【正文】 、法規(guī)，使非法分子懾于法律，不敢輕舉妄動。主要問題◆網(wǎng)絡(luò)攻擊與攻擊檢測、防范問題◆安全漏洞與安全對策問題◆信息安全保密問題◆系統(tǒng)內(nèi)部安全防范問題◆防病毒問題◆數(shù)據(jù)備份與恢復(fù)問題、災(zāi)難恢復(fù)問題八、相關(guān)技術(shù)在市場上比較流行，而又能夠代表未來發(fā)展方向的安全產(chǎn)品大致有以下幾類：◆用戶身份認(rèn)證：是安全的第一道大門，是各種安全措施可以發(fā)揮作用的前提，身份認(rèn)證技術(shù)包括：靜態(tài)密碼、動態(tài)密碼（短信密碼、動態(tài)口令牌、手機(jī)令牌）、USB KEY、IC卡、數(shù)字證書、指紋虹膜等。◆防火墻：防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。主要技術(shù)有：包過濾技術(shù)，應(yīng)用網(wǎng)關(guān)技術(shù)，代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對內(nèi)部網(wǎng)絡(luò)的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它其本身可能存在安全問題，也可能會是一個(gè)潛在的瓶頸。◆網(wǎng)絡(luò)安全隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實(shí)現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的。隔離卡主要用于對單臺機(jī)器的隔離，網(wǎng)閘主要用于對于整個(gè)網(wǎng)絡(luò)的隔離。這兩者的區(qū)別可參見參考資料。網(wǎng)絡(luò)安全隔離與防火墻的區(qū)別可參看參考資料?！舭踩酚善鳎河捎赪AN連接需要專用的路由器設(shè)備，因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò)信息流。◆虛擬專用網(wǎng)(VPN)：虛擬專用網(wǎng)（VPN）是在公共數(shù)據(jù)網(wǎng)絡(luò)上，通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)，實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互聯(lián)。VPN的構(gòu)筑通常都要求采用具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞?！舭踩?wù)器：安全服務(wù)器主要針對一個(gè)局域網(wǎng)內(nèi)部信息存儲、傳輸?shù)陌踩Ｃ軉栴}，其實(shí)現(xiàn)功能包括對局域網(wǎng)資源的管理和控制，對局域網(wǎng)內(nèi)用戶的管理，以及局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤?！綦娮雍炞C機(jī)構(gòu)CA和PKI產(chǎn)品：電子簽證機(jī)構(gòu)（CA）作為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。CA可向用戶發(fā)行電子簽證證書，為用戶提供成員身份驗(yàn)證和密鑰管理等功能。PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，將成為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心部件?！舭踩芾碇行模河捎诰W(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等?！羧肭謾z測系統(tǒng)（IDS）：入侵檢測，作為傳統(tǒng)保護(hù)機(jī)制（比如訪問控制，身份識別等）的有效補(bǔ)充，形成了信息系統(tǒng)中不可或缺的反饋鏈?！羧肭址烙到y(tǒng)（IPS）：入侵防御，入侵防御系統(tǒng)作為IDS很好的補(bǔ)充，是信息安全發(fā)展過程中占據(jù)重要位置的計(jì)算機(jī)網(wǎng)絡(luò)硬件。◆安全數(shù)據(jù)庫：由于大量的信息存儲在計(jì)算機(jī)數(shù)據(jù)庫內(nèi)，有些信息是有價(jià)值的，也是敏感的，需要保護(hù)。安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控制與用戶身份識別等。◆安全操作系統(tǒng)：給系統(tǒng)中的關(guān)鍵服務(wù)器提供安全運(yùn)行平臺，構(gòu)成安全WWW服務(wù)，安全FTP服務(wù)，安全SMTP服務(wù)等，并作為各類網(wǎng)絡(luò)安全產(chǎn)品的堅(jiān)實(shí)底座，確保這些安全產(chǎn)品的自身安全?！鬌G圖文檔加密:能夠智能識別計(jì)算機(jī)所運(yùn)行的涉密數(shù)據(jù)，并自動強(qiáng)制對所有涉密數(shù)據(jù)進(jìn)行加密操作，而不需要人的參與。體現(xiàn)了安全面前人人平等。從根源解決信息泄密。信息安全行業(yè)中的主流技術(shù)如下：病毒檢測與清除技術(shù)安全防護(hù)技術(shù)包含網(wǎng)絡(luò)防護(hù)技術(shù)（防火墻、UTM、入侵檢測防御等）；應(yīng)用防護(hù)技術(shù)（如應(yīng)用程序接口安全技術(shù)等）；系統(tǒng)防護(hù)技術(shù)（如防篡改、系統(tǒng)備份與恢復(fù)技術(shù)等），防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問內(nèi)部資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的相關(guān)技術(shù)。