前幾天我朋友的電腦中了病毒,病毒感染了很多EXE文件,修復難度很大,無奈只好格式化掉,損失慘重。我的電腦很少中毒,至少在我知道的情況下我的電腦沒用中過毒。消滅病毒的難度是很大的,但做好預防工作卻是非常容易的。下面是我的一些做法,個人認為做好下面的措施,電腦中毒機會的就會是微乎其微,這些措施只針對Windows操作系統。
1、必須安裝防火牆和殺毒軟體
不管你是怎樣的高手,這兩種軟體還是需要安裝的。雖然在面對新病毒時,殺毒軟體會變得手足無措,倒不如自己上網找殺毒辦法。但有一個殺毒軟體就是多了一道屏障,不管這道屏障有多高或多矮,始終是利大於弊的。殺毒軟體我用的是金山毒霸,我覺得不錯,建議安裝金山毒霸!
防火牆也是必須要安裝的,同時最好還安裝一些監測網路進程的程序,時刻監視有無惡意程序在進行非法操作。
另外,一些流氓軟體專殺也是非常有用的,比如360安全衛士,金山清理專家等。
2、為Administrator用戶降權
在Windows操作系統里,Administrator是最高級的用戶,在正常的登陸模式是無法看到的,因此很容易忽略由Administrator用戶帶來的安全問題。
Administrator用戶的初始密碼是空的,如果沒用安裝防火牆,黑客很容易通過Administrator帳戶進入你的電腦。這時做什麼都已經為時已晚了。
事實上,這並不是降權,是創建一個偽造的,無實際權利的Administrator用戶。
具體操作如下,先以一個非Administrator的管理員帳戶登陸windows,然後打開:控制面板-管理工具-計算機管理-本地用戶和組-用戶,刪除Administrator用戶,再創建一個新的Administrator用戶,右擊設置密碼,密碼有多復雜就多復雜,讓其隸屬於最低級別的用戶組,並在屬性里勾選帳戶已停用。如圖1所示。
這樣,即使別人破解了你的Administrator帳戶,進入後也發現只是一個沒用實權的帳戶。
3、禁止所有磁碟自動運行
如今U盤病毒盛行,稍不小心就會導致「格盤」。U盤病毒一般的運行機制是通過雙擊盤符自動運行,因此,禁用所有磁碟的自動運行是一種相當有效的預防手段。
具體的操作過程是:運行輸入gpedit.msc-->用戶配置-->管理模板-->系統,雙擊右側列表裡的關閉自動播放,選擇「所有驅動器」,然後選擇「已啟動」。確定退出。
4、不雙擊U盤
如果你沒用禁止所有磁碟自動運行,又或者你在別人的計算機上使用U盤,最好不要雙擊U盤。這很容易觸發U盤病毒,最好的方法是先用殺毒軟體掃描。
U盤里的病毒一般清除方法是,通過資源管理器進去看看U盤里有無autorun.inf文件,通常是隱藏的。刪除autorun.inf文件以及它所指向的程序,然後重新拔插U盤。
5、經常檢查開機啟動項
經常在運行里輸入msconfig查看啟動項,發現有異常的馬上在網上找資料,看看是不是病毒。當然,你不一定要用msconfig,超級兔子等軟體也是非常不錯的。如圖2所示。
6、經常備份重要數據
一些重要的數據,必須經常備份,例如重要的圖片、個人信息等等。我大概一個月會刻錄一次重要的資料,以防萬一。
7、使用GHOST
經常使用Ghost備份操作系統盤,遇到嚴重問題時直接恢復整個系統盤,這是懶人的做法,懶得找病毒的隱藏地,但同時也是高效快捷的方法。問題是你必須經常使用Ghost進行備份,不然你恢復系統盤也會有所損失,至少損失了最近安裝的程序(的注冊信息)。
8、隱私文件要加密
使用一些加密程序加密那些你認為不能暴露於公眾的文件,網上有很多這樣的免費軟體。不要以為隱藏了文件就行,隱藏只是一種自欺欺人的方式,加密了,即使你有類似「陳冠希」的照片也不會太危險。
9、使用Google
之所以推薦使用Google不是因為我對Google的偏愛,而是Google搜索里提供的網站安全信息提示。當搜索結果的某網頁里含有病毒或木馬時,Google會給出提示。
10、使用Firefox
Firefox不是萬能的,但總比IE好,相比起IE,使用Firefox能有效地降低中毒幾率。
11、使用復雜的密碼
這是老生常談的話題了,但還有很多人使用簡單的數字密碼,例如生日、身份證號等等,這是極容易被猜測的。「放心,我的生日只有我的朋友知道」,誰說你的朋友一定不會窺看你的隱私?
