前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的商務安全論文主題范文,僅供參考,歡迎閱讀并收藏。
信息安全和計算機網(wǎng)絡安全的安全需求主要包括完整性、保密性、一致性、真實性和不可否認性。在電子商務實際應用中主要包括如何防范商業(yè)企業(yè)機密泄露及個人信息的泄露等問題。電子商務系統(tǒng)必須基于信息安全基礎上并達到電子商務安全的要求的網(wǎng)絡商務系統(tǒng)。必須有計算機網(wǎng)絡安全,才能保證電子商務最低層的信息服務,計算機網(wǎng)絡層是用戶將信息傳輸?shù)缴蠈拥幕A及用戶與計算機網(wǎng)絡接入的基本交互式服務手段。網(wǎng)絡服務層必須有相關安全機制,如:入侵檢測、安全掃描、防火墻等來保證計算機網(wǎng)絡的安全。另外,為了在應用層電子商務系統(tǒng)使用安全,必須利用網(wǎng)絡加密技術和數(shù)字認證技術和電子商務安全協(xié)議,即構建安全的電子交易數(shù)據(jù)體系結構。其中,電子商務安全協(xié)議是加密技術和安全認證的綜合運用和完善。電子商務應用系統(tǒng)應具有較高的安全性能指標,用戶對所信賴的電子商務安全肯定具有很高的可靠性和可用性。在人才培養(yǎng)是就需考慮建立一個完善的基于信息安全核心能力提升的人才培養(yǎng)模式,形成一個電子商務安全知識體系,在考慮如何達到課程目標的同時也要考慮如何滿足電子商務應用人才的實際需求。在信息安全基礎上電子商務的安全內(nèi)容主要包括計算機網(wǎng)絡服務層、技術加密層、身份認證技術層、電子商務安全層、安全應用層。其中,上層主要以下層為基礎的服務,同時下層為上層提供技術支持,整個內(nèi)容之間相互關聯(lián)的整體,并且在不同的信息安全技術控制下實現(xiàn)電子商務的安全模式。
2電子商務安全教學方法改革
目前電子商務安全課程在教學過程中,學生對教材的知識缺乏主動理解和接受,學習的興趣和主動性不高。因此要對現(xiàn)有以教學大綱為主要目標的方法進行改革,能讓學生融會貫通理論知識,主動思考問題,具有理解分析解決實際問題能力。本文提出電子商務安全課程在課堂講授的進行:教師準備階段,學生準備階段,小組討論階段、集中討論階段和總結階段。主要目的是使老師和學生在課堂上有較大的自我發(fā)揮空間。在教學法的五個階段中,教師準備階段和學生預備階段是教學法中最為關鍵的環(huán)節(jié)。教師準備階段:教師準備是教學的第一環(huán)節(jié),也是為明確教學目而準備,是有序進行教學組織與設計的基礎。明確教學目標后,就應選擇合適教學背景,教學背景應且具有高啟發(fā)性素材,并且滿足教學目標切合實際的教學案例。對選擇的教學案例或素材還需要對及進行典型化處理,最后準備在課堂上提出讓學生思考的問題,引導介紹學生學習相關資料。學生預備階段:課前讓學生閱讀典型化處理相關學習資料,老師指導學生查閱相關學習資料,讓學生課前主動準備課堂講授知識的信息,對老師提出的思考問題要求學生獨立思考并形成初步的解決方法。小組討論階段:首先根據(jù)學生人數(shù)將學生分為3到5人小組,然后在小組范圍內(nèi)自行組織討論,再確定小組成員的任務分工,最后形成小組在課堂上展示方案。課堂展示階段:在時間控制在半個課時以內(nèi)前提條件下各小組派代表對問題解決方案進行展示,其他小組對解決方法進行互動式提問和回答,這個過程需要教師加以正確引導。老師總結階段:老師總結出意見比較集中的問題,針對重點問題組織大家集中討論,并提出引導性建議擴展深化學生對有疑慮問題的理解。
3電子商務安全課程實踐
傳統(tǒng)的電子商務安全課程教學是以理論知識為中心的教育體系,對實踐操作課程和技能的要求不高,很可能會導致學生在畢業(yè)后難以適應工作的要求,在現(xiàn)行教育模式中,用人單位也很難選擇到合格的專業(yè)技術人才。為此,本課題對信息安全專業(yè)開設的電子商務安全課程特點及開發(fā)合適的教學模式,尤其是如何建立創(chuàng)新性實踐教學體系進行了研究,以教學目標為指導、以社會需求為導向,開發(fā)以學生就業(yè)為宗旨的高技能型人才培養(yǎng)模式,根據(jù)電子商務安全課程特點,將信息安全未來發(fā)展的創(chuàng)新技術運用到電子商務安全教學方法中,建立較為全面的以人才培養(yǎng)目標為基礎的創(chuàng)新環(huán)境和教學模式。另外,本課程實踐教學內(nèi)容的要求是讓學生對電子商務安全和信息安全的理論和實踐聯(lián)系建立一個全面的知識結構。通過實踐環(huán)節(jié)設置,讓學生了解電子商務安全加密技術及使用技能;了解電子商務郵件和數(shù)字簽名的聯(lián)系及作用;熟練掌握電子商務安全協(xié)議的設置;掌握PKI的應用及數(shù)字證書的申請、安裝和使用流程;熟悉基本的電子支付工具的使用。本課程的為實現(xiàn)實踐培養(yǎng)目標對實驗教學進行合理的安排。
4結論
由于Internet本身的開放性,使電子商務系統(tǒng)面臨著各種各樣的安全威脅。目前,電子商務主要存在的安全隱患有以下幾個方面。
1.身份冒充問題
攻擊者通過非法手段盜用合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易,進行信息欺詐與信息破壞,從而獲得非法利益。主要表現(xiàn)有:冒充他人身份;冒充他人消費、栽贓;冒充主機欺騙合法主機及合法用戶等。
2.網(wǎng)絡信息安全問題
主要表現(xiàn)在攻擊者在網(wǎng)絡的傳輸信道上,通過物理或邏輯的手段,進行信息截獲、篡改、刪除、插入。截獲,攻擊者可能通過分析網(wǎng)絡物理線路傳輸時的各種特征,截獲機密信息或有用信息,如消費者的賬號、密碼等。篡改,即改變信息流的次序,更改信息的內(nèi)容;刪除,即刪除某個信息或信息的某些部分;插入,即在信息中插入一些信息,讓收方讀不懂或接受錯誤的信息。
3.拒絕服務問題
攻擊者使合法接入的信息、業(yè)務或其他資源受阻。主要表現(xiàn)為散布虛假資訊,擾亂正常的資訊通道。包括:虛開網(wǎng)站和商店,給用戶發(fā)電子郵件,收訂貨單;偽造大量用戶,發(fā)電子郵件,窮盡商家資源,使合法用戶不能正常訪問網(wǎng)絡資源,使有嚴格時間要求的服務不能及時得到響應。
4.交易雙方抵賴問題
某些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應承擔的責任。如:者事后否認曾經(jīng)發(fā)送過某條信息或內(nèi)容;收信者事后否認曾經(jīng)收到過某條信息或內(nèi)容;購買者做了訂貨單不承認;商家賣出的商品質(zhì)量差但不承認原有的交易。在網(wǎng)絡世界里誰為交易雙方的糾紛進行公證、仲裁。
5.計算機系統(tǒng)安全問題
計算機系統(tǒng)是進行電子商務的基本設備,如果不注意安全問題,它一樣會威脅到電子商務的信息安全。計算機設備本身存在物理損壞,數(shù)據(jù)丟失,信息泄露等問題。計算機系統(tǒng)也經(jīng)常會遭受非法的入侵攻擊以及計算機病毒的破壞。同時,計算機系統(tǒng)存在工作人員管理的問題,如果職責不清,權限不明同樣會影響計算機系統(tǒng)的安全。
二、電子商務安全機制
1.加密和隱藏機制
加密使信息改變,攻擊者無法讀懂信息的內(nèi)容從而保護信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發(fā)現(xiàn),不僅實現(xiàn)了信息的保密,也保護了通信本身。
2.認證機制
網(wǎng)絡安全的基本機制,網(wǎng)絡設備之間應互相認證對方身份,以保證正確的操作權力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡也必須認證用戶的身份,以保證正確的用戶進行正確的操作并進行正確的審計。
3.審計機制
