电子政务安全体系
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
自动中标检查 ,即关键词检查; 日志管理与审计:
发件浏览审查,提供多种审查方式; 发件统计分析,包括指定日期或时间段的发件数、
中标数、中标率、涉密数等; 报表生成和打印(包括年/月/日报表); 发件人、收件人档案记录。 Http、Ftp、E-mail、入侵、DNS请求等行为分析; Web页面非法篡改检测。
6
国内电子政务安全存在的一些问题
• 大部分的政府机构都没有精力对网络安全进行必要的人力投入;很多 重要站点的管理员都是Internet的新手,很多服务器存在的漏洞可以 使入侵者获取系统的最高控制权。我国现有信息安全专业人才少,有 必要采取措施来逐步改善目前安全人才极为缺乏的状况。
2、缺乏整体安全方案
它掩盖了被传输消息的源点与终点;
消息的报头和路由信息以密文方式传输。
源点 明文
密文
明文
密文
终点 明文
加密机
加密机
加密机
加密机
节点加密设备的特点
在节点先对消息进行解密,后进行加密; 不允许消息在节点以明文方式存在; 消息的报头和路由信息以明文方式传输。
源点 明文
密文
加密机
密文
密文
终点 明文
加密机
保障电子政务安全的重要性
• 1、国家安全问题。电子政务的安全体现了国家防御国外信息和网络 优势威胁的能力,以信息手段维护国家安全的能力。
• 2、保障电子政务安全即维护了社会各阶层利益。电子政务的应用不 仅代表政府部门的利益更代表了企业和广大民众的利益。
• 3、电子政务安全是社会稳定的基本保障。电子政务的社会服务职能 使得电子政务系统的安全运行更加重要。
2、黑客常用的攻击手段和方式
利用系统管理的“漏洞”进入; 利用操作系统和应用系统的漏洞攻击; 利用窃听获取用户信息及更改数据; 伪造用户身份、否认自己的签名; 传播和释放病毒对系统进行有效控制; IP欺骗攻击; 拒绝服务(DoS)攻击; 消耗主机资源使其瘫痪或死机。
防病毒系统
• 单机版杀毒软件 • 网络版杀毒软件一般采用B/S架构,具有“染毒电脑隔离”“文件自
3、系统本身不安全
没有对用户和目录权限进行设置及建立适当的安全策略; 没有打安全补丁; 安装时为方便使用简单口令而后来又不更改; 没有进行适当的目录和文件权限设置; 没有进行适当的用户权限设置,打开了不必要的服务; 没有对自己的应用系统进行安全检测等等。
事实上系统和应用大多是由系统集成商来完成的,其做法往往是 最大化安装,以方便安装调试,把整个系统调通就算完成了任务,遗 憾的是留下很多的安全隐患;而安全却恰恰相反,遵循最小化原则, 要求没必要的东西一定不要。
动分发”“全网漏洞管理”等众多功能,并具有详尽的病毒疫情分析 、IT资产管理等创新功能,为企业用户提供了更加强大的网络安 全管理利器。全网安全主动管理:网络管理员通过此设置页面就 可以实现对整个网络客户端的集中管理,对全网客户端进行统一 或个性化设置,清楚地掌握整个网络环境中各个节点的病毒状态 。既方便管理员管理,又可以有效地减少网络安全风险,为用户 的网络系统提供了可靠的安全解决方案。 • 防毒墙(网关)
1、入侵检测系统的分类
1、 滥用检测(Abuse Detection) 在滥用检测方式下,IDS对它收集到的信息进行分析,并与攻击签名
数据库进行比较。为了做到更有效,这种类型的 IDS依赖于那些已经被记 录在案的攻击,它将收集到的可疑数据包与攻击签名数据库中的样本进行 比较。象许多病毒检测系统一样,滥用检测软件的好坏直接取决于攻击签 名数据库的好坏。 2、 异常检测(Abnormal Detection)
4、没有安全管理机制
安全和管理是分不开的,有好的安全设备和系统还不够,还必须有一 套好的安全管理方法,并贯彻实施。 建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、 日志管理等一系列管理方法和制度是非常必要的。
5、不理解安全的相对性未持续提高系统安全能力
