A. 怎樣關閉SSL證書策略
功能表——設來置——數據管理自——程序管理——選項——設置——在線證書檢查選擇關。
工具——Internet選項——安全-----自定義級別——對未標記為安全執行腳本的ActiveX(設置為啟用)
不行就選擇默認級別
因為你是進入了非法網站 也就是釣魚網站 網站內隱藏了木馬程序或其它病毒軟體 病毒會在你打開網頁的同時自動安裝在你的電腦中 win7自帶瀏覽器防病毒程序會自動檢測到 並在第一時間提醒你 這是對你的負責 希望不要自作主張試圖關閉它 不想讓系統崩潰的話 盡量不要瀏覽這些網站
再試一下進入瀏覽器---工具--internet選項--高級--下拉到安全選項-----將SSL2.0 前邊的鉤鉤關掉試試
主要是因為訪問海爾的SSL證書時,IE會自動去檢查證書中的吊銷列表,而目前國際證書的吊銷列表都是放在國外,所以可能會出現連接不上的情況。
關於SSL的協議,因為目前已知2.0存在安全問題,所以都建議選擇SSL3.0和TLS1.0
再就是海爾BCC系統網站使用的是企業型的SSL安全證書
B. 公鑰策略是什麼意思
公鑰基礎設施PKI 簡介
中科院計算機網路信息中心 在讀研究生 孔 寧
摘要:本文簡介了當前廣泛用於解決電子商務中安全問題的PKI 技術。PKI(Pubic Key Infrastructure)是一
種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平台的技術和規范。PKI 的核心組成
部分CA( Certification Authority),即認證中心,它是數字證書的簽發機構。數字證書,有時被稱為數字身
份證,是一個符合一定格式的電子文件,用來識別電子證書持有者的真實身份。
關鍵詞:公鑰基礎設施PKI 認證中心CA 數字證書
一 PKI 簡介
隨著Internet 的普及,人們通過網際網路進行溝通越來越多,相應的通過網路進行商務活
動即電子商務也得到了廣泛的發展。電子商務為我國企業開拓國際國內市場、利用好國內
外各種資源提供了一個千載難逢的良機。電子商務對企業來說真正體現了平等 競爭、高效
率、低成本、高質量的優勢,能讓企業在激烈的市場競爭中把握商機、脫穎而出。發達國
家已經把電子商務作為21 世紀國家經濟的增長重點,我國的有關部門也正在大力推進我國
企業發展電子商務。然而隨著電子商務的飛速發展也相應的引發出一些Internet 安全問題。
概括起來,進行電子交易的互聯網用戶所面臨的安全問題有: 一,保密性 :如何保證電
子商務中涉及的大量保密信息在公開網路的傳輸過程中不被竊取;二,完整性 :如何保證
電子商務中所傳輸的交易信息不被中途篡改及通過重復發送進行虛假交易;三,身份認證
與授權 :在電子商務的交易過程中,如何對雙方進行認證,以保證交易雙方身份的正確性;
四,抗抵賴 :在電子商務的交易完成後,如何保證交易的任何一方無法否認已發生的交易。
這些安全問題將在很大程度上限制電子商務的進一步發展,因此如何保證Internet 網上信息
傳輸的安全,已成為發展電子商務的重要環節。
為解決這些Internet 的安全問題,世界各國對其進行了多年的研究,初步形成了一套完
整的Internet 安全解決方案,即目前被廣泛採用的PKI 技術(Public Key Infrastructure-公鑰基
礎設施),PKI(公鑰基礎設施)技術採用證書管理公鑰,通過第三方的可信任機構--認證中
心CA(Certificate Authority),把用戶的公鑰和用戶的其他標識信息(如名稱、e-mail、身份
證號等)捆綁在一起,在Internet 網上驗證用戶的身份。目前,通用的辦法是採用基於PKI
結構結合數字證書,通過把要傳輸的數字信息進行加密,保證信息傳輸的保密性、完整性,
簽名保證身份的真實性和抗抵賴。
二 PKI 的基本定義與組成
PKI 的基本定義十分簡單,所謂PKI 就是一個用公鑰概念和技術實施和提供安全服務
的具有普適性的安全基礎設施。
