|
职称论文发表 | 职称论文发表 专业提供:发表论文、论文发表、毕业论文、职称论... | |
住在汉口网 | 住在汉口网是一个专业提供汉口房产信息、车辆服务、生活服务、招... | |
职称论文网 | 职称论文网提供:发表论文、论文发表、毕业论文、职称论等服务。 | |
|
一、电子商务体系的安全性及其隐患
安全的电子商务是指加密的、不公开的电子商务信息传递,而在信息传递的过程中,非授权方无法获得交易信息,例如信用卡号信息等。众所周知.Internet的迅猛发展使电子商务成为了商务活动的新模式,但Internet的开放性与共享性却不可避免地导致网络的安全性将受到严重的影响。所谓网络的安全性是指信息的保密性、完整性、可靠性、可用性、实用性、占有性。保密性是指静态信息防止非授权访问和动态信息防止被截取解密。完整性是指信息在存储或传输时不被修改、破坏,或防止信息包的丢失、乱序等。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。可靠性是指信息的可信度,包括信息的完整性、准确性和发送人的身份认证等方面,可靠性也是信息安全性的基本要素。可用性是指主机存放静态信息的可用性和可操作性。实用性即信息加密密钥不可丢失,丢失了密钥的信息也就丢失了信息的实用性。占有性是指存储信息的主机、磁盘等信息载体被盗用,导致对信息占有权的丧失。
在实际运行中,上述的网络安全性常常存在着信息泄露、网络控制信息的篡改、抵赖等隐患,所以如何保证网上传输数据的安全和交易对方的身份确认等是电子商务能否得到进一步发展的关键。为此,安全技术应运而生。目前主要采用的有防火墙技术、密码保密技术、数字化签名技术及电子数字认证技术等。其中密码保密技术中的公共密钥技术最具发展前景。
二、 电子商务体系的安全技术分析
1、安全威胁
企业信息系统的安全威胁来自多个方面,大致可以归纳为以下几种。
(1)网络窃听:由于网络的开放性.攻击者可通过直接或间接窃听获取所需信息。
(2)地址欺骗:通过伪装成被信任的lP地址来骗取目标的信任。
(3)连接盗用:在合法的通信连接建立后,攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接,从而假冒被接管方与对方通信。
(4)恶意扫描编制或使用现有的扫描工具,发现目标的漏洞,进而发起攻击。
(5)口令破解通过获取口令文件,然后运用口令破解工具获得口令,也可通过猜测或窃听等方式非法获取口令。
(6)拒绝服务可直接发动攻击,也可通过控制其他主机发起攻击使目标瘫痪,如发送大量的数据包阻塞目标。
(7)数据篡改:通过截获并修改数据或重放数据等方式破坏数据的完整性。
(8)基础设施破坏:通过破坏域名服务器、路由表或硬件基础设施,使目标陷于瘫痪。
(9)数据驱动攻击通过施放特洛伊木马、数据炸弹等方式破坏或遥控目标。
(10)社会工程通过各种社交渠道获得有关目标的结构、使用情况、安全防范措施等有用信息,从而提高攻击成功率。
2、安全需求
针对各类安全威胁,并对用户需求进行分析,概括出信息系统安全的需求。安全体系应满足:支持企业级安全策略;管理使用方便;支持成本效益平衡原则并尽可能不影响网络性能。
(1)主机安全。一个跨地区的大型企业中,主机的种类分为数据库服务器、各种应用服务器(www、DHCP、DNS和邮件转发等公共服务器以及各专业或职能部门的应用服务器)和普通客户端。其安全主要采用访司控制、入侵检测、漏洞扫描和病毒防御。
(2)用户管理。包括认证和授权。主要考虑拨号用户、移动用户以及重要服务器和网络设备的验证和管理,在身份识别的基础上,根据身份对提出的资源访问请求加以控制。
(3)病毒防御。对病毒实施“层层设防、集中控制、以防为主、防杀结合”的策略,通过防毒系统的配置,使整个企业网络没有病毒可入侵的薄弱环节。
(4)备份与恢复。目前大多数企业现有的网络计算环境下,网上数据存在着存放格式多样化、物理分布分散化的特点,造成数据维护困难、繁琐,传统的手工方式已经难以适应当前数据管理的需要。
(5)安全管理。建立企业信息系统安全管理制度是完善安全体系的一个重要方面,严格完善的安全管理制度主要内容包括:机构与人员安全管理,系统运行环境安全管理;软硬设施安全管理,技术文档安全管理;应急安全管理。
三、保证电子商务安全的技术
为保证电子商务安全进行,不仅要加强信息法规和安全管理机制建设,更重要的是采取一些安全技术,以确保电子商务的安全。
1.防火墙技术
防火墙(fire wall)通常是私有网络与公共网络之间的界而上构造的一个保护层,它有选择地过滤或阻塞网络间的流量。