12、不要告訴任何人你的密碼
在聊天工具里告訴別人你的密碼你將面臨4種風險:
A、你的電腦可能被掛馬,密碼被竊取了。
B、聊天工具提供商也有可能竊取你的密碼。
C、聊天對方有可能利用你對他的信任去做不誠實的行為。
D、聊天對方的電腦中毒了,你的密碼被竊取。
13、不要隨便接收文件
尤其是在QQ里,別人發來文件,不要二話不說就接收,這是很危險的。一定要問清楚別人發的是什麼東西,是不是他主動發的。接收後也不要馬上運行,先用殺毒軟體掃描一遍。
B. 安裝常用的網路安全協議有哪些
常用的網路安全協議包括:SSL、TLS、IPSec、Telnet、SSH、SET 等
網路安全協議是營造網路安全環境的基礎,是構建安全網路的關鍵技術。設計並保證網路安全協議的安全性和正確性能夠從基礎上保證網路安全,避免因網路安全等級不夠而導致網路數據信息丟失或文件損壞等信息泄露問題。在計算機網路應用中,人們對計算機通信的安全協議進行了大量的研究,以提高網路信息傳輸的安全性。
網路安全的內容包括:計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
C. 網路安全協議包括什麼
SSL、TLS、IPSec、Telnet、SSH、SET 等
D. 電子商務中的安全協議是什麼意思
安全協議是以密碼學為基礎的消息交換協議,其目的是在網路環境中提供各種安全服務。密碼學是網路安全的基礎,但網路安全不能單純依靠安全的密碼演算法。安全協議是網路安全的一個重要組成部分,我們需要通過安全協議進行實體之間的認證、在實體之間安全地分配密鑰或其它各種秘密、確認發送和接收的消息的非否認性等。
安全協議是建立在密碼體制基礎上的一種交互通信協議,它運用密碼演算法和協議邏輯來實現認證和密鑰分配等目標。
安全協議可用於保障計算機網路信息系統中秘密信息的安全傳遞與處理,確保網路用戶能夠安全、方便、透明地使用系統中的密碼資源。安全協議在金融系統、商務系統、政務系統、軍事系統和社會生活中的應用日益普遍,而安全協議的安全性分析驗證仍是一個懸而未決的問題。在實際社會中,有許多不安全的協議曾經被人們作為正確的協議長期使用,如果用於軍事領域的密碼裝備中,則會直接危害到軍事機密的安全性,會造成無可估量的損失。這就需要對安全協議進行充分的分析、驗證,判斷其是否達到預期的安全目標。
網路安全是實現電子商務的基礎,而一個通用性強,安全可靠的網路協議則是實現電子商務安全交易的關鍵技術之一,它也會對電子商務的整體性能產生很大的影響。由美國Netscape公司開發和倡導的SSL協議(Secure Sockets Layer,安全套接層),它是目前安全電子商務交易中使用最多的協議之一,內容主要包括協議簡介、記錄協議、握手協議、協議安全性分析以及應用等。本文在簡單介紹SSL協議特點和流程的基礎上,詳細介紹了SSL協議的應用和配置過程。
1 、SSL協議簡介
SSL作為目前保護Web安全和基於HTTP的電子商務交易安全的事實上的,被許多世界知名廠商的Intranet和Internet網路產品所支持,其中包括Netscape、Microsoft、IBM 、Open Market等公司提供的支持SSL的客戶機和伺服器產品,如IE和Netscape瀏覽器,IIS、Domino Go WebServer、Netscape Enterprise Server和Appache等Web Server等。
SSL採用對稱密碼技術和公開密碼技術相結合,提供了如下三種基本的安全服務:秘密性。SSL客戶機和伺服器之間通過密碼演算法和密鑰的協商,建立起一個安全通道。以後在安全通道中傳輸的所有信息都經過了加密處理,網路中的非法竊聽者所獲取的信息都將是無意義的密文信息。
完整性。SSL利用密碼演算法和hash函數,通過對傳輸信息特徵值的提取來保證信息的完整性,確保要傳輸的信息全部到達目的地,可以避免伺服器和客戶機之間的信息內容受到破壞。
認證性。利用證書技術和可信的第三方CA,可以讓客戶機和伺服器相互識別的對方的身份。為了驗證證書持有者是其合法用戶(而不是冒名用戶),SSL要求證書持有者在握手時相互交換數字證書,通過驗證來保證對方身份的合法性。
SSL協議的實現屬於SOCKET層,處於應用層和傳輸層之間,由SSL記錄協議(SSL RECORD PROTOCOL)和SSL握手協議(SSL HAND-SHAKE PROTOCOL)組成的,其結構如圖1所示:
