IDS數字加密簽名系統

1. 如果要安裝一個基於網路的ids系統，什麼是首要考慮的

入侵檢測系統的優點：
1.能夠使現有的安防體系更完善。
2.能夠更好地掌握系統的情況。
3.能夠追蹤攻擊者的攻擊線路。
4.界面友好，便於建立安防體系。
5.能夠抓住肇事者。

入侵檢測系統的缺點：
1. 不能夠在沒有用戶參與的情況下對攻擊行為展開調查。
2. 不能夠在沒有用戶參與的情況下阻止攻擊行為的發生。
3. 不能克服網路協議方面的缺陷。
4.不能克服設計原理方面的缺陷。
5. 響應不夠及時，簽名資料庫更新得不夠快。
6.經常是事後才檢測到，適時性不好。

2. VeriSign代碼簽名證書是做什麼用的

代碼簽名證書是VeriSign針對網上發布控制項、應用程序、驅動程序等產生的代碼安全問題提供的一種安全、可信產品，能滿足各種數字簽名的應用需要，讓內容提供商和軟體開發商能數字簽名其軟體代碼、宏代碼、設備驅動程序、硬體固化程序、病毒更新碼、配置文件等。
VeriSign代碼簽名證書（code signing certificates）種類
dev044465.jpg1.微軟徽標認證 ("Designed for Windows logo" Digital IDs)：用微軟代碼簽名證書數字簽名微軟Windows Logo 認證的各種軟體、硬體驅動程序（.exe, .cab, .dll .ocx, .xpi)等,而後將已簽名的軟體給微軟測試認證，此外微軟徽章認證還包括微軟 Windows Hardware Quality Labs (WHQL) testing programs(Windows 硬體質量實驗室測試計劃 ) 認證。
2.Java 代碼簽名證書 (Sun Java Signing Digital ID)：數字簽名 Sun J2SE/J2EE 的 Java Applet 文件，以及數字簽名 J2ME MIDlet Suite 文件，支持業界最多型號和最多品牌的手機。
3.微軟Office宏簽名證書(Microsoft Office and VBA Signing Digital ID)：數字簽名微軟Office宏文件和VBA代碼等文件。
4.NetScape代碼簽名證書(Netscape Object Signing Digital ID)：數字簽名NetScape平台上的Java代碼和NetScape瀏覽器和火狐瀏覽器(FireFox)的各種插件和控制項Java Applet 文件(.Java)。

