网络安全的预防措施.doc

预防措施 网安措施 计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方 面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安 全等等。 （一）保护网络安全。 网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、 认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下： （1）全面规划网络平台的安全策略。 （2）制定网络安全的管理措施。 （3）使用防火墙。 （4）尽可能记录网络上的一切活动。 （5）注意对网络设备的物理保护。 （6）检验网络平台系统的脆弱性。 （7）建立可靠的识别和鉴别机制。 （二）保护应用安全。 保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的 安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络 安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息 包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。 由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是 在网络层采取各种安全措施。 虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的 安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否 认性、Web安全性、EDI和网络支付等应用的安全性。 （三）保护系统安全。 保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网 络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全 包含下述一些措施： （1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未 知的安全漏洞。 （2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对 所有接入数据必须进行审计，对系统用户进行严格安全管理。 （3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。 商交措施 商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机 网络安全的基础上，如何保障电子商务过程的顺利进行。 各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电 子商务安全协议等。 （一）加密技术。 加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用 。加密技术分为两类，即对称加密和非对称加密。 （1）对称加密。 对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它 的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行 通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可 以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。 （2）非对称加密。 非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发 布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成 一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对 信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。 （二）认证技术。 认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的 身份信息在传送或存储过程中未被篡改过。 （1）数字签名。 数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的 作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一 个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将 这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接 收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名 进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字 签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充、篡改等问题。 （2）数字证书。 数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证 书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的 第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用 户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这 个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥 的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身 份的方式，用户可以用它来识别对方的身份。 （三）电子商务的安全协议