審計是防止內(nèi)部犯罪和事故后調(diào)查取證的基礎,通過對一些重要的事件進行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。
4.完整性保護機制
用于防止非法篡改,利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務,當信息源的完整性可以被驗證卻無法模仿時,收到信息的一方可以認定信息的發(fā)送者,數(shù)字簽名就可以提供這種手段。
5.權力控制和存取控制機制
主機系統(tǒng)必備的安全手段,系統(tǒng)根據(jù)正確的認證,賦予某用戶適當?shù)牟僮鳈嗔?,使其不能進行越權的操作。該機制一般采用角色管理辦法,針對系統(tǒng)需要定義各種角色,如經(jīng)理、會計等,然后對他們賦予不同的執(zhí)行權利。
6.業(yè)務填充機制
在業(yè)務閑時發(fā)送無用的隨機數(shù)據(jù),增加攻擊者通過通信流量獲得信息的困難。同時,也增加了密碼通信的破譯難度。發(fā)送的隨機數(shù)據(jù)應具有良好模擬性能,能夠以假亂真。
三、電子商務安全關鍵技術
安全問題是電子商務的核心,為了滿足安全服務方面的要求,除了網(wǎng)絡本身運行的安全外,電子商務系統(tǒng)還必須利用各種安全技術保證整個電子商務過程的安全與完整,并實現(xiàn)交易的防抵賴性等,綜合起來主要有以下幾種技術。
1.防火墻技術
現(xiàn)有的防火墻技術包括兩大類:數(shù)據(jù)包過濾和服務技術。其中最簡單和最常用的是包過濾防火墻,它檢查接受到的每個數(shù)據(jù)包的頭,以決定該數(shù)據(jù)包是否發(fā)送到目的地。由于防火墻能夠?qū)M出的數(shù)據(jù)進行有選擇的過濾,所以可以有效地避免對其進行的有意或無意的攻擊,從而保證了專用私有網(wǎng)的安全。將包過濾防火墻與服務器結合起來使用是解決網(wǎng)絡安全問題的一種非常有效的策略。防火墻技術的局限性主要在于:防火墻技術只能防止經(jīng)由防火墻的攻擊,不能防止網(wǎng)絡內(nèi)部用戶對于網(wǎng)絡的攻擊;防火墻不能保證數(shù)據(jù)的秘密性,也不能保證網(wǎng)絡不受病毒的攻擊,它只能有效地保護企業(yè)內(nèi)部網(wǎng)絡不受主動攻擊和入侵。
2.虛擬專網(wǎng)技術(VPN)
VPN的實現(xiàn)過程使用了安全隧道技術、信息加密技術、用戶認證技術、訪問控制技術等。VPN具投資小、易管理、適應性強等優(yōu)點。VPN可幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商與公司的內(nèi)部網(wǎng)之間建立可信的安全連接,并保證數(shù)據(jù)的安全傳輸,以此達到在公共的Internet上或企業(yè)局域網(wǎng)之間實現(xiàn)完全的電子交易的目的。
3.數(shù)據(jù)加密技術
加密技術是保證電子商務系統(tǒng)安全所采用的最基本的安全措施,它用于滿足電子商務對保密性的需求。加密技術分為常規(guī)密鑰密碼體系和公開密鑰密碼體系兩大類。如果進行通信的交易各方能夠確保在密鑰交換階段未曾發(fā)生私有密鑰泄露,可通過常規(guī)密鑰密碼體系的方法加密機密信息,并隨報文發(fā)送報文摘要和報文散列值,以保證報文的機密性和完整性。目前常用的常規(guī)密鑰密碼體系的算法有:數(shù)據(jù)加密標準DES、三重DES、國際數(shù)據(jù)加密算法IDEA等,其中DES使用最普遍,被ISO采用為數(shù)據(jù)加密的標準。在公開密鑰密碼體系中,加密密鑰是公開信息,而解密密鑰是需要保護的,加密算法和解密算法也都是公開的。典型的公開密鑰密碼體系有:基于數(shù)論中大數(shù)分解的RSA體系、基于NP完全理論的Merkel-Hellman背包體系和基于編碼理論的McEliece體系。在以上兩類加密體系中,常規(guī)密鑰密碼體系的特點是加密速度快、效率高,被廣泛用于大量數(shù)據(jù)的加密,但該方法的致命缺點是密鑰的傳輸易被截獲,難以安全管理大量的密鑰,因此大范圍應用存在一定問題。而公開密鑰密碼體系很好地解決了上述不足,保密性能也優(yōu)于常規(guī)密鑰密碼體系,但公開密鑰密碼體系復雜,加密速度不夠理想。目前電子商務實際運用中常將兩者結合使用。
4.安全認證技術
安全認證技術主要有:(1)數(shù)字摘要技術,可以驗證通過網(wǎng)絡傳輸收到的明文是否被篡改,從而保證數(shù)據(jù)的完整性和有效性。(2)數(shù)字簽名技術,能夠?qū)崿F(xiàn)對原始報文的鑒別和不可否認性,同時還能阻止偽造簽名。(3)數(shù)字時間戳技術,用于提供電子文件發(fā)表時間的安全保護。(4)數(shù)字憑證技術,又稱為數(shù)字證書,負責用電子手段來證實用戶的身份和對網(wǎng)絡資源訪問的權限。(5)認證中心,負責審核用戶的真實身份并對此提供證明,而不介入具體的認證過程,從而緩解了可信第三方的系統(tǒng)瓶頸問題,而且只須管理每個用戶的一個公開密鑰,大大降低了密鑰管理的復雜性,這些優(yōu)點使得非對稱密鑰認證系統(tǒng)可用于用戶眾多的大規(guī)模網(wǎng)絡系統(tǒng)。(6)智能卡技術,它不但提供讀寫數(shù)據(jù)和存儲數(shù)據(jù)的能力,而且還具有對數(shù)據(jù)進行處理的能力,可以實現(xiàn)對數(shù)據(jù)的加密和解密,能進行數(shù)字簽名和驗證數(shù)字簽名,其存儲器部分具有外部不可讀特性。采用智能卡,可使身份識別更有效、安全,但它僅僅為身份識別提供一個硬件基礎,如果要使身份認證更安全,還需要與安全協(xié)議的配合。
5.電子商務安全協(xié)議
不同交易協(xié)議的復雜性、開銷、安全性各不相同,同時不同的應用環(huán)境對協(xié)議目標的要求也不盡相同。目前比較成熟的協(xié)議有:(1)Netbill協(xié)議,是由J.D.Tygar等設計和開發(fā)的關于數(shù)字商品的電子商務協(xié)議,該協(xié)議假定了一個可信賴的第三方,將商品的傳送和支付鏈接到一個原子事務中。(2)匿名原子交易協(xié)議,由J.D.Tygar首次提出,具有匿名性和原子性,對著名的數(shù)字現(xiàn)金協(xié)議進行了補充和修改,改進了傳統(tǒng)的分布式系統(tǒng)中常用的兩階段提交,引入了除客戶、商家和銀行之外的獨立第四方一交易日志(Transactionlog)以取代兩階段提交協(xié)議中的協(xié)調(diào)者(Coordinator)。(3)安全電子交易協(xié)議SET,由VISA公司和MasterCard公司聯(lián)合開發(fā)設計。SET用于劃分與界定電子商務活動中消費者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權利義務關系,它可以對交易各方進行認證,防止商家欺詐。SET協(xié)議開銷較大,客戶、商家、銀行都要安裝相應軟件。(4)安全套接字層協(xié)議SSL,是目前使用最廣泛的電子商務協(xié)議,它由Netscape公司于1996年設計開發(fā)。它位于運輸層和應用層之間,能很好地封裝應用層數(shù)據(jù),不用改變位于應用層的應用程序,對用戶透明。然而,SSL并不專為支持電子商務而設計,只支持雙方認證,只能保證傳送信息傳送過程中不因被截而泄密,不能防止商家利用獲取的信用卡號進行欺詐。(5)JEPI(JointElectronicPaymentInitiative),是為了解決眾多協(xié)議間的不兼容性而提出來的,是現(xiàn)有HTTP協(xié)議的擴展,在普遍HTTP協(xié)議之上增加了PEP(ProtocolExtensionProtocol)和UPP(UniversalPaymentPreamble)兩層結構,其目的不是提出一種新的電子支付手段,而是在允許多種支付系統(tǒng)并存的情況下,幫助商家和顧客雙方選取一個合適的支付系統(tǒng)。
