《電子郵件系統(tǒng)安全技術(shù).ppt》由會(huì)員分享����,可在線閱讀,更多相關(guān)《電子郵件系統(tǒng)安全技術(shù).ppt(69頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索����。
1、電子郵件系統(tǒng)安全,主講人:許春,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),主 要 內(nèi) 容,常見電子郵件系統(tǒng)安全問題 PGP和S/MIME 垃圾郵件及過濾技術(shù) 反垃圾郵件系統(tǒng)及產(chǎn)品的選擇 反垃圾郵件立法和服務(wù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),電子郵件發(fā)送過程,郵件用戶代理(MUA): 郵件傳輸代理(MTA): 郵件投遞代理(MDA):,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),電子郵件系統(tǒng)的安全缺陷,模擬SMTP發(fā)郵件的過程,,收到的郵件原始信息,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)
2����、協(xié)會(huì),常見安全問題,惡意攻擊 垃圾郵件 政治郵件 郵件病毒 郵件泄密,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),案 例,,使用BASE64編碼解碼器獲取郵件內(nèi)容,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),電子郵件安全目標(biāo),郵件分發(fā)安全 郵件傳輸安全 郵件用戶安全 郵件系統(tǒng)主機(jī)安全,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),主 要 內(nèi) 容,常見電子郵件系統(tǒng)安全問題 PGP和S/MIME 垃圾郵件及過濾技術(shù) 反垃圾郵件系統(tǒng)及產(chǎn)品的選擇 反垃圾郵件立法和服務(wù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)
3、會(huì),PGP 和 S/MIME,PGP Pretty Good Privacy����,良好的隱私 主要為個(gè)人email提供安全性 提供對(duì)電子郵件的機(jī)密性和身份認(rèn)證服務(wù) S/MIME Secure/Multipurpose Internet Mail Extension 安全/多用途Internet郵件擴(kuò)展 商業(yè)和機(jī)構(gòu)使用的工業(yè)標(biāo)準(zhǔn) 提供對(duì)電子郵件的機(jī)密性和身份認(rèn)證服務(wù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),PGP,Philip R. Zimmerman 是 PGP的創(chuàng)造者 基于被認(rèn)可的算法(加密算法) 提供機(jī)密性和身份鑒別服務(wù),可用于電子郵件和文件存儲(chǔ)應(yīng)用中 不由政府和標(biāo)
4����、準(zhǔn)化組織控制和開發(fā) http://www.pgpi.org/. 可獲得不同平臺(tái)的免費(fèi)版本 與公司(Network Associates)約定����,提供PGP商業(yè)版本,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),PGP 密鑰管理,PGP使用四種類型的密鑰: 一次性會(huì)話傳統(tǒng)密鑰 公鑰 私鑰 基于口令短語(yǔ)的傳統(tǒng)密鑰 PGP對(duì)密鑰的需求 會(huì)話密鑰: 公鑰和私鑰 私鑰如何保存,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),PGP 信任機(jī)制,PGP沒有包括建立認(rèn)證權(quán)威機(jī)構(gòu)或建立信任的任何規(guī)范����,但提供了便捷的方式來使用信任����、使用密鑰來關(guān)聯(lián)信任度、采用可信的信息等 公
5����、鑰環(huán)的每個(gè)實(shí)體是一個(gè)公鑰證書,相應(yīng)的是密鑰合法性(KeyLegit)字段表示PGP信任這個(gè)用戶的該密鑰的程度 簽名信任(SigTrust)字段PGP用戶信任公鑰證書簽名者的程度 所有者信任(OwnerTrust)字段每個(gè)實(shí)體將公鑰與一特定擁有者相聯(lián)系����,這個(gè)字段指出該公鑰簽名其他公鑰證書的信任程度,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),PGP軟件,PGP下載:http://www.pgpi.org/download/,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),,簽名消息的例子,加密消息的例子,PGP軟件,中國(guó)信息安全認(rèn)證中心 四