需要指出的是安全是相对的,主要因为: 操作系统和应用系统漏洞的不断发现 新的黑客技术 所以,安全是相对的,是动态的,只有及时对系统安全问题进行跟 踪处理,定期进行整体安全评估,及时发现问题并加以解决,才能确 保系统具有良好的安全性。
从目前对专网管理的方式,向远程上网集中管理的方式发展; 过滤深度不断加强,从目前的地址过滤、服务过滤,发展到页面过 滤、关键字过滤及对Active X/Java等的过滤; 用防火墙建立VPN,IP加密越来越强; 单向防火墙(网络二极管)将出现; 对攻击的检测和告警将成为重要功能; 附加安全管理工具(如日志分析); 安全协议的开发将成为一大热点。
• 计算机安全和网络安全都是信息安全。 • 计算机安全是指计算机系统资源和信息资源不受自然和人为的威胁与
损坏。计算机安全更关心信息的存储和处理的安全。 • 网络安全是指网络系统的硬件、软件及系统中的数据受保护,系统能
可靠连续地运行。网络安全更关系的是信息在网络传播过程中所涉及 的各种安全问题。 • 电子政务安全问题就是一种信息安全问题。
12
技术保障体系
安
非授权访问
全
威
信息泄漏和丢失
胁
的
数据完整性破坏
形
式
拒绝服务攻击
数据加密技术
• 对称密码技术:加解密的密钥相同,不 能公开。DES、IDEA算法。
• 非对称密码技术:两个不同的密钥,一 个用于加密,一个用于解密,公钥加密 技术。RSA算法。
安全威胁
操作系统的安全性;
防火墙的安全性; 来自内部网用户的安全威胁; TCP/IP协议族软件本身缺乏安全性; 电子邮件病毒、逻辑炸弹等; Web页面中存在恶意的Java/ActiveX控件; 应用服务的访问控制、安全设计存在漏洞; 缺乏有效的手段监视、评估网络的安全性。
第十讲 电子政务安全体系
一、电子政务的安全问题 二、电子政务安全体系
1、技术体系 2、管理保障体系 3、服务保障体系 4、基础设施保障体系
1
电子政务的安全问题
恶意破坏 意识不强 管理疏漏
滥用职权
内部资源
自然灾害 操作不当 软硬件漏洞
内外勾结
内部威胁
信息战争
黑客攻击
信息间谍
病毒传染
信息恐怖
外部威胁
2
净荷
防火墙的主要功能
防
过滤进出网络的数据
火
管理进出网络的访问行为
墙
的
封堵某些禁止的业务
功
记录进出网络的信息和活动
能
对网络攻击进行检测和告警
防火墙的局限性
防
不能防范恶意知情者泄密
火
墙
不能控制不经过它的连接
的
不能防备完全新的威胁
局
不能防止病毒和特洛伊木马
限
性
不能防止内部用户的破坏
防火墙技术的发展趋势
海信NetKey身份认证界面
NT服务器 远程拨号终端
局域网终端
(三)数据加密设备
通常将单钥、双钥密码结合在一起使用: 单钥算法用来对数据进行加密; 双钥算法用来进行密钥交换。
数据加密可在通信的三个层次来实现: 链路加密; 节点加密; 端到端加密。
链路加密设备的特点
每个节点对收到的信息先解密,后加密;
安全日志与审计系统运行环境
外部网
路由器
集线器
数据采集器
内部网
数据库网关 服务器(中标) 自动解压 自动翻译 综合管理 打印机
(五)入侵检测系统—IDS
在战场上,你希望在要保护的地带布置哨兵;在网络中,你需要在要保护 的关键部位布置入侵检测系统(IDS—Intrusion Detection System)。许多企业 或机构的网络负责人都声称,他们的网络是安全的,因为他们已经安装了最新版 的防火墙和IDS。其实,网络安全是一个系统工程,仅靠安装防火墙和IDS,只 能解决部分安全问题,而离全面解决安全问题还差得太远。
IDS对于进出网络的全部活动进行检查。IDS可以识别出能够引发网络或系 统攻击的可疑数据。一旦发现了不正常的数据模式,就意味着有人企图突入或损 害系统。IDS可以是硬件系统,也可以是软件系统。它能监视和分析系统事件, 以发现那些未经授权就企图访问系统资源的网络活动,并提供实时的或接近实时 的事件告警。
端到端加密设备的特点
数据从源点到终点始终以密文形式存在; 数据从源点加密后到终点才被解密; 安全性高,系统维护方便。
源点 明文