3. 都有哪些廠家生產ids,ids的主要性能是什麼

① IDS是英文「Intrusion Detection Systems」的縮寫，中文意思是「入侵檢測系統」。專業上講就是依照一定的安全策略，對網路、系統的運行狀況進行監視，盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果，以保證網路系統資源的機密性、完整性和可用性。
我們做一個形象的比喻：假如防火牆是一幢大樓的門鎖，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。
不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在：
（1）盡可能靠近攻擊源
（2）盡可能靠近受保護資源
這些位置通常是：
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
·重點保護網段的區域網交換機上
防火牆和IDS可以分開操作，IDS是個監控系統，可以自行選擇合適的，或是符合需求的，比如發現規則或監控不完善，可以更改設置及規則，或是重新設置！
◎早期的IDS僅僅是一個監聽系統，在這里，你可以把監聽理解成竊聽的意思。基於目前局網的工作方式，IDS可以將用戶對位於與IDS同一交換機/HuB的伺服器的訪問、操作全部記錄下來以供分析使用，跟我們常用的widnows操作系統的事件查看器類似。再後來，由於IDS的記錄太多了，所以新一代的IDS提供了將記錄的數據進行分析，僅僅列出有危險的一部分記錄，這一點上跟目前windows所用的策略審核上很象；目前新一代的IDS，更是增加了分析應用層數據的功能，使得其能力大大增加；而更新一代的IDS，就頗有「路見不平，拔刀相助」的味道了，配合上防火牆進行聯動，將IDS分析出有敵意的地址阻止其訪問。
就如理論與實際的區別一樣，IDS雖然具有上面所說的眾多特性，但在實際的使用中，目前大多數的入侵檢測的接入方式都是採用pass-by方式來偵聽網路上的數據流，所以這就限制了IDS本身的阻斷功能，IDS只有靠發阻斷數據包來阻斷當前行為，並且IDS的阻斷范圍也很小，只能阻斷建立在TCP基礎之上的一些行為，如Telnet、FTP、HTTP等，而對於一些建立在UDP基礎之上就無能為力了。因為防火牆的策略都是事先設置好的，無法動態設置策略，缺少針對攻擊的必要的靈活性，不能更好的保護網路的安全，所以IDS與防火牆聯動的目的就是更有效地阻斷所發生的攻擊事件，從而使網路隱患降至較低限度。
② IDS IQUE double screen 的縮寫，中文名稱是神遊雙屏多媒體互動系統，其實就是一台掌上游戲機
編輯本段③IDS是酒店多媒體信息智能發布系統
IDS（AMTT innFOR IDS）是安美集團研發的酒店多媒體智能信息發布系統，基於innFOR Anymode技術標准，針對酒店等高端用戶需求定製開發。擁有強大的任務管理功能，支持最豐富的信息顯示內容。其信息發布管理的流程能與酒店業務流程相匹配，並可以進行多種訂制設置。

AMTT innFOR IDS的技術優勢主要體現在四個方面：全新高性能Linux陷入式技術平台，穩定可靠、勝任各種復雜的應用需求；通用顯示引擎驅動技術，實現高解析度，支持各種顯示平台；多級動態存儲技術，實現集中存儲管理，確保安全性和保密性；低功耗高可靠性結構設計，經過第三方嚴格SOA測試，產品無故障運行達10萬小時。

4. IDS的通信協議

IDS系統組件之間需要通信，不同的廠商的IDS系統之間也需要通信。因此，定義統一的協議，使各部分能夠根據協議所制訂的標准進行溝通是很有必要的。IETF 目前有一個專門的小組 IDWG（IntrusionDetection WorkingGroup）負責定義這種通信格式，稱作Intrusion Detection ExchangeFormat。目前只有相關的草案，並未形成正式的RFC文檔。盡管如此，草案為IDS各部分之間甚至不同IDS系統之間的通信提供層協議，其設計多其他功能（如可從任意端發起連接，結合了加密、身份驗證等）。

5. 物理隔離技術與防火牆、IDS等信息安全產品的區別和聯系是什麼

信息安全

息安全主要包括以下五方面的內容，即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。信息安全本身包括的范圍很大，其中包括如何防範商業企業機密泄露、防範青少年對不良信息的瀏覽、個人信息的泄露等。網路環境下的信息安全體系是保證信息安全的關鍵，包括計算機安全操作系統、各種安全協議、安全機制（數字簽名、消息認證、數據加密等），直至安全系統，如UniNAC、DLP等，只要存在安全漏洞便可以威脅全局安全。信息安全是指信息系統（包括硬體、軟體、數據、人、物理環境及其基礎設施）受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，信息服務不中斷，最終實現業務連續性。

信息安全學科可分為狹義安全與廣義安全兩個層次，狹義的安全是建立在以密碼論為基礎的計算機安全領域，早期中國信息安全專業通常以此為基準，輔以計算機技術、通信網路技術與編程等方面的內容；廣義的信息安全是一門綜合性學科，從傳統的計算機安全到信息安全，不但是名稱的變更也是對安全發展的延伸，安全不在是單純的技術問題，而是將管理、技術、法律等問題相結合的產物。本專業培養能夠從事計算機、通信、電子商務、電子政務、電子金融等領域的信息安全高級專門人才。

