第一章 前 言
Internet的發(fā)展����,正在引發(fā)一場人類文明的根本變革。網(wǎng)絡(luò)已成為一個國家最為關(guān)鍵的政治�、經(jīng)濟(jì)、軍事資源��,成為國家實力的新象征�����。同時�����,發(fā)展網(wǎng)絡(luò)技術(shù)也是國民經(jīng)濟(jì)現(xiàn)代化建設(shè)不可缺的一個必要條件���。能否把握網(wǎng)絡(luò)給中國發(fā)展帶來的機(jī)遇��,將會直接影響21世紀(jì)中國的生存����。另一方面,網(wǎng)絡(luò)的發(fā)展也在不斷改變?nèi)藗兊墓ぷ?、生活方式,使信息的獲取��、傳遞���、處理和利用更加高效��、迅速��。隨著科學(xué)技術(shù)不斷發(fā)展��,網(wǎng)絡(luò)已經(jīng)成為人們生活的一個組成部分����。國際互聯(lián)網(wǎng)是一個神奇的虛擬世界����。
然而隨著網(wǎng)絡(luò)應(yīng)用不斷擴(kuò)大,它的反面效應(yīng)也隨著產(chǎn)生��。通過網(wǎng)絡(luò)使得黑客或商業(yè)間諜以及惡意入侵者侵犯和操縱一些重要信息成為可能����,因而引發(fā)出網(wǎng)絡(luò)安全性問題。正如我國著名計算機(jī)專家沈昌祥院士指出的:"信息安全保障能力是21世紀(jì)綜合國力�、經(jīng)濟(jì)競爭實力和生存能力的重要組成部份,是世紀(jì)之交世界各國在奮力攀登的制高點"���。二十世紀(jì)末����,美國一些著名網(wǎng)站����、銀行、電子商務(wù)網(wǎng)站造受黑客攻擊��;黑客入侵微軟竊取源代碼軟件等重要案件����,都證明了網(wǎng)絡(luò)安全的嚴(yán)重性,我們知道��,僅這一兩年內(nèi)��,國內(nèi)做網(wǎng)絡(luò)安全的公司迅速成起來����,從最早的幾家發(fā)展到上百家�����。因此�,解決網(wǎng)絡(luò)安全問題刻不容緩�����。
在我國����,由于我們的一些技術(shù)和國外還有差距,國內(nèi)現(xiàn)有的或正在建設(shè)中的計算機(jī)網(wǎng)絡(luò)�,多數(shù)是通過電信公眾網(wǎng)進(jìn)行信息傳輸,而采用的網(wǎng)絡(luò)設(shè)備幾乎是國外廠家的產(chǎn)品�。這些網(wǎng)絡(luò)的集成相當(dāng)一部分沒有配備網(wǎng)絡(luò)安全產(chǎn)品,還有一些用戶所使用的是國外的生產(chǎn)的產(chǎn)品����,沒有自已的版權(quán)。況且各國在安全產(chǎn)品出口的問題上都有自己的保留�,比如加密算法,美國國家安全局只允許加密密鑰為40位以下的算法出口���。我們可以想象���,對Internet這樣的國際性的互聯(lián)網(wǎng)絡(luò)�����,如果我們的國門全部雇用一批國外的"警衛(wèi)部隊"來把守,其后果是怎樣的?�����。因此�����,我們只有使用國內(nèi)自主研制的信息安全產(chǎn)品��、具有自主知識產(chǎn)權(quán)的安全產(chǎn)品��,才能真正掌握信息戰(zhàn)場上的主動權(quán)����,才能從根本上防范來自各種非法的惡意攻擊和破壞。
回顧歷史�����,展望未來。讓我們分析對網(wǎng)絡(luò)安全理解的一些誤區(qū)�。首先是認(rèn)為是利用網(wǎng)絡(luò)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及應(yīng)用系統(tǒng)自身所具有的認(rèn)證和授權(quán)及訪問控制等措施對信息系統(tǒng)進(jìn)行安全防護(hù)���,現(xiàn)在我們都知道�,這些措施是靜態(tài)的�����,而且是極其脆弱的��,許多安全漏洞都沒有考慮進(jìn)去��,網(wǎng)絡(luò)信息系統(tǒng)存在極大的風(fēng)險�����。還有就是把網(wǎng)絡(luò)安全幾乎全部依賴于所安裝的防火墻或覺得安裝了防病毒系統(tǒng)���,網(wǎng)絡(luò)就安全了�����;他們沒有認(rèn)識到網(wǎng)絡(luò)安全是動態(tài)的����、整體的,不可能僅靠單一安全產(chǎn)品就能實現(xiàn)�����。所以����,我們必須從網(wǎng)絡(luò)安全可能存在的危機(jī)入手����,分析并提出整體的網(wǎng)絡(luò)安全解決方案。