密文
密文
终点
明文
加密机
加密机
加密机的应用图例
网络中心 安全路由器
因特网
加密机
加密机
密码管理中心 加密机
(四)安全日志与审计系统
数据采集、还原处理及备份功能: 提供丰富的采样条件设置; 对电子邮件与传输文件的压缩部分自动解压; 自动英汉翻译,提供全文本高速翻译系统。
电子政务的安全需求
身份认证服务:为政务实体定义唯一的电子身份标识,并通过该标识 进行身份认证,保证身份的真实性。 权限控制服务:把信息资源划分成不同级别,并把使用信息资源的用 户划分成不同类型,实现不同类型人员对不同级别信息访问的控制策 略。 信息保密服务:对于传输中需要保密的信息,采用密码技术进行加解 密处理,防止信息的非授权泄漏。 数据完整性服务:保证收发双方数据的一致性,防止信息被非授权修 改。 不可否认服务:为第三方验证信息源的真实性和信息的完整性提供证 据,它有助于责任机制的建立,为解决电子政务中的争议提供法律证 据。
防火ቤተ መጻሕፍቲ ባይዱ的类型
防
应用代理 Application-Level Gateway
火
墙
电路级网关
的
Circuit-Level Gateway
类
型
包过滤路由器 Packet-Filtering Router
源/目的 源/目的 IP地址 端口 应用状态和数据流
净荷
源/目的 IP地址
源/目的 端口
应用状态和数据流
信息安全
• 保障信息的机密性、完整性、可用性、可控性和不可否认性等几个方 面。
• 1、机密性:保证信息不泄露给未经授权的人。 • 2、完整性:信息无失真地传达到目的地。 • 3、可用性:授权人使用时不能出现系统拒绝服务的情况。 • 4、可控性:对信息及信息系统实施安全监控管理。 • 5、不可否认性:信息行为可安全管理。
检查和评估,以确定该数据包是否是由黑客特意设计的数据包。这些数据 包能够逃过许多防火墙的简单过滤规则的过滤,进入到内部网络。
4、 基于主机的系统(Host-based IDS) 在基于主机的系统中,IDS对单台计算机或主机上的网络活动进行检
查。进行评估的项目包括:对重要系统文件的修改、异常的或过度的CPU 活动、root或管理权限的滥用等。
• 在大多数人的眼中,在服务器前加一个防火墙就解决了安全问题,这 是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、内外隔离的 安全设备,在底层包过滤、IP伪装、碎片攻击,端口控制等方面的确 有着不可替代的作用,但它在应用层的控制和检测能力是很有限的。
• 另外,没有设置好密码策略、没有设置安全日志策略或没有定期分析 日志发现异常现象等等。说到底就是缺乏一套整体安全方案,一个没 有整体安全规划的系统,安全是肯定没有保障的。
在异常检测中,首先要为系统设立一个正常活动的底线(Baseline) 。它包括这样一些内容:网络业务流负荷的状态、故障死机、通信协议, 及典型的数据包长度。在采用异常检测时,探测器监控网络数据段并将当 前状态与正常底线状态相比较,以识别异常状况。
1、入侵检测系统的分类
3、 基于网络的系统(Network-based IDS) 基于网络的系统也称为 NIDS。NIDS对流过网络的数据包进行逐个
(二)安全身份认证系统
基于生物特征的身份认证: 如DNA,视网膜,虹膜、指纹等;
基于IC卡的身份认证: 如磁存储卡、逻辑加密卡,CPU卡等;
基于零知识证明的身份认证; 基于“用户名+口令”的身份认证; 基于电子钥匙的身份认证系统。
基于电子钥匙的身份认证
支持网络登录与身份认证 具有文件加密和文件夹隐藏功能 具有屏幕锁定功能 支持热插拔(hot plug) 占用单独的USB口、节省系统资源 支持公钥证书(CA) 外型小巧、灵活方便、安全可靠
5、 被动系统(Passive IDS)
在被动系统中,IDS仅检测潜在的安全缺陷,记录可疑信息,并发出 提示信息或报警,而系统并不采取任何直接的行动。 6、 反动系统(Reactive IDS)