6. IDS有許多不同類型的，都指哪些求大神幫助

IDS分類 IDS有許多不同類型的，以下分別列出： ●IDS分類1－Application IDS（應用程序IDS）：應用程序IDS為一些特殊的應用程序發現入侵信號，這些應用程序通常是指那些比較易受攻擊的應用程序，如Web伺服器、資料庫等。有許多原本著眼於操作系統的基於主機的IDS，雖然在默認狀態下並不針對應用程序，但也可以經過訓練，應用於應用程序。例如，KSE（一個基於主機的IDS）可以告訴我們在事件日誌中正在進行的一切，包括事件日誌報告中有關應用程序的輸出內容。應用程序IDS的一個例子是Entercept的Web Server Edition。 ●IDS分類2－Consoles IDS（控制台IDS）：為了使IDS適用於協同環境，分布式IDS代理需要向中心控制台報告信息。現在的許多中心控制台還可以接收其它來源的數據，如其它產商的IDS、防火牆、路由器等。將這些信息綜合在一起就可以呈現出一幅更完整的攻擊圖景。有些控制台還將它們自己的攻擊特徵添加到代理級別的控制台，並提供遠程管理功能。這種IDS產品有Intellitactics Network Security Monitor和Open Esecurity Platform。 ●IDS分類3－File Integrity Checkers（文件完整性檢查器）：當一個系統受到攻擊者的威脅時，它經常會改變某些關鍵文件來提供持續的訪問和預防檢測。通過為關鍵文件附加信息摘要（加密的雜亂信號），就可以定時地檢查文件，查看它們是否被改變，這樣就在某種程度上提供了保證。一旦檢測到了這樣一個變化，完整性檢查器就會發出一個警報。而且，當一個系統已經受到攻擊後，系統管理員也可以使用同樣的方法來確定系統受到危害的程度。以前的文件檢查器在事件發生好久之後才能將入侵檢測出來，是「事後諸葛亮」，最近出現的許多產品能在文件被訪問的同時就進行檢查，可以看做是實時IDS產品了。該類產品有Tripwire和Intact。 ●IDS分類4－Honeypots（蜜罐）：關於蜜罐，前面已經介紹過。蜜罐的例子包括Mantrap和Sting。 ●IDS分類5－Host-based IDS（基於主機的IDS）：這類IDS對多種來源的系統和事件日誌進行監控，發現可疑活動。基於主機的IDS也叫做主機IDS，最適合於檢測那些可以信賴的內部人員的誤用以及已經避開了傳統的檢測方法而滲透到網路中的活動。除了完成類似事件日誌閱讀器的功能，主機IDS還對「事件/日誌/時間」進行簽名分析。許多產品中還包含了啟發式功能。因為主機IDS幾乎是實時工作的，系統的錯誤就可以很快地檢測出來，技術人員和安全人士都非常喜歡它。現在，基於主機的IDS就是指基於伺服器/工作站主機的所有類型的入侵檢測系統。該類產品包括Kane Secure Enterprise和Dragon Squire。 ●IDS分類6－Hybrid IDS（混合IDS）：現代交換網路的結構給入侵檢測操作帶來了一些問題。首先，默認狀態下的交換網路不允許網卡以混雜模式工作，這使傳統網路IDS的安裝非常困難。其次，很高的網路速度意味著很多信息包都會被NIDS所丟棄。Hybrid IDS（混合IDS）正是解決這些問題的一個方案，它將IDS提升了一個層次，組合了網路節點IDS和Host IDS（主機IDS）。雖然這種解決方案覆蓋面極大，但同時要考慮到由此引起的巨大數據量和費用。許多網路只為非常關鍵的伺服器保留混合IDS。有些產商把完成一種以上任務的IDS都叫做Hybrid IDS，實際上這只是為了廣告的效應。混合IDS產品有CentraxICE和RealSecure Server Sensor。 ●IDS分類7－Network IDS（NIDS，網路IDS）：NIDS對所有流經監測代理的網路通信量進行監控，對可疑的異常活動和包含攻擊特徵的活動作出反應。NIDS原本就是帶有IDS過濾器的混合信息包嗅探器，但是近來它們變得更加智能化，可以破譯協議並維護狀態。NIDS存在基於應用程序的產品，只需要安裝到主機上就可應用。NIDS對每個信息包進行攻擊特徵的分析，但是在網路高負載下，還是要丟棄些信息包。網路IDS的產品有SecureNetPro和Snort。 ●IDS分類8－Network Node IDS（NNIDS，網路節點IDS）：有些網路IDS在高速下是不可靠的，裝載之後它們會丟棄很高比例的網路信息包，而且交換網路經常會防礙網路IDS看到混合傳送的信息包。NNIDS將NIDS的功能委託給單獨的主機，從而緩解了高速和交換的問題。雖然NNIDS與個人防火牆功能相似，但它們之間還有區別。對於被歸類為NNIDS的個人防火牆，應該對企圖的連接做分析。例如，不像在許多個人防火牆上發現的「試圖連接到埠xxx」，一個NNIDS會對任何的探測都做特徵分析。另外，NNIDS還會將主機接收到的事件發送到一個中心控制台。NNIDS產品有BlackICE Agent和Tiny CMDS。 ●IDS分類9－Personal Firewall（個人防火牆）：個人防火牆安裝在單獨的系統中，防止不受歡迎的連接，無論是進來的還是出去的，從而保護主機系統。注意不要將它與NNIDS混淆。個人防火牆有ZoneAlarm和Sybergen。 ●IDS分類10－Target-Based IDS（基於目標的IDS）：這是不明確的IDS術語中的一個，對不同的人有不同的意義。可能的一個定義是文件完整性檢查器，而另一個定義則是網路IDS，後者所尋找的只是對那些由於易受攻擊而受到保護的網路所進行的攻擊特徵。後面這個定義的目的是為了提高IDS的速度，因為它不搜尋那些不必要的攻擊。