安全審計(jì)技術(shù)包含日志審計(jì)和行為審計(jì)，通過日志審計(jì)協(xié)助管理員在受到攻擊后察看網(wǎng)絡(luò)日志，從而評估網(wǎng)絡(luò)配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，并能為實(shí)時(shí)防御提供手段。通過對員工或用戶的網(wǎng)絡(luò)行為審計(jì)，確認(rèn)行為的合規(guī)性，確保信息及網(wǎng)絡(luò)使用的合規(guī)性。安全檢測與監(jiān)控技術(shù)對信息系統(tǒng)中的流量以及應(yīng)用內(nèi)容進(jìn)行二至七層的檢測并適度監(jiān)管和控制，避免網(wǎng)絡(luò)流量的濫用、垃圾信息和有害信息的傳播。解密、加密技術(shù)在信息系統(tǒng)的傳輸過程或存儲過程中進(jìn)行信息數(shù)據(jù)的加密和解密。身份認(rèn)證技術(shù)用來確定訪問或介入信息系統(tǒng)用戶或者設(shè)備身份的合法性的技術(shù)，典型的手段有用戶名口令、身份識別、PKI證書和生物認(rèn)證等。信息安全服務(wù)信息安全服務(wù)是指為確保信息和信息系統(tǒng)的完整性、保密性和可用性所提供的信息技術(shù)專業(yè)服務(wù)，包括對信息系統(tǒng)安全的的咨詢、集成、監(jiān)理、測評、認(rèn)證、運(yùn)維、審計(jì)、培訓(xùn)和風(fēng)險(xiǎn)評估、容災(zāi)備份、應(yīng)急響應(yīng)等工作基本功能信息安全可以建立、采取有效的技術(shù)和管理手段，保護(hù)計(jì)算機(jī)信息系統(tǒng)和網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)硬件、軟件、數(shù)據(jù)及應(yīng)用等不因偶然或惡意的原因而遭到破壞、更改和泄漏，保障信息系統(tǒng)能夠連續(xù)、正常運(yùn)行。一個(gè)安全有效的計(jì)算機(jī)信息系統(tǒng)可以同時(shí)支持機(jī)密性、真實(shí)性、可控性、可用性這四個(gè)核心安全屬性，而提供信息安全業(yè)務(wù)的基本目標(biāo)就是幫助信息系統(tǒng)實(shí)現(xiàn)上述全部或大部分內(nèi)容。安全問題電子商務(wù)安全從整體上可分為兩大部分：計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全。（一）計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括：（1）未進(jìn)行操作系統(tǒng)相關(guān)安全配置不論采用什么操作系統(tǒng)，在缺省安裝的條件下都會存在一些安全問題，只有專門針對操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置，才能達(dá)到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后，再配上很強(qiáng)的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和“后門”　是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。（2）未進(jìn)行CGI程序代碼審計(jì)如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序，很多存在嚴(yán)重的CGI問題，對于電子商務(wù)站點(diǎn)來說，會出現(xiàn)惡意攻擊者冒用他人賬號進(jìn)行網(wǎng)上購物等嚴(yán)重后果。（3）拒絕服務(wù)（DoS，Denial　of　Service）攻擊隨著電子商務(wù)的興起，對網(wǎng)站的實(shí)時(shí)性要求越來越高，DoS或DDoS對網(wǎng)站的威脅越來越大。以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強(qiáng)烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風(fēng)險(xiǎn)卻非常小，甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤，使對方?jīng)]有實(shí)行報(bào)復(fù)打擊的可能。（4）安全產(chǎn)品使用不當(dāng)雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備，但由于安全產(chǎn)品本身的問題或使用問題，這些產(chǎn)品并沒有起到應(yīng)有的作用。很多安全廠商的產(chǎn)品對配置人員的技術(shù)背景要求很高，超出對普通網(wǎng)管人員的技術(shù)要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統(tǒng)改動，需要改動相關(guān)安全產(chǎn)品的設(shè)置時(shí)，很容易產(chǎn)生許多安全問題。（5）缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度網(wǎng)絡(luò)安全最重要的還是要思想上高度重視，網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。