在反动系统中,IDS能够以不同方式对各种可疑的活动作出响应。这 些对可疑活动的反应方式包括:对离线的用户进行记录,关掉某个连接, 或甚至重新对防火墙进行编程以阻断来自可疑源地址的恶意网络数据流。
发件浏览审查,提供多种审查方式; 发件统计分析,包括指定日期或时间段的发件数、
中标数、中标率、涉密数等; 报表生成和打印(包括年/月/日报表); 发件人、收件人档案记录。 Http、Ftp、E-mail、入侵、DNS请求等行为分析; Web页面非法篡改检测。
6
国内电子政务安全存在的一些问题
• 大部分的政府机构都没有精力对网络安全进行必要的人力投入;很多 重要站点的管理员都是Internet的新手,很多服务器存在的漏洞可以 使入侵者获取系统的最高控制权。我国现有信息安全专业人才少,有 必要采取措施来逐步改善目前安全人才极为缺乏的状况。
2、缺乏整体安全方案
它掩盖了被传输消息的源点与终点;
消息的报头和路由信息以密文方式传输。
源点 明文
密文
明文
密文
终点 明文
加密机
加密机
加密机
加密机
节点加密设备的特点
在节点先对消息进行解密,后进行加密; 不允许消息在节点以明文方式存在; 消息的报头和路由信息以明文方式传输。
源点 明文
密文
加密机
密文
密文
终点 明文
加密机
保障电子政务安全的重要性
• 1、国家安全问题。电子政务的安全体现了国家防御国外信息和网络 优势威胁的能力,以信息手段维护国家安全的能力。
• 2、保障电子政务安全即维护了社会各阶层利益。电子政务的应用不 仅代表政府部门的利益更代表了企业和广大民众的利益。
• 3、电子政务安全是社会稳定的基本保障。电子政务的社会服务职能 使得电子政务系统的安全运行更加重要。
2、黑客常用的攻击手段和方式
利用系统管理的“漏洞”进入; 利用操作系统和应用系统的漏洞攻击; 利用窃听获取用户信息及更改数据; 伪造用户身份、否认自己的签名; 传播和释放病毒对系统进行有效控制; IP欺骗攻击; 拒绝服务(DoS)攻击; 消耗主机资源使其瘫痪或死机。
防病毒系统
• 单机版杀毒软件 • 网络版杀毒软件一般采用B/S架构,具有“染毒电脑隔离”“文件自
3、系统本身不安全
没有对用户和目录权限进行设置及建立适当的安全策略; 没有打安全补丁; 安装时为方便使用简单口令而后来又不更改; 没有进行适当的目录和文件权限设置; 没有进行适当的用户权限设置,打开了不必要的服务; 没有对自己的应用系统进行安全检测等等。
事实上系统和应用大多是由系统集成商来完成的,其做法往往是 最大化安装,以方便安装调试,把整个系统调通就算完成了任务,遗 憾的是留下很多的安全隐患;而安全却恰恰相反,遵循最小化原则, 要求没必要的东西一定不要。
动分发”“全网漏洞管理”等众多功能,并具有详尽的病毒疫情分析 、IT资产管理等创新功能,为企业用户提供了更加强大的网络安 全管理利器。全网安全主动管理:网络管理员通过此设置页面就 可以实现对整个网络客户端的集中管理,对全网客户端进行统一 或个性化设置,清楚地掌握整个网络环境中各个节点的病毒状态 。既方便管理员管理,又可以有效地减少网络安全风险,为用户 的网络系统提供了可靠的安全解决方案。 • 防毒墙(网关)
1、入侵检测系统的分类
1、 滥用检测(Abuse Detection) 在滥用检测方式下,IDS对它收集到的信息进行分析,并与攻击签名
数据库进行比较。为了做到更有效,这种类型的 IDS依赖于那些已经被记 录在案的攻击,它将收集到的可疑数据包与攻击签名数据库中的样本进行 比较。象许多病毒检测系统一样,滥用检测软件的好坏直接取决于攻击签 名数据库的好坏。 2、 异常检测(Abnormal Detection)
4、没有安全管理机制
安全和管理是分不开的,有好的安全设备和系统还不够,还必须有一 套好的安全管理方法,并贯彻实施。 建立定期的安全检测、口令管理、人员管理、策略管理、备份管理、 日志管理等一系列管理方法和制度是非常必要的。
5、不理解安全的相对性未持续提高系统安全能力