FortiNet公司是一家從事網(wǎng)絡(luò)信息安全研究�、產(chǎn)品開發(fā)的高科技術(shù)企業(yè)之一。是一家致力于國際信息安全產(chǎn)業(yè)發(fā)展的專業(yè)安全公司��。FortiNet公司已成功開發(fā)出具有自主版權(quán)的安全產(chǎn)品:FortiGate系列防火墻����。該產(chǎn)品是基于ASIC芯片的硬件防火墻,集成了網(wǎng)關(guān)級病毒檢測和內(nèi)容過濾功能�����。該安全產(chǎn)品已獲得公安部許可,同時獲得了ICSA的AntiVirus���、IPSec和FireWall認(rèn)證��。目前�,這些安全產(chǎn)品都已廣泛應(yīng)用于金融�����、電信����、教育等行業(yè)。并贏得用戶的廣泛贊譽(yù)�。
第二章 網(wǎng)絡(luò)安全應(yīng)用與風(fēng)險
2.1銀行網(wǎng)絡(luò)應(yīng)用
隨著網(wǎng)絡(luò)的快速發(fā)展,各金融企業(yè)之間的竟?fàn)幰踩找婕ち?,主要是通過提高金融機(jī)構(gòu)的運(yùn)作效率,為客戶提供方便快捷和豐富多彩的服務(wù)�,增強(qiáng)金融企業(yè)的發(fā)展能力和影響力來實現(xiàn)的。為了適應(yīng)這種發(fā)展趨勢�����,銀行在改進(jìn)服務(wù)手段、增加服務(wù)功能�����、完善業(yè)務(wù)品種�、提高服務(wù)效率等方面做了大量的工作,以提高銀行的競爭力����,爭取更大的經(jīng)濟(jì)效益。而實現(xiàn)這一目標(biāo)必須通過實現(xiàn)金融電子化�����,利用高科技手段推動金融業(yè)的發(fā)展和進(jìn)步�����,網(wǎng)絡(luò)的建設(shè)為銀行業(yè)的發(fā)展提供了有力的保障��,并且勢必為銀行業(yè)的發(fā)展帶來具大的經(jīng)濟(jì)效益��。目前銀行主要應(yīng)用有:儲蓄��、對公���、信用卡�、儲蓄卡���、IC卡���、國際業(yè)務(wù)、電子匯兌�����、電子郵件��、電子公文��、網(wǎng)上銀行�、網(wǎng)上交易系統(tǒng)、新的綜合對公業(yè)務(wù)����、國際業(yè)務(wù)信貸系統(tǒng)等。但是我們應(yīng)該意識到事務(wù)的兩面性�,隨著應(yīng)用的不斷增加,網(wǎng)絡(luò)安全風(fēng)險也會不斷暴露出來��。原來由單個計算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和主機(jī),引起大范圍的癱瘓和損失�。而且由于銀行屬于商業(yè)系統(tǒng),都有一些各自的商業(yè)機(jī)密信息����,如果這些涉密信息在網(wǎng)上傳輸過程中泄密,其造成的損失將是不可估量的��。
2.2銀行網(wǎng)絡(luò)安全風(fēng)險分析
2.2.1來自互聯(lián)網(wǎng)風(fēng)險
網(wǎng)上銀行�����、電子商務(wù)�����、網(wǎng)上交易系統(tǒng)都是通過Internet公網(wǎng)并且都與銀行發(fā)生關(guān)系�,銀行系統(tǒng)網(wǎng)絡(luò)如果與Internet公網(wǎng)直接或間接互聯(lián)���,那么由于互聯(lián)網(wǎng)自身的廣泛性��、自由性等特點����,象銀行這樣的金融系統(tǒng)自然會被惡意的入侵者列入其攻擊目標(biāo)的前列。
2.2.2來自外單位風(fēng)險
銀行系統(tǒng)為了競爭��,已不僅僅是局限在本系統(tǒng)縱向網(wǎng)上做文章�����,而是逐步向橫向發(fā)展����,主要表現(xiàn)在銀行不斷增加中間業(yè)務(wù),增加服務(wù)功能�����。比如代收電話費(fèi)�����、水電費(fèi)�����、代收保險費(fèi)�����、證券轉(zhuǎn)帳等業(yè)務(wù)。因此����,就與電信局、水電局���、保險公司����、證券交易所等單位網(wǎng)絡(luò)互聯(lián)�����。由于銀行與這些單位之間不可能是完全任信關(guān)系�����,因此���,它們之間的互聯(lián),也使得銀行網(wǎng)絡(luò)系統(tǒng)存在著來自外單位的安全威脅�。
