàng)是否來源于某個(gè)特定的實(shí)體。例：數(shù)字簽名B．證明他擁有某物，例如物理密鑰或卡；C．展示他具有某些必備的不變特性，如指紋；是所有安全服務(wù)的基礎(chǔ)；可對(duì)抗假冒攻擊保護(hù)資源以免他人對(duì)其進(jìn)行非法使用和操作例：文件fil由張三修改，并由張三、李四閱讀理解每種安全服務(wù)①授權(quán)：指賦予主體（用戶、終端、程序等）對(duì)客體（數(shù)據(jù)、程序等）②路由控制：指選擇路由的規(guī)則，以選擇或繞過指定的網(wǎng)絡(luò)，連接/①直接控制信息的機(jī)密性、完整性，可用性以及合法使用等基本安全②保護(hù)敏感信息不經(jīng)過有風(fēng)險(xiǎn)的環(huán)境傳送①連接保密服務(wù)：對(duì)某個(gè)連接上的所有用戶數(shù)據(jù)提供集密（即加密）。②無連接保密服務(wù)：對(duì)構(gòu)成一個(gè)無連接數(shù)據(jù)單元的所有數(shù)據(jù)加密。③選擇字段保密服務(wù)：僅對(duì)某個(gè)數(shù)據(jù)單元中所指定的字段加密。防止數(shù)據(jù)被截獲而造成的泄密以保護(hù)網(wǎng)絡(luò)中各系統(tǒng)之間交換的數(shù)據(jù)。名師精編優(yōu)秀教案保護(hù)數(shù)據(jù)以防止末授權(quán)的改變，刪除或替代①可恢復(fù)的連接完整性：對(duì)一個(gè)連接上的所有用戶數(shù)據(jù)的完整性提供保障，進(jìn)行完整性檢驗(yàn)，而且對(duì)任何服務(wù)數(shù)據(jù)單元的修改，插入、刪除或重放都可使之復(fù)原但不能防止重放一個(gè)完整的連接。②無恢復(fù)的連接完整性，除不具備恢復(fù)功能外，同上。③選擇字段的連接完整性，提供在連接上傳送的選擇字段的完整性，并能確定所選字段是否已被修改插入刪除或重放。④無連接完整性：提供單個(gè)無連接的數(shù)據(jù)單元的完整性，能確定收到⑤選擇字段無連接完整性，提供單個(gè)無連接數(shù)據(jù)單元中各個(gè)選擇字段的完整性能確定選擇字段是否被修改。保證接收方收到的信息與發(fā)送方發(fā)送的作息完全一致。防止參與某次通信交換的一方事后否認(rèn)本次交換曾經(jīng)發(fā)生過例：事實(shí)上甲已經(jīng)收到已發(fā)來的匯款，但甲卻否認(rèn)這件事發(fā)生了，即不承認(rèn)乙已發(fā)來貨款，不可否認(rèn)服務(wù)不能阻止甲但卻不提供證據(jù)，證明乙已經(jīng)發(fā)出貨款，而且甲也收到貨款了。①不得否認(rèn)發(fā)送：這種服務(wù)向數(shù)據(jù)接收者提供數(shù)據(jù)源的證據(jù)，從而可防止發(fā)送者否認(rèn)發(fā)送過這個(gè)數(shù)據(jù)，也稱起源的否認(rèn)。②不得否認(rèn)接收：向數(shù)據(jù)發(fā)送者提供數(shù)據(jù)已交付給接收者的證據(jù)，因保護(hù)通信用戶免費(fèi)來自系統(tǒng)中其它合法用戶的威脅，而不是來自未知三、安全機(jī)制（40ˊ)名師精編優(yōu)秀教案最常用的方法，可以在除會(huì)話層以外的各層提供加密保護(hù)。是解決網(wǎng)絡(luò)通信中特有的安全問題的有效方法，尤其是針對(duì)通信雙方發(fā)生爭執(zhí)時(shí)可能發(fā)生的如下安全問題。否認(rèn)：發(fā)送者事后否認(rèn)自己發(fā)送過某份文件偽造：接收者偽造一分文件，聲稱它來自某個(gè)發(fā)送者冒充：網(wǎng)上的某個(gè)用戶冒充另一個(gè)用戶接收/發(fā)送信息篡改：接收者對(duì)接收到的信息進(jìn)行部分篡改訪問控制是按事先確定的規(guī)則決定主體對(duì)客體的訪問是否合法，當(dāng)一個(gè)主體試圖訪問一個(gè)未授權(quán)使用的客體時(shí)，該機(jī)制就拒絕這一企圖，并附帶向?qū)徲?jì)跟蹤系統(tǒng)報(bào)告這一事件，審計(jì)跟蹤系統(tǒng)將產(chǎn)生報(bào)警信號(hào)/形成部分（1）數(shù)據(jù)單元的完整性并且是數(shù)據(jù)本身的函數(shù)，接收實(shí)體利用相同的方法也產(chǎn)生一個(gè)對(duì)應(yīng)的標(biāo)出記，并將所產(chǎn)生的標(biāo)記與接收的標(biāo)記相比較，以確定在傳輸過程中數(shù)據(jù)是（2）數(shù)據(jù)單元序列的完整性插入和修改數(shù)據(jù)。以交換作息的方式來確認(rèn)實(shí)體身份的機(jī)制。用于交換鑒別的技術(shù)有：（1）口令：由發(fā)送方提供接收方檢測(cè)（2）密碼技術(shù)：將交換的信息加密，只有合法用戶才能解密（3）特征事物：如指紋、聲音頻普定義：是對(duì)非法看在線路上監(jiān)聽數(shù)據(jù)并對(duì)其進(jìn)行流量和流向分析所采有用的信息，數(shù)據(jù)交換量的突然改變也可能泄漏有用信息。例：某公司要出售自己在股票市場(chǎng)的份額時(shí)，在消息公開之前有準(zhǔn)備過程中，公司可能與銀行有大量通信，因此對(duì)購買該股票有興趣的人就可能密切關(guān)注公司與銀行之間的Data流量，以了解是否可以購買，公司則可以采取流量填充機(jī)制以保持公司與企業(yè)之間的流量基本恒定，這樣他人就不能獲得有用信息。