網路安全預防措施

　　計算機網路安全是指利用網路管理控制和技術措施，保證在一個網路環境裡，資料的保密性、完整性及可使用性受到保護。計算機網路安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統裝置及相關設施受到物理保護，免於破壞、丟失等。邏輯安全包括資訊的完整性、保密性和可用性。

　　網安措施

　　計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火牆、資訊保安、Web安全、媒體安全等等。

　　***一***保護網路安全。

　　網路安全是為保護商務各方網路端系統之間通訊過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下：

　　***1***全面規劃網路平臺的安全策略。

　　***2***制定網路安全的管理措施。

　　***3***使用防火牆。

　　***4***儘可能記錄網路上的一切活動。

　　***5***注意對網路裝置的物理保護。

　　***6***檢驗網路平臺系統的脆弱性。

　　***7***建立可靠的識別和鑑別機制。

　　***二***保護應用安全。

　　保護應用安全，主要是針對特定應用***如Web伺服器、網路支付專用軟體系統***所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算資訊包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。

　　由於電子商務中的應用層對安全的要求最嚴格、最複雜，因此更傾向於在應用層而不是在網路層採取各種安全措施。

　　雖然網路層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、資料完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。

　　***三***保護系統安全。

　　保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平臺、作業系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施：

　　***1***在安裝的軟體中，如瀏覽器軟體、電子錢包軟體、支付閘道器軟體等，檢查和確認未知的安全漏洞。

　　***2***技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入資料必須進行審計，對系統使用者進行嚴格安全管理。

　　***3***建立詳細的安全審計日誌，以便檢測並跟蹤入侵攻擊等。

　　商交措施

　　商務交易安全則緊緊圍繞傳統商務在網際網路絡上應用時產生的各種安全問題，在計算機網路安全的基礎上，如何保障電子商務過程的順利進行。

　　各種商務交易安全服務都是通過安全技術來實現的，主要包括加密技術、認證技術和電子商務安全協議等。

　　***一***加密技術。

　　加密技術是電子商務採取的基本安全措施，交易雙方可根據需要在資訊交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。

　　***1***對稱加密。

　　對稱加密又稱私鑰加密，即資訊的傳送方和接收方用同一個金鑰去加密和解密資料。它的最大優勢是加/解密速度快，適合於對大資料量進行加密，但金鑰管理困難。如果進行通訊的雙方能夠確保專用金鑰在金鑰交換階段未曾洩露，那麼機密性和報文完整性就可以通過這種加密方法加密機密資訊、隨報文一起傳送報文摘要或報文雜湊值來實現。

　　***2***非對稱加密。

　　非對稱加密又稱公鑰加密，使用一對金鑰來分別完成加密和解密操作，其中一個公開發布***即公鑰***，另一個由使用者自己祕密儲存***即私鑰***。資訊交換的過程是：甲方生成一對金鑰並將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該金鑰對資訊進行加密後再發送給甲方，甲方再用自己儲存的私鑰對加密資訊進行解密。

　　***二***認證技術。

　　認證技術是用電子手段證明發送者和接收者身份及其檔案完整性的技術，即確認雙方的身份資訊在傳送或儲存過程中未被篡改過。

　　***1***數字簽名。

　　數字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子檔案認證、核准和生效的作用。其實現方式是把雜湊函式和公開金鑰演算法結合起來，傳送方從報文文字中生成一個雜湊值，並用自己的私鑰對這個雜湊值進行加密，形成傳送方的數字簽名;然後，將這個數字簽名作為報文的附件和報文一起傳送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出雜湊值，接著再用傳送方的公開金鑰來對報文附加的數字簽名進行解密;如果這兩個雜湊值相同，那麼接收方就能確認該數字簽名是傳送方的。數字簽名機制提供了一種鑑別方法，以解決偽造、抵賴、冒充、篡改等問題。

　　***2***數字證書。

　　數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者資訊以及公鑰的檔案數字證書的最主要構成包括一個使用者公鑰，加上金鑰所有者的使用者身份識別符號，以及被信任的第三方簽名第三方一般是使用者信任的證書權威機構***CA***，如政府部門和金融機構。使用者以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書，然後使用者就可以公開這個證書。任何需要使用者公鑰的人都可以得到此證書，並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標誌交易各方身份資訊的一系列資料，提供了一種驗證各自身份的方式，使用者可以用它來識別對方的身份。