7. 統一身份認證的統一身份認證（IDS）系統

1、IDS功能概述
統一用戶管理系統(IDS),實現網上應用系統的用戶、角色和組織機構統一化管理，實現各種應用系統間跨域的單點登錄和單點退出和統一的身份認證功能，用戶登錄到一個系統後，再轉入到其他應用系統時不需要再次登錄，簡化了用戶的操作，也保證了同一用戶在不同的應用系統中身份的一致性。
圖： 統一身份認證示意圖
如上圖所示，IDS通過WebService對外發布認證服務，實現了平台的無關性，能與各種主機、各種應用系統對接。另外，IDS還提供了一套標準的介面，保證的IDS與各種應用系統之間對接的易操作性。
IDS的主要功能如下：
1)用戶管理 ：實現用戶與組織創建、刪除、維護與同步等功能；
2)用戶認證：通過SOA服務，支持第三方認證系統；
3)單點登錄 ：共享多應用系統之間的用戶認證信息，實現在多個應用系統間自由切換；
4)分級管理 ：實現管理功能的分散，支持對用戶、組織等管理功能的分級委託；
5)許可權管理: 系統提供了統一的，可以擴展的許可權管理及介面，支持第三方應用系統通過介面獲取用戶許可權。
6)會話管理： 查看、瀏覽與檢索用戶登錄情況，管理員可以在線強制用戶退出當前的應用登錄；
7)支持Windows、Linux、Solaris等操作系統；支持Tomcat、WebLogic、WebSphere等應用伺服器；支持SQL Server等資料庫系統；
2、IDS的結構
統一身份認證通過統一管理不同應用體系身份存貯方式、統一認證的方式，使同一用戶在所有應用系統中的身份一致，應用程序不必關心身份的認證過程。
從結構上來看，統一身份認證系統由統一身份認證管理模塊、統一身份認證伺服器、身份信息存貯伺服器三大部分組成。
其中統一身份認證管理模塊由管理工具和管理服務組成，實現用戶組管理、用戶管理；管理工具實現界面操作，並把操作數據遞交給管理伺服器，管理伺服器在修改存貯伺服器中的內容。
統一身份認證伺服器向應用程序提供統一的Webservice認證服務。它接收應用程序傳遞過來的用戶名和密碼，驗證通過後把用戶的認證令牌返回給應用程序。
身份存儲伺服器存儲身份、許可權數據。其中身份存儲伺服器可以選擇關系型資料庫、LDAP目錄、AD等。另外可以將CA發放的數字證書存儲在身份存儲伺服器。
如下圖所示：
3、IDS的特點
1)方便實用
實現單點登錄（SSO）。用戶一次登錄後，就可以依靠認證令牌在不同系統之間切換。
IDS所有的管理功能都是基於頁面實現的，管理員只要通過瀏覽器即可完成管理工作。
提出了分級管理員的概念，使管理大量用戶變成了可能。
2)跨平台
IDS的實現基於SOA架構
介面採用SOAP XML標准，可跨平台與多種類型的應用系統對接
3)支持多種身份存在方式
支持通用關系型資料庫
LDAP目錄
Microsoft Active Directory(AD)
4)安全可靠
系統能夠集成成熟的認證體系：CA，可以保證交易和企業內部活動中的身份不可抵賴，用戶簽名無法偽造。
系統在數據傳輸過程中，支持HTTPS方式的數據加密傳輸，阻止數據被監聽、分析。
系統能夠定義管理多種許可權級別策略。