1、電子商務中計算機數(shù)據(jù)加密技術的應用
計算機安全技術多種多樣,要結合實際進行應用才能發(fā)揮其自身的作用。電子商務的快速發(fā)展在安全問題上也不斷出現(xiàn),將計算機安全技術在其中得以應用能從很大程度上解決其安全問題。將計算機安全技術中的數(shù)據(jù)加密技術在電子商務中進行應用能起到很好的效果,電子商務交易中數(shù)據(jù)信息進行加密處理的方式主要就是采取專用密鑰以及公開密鑰,不僅能夠?qū)﹄娮由虅盏幕顒拥靡园踩U?,同時也能對入侵者對信息的破壞進行有效防止,從而對電子商務交易活動的信息安全性以及可靠性得到保證。
2、電子商務中計算機安全內(nèi)核技術應用
安全內(nèi)核技術主要是將所產(chǎn)生的問題部分內(nèi)核從系統(tǒng)中進行抽離,從而保障系統(tǒng)的安全性。在電子商務交易活動中,所出現(xiàn)的問題主要是在系統(tǒng)的某一內(nèi)核發(fā)生了異常情況,只有保障內(nèi)核的安全就能解決實際的問題。最為常見的就是操作系統(tǒng)將一些口令放置在了隱含文件當中,這樣就能保障系統(tǒng)的安全性。
3、電子商務中計算機防火墻技術應用
防火墻主要是軟件及硬件設備所組合而成的,這是對電子商務活動中信息保障的有效屏障,其中的包過濾技術防火墻主要是對通過的每個數(shù)據(jù)包進行的檢驗,然后根據(jù)其屬性對數(shù)據(jù)包的通過與否進行判斷,這是計算機的首道防線,倘若防火墻所設定的IP是危險的,那么所輸出的數(shù)據(jù)也會被防火墻攔截。還有地址遷移防火墻技術以及服務防火墻技術,前者主要是結合應用需求進行的限定,可以屏蔽內(nèi)網(wǎng)地址保障其安全;后者則主要是起中介作用,監(jiān)視以及控制應用層的通信信息。
4、電子商務中計算機身份認證技術的應用
在電子商務平臺上進行購物或是通過網(wǎng)絡平臺進行業(yè)務的開展,就要在身份識別技術上進行規(guī)范化,如此才能真正解決實質(zhì)問題。也只有經(jīng)過身份識別技術才能正常的登錄網(wǎng)絡,網(wǎng)絡交往由于身份的不確定性,所以身份識別技術是有著其必要性的。不只是身份識別技術,訪問控制技術的應用也比較重要,它能對數(shù)據(jù)以及信息內(nèi)容的訪問有效控制,可預防入侵者的惡意攻擊和破壞,從而保障電子商務交易活動的正常有序運行。
二、結語
要加強電子商務的安全,需要企業(yè)本身采取更為嚴格的管理措施,需要國家建立健全法律制度,更需要有科學的先進的安全技術。
在電子商務的交易中,經(jīng)濟信息、資金都要通過網(wǎng)絡傳輸,交易雙方的身份也需要認證,因此,電子商務的安全性主要是網(wǎng)絡平臺的安全和交易信息的安全。而網(wǎng)絡平臺的安全是指網(wǎng)絡操作系統(tǒng)對抗網(wǎng)絡攻擊、病毒,使網(wǎng)絡系統(tǒng)連續(xù)穩(wěn)定的運行。常用的保護措施有防火墻技術、網(wǎng)絡入侵檢測技術、網(wǎng)絡防毒技術。交易信息的安全是指保護交易雙方的不被破壞、不泄密,和交易雙方身份的確認??梢杂脭?shù)據(jù)加密、數(shù)字簽名、數(shù)字證書、ssl、set安全協(xié)議等技術來保護。
在這里我想重點談談防火墻技術和數(shù)據(jù)加密技術。
一、防火墻技術。
防火墻就是在網(wǎng)絡邊界上建立相應的網(wǎng)絡通信監(jiān)控系統(tǒng),用來保障計算機網(wǎng)絡的安全,它是一種控制技術,既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬件產(chǎn)品中。從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強Intranet(內(nèi)部網(wǎng))之間安全防御的一個或一組系統(tǒng),它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸信息或你發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護諸如電子郵件、文件傳輸、遠程登錄、在特定的系統(tǒng)間進行信息交換等安全的作用。防火墻是網(wǎng)絡安全策略的有機組成部分,它通過控制和監(jiān)測網(wǎng)絡之間的信息交換和訪問行為來實現(xiàn)對網(wǎng)絡安全的有效管理。從總體上看,防火墻應該具有以下五大基本功能:(1)過濾進、出網(wǎng)絡的數(shù)據(jù);(2)管理進、出網(wǎng)絡的訪問行為;(3)封堵某些禁止行為;(4)記錄通過防火墻的信息內(nèi)容和活動;(5)對網(wǎng)絡攻擊進行檢測和告警。
新一代的防火墻產(chǎn)品一般運用了以下技術:
(1)透明的訪問方式。
以前的防火墻在訪問方式上要么要求用戶做系統(tǒng)登錄,要么需要通過SOCKS等庫路徑修改客戶機的應用。而現(xiàn)在的防火墻利用了透明的系統(tǒng)技術,從而降低了系統(tǒng)登錄固有的安全風險和出錯概率。
(2)靈活的系統(tǒng)。
系統(tǒng)是一種將信息從防火墻的一側傳送到另一側的軟件模塊。采用兩種機制:一種用于從內(nèi)部網(wǎng)絡到外部網(wǎng)絡的連接;另一種用于從外部網(wǎng)絡到內(nèi)部網(wǎng)絡的連接。前者采用網(wǎng)絡地址轉(zhuǎn)接(NIT)技術來解決,后者采用非保密的用戶定制或保密的系統(tǒng)技術來解決。
(3)多級過濾技術。
為保證系統(tǒng)的安全性和防護水平,防火墻采用了三級過濾措施,并輔以鑒別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP地址;在應用級網(wǎng)關一級,能利用FTP、SMTP等各種網(wǎng)關,控制和監(jiān)測Internet提供的所有通用服務;在電路網(wǎng)關一級,實現(xiàn)內(nèi)部主機與外部站點的透膽連接,并對服務的通行實行嚴格控制。
(4)網(wǎng)絡地址轉(zhuǎn)換技術。
防火墻利用NAT技術能透明地對所有內(nèi)部地址做轉(zhuǎn)換,使得外部網(wǎng)絡無法了解內(nèi)部網(wǎng)絡的內(nèi)部結構,同時允許內(nèi)部網(wǎng)絡使用自己編的IP源地址和專用網(wǎng)絡,防火墻能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
(5)Internet網(wǎng)關技術。
由于是直接串聯(lián)在網(wǎng)絡之中,防火墻必須支持用戶在Internet互聯(lián)的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現(xiàn)網(wǎng)關功能。為確保服務器的安全性,對所有的文件和命令均要利用“改變根系統(tǒng)調(diào)用(chroot)”做物理上的隔離。在域名服務方面,新一代防火墻采用兩種獨立的域名服務器:一種是內(nèi)部DNS服務器,主要處理內(nèi)部網(wǎng)絡和DNS信息;另一種是外部DNS服務器,專門用于處理機構內(nèi)部向Internet提供的部分DNS信息。在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支持靜態(tài)的網(wǎng)頁,而不允許圖形或CGI代碼等在防火墻內(nèi)運行。在Finger服務器中,對外部訪問,防火墻只提供可由內(nèi)部用戶配置的基本的文本信息,而不提供任何與攻擊有關的系統(tǒng)信息。SMTP與POP郵件服務器要對所有進、出防火墻的郵件做處理,并利用郵件映射與標頭剝除的方法隱除內(nèi)部的郵件環(huán)境。Ident服務器對用戶連接的識別做專門處理,網(wǎng)絡新聞服務則為接收來自ISP的新聞開設了專門的磁盤空間。