實(shí)現(xiàn)方法：采用保密裝置在無信息傳輸時(shí)，連續(xù)發(fā)出偽隨機(jī)序列，使非法者不知道哪些是有用作息，哪些是無用作息。是一個(gè)確保數(shù)據(jù)只通過那些有適當(dāng)?shù)陌踩珜傩缘淖泳W(wǎng)、連接延遲的系統(tǒng)來傳輸?shù)臋C(jī)制數(shù)據(jù)從源節(jié)點(diǎn)到目前節(jié)點(diǎn)可能有條路，有些線路可能是安有第三方參與的數(shù)字簽名機(jī)制。當(dāng)引入公證機(jī)制后，通信雙方進(jìn)行通信時(shí)，必須經(jīng)過第三方來交換，以確保公證機(jī)構(gòu)能得到必要的信息，供以后仲裁。有了這張圖，任何的安全措施都必然在坐標(biāo)中有自己的位置。這對(duì)于選擇和實(shí)施具體的安全措施有重要的意義。首先，可以判斷出所需要的安全行為屬于OSI模型的哪一層，如網(wǎng)絡(luò)層或傳輸層；然后判斷出需要那種安全服務(wù)，如防止黑客入侵或者是保障數(shù)據(jù)的安全完整等；最后根據(jù)要實(shí)現(xiàn)的安全目的選擇適合的安全機(jī)制來實(shí)名師精編優(yōu)秀教案參考資料名師精編優(yōu)秀教案一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)該架構(gòu)可概括為一個(gè)中心，四個(gè)基本點(diǎn)一個(gè)中心：以安全管理為中心四個(gè)基本點(diǎn)：保護(hù)、監(jiān)控、響應(yīng)和恢復(fù)就是通過一些管理手段來達(dá)到保護(hù)EC安全的目的它能包含的內(nèi)容有安全管理制度的制定，實(shí)施和監(jiān)督，安全策略的制定，實(shí)施、評(píng)估和修改，以及對(duì)人員的安全意識(shí)的培訓(xùn)教育等。是采用一些網(wǎng)絡(luò)安全產(chǎn)品，工具、技術(shù)保護(hù)網(wǎng)絡(luò)系統(tǒng)，數(shù)據(jù)和用戶，它是一種靜態(tài)保護(hù)，通常是指一些基本防護(hù)，不具有實(shí)時(shí)性。掌握系統(tǒng)安全的掌握系統(tǒng)安全的監(jiān)控：是實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)上正在發(fā)生的事情。名師精編優(yōu)秀教案審計(jì)：是通過記錄下通過網(wǎng)絡(luò)的所有數(shù)據(jù)包，然后分析這些數(shù)據(jù)包，幫助你查找已知的攻擊手可疑的破壞行為，來達(dá)到保護(hù)網(wǎng)絡(luò)的目的。監(jiān)控和審計(jì)是實(shí)時(shí)保護(hù)的一種策略，主要就是一種動(dòng)態(tài)安全的需求。是當(dāng)攻擊正在發(fā)生時(shí)，能夠做出及時(shí)的響應(yīng)。如向管理員報(bào)告，或自動(dòng)阻斷連接等，防止攻擊進(jìn)一步地發(fā)生。響應(yīng)是整個(gè)安全架構(gòu)中最重要組成部分。安全管理是中心，它滲透到四個(gè)基本點(diǎn)中去，而這四個(gè)基本點(diǎn)各占據(jù)點(diǎn)的工件，四個(gè)基本點(diǎn)體現(xiàn)和完成安全管理的任務(wù)，它們相輔相成，構(gòu)成監(jiān)監(jiān)控審計(jì)機(jī)制攻破響響應(yīng)機(jī)制攻破攻破恢復(fù)機(jī)制圖2.1黑客攻擊內(nèi)部網(wǎng)絡(luò)（1）當(dāng)hacker開始向內(nèi)部網(wǎng)發(fā)起攻擊時(shí)，在內(nèi)部網(wǎng)的最外面有一個(gè)保護(hù)屏障，如果保護(hù)屏障可以制止hacker進(jìn)入內(nèi)部網(wǎng)，那么內(nèi)部網(wǎng)就不可能受到hacker破壞，別的機(jī)制就不起作用了，這時(shí)網(wǎng)絡(luò)安全就可以保證。（2）Hacker通過繼續(xù)努力，可能獲得進(jìn)入內(nèi)部網(wǎng)的權(quán)力，即他可能監(jiān)控/審計(jì)機(jī)制能夠在線看到網(wǎng)絡(luò)上的任何事情，它們能夠識(shí)別這種攻擊，如發(fā)現(xiàn)可疑人員進(jìn)入網(wǎng)絡(luò)，這樣它們就會(huì)影響機(jī)制一些信息，響應(yīng)機(jī)制根據(jù)監(jiān)控/審計(jì)結(jié)果來采取一些措施，如立即斷開這條連接。取消服務(wù)，查找hacker通過何種手段進(jìn)入網(wǎng)名師精編優(yōu)秀教案絡(luò)等。來達(dá)到保護(hù)網(wǎng)絡(luò)的目的。系統(tǒng)進(jìn)行破壞，這時(shí)及時(shí)恢復(fù)系統(tǒng)可用是最主要的事情，這樣恢復(fù)機(jī)制就是必須的，當(dāng)系統(tǒng)恢復(fù)后，以是產(chǎn)生一輪的安全保護(hù)開始了。本例中安全管理是如何體現(xiàn)出來的？安全管理在這個(gè)過程中一直存在，因?yàn)檫@“四個(gè)基本點(diǎn)”是借用安全管理工具來實(shí)現(xiàn)安全管理的，這“四個(gè)基本點(diǎn)”運(yùn)行的好壞，直接和安全管理有關(guān)，如在保護(hù)某個(gè)基本點(diǎn)上，如果制定的安全保護(hù)策略周到詳細(xì)，也許hacker就沒有進(jìn)入內(nèi)部網(wǎng)的可能，所以安全管理是中心，四個(gè)基本點(diǎn)是安全管理的具體實(shí)施。