8. 什麼是入侵檢測，以及入侵檢測的系統結構組成

入侵檢測是防火牆的合理補充。

入侵檢測的系統結構組成：

1、事件產生器：它的目的是從整個計算環境中獲得事件，並向系統的其他部分提供此事件。

2、事件分析器：它經過分析得到數據，並產生分析結果。

3、響應單元：它是對分析結果作出反應的功能單元，它可以作出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。

4、事件資料庫：事件資料庫是存放各種中間和最終數據的地方的統稱，它可以是復雜的資料庫，也可以是簡單的文本文件。

(8)IDS數字加密簽名系統擴展閱讀：

入侵檢測系統根據入侵檢測的行為分為兩種模式：異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型，凡是訪問者不符合這個模型的行為將被斷定為入侵。

後者則相反，先要將所有可能發生的不利的不可接受的行為歸納建立一個模型，凡是訪問者符合這個模型的行為將被斷定為入侵。

這兩種模式的安全策略是完全不同的，而且，它們各有長處和短處：異常檢測的漏報率很低，但是不符合正常行為模式的行為並不見得就是惡意攻擊，因此這種策略誤報率較高。

誤用檢測由於直接匹配比對異常的不可接受的行為模式，因此誤報率較低。但惡意行為千變萬化，可能沒有被收集在行為模式庫中，因此漏報率就很高。

這就要求用戶必須根據本系統的特點和安全要求來制定策略，選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。