需要指出的是安全是相对的,主要因为: 操作系统和应用系统漏洞的不断发现 新的黑客技术 所以,安全是相对的,是动态的,只有及时对系统安全问题进行跟 踪处理,定期进行整体安全评估,及时发现问题并加以解决,才能确 保系统具有良好的安全性。
从目前对专网管理的方式,向远程上网集中管理的方式发展; 过滤深度不断加强,从目前的地址过滤、服务过滤,发展到页面过 滤、关键字过滤及对Active X/Java等的过滤; 用防火墙建立VPN,IP加密越来越强; 单向防火墙(网络二极管)将出现; 对攻击的检测和告警将成为重要功能; 附加安全管理工具(如日志分析); 安全协议的开发将成为一大热点。
• 计算机安全和网络安全都是信息安全。 • 计算机安全是指计算机系统资源和信息资源不受自然和人为的威胁与
损坏。计算机安全更关心信息的存储和处理的安全。 • 网络安全是指网络系统的硬件、软件及系统中的数据受保护,系统能
可靠连续地运行。网络安全更关系的是信息在网络传播过程中所涉及 的各种安全问题。 • 电子政务安全问题就是一种信息安全问题。
12
技术保障体系
安
非授权访问
全
威
信息泄漏和丢失
胁
的
数据完整性破坏
形
式
拒绝服务攻击
数据加密技术
• 对称密码技术:加解密的密钥相同,不 能公开。DES、IDEA算法。
• 非对称密码技术:两个不同的密钥,一 个用于加密,一个用于解密,公钥加密 技术。RSA算法。
安全威胁
操作系统的安全性;
防火墙的安全性; 来自内部网用户的安全威胁; TCP/IP协议族软件本身缺乏安全性; 电子邮件病毒、逻辑炸弹等; Web页面中存在恶意的Java/ActiveX控件; 应用服务的访问控制、安全设计存在漏洞; 缺乏有效的手段监视、评估网络的安全性。
第十讲 电子政务安全体系
一、电子政务的安全问题 二、电子政务安全体系
1、技术体系 2、管理保障体系 3、服务保障体系 4、基础设施保障体系
1
电子政务的安全问题
恶意破坏 意识不强 管理疏漏
滥用职权
内部资源
自然灾害 操作不当 软硬件漏洞
内外勾结
内部威胁
信息战争
黑客攻击
信息间谍
病毒传染
信息恐怖
外部威胁
2
净荷
防火墙的主要功能
防
过滤进出网络的数据
火
管理进出网络的访问行为
墙
的
封堵某些禁止的业务
功
记录进出网络的信息和活动
能
对网络攻击进行检测和告警
防火墙的局限性
防
不能防范恶意知情者泄密
火
墙
不能控制不经过它的连接
的
不能防备完全新的威胁
局
不能防止病毒和特洛伊木马
限
性
不能防止内部用户的破坏
防火墙技术的发展趋势
海信NetKey身份认证界面
NT服务器 远程拨号终端
局域网终端
(三)数据加密设备
通常将单钥、双钥密码结合在一起使用: 单钥算法用来对数据进行加密; 双钥算法用来进行密钥交换。
数据加密可在通信的三个层次来实现: 链路加密; 节点加密; 端到端加密。
链路加密设备的特点
每个节点对收到的信息先解密,后加密;
安全日志与审计系统运行环境
外部网
路由器
集线器
数据采集器
内部网
数据库网关 服务器(中标) 自动解压 自动翻译 综合管理 打印机
(五)入侵检测系统—IDS
在战场上,你希望在要保护的地带布置哨兵;在网络中,你需要在要保护 的关键部位布置入侵检测系统(IDS—Intrusion Detection System)。许多企业 或机构的网络负责人都声称,他们的网络是安全的,因为他们已经安装了最新版 的防火墙和IDS。其实,网络安全是一个系统工程,仅靠安装防火墙和IDS,只 能解决部分安全问题,而离全面解决安全问题还差得太远。
IDS对于进出网络的全部活动进行检查。IDS可以识别出能够引发网络或系 统攻击的可疑数据。一旦发现了不正常的数据模式,就意味着有人企图突入或损 害系统。IDS可以是硬件系统,也可以是软件系统。它能监视和分析系统事件, 以发现那些未经授权就企图访问系统资源的网络活动,并提供实时的或接近实时 的事件告警。
端到端加密设备的特点
数据从源点到终点始终以密文形式存在; 数据从源点加密后到终点才被解密; 安全性高,系统维护方便。
源点 明文
密文
密文
终点
明文
加密机
加密机
加密机的应用图例
网络中心 安全路由器
