Ⅰ 網路安全的預防措施
網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)盡可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時,雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,給定交易信息傳送流程標准。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素,因為在選擇IDC時你自己會作出決策。
在這里著重強調的是,有些機房提供專門的機櫃存放伺服器,而有些機房只提供機架。所謂機櫃,就是類似於家裡的櫥櫃那樣的鐵櫃子,前後有門,裡面有放伺服器的拖架和電源、風扇等,伺服器放進去後即把門鎖上,只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子,開放式的,伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別,顯而易見,放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上,那就意味著,任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體,還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房,那麼你可以這樣做:
(1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動你的電源;
(2)安裝完系統後,重啟伺服器,在重啟的過程中把鍵盤和滑鼠拔掉,這樣在系統啟動後,普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
(3)跟機房值班人員搞好關系,不要得罪機房裡其他公司的維護人員。這樣做後,你的伺服器至少會安全一些。
Ⅱ 甯歌佺殑緗戠粶瀹夊叏闃茶寖鎶鏈鏈夊摢浜
甯歌佺殑緗戠粶瀹夊叏闃茶寖鎶鏈涓昏佸寘鎷浠ヤ笅鍑犵嶏細
1. 闃茬伀澧欐妧鏈錛氶槻鐏澧欐槸涓縐嶄綅浜庣綉緇滀箣闂寸殑瀹夊叏緋葷粺錛岀敤浜庨檺鍒跺栭儴緗戠粶瀵瑰唴閮ㄧ綉緇滅殑璁塊棶銆傚畠閫氳繃媯嫻嬨侀樆姝㈡垨鍏佽哥綉緇滄祦閲忓熀浜庡畨鍏ㄧ瓥鐣ユ潵宸ヤ綔銆傞槻鐏澧欏彲浠ヤ繚鎶ゆ偍鐨勭綉緇滃厤鍙楁湭緇忔巿鏉冪殑璁塊棶鍜屾伓鎰忚蔣浠剁殑鍏ヤ鏡銆
2. 鍏ヤ鏡媯嫻嬪拰闃插盡緋葷粺錛圛DS/IPS錛夛細IDS鍜孖PS緋葷粺鐢ㄤ簬媯嫻嬪拰闃繪㈠圭綉緇滅殑鎮舵剰琛屼負銆傚畠浠浣跨敤鍚勭嶆妧鏈錛堝傛暟鎹鍖呰繃婊ゃ佽屼負鍒嗘瀽銆佹ā寮忓尮閰嶇瓑錛夋潵璇嗗埆鍜岄槻姝㈡綔鍦ㄧ殑濞佽儊銆
3. 鍔犲瘑鎶鏈錛氬姞瀵嗘槸涓縐嶉槻姝淇℃伅琚鏈緇忔巿鏉冭呰塊棶鎴栫悊瑙g殑鎶鏈銆傚畠鍙浠ュ皢鏁版嵁杞鍖栦負鏃犳硶闃呰葷殑鏍煎紡錛屽彧鏈夋嫢鏈夎В瀵嗗瘑閽ョ殑浜烘墠鑳藉皢鍏舵仮澶嶄負鍙璇誨艦寮忋傚姞瀵嗘妧鏈鍖呮嫭浼犺緭鍔犲瘑鍜屽瓨鍌ㄥ姞瀵嗭紝鍙浠ヤ繚鎶ょ綉緇滄祦閲忓拰瀛樺偍鐨勬暟鎹銆