SSL可分為兩層,一是握手層,二是記錄層。SSL握手協議描述建立安全連接的過程,在客戶和伺服器傳送應用層數據之前,完成諸如加密演算法和會話密鑰的確定,通信雙方的身份驗證等功能;SSL記錄協議則定義了數據傳送的格式,上層數據包括SSL握手協議建立安全連接時所需傳送的數據都通過SSL記錄協議再往下層傳送。這樣,應用層通過SSL協議把數據傳給傳輸層時,已是被加密後的數據,此時TCP/IP協議只需負責將其可靠地傳送到目的地,彌補了 TCP/IP協議安全性較差的弱點。
Netscape公司已經向公眾推出了SSL的參考實現(稱為SSLref)。另一免費的SSL實現叫做SSLeay。SSLref和SSLeay均可給任何TCP/IP應用提供SSL功能,並且提供部分或全部源代碼。Internet號碼分配當局(IANA)已經為具備SSL功能的應用分配了固定埠號,例如,帶SSL的HTTP(https)被分配以埠號443,帶SSL的SMTP(ssmtp)被分配以埠號465,帶SSL的NNTP (snntp)被分配以埠號563。
微軟推出了SSL版本2的改進版本,叫做PCT(私人通信技術)。SSL和PCT非常類似。它們的主要差別是它們在版本號欄位的最顯著位(The Most Significant Bit)上的取值有所不同:SSL該位取0,PCT該位取1。這樣區分之後,就可以對這兩個協議都給予支持。
1996年4月,IETF授權一個傳輸層安全(TLS)工作組著手制訂一個傳輸層安全協議(TLSP),以便作為標准提案向IESG正式提交。TLSP將會在許多地方酷似SSL。
2 、SSL安全性
目前,幾乎所有操作平台上的WEB瀏覽器(IE、Netscatp)以及流行的Web伺服器(IIS、Netscape Enterprise Server等)都支持SSL協議。因此使得使用該協議便宜且開發成本小。但應用SSL協議存在著不容忽視的缺點:
1. 系統不符合國務院最新頒布的《商用密碼管理條例》中對商用密碼產品不得使用國外密碼演算法的規定,要通過國家密碼管理委員會的審批會遇到相當困難。
2. 系統安全性差。SSL協議的數據安全性其實就是建立在RSA等演算法的安全性上,因此從本質上來講,攻破RSA等演算法就等同於攻破此協議。由於美國政府的出口限制,使得進入我國的實現了SSL的產品(Web瀏覽器和伺服器)均只能提供512比特RSA公鑰、40比特對稱密鑰的加密。目前已有攻破此協議的例子:1995年8月,一個法國學生用上百台工作站和二台小型機攻破了Netscape對外出口版本;另外美國加州兩個大學生找到了一個「陷門」,只用了一台工作站幾分鍾就攻破了Netscape對外出口版本。
但是,一個安全協議除了基於其所採用的加密演算法安全性以外,更為關鍵的是其邏輯嚴密性、完整性、正確性,這也是研究協議安全性的一個重要方面,如果一個安全協議在邏輯上有問題,那麼它的安全性其實是比它所採用的加密演算法的安全性低,很容易被攻破。從目前來看,SSL比較好地解決了這一問題。不過SSL協議的邏輯體現在SSL握手協議上,SSL握手協議本身是一個很復雜的過程,情況也比較多,因此我們並不能保證SSL握手協議在所有的情況下邏輯上都是正確的,所以研究SSL協議的邏輯正確性是一個很有價值的問題。
另外,SSL協議在「重傳攻擊」上,有它獨到的解決辦法。SSL協議為每一次安全連接產生了一個128位長的隨機數——「連接序號」。理論上,攻擊者提前無法預測此連接序號,因此不能對伺服器的請求做出正確的應答。但是計算機產生的隨機數是偽隨機數,它的實際周期要遠比2128小,更為危險的是有規律性,所以說SSL協議並沒有從根本上解決「信息重傳」這種攻擊方法,有效的解決方法是採用「時間戳」。但是這需要解決網路上所有節點的時間同步問題。
總的來講,SSL協議的安全性能是好的,而且隨著SSL協議的不斷改進,更多的安全性能、好的加密演算法被採用,邏輯上的缺陷被彌補,SSL協議的安全性能會不斷加強。
3、 windows 2000中SSL的配置與應用SSL的典型應用主要有兩個方面,一是客戶端,如瀏覽器等;另外一個就是伺服器端,如Web伺服器和應用伺服器等。目前,一些主流瀏覽器(如IE和 Netscape等)和IIS、Domino Go WebServer、Netscape Enterprise Server、Appache等Web伺服器都提供了對SSL的支持。要實現瀏覽器(或其他客戶端應用)和Web伺服器(或其他伺服器)之間的安全SSL 信息傳輸,必須在Web伺服器端安裝支持SSL的Web伺服器證書,在瀏覽器端安裝支持SSL的客戶端證書(可選),然後把URL中的「http://」 更換。
E. 網路安全協議在信息安全中的意義、作用