6、川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),PGP證書管理軟件 服務(wù)器軟件: 集中管理PGP公鑰證書 提供LDAP����、HTTP服務(wù) 本地Keyring可以實(shí)時(shí)地連接到服務(wù)器,適合于企業(yè)使用,PGP證書管理軟件,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),密鑰管理,PGP用法(一),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),撰寫郵件時(shí)����,發(fā)送之前指定加密和簽名,PGP用法(二),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),PGP用法(三),其他輔助功能 有關(guān)網(wǎng)絡(luò)的功能 文件加解密����、簽名認(rèn)證 當(dāng)前窗口內(nèi)容加解密����、簽名認(rèn)證 剪貼板內(nèi)容加解密、
7����、簽名認(rèn)證,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),PGP采用了RSA和傳統(tǒng)加密的雜合算法可以用來加密文件 PGP創(chuàng)造性地把RSA公鑰體系的方便和傳統(tǒng)加密體系的高速度結(jié)合起來,并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)制上有巧妙的設(shè)計(jì)。 PGP協(xié)議已經(jīng)成為公鑰加密技術(shù)和全球范圍內(nèi)消息安全性的事實(shí)標(biāo)準(zhǔn)����。,總結(jié):PGP,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),S/MIME,S/MIME(Secure/MIME)是由RSA公司于1995年提出的電子郵件安全協(xié)議,不僅能發(fā)送文本����,還可以攜帶各種附加文檔 S/MIME同PGP一樣,利用單向散列算法和公鑰與單鑰的加
8����、密體系 但是S/MIME也有兩方面與PGP不同 S/MIME的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu),所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證����,而最上一級(jí)的組織(根證書)之間相互認(rèn)證 S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),S/MIME,是對(duì)MIME電子郵件格式的安全擴(kuò)展 基于密碼學(xué)的諸多成果 與PKI的結(jié)合����,使用X.509證書����,以及PKCS標(biāo)準(zhǔn) 算法協(xié)商不可能在線進(jìn)行,只能用一組規(guī)則保證盡可能地達(dá)到安全性 不嚴(yán)格的信任模型����,由客戶實(shí)現(xiàn)和用戶來決定 S/MIME更象商用或組織使用的工業(yè)標(biāo)準(zhǔn)����,PGP更面向個(gè)體
9、用戶選用,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),S/MIME,S/MIME提供簽名和數(shù)據(jù)的加密服務(wù) 封裝的數(shù)據(jù): 簽名的數(shù)據(jù): 透明的簽名數(shù)據(jù): 簽名和封裝的數(shù)據(jù):,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),S/MIME,S/MIME使用的算法 消息摘要: SHA-1和 MD5 數(shù)字簽名: DSS����,應(yīng)當(dāng)支持RSA 公鑰算法: ELGamal(Diffie-Hellman ),應(yīng)當(dāng)支持RSA 加密消息:3DES和RC2/40,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),S/MIME的證書處理,使用符合X.509標(biāo)準(zhǔn)的
10、公開密鑰證書 密鑰管理方法是嚴(yán)格的X.509證明層次和PGP信任網(wǎng)絡(luò)的混合 S/MIME可完成如下密鑰管理功能 (1)密鑰的生成:7681024位之間的密鑰對(duì) (2)注冊(cè) (3)證書的存儲(chǔ)和查詢,有許多提供CA的公司����,VeriSign的CA服務(wù)使用最廣泛,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),S/MIME郵件用法,公鑰管理,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),S/MIME郵件用法,私鑰管理,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),把帳號(hào)與私鑰關(guān)聯(lián)起來,S/MIME郵件用法,中國(guó)信息安全認(rèn)證中心