4. 瀹夊叏鎵鎻忓拰婕忔礊璇勪及錛氬畨鍏ㄦ壂鎻忓拰婕忔礊璇勪及鏄璇勪及緗戠粶緋葷粺瀹夊叏鎬х殑閲嶈佹妧鏈銆傝繖浜涙妧鏈鍙浠ュ彂鐜版綔鍦ㄧ殑瀹夊叏婕忔礊錛屽苟鎻愪緵鏀硅繘寤鴻錛屼互闃叉㈤粦瀹㈠埄鐢ㄨ繖浜涙紡媧炶繘琛屾敾鍑匯
5. 瀹夊叏瀹¤″拰鏃ュ織鍒嗘瀽錛氬畨鍏ㄥ¤℃槸瀹氭湡媯鏌ョ綉緇滄椿鍔ㄥ拰鎿嶄綔鐨勮繃紼嬶紝浠ュ彂鐜板彲鑳界殑榪濊勮屼負銆傝屾棩蹇楀垎鏋愬垯鏄閫氳繃鍒嗘瀽緋葷粺鏃ュ織鏂囦歡鏉ヨ瘑鍒寮傚父琛屼負鍜屾綔鍦ㄥ▉鑳併
6. 鉶氭嫙涓撶敤緗戠粶錛圴PN錛夛細VPN鏄涓縐嶅彲浠ュ湪鍏鍏辯綉緇滀笂鍒涘緩瀹夊叏鐨勮繛鎺ョ殑鎶鏈銆傚畠閫氳繃鍔犲瘑闅ч亾鍜屽畨鍏ㄩ獙璇佹潵鎻愪緵鏁版嵁浼犺緭鐨勯殣縐佸拰瀹夊叏鎬с
7. 韜浠藉拰璁塊棶綆$悊錛圛AM錛夛細IAM鎶鏈鐢ㄤ簬綆$悊鍜屾帶鍒剁綉緇滀腑鐨勪漢鍛樺拰璁懼囩殑璁塊棶鏉冮檺銆傚畠閫氳繃璁劇疆閫傚綋鐨勬潈闄愬拰瀹℃壒嫻佺▼錛岀『淇濆彧鏈夋巿鏉冪殑浜哄憳鍙浠ヨ塊棶鏁忔劅淇℃伅銆
8. 瀹夊叏鏇存柊鍜岃ˉ涓佺$悊錛氬強鏃跺畨瑁呯郴緇熷拰杞浠剁殑瀹夊叏鏇存柊鍜岃ˉ涓佹槸鎻愰珮緗戠粶瀹夊叏鎬х殑閲嶈佹帾鏂姐傞氳繃鍙婃椂搴旂敤榪欎簺鏇存柊鍜岃ˉ涓侊紝鍙浠ュ噺灝戞綔鍦ㄧ殑瀹夊叏婕忔礊鍜岃鏀誨嚮鐨勯庨櫓銆
浠ヤ笂榪欎簺鎶鏈騫朵笉鏄瀛ょ珛鐨勶紝鑰屾槸閫氬父緇撳悎浣跨敤錛屽艦鎴愪竴涓鍏ㄩ潰鐨勭綉緇滃畨鍏ㄩ槻鎶や綋緋匯傛ゅ栵紝闅忕潃緗戠粶瀹夊叏濞佽儊鐨勪笉鏂婕斿彉錛屾柊鐨勬妧鏈鍜屾柟娉曚篃鍦ㄤ笉鏂鍑虹幇錛屽洜姝ょ綉緇滃畨鍏ㄩ槻鑼冩妧鏈涔熷湪涓嶆柇鍙戝睍鍜屾洿鏂般
Ⅲ 網路安全防護的主要方法有哪些
(1)物理安全策略:物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
(2)訪問控制策略:訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它主要由入網訪問控制、網路的許可權控制、目錄級安全控制、屬性安全控制、網路伺服器安全控制、網路檢測和鎖定控制和網路埠和結點的安全控制組成。
(3)防火牆控制:防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻擋外部網路的侵入。當前主流的防火牆主要分為三類:包過濾防火牆、代理防火牆和雙穴主機防火牆。
(4)信息加密策略:網路加密常用的方法有鏈路加密、端點加密和結點加密三種。鏈路加密的目的是保護網路結點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;結點加密的目的是對源結點到目的結點之間的傳輸鏈路提供保護。信息加密過程是由多種多樣的加密演算法來具體實施的,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。主要分為常規加密演算法和公鑰加密演算法。
(5)網路安全管理策略:在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房的管理制度;制訂網路系統的維護制度和應急措施等。