2.2.3來自不信任域風(fēng)險
大部分銀行系統(tǒng)都發(fā)展到全國聯(lián)網(wǎng)。一個系統(tǒng)分布在全國各地,范圍之廣�,而且各級銀行也都是獨(dú)立核算單位,因此���,對每一個區(qū)域銀行來說�����,其它區(qū)域銀行都可以說是不信任的����。同樣存在安全危脅���。
2.2.4來自內(nèi)部網(wǎng)風(fēng)險
據(jù)調(diào)查統(tǒng)計���,已發(fā)生的網(wǎng)絡(luò)安全事件中,70%的攻擊是來自內(nèi)部�。因此內(nèi)部網(wǎng)的安全風(fēng)險更嚴(yán)重。內(nèi)部員工對自身企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)����、應(yīng)用比較熟悉,自已攻擊或內(nèi)外勾結(jié)泄露重要信息�,都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命安全威脅�����。
2.2.5管理安全風(fēng)險
企業(yè)員工的安全意識薄弱���,企業(yè)的安全管理體制不健全也是網(wǎng)絡(luò)存在安全風(fēng)險的重要因素之一,健全的安全管理體制是一個企業(yè)網(wǎng)絡(luò)安全得以保障及維系的關(guān)鍵因素��。
2.3風(fēng)險可能導(dǎo)致的結(jié)果
安全威脅可能引發(fā)的結(jié)果有非法使用資源���、惡意破壞數(shù)據(jù)�、數(shù)據(jù)竊取���、數(shù)據(jù)篡改�、假冒�、偽造、欺騙����、敲詐勒索等。種種結(jié)果對銀行這樣特殊性的行業(yè)來說�����,其損失都是不可估量的。必須將風(fēng)險防患于未然����。
第三章 銀行網(wǎng)絡(luò)安全需求
通過以上對銀行網(wǎng)絡(luò)系統(tǒng)應(yīng)用與安全風(fēng)險分析��,我們提出防范網(wǎng)絡(luò)安全危險的安全需求:
·采用相關(guān)的訪問控制產(chǎn)品及控制技術(shù)來防范來自不安全網(wǎng)絡(luò)或不信任域的非法訪問或非授權(quán)訪問�。
·采用加密設(shè)備應(yīng)用加密、認(rèn)證技術(shù)防范信息在網(wǎng)絡(luò)傳輸過程中被非法竊取����,而造成信息的泄露,并通過認(rèn)證技術(shù)保證數(shù)據(jù)的完整性����、真實性、可靠性�����。
·采用安全檢測技術(shù)來實時檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流��,動態(tài)防范各種來自內(nèi)外網(wǎng)絡(luò)的惡意攻擊��。
·采用網(wǎng)絡(luò)安全評估系統(tǒng)定期或不定期對網(wǎng)絡(luò)系統(tǒng)或操作系統(tǒng)進(jìn)行安全性掃描����,評估網(wǎng)絡(luò)系統(tǒng)及操作系統(tǒng)的安全等級����,并分析提出補(bǔ)救措施����。
·采用防病毒產(chǎn)品及技術(shù)實時監(jiān)測進(jìn)入網(wǎng)絡(luò)或主機(jī)的數(shù)據(jù),防范病毒對網(wǎng)絡(luò)或主機(jī)的侵害��。
·采用網(wǎng)絡(luò)備份與恢復(fù)系統(tǒng)��,實現(xiàn)數(shù)據(jù)庫的安全存儲及災(zāi)難恢復(fù)�。
·構(gòu)建CA認(rèn)證中心,來保證加密密鑰的安全分發(fā)及安全管理����。
·應(yīng)用安全平臺的開發(fā),針對銀行特殊的應(yīng)用進(jìn)行特定的應(yīng)用開發(fā)��。
·必須制定完善安全管理制度���,并通過培訓(xùn)等手段來增強(qiáng)員工的安全防范技術(shù)及防范意識��。
第四章 網(wǎng)絡(luò)安全解決方案
4.1物理安全