PKI 是一種新的安全技術,它由公開密鑰密碼技術、數字證書、證書發放機構(CA)
和關於公開密鑰的安全策略等基本成分共同組成的。PKI 是利用公鑰技術實現電子商務安全
的一種體系,是一種基礎設施,網路通訊、網上交易是利用它來保證安全的。從某種意義上
講,PKI 包含了安全認證系統,即安全認證系統-CA 系統是PKI 不可缺的組成部分。
PKI(Public Key Infrastructure)公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或
平台,目的是為了管理密鑰和證書。一個機構通過採用PKI 框架管理密鑰和證書可以建立
一個安全的網路環境。PKI 主要包括四個部分:X.509 格式的證書(X.509 V3)和證書廢止
列表CRL(X.509 V2);CA 操作協議;CA 管理協議;CA 政策制定。一個典型、完整、
有效的PKI 應用系統至少應具有以下五個部分;
1) 認證中心CA CA 是PKI 的核心,CA 負責管理PKI 結構下的所有用戶(包括
各種應用程序)的證書,把用戶的公鑰和用戶的其他信息捆綁在一起,在網上
驗證用戶的身份,CA 還要負責用戶證書的黑名單登記和黑名單發布,後面有
CA 的詳細描述。
2) X.500 目錄伺服器 X.500 目錄伺服器用於發布用戶的證書和黑名單信息,用戶
可通過標準的LDAP 協議查詢自己或其他人的證書和下載黑名單信息。
3) 具有高強度密碼演算法(SSL)的安全WWW伺服器 Secure socket layer(SSL)協議
最初由Netscape 企業發展,現已成為網路用來鑒別網站和網頁瀏覽者身份,以
及在瀏覽器使用者及網頁伺服器之間進行加密通訊的全球化標准。
4) Web(安全通信平台) Web 有Web Client 端和Web Server 端兩部分,分別安裝
在客戶端和伺服器端,通過具有高強度密碼演算法的SSL 協議保證客戶端和服務
器端數據的機密性、完整性、身份驗證。
5) 自開發安全應用系統 自開發安全應用系統是指各行業自開發的各種具體應用
系統,例如銀行、證券的應用系統等。
完整的PKI 包括認證政策的制定(包括遵循的技術標准、各CA 之間的上下級或同級
關系、安全策略、安全程度、服務對象、管理原則和框架等)、認證規則、運作制度的制定、
所涉及的各方法律關系內容以及技術的實現等。
三 PKI 的原理
公鑰基礎設施PKI 的原理,顧名思義PKI 是基於公鑰密碼技術的。要想深刻理解PKI
的原理,就一定要對PKI 涉及到的密碼學知識有比較透徹的理解。下面簡單介紹一下密碼
學知識。對於普通的對稱密碼學,加密運算與解密運算使用同樣的密鑰。通常,使用的加密
演算法比較簡便高效,密鑰簡短,破譯極其困難,由於系統的保密性主要取決於密鑰的安全
性,所以,在公開的計算機網路上安全地傳送和保管密鑰是一個嚴峻的問題。正是由於對
稱密碼學中雙方都使用相同的密鑰,因此無法實現數據簽名和不可否認性等功能。而與此
不同的非對稱密碼學,具有兩個密鑰,一個是公鑰一個是私鑰,它們具有這種性質:用公
鑰加密的文件只能用私鑰解密,而私鑰加密的文件只能用公鑰解密。公鑰顧名思義是公開
的,所有的人都可以得到它;私鑰也顧名思義是私有的,不應被其他人得到,具有唯一性。
這樣就可以滿足電子商務中需要的一些安全要求。比如說要證明某個文件是特定人的,該
人就可以用他的私鑰對文件加密,別人如果能用他的公鑰解密此文件,說明此文件就是這
個人的,這就可以說是一種認證的實現。還有如果只想讓某個人看到一個文件,就可以用
此人的公鑰加密文件然後傳給他,這時只有他自己可以用私鑰解密,這可以說是保密性的
實現。基於這種原理還可以實現完整性。這就是PKI 所依賴的核心思想,這部分對於深刻
把握PKI 是很重要的,而恰恰這部分是最有意思的。
比如在現實生活中,我們想給某個人在網上傳送一個機密文件,該文件我們只想讓那
個人看到,我們設想了很多方法,首先我們想到了用對稱密碼將文件加密,而在我們把加
