(1)物理安全策略:物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
(2)訪問控制策略:訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它主要由入網訪問控制、網路的許可權控制、目錄級安全控制、屬性安全控制、網路伺服器安全控制、網路檢測和鎖定控制和網路埠和結點的安全控制組成。
(3)防火牆控制:防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻擋外部網路的侵入。當前主流的防火牆主要分為三類:包過濾防火牆、代理防火牆和雙穴主機防火牆。
(4)信息加密策略:網路加密常用的方法有鏈路加密、端點加密和結點加密三種。鏈路加密的目的是保護網路結點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;結點加密的目的是對源結點到目的結點之間的傳輸鏈路提供保護。信息加密過程是由多種多樣的加密演算法來具體實施的,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。主要分為常規加密演算法和公鑰加密演算法。
(5)網路安全管理策略:在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房的管理制度;制訂網路系統的維護制度和應急措施等。
⑵ 計算機安全知識
1.一個好,兩個妙
無論是菜鳥還是飛鳥,殺毒軟體和網路防火牆都是必需的。上網前或啟動機器後馬上運行這些軟體,就好像給你的機器「穿」上了一層厚厚的「保護衣」,就算不能完全杜絕網路病毒的襲擊,起碼也能把大部分的網路病毒「拒之門外」。目前殺毒軟體非常多,功能也十分接近,大家可以根據需要去購買正版的(都不算貴),也可以在網上下載免費的共享殺毒軟體(網上有不少哦),但千萬不要使用一些破解的殺毒軟體,以免因小失大。安裝軟體後,要堅持定期更新病毒庫和殺毒程序,以最大限度地發揮出軟體應有的功效,給計算機「鐵桶」般的保護。
2.下載文件仔細查
網路病毒之所以得以泛濫,很大程度上跟人們的惰性和僥幸心理有關。當你下載文件後,最好立即用殺毒軟體掃描一遍,不要怕麻煩,尤其是對於一些Flash、MP3、文本文件同樣不能掉以輕心,因為現在已經有病毒可以藏身在這些容易被大家忽視的文件中了。
3.拒絕不良誘惑
很多中了網頁病毒的朋友,都是因為訪問不良站點惹的禍,因此,不去瀏覽這類網頁會讓你省心不少。另外,當你在論壇、聊天室等地方看到有推薦瀏覽某個URL時,要千萬小心,以免不幸「遇害」,或者嘗試使用以下步驟加以防範:
1)打開殺毒軟體和網路防火牆;
2)把Internet選項的安全級別設為「高」;
3)盡量使用以IE為內核的瀏覽器(如MyIE2),然後在MyIE2中新建一個空白標簽,並關閉Script、javaApple、ActiveX功能後再輸入URL。
小提示:該方法不但能有效對付網頁病毒,而且對「蠕蟲病毒」也有一定作用。
4.免費午餐:在線查毒
雖然目前網路上的「免費午餐」越來越少,但仍有一些網站堅持向網民們提供免費的在線查毒服務,實在是值得表揚哦。對於沒有安裝查毒軟體、又擔心會「中招」的朋友,可以利用在線查毒服務為自己的「愛姬」來一個全身「掃描」:
小提示:1)各網站的在線查毒服務都有所不同,使用前要仔細閱讀網站上的相關說明後再進行操作,爭取把病毒趕盡殺絕;
2)由於查毒時需要調用瀏覽器的ActiveX控制項,因此查毒前要先在IE的「Internet選項」「安全」頁面中檢查該功能是否打開,並相應降低安全級別(一般「中等」即可)再查毒。
5.千呼萬喚終不應
如果你發現有「你中獎啦!」、「打開附件會有意外驚喜哦!」這些話,可千萬別信!看到類似廣告的郵件標題,最好馬上把它刪掉。對於形跡可疑的郵件(特別是HTML格式),不要隨便打開,如果是你熟悉的朋友發來的,可以先與對方核實後再作處理。同時,也有必要採取一定措施來預防郵件病毒:
1)盡量不要用Outlook作為你的郵件客戶端,改以Foxmail等代替,同時以文本方式書寫和閱讀郵件,這樣就不用擔心潛伏在HTML中的病毒了;
2)多使用遠程郵箱功能,利用遠程郵箱的預覽功能(查看郵件Header和部分正文),可以及時找出垃圾郵件和可疑郵件,從而把病毒郵件直接從伺服器上趕走;
3)不要在Web郵箱中直接閱讀可疑郵件,因為這種閱讀方法與瀏覽網頁的原理一樣,需要執行一些腳本或Applet才能顯示信息,有一定危險性。
6.修修補補,填充漏洞
當前各種各樣的安全漏洞給網路病毒開了方便之門(其中以IE和PHP腳本語言的漏洞最多),我們平時除了注意及時對系統軟體和網路軟體進行必要升級外,還要盡快為各種漏洞打上最新的補丁。其中一個檢測漏洞的簡易方法就是直接使用系統中自帶的「Windows Update」功能,讓微軟為你的電腦來一次「全身檢查」並打上安全補丁。當然也可以使用其他軟體對計算機進行安全檢測(例如東方衛士的「系統漏洞檢測精靈」就是一個不錯的軟體),以便及早發現漏洞。
7.給危險文件加把「鎖」
不管網路病毒如何「神通廣大」,它要對計算機進行破壞,總是要調用系統文件的執行程序(例如format.exe、.exe、deltree.exe等),根據這個特點,我們可以對這些危險文件採用改名、更改後綴、更換存放目錄、用軟體進行加密保護等多種方法進行防範,讓病毒無從下手。
8.有「備」無患,打造最後防線
正所謂「智者千慮,必有一失」,為保證計算機內重要數據的.安全,定時備份少不了。如果我們能做好備份工作,即使遭受網路病毒的全面破壞,也能把損失減至最小。當然,前提條件是必須保證備份前數據沒被感染病毒,否則只能是徒勞無功。另外,要盡量把備份文件刻錄到光碟上或存放到隱藏分區中,以免「全軍覆沒」。
見招拆招——殺毒軟體的常見問題
安裝殺毒軟體後與其他軟體發生沖突怎麼辦?
1)由於多數殺毒軟體和防火牆在默認設置中都是開機後自動運行的,因此當發生軟體沖突時先檢查是否開啟了殺毒軟體和防火牆,然後嘗試暫時關閉殺毒軟體和防火牆的監測功能,再看看問題是否已經解決;
2)到殺毒軟體的主頁網站看看是否出了相關補丁或升級版本,有則打上補丁或升級到最新版本;
3)如果以上措施還不能解決問題,可以通過E-mail聯系作者,尋求解決方法。
不能正常升級怎麼辦?
1)如果使用的是正版軟體,可以先試著完全卸載舊版本,再安裝新版本(為安全起見,建議卸載前先進行備份);
2)檢查是否安裝了多種殺毒軟體,卸載其他殺毒軟體後再安裝;
3)檢查輸入的序列號是否正確、鑰匙盤(A盤)有沒有損壞,有問題的請與經銷商聯系解決;
4)嘗試以下操作方法:清空Temp文件夾→關閉打開的殺毒軟體→換路徑重新安裝→把安裝光碟中的安裝目錄拷貝到硬碟上,然後運行目錄里的「Setup.exe」。
無法清除病毒怎麼辦?
1)先升級病毒庫再殺毒;
2)用一張干凈的系統引導盤啟動機器後,在DOS狀態下進行殺毒;
3)備份染毒文件並隔離,然後把病毒樣本寄給作者,得到新病毒庫後再殺毒。
1、實體安全:
主要是指為保證計算機設備和通信線路及設施(建築物等)的安全。與實體安全相關的技術有計算機系統的環境安全,計算機的故障診斷技術,抗電磁干擾技術,防電磁泄漏技術,實體訪問控制技術,媒體的存放與管理技術等以及計算機病毒的預防。
2、數據安全:
指為保證計算機系統中資料庫(或數據文件)免遭破壞,修改,泄露和竊取等威脅和攻擊而採用的技術方法,包括各種用戶識別技術,口令驗證技術,存取控制技術和數據加密技術,以及建立備份,異地存放,妥善保管等技術和方法。
3、軟體安全:
指為保證計算機系統中的軟體(如操作系統,資料庫系統或應用程序)免遭破壞,非法拷貝,非法使用而採用的技術和方法。包括各種口令的控制與鑒別,軟體加密技術,軟體防拷貝技術和防動態跟蹤技術等。對自己開發的軟體,應建立一套嚴格的開發及控制技術,保證軟體無隱患。滿足某種安全標准,此外,不要隨便拷貝未經檢測的軟體。
4、網路安全:
指為保證網路及其節點安全而採用的技術和方法。它主要包括報文鑒別技術;數字簽名技術;訪問控制技術;數據加密技術;密鑰管理技術;保證線路安全,傳輸而採用的安全傳輸介質;網路檢測,跟蹤及隔離技術;路由控制和流量分析控制技術等,以便能及時發現網路中的不正常狀態,並採取相應的措施。
5、運行安全:
包括運行與管理技術;系統的使用與維護技術;隨機故障維修技術;軟體可靠性與可維護性保證技術;操作系統的故障分析與處理技術;機房環境的檢測與維護技術;實測系統及其設備運行狀態,記錄及統計分析技術等,以便及時發現運行中的異常情況,及時報警,同時提示用戶採取適當措施,或進行隨機故障維修和軟體故障的測試與維修,或進行安全控制與審計。
6、防病毒威脅:
用各種病毒掃描和消除工具及其技術,定期地檢測,診斷和消除系統中的病毒,並採取一整套預防方法,防止病毒再入侵。
7、防計算機犯罪:
計算機犯罪是指利用計算機知識和技術,故意泄漏和破壞計算機系統中的機密信息或竊取計算機資源,危害系統實體和信息安全的犯罪行為。防止計算機犯罪,就是通過一定的技術手段和方法,杜絕計算機犯罪的發生,並在計算機犯罪實際發生以後,能及時提供犯罪的有關活動信息,自己跟蹤或偵察犯罪,制裁打擊犯罪分子。
1.病毒的危害
計算機病毒對計算機的危害形式主要有以下幾種:
(1) 減少存儲器的可用空間;
(2)使用無效的指令串與正常運行程序爭奪CPU時間;
(3)破壞存儲器中的數據信息
(4)破壞相連網路中的各項資源;
(5)構成系統死循環;
(6)肆意更改、破壞各類文件和數據;
(7)破壞系統I/O功能;
(8)徹底毀滅軟體系統。
(9)用借讀數據更改主板上可檫寫型BIOS晶元,造成系統崩潰或主板損壞;
(10)造成磁頭在硬碟某些點上死讀,從而破壞硬碟。計算機病毒通過這幾種危害形式,給計算機造成的災害是巨大的。這方面的事例數不勝數。
2.病毒的防治
由於病毒對微機資源造成嚴重的破壞,所以必須從管理和技術兩方面採取有效措施,以防止病毒的入侵。在日常工作中,防止病毒感染的主要措施有:
(1) 首先,也是最重要的一點是選擇並安裝一個反病毒軟體,由於新的病毒不斷出現,沒有一台計算機能在如今高度共享、高度網路化的世界裡在不裝反病毒軟體的情況下躲過病毒的攻擊。定期對所用微機進行檢查,包括所使用的U盤和硬碟,以便及時發現病毒,防患於未然。
(2)減少伺服器中用戶寫的權力。把伺服器中寫的權力控制在盡量少的人手中,能避免不必要的麻煩和損失。
(3)防範來歷不明U盤和盜版光碟。應對來歷不明的U盤和盜版光碟保持高度警惕,在把它塞進驅動器前要考慮清楚,如果你不得不這樣做,請先用反病毒軟體進行檢查,掃描盤中的每一個文件(不僅僅是可執行文件),包括壓縮文件。
(4)在閱讀電子郵件的附件前進行掃描。有些郵件接收軟體在用戶打開一封郵件後會自動打開附件,請千萬關閉這個功能。
(5)下載的時候要小心。下載文件是病毒來源之一。
(6)把文件存為RTF或ASCII格式。如果你想在網路伺服器上與別人共享一些數據,但又不願了解更多的病毒知識,那你最好把文件存為RTF或ASCII格式,因為這兩種文件格式都能避免宏病毒的攻擊。
(7)合理設置硬碟分區,預留補救措施。
(8)用Ghost(克隆)軟體、備份硬碟,快速恢復系統。
(9)及時升級殺毒軟體、提高防範能力。
(10)重要數據和重要文件一定要做備份。
3.常見防病毒軟體
目前最簡單、最常用和最有效的方法是使用清病毒軟體來消除微機病毒,現在流行的檢查微機病毒的軟體較多,這些殺毒軟體除了能查、除病毒外,也能清查BO等黑客程序。
4.網路安全
網路安全,是計算機信息系統安全的一個重要方面。如同打開了的潘多拉魔盒,計算機系統的互聯,在大大擴展信息資源的共享空間的同時,也將其本身暴露在更多惡意攻擊之下。如何保證網路信息存儲、處理的安全和信息傳輸的安全的問題,就是我們所謂的計算機網路安全。信息安全是指防止信息財產被故意的或偶然的非法授權泄露、更改、破壞或使信息被非法系統辯識、控制;確保信息的保密性、完整性、可用性、可控性。信息安全包括操作系統安全、資料庫安全、網路安全、病毒防護、訪問控制、加密和鑒別七個方面。 設計一個安全網路系統,必須做到既能有效地防止對網路系統的各種各樣的攻擊,保證系統的安全,同時又要有較高的成本效益,操作的簡易性,以及對用戶的透明性和界面的友好性。
5.訪問控制
訪問控制是指拒絕非法用戶使用系統資源和防止非法用戶竊取,破壞系統資源。它是網路安全的一項實用技術,主要通過如下方式:(1)身份驗證:身份驗證是指對用戶身份的識別和驗證,例如利用口令或密碼進行驗證,利用信物進行驗證(如IC卡),利用人類生物特徵進行驗證(如指紋識別,聲音識別等)。(2)報文驗證:報文驗證是指在兩個通信實體之間建立了通信聯系後,對每個通信實體接收到的信息進行驗證以保證所收到的信息是真實的。
6.防火牆技術
伴隨著的國際互聯網的迅速普及和發展,誕生了一個嶄新的名詞-"防火牆"技術。所謂防火牆技術,就是象徵性地比喻將危害信息系統安全的"火"阻擋在網路之外,為網路建一道安全的屏障。它可能由一個硬體和軟體組成,也可以是一組硬體和軟體構成的保護屏障。它是阻止國際互聯網路"黑客"攻擊的一種有效手段。簡單地講,它的作用就是在可信網路(用戶的內部網路)和非可信網路(國際互聯網、外部網)之間建立和實施特定的訪問控制策略。所有進出的信息包都必須通過這層屏障,而只有授權的信息包(由網路的訪問控制策略決定)才能通過。
7.其他防範技術
防火牆技術是國際互聯網安全技術的一個重要手段,但也不是萬能的,對一些重要的網路,根據需要採用其他加密技術、網路安全檢測技術和防病毒技術等等。
8.我國負責計算機信息系統安全工作的主要部門
目前我國有三個部門負責計算機信息網路安全的工作,一個是公安部,負責計算機網路安全;第二是國家保密局,負責計算機網路系統的信息保密;第三是國家密碼委員會,負責密碼的研製、管理和使用。
⑶ 家用無線wifi手機上怎麼鎖定
1,在無線路由器後台界面,切換到「無線局域基本設置「選項卡,將「SSID廣播」設置為「關閉」狀態。
2,在關閉SSID廣播的情況下,如果想使用自家的無線WiFi網路,則可以在手機端手動添加無線網路,此時需要輸入WiFi名稱和WiFi密碼才能正常使用自家的無線WiFi網路。
3,更改無線WiFi網路加密方式,將無線網路安全模式設置「WPA2-PSK」模式。這樣無線網路的安全性就得到極大的提高。相比「WPA-PSK」(無線路由器默認值)而言,「WPA2」具有更高的加密安全性。
4,設置無線區域網MAC地址過濾:通過將要使用家裡無線網的設備MAC地址加入「無線區域網允許訪問」列表中,可以有效防止家裡無線網被蹭網。在無線路由器後台管理界面中,切換到「無線區域網MAC過濾」選項卡,設置「允許」無線區域網MAC地址項,同時輸入設備的MAC地址即可。
5,設備MAC地址的查看方法:對於計算機MAC地址,其查看方法為打開「運行」窗口(按Win+R快速打開),輸入「CMD」進入MSDOS界面。
6, 在打開的窗口中,輸入「ipconfig /all」並按回車,即可查看到「乙太網適配器」即網卡對應的「物理地址」(即MAC地址)。
⑷ wifi怎樣設置密碼加密
1. 首先在路由器管理界面中,切換至無線設置選項,然後選擇無線加密,再從安全模式下選擇「WPA2-PSK」加密方式,密碼設置復雜一點,最好是字母加數字這樣。2. 然後切換至「無線網路」,再點擊「無線基本設置」,然後將「廣播SSID 關閉」勾選。3. 切換到無線加密選項,勾選「啟用 WPS設置」,再把下面的wps設置模式選擇PIN模式。4. 最後在使用WiFi萬能鑰匙鏈接自己創建的熱點的時候,將取消分享熱點勾選上,打開WiFi萬能鑰匙,點擊頁面的更多,然後選擇應用設置,將自動分享已連接的熱點後面勾選上
⑸ 怎樣用手機給WiFi設置鎖
用手機給WIFI加密的方法:
1、先將網線(貓出來的網線)插在路由器的WAN口,開啟無線路由器的電源。
2、手機打開無線搜索路由器,連接無線路由器(新路由器密碼為空)。
3、打開瀏覽器在地址欄填上路由器設置網址:192.168.1.1(路由器背面有標注)。
4、然後輸入賬戶名和密碼(路由器背面也有原始數據的提示)→確定。
5、進入設置界面之後,按照設置向導選擇上網方式,輸入賬號及密碼。
6、保存,繼續設置無線密鑰後,即可正常上網了。(這一步就是加密步驟)
7、如果異常,不妨點擊路由器的重置按鈕,再設置一下路由器即可。
⑹ 如何實現網路安全措施
網安措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)盡可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
商交措施
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;如果這兩個散列值相同,那麼接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法,以解決偽造、抵賴、冒充、篡改等問題。
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時,雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,給定交易信息傳送流程標准。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。
加密方式
鏈路加密方式
安全技術手段
物理措施:例如,保護網路關鍵設備(如交換機、大型計算機等),制定嚴格的網路安全規章制度,採取防輻射、防火以及安裝不間斷電源(UPS)等措施。
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權等等。
數據加密:加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒,安裝網路防病毒系統。
網路隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。
隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。圍繞網路安全問題提出了許多解決辦法,例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密,到達目的地後再解密還原為原始數據,目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權。
安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。
主機安全檢查
要保證網路安全,進行網路安全建設,第一步首先要全面了解系統,評估系統安全性,認識到自己的風險所在,從而迅速、准確得解決內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全檢查工具,徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性,一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定,並對評測系統進行強有力的分析處置和修復。
主機物理安全
伺服器運行的物理安全環境是很重要的,很多人忽略了這點。物理環境主要是指伺服器託管機房的設施狀況,包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到伺服器的壽命和所有數據的安全。我不想在這里討論這些因素,因為在選擇IDC時你自己會作出決策。
在這里著重強調的是,有些機房提供專門的機櫃存放伺服器,而有些機房只提供機架。所謂機櫃,就是類似於家裡的櫥櫃那樣的鐵櫃子,前後有門,裡面有放伺服器的拖架和電源、風扇等,伺服器放進去後即把門鎖上,只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子,開放式的,伺服器上架時只要把它插到拖架里去即可。這兩種環境對伺服器的物理安全來說有著很大差別,顯而易見,放在機櫃里的伺服器要安全得多。
如果你的伺服器放在開放式機架上,那就意味著,任何人都可以接觸到這些伺服器。別人如果能輕松接觸到你的硬體,還有什麼安全性可言?
如果你的伺服器只能放在開放式機架的機房,那麼你可以這樣做:
(1)將電源用膠帶綁定在插槽上,這樣避免別人無意中碰動你的電源;
(2)安裝完系統後,重啟伺服器,在重啟的過程中把鍵盤和滑鼠拔掉,這樣在系統啟動後,普通的鍵盤和滑鼠接上去以後不會起作用(USB滑鼠鍵盤除外)
(3)跟機房值班人員搞好關系,不要得罪機房裡其他公司的維護人員。這樣做後,你的伺服器至少會安全一些。