保證計算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個網(wǎng)絡(luò)系統(tǒng)安全的前提���。物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備�、設(shè)施以及其它媒體免遭地震��、水災(zāi)��、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程��。
4.1.1環(huán)境安全
對系統(tǒng)所在網(wǎng)絡(luò)環(huán)境合理選擇的安全保護(hù)�����,如防水災(zāi)��、火災(zāi)��、地震等自然災(zāi)害�����。
4.1.2設(shè)備安全
加強(qiáng)設(shè)備的安全保護(hù)�,防止發(fā)生設(shè)備被盜�、被毀。
4.1.3媒介安全
加強(qiáng)場地基礎(chǔ)設(shè)施的建設(shè)����,防止信息通過輻射�����、線路截獲而造成泄露���。
4.2系統(tǒng)安全
4.2.1操作系統(tǒng)安全
目前大多數(shù)操作系統(tǒng)都存在一些安全漏洞、后門�����,而這些因素往往又是被入侵者攻擊所利用����。因此,對操作系統(tǒng)必須進(jìn)行安全配置����、打上最新的補(bǔ)丁,還要利用相應(yīng)的掃描軟件對其進(jìn)行安全性掃描評估�����、檢測其存在的安全漏洞,分析系統(tǒng)的安全性��,提出補(bǔ)救措施����。管理人員應(yīng)用時必須加強(qiáng)身份認(rèn)證機(jī)制及認(rèn)證強(qiáng)度。
4.2.2應(yīng)用系統(tǒng)安全
應(yīng)用系統(tǒng)一般都是針對某些應(yīng)用而開發(fā)的�,但由于它的通用性,其所提供的服務(wù)并非都是每個具體用戶所必需的�����,因此����,對應(yīng)用系統(tǒng)的安全性��,也應(yīng)該進(jìn)行安全配置�����,盡量做到只開放必須使用的服務(wù)��,而關(guān)閉不經(jīng)常用的協(xié)議及協(xié)議端口號�����。還有就是對應(yīng)用系統(tǒng)的使用要加強(qiáng)用戶登錄身份認(rèn)證。確保用戶使用的合法性���,嚴(yán)格限制登錄者的操作權(quán)限���,將其完成的操作限制在最小的范圍內(nèi)。并充分利用應(yīng)用系統(tǒng)本身的日志功能��,對用戶所訪問的信息做記錄���,為事后審查提供依據(jù)�。
4.3網(wǎng)絡(luò)安全
4.3.1網(wǎng)絡(luò)結(jié)構(gòu)安全
網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否�,也影響著網(wǎng)絡(luò)的安全性。對銀行系統(tǒng)業(yè)務(wù)網(wǎng)�、辦公網(wǎng)、與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍�����、安全保密程度進(jìn)行合理分布��,以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅�����,傳播到整個網(wǎng)絡(luò)系統(tǒng)。
4.3.2加強(qiáng)訪問控制
1)如果銀行系統(tǒng)有上Internet公網(wǎng)的需求��,則從安全性考濾���,銀行業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)必須與Internet公網(wǎng)物理隔離����。解決方法可以是兩個網(wǎng)絡(luò)之間完全斷開或者通過物理安全隔離卡來實現(xiàn)��。
2)網(wǎng)結(jié)構(gòu)合理分布后����,在內(nèi)部局網(wǎng)內(nèi)可以通過交換機(jī)劃分VLAN功能來實現(xiàn)不同部門�、不同級別用戶之間簡單的訪問控制。
3)內(nèi)部局域網(wǎng)與外單位網(wǎng)絡(luò)��、內(nèi)部局域網(wǎng)與不信任域網(wǎng)絡(luò)之間可以通過配備防火墻來實現(xiàn)內(nèi)��、外網(wǎng)或不同信任域之間的隔離與訪問控制��。
4)根據(jù)企業(yè)具體應(yīng)用���,也可以配備應(yīng)用層的訪問控制軟件系統(tǒng)��,針對局域網(wǎng)具體的應(yīng)用進(jìn)行更細(xì)致的訪問控制��。