最简单和最常用的防火墙是包过滤防火墙,它检查接受到的每个数据包的头,以决定该数据包是否发送到目的地。安装防火墙时,网络管理员需要对防火墙进行设置,以确定接受或拒绝某种类型数据的传输。设置通常在如下方面进行:源和目标的IP地址、源和目标的端口、TCP协议、UDP协议、CMP协议、包的状态等。由于防火墙能够对进出的数据进行有选择的过滤,所以可以有效地避免对其进行的有意或无意的攻击,从而保证了私有网络的安全。
2.数据加密技术
数据加密技术可实现数据的保密性。数据加密是指采用某种算法把原始数据进行再组织,然后在网络的公共信道上进行传输,非法接收者因不掌握正确的密钥,无法通过解密得到原始数据,而合法的接收者因掌握正确的密钥,可以通过解密得到原始数据。由于加密的数据只有数据的发送者和掌握正确密钥的接收者才能真正理解这些数据,所以通过加密可实现数据的保密性。显然,防止非法接收者掌握正确的密钥是保证这种保密性的关键。
3.数字签名(Digital Signature)
数字签名是指发送方以电子形式签名一个消息或文件,签名后的消息、或文件能在计算机网络中发送,并表示签名人对该消息或文件的内容负有责任。数字签名可以保证接受者能够核实发送者对报文的签名,发送者事后不能抵赖对报文的签名,接受者不能篡改报文内容和伪造对报文的签名。
数字签名的主要方式是报文的发送方从报文文本中生成一个128位的散列值。发送方用自己的专用密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密。如果两个散列值相同,那么接收方就确认该数字签名是发送方的。数字签名可以保证信息完整和验证发送者身份。
4.数字时间戳(Digitaltime——stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件的签署日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需要对交易文件的日期和时间信息采取安全措施,而数字时间戳服务就能提供电子文件发表时间的安全保护。
数字时间戳服务是网上安全服务项目,由专门的机构——认证中心(CA)提供。时间戳是一个经加密后形成的凭证文档,它包括三个部分:一是需加时间戳的文件的摘要;二是数
字时间戳服务机构(DTS)收到文件的日期和时间;三是数字时间戳服务机构的数字签名。
5.认证中心和数字证书
在电子交易中,无论是数字时间戳服务,还是数字凭证的发放,都不是靠交易双方自己能完成的,而需要一个具有权成性和公证性的第三方来完成。认证中心(CA:Certificate Authority)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构,它向个人、商家、银行等涉及交易的实体颁发数字旺书。交易各方在交易中通过出示自己的有效证书来证明自己的身份。
6.虚拟私有网技术(VPN)
虚拟私有网是使用开放的公共信道,通过附加的协议处理,向用户提供的虚拟私有网络。VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。安全隧道技术(Secure Tunneling Technology)是指对用户应用数据进行加密处理后封装到网络传输协议的PDU
(Protocol Data Unit)中,然后通过》外部协议的传输机制将内部的应用数据传递到对等实体,经过解封装处理后提交上层应用的技术。STT使用了加密与封装相结合的技术对用户数据进行安全保护,是实现VPN的核心技术。
四、结束语
传统企业的网络化,以及电子商务化,给企业提供了一个网络空间中的延伸,使企业的销售、市场开拓、采购等得以在网络上进行。企业的延伸给企业带来了新的市场机会和经营模式,也带来了新的赢利空间。而企业延伸的基础是安全的网络和信息系统平台,只有安全的系统才可以进行企业延伸,否则就会有巨大的商业风险。
目前,网络安全问题还没有得到应有的重视,许多大型的信息港和企业的Internet在配置方案中仅仅配置了一道防火墙作为安全的保障,在安全方面并没有下很大的工夫;许多个人用户也经常为自己的邮箱遭受“邮件炸弹”的攻击而苦恼,而一些大单位更是为自己的主页被黑客的任意篡改而感到尴尬,至于那些利用网络或系统安全漏洞使企业蒙受巨大经济损失的大型犯罪案件更是屡见不鲜。
作为一个信息网络系统已得到广泛应用,尤其是内部网已与Internet相连的跨地区公司,若信息网络系统发生安全问题,不仅会给企业造成巨大的经济损失,也会给企业的声誉造成严重影响,而这种损失往往是无法用金钱衡量的。因此,构筑个完善的安全体系,以保护整个企业计算机信息系统的安全是非常必要的,亦是非常迫切的。
(作者单位:中南民族大学) 职称论文发表网http://www.issncn.com
职称论文发表网http://www.issncn.com
|
|
|
|