密後的文件傳送給他後,我們又必須得讓他知道解密用的密鑰,這樣就又出現了一個新的
問題,就是我們如何保密的傳輸該密鑰,此時我們發現傳輸對稱密鑰也不可靠。後來我們
可以改用非對稱密碼的技術加密,此時發現問題逐漸解決了。然而又有了一個新的問題產
生,那就是如何才能確定這個公鑰就是某個人的,假如我們得到了一個虛假的公鑰,比如
說我們想傳給A 一個文件,於是開始查找A 的公鑰,但是這時B 從中搗亂,他把自己的公鑰
替換了A 的公鑰,讓我們錯誤的認為B 的公鑰就是A 的公鑰,導致我們最終使用B 的公鑰
加密文件,結果A 無法打開文件,而B 可以打開文件,這樣B 實現了對保密信息的竊取行
為。因此就算是採用非對稱密碼技術,我們仍舊無法保證保密性的實現,那我們如何才能
確切的得到我們想要的人的公鑰呢?這時我們很自然的想到需要一個仲裁機構,或者說是
一個權威的機構,它能為我准確無誤的提供我們需要的人的公鑰,這就是CA。
這實際上也是應用公鑰技術的關鍵,即如何確認某個人真正擁有公鑰(及對應的私鑰)。
在PKI 中,為了確保用戶的身份及他所持有密鑰的正確匹配,公開密鑰系統需要一個值得
信賴而且獨立的第三方機構充當認證中心(Certification Authority,CA),來確認公鑰擁有人
的真正身份。就象公安局發放的身份證一樣,認證中心發放一個叫"數字證書"的身份證明。
這個數字證書包含了用戶身份的部分信息及用戶所持有的公鑰。象公安局對身份證蓋章一
樣,認證中心利用本身的私鑰為數字證書加上數字簽名。任何想發放自己公鑰的用戶,可以
去認證中心申請自己的證書。認證中心在鑒定該人的真實身份後,頒發包含用戶公鑰的數字
證書。其他用戶只要能驗證證書是真實的,並且信任頒發證書的認證中心,就可以確認用戶
的公鑰。認證中心是公鑰基礎設施的核心,有了大家信任的認證中心,用戶才能放心方便的
使用公鑰技術帶來的安全服務。
四PKI 的核心部分CA
認證中心CA 作為PKI 的核心部分,CA 實現了PKI 中一些很重要的功能,概括地說,
認證中心(CA)的功能有:證書發放、證書更新、證書撤銷和證書驗證。CA 的核心功能就
是發放和管理數字證書,具體描述如下:
(1)接收驗證最終用戶數字證書的申請。
(2)確定是否接受最終用戶數字證書的申請-證書的審批。
(3)向申請者頒發、拒絕頒發數字證書-證書的發放。
(4)接收、處理最終用戶的數字證書更新請求-證書的更新。
(5)接收最終用戶數字證書的查詢、撤銷。
(6)產生和發布證書廢止列表(CRL)。
(7)數字證書的歸檔。
(8)密鑰歸檔。
(9)歷史數據歸檔。
認證中心CA 為了實現其功能,主要由以下三部分組成:
注冊伺服器:通過 Web Server 建立的站點,可為客戶提供24×7 不間斷的服務。客戶
在網上提出證書申請和填寫相應的證書申請表。
證書申請受理和審核機構:負責證書的申請和審核。它的主要功能是接受客戶證書申
請並進行審核。
認證中心伺服器:是數字證書生成、發放的運行實體,同時提供發放證書的管理、證書
廢止列表(CRL)的生成和處理等服務。
在具體實施時,CA 的必須做到以下幾點:
1) 驗證並標識證書申請者的身份。
2) 確保CA 用於簽名證書的非對稱密鑰的質量。
3) 確保整個簽證過程的安全性,確保簽名私鑰的安全性。
4) 證書資料信息(包括公鑰證書序列號,CA 標識等)的管理。
5) 確定並檢查證書的有效期限。
6) 確保證書主體標識的唯一性,防止重名。
7) 發布並維護作廢證書列表。
8) 對整個證書簽發過程做日誌記錄。
9) 向申請人發出通知。
在這其中最重要的是CA 自己的一對密鑰的管理,它必須確保其高度的機密性,防止他
方偽造證書。CA 的公鑰在網上公開,因此整個網路系統必須保證完整性。CA 的數字簽名
保證了證書(實質是持有者的公鑰)的合法性和權威性。用戶的公鑰有兩種產生的方式:(1)
用戶自己生成密鑰隊,然後將公鑰以安全的方式傳送給CA,該過程必須保證用戶公鑰的驗
證性和完整性。(2)CA 替用戶生成密鑰隊,然後將其以安全的方式傳送給用戶,該過程必