（二）計(jì)算機(jī)商務(wù)交易安全的內(nèi)容包括：（1）竊取信息由于未采用加密措施，數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送，入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規(guī)律和格式，進(jìn)而得到傳輸信息的內(nèi)容，造成網(wǎng)上傳輸信息泄密。（2）篡改信息當(dāng)入侵者掌握了信息的格式和規(guī)律后，通過各種技術(shù)手段和方法，將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改，然后再發(fā)向目的地。這種方法并不新鮮，在路由器或網(wǎng)關(guān)上都可以做此類工作。（3）假冒由于掌握了數(shù)據(jù)的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動獲取信息，而遠(yuǎn)端用戶通常很難分辨。（4）惡意破壞由于攻擊者可以接入網(wǎng)絡(luò)，則可能對網(wǎng)絡(luò)中的信息進(jìn)行修改，掌握網(wǎng)上的機(jī)要信息，甚至可以潛入網(wǎng)絡(luò)內(nèi)部，其后果是非常嚴(yán)重的。安全對策電子商務(wù)的一個(gè)重要技術(shù)特征是利用計(jì)算機(jī)技術(shù)來傳輸和處理商業(yè)信息。因此，電子商務(wù)安全問題的對策從整體上可分為計(jì)算機(jī)網(wǎng)絡(luò)安全措施和商務(wù)交易安全措施兩大部分。計(jì)算機(jī)網(wǎng)絡(luò)安全措施計(jì)算機(jī)網(wǎng)絡(luò)安全措施主要包括保護(hù)網(wǎng)絡(luò)安全、保護(hù)應(yīng)用服務(wù)安全和保護(hù)系統(tǒng)安全三個(gè)方面，各個(gè)方面都要結(jié)合考慮安全防護(hù)的物理安全、防火墻、信息安全、Web安全、媒體安全等等。（一）保護(hù)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是為保護(hù)商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性。保證機(jī)密性、完整性、認(rèn)證性和訪問控制性是網(wǎng)絡(luò)安全的重要因素。保護(hù)網(wǎng)絡(luò)安全的主要措施如下：（1）全面規(guī)劃網(wǎng)絡(luò)平臺的安全策略。（2）制定網(wǎng)絡(luò)安全的管理措施。（3）使用防火墻。（4）盡可能記錄網(wǎng)絡(luò)上的一切活動。（5）注意對網(wǎng)絡(luò)設(shè)備的物理保護(hù)。（6）檢驗(yàn)網(wǎng)絡(luò)平臺系統(tǒng)的脆弱性。（7）建立可靠的識別和鑒別機(jī)制。（二）保護(hù)應(yīng)用安全。保護(hù)應(yīng)用安全，主要是針對特定應(yīng)用（如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng)）所建立的安全防護(hù)措施，它獨(dú)立于網(wǎng)絡(luò)的任何其他安全防護(hù)措施。雖然有些防護(hù)措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊，如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對網(wǎng)絡(luò)支付結(jié)算信息包的加密，都通過IP層加密，但是許多應(yīng)用還有自己的特定安全要求。由于電子商務(wù)中的應(yīng)用層對安全的要求最嚴(yán)格、最復(fù)雜，因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。雖然網(wǎng)絡(luò)層上的安全仍有其特定地位，但是人們不能完全依靠它來解決電子商務(wù)應(yīng)用的安全性。應(yīng)用層上的安全業(yè)務(wù)可以涉及認(rèn)證、訪問控制、機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。（三）保護(hù)系統(tǒng)安全。保護(hù)系統(tǒng)安全，是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進(jìn)行安全防護(hù)，它與網(wǎng)絡(luò)系統(tǒng)硬件平臺、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施：（1）在安裝的軟件中，如瀏覽器軟件、電子錢包軟件、支付網(wǎng)關(guān)軟件等，檢查和確認(rèn)未知的安全漏洞。（2）技術(shù)與管理相結(jié)合，使系統(tǒng)具有最小穿透風(fēng)險(xiǎn)性。如通過諸多認(rèn)證才允許連通，對所有接入數(shù)據(jù)必須進(jìn)行審計(jì)，對系統(tǒng)用戶進(jìn)行嚴(yán)格安全管理。（3）建立詳細(xì)的安全審計(jì)日志，以便檢測并跟蹤入侵攻擊等。商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題，在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上，如何保障電子商務(wù)過程的順利進(jìn)行。商務(wù)交易安全措施各種商務(wù)交易安全服務(wù)都是通過安全技術(shù)來實(shí)現(xiàn)的，主要包括加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)安全協(xié)議等。