(6)安全服務器網(wǎng)絡(SSN)。
為了適應越來越多的用戶向Internet上提供服務時對服務器的需要,新一代防火墻采用分別保護的策略對用戶上網(wǎng)的對外服務器實施保護,它利用一張網(wǎng)卡將對外服務器作為一個獨立網(wǎng)絡處理,對外服務器既是內(nèi)部網(wǎng)絡的一部分,又與內(nèi)部網(wǎng)關完全隔離,這就是安全服務器網(wǎng)絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設置成通過FTP、Telnet等方式從內(nèi)部網(wǎng)上管理。SSN方法提供的安全性要比傳統(tǒng)的“隔離區(qū)(DMZ)”方法好得多,因為SSN與外部網(wǎng)之間有防火墻保護,SSN與內(nèi)部網(wǎng)之間也有防火墻的保護,而DMZ只是一種在內(nèi)、外部網(wǎng)絡網(wǎng)關之間存在的一種防火墻方式。換言之,一旦SSN受破壞,內(nèi)部網(wǎng)絡仍會處于防火墻的保護之下,而一旦DMZ受到破壞,內(nèi)部網(wǎng)絡便暴露于攻擊之下。
(7)用戶鑒別與加密。
為了降低防火墻產(chǎn)品在Ielnet、FTP等服務和遠程管理上的安全風險,鑒別功能必不可少。新一代防火墻采用一次性使用的口令系統(tǒng)來作為用戶的鑒別手段,并實現(xiàn)了對郵件的加密。
(8)用戶定制服務。
為了滿足特定用戶的特定需求,新一代防火墻在提供眾多服務的同時,還為用戶定制提供支持,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數(shù)據(jù)庫的,便可以利用這些支持,方便設置。
(9)審計和告警。
新一代防火墻產(chǎn)品采用的審計和告警功能十分健全,日志文件包括:一般信息、內(nèi)核信息、核心信息、接收郵件、郵件路徑、發(fā)送郵件、已收消息、已發(fā)消息、連接需求、已鑒別的訪問、告警條件、管理日志、進站、FTP、出站、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋,并能以發(fā)出郵件、聲響等多種方式報警。此外,防火墻還在網(wǎng)絡診斷、數(shù)據(jù)備份保全等方面具有特色。
目前的防火墻主要有兩種類型。其一是包過濾型防火墻。它一般由路由器實現(xiàn),故也被稱為包過濾路由器。它在網(wǎng)絡層對進入和出去內(nèi)部網(wǎng)絡的所有信息進行分析,一般檢查數(shù)據(jù)包的IP源地址、IP目標地址、TCP端口號、ICMP消息類型,并按照信息過濾規(guī)則進行篩選,若符合規(guī)則,則允許該數(shù)據(jù)包通過防火墻進入內(nèi)部網(wǎng),否則進行報警或通知管理員,并且丟棄該包。這樣一來,路由器能根據(jù)特定的劌則允許或拒絕流動的數(shù)據(jù),如:Telnet服務器在TCP的23號端口監(jiān)聽遠程連接,若管理員想阻塞所有進入的Telnet連接,過濾規(guī)則只需設為丟棄所有的TCP端口號為23的數(shù)據(jù)包。采用這種技術的防火墻速度快,實現(xiàn)方便,但由于它是通過IP地址來判斷數(shù)據(jù)包是否允許通過,沒有基于用戶的認證,而IP地址可以偽造成可信任的外部主機地址,另外它不能提供日志,這樣一來就無法發(fā)現(xiàn)黑客的攻擊紀錄。
其二是應用級防火墻。大多數(shù)的應用級防火墻產(chǎn)品使用的是應用機制,內(nèi)置了應用程序,可用服務器作內(nèi)部網(wǎng)和Internet之間的的轉(zhuǎn)換。若外部網(wǎng)的用戶要訪問內(nèi)部網(wǎng),它只能到達服務器,若符合條件,服務器會到內(nèi)部網(wǎng)取出所需的信息,轉(zhuǎn)發(fā)出去。同樣道理,內(nèi)部網(wǎng)要訪問Internet,也要通過服務器的轉(zhuǎn)接,這樣能監(jiān)控內(nèi)部用戶訪問Internet.這類防火墻能詳細記錄所有的訪問紀錄,但它不允許內(nèi)部用戶直接訪問外部,會使速度變慢。且需要對每一個特定的Internet服務安裝相應的服務器軟件,用戶無法使用未被服務器支持的服務。
防火墻技術從其功能上來分,還可以分為FTP防火墻、Telnet防火墻、Email防火墻、病毒防火墻等等。通常幾種防火墻技術被一起使用,以彌補各自的缺陷和增加系統(tǒng)的安全性能。
防火墻雖然能對外部網(wǎng)絡的功擊實施有效的防護,但對來自內(nèi)部網(wǎng)絡的功擊卻無能為力。網(wǎng)絡安全單靠防火墻是不夠的,還需考慮其它技術和非技術的因素,如信息加密技術、制訂法規(guī)、提高網(wǎng)絡管理使用人員的安全意識等。就防火墻本身來看,包過濾技術和訪問模式等都有一定的局限性,因此人們正在尋找更有效的防火墻,如加密路由器、“身份證”、安全內(nèi)核等。但實踐證明,防火墻仍然是網(wǎng)絡安全中最成熟的一種技術。
二、數(shù)據(jù)加密技術
在電子商務中,信息加密技術是其它安全技術的基礎,加密技術是指通過使用代碼或密碼將某些重要信息和數(shù)據(jù)從一個可以理解的明文形式變換成一種復雜錯亂的、不可理解的密文形式(即加密),在線路上傳送或在數(shù)據(jù)庫中存儲,其他用戶再將密文還原成明文(即解密),從而保障信息數(shù)據(jù)的安全性。
數(shù)據(jù)加密的方法很多,常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫秘密密鑰加密。發(fā)送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM于1971年開始研制,1977年美國標準局正式頒布其為加密標準,這種方法使用簡單,加密解密速度快,適合于大量信息的加密。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密信息,也可假冒一方做壞事。第二,假設每對交易方用不同的密鑰,N對交易方需要N*(N-1)/2個密鑰,難于管理。第三,不能鑒別數(shù)據(jù)的完整性。
非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數(shù)據(jù)加解密時,使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的信息,只能用對應的私鑰解密,同樣地,用私鑰解密的數(shù)據(jù)只能用對應的公鑰解密。具體加密傳輸過程如下:
(1)發(fā)送方甲用接收方乙的公鑰加密自己的私鑰。
(2)發(fā)送方家用自己的私鑰加密文件,然后將加密后的私鑰和文件傳輸給接收方。
(3)接收方乙用自己的私鑰解密,得到甲的私鑰。
(4)接收方乙用甲的公鑰解密,得到明文。
這個過程包含了兩個加密解密過程:密鑰的加解密和文件本身的加解密。在密鑰的加密過程中,由于發(fā)送方甲用乙的公鑰加密了自己的私鑰,如果文件被竊取,由于只有乙保管自己的私鑰,黑客無法解密。這就保證了信息的機密性。另外,發(fā)送方甲用自己的私鑰加密信息,因為信息是用甲的私鑰加密,只有甲保管它,可以認定信息是甲發(fā)出的,而且沒有甲的私鑰不能修改數(shù)據(jù)??梢员WC信息的不可抵賴性。
關鍵詞:移動電子商務IEEE802.11WAPWPKI
隨著無線通信技術的發(fā)展,移動電子商務已經(jīng)成為電子商務研究熱點。移動電子商務是將現(xiàn)代信息科學技術和傳統(tǒng)商務活動相結合,隨時隨地為用戶提供各種個性化的、定制的在線動態(tài)商務服務。