9. 計算機網路信息安全及對策的畢業論文,5000字

摘 要 探索了網路平安的目前狀況及新問題由來以及幾種主要網路平安技術，提出了實現網路平安的幾條辦法。
網路平安 計算機網路 防火牆

1 網路平安及其目前狀況
1.1 網路平安的概念
國際標准化組織（ISO）將「計算機平安」定義為摘要：「為數據處理系統建立和採取的技術和管理的平安保護，保護計算機硬體、軟體數據不因偶然和惡意的原因而遭到破壞、更改和泄漏」。上述計算機平安的定義包含物理平安和邏輯平安兩方面的內容，其邏輯平安的內容可理解為我們常說的信息平安，是指對信息的保密性、完整性和可用性的保護，而網路平安性的含義是信息平安的引申，即網路平安是對網路信息保密性、完整性和可用性的保護。
1.2 網路平安的目前狀況
目前歐州各國的小型企業每年因計算機病毒導致的經濟損失高達220億歐元，而這些病毒主要是通過電子郵件進行傳播的。據反病毒廠商趨向公司稱，像Sobig、Slammer等網路病毒和蠕蟲造成的網路大塞車，去年就給企業造成了550億美元的損失。而包括從身份竊賊到間諜在內的其他網路危險造成的損失則很難量化，網路平安新問題帶來的損失由此可見一斑。
2 網路平安的主要技術
平安是網路賴以生存的保障，只有平安得到保障，網路才能實現自身的價值。網路平安技術隨著人們網路實踐的發展而發展，其涉及的技術面非常廣，主要的技術如認證、加密、防火牆及入侵檢測是網路平安的重要防線。
2.1 認證
對合法用戶進行認證可以防止非法用戶獲得對公司信息系統的訪問，使用認證機制還可以防止合法用戶訪問他們無權查看的信息。現列舉幾種如下摘要：
2.1.1 身份認證
當系統的用戶要訪問系統資源時要求確認是否是合法的用戶，這就是身份認證。常採用用戶名和口令等最簡易方法進行用戶身份的認證識別。
2.1.2 報文認證
主要是通信雙方對通信的內容進行驗證，以保證報文由確認的發送方產生、報文傳到了要發給的接受方、傳送中報文沒被修改過。
2.1.3 訪問授權
主要是確認用戶對某資源的訪問許可權。
2.1.4 數字簽名
數字簽名是一種使用加密認證電子信息的方法，其平安性和有用性主要取決於用戶私匙的保護和平安的哈希函數。數字簽名技術是基於加密技術的，可用對稱加密演算法、非對稱加密演算法或混合加密演算法來實現。
2.2 數據加密
加密就是通過一種方式使信息變得混亂，從而使未被授權的人看不懂它。主要存在兩種主要的加密類型摘要：私匙加密和公匙加密。
2.2.1 私匙加密
私匙加密又稱對稱密匙加密，因為用來加密信息的密匙就是解密信息所使用的密匙。私匙加密為信息提供了進一步的緊密性，它不提供認證，因為使用該密匙的任何人都可以創建、加密和平共處送一條有效的消息。這種加密方法的優點是速度很快，很輕易在硬體和軟體件中實現。
2.2.2 公匙加密
公匙加密比私匙加密出現得晚，私匙加密使用同一個密匙加密和解密，而公匙加密使用兩個密匙，一個用於加密信息，另一個用於解密信息。公匙加密系統的缺點是它們通常是計算密集的，因而比私匙加密系統的速度慢得多，不過若將兩者結合起來，就可以得到一個更復雜的系統。
2.3 防火牆技術
防火牆是網路訪問控制設備，用於拒絕除了明確答應通過之外的所有通信數據，它不同於只會確定網路信息傳輸方向的簡單路由器，而是在網路傳輸通過相關的訪問站點時對其實施一整套訪問策略的一個或一組系統。大多數防火牆都採用幾種功能相結合的形式來保護自己的網路不受惡意傳輸的攻擊，其中最流行的技術有靜態分組過濾、動態分組過濾、狀態過濾和代理伺服器技術，它們的平安級別依次升高，但具體實踐中既要考慮體系的性價比，又要考慮平安兼顧網路連接能力。此外，現今良好的防火牆還採用了VPN、檢視和入侵檢測技術。
防火牆的平安控制主要是基於IP地址的，難以為用戶在防火牆內外提供一致的平安策略；而且防火牆只實現了粗粒度的訪問控制，也不能和企業內部使用的其他平安機制（如訪問控制）集成使用；另外，防火牆難於管理和配置，由多個系統（路由器、過濾器、代理伺服器、網關、保壘主機）組成的防火牆，管理上難免有所疏忽。
2.4 入侵檢測系統
入侵檢測技術是網路平安探究的一個熱點，是一種積極主動的平安防護技術，提供了對內部入侵、外部入侵和誤操作的實時保護，在網路系統受到危害之前攔截相應入侵。隨著時代的發展，入侵檢測技術將朝著三個方向發展摘要：分布式入侵檢測、智能化入侵檢測和全面的平安防禦方案。
入侵檢測系統（Instusion Detection System， 簡稱IDS）是進行入侵檢測的軟體和硬體的組合，其主要功能是檢測，除此之外還有檢測部分阻止不了的入侵；檢測入侵的前兆，從而加以處理，如阻止、封閉等；入侵事件的歸檔，從而提供法律依據；網路遭受威脅程度的評估和入侵事件的恢復等功能。