網路協議即網路中(包括互聯網)傳遞、管理信息的一些規范。如同人與人之間相互交流是需要遵循一定的規矩一樣,計算機之間的相互通信需要共同遵守一定的規則,這些規則就稱為網路協議。
一台計算機只有在遵守網路協議的前提下,才能在網路上與其他計算機進行正常的通信。網路協議通常被分為幾個層次,每層完成自己單獨的功能。通信雙方只有在共同的層次間才能相互聯系。常見的協議有:TCP/IP協議、IPX/SPX協議、NetBEUI協議等。在區域網中用得的比較多的是IPX/SPX.。用戶如果訪問Internet,則必須在網路協議中添加TCP/IP協議。
安全協議,有時也稱作密碼協議,是以密碼學為基礎的消息交換協議,其目的是在網路環境中提供各種安全服務。密碼學是網路安全的基礎,但網路安全不能單純依靠安全的密碼演算法。安全協議是網路安全的一個重要組成部分,我們需要通過安全協議進行實體之間的認證、在實體之間安全地分配密鑰或其它各種秘密、確認發送和接收的消息的非否認性等。
安全協議是建立在密碼體制基礎上的一種交互通信協議,它運用密碼演算法和協議邏輯來實現認證和密鑰分配等目標。
F. 網路安全協議的介紹
網路安全協議是營造網路安全環境的基礎,是構建安全網路的關鍵技術。設計並保證網路安全協議的安全性和正確性能夠從基礎上保證網路安全,避免因網路安全等級不夠而導致網路數據信息丟失或文件損壞等信息泄露問題。在計算機網路應用中,人們對計算機通信的安全協議進行了大量的研究,以提高網路信息傳輸的安全性。
G. "為什麼說網路安全協議在協議棧中的層次越低,通用性越好
通常,在網路安全協議棧中所處的層次越高,越能提供更好的安全服務,嚴格的安全許可權、策略和機制等限制其更多的通用性(如同出入國家重要機構,提供的安全級別高,同時對一般人員廣泛應用肯定有限制);網路安全協議棧中所處的層次越低,安全服務的通用性越高、靈活性越強,通用性越好且應用范圍更廣泛,在實際應用中就能擁有更大的適用范圍和領域。
參考https://wenku..com/view/a0dcc3284b73f242336c5fa7.html
H. 網路安全傳輸協議都有那些具體意義是什麼
熟悉網路傳輸協議的朋友一定不會對「安全傳輸協議」陌生,安全傳輸協議不僅存在與不用之間的數據傳輸,在用戶向伺服器發送資源請求時同樣在保護數據傳輸的安全,也保證了不同用戶之間數據傳輸的安全性,因此安全傳輸協議在每一個正在學習網路通信或者網路工程師的人眼中都是一個重要的內容。
最早出現的安全傳輸協議是由美國Netspace(網景公司)研究推出的SSL,全稱是Secure Sockets Layer,我們從網上獲取資源最常用的IE瀏覽器採用的就是這種安全協議,現在它成為了Internet網上安全通訊與交易的標准。SSL協議使用通信雙方的客戶證書以及CA根證書,允許客戶/伺服器應用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。
SSL安全協議主要提供三方面的服務:認證用戶和伺服器, 使得它們能夠確信數據將被發送到正確的客戶機和伺服器上;加密數據以隱藏被傳送的數據;維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL是一個介於HTTP協議與TCP之間的一個可選層,不過現在幾乎我們所有的通信都要經過這個協議的加密。SSL協議分為兩部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用來協商密鑰,協議的大部分內容就是通信雙方如何利用它來安全的協商出一份密鑰。 Record Protocol則定義了傳輸的格式。
熟悉網路傳輸協議的朋友一定不會對「安全傳輸協議」陌生,安全傳輸協議不僅存在與不用之間的數據傳輸,在用戶向伺服器發送資源請求時同樣在保護數據傳輸的安全,也保證了不同用戶之間數據傳輸的安全性,因此安全傳輸協議在每一個正在學習網路通信或者網路工程師的人眼中都是一個重要的內容。
最早出現的安全傳輸協議是由美國Netspace(網景公司)研究推出的SSL,全稱是Secure Sockets Layer,我們從網上獲取資源最常用的IE瀏覽器採用的就是這種安全協議,現在它成為了Internet網上安全通訊與交易的標准。SSL協議使用通信雙方的客戶證書以及CA根證書,允許客戶/伺服器應用以一種不能被偷聽的方式通訊,在通訊雙方間建立起了一條安全的、可信任的通訊通道。
SSL安全協議主要提供三方面的服務:認證用戶和伺服器, 使得它們能夠確信數據將被發送到正確的客戶機和伺服器上;加密數據以隱藏被傳送的數據;維護數據的完整性,確保數據在傳輸過程中不被改變。
