-
1 # 醉了還是睡
-
2 # melon群眾
網路安全性問題關係到未來網路應用的深入發展,它涉及安全策略、移動程式碼、指令保護、密碼學、作業系統、軟體工程和網路安全管理等內容。一般專用的內部網與公用的網際網路的隔離主要使用“防火牆”技 術。
“防火牆”是一種形象的說法,其實它是一種計算機硬體和軟體的組合,使網際網路與內部網之間建立起 一個安全閘道器,從而保護內部網免受非法使用者的侵入。
能夠完成“防火牆”工作的可以是簡單的隱蔽路由器,這種“防火牆”如果是一臺普通的路由器則僅能起到一種隔離作用。隱蔽路由器也可以在網際網路協議埠級上阻止網間或主機間通訊,起到一定的過濾作用。 由於隱蔽路由器僅僅是對路由器的引數做些修改,因而也有人不把它歸入“防火牆”一級的措施。
真正意義的“防火牆”有兩類,一類被稱為標準“防火牆”;一類叫雙家閘道器。標準”防火牆”系統包括一個Unix工作站,該工作站的兩端各有一個路由器進行緩衝。其中一個路由器的介面是外部世界,即公用網;而另一個則聯接內部網。標準“防火牆”使用專門的軟體,並要求較高的管理水平,而且在資訊傳輸上有一定的延遲。而雙家閘道器則是對標準“防火牆”的擴充。雙家閘道器又稱堡壘主機或應用層閘道器,它是一個單個的系統,但卻能同時完成標準“防火牆”的所有功能。其優點是能執行更復雜的應用,同時防止在網際網路和內部系統之間建立的任何直接的連線,可以確保資料包不能直接從外部網路到達內部網路,反之亦然。
隨著“防火牆”技術的進步,在雙家閘道器的基礎上又演化出兩種“防火牆”配置,一種是隱蔽主機閘道器,另一種是隱蔽智慧閘道器(隱蔽子網)。隱蔽主機閘道器當前也許是一種常見的“防火牆”配置。顧名思義,這種配置一方面將路由器進行隱藏,另一方面在網際網路和內部網之間安裝堡壘主機。堡壘主機裝在內部網上,透過路由器的配置,使該堡壘主機成為內部網與網際網路進行通訊的唯一系統。目前技術最為複雜而且安全級別最高的”防火牆”當屬隱蔽智慧閘道器。所謂隱蔽智慧閘道器是將閘道器隱藏在公共系統之後,它是網際網路使用者唯一能見到的系統。所有網際網路功能則是經過這個隱藏在公共系統之後的保護軟體來進行的。一般來說,這種“防火牆”是最不容易被破壞的。
與“防火牆”配合使用的安全技術還有資料加密技術。資料加密技術是為提高資訊系統及資料的安全性和保密性,防止秘密資料被外部破壞所採用的主要技術手段之一。隨著資訊科技的發展,網路安全與資訊保密日益引起人們的關注。各國除了從法律上、管理上加強資料的安全保護外,從技術上分別在軟體和硬體兩方面採取措施,推動著資料加密技術和物理防範技術的不斷髮展。按作用不同,資料加密技術主要分為資料傳輸、資料儲存、資料完整性的鑑別以及金鑰管理技術4種。
與資料加密技術緊密相關的另一項技術則是智慧卡技術。所謂智慧卡就是金鑰的一種媒體,一般就像信用卡一樣,由授權使用者所持有並由該使用者賦予它一個口令或密碼字。該密碼字與內部網路伺服器上註冊的密碼一致。當口令與身份特徵共同使用時,智慧卡的保密效能還是相當有效的。
這些網路安全和資料保護的防範措施都有一定的限度,並不是越安全就越可靠。因而,看一個內部網是否安全時不僅要考慮其手段,而更重要的是對該網路所採取的各種措施,其中不僅是物理防範,而且還有人員素質等其他“軟”因素,進行綜合評估,從而得出是否安全的結論。
網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、資訊保安、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通訊過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平臺的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)儘可能記錄網路上的一切活動。
(5)注意對網路裝置的物理保護。
(6)檢驗網路平臺系統的脆弱性。
(7)建立可靠的識別和鑑別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算資訊包的加密,都透過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最複雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、資料完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平臺、作業系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付閘道器軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如透過諸多認證才允許連通,對所有接入資料必須進行審計,對系統使用者進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在網際網路絡上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是透過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在資訊交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即資訊的傳送方和接收方用同一個金鑰去加密和解密資料。它的最大優勢是加/解密速度快,適合於對大資料量進行加密,但金鑰管理困難。如果進行通訊的雙方能夠確保專用金鑰在金鑰交換階段未曾洩露,那麼機密性和報文完整性就可以透過這種加密方法加密機密資訊、隨報文一起傳送報文摘要或報文雜湊值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對金鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由使用者自己秘密儲存(即私鑰)。資訊交換的過程是:甲方生成一對金鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該金鑰對資訊進行加密後再發送給甲方,甲方再用自己儲存的私鑰對加密資訊進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其檔案完整性的技術,即確認雙方的身份資訊在傳送或儲存過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子檔案認證、核准和生效的作用。