2.5 虛擬專用網（VPN）技術
VPN是目前解決信息平安新問題的一個最新、最成功的技術課題之一，所謂虛擬專用網（VPN）技術就是在公共網路上建立專用網路，使數據通過平安的「加密管道」在公共網路中傳播。用以在公共通信網路上構建VPN有兩種主流的機制，這兩種機制為路由過濾技術和隧道技術。目前VPN主要採用了如下四項技術來保障平安摘要：隧道技術（Tunneling)、加解密技術（Encryption %26amp; Decryption)、密匙管理技術（Key Management)和使用者和設備身份認證技術（Authentication)。其中幾種流行的隧道技術分別為PPTP、L2TP和Ipsec。VPN隧道機制應能技術不同層次的平安服務，這些平安服務包括不同強度的源鑒別、數據加密和數據完整性等。VPN也有幾種分類方法，如按接入方式分成專線VPN和撥號VPN；按隧道協議可分為第二層和第三層的；按發起方式可分成客戶發起的和伺服器發起的。
2.6 其他網路平安技術
（1）智能卡技術，智能卡技術和加密技術相近，其實智能卡就是密匙的一種媒體，由授權用戶持有並由該用戶賦和它一個口令或密碼字，該密碼字和內部網路伺服器上注冊的密碼一致。智能卡技術一般和身份驗證聯合使用。
（2）平安脆弱性掃描技術，它為能針對網路分析系統當前的設置和防禦手段，指出系統存在或潛在的平安漏洞，以改進系統對網路入侵的防禦能力的一種平安技術。
（3）網路數據存儲、備份及容災規劃，它是當系統或設備不幸碰到災難後就可以迅速地恢復數據，使整個系統在最短的時間內重新投入正常運行的一種平安技術方案。
其他網路平安技術還有我們較熟悉的各種網路防殺病毒技術等等。
3 網路平安新問題的由來
網路設計之初僅考慮到信息交流的便利和開放，而對於保障信息平安方面的規劃則非常有限，這樣，伴隨計算機和通信技術的迅猛發展，網路攻擊和防禦技術循環遞升，原來網路固有優越性的開放性和互聯性變成信息的平安性隱患之便利橋梁。網路平安已變成越來越棘手的新問題，只要是接入到網際網路中的主機都有可能被攻擊或入侵了，而遭受平安新問題的困擾。
目前所運用的TCP/IP協議在設計時，對平安新問題的忽視造成網路自身的一些特徵，而所有的應用平安協議都架設在TCP/IP之上，TCP/IP協議本身的平安新問題，極大地影響了上層應用的平安。網路的普及和應用還是近10年的事，而操作系統的產生和應用要遠早於此，故而操作系統、軟體系統的不完善性也造成平安漏洞；在平安體系結構的設計和實現方面，即使再完美的體系結構，也可能一個小小的編程缺陷，帶來巨大的平安隱患；而且，平安體系中的各種構件間缺乏緊密的通信和合作，輕易導致整個系統被各個擊破。
4 網路平安新問題策略的思索
網路平安建設是一個系統工程、是一個社會工程，網路平安新問題的策略可從下面4個方面著手。
網路平安的保障從技術角度看。首先，要樹立正確的思想預備。網路平安的特性決定了這是一個不斷變化、快速更新的領域，況且我國在信息平安領域技術方面和國外發達國家還有較大的差距，這都意味著技術上的「持久戰」，也意味著人們對於網路平安領域的投資是長期的行為。其次，建立高素質的人才隊伍。目前在我國，網路信息平安存在的突出新問題是人才稀缺、人才流失，尤其是拔尖人才，同時網路平安人才培養方面的投入還有較大缺欠。最後，在具體完成網路平安保障的需求時，要根據實際情況，結合各種要求（如性價比等），需要多種技術的合理綜合運用。
網路平安的保障從管理角度看。考察一個內部網是否平安，不僅要看其技術手段，而更重要的是看對該網路所採取的綜合辦法，不光看重物理的防範因素，更要看重人員的素質等「軟」因素，這主要是重在管理，「平安源於管理，向管理要平安」。再好的技術、設備，而沒有高質量的管理，也只是一堆廢鐵。
網路平安的保障從組織體系角度看。要盡快建立完善的網路平安組織體系，明確各級的責任。建立科學的認證認可組織管理體系、技術體系的組織體系，和認證認可各級結構，保證信息平安技術、信息平安工程、信息平安產品，信息平安管理工作的組織體系。
最後，在盡快加強網路立法和執法力度的同時，不斷提高全民的文明道德水準，倡導健康的「網路道德」，增強每個網路用戶的平安意識，只有這樣才能從根本上解決網路平安新問題。
參考文獻
1 張千里，陳光英.網路平安新技術[M.北京摘要：人民郵電出版社，2003
2 高永強，郭世澤.網路平安技術和應用大典[M.北京摘要：人民郵電出版社，2003
3 周國民. 入侵檢測系統評價和技術發展探究[J.現代電子技術，2004(12)
4 耿麥香.網路入侵檢測技術探究綜述[J，網路平安，2004(6)