SSL是一個介於HTTP協議與TCP之間的一個可選層,不過現在幾乎我們所有的通信都要經過這個協議的加密。SSL協議分為兩部分:Handshake Protocol和Record Protocol,。其中Handshake Protocol用來協商密鑰,協議的大部分內容就是通信雙方如何利用它來安全的協商出一份密鑰。 Record Protocol則定義了傳輸的格式。
I. 急求 你對網路安全協議的理解
隨著Internet的發展,電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出,如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題。
電子商務的一個重要技術特徵是利用IT技術來傳輸和處理商業信息。因此,電子商務安全從整體上可分為兩大部分:計算機網路安全和商務交易安全。
計算機網路安全的內容包括:
計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。
計算機網路安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網路安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求。
計算機網路安全
1.計算機網路的潛在安全隱患
未進行操作系統相關安全配置
不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」 是進行網路攻擊的首選目標。
未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
拒絕服務(DoS,Denial of Service)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。今年2月美國「雅虎」、「亞馬遜」受攻擊事件就證明了這一點。
安全產品使用不當
雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
2.計算機網路安全體系
一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,並增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網路安全防範措施時:
首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;
其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;
從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;
利用RAID5等數據存儲技術加強數據備份和恢復措施;
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;
對在公共網路上傳輸的敏感信息要進行強度的數據加密;
安裝防病毒軟體,加強內部網的整體防病毒措施;
建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
網路安全技術是伴隨著網路的誕生而出現的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視,計算機網路安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網路的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網路協議保持一致。它以密碼核心系統為基礎,支持不同類型的安全硬體產品,屏蔽安全硬體以變化對上層應用的影響,實現多種網路安全協議,並在此之上提供各種安全的計算機網路應用。
互聯網已經日漸融入到人類社會的各個方面中,網路防護與網路攻擊之間的斗爭也將更加激烈。這就對網路安全技術提出了更高的要求。未來的網路安全技術將會涉及到計算機網路的各個層次中,但圍繞電子商務安全的防護技術將在未來幾年中成為重點,如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。
商務交易安全