二、安全管理制度安全管理的內(nèi)容有安全管理制度的制定，實(shí)施和監(jiān)督等。這些制度包括人員管理制度、保密制度、跟蹤審計(jì)制度系統(tǒng)維護(hù)制度、病毒定期清理制度等。（1）硬件的日常管理維護(hù)網(wǎng)絡(luò)設(shè)備：防盜、防毀、防電磁干攏；通信線路：盡量采用結(jié)構(gòu)化布線，具有穩(wěn)定、安全、可靠的使用性。另外，建立完善的有關(guān)資料的登記（如設(shè)備型號(hào)、生產(chǎn)廠家，配置參（2）軟件的日常管理、維護(hù)應(yīng)用軟件：及時(shí)更新版本網(wǎng)管員應(yīng)在系統(tǒng)開始運(yùn)行時(shí)做好網(wǎng)絡(luò)系統(tǒng)的備份與恢復(fù)的技術(shù)規(guī)劃、實(shí)施和操作，并做好詳細(xì)記錄。名師精編優(yōu)秀教案計(jì)算機(jī)用戶、網(wǎng)管員應(yīng)針對(duì)具體情況采取預(yù)防病毒技術(shù)，檢測(cè)病毒技如：個(gè)人E-mail的收發(fā)要實(shí)行病毒查殺，不打開陌生地址的E-mail，定期查殺病毒制度。①名人負(fù)責(zé)：即每項(xiàng)與安全有關(guān)的活動(dòng)，都必須有2人/多人在場(chǎng)。②任期有限：即任何人最好不要長期擔(dān)任與安全有關(guān)的職條，應(yīng)不定期地循環(huán)任職，并對(duì)工作人員進(jìn)行輪流培訓(xùn)。③職責(zé)明確：即系統(tǒng)工作人員不要打聽、了解/參與職責(zé)以外的任何與安全有關(guān)的事情，出于安全考慮以下每組內(nèi)的2項(xiàng)信息。④處理工作應(yīng)盡可能分開：系統(tǒng)管理與計(jì)算機(jī)編程；機(jī)密資料的接收和發(fā)送；安全管理和系統(tǒng)管理；訪問證件的管理與其它工作；計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等。（2）安全人事管理的實(shí)現(xiàn)據(jù)管理原則和EC系統(tǒng)管理Data的保密性制相應(yīng)的規(guī)范；對(duì)安全等級(jí)要求高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與已無關(guān)的區(qū)域，出入管理可采用證件識(shí)別/安裝自動(dòng)識(shí)別登記系統(tǒng)，利用磁卡身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記和管理。（3）制定嚴(yán)格的操作規(guī)程根據(jù)職責(zé)明確和多人負(fù)責(zé)的原則，各負(fù)責(zé)其責(zé)，不要超過自己的管轄范圍；對(duì)工作調(diào)動(dòng)/離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。根據(jù)工作的重要程度，確定系統(tǒng)的安全等級(jí)。如絕密級(jí)、機(jī)密級(jí)、秘具有口令功能的計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備必須使用口令對(duì)用戶的身份進(jìn)行驗(yàn)證和確認(rèn)，對(duì)于EC安全系統(tǒng)，要有專職兼職系統(tǒng)保密員，負(fù)責(zé)日常的口負(fù)責(zé)給新增用戶分配初始口令；指導(dǎo)用戶正確使用口令；檢查用戶使用口令情況；幫助用戶開啟被鎖定的口令；對(duì)非法操作及時(shí)查明原因；定期向主管部門匯報(bào)口令使用情況。口令長使用時(shí)間不能超過半年，在涉密較多人員復(fù)雜保密條件較差的地方應(yīng)盡可能縮短口令的使用時(shí)間。（4）用戶口令不應(yīng)記在不保密的媒介物上，不要將口令貼在終端上，輸入的口令不應(yīng)顯示在顯示終端上。參考資料名師精編優(yōu)秀教案第三章信息安全技術(shù)第一節(jié)加密技術(shù)一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)第三章信息安全技術(shù)加密技術(shù)是一種主動(dòng)的信息安全防范措施，是信息安全技術(shù)中一個(gè)重要的組成部分，是所有網(wǎng)絡(luò)上通信安全所依賴的基本技術(shù)。一、基本概念1.加密：用基于數(shù)學(xué)方法的程序和保密的密鑰對(duì)信息進(jìn)行編碼的過2.明文：采用加密方法保護(hù)和隱蔽的信息。3.密文：用密碼將明文變換成另一種隱蔽的形式。4.解密：由合法接收者從密文恢復(fù)成明文的過程。5.破譯：非法接收者試圖從密文分析出明文的過程。6.加密算法：對(duì)明文進(jìn)行加密時(shí)采用的一組規(guī)則。7.解密算法：對(duì)密文進(jìn)行解密時(shí)采用的一組規(guī)則。8.密鑰：為了有效控制加密和解密算法的實(shí)現(xiàn)，在其處理過程中要一個(gè)典型的加密系統(tǒng)如圖3.1所示：對(duì)于給定的明文信息，使用密鑰進(jìn)行加密變換將明文變換成密文，合法接收者，利用其知道的解密密鑰，對(duì)收到的密文進(jìn)行變換，還原出明文消息。