因特网
加密机
加密机
密码管理中心 加密机
(四)安全日志与审计系统
数据采集、还原处理及备份功能: 提供丰富的采样条件设置; 对电子邮件与传输文件的压缩部分自动解压; 自动英汉翻译,提供全文本高速翻译系统。
电子政务的安全需求
身份认证服务:为政务实体定义唯一的电子身份标识,并通过该标识 进行身份认证,保证身份的真实性。 权限控制服务:把信息资源划分成不同级别,并把使用信息资源的用 户划分成不同类型,实现不同类型人员对不同级别信息访问的控制策 略。 信息保密服务:对于传输中需要保密的信息,采用密码技术进行加解 密处理,防止信息的非授权泄漏。 数据完整性服务:保证收发双方数据的一致性,防止信息被非授权修 改。 不可否认服务:为第三方验证信息源的真实性和信息的完整性提供证 据,它有助于责任机制的建立,为解决电子政务中的争议提供法律证 据。
防火ቤተ መጻሕፍቲ ባይዱ的类型
防
应用代理 Application-Level Gateway
火
墙
电路级网关
的
Circuit-Level Gateway
类
型
包过滤路由器 Packet-Filtering Router
源/目的 源/目的 IP地址 端口 应用状态和数据流
净荷
源/目的 IP地址
源/目的 端口
应用状态和数据流
信息安全
• 保障信息的机密性、完整性、可用性、可控性和不可否认性等几个方 面。
• 1、机密性:保证信息不泄露给未经授权的人。 • 2、完整性:信息无失真地传达到目的地。 • 3、可用性:授权人使用时不能出现系统拒绝服务的情况。 • 4、可控性:对信息及信息系统实施安全监控管理。 • 5、不可否认性:信息行为可安全管理。
检查和评估,以确定该数据包是否是由黑客特意设计的数据包。这些数据 包能够逃过许多防火墙的简单过滤规则的过滤,进入到内部网络。
4、 基于主机的系统(Host-based IDS) 在基于主机的系统中,IDS对单台计算机或主机上的网络活动进行检
查。进行评估的项目包括:对重要系统文件的修改、异常的或过度的CPU 活动、root或管理权限的滥用等。
• 在大多数人的眼中,在服务器前加一个防火墙就解决了安全问题,这 是一种很狭隘的安全思路。防火墙仅仅是一个访问控制、内外隔离的 安全设备,在底层包过滤、IP伪装、碎片攻击,端口控制等方面的确 有着不可替代的作用,但它在应用层的控制和检测能力是很有限的。
• 另外,没有设置好密码策略、没有设置安全日志策略或没有定期分析 日志发现异常现象等等。说到底就是缺乏一套整体安全方案,一个没 有整体安全规划的系统,安全是肯定没有保障的。
在异常检测中,首先要为系统设立一个正常活动的底线(Baseline) 。它包括这样一些内容:网络业务流负荷的状态、故障死机、通信协议, 及典型的数据包长度。在采用异常检测时,探测器监控网络数据段并将当 前状态与正常底线状态相比较,以识别异常状况。
1、入侵检测系统的分类
3、 基于网络的系统(Network-based IDS) 基于网络的系统也称为 NIDS。NIDS对流过网络的数据包进行逐个
(二)安全身份认证系统
基于生物特征的身份认证: 如DNA,视网膜,虹膜、指纹等;
基于IC卡的身份认证: 如磁存储卡、逻辑加密卡,CPU卡等;
基于零知识证明的身份认证; 基于“用户名+口令”的身份认证; 基于电子钥匙的身份认证系统。
基于电子钥匙的身份认证
支持网络登录与身份认证 具有文件加密和文件夹隐藏功能 具有屏幕锁定功能 支持热插拔(hot plug) 占用单独的USB口、节省系统资源 支持公钥证书(CA) 外型小巧、灵活方便、安全可靠
5、 被动系统(Passive IDS)
在被动系统中,IDS仅检测潜在的安全缺陷,记录可疑信息,并发出 提示信息或报警,而系统并不采取任何直接的行动。 6、 反动系统(Reactive IDS)
在反动系统中,IDS能够以不同方式对各种可疑的活动作出响应。这 些对可疑活动的反应方式包括:对离线的用户进行记录,关掉某个连接, 或甚至重新对防火墙进行编程以阻断来自可疑源地址的恶意网络数据流。