須確保密鑰對的機密性,完整性和可驗證性。該方式下由於用戶的私鑰為CA 所產生,所以
對CA 的可信性有更高的要求。CA 必須在事後銷毀用戶的私鑰。
一般而言公鑰有兩大類用途,就像本文前面所述,一個是用於驗證數字簽名,一個是
用於加密信息。相應的在CA 系統中也需要配置用於數字簽名/驗證簽名的密鑰對和用於數
據加密/脫密的密鑰對,分別稱為簽名密鑰對和加密密鑰對。由於兩種密鑰對的功能不同,
管理起來也不大相同,所以在CA 中為一個用戶配置兩對密鑰,兩張證書。
CA 中比較重要的幾個概念點有:證書庫。證書庫是CA 頒發證書和撤銷證書的集中存
放地,它像網上的「白頁「一樣,是網上的一種公共信息庫,供廣大公眾進行開放式查詢。
這是非常關鍵的一點,因為我們構建CA 的最根本目的就是獲得他人的公鑰。目前通常的做
法是將證書和證書撤消信息發布到一個資料庫中,成為目錄伺服器,它採用LDAP 目錄訪
問協議,其標准格式採用X.500 系列。隨著該資料庫的增大,可以採用分布式存放,即採用
資料庫鏡像技術,將其中一部分與本組織有關的證書和證書撤消列表存放到本地,以提高證
書的查詢效率。這一點是任何一個大規模的PKI 系統成功實施的基本需求,也是創建一個
有效的認證機構CA 的關鍵技術之一。
另一個重要的概念是證書的撤消。由於現實生活中的一些原因,比如說私鑰的泄漏,
當事人的失蹤死亡等情況的發生,應當對其證書進行撤消。這種撤消應該是及時的,因為如
果撤消延遲的話,會使得不再有效的證書仍被使用,將造成一定的損失。在CA 中,證書的
撤消使用的手段是證書撤消列表或稱為CRL。即將作廢的證書放入CRL 中,並及時的公布
於眾,根據實際情況不同可以採取周期性發布機制和在線查詢機制兩種方式。
密鑰的備份和恢復也是很重要的一個環節。如果用戶由於某種原因丟失了解密數據的
密鑰,那麼被加密的密文將無法解開,這將造成數據丟失。為了避免這種情況的發生,PKI
提供了密鑰備份於解密密鑰的恢復機制。這一工作也是應該由可信的機構CA 來完成的,而
且,密鑰的備份與恢復只能針對解密密鑰,而簽名密鑰不能做備份,因為簽名密鑰匙用於不
不可否認性的證明的,如果存有備份的話,將會不利於保證不可否認性。
還有,一個證書的有效期是有限的,這樣規定既有理論上的原因,又有實際操作的因
素。在理論上諸如關於當前非對稱演算法和密鑰長度的可破譯性分析,同時在實際應用中,證
明密鑰必須有一定的更換頻度,才能得到密鑰使用的安全性。因此一個已頒發的證書需要有
過期的措施,以便更換新的證書。為了解決密鑰更新的復雜性和人工干預的麻煩,應由PKI
本身自動完成密鑰或證書的更新,完全不需要用戶的干預。它的指導思想是:無論用戶的證
書用於何種目的,在認證時,都會在線自動檢查有效期,當失效日期到來之前的某時間間隔
內,自動啟動更新程序,生成一個新的證書來替代舊證書。
結束語
個人感覺PKI/CA 技術很有發展前途,只是在我國的應用才剛剛起步。另外CA 作為電
子商務的特殊實體,它必須具有權威性,這種權威性來自政府或公共組織的授予;它必須使
公眾所依賴的機構,它頒發的證書可信;它必須是公正的,不參與交易雙方的。本文僅是停
留在比較簡單的理論介紹,希望此文能讓更多人了解PKI,投入到PKI 的研究中來。
參考書目:
[1] 《公鑰基礎設施(PKI)實現和管理電子安全》 [美] Andrew Nash 等著 清華大學出版社
[2] 《公鑰基礎設施PKI 與認證機構CA》 關振勝 著 電子工業出版社出版
C. 電子認證業務規則 和證書策略有什麼作用
電子認證業務規則規范(試行)
電子認證業務規則規范說明
為了規范電子認證業務規則的基本框架、主要內容和編寫格式,根據目前電子認證系統大多採用基於非對稱密鑰的PKI技術的現狀,參考國家標准化部門正在制定的相關標准,信息產業部電子認證服務管理辦公室編制了電子認證業務規則規范(試行)。電子認證服務機構應參照本規范,結合電子認證業務的具體情況,編制電子認證業務規則。
信息產業部電子認證服務管理辦公室 .