黑客則利用其選定的變換函數(shù)對(duì)截獲的密文進(jìn)行密碼分析。名師精編優(yōu)秀教案解密變換解密變換接收方密文發(fā)送方接收方密文發(fā)送方C密碼分析（破譯）圖3.1加密系統(tǒng)圖二、加密體制(1)對(duì)稱密鑰加密體制對(duì)稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方和接收方用一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢(shì)是加/解密速度快，適合于對(duì)大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。(2)非對(duì)稱密鑰加密體制非對(duì)稱密鑰加密系統(tǒng)，又稱公鑰密鑰加密。它需要使用一對(duì)密鑰來分別完成加密和解密操作，一個(gè)公開發(fā)布，即公開密鑰，另一個(gè)由用戶自己秘密保存，即私用密鑰。信息發(fā)送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。根據(jù)：公開密鑰是用作加密密鑰，還是用作解密密鑰（1）加密模式：公開密鑰用作加密密鑰（2）驗(yàn)證模式：公開密鑰用作解密密鑰發(fā)送方用接收方的公開密鑰對(duì)要發(fā)送的信息進(jìn)行加密；發(fā)送方將加密后的信息通過網(wǎng)絡(luò)發(fā)送給接收方；接收方用自己的私有密鑰對(duì)接收到的加密信息進(jìn)行解密，得到信公開密鑰接接收方私有密公開密鑰接Internet密文密文明文Internet密文接收發(fā)送圖3.2加密模式加解密過發(fā)送方用自己的私有密鑰對(duì)要發(fā)送的信息進(jìn)行加密；名師精編優(yōu)秀教案發(fā)送方將加密后的信息通過網(wǎng)絡(luò)發(fā)送給接收方；接收方用發(fā)送方的公開密鑰對(duì)接收到的加密信息進(jìn)行解密，得到私有密鑰發(fā)送方Internet發(fā)送方公開密鑰密文明文接收方發(fā)送方圖3.3驗(yàn)證模式加解密過程示意為保護(hù)信息的保密性，抗擊密碼分析，加密系統(tǒng)應(yīng)滿足下述要求：系統(tǒng)的保密性不依賴于對(duì)加密體制或算法的保密，而依賴于密鑰加密和解密算法適用于擁有密鑰空間中的元素。整個(gè)系統(tǒng)便于實(shí)現(xiàn)和使用方便。三、加密算法8位校驗(yàn)碼，實(shí)際上只有56位）進(jìn)行變換，每個(gè)64位明文分組數(shù)據(jù)經(jīng)過 6 8 1名師精編優(yōu)秀教案 3 5迭代：數(shù)據(jù)與密鑰進(jìn)行異域或逆置換表：初始置換表的逆對(duì)于這種加密，除了嘗試所有可能的密鑰外，還沒有已知技術(shù)可以求根據(jù)所基于的數(shù)學(xué)難題來分類：是迄今為止理論上最為成熟完善的一種公鑰密碼體制。素?cái)?shù)相乘在計(jì)算機(jī)上是容易實(shí)現(xiàn)的，但將該乘積分解為2個(gè)大素?cái)?shù)因子的計(jì)算機(jī)量卻相當(dāng)大，大到甚至在計(jì)算機(jī)上也不能實(shí)現(xiàn)。設(shè)計(jì)（產(chǎn)生）密鑰，設(shè)計(jì)密文，恢復(fù)明文A.設(shè)計(jì)密鑰：））名師精編優(yōu)秀教案B.設(shè)計(jì)密文：C.恢復(fù)文明：A.設(shè)計(jì)密鑰：B.設(shè)計(jì)密文先將明文信息數(shù)字化，并分組。C.恢復(fù)明文轉(zhuǎn)換為原文即得“HI”運(yùn)算次數(shù)運(yùn)算時(shí)間3.9h名師精編優(yōu)秀教案年年年密解密所耗的時(shí)間也越長。因此，需根據(jù)所保護(hù)信息的敏感度，攻擊者破解所需要花的代價(jià)值不值得及系統(tǒng)所要求的反應(yīng)時(shí)間來綜合考慮決定密鑰與對(duì)稱密鑰體制比，它的運(yùn)算量大，且復(fù)雜得多，因此，不適于對(duì)大交換；RSA加密系統(tǒng)主要應(yīng)用于智能IC卡、網(wǎng)絡(luò)安全序品涉及高次冪運(yùn)算和求模處理，用軟件實(shí)現(xiàn)處理速度明顯低于DES，常用硬密鑰進(jìn)行加密和實(shí)現(xiàn)數(shù)字簽名。名師精編優(yōu)秀教案K），），簽名信息發(fā)往發(fā)送方。簽名發(fā)給對(duì)方以供認(rèn)證）鑰在通信之前產(chǎn)生，不必恒定，通信結(jié)束后，消去DES密鑰。名師精編優(yōu)秀教案參考資料名師精編優(yōu)秀教案第二節(jié)密鑰管理技術(shù)第三節(jié)數(shù)字簽名技術(shù)一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)第三章信息安全技術(shù)一、密鑰的生存周期密鑰的生存周期：指授權(quán)使用該密鑰的周期。（1）攻擊者可以使用數(shù)學(xué)分析法來進(jìn)行密碼分析。密鑰從產(chǎn)生到終結(jié)的整個(gè)生存期中，都需要加強(qiáng)保護(hù)，而且所有密鑰的完整性也需要保護(hù)，因?yàn)橐粋€(gè)入侵者可能修改或替代密鑰，從而就危及另外，除公密鑰密碼系統(tǒng)中的公鑰外，所有的密鑰都需要保密。名師精編優(yōu)秀教案二、密鑰分發(fā)的方法在實(shí)際中，存儲(chǔ)密鑰的最安全的方法是將其放在物理上安全的地方。