5)對于遠(yuǎn)程拔號訪問用戶的安全性訪問�����,可以利用防火墻的一次性口令認(rèn)證機(jī)制���,對遠(yuǎn)程拔號用戶進(jìn)行身份認(rèn)證�����,實遠(yuǎn)程用戶的安全訪問�。
4.3.3安全檢測
由于防火墻等安全控制系統(tǒng)都屬于靜態(tài)防護(hù)安全體系���,但對于一些允許通過防火墻的訪問而導(dǎo)致的攻擊行為�、內(nèi)部網(wǎng)的攻擊行業(yè)���,防火墻是無能為力的���。因此�����,還必須配備入侵檢測系統(tǒng)�����,該系統(tǒng)可以安裝在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上���,它的功能是實時分析進(jìn)出網(wǎng)絡(luò)數(shù)據(jù)流,對網(wǎng)絡(luò)違規(guī)事件跟蹤�、實時報警、阻斷連接并做日志�����。它既可以對付內(nèi)部人員的攻擊����,也可以對付來自外部網(wǎng)絡(luò)的攻擊行為����。
4.3.4網(wǎng)絡(luò)安全評估
黑客攻擊成功的案例中,大多數(shù)都是利用網(wǎng)絡(luò)或系統(tǒng)存在的安全漏洞���,實現(xiàn)攻擊的�。網(wǎng)絡(luò)安全性掃描分析系統(tǒng)通過實踐性的方法掃描分析網(wǎng)絡(luò)系統(tǒng),檢查報告系統(tǒng)存在的弱點和漏洞�����,建議補(bǔ)救措施和安全策略���,根據(jù)掃描結(jié)果配置或修改網(wǎng)絡(luò)系統(tǒng)�����,達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性的目的��。操作系統(tǒng)安全掃描系統(tǒng)是從操作系統(tǒng)的角度�,以管理員的身份對獨(dú)立的系統(tǒng)主機(jī)的安全性進(jìn)行評估分析�����,找出用戶系統(tǒng)配置�、用戶配置的安全弱點,建議補(bǔ)救措施��。
4.4應(yīng)用安全
4.4.1安全認(rèn)證
銀行系統(tǒng)在解決網(wǎng)絡(luò)安全問題肯定要配備加密系統(tǒng)�,由于要加密就涉及到密鑰����,則密鑰的產(chǎn)生�、頒發(fā)與管理就存在安全性。我們都知道密鑰的發(fā)放一般都是通過發(fā)放證書來實現(xiàn)��。那么��,證書的發(fā)送方與接收方如何確認(rèn)對方證書的真實性��,因此���,就引入了通過第三方來發(fā)放證書�,即構(gòu)建一個權(quán)威認(rèn)證機(jī)構(gòu)(CA認(rèn)證中心)�����。銀行系統(tǒng)可以聯(lián)合各專業(yè)銀行一同構(gòu)建一個銀行系統(tǒng)的CA系統(tǒng)��。實現(xiàn)本系統(tǒng)內(nèi)證書的發(fā)交與業(yè)務(wù)的安全交易����。隨著網(wǎng)絡(luò)經(jīng)濟(jì)的發(fā)展��,慢慢可以升級為和其它系統(tǒng)CA的交叉認(rèn)證。
4.4.2病毒防護(hù)
提起病毒的危害�����,我想很多人都會為之震驚����。CIH、愛蟲等真讓IT界恐慌一時�,病毒侵害小的引起死機(jī)影響工作、大的可能引起系統(tǒng)癱瘓(徹底摧毀數(shù)據(jù))��。病毒的防護(hù)必須通過防病毒系統(tǒng)來實現(xiàn)�,銀行系統(tǒng)中業(yè)務(wù)網(wǎng)絡(luò)操作系統(tǒng)一般都采用UNIX操作系統(tǒng),而辦公網(wǎng)絡(luò)都為Windows系統(tǒng)���,因此�,防范病毒的入侵����,就應(yīng)該根據(jù)具體的系統(tǒng)類型,配置相應(yīng)的����、最新的防病毒系統(tǒng)���。從單機(jī)到網(wǎng)絡(luò)實現(xiàn)全網(wǎng)的病毒安全防護(hù)體系,病毒無論從外部網(wǎng)絡(luò)還是從內(nèi)部網(wǎng)絡(luò)中的某臺主機(jī)進(jìn)入網(wǎng)絡(luò)系統(tǒng)����,通過防病毒軟件的實時檢測功能,將會把病毒扼殺在發(fā)起處����,防止病毒的擴(kuò)散。
4.5信息安全
4.5.1加密傳輸