2005年4月 .
電子認證業務規則規范(試行)
一、電子認證業務規則的主要組成部分
電子認證業務規則是電子認證服務機構對所提供的認證及相關業務的全面描述。電子認證業務規則包括責任范圍、作業操作規范和信息安全保障措施等內容,主要由以下幾部分組成。 (一)概括性描述 (二)信息發布與信息管理 (三)身份標識與鑒別 (四)證書生命周期操作要求
(五)認證機構設施、管理和操作控制 (六)認證系統技術安全控制
(七)證書、證書吊銷列表和在線證書狀態協議 (八)認證機構審計和其他評估 (九)法律責任和其他業務條款
二、主要組成部分的內容說明
(一) 概括性描述
對電子認證業務規則進行概要性表述,給出文檔的名稱和標識,指出電子認證活動的參與者及證書應用范圍,並說明對電子認證業務規則的管理,最後給出電子認證業務規則中使用的定義和縮寫。 1、概述
對電子認證業務規則提供一個概要性介紹,也可用於對電子認證服務機構的概要性描述。例如,可以設定所提供證書的不同保證等級,也可以用圖形的方式來表達電子認證服務機構的結構。 2、文檔名稱與標識
關於電子認證業務規則的任何適用名稱或標識符,包括ASN.1對象標識符的說明。 3、電子認證活動參與者
* 電子認證服務機構,也就是證書認證機構,是頒發證書的實體。
* 注冊機構,也就是為最終證書申請者建立注冊過程的實體,對證書申請者進行身份標識和鑒別,發起或傳遞證書吊銷請求,代表電子認證服務機構批准更新證書或更新密鑰的申請。
http://wenku..com/link?url=_-MhzwXC3O_z94CNNq8vCBoLAjNOboQe3m-3DtpDK4djK
D. 怎麼批量在組策略里添加禁止的軟體證書
記事本
輸入以下代碼:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\ Software\ Policies\Microsoft\Windows\Installer]
"NoLowDiskspaceChecks"=dword:00000002
點擊文件——另存為,選擇保存路徑,輸入文件名內「禁用Windows Installer.reg」,保存。
然後雙容擊運行該文件,出現如下提示時點擊「是」即可。
E. 什麼是加密認證策略
信息加密是網路安全的有效策略之一。一個加密的網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
信息加密的目的是保護計算機網路內的數據、文件,以及用戶自身的敏感信息。網路加密常用的方法有鏈路加密、端到端加密和節點加密三種。鏈路加密的目的是保護鏈路兩端網路設備間的通信安全;節點加密的目的是對源節點計算機到目的節點計算機之間的信息傳輸提供保護;端到端加密的目的是對源端用戶到目的端用戶的應用系統通信提供保護。用戶可以根據需求酌情選擇上述加密方式。
信息加密過程是通過各種加密演算法實現的,目的是以盡量小的代價提供盡量高的安全保護。在大多數情況下,信息加密是保證信息在傳輸中的機密性的惟一方法。據不完全統計,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密鑰演算法和公開密鑰演算法。採用常規密鑰方案加密時,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的,其優點是保密強度高,能夠經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,密鑰管理成為系統安全的重要因素。採用公開密鑰方案加密時,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。公開密鑰加密方案的優點是可以適應網路的開放性要求,密鑰管理較為簡單,尤其可方便地實現數字簽名和驗證。
加密策略雖然能夠保證信息在網路傳輸的過程中不被非法讀取,但是不能夠解決在網路上通信的雙方相互確認彼此身份的真實性問題。這需要採用認證策略解決。所謂認證,是指對用戶的身份「驗明正身」。目前的網路安全解決方案中,多採用兩種認證形式,一種是第三方認證,另一種是直接認證。基於公開密鑰框架結構的交換認證和認證的管理,是將網路用於電子政務、電子業務和電子商務的基本安全保障。它通過對受信用戶頒發數字證書並且聯網相互驗證的方式,實現了對用戶身份真實性的確認。