但在無線世界里,人們對于進行商務活動安全性的考慮比在有線環(huán)境中要多。只有當所有的用戶確信,通過無線方式所進行的交易不會發(fā)生欺詐或篡改、進行的交易受到法律的承認和隱私信息被適當?shù)谋Wo時,移動電子商務才有可能蓬勃開展。
移動電子商務通信安全的現(xiàn)狀
由于無線通訊接入方式非常靈活,所以其對安全的要求更高。實際上,主要的無線通信技術都有各自的措施、協(xié)議和方法來保證各自體制下的通信安全。這里我們將從無線網(wǎng)絡和電子商務應用兩個方面作簡要討論。
無線局域網(wǎng)
無線局域網(wǎng)絡是以無線連接至局域網(wǎng)絡的通訊方式。它采用的是IEEE802.11系列標準。在該標準中,無線局域網(wǎng)的安全機制采用的是WEP協(xié)議(有線對等安全協(xié)議)。在數(shù)據(jù)鏈路用WEP加密數(shù)據(jù),保證了信道上傳送數(shù)據(jù)的安全。另外,無線局域網(wǎng)的網(wǎng)絡管理員分配給每個授權用戶一個基于WEP算法的密鑰,這樣就有效阻止了非授權用戶的訪問。
WAP(無線應用協(xié)議)技術
WAP由一系列協(xié)議組成,用來標準化無線通信設備,例如:移動電話、移動終端;它負責將Internet和移動通信網(wǎng)連接到一起,客觀上已成為移動終端上網(wǎng)的標準。WAP協(xié)議可以廣泛地運用于GSM、CDMA、TDMA、3G等多種網(wǎng)絡。
WAP的安全機制是通過WTLS(無線傳輸層安全)協(xié)議來實現(xiàn)的。WTLS協(xié)議類似于互聯(lián)網(wǎng)傳輸層安全協(xié)議。在無線技術的有限的發(fā)送功率、存儲容量及帶寬的條件下,WTLS能夠?qū)崿F(xiàn)鑒定,保證數(shù)據(jù)的完整性和提供保密服務的目標。
數(shù)字認證技術
對諸如移動電子商務和有重要使命的合作通信等活動,其安全性的一個關鍵方面是能否對信息發(fā)送者的身份進行論證,通常都要利用有線安全的公開密鑰基本構架(PKI)。
PKI提供與加密和數(shù)字證書有關的一系列技術。但在無線通信環(huán)境中,PKI是很難實現(xiàn)的。在只有有限計算能力和低數(shù)據(jù)流通率的設備上實現(xiàn)PKI中的服務一直是一個有挑戰(zhàn)性的難題。同時在PKI的基礎上,要將無線設備與有線設備之間進行互通也是有難度的。因此無線PKI(WPKI)協(xié)議是要將標準的PKI進行修正和簡化,使其在無線通信的環(huán)境下達到最優(yōu)。
移動電子商務安全分析
IEEE802.11的安全
IEEE802.11標準規(guī)定了MAC層的存取控制規(guī)范,也定義了加密機制,即上述的WEP。WEP的目的是通過對信息流加密并利用WEP認證節(jié)點,使無線通信傳輸像有線網(wǎng)絡一樣安全。
WEP加密使用共享密鑰和RC4加密算法。訪問點(AP)和連接到該訪問點的所有工作站必須使用同樣的共享密鑰。對于往任一方向發(fā)送的數(shù)據(jù)包,傳輸程序都將數(shù)據(jù)包的內(nèi)容與數(shù)據(jù)包的檢驗組合在一起。然后,WEP標準要求傳輸程序創(chuàng)建一個特定于數(shù)據(jù)包的初始化向量(IV),后者與密鑰k相組合在一起,用于對數(shù)據(jù)包進行加密。接收器生成自己的匹配數(shù)據(jù)包密鑰并用之對數(shù)據(jù)包進行解密。在理論上,這種方法優(yōu)于單獨使用共享私鑰的顯式策略,應該使對方更難于破解。
但是,IEEE802.11中用于安全的WEP算法只是提供相當于有線局域網(wǎng)基本安全的安全級別,根本不是一種全面的安全方案。越來越多的安全專家和研究人員發(fā)現(xiàn)IEEE802.11存在安全漏洞,有經(jīng)驗的黑客會利用這些漏洞進行攻擊。其缺陷主要有:RC4算法本身就有一個小缺陷。WEP標準允許IV重復使用(平均大約每5小時重復一次)。WEP標準不提供自動修改密鑰的方法。
最早的WEP實施只提供40位加密,這使得它抗暴力攻擊能力差。現(xiàn)代的系統(tǒng)提供128位的WEP,128位的密鑰長度減去24位的IV后,實際上有效的密鑰長度為104位。盡管如此,128位的WEP版本也不能保證絕對安全。最好的解決辦法是把無線網(wǎng)絡放在機構防火墻之外,這種防范措施會強制要求將無線連接當作不受信任的連接來看待,就像看待其他任何來自Internet的連接一樣。
所以,WEP應該與其他安全機制一起應用才能提供較強的安全。
WAP的安全
WAP規(guī)范的安全特性包括幾個部分:WTLS協(xié)議、用于存儲用戶證書的WAP身份模塊(WIM)和允許WAP交易簽名的SignText功能。
WTLS協(xié)議:WTLS基于IETF小組的SSL/TLS協(xié)議,提供了實體鑒別、數(shù)據(jù)加密和保護數(shù)據(jù)完整性的功能,所以可以確保在WAP裝置和WAP網(wǎng)關之間的安全通信。有三種不同級別的WTLS:
1級:執(zhí)行未經(jīng)證實的Diffie-Hellman密鑰交換以建立會話密鑰。
2級:使用與SSL/TLS協(xié)議相類似的公開密鑰證書機制進行服務器端鑒別。
3級:客戶端和服務器端采用X.509格式證書相互進行鑒別。
早期WAP裝置僅僅采用了第1級別的WTLS,這種級別的安全不夠,所以不能用于電子商務。目前,支持第2和第3級別WTLS的移動裝置從市場上可以得到,它們可以確保網(wǎng)上銀行交易和購物等應用的機密性。
WIM:為了便于客戶端的鑒別,新一代的WAP電話提供了WIM。WIM包含了WTLS3級的功能,并嵌入了對公開密鑰加密技術的支持(RSA是強制的,而ECC是可選的)。生產(chǎn)廠家為WIM配備了兩套公私密鑰對(一套用于簽名,另一套用于鑒別)和兩個廠商的證書。用配置在WIM上的公匙把廠商的證書和廠商名字捆綁在一起。這樣,通過WIM和WAP網(wǎng)關建立的所有WTLS會話都將使用相同的公匙用作初始會話。每一個會話都將包括與此密鑰對應的一個不同的證書。WIM的基本要求是它們要具有抗篡改的能力。
SignText功能:這個功能為WAP用戶提供了數(shù)字簽名。同電子簽名功能一樣,這個功能可以被應用于其他無線設備,或者是手持設備,或者是內(nèi)嵌SIM卡。
WAP的安全分析:由WAP提供的最好的安全是WTLS3級,多數(shù)情況下WTLS已足以確保WAP的安全。但是,由于WAP網(wǎng)關在WAP設備和Web服務器之間起著翻譯的作用,相應的帶來了安全問題:WTLS安全會話建立在手機與WAP網(wǎng)關之間,而與終端服務器無關。這意味著數(shù)據(jù)只在WAP手機與網(wǎng)關之間加密,網(wǎng)關將數(shù)據(jù)解密后,利用其他方法將數(shù)據(jù)再次加密,然后經(jīng)過TLS連接發(fā)送給終端服務器。由于WAP網(wǎng)關可以看見所有的數(shù)據(jù)明文,而該WAP網(wǎng)關可能并不為服務器所有者所擁有,這樣,潛在的第三方可能獲得所有的傳輸數(shù)據(jù)。
目前,針對上述安全性問題,可以采用這樣的措施來提高WAP的安全性:盡力確保WAP網(wǎng)關的安全。如果WAP網(wǎng)關位于WAP服務供應商范圍之內(nèi),可以通過諸如在內(nèi)存中對加密和解密過程進行最優(yōu)化以減少數(shù)據(jù)明文存在的時間、在釋放前覆蓋加密解密進程使用的內(nèi)存以確保數(shù)據(jù)的安全性。對于安全要求較高的公司可以擁有自己的WAP網(wǎng)關,從而保障數(shù)據(jù)端到端的安全性。通過WIM實現(xiàn)數(shù)據(jù)安全性。
WPKI技術
在有線通信中,電子商務交易的一個重要安全保障是PKI。PKI的系統(tǒng)概念、安全操作流程、密鑰、證書等同樣也適用于解決移動電子商務交易的安全問題,但在應用PKI的同時要考慮到移動通信環(huán)境的特點,并據(jù)此對PKI技術進行改進。