11、 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),撰寫郵件,S/MIME郵件用法,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),主 要 內(nèi) 容,常見電子郵件系統(tǒng)安全問題 PGP和S/MIME 垃圾郵件及過濾技術(shù) 反垃圾郵件系統(tǒng)及產(chǎn)品的選擇 反垃圾郵件立法和服務(wù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),什么是垃圾郵件?,根據(jù)2003年2月26日頒布的中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)反垃圾郵件規(guī)范和網(wǎng)民中的一些約定俗成的規(guī)定����,所謂的“垃圾郵件”主要指的是具有下述屬性的電子郵件: 收件人無(wú)法拒收的電子郵件����; 收件人事先沒有提出要求或者同意接收的廣告����、電子刊物、各種形式的宣傳品等具有
12����、宣傳性質(zhì)的電子郵件; 含有病毒����、色情、反動(dòng)等不良信息或有害信息的郵件����; 隱藏發(fā)件人身份、地址����、標(biāo)題等信息的電子郵件; 含有虛假的信息源、發(fā)件人����、路由等信息的電子郵件。,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),,垃圾郵件種類,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),垃圾郵件的危害,耗費(fèi)網(wǎng)絡(luò)資源 侵犯他人利益 嚴(yán)重影響ISP的服務(wù)形象 對(duì)現(xiàn)實(shí)社會(huì)造成危害,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),反垃圾郵件技術(shù),(1)傳統(tǒng)的反垃圾郵件技術(shù) (2)反反垃圾郵件技術(shù) (3)新型反垃圾郵件技術(shù),中國(guó)信息安全認(rèn)證中心
13����、 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),(1)傳統(tǒng)的反垃圾郵件技術(shù),黑名單 白名單 關(guān)鍵字過濾 DNS反向查詢技術(shù) 實(shí)時(shí)黑名單(RBL) 基于規(guī)則的過濾技術(shù) 貝葉斯過濾 分布協(xié)作的內(nèi)容指紋分析 其它輔助技術(shù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),黑名單(Black List),什么是“黑名單”? 黑名單的建立 存在的問題,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),白名單(White List),什么是“白名單”����? 白名單的兩種使用方式 存在的問題,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),關(guān)鍵字過濾,什么是“關(guān)鍵
14、字過濾”����? 存在的問題,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),DNS查詢技術(shù),DNS查詢技術(shù) 收到電子郵件時(shí)對(duì)發(fā)送者的互聯(lián)網(wǎng)域名進(jìn)行查詢,依此來驗(yàn)證發(fā)送者信息的真實(shí)性 反向DNS查詢技術(shù) 收到電子郵件時(shí)對(duì)發(fā)送者的IP地址進(jìn)行DNS反向查詢����,檢驗(yàn)其對(duì)應(yīng)的域名是否是其聲稱的域名 我國(guó)許多企業(yè)郵件系統(tǒng)缺少DNS反向記錄����,導(dǎo)致被列入國(guó)外知名RBL中,202.15.16.3 IN PTR yourdomain,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),實(shí)時(shí)黑名單(RBL),什么是“實(shí)時(shí)黑名單”? 局限性 改進(jìn)方案 DNSBL(DNS Bloc
15����、kList,DNS黑名單列表),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),貝葉斯過濾,什么是“貝葉斯過濾技術(shù)”����? 由Paul Graham于2002年8月提出����,它和基于規(guī)則的過濾技術(shù)比較相似,但是貝葉斯過濾器不必預(yù)先設(shè)定規(guī)則����。 理論基礎(chǔ) 在已知的垃圾郵件中,一些單詞出現(xiàn)的頻率較高����,而在非垃圾郵件中,另一些單詞出現(xiàn)的頻率較高 ����。 通過特定算法對(duì)大量垃圾郵件和非垃圾郵件進(jìn)行分析計(jì)算,得到垃圾郵件和非垃圾郵件單詞的貝葉斯概率模型����。可以由此概率模型推算目標(biāo)郵件是垃圾郵件的概率����。,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),貝葉斯過濾,優(yōu)點(diǎn) 克服了傳統(tǒng)內(nèi)