10. IDS入侵檢測的詳細介紹

不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，所關注流量指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在：（1）盡可能靠近攻擊源
（2）盡可能靠近受保護資源
這些位置通常是：
·伺服器區域的交換機上
·Internet接入路由器之後的第一台交換機上
·重點保護網段的區域網交換機上入侵檢測系統的原理模型如圖所示。
入侵檢測系統的工作流程大致分為以下幾個步驟：
1.信息收集 入侵檢測的第一步是信息收集，內容包括網路流量的內容、用戶連接活動的狀態和行為。
2.信號分析 對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統計分析和完整性分析。其中前兩種方法用於實時的入侵檢測，而完整性分析則用於事後分析。
具體的技術形式如下所述：
1).模式匹配
模式匹配就是將收集到的信息與已知的網路入侵和系統誤用模式資料庫進行比較，從而發現違背安全策略的行為。該過程可以很簡單（如通過字元串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規的數學表達式來表示安全狀態的變化）。一般來講，一種進攻模式可以用一個過程（如執行一條指令）或一個輸出（如獲得許可權）來表示。該方法的一大優點是只需收集相關的數據集合，顯著減少系統負擔，且技術已相當成熟。它與病毒防火牆採用的方法一樣，檢測准確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法，不能檢測到從未出現過的黑客攻擊手段。
2).統計分析
分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創建一個統計描述，統計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網路、系統的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發生。例如，統計分析可能標識一個不正常行為，因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統計分析方法如基於專家系統的、基於模型推理的和基於神經網路的分析方法，目前正處於研究熱點和迅速發展之中。
3).完整性分析
完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），能識別及其微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發現。缺點是一般以批處理方式實現，不用於實時響應。這種方式主要應用於基於主機的入侵檢測系統（HIDS）。
3.實時記錄、報警或有限度反擊
IDS根本的任務是要對入侵行為做出適當的反應，這些反應包括詳細日誌記錄、實時報警和有限度的反擊攻擊源。
經典的入侵檢測系統的部署方式如圖所示：