地方傳送到另一個(gè)地方時(shí)）密鑰必須用其他的方法來保護(hù)，如：2）將一個(gè)密鑰分成兩部分，委托給2個(gè)不同的人對(duì)稱加密密鑰）對(duì)稱密鑰由一個(gè)系統(tǒng)生成，然后分發(fā)給一個(gè)/多個(gè)系統(tǒng)可為一個(gè)用公鑰是公開的，分發(fā)公鑰是不需要保密，但必須保證公鑰的完整性。即絕不允許給攻擊者任何替換密鑰質(zhì)配機(jī)會(huì)，也就是不能讓攻擊者用別的發(fā)送方接收方B替換為公鑰C消息攻擊者C圖3.7公鑰被冒充示意圖目前，常采用數(shù)字證書來分發(fā)公鑰，即通過可信任的第三方來獲得對(duì)方公鑰，其過程為：名師精編優(yōu)秀教案公鑰這種方案依賴于CA的公鑰必須以一種安全的方式發(fā)布給用戶B中數(shù)字簽名與書面文件簽名的作用相似：確認(rèn)文件已簽署了，因?yàn)樽约旱暮灻y以否認(rèn);因?yàn)楹灻灰追旅?，從而確定了文件是真的這一事實(shí)。信息是由簽名者發(fā)送的信息自簽發(fā)到收到為止未作過任何修改，這樣數(shù)字簽名就可以用來防止電子信息因容易被修改而有人偽造;或冒用別人名義發(fā)送信息;或發(fā)出信息（或收到信息）后有加以否認(rèn)的情況發(fā)生。一、即數(shù)字簽名應(yīng)滿足的要求但數(shù)字簽名與書面文件簽名是有區(qū)別的：書面文件是模擬的，是因人而異的。二、數(shù)字簽名的定義數(shù)字簽名：是通過一個(gè)單向函數(shù)對(duì)要傳送的報(bào)文進(jìn)行處理而得到的，名師精編優(yōu)秀教案用以認(rèn)證報(bào)文來源并核實(shí)報(bào)文是否發(fā)生變化的一個(gè)字母數(shù)字串。三、數(shù)字簽名的功能利用數(shù)字簽名可以實(shí)現(xiàn)以下功能：保證信息傳輸過程中的完整性。發(fā)送者的身份認(rèn)證防止交易中的抵賴發(fā)生四、數(shù)字簽名的實(shí)現(xiàn)方法數(shù)字簽名可以用對(duì)稱算法實(shí)現(xiàn)，也可以用公鑰算法實(shí)現(xiàn)。對(duì)稱算法需要第三方參與，認(rèn)證，較麻煩，而目前則較多采用公鑰算法實(shí)現(xiàn)。（1）簽名具有惟一性，不可偽造性。(1)發(fā)送方（甲）首先用公開的單向函數(shù)對(duì)報(bào)文進(jìn)行一次變換，得到數(shù)字簽名，然后用私鑰對(duì)數(shù)字簽名加密后附在報(bào)文后一同發(fā)生(2)接收方（乙）用發(fā)送方（甲）的公鑰對(duì)數(shù)字簽名進(jìn)行解密交換，得到一個(gè)數(shù)字簽名的明文。(3)接收方（乙）將得到的明文通過單向函數(shù)進(jìn)行計(jì)算，同樣得到例：銀行利用公鑰算法實(shí)現(xiàn)數(shù)字簽名，通過網(wǎng)絡(luò)傳送一張支票，則接收方不可能對(duì)支票數(shù)額進(jìn)行改變。該算法利用一組長度是報(bào)文的比較數(shù)（n）兩倍的密鑰A來產(chǎn)生對(duì)簽(1)形成簽名名師精編優(yōu)秀教案明明文(2)驗(yàn)證簽名接收方對(duì)簽名進(jìn)行驗(yàn)證時(shí)，也是首先從第一位開始依次檢查報(bào)文M。如果M的第i位為0時(shí)，就認(rèn)為簽名中的第i組信息是keyA中的第i位，密鑰。由于接收方具有發(fā)送方的驗(yàn)證信息C，然后可以利用得到的n個(gè)密鑰檢驗(yàn)驗(yàn)證信息，從而確認(rèn)報(bào)文是否是由發(fā)送方所發(fā)送的。這種方法由于它是逐位進(jìn)行簽名的，只要有一位被改動(dòng)過，接收方就得不到正確的數(shù)字簽名，因此，其安全性較好，但簽名太長。由于公鑰加密算法的效率低，因此在使用公鑰加密算法進(jìn)行數(shù)字簽名要。然后對(duì)信息摘要進(jìn)行簽名。發(fā)送方A單向數(shù)數(shù)字簽名明明文數(shù)字簽名接收方B單向單向函函數(shù)信息比比較數(shù)字簽名信息數(shù)字簽名摘要私鑰A數(shù)字簽名數(shù)字簽名摘要公鑰A字簽名五、特殊的數(shù)字簽名方法發(fā)送方限制簽名的使用，使得只有經(jīng)過授權(quán)的用戶才能進(jìn)行簽名的驗(yàn)名師精編優(yōu)秀教案證，即接收方只有經(jīng)過與簽名者的交互才能驗(yàn)證簽名。指簽名者在不知道簽名具體信息的情況下所做的簽名方法。如主要應(yīng)用在電子貨幣、電子投票系統(tǒng)中。即團(tuán)體簽名，指群內(nèi)的各成員呆以以群組的名義簽名，簽名的驗(yàn)證者核實(shí)的是群組簽名的正確性。參考資料名師精編優(yōu)秀教案一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)第四章數(shù)字證書一、數(shù)字證書概述是標(biāo)志網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識(shí)別通信⑴證書的版本信息⑵證書的序列號(hào)；唯一標(biāo)識(shí)⑶證書所使用的簽名算法：認(rèn)證機(jī)構(gòu)對(duì)證書進(jìn)行簽名所使用的數(shù)字簽名算法。⑷證書的發(fā)行機(jī)構(gòu)⑸證書的有效期：起始和終止的日期和時(shí)間。⑹證書所有人的名稱⑺證書所有人的公開密鑰⑻證書發(fā)行者對(duì)證書的簽名。