除了用戶數字證書方案外,網路上的用戶身份認證,還有針對用戶賬戶名+靜態密碼在使用過程中的脆弱性推出的動態密碼認證系統,以及近年來正在迅速發展的各種利用人體生理特徵研製的生物電子認證方法。
F. 為什麼域默認策略的恢復時無法取得efs證書
EFS恢復代理,說簡單點,就相當於一個或多個被用戶信任的人,他/他們手裡握有一種萬能鑰匙,拿著這把鑰匙,可以解密任何信任他/他們的用戶使用EFS加密過的文件。
大家都知道,Windows 2000 pro/server 系統中默認的管理員賬戶就是administrator,這意味著就算發生上述狀況,使用administrator都可以打開任何用戶的加密文件。但是到了xp pro/Windows server 2003,微軟修正了工作組環境下的管理員賬戶,已經不再是默認的代理恢復了。
xp pro/Windows server 2003默認為domain administrator賬號。他能被自動加進來也是因為默認域組策略生效的原因。
如何讓EFS恢復代理,下面就給大家詳細的介紹一下:
打開默認域策略Default Domain Policy,找到」計算機配置」—「Windows設置」–「安全設置」–「公鑰策略」—「加密文件系統」。
我們可以看到這里有一個證書的存在,名稱是administrator。
雙擊此證書,瀏覽到」詳細信息」選項卡。
對比微縮圖號碼和客戶端中證書縮略圖,號碼是一樣的。
使用方法:
註:現在模擬fisher已經離職,且賬號已經被刪除,證書也沒有備份。Lucifer接替fisher的工作,但發現文件被加密無法打開。
導出EFS恢復代理的證書和密鑰(導出私鑰),或使用手動製作恢復代理帳號時,產生的密鑰。
用域管理員進入用戶電腦,並將剛才導出的密鑰導入:
再看一下就能打開了。
同時我們可對文檔進行解密操作,再以lucifer登陸,則可以正常使用了。
手動創建的恢復代理是一樣的操作原理,但要注意在生成手動創建恢復代理的時候注意保存密鑰以及證書。
G. 電子商務的安全策略包括哪些
一、網路節點的安全
1.防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的方法,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;
(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和電子商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。目前採用的是瀏覽器預設的4O位加密強度,也可以考慮將加密強度增加到128位。為在瀏覽器和伺服器之間建立安全機制,SSL首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、應用程序的安全性
即使正確地配置了訪問控制規則,要滿足計算機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。訪問控制系統中沒有什麼可以檢測到這些問題。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務企業用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份,IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。
2.CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是社會公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立網路安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。
H. 下載農行證書,安裝成功,查看證書,卻出現所有應用程序策略,但是上淘寶卻能買東西這是怎麼回事
這樣不會對網上購物有影響的。個人推薦,網銀的錢,先充支付寶專里,再在淘寶上買東屬西,這樣方便多了,也安全很多。我的是這樣弄的,先實名認證,安裝支付寶數字證書,綁定手機這三樣。不用帶著K寶走啊,只能在認證的電腦上使用,如果,別人找你代付,你可以用手機回復信息來確認幫著別人付款。。。。。。。。。。。方便,安全。
I. 作廢證書有哪些策略
火燒粉碎機把印章去除或塗抹掉--------------------僧淘