16����、容分析技術(shù)準(zhǔn)確性第����、誤報(bào)率高的曲線 不需要預(yù)先搜集和編制關(guān)鍵詞表 結(jié)合其它垃圾郵件分析技術(shù),可以實(shí)現(xiàn)對(duì)樣本的自動(dòng)采集和學(xué)習(xí) 局限性 是一種基于內(nèi)容的分析方法����,對(duì)內(nèi)容進(jìn)行特殊處理后,可逃避貝葉斯技術(shù)的檢查����。如將關(guān)鍵的內(nèi)容改成圖片等,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),分布協(xié)作的內(nèi)容指紋分析,指紋分析 從郵件中提取出可以代表內(nèi)容的指紋數(shù)據(jù)(一般利用哈希函數(shù)算法或檢查和的算法來產(chǎn)生指紋特征) 模糊指紋 不同的內(nèi)容會(huì)產(chǎn)生不同的指紋。為防止垃圾郵件發(fā)送者利用小的變化����,如大小寫等,來躲避反垃圾郵件系統(tǒng)����,使用模糊指紋����,使相似內(nèi)容的郵件產(chǎn)生相同的指紋 全球協(xié)作的內(nèi)容指紋分析 用
17����、“指紋”代表郵件����,全球的兼容用戶提交郵件指紋,從服務(wù)器得到響應(yīng)����,以知道有多少封郵件在全球傳播,以識(shí)別郵件是否是垃圾郵件,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),優(yōu)缺點(diǎn) 在對(duì)付由蠕蟲或病毒爆發(fā)造成的垃圾郵件時(shí)有非常好的效果 垃圾郵件流傳的規(guī)模比較有限����,或內(nèi)容根據(jù)不同的發(fā)件人動(dòng)態(tài)變化,這個(gè)技術(shù)也就無(wú)能為例了 要求郵件服務(wù)器的管理員和用戶能夠自覺提交垃圾郵件樣本以進(jìn)行分析����,而國(guó)內(nèi)用戶往往沒有這方面的習(xí)慣和意識(shí),這個(gè)技術(shù)在國(guó)內(nèi)作用有限,分布協(xié)作的內(nèi)容指紋分析,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),(3)新型反垃圾郵件技術(shù),歸根結(jié)底����,只有溯源,才
18����、能從根本上打擊垃圾郵件 SenderID技術(shù) DKIM 技術(shù) FairUCE技術(shù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),SenderID技術(shù),SenderID 2004年微軟提出����。最初得到了Cisco����、Comcast、IBM����、Cisco、Port25����、Sendmail、Symantec����、VeriSign 的支持,但最終未能成為標(biāo)準(zhǔn) 判斷電子郵件的確切來源����,降低垃圾郵件以及域名欺騙等行為發(fā)生的可能。 SenderID技術(shù)必須得到發(fā)送郵件方和接收郵件方的共同支持����。 需要在郵件所在域名的DNS系統(tǒng)中添加SPF記錄 需要授權(quán)許可,中國(guó)信息安全認(rèn)證中心 四川省計(jì)
19、算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),,,,,,,,,,1,2,3,DNS服務(wù)器,SPF查詢,,,發(fā)送者,內(nèi)部郵件服務(wù)器,查詢結(jié)果,認(rèn)證成功,認(rèn)證失敗,4,從本質(zhì)上來說����,并不能鑒定一個(gè)郵件是否是垃圾郵件 注冊(cè)廉價(jià)的域名 郵件服務(wù)器的漏洞,SenderID技術(shù),接收者,Sender ID 架構(gòu),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),SPF(Sender Policy Framework ) 發(fā)信者策略架構(gòu) 為了防范垃圾郵件而提出來的一種DNS記錄類型,它是一種TXT類型的記錄����,它用于登記某個(gè)域名擁有的用來外發(fā)郵件的所有IP地址,. IN TXT “v=spf1 ipv4:20
20、2.105.45.0/24 ... all,,SenderID技術(shù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),DKIM 技術(shù),DKIM(DomainKeys Identified Mail) 郵件域名密鑰驗(yàn)證 雅虎公司提出的一種源頭認(rèn)證技術(shù)����。使用密碼學(xué)的基礎(chǔ)提供了簽名與驗(yàn)證的功能 在2007年2月時(shí),DKIM被列入互聯(lián)網(wǎng)工程工作小組(IETF)的標(biāo)準(zhǔn)提案����,并于同年5月成為正式標(biāo)準(zhǔn) 目前Sendmail、Qmail����、MS Exchange、PowerMTA����、acSMTP����、XMLServer等均支持DKIM 雅虎公司發(fā)布了一個(gè)開放源代碼的DKIM的參考實(shí)現(xiàn) 提供的服務(wù) 驗(yàn)
21����、證郵件發(fā)件人是否確屬于他所聲稱的郵件域 保障郵件內(nèi)容本身的完整性,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),DKIM 技術(shù),,拒絕來源于簽名域的非簽名郵件 接收方具有驗(yàn)證發(fā)件域的能力 使電子郵件具備可追查來源的能力,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),,,DKIM 技術(shù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),FairUCE技術(shù),FairUCE(Fair use of Unsolicited Commercial Email) IBM于2005年提出,使用網(wǎng)絡(luò)領(lǐng)域的內(nèi)置身份管理工具����,通過分析電子郵件域名,過濾