名師精編優(yōu)秀教案三、數(shù)字證書的類型主要為某一個(gè)用戶提供，以幫助個(gè)人用戶和其他用戶交換信息或使用在線服務(wù)時(shí)，驗(yàn)證用戶的身份，保證信息的安全，主要針對(duì)個(gè)人的Email通常為Interne被下載的軟件提供，為軟件做數(shù)字標(biāo)識(shí)，在Internet上進(jìn)行安全的傳送。參考資料名師精編優(yōu)秀教案一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)系列基礎(chǔ)服務(wù)，這些基礎(chǔ)服務(wù)主要用來支持以公鑰為基礎(chǔ)的數(shù)字簽名和加負(fù)責(zé)簽發(fā)證書、驗(yàn)證證書、管理已頒發(fā)證書，以及制定政策和具體步驟來驗(yàn)證、識(shí)別用戶身份。負(fù)責(zé)證書的申請(qǐng)者的信息錄入、審核及證書發(fā)放等工作。是密鑰管理的主要內(nèi)容。（5）證書更新與撤消系統(tǒng)名師精編優(yōu)秀教案密鑰更新備份密鑰歸檔密鑰二、電子商務(wù)認(rèn)證中心CA各認(rèn)證中心形成層次關(guān)系。用戶PolicyCA用戶名師精編優(yōu)秀教案參考資料名師精編優(yōu)秀教案一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)一、防火墻技術(shù)防火墻：指設(shè)置在2個(gè)信任程度不同的網(wǎng)絡(luò)之間（如企業(yè)內(nèi)部網(wǎng)，制，通過強(qiáng)制實(shí)施統(tǒng)一的安全策略，防止對(duì)重要信息資源的非法存取和訪問，以達(dá)到保護(hù)系統(tǒng)安全的目的。serverIntranetpcp防火墻c防火墻Internetpc圖4.1防火墻示意圖名師精編優(yōu)秀教案從定義中可以看出，F(xiàn)irewall從邏輯上講，是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，它能有效地監(jiān)控內(nèi)部網(wǎng)和外部往之間的任何活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)4）防止內(nèi)部信息外泄訪問控制策略的規(guī)則。（1）允許任何服務(wù)。除非被明確禁止。（2）禁止任何服務(wù)，除非被明確允許。小結(jié)：在設(shè)計(jì)Firewall時(shí)，須在易用性和安全性之間取得平衡。因此3）Firewal在l大型網(wǎng)絡(luò)系統(tǒng)中的部署④在遠(yuǎn)程用戶撥號(hào)訪問時(shí)，加入虛擬專網(wǎng)。⑤利用一些Firewall軟件提供的負(fù)載平衡功能。ISP可在公用訪問控制日志記錄等功能。4）Firewall的訪問控制策略①訪問控制策略：說明允許使用用戶網(wǎng)絡(luò)設(shè)備進(jìn)行的訪問類型。規(guī)定了網(wǎng)絡(luò)不同部分允許的數(shù)據(jù)流向，指定哪些類型的傳輸是允許的，哪些傳希望限制通過此連接進(jìn)行訪問的范圍，以保證它們確實(shí)被用于工作目的。名師精編優(yōu)秀教案入內(nèi)部網(wǎng)絡(luò)”。析：這個(gè)訪問控制策略中規(guī)定了數(shù)據(jù)流向，允許傳輸?shù)念愋?。②可以使用的訪問控別描述符。說明內(nèi)容流向指定主機(jī)用戶個(gè)人公用/私用服務(wù)質(zhì)量規(guī)定按信息的流向規(guī)定允許的傳輸行為例：由Internet傳入內(nèi)部網(wǎng)的信息或從內(nèi)部網(wǎng)發(fā)送到訪問服務(wù)器應(yīng)用的服務(wù)類型。有時(shí)除別定傳輸方向外還需要更詳細(xì)的說明。例：某公司可能允許入站的HTTP訪問，但只允許訪問某臺(tái)指定的計(jì)算機(jī)。相反，該公司可能只有一個(gè)部門需許多公司的某些業(yè)務(wù)只需要特定的人員完成特定的工作，而不想讓每個(gè)人都具有些訪問能力。出差這樣完成訪問控別策略的設(shè)備必須對(duì)每個(gè)人試圖有時(shí)，公司需要對(duì)訪問進(jìn)行限制，只允許在一天中的某中的傳輸是必須加密的。公司可能希望根據(jù)用戶帶寬限制訪問活動(dòng)。且希望保證對(duì)它的訪問總能得到回應(yīng)。則該公司可能會(huì)果有潛在客戶正在訪問web服務(wù)器時(shí)，內(nèi)部用戶的被限制在某種帶寬范圍內(nèi)。當(dāng)該客戶訪問完畢時(shí)，內(nèi)部小結(jié)：設(shè)計(jì)Firewall是必須考慮到Firewall的設(shè)計(jì)策略和服務(wù)訪問控制策略。而且這些策略必須是可行的和合理的。可行的策略必須在阻止已知的網(wǎng)絡(luò)風(fēng)險(xiǎn)和提供用戶服務(wù)之間獲得平衡。典型的訪問控制策略：允許通過增強(qiáng)認(rèn)證的用戶在必要的情況下從名師精編優(yōu)秀教案根據(jù)Firewall在ISO/OSI模型中的邏輯位置和網(wǎng)絡(luò)中的物理位置及其所具備的功能，可將其分為兩大類：基于代理服務(wù)的防火墻：如應(yīng)用層代理服務(wù)器。選擇的依據(jù)：是系統(tǒng)內(nèi)設(shè)置的過濾邏輯，被稱為訪問控制表。