WPKI技術滿足移動電子商務安全的要求:即保密性、完整性、真實性、不可抵賴性,消除了用戶在交易中的風險。WPKI技術主要包含以下幾個方面:
認證機構(CA)CA系統(tǒng)是PKI的信任基礎,負責分發(fā)和驗證數(shù)字證書,規(guī)定證書的有效期,證書廢除列表。
注冊機構(RA)RA提供用戶和CA之間的一個接口。作為認證機構的校驗者,在數(shù)字證書分發(fā)給請求者之前對證書進行驗證。
智能卡智能卡將具有存儲、加密及數(shù)據(jù)處理能力的集成電路芯片鑲嵌于塑料基片中,具有體積小、難于破解等特點,在生產(chǎn)過程、訪問控制方面有很強的安全保障。很多種需要客戶端認證的應用都可以使用智能卡來實現(xiàn)。并且智能卡也是存儲移動電子商務密鑰及相關數(shù)字證書的最佳選擇。
加密算法加密算法越復雜,密鑰越長則安全性越高,但執(zhí)行運算所需的時間也越長(或需要計算能力更強的芯片)。所以,支持RSA算法的智能卡通常需要高性能的具有協(xié)處理器的芯片。而ECC使用較短的密鑰就可以達到和RSA算法相同的加密強度。由于智能卡受CPU處理能力和RAM大小的限制,因而采用一種運算量小同時能提供高加密強度的公鑰密碼體制對在智能卡上實現(xiàn)數(shù)字簽名應用是至關重要的,ECC在這方面具有很大的優(yōu)勢。
綜上所述,在WPKI機制下,數(shù)字證書非常重要,但是由于無線信道和移動終端的限制,如何安全、便捷地交換用戶的數(shù)字證書是WPKI所必須解決的問題。可以采用以下2種辦法解決:WTLS證書,WTLS證書的功能與X.509證書相同,但更小、更簡化,利于在資源受限的手持終端中處理。但所有證書必須含有與密鑰交換算法相一致的密鑰,除非特別指定,簽名算法必須與證書中密鑰的算法相同:移動證書標識,將標準的一個X.509證書與移動證書標識唯一對應,并且在移動終端中嵌入移動證書標識,用戶每次只需要將自己的移動證書標識與簽名數(shù)據(jù)一起提交給對方,對方再根據(jù)移動證書標識檢索相應的數(shù)字證書即可。
目前,大多數(shù)移動電子商務采用的安全方式是非PKI的方式,這種方式主要采用對稱加密算法和單向散列函數(shù)來提供安全服務,其密鑰的管理是由移動運營商建立一套主密鑰管理系統(tǒng),為不同的服務提供商分配不同的密鑰,每次交易過程中,服務提供商與用戶協(xié)商產(chǎn)生會話加密密鑰。顯然,采用這種方式構建的系統(tǒng)的安全性主要取決于主密鑰的安全。
盡管非PKI方式對于無線終端有限的處理能力來說尤其適合,而且通過黑名單管理等方法可以使系統(tǒng)的安全得到較好的保障,但是從長遠來說,移動電子商務有必要逐步過渡到PKI方式。
移動電子商務隨著移動互聯(lián)網(wǎng)技術的成熟發(fā)展迅速,其獨特的應用領域使得其安全問題倍受關注。從技術角度上看,一方面無線通信的安全處在不斷地發(fā)展和完善之中,其應用到移動電子商務中時要與其它的安全機制相結合才能滿足實際應用的需要;另一方面有線電子商務的安全技術不能解決移動電子商務的安全問題,所以WPKI技術是一個現(xiàn)實的選擇。因此,將這兩方面進行改進并進行有機整合,才能營造一個安全的移動電子商務環(huán)境。
參考文獻:
1.儲節(jié)旺,郭春俠.移動電子商務研究[J].現(xiàn)代情報,2002,3(3)
2.姜志,聶志鋒.移動電子商務及其關鍵技術[J].湖北郵電技術,2002,9(3)
關鍵詞:電子商務;網(wǎng)絡銀行;私有密鑰加密法;公開密鑰加密法
對數(shù)據(jù)進行有效加密與解密,稱為密碼技術,即數(shù)據(jù)機密性技術。其目的是為了隱蔽數(shù)據(jù)信息,將明文偽裝成密文,使機密性數(shù)據(jù)在網(wǎng)絡上安全地傳遞而不被非法用戶截取和破譯。偽裝明文的操作稱為加密,合法接收者將密文恢復出原明文的過程稱為解密,非法接收者將密文恢復出原明文的過程稱為破譯。密碼是明文和加密密鑰相結合,然后經(jīng)過加密算法運算的結果。加密包括兩個元素,加密算法和密鑰。加密時所使用的信息變換規(guī)則稱為加密算法,是用來加密的數(shù)學函數(shù),一個加密算法是將普通的文本(或者可以理解的信息)與一串字符串即密鑰結合運算,產(chǎn)生不可理解的密文的步驟。密鑰是借助一種數(shù)學算法生成的,它通常是由數(shù)字、字母或特殊符號組成的一組隨機字符串,是控制明文和密文變換的唯一關鍵參數(shù)。對于相同的加密算法,密鑰的位數(shù)越多,破譯的難度就越大,安全性就越好。目前,電子商務通信中常用的有私有(對稱)密鑰加密法和公開(非對稱)密鑰加密法。
一、私有密鑰加密法
(一)定義
私有密鑰加密,指在計算機網(wǎng)絡上甲、乙兩用戶之間進行通信時,發(fā)送方甲為了保護要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進行加密而形成密文M并發(fā)送給接收方乙,接收方乙用同樣的一把密鑰A對收到的密文M進行解密,得到明文信息,從而完成密文通信目的的方法。這種信息加密傳輸方式,就稱為私有密鑰加密法。上述加密法的一個最大特點是,信息發(fā)送方與信息接收方均需采用同樣的密鑰,具有對稱性,所以私有密鑰加密又稱為對稱密鑰加密。
(二)使用過程
具體到電子商務,很多環(huán)節(jié)要用到私有密鑰加密法。例如,在兩個商務實體或兩個銀行之間進行資金的支付結算時,涉及大量的資金流信息的傳輸與交換。這里以發(fā)送方甲銀行與接收方乙銀行的一次資金信息傳輸為例,來描述應用私有密鑰加密法的過程:銀行甲借助專業(yè)私有密鑰加密算法生成私有密鑰A,并且復制一份密鑰A借助一個安全可靠通道(如采用數(shù)字信封)秘密傳遞給銀行乙;銀行甲在本地利用密鑰A把信息明文加密成信息密文;銀行甲把信息密文借助網(wǎng)絡通道傳輸給銀行乙;銀行乙接受信息密文;銀行乙在本地利用一樣的密鑰A把信息密文解密成信息明文。這樣銀行乙就知道銀行甲的資金轉(zhuǎn)賬通知單的內(nèi)容,結束通信。
(三)常用算法
世界上一些專業(yè)組織機構研發(fā)了許多種私有密鑰加密算法,比較著名的有DES算法及其各種變形、國際數(shù)據(jù)加密算法IDEA等。DES算法由美國國家標準局提出,1977年公布實施,是目前廣泛采用的私有密鑰加密算法之一,主要應用于銀行業(yè)中的電子資金轉(zhuǎn)賬、軍事定點通信等領域,比如電子支票的加密傳送。經(jīng)過20多年的使用,已經(jīng)發(fā)現(xiàn)DES很多不足之處,隨著計算機技術進步,對DES的破解方法也日趨有效,所以更安全的高級加密標準AES將會替代DES成為新一代加密標準。
(四)優(yōu)缺點
私有密鑰加密法的主要優(yōu)點是運算量小,加解密速度快,由于加解密應用同一把密鑰而應用簡單。在專用網(wǎng)絡中由于通信各方相對固定、所以應用效果較好。但是,私有密鑰加密技術也存在著以下一些問題:一是分發(fā)不易。由于算法公開,其安全性完全依賴于對私有密鑰的保護。因此,密鑰使用一段時間后就要更換,而且必須使用與傳遞加密文件不同的途徑來傳遞密鑰,即需要一個傳遞私有密鑰的安全秘密渠道,這樣秘密渠道的安全性是相對的,通過電話通知、郵寄軟盤、專門派人傳送等方式均存在一些問題。二是管理復雜,代價高昂。私有密鑰密碼體制用于公眾通信網(wǎng)時,每對通信對象的密鑰不同,必須由不被第三者知道的方式,事先通知對方。隨著通信對象的增加,公眾通信網(wǎng)上的密碼使用者必須保存所有通信對象的大量的密鑰。這種大量密鑰的分配和保存,是私有密鑰密碼體制存在的最大問題。三是難以進行用戶身份的認定。采用私有密鑰加密法實現(xiàn)信息傳輸,只是解決了數(shù)據(jù)的機密性問題,并不能認證信息發(fā)送者的身份。若密鑰被泄露,如被非法獲取者猜出,則加密信息就可能被破譯,攻擊者還可用非法截取到的密鑰,以合法身份發(fā)送偽造信息。在電子商務中,有可能存在欺騙,別有用心者可能冒用別人的名義發(fā)送資金轉(zhuǎn)賬指令。因此,必須經(jīng)常更換密鑰,以確保系統(tǒng)安全。四是采用私有密鑰加密法的系統(tǒng)比較脆弱,較易遭到不同密碼分析的攻擊。五是它僅能用于對數(shù)據(jù)進行加解密處理,提供數(shù)據(jù)的機密性,不能用于數(shù)字簽名。