　　***三***電子商務的安全協議。

　　除上文提到的各種安全技術之外，電子商務的執行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。

　　***1***安全套接層協議SSL。

　　SSL協議位於傳輸層和應用層之間，由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層資料之前建立安全機制。當客戶與伺服器第一次通訊時，雙方通過握手協議在版本號、金鑰交換演算法、資料加密演算法和Hash演算法上達成一致，然後互相驗證對方身份，最後使用協商好的金鑰交換演算法產生一個只有雙方知道的祕密資訊，客戶和伺服器各自根據此祕密資訊產生資料加密演算法和Hash演算法引數。SSL記錄協議根據SSL握手協議協商的引數，對應用層送來的資料進行加密、壓縮、計算訊息鑑別碼MAC，然後經網路傳輸層傳送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯資訊。

　　***2***安全電子交易協議SET。

　　SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關係，給定交易資訊傳送流程標準。SET主要由三個檔案組成，分別是SET業務描述、SET程式設計師指南和SET協議描述。SET協議保證了電子商務系統的機密性、資料的完整性、身份的合法性。

　　SET協議是專為電子商務系統設計的。它位於應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者帳戶資訊對商家來說是保密的。但是SET協議十分複雜，交易資料需進行多次驗證，用到多個金鑰以及多次加密解密。而且在SET協議中除消費者與商家外，還有髮卡行、收單行、認證中心、支付閘道器等其它參與者。

　　加密方式

　　鏈路加密方式

　　安全技術手段

　　物理措施：例如，保護網路關鍵裝置***如交換機、大型計算機等***，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源***UPS***等措施。

　　訪問控制：對使用者訪問網路資源的許可權進行嚴格的認證和控制。例如，進行使用者身份認證，對口令加密、更新和鑑別，設定使用者訪問目錄和檔案的許可權，控制網路裝置配置的許可權等等。

　　資料加密：加密是保護資料安全的重要手段。加密的作用是保障資訊被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。

　　網路隔離：網路隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網路安全隔離網閘實現的。

　　隔離卡主要用於對單臺機器的隔離，網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。

　　其他措施：其他措施包括資訊過濾、容錯、資料映象、資料備份和審計等。圍繞網路安全問題提出了許多解決辦法，例如資料加密技術和防火牆技術等。資料加密是對網路中傳輸的資料進行加密，到達目的地後再解密還原為原始資料，目的是防止非法使用者截獲後盜用資訊。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。

　　安全防範意識

　　擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。

　　主機安全檢查

　　要保證網路安全，進行網路安全建設，第一步首先要全面瞭解系統，評估系統安全性，認識到自己的風險所在，從而迅速、準確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定，並對評測系統進行強有力的分析處置和修復。

　　主機物理安全

　　伺服器執行的物理安全環境是很重要的，很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況，包括通風系統、電源系統、防雷防火系統以及機房的溫度、溼度條件等。這些因素會影響到伺服器的壽命和所有資料的安全。我不想在這裡討論這些因素，因為在選擇IDC時你自己會作出決策。

　　在這裡著重強調的是，有些機房提供專門的機櫃存放伺服器，而有些機房只提供機架。所謂機櫃，就是類似於家裡的櫥櫃那樣的鐵櫃子，前後有門，裡面有放伺服器的拖架和電源、風扇等，伺服器放進去後即把門鎖上，只有機房的管理人員才有鑰匙開啟。而機架就是一個個鐵架子，開放式的，伺服器上架時只要把它插到拖架裡去即可。這兩種環境對伺服器的物理安全來說有著很大差別，顯而易見，放在機櫃裡的伺服器要安全得多。

　　如果你的伺服器放在開放式機架上，那就意味著，任何人都可以接觸到這些伺服器。別人如果能輕鬆接觸到你的硬體，還有什麼安全性可言?

　　如果你的伺服器只能放在開放式機架的機房，那麼你可以這樣做：

　　***1***將電源用膠帶繫結在插槽上，這樣避免別人無意中碰動你的電源;

　　***2***安裝完系統後，重啟伺服器，在重啟的過程中把鍵盤和滑鼠拔掉，這樣在系統啟動後，普通的鍵盤和滑鼠接上去以後不會起作用***USB滑鼠鍵盤除外***

　　***3***跟機房值班人員搞好關係，不要得罪機房裡其他公司的維護人員。這樣做後，你的伺服器至少會安全一些。

　　易欺騙性***Ease of spoofing***。