即指定（2）包過濾Firewall過濾一般是基于一個(gè)IP分組的下列各字段進(jìn)行的：源IP高層過濾規(guī)則鏈路層物理層外部網(wǎng)外部網(wǎng)圖4.2包過濾Firewall圖優(yōu)點(diǎn)：邏輯簡單，價(jià)格便宜，易于安裝和使用。透明性好。適于安全缺點(diǎn)：過濾規(guī)則配置繁瑣；不能在用戶級(jí)別上進(jìn)行過濾，即不能鑒別不同的用戶和防止IP地址盜用。是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。他針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾規(guī)則，并過濾同時(shí)，對(duì)Packet進(jìn)行必要的分析，登記，統(tǒng)計(jì)形成報(bào)告。許進(jìn)入被保護(hù)的子網(wǎng)，而其他服務(wù)則完全被阻塞掉了，這保證了只有那些代理服務(wù)是針對(duì)包過濾的缺點(diǎn)而引入的Firewall技術(shù)。包過濾技術(shù)僅解內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)。名師精編優(yōu)秀教案2個(gè)終止于代理服務(wù)的“連接”實(shí)現(xiàn)①其數(shù)據(jù)控制及傳輸過程如圖示：客戶客戶機(jī)服務(wù)器請(qǐng)求轉(zhuǎn)發(fā)應(yīng)答轉(zhuǎn)發(fā)客戶代理訪問控制請(qǐng)求轉(zhuǎn)發(fā)應(yīng)答轉(zhuǎn)發(fā)客戶代理代理應(yīng)答Firewal代l理圖4.3代理Firewal數(shù)l據(jù)傳輸示意圖②代理服務(wù)的特點(diǎn)：應(yīng)用層的過濾規(guī)則相對(duì)于包過濾Router來說更容易配置和測(cè)試。提供代理服務(wù)的Firewal可l配置成唯一的可被外部看見的主機(jī)。代理工作在客戶機(jī)和真實(shí)Server之間，可以提供很詳細(xì)的日志和缺點(diǎn)：代理速度慢（因其要檢查Packet內(nèi)容）于其代理速度慢，通用性和方便性較差。所以，在較完善的Firewall系統(tǒng)中，一般結(jié)合使用PacketFilterin技g術(shù)和代理技術(shù)。代理技術(shù)可以大大降低包過濾規(guī)則的復(fù)雜度，是包過濾技術(shù)的重要補(bǔ)充。名師精編優(yōu)秀教案包過濾Internet圖4.4應(yīng)用型防火墻配置示意圖優(yōu)點(diǎn)：容易實(shí)現(xiàn)，費(fèi)用少，使用方便。沒有或有很少的日志記錄能力。規(guī)則表隨應(yīng)用的深化而變得很大且很復(fù)雜。這種Firewall依靠一個(gè)單一的部件來保護(hù)系統(tǒng)，一旦部件出現(xiàn)問題，會(huì)使網(wǎng)絡(luò)的大門敞開，而擁護(hù)可能還不知道。（3）當(dāng)前，幾乎所有的包過濾裝置都按如下方式操作：a.對(duì)于分組過濾裝置的有關(guān)端口必須設(shè)置過濾規(guī)則。b.當(dāng)一個(gè)分組到達(dá)過濾端口時(shí)，將對(duì)分組的頭部進(jìn)行分析，大c.分組過濾規(guī)則按一定的身份存貯，當(dāng)一個(gè)分組到達(dá)時(shí)，將按分組規(guī)則的存儲(chǔ)順序依次運(yùn)用每一條規(guī)則對(duì)分組進(jìn)行檢查。d.如一條規(guī)則阻塞傳遞或接受一個(gè)分組，則不允許該分組通過。e.如果一條規(guī)則允許傳遞或接受一個(gè)分組，則允許該分組通過。f.如果一個(gè)分組不滿足任何規(guī)則，則該分組被阻塞。一個(gè)分組過濾規(guī)則排序有錯(cuò)，就有可能拒絕進(jìn)行某些合法的訪問，而允許某些本想拒絕的服務(wù)。而規(guī)則(f)則說明遵循以下原則：未被明確允許的就僅使用一個(gè)安裝與雙宿主主機(jī)的代理服務(wù)器軟件。注：在建立雙宿主機(jī)時(shí)，應(yīng)關(guān)閉所配的Router能力。否則從一塊網(wǎng)卡到另一個(gè)網(wǎng)卡的通信會(huì)繞過代理服務(wù)器軟件使其失去“防止”作用。名師精編優(yōu)秀教案雙宿主機(jī)Server圖4.4應(yīng)用型防火墻配置示意圖優(yōu)點(diǎn)：代理服務(wù)器提供日志，有助于發(fā)現(xiàn)入侵。這種Firewall只采用雙宿主網(wǎng)關(guān)一個(gè)部件。一旦入侵者侵入該雙宿主主機(jī)并使其只具有Router功能，則任何網(wǎng)上用戶都可以隨便該Firewall由分組Router和應(yīng)用層網(wǎng)關(guān)組成。在內(nèi)外部網(wǎng)絡(luò)之間建立來自Interne的t所有通信都直接到達(dá)Filtering規(guī)則過濾這些通信。而應(yīng)用型網(wǎng)關(guān)的Proxyserver軟件用自己的規(guī)則。將被允許的通信傳送到受保護(hù)的網(wǎng)絡(luò)上。在這種情況下，應(yīng)用層網(wǎng)關(guān)只有一塊網(wǎng)卡，因此它不是雙宿主網(wǎng)關(guān)。Intranet保壘主機(jī)FirewallFilteringInternet圖4.5屏蔽主機(jī)防火墻配置示意圖優(yōu)點(diǎn)：具有雙重保護(hù)功能，安全性更高。