要保護(hù)數(shù)據(jù)在傳輸過程中不被泄露�����,保證用戶數(shù)據(jù)的機(jī)密性��,必須對數(shù)據(jù)進(jìn)行加密��。加密后��,數(shù)據(jù)在傳輸過程中便是以密文傳輸�,既使被入侵者截獲,由于是密文形式����,也讀不懂����;即使加密后的數(shù)據(jù)存在被破譯的可能性��,但現(xiàn)行密碼算法的密鑰都在64位以上����,解密工作并不容易����,需要花費(fèi)相當(dāng)?shù)馁Y金、時間���。等到破譯����,也許這種信息已經(jīng)沒有什么價值了���。數(shù)據(jù)加密的方法有從鏈路層加密��、網(wǎng)絡(luò)層加密及應(yīng)用層加密��。鏈路層加密機(jī)主要根據(jù)企業(yè)采用鏈路協(xié)議(Frame Relay��、X���。25���、DDN、PSTN)�,采用相應(yīng)類型的加密機(jī);網(wǎng)絡(luò)層加密由于是在網(wǎng)層上�,因此它對鏈路層是透明的,與鏈路是何種協(xié)議無關(guān)����;應(yīng)用層加密主要適用于具有的加密需求,針對具體的應(yīng)用進(jìn)行開發(fā)��。不同企業(yè)可以根據(jù)自身網(wǎng)絡(luò)特點及應(yīng)用需求選擇合適的加密方法��。對于銀行系統(tǒng)�,由于系統(tǒng)龐大,采用電信網(wǎng)絡(luò)鏈路協(xié)議有Frame Relay�、X.25、DDN��、PSTN等多種鏈路,如果采用鏈路加密��,采必須采用多種類型的加密機(jī)����,這樣對一個系統(tǒng)來說,就會給產(chǎn)品維護(hù)����、升級等帶來一定的困難���;對于應(yīng)用層加密�����,在網(wǎng)上銀行應(yīng)用比較廣泛�,網(wǎng)上銀行針對公網(wǎng)用戶����,其數(shù)據(jù)在公網(wǎng)上傳輸不可能使用鏈路層或網(wǎng)絡(luò)層加密設(shè)備,只能通過應(yīng)用層加密來實現(xiàn)���,應(yīng)用層加密可以采用SET協(xié)議或者SSL協(xié)議��,通過B/S 結(jié)構(gòu)完成網(wǎng)上交易的加密及解密��。因此��,對銀行普通業(yè)務(wù)系統(tǒng)��,我們建議采用網(wǎng)絡(luò)層加密設(shè)備��,來保護(hù)數(shù)據(jù)在網(wǎng)絡(luò)上傳輸?shù)陌踩?。而對網(wǎng)上銀行、網(wǎng)上交易等業(yè)務(wù)系統(tǒng)可以采用應(yīng)用層加密機(jī)制來加密��,以保護(hù)數(shù)據(jù)在網(wǎng)上傳輸?shù)臋C(jī)密性�。
4.5.2信息鑒別
保護(hù)數(shù)據(jù)的完整性、真實性����、可靠性也是網(wǎng)絡(luò)系統(tǒng)安全防護(hù)的一個重要方面。數(shù)據(jù)在傳輸過程中存在著被非法竊取��、篡改的安全威脅��,為此�����,為了保證數(shù)據(jù)的完整性,就必須采用信息鑒別技術(shù)����。VPN設(shè)備便能實現(xiàn)這樣的功能,其實現(xiàn)過程:原始數(shù)據(jù)包到達(dá)VPN設(shè)備時首先對數(shù)據(jù)進(jìn)行加密并用HASH函數(shù)對數(shù)據(jù)進(jìn)行HASH運(yùn)算產(chǎn)生信息摘要與加密后的數(shù)據(jù)一同發(fā)出去���,數(shù)據(jù)包到達(dá)目的方的VPN加密設(shè)備后��,先對加密的密鑰對對數(shù)據(jù)包進(jìn)行解密��,然后用HASH函數(shù)對解密后的數(shù)據(jù)進(jìn)行HASH運(yùn)算�����,也產(chǎn)生信息摘要,把這個信息摘要與收到的信息摘要進(jìn)行對比���,由于進(jìn)行HASH運(yùn)算后產(chǎn)生的信息摘要可以被認(rèn)為具有唯一性��,所以�,如果這兩個信息摘要完全相同����,則說明解密的數(shù)據(jù)是完整的原始數(shù)據(jù)����,否則說明數(shù)據(jù)在傳輸過程中已經(jīng)被修改過���,失去的完整性�����。
數(shù)據(jù)源身份認(rèn)證也是信息鑒別的一種手段��,它可以確認(rèn)信息的來源的可靠性�。