當許多傳統的商務方式應用在Internet上時,便會帶來許多源於安全方面的問題,如傳統的貸款和借款卡支付/保證方案及數據保護方法、電子數據交換系統、對日常信息安全的管理等。電子商務的大規模使用雖然只有幾年時間,但不少公司都已經推出了相應的軟、硬體產品。由於電子商務的形式多種多樣,涉及的安全問題各不相同,但在Internet上的電子商務交易過程中,最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患:
竊取信息
由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
惡意破壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。
因此,電子商務的安全交易主要保證以下四個方面:
信息保密性
交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉,因此在信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
交易的文件是不可被修改的,否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改,以保障商務交易的嚴肅和公正。
電子商務交易中的安全措施
在早期的電子交易中,曾採用過一些簡易的安全措施,包括:
部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以防泄密。
另行確認(Order Confirmation):即當在網上傳輸交易信息後,再用電子郵件對交易做確認,才認為有效。
此外還有其它一些方法,這些方法均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標准和技術。
主要的協議標准有:
安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,以完成需要的安全交易操作。
安全交易技術協議(STT,Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在Internet Explorer中採用這一技術。
安全電子交易協議(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標准SET發布公告,並於1997年5月底發布了SET Specification Version 1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET 2.0預計今年發布,它增加了一些附加的交易要求。這個版本是向後兼容的,因此符合SET 1.0的軟體並不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,並使全球市場接受。
所有這些安全交易標准中,SET標准以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標准,有望進一步推動Internet電子商務市場。
主要的安全技術有:
虛擬專用網(VPN)
這是用於Internet交易的一種專用網路,它可以在兩個系統之間建立安全的信道(或隧道),用於電子數據交換(EDI)。它與信用卡交易和客戶發送訂單交易不同,因為在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性,因而能夠保證數據的保密性和可用性。
數字認證
數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性(如一個發票未被修改過),甚至數據媒體的有效性(如錄音、照片等)。隨著商家在電子商務中越來越多地使用加密技術,人們都希望有一個可信的第三方,以便對有關數據進行數字認證。
目前,數字認證一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性,Java JDK1.1也能夠支持幾種單向Hash演算法。另外,S/MIME協議已經有了很大的進展,可以被集成到產品中,以便用戶能夠對通過E�mail發送的信息進行簽名和認證。同時,商家也可以使用PGP(Pretty Good Privacy)技術,它允許利用可信的第三方對密鑰進行控制。可見,數字認證技術將具有廣闊的應用前景,它將直接影響電子商務的發展。
加密技術