（一）加密技術(shù)。加密技術(shù)是電子商務(wù)采取的基本安全措施，交易雙方可根據(jù)需要在信息交換的階段使用。加密技術(shù)分為兩類，即對稱加密和非對稱加密。（1）對稱加密。對稱加密又稱私鑰加密，即信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報(bào)文完整性就可以通過這種加密方法加密機(jī)密信息、隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。（2）非對稱加密。非對稱加密又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個(gè)公開發(fā)布（即公鑰），另一個(gè)由用戶自己秘密保存（即私鑰）。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進(jìn)行加密后再發(fā)送給甲方，甲方再用自己保存的私鑰對加密信息進(jìn)行解密。（二）認(rèn)證技術(shù)。認(rèn)證技術(shù)是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術(shù)，即確認(rèn)雙方的身份信息在傳送或存儲過程中未被篡改過。（1）數(shù)字簽名。數(shù)字簽名也稱電子簽名，如同出示手寫簽名一樣，能起到電子文件認(rèn)證、核準(zhǔn)和生效的作用。其實(shí)現(xiàn)方式是把散列函數(shù)和公開密鑰算法結(jié)合起來，發(fā)送方從報(bào)文文本中生成一個(gè)散列值，并用自己的私鑰對這個(gè)散列值進(jìn)行加密，形成發(fā)送方的數(shù)字簽名；然后，將這個(gè)數(shù)字簽名作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方；報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出散列值，接著再用發(fā)送方的公開密鑰來對報(bào)文附加的數(shù)字簽名進(jìn)行解密；（2）數(shù)字證書。數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰的文件數(shù)字證書的最主要構(gòu)成包括一個(gè)用戶公鑰，加上密鑰所有者的用戶身份標(biāo)識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權(quán)威機(jī)構(gòu)（CA），如政府部門和金融機(jī)構(gòu)。用戶以安全的方式向公鑰證書權(quán)威機(jī)構(gòu)提交他的公鑰并得到證書，然后用戶就可以公開這個(gè)證書。任何需要用戶公鑰的人都可以得到此證書，并通過相關(guān)的信任簽名來驗(yàn)證公鑰的有效性。數(shù)字證書通過標(biāo)志交易各方身份信息的一系列數(shù)據(jù)，提供了一種驗(yàn)證各自身份的方式，用戶可以用它來識別對方的身份。（三）電子商務(wù)的安全協(xié)議。除上文提到的各種安全技術(shù)之外，電子商務(wù)的運(yùn)行還有一套完整的安全協(xié)議。比較成熟的協(xié)議有SET、SSL等。（1）安全套接層協(xié)議SSL。SSL協(xié)議位于傳輸層和應(yīng)用層之間，由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報(bào)協(xié)議組成的。SSL握手協(xié)議被用來在客戶與服務(wù)器真正傳輸應(yīng)用層數(shù)據(jù)之前建立安全機(jī)制。當(dāng)客戶與服務(wù)器第一次通信時(shí)，雙方通過握手協(xié)議在版本號、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成一致，然后互相驗(yàn)證對方身份，最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個(gè)只有雙方知道的秘密信息，客戶和服務(wù)器各自根據(jù)此秘密信息產(chǎn)生數(shù)據(jù)加密算法和Hash算法參數(shù)。SSL記錄協(xié)議根據(jù)SSL握手協(xié)議協(xié)商的參數(shù)，對應(yīng)用層送來的數(shù)據(jù)進(jìn)行加密、壓縮、計(jì)算消息鑒別碼MAC，然后經(jīng)網(wǎng)絡(luò)傳輸層發(fā)送給對方。SSL警報(bào)協(xié)議用來在客戶和服務(wù)器之間傳遞SSL出錯(cuò)信息。（2）安全電子交易協(xié)議SET。SET協(xié)議用于劃分與界定電子商務(wù)活動中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系，給定交易信息傳送流程標(biāo)準(zhǔn)。SET主要由三個(gè)文件組成，分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET協(xié)議保證了電子商務(wù)系統(tǒng)的機(jī)密性、數(shù)據(jù)的完整性、身份的合法性。SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計(jì)的。它位于應(yīng)用層，其認(rèn)證體系十分完善，能實(shí)現(xiàn)多方認(rèn)證。在SET的實(shí)現(xiàn)中，消費(fèi)者帳戶信息對商家來說是保密的。但是SET協(xié)議十分復(fù)雜，交易數(shù)據(jù)需