其實現方式是把雜湊函式和公開金鑰演算法結合起來,傳送方從報文文字中生成一個雜湊值,並用自己的私鑰對這個雜湊值進行加密,形成傳送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起傳送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出雜湊值,接著再用傳送方的公開金鑰來對報文附加的數字簽名進行解密;如果這兩個雜湊值相同,那麼接收方就能確認該數字簽名是傳送方的。數字簽名機制提供了一種鑑別方法,以解決偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者資訊以及公鑰的檔案數字證書的最主要構成包括一個使用者公鑰,加上金鑰所有者的使用者身份識別符號,以及被信任的第三方簽名第三方一般是使用者信任的證書權威機構(CA),如政府部門和金融機構。使用者以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後使用者就可以公開這個證書。任何需要使用者公鑰的人都可以得到此證書,並透過相關的信任簽名來驗證公鑰的有效性。數字證書透過標誌交易各方身份資訊的一系列資料,提供了一種驗證各自身份的方式,使用者可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的執行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層資料之前建立安全機制。當客戶與伺服器第一次通訊時,雙方透過握手協議在版本號、金鑰交換演算法、資料加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的金鑰交換演算法產生一個只有雙方知道的秘密資訊,客戶和伺服器各自根據此秘密資訊產生資料加密演算法和Hash演算法引數。SSL記錄協議根據SSL握手協議協商的引數,對應用層送來的資料進行加密、壓縮、計算訊息鑑別碼MAC,然後經網路傳輸層傳送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯資訊。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關係,給定交易資訊傳送流程標準。SET主要由三個檔案組成,分別是SET業務描述、SET程式設計師指南和SET協議描述。SET協議保證了電子商務系統的機密性、資料的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶資訊對商家來說是保密的。但是SET協議十分複雜,交易資料需進行多次驗證,用到多個金鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有髮卡行、收單行、認證中心、支付閘道器等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施:例如,保護網路關鍵裝置(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控制:對使用者訪問網路資源的許可權進行嚴格的認證和控制。例如,進行使用者身份認證,對口令加密、更新和鑑別,設定使用者訪問目錄和檔案的許可權,控制網路裝置配置的許可權等等。
資料加密:加密是保護資料安全的重要手段。加密的作用是保障資訊被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單臺機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施:其他措施包括資訊過濾、容錯、資料映象、資料備份和審計等。圍繞網路安全問題提出了許多解決辦法,例如資料加密技術和防火牆技術等。資料加密是對網路中傳輸的資料進行加密,到達目的地後再解密還原為原始資料,目的是防止非法使用者截獲後盜用資訊。防火牆技術是透過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全,進行網路安全建設,第一步首先要全面瞭解系統,評估系統安全性,認識到自己的風險所在,從而迅速、準確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器執行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的溫度、溼度條件等。這些因素會影響到伺服器的壽命和所有資料的安全。我不想在這裡討論這些因素,因為在選擇IDC時你自己會作出決策。
在這裡著重強調的是,有些機房提供專門的機櫃存放伺服器,而有些機房只提供機架。所謂機櫃,就是類似於家裡的櫥櫃那樣的鐵櫃子,前後有門,裡面有放伺服器的拖架和電源、風扇等,伺服器放進去後即把門鎖上,只有機房的管理人員才有鑰匙開啟。而機架就是一個個鐵架子,開放式的,伺服器上架時只要把它插到拖架裡去即可。這兩種環境對伺服器的物理安全來說有著很大差別,顯而易見,放在機櫃裡的伺服器要安全得多。
如果你的伺服器放在開放式機架上,那就意味著,任何人都可以接觸到這些伺服器。別人如果能輕鬆接觸到你的硬體,還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房,那麼你可以這樣做:
(1)將電源用膠帶繫結在插槽上,這樣避免別人無意中碰動你的電源;
(2)安裝完系統後,重啟伺服器,在重啟的過程中把鍵盤和滑鼠拔掉,這樣在系統啟動後,普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
(3)跟機房值班人員搞好關係,不要得罪機房裡其他公司的維護人員。這樣做後,你的伺服器至少會安全一些。
回覆列表
面對網路就是一把雙刃劍,給我們生活帶來日新月異的變化,同時也伴隨著網路安全隱私的洩露。人工智慧時代,以大資料為主收集個人資訊,引發一系列問題。在收集資訊同時加強網路安全建設,培養高素質網路安全人才,保護社會和人民的資訊