22����、并封鎖垃圾郵件。 通過溯源找到垃圾郵件的發(fā)送源頭����,并將那些傳遞過來的垃圾郵件再轉(zhuǎn)回給發(fā)送源頭,以此來打擊垃圾郵件發(fā)送者 原理 在電子郵件地址����、電子郵件域和發(fā)送郵件的計(jì)算機(jī)之間建立起一種關(guān)系,以確定電子郵件的合法性 如果還不能確定關(guān)系����,F(xiàn)airUCE會(huì)自動(dòng)發(fā)送一個(gè)客戶端的郵件來找到某種關(guān)系����。 如果能夠找到關(guān)系����,F(xiàn)airUCE會(huì)檢查該域名地址是否有不良記錄����、接受人是否將其定入“黑名單”,從而決定采取接受����、拒絕或是懷疑等措施,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),利弊: 能夠影響垃圾郵件發(fā)送源頭的性能 可能打擊到正常的服務(wù)器(比如被利用的),同時(shí)該功能又復(fù)制了大量垃圾流
23����、量,FairUCE技術(shù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),主 要 內(nèi) 容,常見電子郵件系統(tǒng)安全問題 PGP和S/MIME 垃圾郵件及過濾技術(shù) 反垃圾郵件系統(tǒng)及產(chǎn)品的選擇 反垃圾郵件立法和服務(wù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),Internet,,,,發(fā)起Internet 訪問請(qǐng)求,正常郵件,病毒郵件,垃圾郵件,,,,,郵件系統(tǒng),反垃圾郵件網(wǎng)關(guān)系統(tǒng),正常郵件,病毒郵件,垃圾郵件,反垃圾郵件系統(tǒng),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),,,郵件安全防護(hù)系統(tǒng),郵件服務(wù)器,四層安全防護(hù),,,,,,,SMTP
24、-IPS 入侵保護(hù),行為模式識(shí)別 反垃圾郵件 引擎,病毒過濾 引擎,敏感郵件 內(nèi)容過濾,反垃圾郵件系統(tǒng),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),常見的反垃圾郵件產(chǎn)品,Open Source SpamAssassin 商業(yè)產(chǎn)品 美訊智Surfcontrol 敏訊EQManager 清華紫光 啟明星辰天清防垃圾郵件系統(tǒng) .,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),如何選擇反垃圾郵件網(wǎng)關(guān),高效穩(wěn)定 反垃圾郵件網(wǎng)關(guān)布署于郵件服務(wù)器之前����,為所有郵件進(jìn)出的關(guān)口,其穩(wěn)定性直接決定了郵件服務(wù)的穩(wěn)定性����。 同樣����,如果反垃圾郵件網(wǎng)關(guān)處理效率低下����,造成郵件大量阻
25、塞����,直接影響郵件服務(wù)品質(zhì)。 零通信風(fēng)險(xiǎn) 第一����,反垃圾郵件網(wǎng)關(guān)必須具有盡可能低的誤判率。 第二����,在發(fā)生誤判時(shí),必須確保通信雙方中至少一方及時(shí)知情����。 第三,客戶容易修正模型����,以快速排除通訊阻礙����,保證零通信風(fēng)險(xiǎn)����。 高過濾率 反垃圾郵件網(wǎng)關(guān)的主要功用就是識(shí)別與過濾垃圾郵件。,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),如何選擇反垃圾郵件網(wǎng)關(guān),免維護(hù)設(shè)計(jì) 不需要人工頻繁設(shè)定、修改與增添策略及規(guī)則模型����。 盡可能少地變更網(wǎng)關(guān)設(shè)定與配置,確保網(wǎng)關(guān)穩(wěn)定運(yùn)行����。 友好方便的管理監(jiān)控 目視管理:充分展示網(wǎng)關(guān)的工作狀態(tài),如資源使用����、隊(duì)列狀態(tài)、郵件進(jìn)出情況等 易于配置:配置界面清晰友好����。 多樣化報(bào)
26、表:方便快捷地了解網(wǎng)關(guān)的效果與功用。 快速����、持久的服務(wù)支持 反垃圾郵件是一個(gè)長(zhǎng)期持久的戰(zhàn)役,需要廠家長(zhǎng)期的服務(wù)與支持����。,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),,單臺(tái)架構(gòu),集群架構(gòu),,反垃圾郵件產(chǎn)品部署,單機(jī)支持多域,雙機(jī)服務(wù)更安全、更穩(wěn)定,負(fù)載均衡服務(wù)大并發(fā)����、安全、穩(wěn)定,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),反垃圾郵件產(chǎn)品部署,設(shè)置郵件的MX記錄,. IN MX 5 .,. IN MX 10 .,. IN A 122.122.136.241 ;郵件服務(wù)器的IP地址,. IN A 122.122.136.242
27����、;郵件網(wǎng)關(guān)的IP地址,. IN A 122.122.136.243 ;郵件網(wǎng)關(guān)的IP地址,,,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),主 要 內(nèi) 容,常見電子郵件系統(tǒng)安全問題 PGP和S/MIME 垃圾郵件及過濾技術(shù) 反垃圾郵件系統(tǒng)及產(chǎn)品的選擇 反垃圾郵件立法和服務(wù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),反垃圾郵件立法和服務(wù),互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法 中國(guó)反垃圾郵件聯(lián)盟 中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)反垃圾郵件中心,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法,中華人民共和國(guó)信息產(chǎn)業(yè)部,2006年
28����、3月30日起施行 任何組織或者個(gè)人不得有下列行為: 未經(jīng)授權(quán)利用他人的計(jì)算機(jī)系統(tǒng)發(fā)送互聯(lián)網(wǎng)電子郵件 采用在線自動(dòng)收集、字母或者數(shù)字任意組合等手段獲得的他人的互聯(lián)網(wǎng)電子郵件地址用于出售����、共享、交換或者向通過上述方式獲得的電子郵件地址發(fā)送互聯(lián)網(wǎng)電子郵件 故意隱匿或者偽造互聯(lián)網(wǎng)電子郵件信封信息 未經(jīng)互聯(lián)網(wǎng)電子郵件接收者明確同意����,向其發(fā)送包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件 發(fā)送包含商業(yè)廣告內(nèi)容的互聯(lián)網(wǎng)電子郵件時(shí)����,未在互聯(lián)網(wǎng)電子郵件標(biāo)題信息前部注明“廣告”或者“AD”字樣 ,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),中國(guó)反垃圾郵件聯(lián)盟,實(shí)時(shí)黑名單服務(wù) CBL (中國(guó)垃圾郵件黑名單
29����、) CDL (中國(guó)動(dòng)態(tài)地址列表) CBL+ (中國(guó)垃圾郵件綜合黑名單) CBL- (中國(guó)垃圾郵件保守黑名單) 實(shí)時(shí)白名單服務(wù) CML (中國(guó)郵件運(yùn)營(yíng)商地址列表) CBL/CDL脫離服務(wù) CBL進(jìn)入提醒服務(wù),黑名單列入驗(yàn)證查詢 本站的CBL/CDL ORDB的RBL DSBL的RBL NJABL的RBL MAPS的RBL 白名單列入驗(yàn)證查詢 CML (中國(guó)郵件運(yùn)營(yíng)商地址列表) 郵件信頭分析,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)反垃圾郵件中心,為配合信息產(chǎn)業(yè)部“陽(yáng)光綠色網(wǎng)絡(luò)工程”實(shí)施,信息產(chǎn)業(yè)部委托中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)成立了垃圾郵件舉報(bào)受理中心 投訴電話01
30����、0-12321 舉報(bào)郵箱:abuseanti- 網(wǎng)址:http://www.anti-。,高校電子郵件系統(tǒng)安全措施案例分析,服務(wù)器安全措施 操作系統(tǒng)安全措施 數(shù)據(jù)庫(kù)系統(tǒng)安全措施 病毒網(wǎng)關(guān) 垃圾郵件過濾網(wǎng)關(guān) 郵件系統(tǒng)備份 運(yùn)行維護(hù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),,服務(wù)器SUN4800郵件系統(tǒng)億郵 郵件存儲(chǔ)SUN1620����, 操作系統(tǒng)solaris 郵件網(wǎng)關(guān)億郵����,部署在臺(tái)式電腦上,linux,中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),,,,,,,,,,,傳輸層,存儲(chǔ)層,應(yīng)用層,操作系統(tǒng)層,賬戶層,C2級(jí)加密方式,加密傳輸,加密存儲(chǔ),與系統(tǒng)賬戶隔 離,安全穩(wěn)定類unix平臺(tái),防止暴力破解����、強(qiáng)制更改密碼,數(shù)據(jù)包被截取也無(wú)法知道內(nèi)容,無(wú)法直接看到郵件內(nèi)容,程序采用最低權(quán)限級(jí)別運(yùn)行,升級(jí)補(bǔ)丁、優(yōu)化系統(tǒng)����、 停止不需要的服務(wù)及端口,,郵件系統(tǒng)的多級(jí)保護(hù),中國(guó)信息安全認(rèn)證中心 四川省計(jì)算機(jī)信息系統(tǒng)集成行業(yè)協(xié)會(huì),問題,
電子郵件系統(tǒng)安全技術(shù).ppt
