从图中可以看到整个网络体系分为:Internet,非军事区(DMZ),Intranet以及P2P平台内部网四部分。其安全等级从前往后逐次递增。这些网段由两个网关连为一体。首先防火墙将Internet和Intranet以及非军事区分离。非军事区是所有用户可以访问的区域,而Intranet则只有特定用户才能访问,通过对防火墙的合理配置可以避免内部服务器被攻击,可以采用多级防火墙配置(如在非军事区和Internet之间用防火墙隔离)以提供更强的网络安全保护。
Intranet与网上内部网络由前置机相连,为了保证P2P平台业务主机的运行安全,P2P平台系统不直接连接业务主机,而是由特定的前置机来代理其请求,前置机只响应特定服务请求,然后将请求转换为特定消息格式发送给业务主机,收到应答后再将数据返回给请求者。通过这种隔离进一步增强了系统的安全保证。 增加防火墙防护
在网络系统中,防火墙是一种装置,可使内部网络不受公共部分(整个Internet)的影响。它能同时连接受到保护的网络和Internet两端,但受到保护的网络无法直接接到Internet,Internet也无法直接接到受到保护的网络。如果要从受到保护的网络内部接到Internet,首先需要连接到防火墙,然后从防火墙接入Internet。最简单的防火墙是双主机系统(具有两个网络连接的系统)。
防火墙有两种:
1.
IP过滤防火墙
IP过滤防火墙在数据包一层工作。它依据起点、终点、端口号和每一数据包中所含的数据包种类信息控制数据包的流动。这种防火墙非常安全。它阻挡别人进入内部网络。过滤防火墙是绝对性的过滤系统。即使要让外界的一些人进入防火墙之内,也无法让每一个人进入服务器。
2.
代理服务器
代理服务器允许通过防火墙间接进入Internet。最好的例子是先连接到防火墙,然后从该处再连接到另一个系统。在有代理服务器的系统中,这项工作是完全自动的。利用客户端软件连接代理服务器后,代理服务器启动它的客户端软件(代理),然后传回数据。只要配置正确,代理服务器就绝对安全,它阻挡任何人进入内部网络,因为没有直接的IP通路。
11
在P2P平台系统中,由于Web服务器需要连接到Internet,因此,我们建议在Web服务器和Internet之间架设一个IP过滤防火墙。 配置入侵检测模块
除了防火墙之外,配置入侵检测模块也是一个重要的安全措施。例如,对于P2P平台帐户和密码,入侵者可能尝试枚举攻击,由于密码长度有限且均为数字,密码空间比较小。如果入侵者知道帐户号码,很容易通过枚举攻击猜测出帐户密码。
入侵攻击的特点是在一个攻击源同时发出密集攻击数据。自然,这些攻击数据对于查询系统来说,可能是合法的查询参数,它的特点是在同一个攻击源同时发出大批量查询请求。普通情况下,一个用户连接后不会非常频繁的查询数据(每分钟最多不超过5次查询),而且查询的帐户号码也有限(每分钟最多不超过10个帐户)。相反,入侵者为了猜测密码,会大批量、长时间、从同一地点发出攻击信息。这种攻击模式是能够被检测到的。检测到异常情况之后,检测模块能够自动予以记录和预警。自动预警甚至可以通过寻呼机通知系统管理员。 配置安全审计系统
网络安全审计是信息安全的重要方面,它是实现安全事件的可追查性、不可抵赖性的重要技术手段。对于P2P平台系统由于数据来源多、数据量大、数据类型复杂,将面临大量的攻击事件以及内部违规事件等。良好的安全审计能力是分析、记录与跟踪P2P平台系统安全状况的必要条件。
P2P平台系统对于内部违规操所面临的问题主要表现在内部人员违规操作的安全隐患,第三方维护人员违规操作的安全隐患,以及内部最高用户权限的违规操作等安全隐患等,大量的违规操作将对P2P平台系统信息资产的机密性、完整性、可行性等造成严重的破坏。
通过部署网络审计系统,有助于P2P平台完善组织的IT内控与审计体系,完善IT内控机制,满足各种合规性要求,并且使组织能够顺利通过IT审计(如SOx法案的合规性要求、银监会63号、313号审计要求等);可以有效减少核心信息资产(如核心数据库服务器、应用服务器等)的破坏和泄漏;有效控制运维操作风险,便于事后追查原因与界定责任;有效控制业务运行风险,直观掌握
12
业务系统运行的安全状况; 数据加密
Web应用数据加密的方案除了SSL以外,并没有太多可供选择的方案。
除了采用数字证书身份认证方案以外,SSL的另一个优点是在建立握手以后,
对客户和服务器之间的所有数据均采用对称算法进行加密,对称算法的加密效率比较高,所以对性能不会造成很大的影响。另外SSL采用了会话密钥的机制,每次握手时约定一个会话密钥,会话结束,密钥立刻失效,最大程度上保证了数据的保密性。由于采用了SSL技术,Web应用的开发也大为简化,Web服务器应用程序可以把与查询状态有关的信息都保存在Cookie中,而不必担心Cookie的安全问题。
P2P业务主机 3、P2P业务主机再对口令进行验证 CA服务器
2、证书提交CA服务器,检验是否已经作废
1、SSL服务器代理验证用户证书本身的合法性
Web服务器
建立SSL握手
表单 递交口令
用户
图 2用户身份验证示意图
P2P平台支付与转账
P2P平台的支付与转账需要提供数据完整性和不可否认性。
13
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库深圳市技术创新计划创业资助项目可行性研究报告(3)在线全文阅读。
相关推荐: