計算機網絡安全是指利用網絡管理控制和技術措施，保證在一個網絡環(huán)境里，數(shù)據(jù)的保密性、完整性及可使用性受到保護。計算機網絡安全包括兩個方面，即物理安全和邏輯安全。物理安全指系統(tǒng)設備及相關設施受到物理保護，免于破壞、丟失等。邏輯安全包括信息的完整性、保密性和可用性。

　　網安措施

　　計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統(tǒng)安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火墻、信息安全、Web安全、媒體安全等等。

　　(一)保護網絡安全。

　　網絡安全是為保護商務各方網絡端系統(tǒng)之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下：

　　(1)全面規(guī)劃網絡平臺的安全策略。

　　(2)制定網絡安全的管理措施。

　　(3)使用防火墻。

　　(4)盡可能記錄網絡上的一切活動。

　　(5)注意對網絡設備的物理保護。

　　(6)檢驗網絡平臺系統(tǒng)的脆弱性。

　　(7)建立可靠的識別和鑒別機制。

　　(二)保護應用安全。

　　保護應用安全，主要是針對特定應用(如Web服務器、網絡支付專用軟件系統(tǒng))所建立的安全防護措施，它獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業(yè)務的一種替代或重疊，如Web瀏覽器和Web服務器在應用層上對網絡支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。

　　由于電子商務中的應用層對安全的要求最嚴格、最復雜，因此更傾向于在應用層而不是在網絡層采取各種安全措施。

　　雖然網絡層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業(yè)務可以涉及認證、訪問控制、機密性、數(shù)據(jù)完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。

　　(三)保護系統(tǒng)安全。

　　保護系統(tǒng)安全，是指從整體電子商務系統(tǒng)或網絡支付系統(tǒng)的角度進行安全防護，它與網絡系統(tǒng)硬件平臺、操作系統(tǒng)、各種應用軟件等互相關聯(lián)。涉及網絡支付結算的系統(tǒng)安全包含下述一些措施：

　　(1)在安裝的軟件中，如瀏覽器軟件、電子錢包軟件、支付網關軟件等，檢查和確認未知的安全漏洞。

　　(2)技術與管理相結合，使系統(tǒng)具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數(shù)據(jù)必須進行審計，對系統(tǒng)用戶進行嚴格安全管理。

　　(3)建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

　　商交措施

　　商務交易安全則緊緊圍繞傳統(tǒng)商務在互聯(lián)網絡上應用時產生的各種安全問題，在計算機網絡安全的基礎上，如何保障電子商務過程的順利進行。

　　各種商務交易安全服務都是通過安全技術來實現(xiàn)的，主要包括加密技術、認證技術和電子商務安全協(xié)議等。

　　(一)加密技術。

　　加密技術是電子商務采取的基本安全措施，交易雙方可根據(jù)需要在信息交換的階段使用。加密技術分為兩類，即對稱加密和非對稱加密。

　　(1)對稱加密。

　　對稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進行加密，但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。

　　(2)非對稱加密。

　　非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發(fā)布(即公鑰)，另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密后再發(fā)送給甲方，甲方再用自己保存的私鑰對加密信息進行解密。

　　(二)認證技術。

　　認證技術是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術，即確認雙方的身份信息在傳送或存儲過程中未被篡改過。

　　(1)數(shù)字簽名。

　　數(shù)字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核準和生效的作用。其實現(xiàn)方式是把散列函數(shù)和公開密鑰算法結合起來，發(fā)送方從報文文本中生成一個散列值，并用自己的私鑰對這個散列值進行加密，形成發(fā)送方的數(shù)字簽名;然后，將這個數(shù)字簽名作為報文的附件和報文一起發(fā)送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發(fā)送方的公開密鑰來對報文附加的數(shù)字簽名進行解密;如果這兩個散列值相同，那么接收方就能確認該數(shù)字簽名是發(fā)送方的。數(shù)字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充、篡改等問題。

　　(2)數(shù)字證書。

　　數(shù)字證書是一個經證書授權中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰的文件數(shù)字證書的最主要構成包括一個用戶公鑰，加上密鑰所有者的用戶身份標識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA)，如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰并得到證書，然后用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，并通過相關的信任簽名來驗證公鑰的有效性。數(shù)字證書通過標志交易各方身份信息的一系列數(shù)據(jù)，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。

　　(三)電子商務的安全協(xié)議。

　　除上文提到的各種安全技術之外，電子商務的運行還有一套完整的安全協(xié)議。比較成熟的協(xié)議有SET、SSL等。

　　(1)安全套接層協(xié)議SSL。

　　SSL協(xié)議位于傳輸層和應用層之間，由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報協(xié)議組成的。SSL握手協(xié)議被用來在客戶與服務器真正傳輸應用層數(shù)據(jù)之前建立安全機制。當客戶與服務器第一次通信時，雙方通過握手協(xié)議在版本號、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達成一致，然后互相驗證對方身份，最后使用協(xié)商好的密鑰交換算法產生一個只有雙方知道的秘密信息，客戶和服務器各自根據(jù)此秘密信息產生數(shù)據(jù)加密算法和Hash算法參數(shù)。SSL記錄協(xié)議根據(jù)SSL握手協(xié)議協(xié)商的參數(shù)，對應用層送來的數(shù)據(jù)進行加密、壓縮、計算消息鑒別碼MAC，然后經網絡傳輸層發(fā)送給對方。SSL警報協(xié)議用來在客戶和服務器之間傳遞SSL出錯信息。

　　(2)安全電子交易協(xié)議SET。

　　SET協(xié)議用于劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系，給定交易信息傳送流程標準。SET主要由三個文件組成，分別是SET業(yè)務描述、SET程序員指南和SET協(xié)議描述。SET協(xié)議保證了電子商務系統(tǒng)的機密性、數(shù)據(jù)的完整性、身份的合法性。

　　SET協(xié)議是專為電子商務系統(tǒng)設計的。它位于應用層，其認證體系十分完善，能實現(xiàn)多方認證。在SET的實現(xiàn)中，消費者帳戶信息對商家來說是保密的。但是SET協(xié)議十分復雜，交易數(shù)據(jù)需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協(xié)議中除消費者與商家外，還有發(fā)卡行、收單行、認證中心、支付網關等其它參與者。

　　加密方式

　　鏈路加密方式

　　安全技術手段

　　物理措施：例如，保護網絡關鍵設備(如交換機、大型計算機等)，制定嚴格的網絡安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源(UPS)等措施。

　　訪問控制：對用戶訪問網絡資源的權限進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權限，控制網絡設備配置的權限等等。

　　數(shù)據(jù)加密：加密是保護數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網絡病毒，安裝網絡防病毒系統(tǒng)。

　　網絡隔離：網絡隔離有兩種方式，一種是采用隔離卡來實現(xiàn)的，一種是采用網絡安全隔離網閘實現(xiàn)的。

　　隔離卡主要用于對單臺機器的隔離，網閘主要用于對于整個網絡的隔離。這兩者的區(qū)別可參見參考資料。

　　其他措施：其他措施包括信息過濾、容錯、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計等。圍繞網絡安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術和防火墻技術等。數(shù)據(jù)加密是對網絡中傳輸?shù)臄?shù)據(jù)進行加密，到達目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術是通過對網絡的隔離和限制訪問等方法來控制網絡的訪問權限。

　　安全防范意識

　　擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發(fā)生都和缺乏安全防范意識有關。

　　主機安全檢查

　　要保證網絡安全，進行網絡安全建設，第一步首先要全面了解系統(tǒng)，評估系統(tǒng)安全性，認識到自己的風險所在，從而迅速、準確得解決內網安全問題。由安天實驗室自主研發(fā)的國內首款創(chuàng)新型自動主機安全檢查工具，徹底顛覆傳統(tǒng)系統(tǒng)保密檢查和系統(tǒng)風險評測工具操作的繁冗性，一鍵操作即可對內網計算機進行全面的安全保密檢查及精準的安全等級判定，并對評測系統(tǒng)進行強有力的分析處置和修復。

　　主機物理安全

　　服務器運行的物理安全環(huán)境是很重要的，很多人忽略了這點。物理環(huán)境主要是指服務器托管機房的設施狀況，包括通風系統(tǒng)、電源系統(tǒng)、防雷防火系統(tǒng)以及機房的溫度、濕度條件等。這些因素會影響到服務器的壽命和所有數(shù)據(jù)的安全。我不想在這里討論這些因素，因為在選擇IDC時你自己會作出決策。

　　在這里著重強調的是，有些機房提供專門的機柜存放服務器，而有些機房只提供機架。所謂機柜，就是類似于家里的櫥柜那樣的鐵柜子，前后有門，里面有放服務器的拖架和電源、風扇等，服務器放進去后即把門鎖上，只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子，開放式的，服務器上架時只要把它插到拖架里去即可。這兩種環(huán)境對服務器的物理安全來說有著很大差別，顯而易見，放在機柜里的服務器要安全得多。

　　如果你的服務器放在開放式機架上，那就意味著，任何人都可以接觸到這些服務器。別人如果能輕松接觸到你的硬件，還有什么安全性可言?

　　如果你的服務器只能放在開放式機架的機房，那么你可以這樣做：

　　(1)將電源用膠帶綁定在插槽上，這樣避免別人無意中碰動你的電源;

　　(2)安裝完系統(tǒng)后，重啟服務器，在重啟的過程中把鍵盤和鼠標拔掉，這樣在系統(tǒng)啟動后，普通的鍵盤和鼠標接上去以后不會起作用(USB鼠標鍵盤除外)

　　(3)跟機房值班人員搞好關系，不要得罪機房里其他公司的維護人員。這樣做后，你的服務器至少會安全一些。

　　易欺騙性(Ease of spoofing)。