二、公開密鑰加密法
(一)定義與應用原理
公開密鑰加密法是針對私有密鑰加密法的缺陷而提出來的。是電子商務應用的核心密碼技術。所謂公開密鑰加密,就是指在計算機網(wǎng)絡上甲、乙兩用戶之間進行通信時,發(fā)送方甲為了保護要傳輸?shù)拿魑男畔⒉槐坏谌礁`取,采用密鑰A對信息進行加密而形成密文M并發(fā)送給接收方乙,接收方乙用另一把密鑰B對收到的密文M進行解密,得到明文信息完密文通信目的的方法。由于密鑰A、密鑰B這兩把密鑰中其中一把為用戶私有,另一把對網(wǎng)絡上的大眾用戶是公開的,所以這種信息加密傳輸方式,就稱為公開密鑰加密法。與私有(對稱)密鑰加密法的加密和解密用同一把密鑰的原理不同,公開密鑰加密法的加密與解密所用密鑰是不同的,不對稱,所以公開私有密鑰加密法又稱為非對稱密鑰加密法。
公開密鑰加密法的應用原理是:借助密鑰生成程序生產(chǎn)密鑰A與密鑰B,這兩把密鑰在數(shù)學上相關,對稱作密鑰對。用密鑰對其中任何一個密鑰加密時,可以用另一個密鑰解密,而且只能用此密鑰對其中的另一個密鑰解密。在實際應用中,某商家可以把生成的密鑰A與密鑰B做一個約定,將其中一把密鑰如密鑰A保存好,只有商家自己知道并使用,不與別人共享,叫作私人密鑰;將另一把密鑰即密鑰B則通過網(wǎng)絡公開散發(fā)出去,誰都可以獲取一把并能應用,屬于公開的共享密鑰,叫做公開密鑰。如果一個人選擇并公布了他的公鑰,其他任何人都可以用這一公鑰來加密傳送給那個人的消息。私鑰是秘密保存的,只有私鑰的所有者才能利用私鑰對密文進行解密,而且非法用戶幾乎不可能從公鑰推導出私鑰。存在下面兩種應用情況:一是任何一個收到商家密鑰B的客戶,都可以用此密鑰B加密信息,發(fā)送給這個商家,那么這些加密信息就只能被這個商家的私人密鑰A解密。實現(xiàn)保密性。二是商家利用自己的私人密鑰A對要發(fā)送的信息進行加密進成密文信息,發(fā)送給商業(yè)合作伙伴,那么這個加密信息就只能被公開密鑰B解密。這樣,由于只能應用公開密鑰B解密,根據(jù)數(shù)學相關關系可以斷定密文的形成一定是運用了私人密鑰A進行加密的結果,而私人密鑰A只有商家擁有,由此可以斷定網(wǎng)上收到的密文一定是擁有私人密鑰A的商家發(fā)送的。
(二)使用過程
具體到電子商務,很多環(huán)節(jié)要用到公開密鑰加密法,例如在網(wǎng)絡銀行客戶與銀行進行資金的支付結算操作時,就涉及大量的資金流信息的安全傳輸與交換。以客戶甲與乙網(wǎng)絡銀行的資金信息傳輸為例,來描述應用公開密鑰加密法在兩種情況下的使用過程。首先,網(wǎng)絡銀行乙通過公開密鑰加密法的密鑰生成程序,生成自己的私人密鑰A與公開密鑰B并數(shù)學相關,私人密鑰A由網(wǎng)絡銀行乙自己獨自保存,而公開密鑰B已經(jīng)通過網(wǎng)絡某種應用形式(如數(shù)字證書)分發(fā)給網(wǎng)絡銀行的眾多客戶,當然客戶甲也擁有一把網(wǎng)絡銀行乙的公開密鑰B。
1、客戶甲傳送一“支付通知”給網(wǎng)絡銀行乙,要求“支付通知”在傳送中是密文,并且只能由網(wǎng)絡銀行乙解密知曉,從而實現(xiàn)了定點保密通信。客戶甲利用獲得的公開密鑰B在本地對“支付通知”明文進行加密,形成“支付通知”密文,通過網(wǎng)絡將密文傳輸給網(wǎng)絡銀行乙。網(wǎng)絡銀行乙收到“支付通知”密文后,發(fā)現(xiàn)只能用自己的私人密鑰A進行解密形成“支付通知”明文,斷定只有自己知曉“支付通知”的內(nèi)容,的確是發(fā)給自己的。
2、網(wǎng)絡銀行乙在按照收到的“支付通知”指令完成支付轉(zhuǎn)賬服務后,必須回送客戶甲“支付確認”,客戶甲在收到“支付確認”后,斷定只能是網(wǎng)絡銀行乙發(fā)來的,而不是別人假冒的,將來可作支付憑證,從而實現(xiàn)對網(wǎng)絡銀行業(yè)務行為的認證,網(wǎng)絡銀行不能隨意否認或抵賴。網(wǎng)絡用戶乙在按照客戶甲的要求完成相關資金轉(zhuǎn)賬后,準備一個“支付確認”明文,在本地利用自己的私人密鑰A對“支付確認”明文進行加密,形成“支付確認”密文,通過網(wǎng)絡將密文傳輸給客戶甲??蛻艏资盏健爸Ц洞_認”密文后,雖然自己有許多密鑰,有自己的,也有別人的,卻發(fā)現(xiàn)只能用獲得的網(wǎng)絡銀行乙的公開密鑰B進行解密,形成“支付確認”明文,由于公開密鑰B只能解密由私人密鑰A加密的密文,而私人密鑰A只有網(wǎng)絡銀行乙所有,因此客戶甲斷定這個“支付確認”只能是網(wǎng)絡銀行乙發(fā)來的,不是別人假冒的,可作支付完成的憑證。
(三)算法
當前最著名、應用最廣泛的公開密鑰系統(tǒng)是RSA(取自三個創(chuàng)始人的名字的第一個字母)算法。目前電子商務中大多數(shù)使用公開密鑰加密法進行加解密和數(shù)字簽名的產(chǎn)品和標準使用的都是RSA算法。RSA算法是基于大數(shù)的因子分解,而大數(shù)的因子分解是數(shù)學上的一個難題,其難度隨數(shù)的位數(shù)加多而提高。
(四)優(yōu)缺點
優(yōu)點是可以在不安全的媒體上通信雙方交換信息,不需共享通用密鑰,用于解密的私鑰不需發(fā)往任何地方,公鑰在傳遞與過程中即使被截獲,由于沒有與公鑰相匹配的私鑰,截獲公鑰也沒有意義。
能夠解決信息的否認與抵賴問題,身份認證較為方便。密鑰分配簡單,公開密鑰可以像電話號碼一樣,告訴每一個網(wǎng)絡成員,商業(yè)伙伴需要好好保管的只是一個私人密鑰。而且密鑰的保存量比起私人密鑰加密少得多,管理較為方便。最大的缺陷就在于它的加解密速度。
三、兩種加密法的比較
通過DES算法和RSA算法的比較說明公開密鑰加密法和私有密鑰加密法的區(qū)別:在加密、解密的處理效率方面,DES算法明顯優(yōu)于RSA算法,即DES算法快得多;在密鑰的分發(fā)與管理方面,RSA算法比DES算法更加優(yōu)越;在安全性方面,只要密鑰夠長,如112b密鑰的DES算法和1024b的RSA算法的安全性就很好,目前還沒找到在可預見的時間內(nèi)破譯它們的有效方法;在簽名和認證方面,DES算法從原理上不可能實現(xiàn)數(shù)字簽名和身份認證,但RSA算法能夠方便容易的進行數(shù)字簽名和身份認證。
基于以上比較的結果可以看出,私有密鑰加密法與公開密鑰加密法各有長短,公開密鑰加密在簽名認證方面功能強大,而私有密鑰加密在加/解密速度方面具有很大優(yōu)勢。為了充分發(fā)揮對稱加密法和非對稱加密法各自的優(yōu)點,在實際應用中通常將這兩種加密法結合在一起使用,比如:利用DES來加密信息,而采用RSA來傳遞對稱加密體制中的密鑰。這樣不僅數(shù)據(jù)信息的加解密速度快,同時保障了密鑰傳遞的安全性。數(shù)據(jù)加密技術是信息安全的基本技術,在網(wǎng)絡中使用的越來越廣泛。針對不同的業(yè)務要求可以設計或采取不同的加密技術及實現(xiàn)方式。另外還要注意的是,數(shù)據(jù)加密技術所討論的安全性只是暫時的,因此還要投入對密碼技術新機制、新理論的研究才能滿足不斷增長的信息安全需求。
參考文獻:
[1]丁學君.電子商務中的信息安全問題及其對策[J].計算機安全,2009,(2).
[2]余紹軍,彭銀香.電子商務安全與數(shù)據(jù)加密技術淺析[J].中國管理信息化(綜合版),2007,(04).
[3]王俊杰.電子商務安全問題及其應對策略[J].特區(qū)經(jīng)濟,2007,(07).
[4]秦昌友.淺析電子商務的安全技術[J].蘇南科技開發(fā),2007,(08).