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現在,一些專用密鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而,這些技術的廣泛使用卻不是一件容易的事情。
密碼學界有一句名言:加密技術本身都很優秀,但是它們實現起來卻往往很不理想。現在雖然有多種加密標准,但人們真正需要的是針對企業環境開發的標准加密系統。加密技術的多樣化為人們提供了更多的選擇餘地,但也同時帶來了一個兼容性問題,不同的商家可能會採用不同的標准。另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制。目前,美國的商家一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口。雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多。據報載,最近美國加州已經有人成功地破譯了40位的SSL,這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128 位 SSL的演算法,彌補國內的空缺,並採用數字簽名等技術確保電子商務的安全。
電子商務認證中心(CA,Certificate Authority)
實行網上安全支付是順利開展電子商務的前提,建立安全的認證中心(CA)則是電子商務的中心環節。建立CA的目的是加強數字證書和密鑰的管理工作,增強網上交易各方的相互信任,提高網上購物和網上交易的安全,控制交易的風險,從而推動電子商務的發展。
為了推動電子商務的發展,首先是要確定網上參與交易的各方(例如持卡消費戶、商戶、收單銀行的支付網關等)的身份,相應的數字證書(DC:Digital Certificate)就是代表他們身份的,數字證書是由權威的、公正的認證機構管理的。各級認證機構按照根認證中心(Root CA)、品牌認證中心(Brand CA)以及持卡人、商戶或收單銀行(Acquirer)的支付網關認證中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按層次結構建立的。
電子商務安全認證中心(CA)的基本功能是:
生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
對數字證書和數字簽名進行驗證。
對數字證書進行管理,重點是證書的撤消管理,同時追求實施自動管理(非手工管理)。
建立應用介面,特別是支付介面。CA是否具有支付介面是能否支持電子商務的關鍵。
第一代CA是由SETCO公司(由Visa & MasterCard組建)建立的,以SET協議為基礎,服務於B�C電子商務模式的層次性結構。
由於B�B電子商務模式的發展,要求CA的支付介面能夠兼容支持B�B與B�C的模式,即同時支持網上購物、網上銀行、網上交易與供應鏈管理等職能,要求安全認證協議透明、簡單、成熟(即標准化),這樣就產生了以公鑰基礎設施(PKI)為技術基礎的平面與層次結構混合型的第二代CA體系。
近年來,PKI技術無論在理論上還是應用上以及開發各種配套產品上,都已經走向成熟,以PKI技術為基礎的一系列相應的安全標准已經由Internet特別工作組(IETF)、國際標准化組織(ISO)和國際電信聯盟(ITU)等國際權威機構批准頒發實施。
建立在PKI技術基礎上的第二代安全認證體系與支付應用介面所使用的主要標准有:
由Internet特別工作組頒發的標准:LDAP(輕型目錄訪問協議)、S/MIME(安全電子郵件協議)、TLC(傳輸層安全套接層傳輸協議)、CAT(通用認證技術,Common Authentication Technology)和GSS-API(通用安全服務介面)等。
由國際標准化組織(ISO)或國際電信聯盟(ITU)批准頒發的標准為9594-8/X.509(數字證書格式標准)。
小結
在計算機互聯網路上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網路硬體平台和系統軟體平台安全的基礎上,應該還具備以下特點:
強大的加密保證
使用者和數據的識別和鑒別
存儲和加密數據的保密
聯網交易和支付的可靠
方便的密鑰管理
數據的完整、防止抵賴
電子商務對計算機網路安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網路更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。