與雙宿主主機(jī)網(wǎng)關(guān)相比，更靈活。夾可以設(shè)置成使FilteringRouterFirewall的配置工作復(fù)雜，因要對(duì)2個(gè)部件配置以便能協(xié)調(diào)工作。名師精編優(yōu)秀教案系統(tǒng)的靈活性會(huì)導(dǎo)致走捷徑而破壞安全。如：用戶可能試圖避開它是在屏蔽主機(jī)Firewall配置上再加上一個(gè)Router，形成一個(gè)被隔離的數(shù)據(jù)流。而內(nèi)，外網(wǎng)絡(luò)都可以訪問屏蔽子網(wǎng)，但是禁止它們穿過屏蔽子優(yōu)點(diǎn)：安全性高。具有很強(qiáng)的抗攻擊能力。缺點(diǎn)：它要求的設(shè)備和軟件模塊最多，其配置貴且相當(dāng)復(fù)雜。屏蔽子網(wǎng)Intrane內(nèi)部包過濾應(yīng)用型FirewallInterne圖4.6屏蔽子網(wǎng)防火墻配置示意圖的所有訪問請(qǐng)求在被代理server截獲后才傳給服務(wù)器。對(duì)訪問請(qǐng)求的回答直接返回給請(qǐng)求者。七、Firewall的選擇原則對(duì)于Firewall的安全標(biāo)準(zhǔn)，首先得根據(jù)安全級(jí)別確定。其次設(shè)計(jì)或選名師精編優(yōu)秀教案①IP轉(zhuǎn)換④掃毒功能在選購Firewal軟l件時(shí)，應(yīng)該考慮以下幾點(diǎn)：①一個(gè)好的Firewal應(yīng)l該是一個(gè)整體網(wǎng)絡(luò)的保護(hù)者。③一個(gè)好的Firewal應(yīng)l該為使用者提供不同平臺(tái)的選擇。④應(yīng)能向使用者提供完善的售后服務(wù)。及時(shí)更新，發(fā)布補(bǔ)丁。參考資料名師精編優(yōu)秀教案一、組織教學(xué)、課前提問（5ˊ)二、教學(xué)引導(dǎo)（5ˊ)三、進(jìn)入本次課講授內(nèi)容（85ˊ)四、小結(jié)鞏固（重申教學(xué)目的、重點(diǎn)、難點(diǎn)5ˊ)SET協(xié)議（SecurityElectronicTrans1995年：信用卡國際組織，信息業(yè)者及網(wǎng)絡(luò)安全專業(yè)團(tuán)體等開始組成EC交易中的交易協(xié)定，信息保密，資料完整性，數(shù)字認(rèn)證，數(shù)字簽名等。②定單信息和個(gè)人帳號(hào)信息的隔離。③持卡人和商家相互認(rèn)證，以確定通信雙方提供信用擔(dān)保。④要求軟件遵循相同的協(xié)議和消息格式，使不同廠家開發(fā)的軟件具有兼容和互操作功能，并且可以運(yùn)行在不同的硬件和操作系統(tǒng)平臺(tái)上。名師精編優(yōu)秀教案①持卡人主要只持有信用卡的消費(fèi)者。②發(fā)卡行（即為每一個(gè)建立賬戶的顧客頒發(fā)付款卡）指的是負(fù)責(zé)處理信用卡的發(fā)放，賬目管理，付款清算的金融機(jī)構(gòu)。③商家指支持網(wǎng)絡(luò)購物的電子商店，或提供電子交易服務(wù)的企業(yè)組織。是使用支付系統(tǒng)的專用網(wǎng)點(diǎn)，提供各商家的因特網(wǎng)在線付款服務(wù)的金融機(jī)構(gòu)，并處理支付卡的認(rèn)證和貨款的收付。⑤支付網(wǎng)關(guān)由收單銀行操作的將Internet上的傳輸數(shù)據(jù)轉(zhuǎn)換為金融機(jī)構(gòu)內(nèi)部數(shù)據(jù)的軟，硬件設(shè)備，或者是由第三方處理商家支付信息和顧客的支付指令。⑥認(rèn)證機(jī)構(gòu)對(duì)持卡人，商家和支付網(wǎng)關(guān)發(fā)放數(shù)字證書，供交易中的所有成員進(jìn)行身份發(fā)卡行商家銀行即收單行發(fā)卡行①開戶①開戶認(rèn)證機(jī)構(gòu)用戶業(yè)務(wù)服務(wù)器用戶數(shù)字簽名加密①首先，用戶在銀行開立信用卡帳戶，獲得信用卡。定后填寫訂單并通過網(wǎng)絡(luò)傳遞給商家。同時(shí)附上付款指令(訂單和付款指令要有用戶的數(shù)字簽名并加密，使商家無法看到用戶的帳戶信息)③商家收到訂但后，向發(fā)卡行請(qǐng)求支付認(rèn)可，發(fā)卡行確認(rèn)后，批準(zhǔn)交易，并向商家返回確認(rèn)信息.④商家發(fā)送訂單確認(rèn)信息給用戶，并發(fā)貨給用戶⑤商家請(qǐng)示銀行支付貨款，銀行將貸款由用戶的帳戶轉(zhuǎn)移到商家的名師精編優(yōu)秀教案持持卡人②持卡人選擇要購買的商品③持卡人填寫訂單。④持卡人選擇付款方式。此時(shí)SET訂單和付款指令由持卡人進(jìn)行數(shù)字簽名。⑥商家接受訂單后，向持卡人的金融機(jī)構(gòu)請(qǐng)求支付認(rèn)可，通過網(wǎng)關(guān)到銀行。再得到發(fā)卡行確認(rèn)，批準(zhǔn)交易，然后返回確認(rèn)信息給商家。⑦商家發(fā)送訂單確認(rèn)信息給顧客，顧客端軟件可記錄交易日志，以⑧商家給顧客發(fā)貨，或完成訂購服務(wù)商家可以立即請(qǐng)求銀行將錢從購物者的賬號(hào)中轉(zhuǎn)移到商家賬號(hào)，也可以等到某一時(shí)間，請(qǐng)求成批劃賬處理。⑨商家從持卡人的金融機(jī)構(gòu)請(qǐng)求支付。在認(rèn)證操作和支付操作中間一般會(huì)有一個(gè)時(shí)間間隔，例如：在每天下班