1電子商務網(wǎng)站安全的要求影響
電子商務網(wǎng)站安全的因素是多方面的。從網(wǎng)站內(nèi)部看,網(wǎng)站計算機硬件、通信設備的可靠性、操作系統(tǒng)、網(wǎng)絡協(xié)議、數(shù)據(jù)庫系統(tǒng)等自身的安全漏洞,都會影響到網(wǎng)站的安全運行。從網(wǎng)站外部看,網(wǎng)絡黑客、入侵者、計算機病毒也是危害電子商務網(wǎng)站安全的重要因素。電子商務網(wǎng)站的安全包括三個方面的要求:1.1網(wǎng)站硬件的安全要求網(wǎng)站的計算機硬件、附屬通信設備及網(wǎng)站傳輸線路穩(wěn)定可靠,只有經(jīng)過授權的用戶才能使用和訪問。1.2網(wǎng)站軟件的安全網(wǎng)站的軟件不被非法篡改,不受計算機病毒的侵害;網(wǎng)站的數(shù)據(jù)信息不被非法復制、破壞和丟失。1.3網(wǎng)站傳輸信息的安全指信息在傳輸過程中不被他人竊取、篡改或偷看;能確定客戶的真實身份。本文主要論述當電子商務網(wǎng)站面對來自網(wǎng)站外部的安全威脅時,應采取哪些有效的安全措施保護網(wǎng)站的安全。
2電子商務網(wǎng)站的安全措施
2.1防火墻技術防火墻是指一個由硬件設備或軟件、或軟硬件組合而成的,在內(nèi)部網(wǎng)與外部網(wǎng)之間構造的保護屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過此保護層,并由它進行檢查和連接。只有被授權的通信才能通過防火墻,從而使內(nèi)部網(wǎng)絡與外部網(wǎng)絡在一定意義下隔離,防止非法入侵、非法使用系統(tǒng)資源、執(zhí)行安全管制措施。防火墻基本分為兩類:包過濾和基于的防火墻。包過濾防火墻對數(shù)據(jù)包進行分析、選擇,依據(jù)系統(tǒng)內(nèi)事先設定的過濾邏輯來確定是否允許該數(shù)據(jù)包通過。防火墻能夠?qū)⒕W(wǎng)絡通信鏈路分為兩段,使內(nèi)部網(wǎng)與Internet不直接通信,而是使用服務器作為數(shù)據(jù)轉(zhuǎn)發(fā)的中轉(zhuǎn)站,只有那些被認為可信賴的數(shù)據(jù)才允許通過。這兩種防火墻各有其優(yōu)缺點:包過濾器只能結合源地址、目標地址和端口號才能起作用,如果攻擊者攻破了包過濾防火墻,整個網(wǎng)絡就公開了。防火墻比包過濾器慢,當網(wǎng)站訪問量較大時會影響上網(wǎng)速度;防火墻在設立和維護規(guī)則集時比較復雜,有時會導致錯誤配置和安全漏洞。由于這兩種防火墻各有優(yōu)缺點,因而在實際應用中常將這兩種防火墻組合使用。目前市場上最新的防火墻產(chǎn)品集成了和包過濾技術,提供了管理數(shù)據(jù)段和實現(xiàn)高吞吐速度的解決方案。這些混合型的設備在安全要求比吞吐速度有更高要求時,能實行驗證服務,在需要高速度時,它們能靈活地采用包過濾規(guī)則作為保護方法。
2.2入侵檢測系統(tǒng)防火墻是一種隔離控制技術,一旦入侵者進入了系統(tǒng),他們便不受任何阻擋。它不能主動檢測和分析網(wǎng)絡內(nèi)外的危險行為,捕捉侵入罪證。而入侵檢測系統(tǒng)能夠監(jiān)視和跟蹤系統(tǒng)、事件、安全記錄和系統(tǒng)日志,以及網(wǎng)絡中的數(shù)據(jù)包,識別出任何不希望有的活動,在入侵者對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)進行報警、阻斷等響應。入侵檢測系統(tǒng)所采用的技術有:(1)特征檢測:這一檢測假設入侵者活動可以用一種模式來表示,系統(tǒng)的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在于如何設計模式既能夠表達“入侵”現(xiàn)象又網(wǎng)絡時空不會將正常的活動包含進來。(2)異常檢測:假設入侵者活動異于正常主體的活動。根據(jù)這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統(tǒng)計規(guī)律時,認為該活動可能是“入侵”行為。異常檢測的難題在于如何建立“活動簡檔”以及如何設計統(tǒng)計算法,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
2.3網(wǎng)絡漏洞掃描器沒有絕對安全的網(wǎng)站,任何安全漏洞都可能導致風險產(chǎn)生。網(wǎng)絡漏洞掃描器是一個漏洞和風險評估工具,用于發(fā)現(xiàn)、發(fā)掘和報告安全隱患和可能被黑客利用的網(wǎng)絡安全漏洞。網(wǎng)絡漏洞掃描器分為內(nèi)部掃描和外部掃描兩種工作方式:(1)外部掃描:通過遠程檢測目標主機TCP/IP不同端口的服務,記錄目標給予的回答。通過這種方法,可以搜集到很多目標主機的各種信息,例如:是否能用匿名登錄、是否有可寫的FTP目錄、是否能用TELNET等。然后與漏洞掃描系統(tǒng)提供的漏洞庫進行匹配,滿足匹配條件則視為漏洞。也可通過模擬黑客的進攻手法,對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描。如果模擬攻擊成功,則可視為漏洞存在。(2)內(nèi)部掃描:漏洞掃描器以root身份登錄目標主機,記錄系統(tǒng)配置的各項主要參數(shù),將之與安全配置標準庫進行比較和匹配,凡不滿足者即視為漏洞。2.4防病毒系統(tǒng)病毒在網(wǎng)絡中存儲、傳播、感染的途徑多、速度快、方式各異,對網(wǎng)站的危害較大。因此,應利用全方位防病毒產(chǎn)品,實施“層層設防、集中控制、以防為主、防殺結合”的防病毒策略,構建全面的防病毒體系。常用的防病毒技術有:(1)反病毒掃描:通過對病毒代碼的分析找出能成為病毒結構線索的唯一特征。病毒掃描軟件可搜索這些特征或其它能表示有某種病毒存在的代碼段。(2)完整性檢查:通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒。完整性檢查程序只有當病毒正在工作并做些什么事情時才能起作用,而網(wǎng)站可能在完整性檢查程序開始檢測病毒之前已感染了病毒,潛伏的病毒也可以避開檢查。(3)行為封鎖:行為封鎖的目的是防止病毒的破壞。這種技術試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發(fā)生時,行為封鎖軟件就會檢測到并警告用戶。
2.5啟用安全認證系統(tǒng)企業(yè)電子商務網(wǎng)站的安全除網(wǎng)站本身硬件和軟件的安全外,還應包括傳輸信息的安全。對一些重要的的傳輸信息,應保證信息在傳輸過程中不被他人竊取、偷看或修改。因此,應在網(wǎng)站服務器中啟用安全認證系統(tǒng)。安全認證系統(tǒng)對重要的信息采用密碼技術進行加密,使它成為一種不可理解的密文。接收方收到密文后再對它進行解密,將密文還原成原來可理解的形式。目前,在電子商務中普遍采用SSL安全協(xié)議。SSL安全協(xié)議主要提供三方面的服務:(1)認證用戶和服務器,使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機和服務器上。(2)加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。(3)維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。
3結束語
任何一種安全措施都有其局限性,企業(yè)電子商務網(wǎng)站的設計人員必須在精心的安全分析、風險評估、商業(yè)需求分析和網(wǎng)站運行效率分析的基礎上,制定出整體的安全解決方案。為保證整體安全解決方案的效率,各安全產(chǎn)品之間應該實現(xiàn)一種聯(lián)動機制。當漏洞掃描器發(fā)覺安全問題時,就會通知系統(tǒng)管理員,及時采取補漏措施;當入侵檢測系統(tǒng)檢測到攻擊行為時,就會利用防火墻進行實時阻斷;當防病毒系統(tǒng)發(fā)現(xiàn)新病毒時,也會及時更新入侵檢測系統(tǒng)的病毒攻擊庫,以提高入侵檢測系統(tǒng)的檢測效率;由于安全產(chǎn)品和服務器、安全產(chǎn)品與安全產(chǎn)品之間都需要進行必要的數(shù)據(jù)通信,為了保證這些通信的保密性和完整性,可以采用安全認證手段。只有當各種安全產(chǎn)品真正實現(xiàn)聯(lián)動時,網(wǎng)絡安全才能得到保障。
參考文獻
[1]徐超漢.計算機網(wǎng)絡安全與數(shù)據(jù)完整性技術[M].北京:電子工業(yè)出版社,1999:104-105.
[摘要]Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎,而開放性本身又會使網(wǎng)上交易面臨種種危險。安全問題始終是電子商務的核心和關鍵問題。
[關鍵詞]電子商務安全網(wǎng)絡安全商務安全
2003年對中國來說是個多事之秋,先是SARS肆虐后接高溫威脅。但對電子商務來說,卻未必不是好事:更多的企業(yè)、個人及其他各種組織,甚至包括政府都在積極地推動電子商務的發(fā)展,越來越多的人投入到電子商務中去。電子商務是指發(fā)生在開放網(wǎng)絡上的商務活動,現(xiàn)在主要是指在Internet上完成的電子商務。
Intenet所具有的開放性是電子商務方便快捷、廣泛傳播的基礎,而開放性本身又會使網(wǎng)上交易面臨種種危險。一個真正的電子商務系統(tǒng)并非單純意味著一個商家和用戶之間開展交易的界面,而應該是利用Web技術使Web站點與公司的后端數(shù)據(jù)庫系統(tǒng)相連接,向客戶提供有關產(chǎn)品的庫存、發(fā)貨情況以及賬款狀況的實時信息,從而實現(xiàn)在電子時空中完成現(xiàn)實生活中的交易活動。這種新的完整的電子商務系統(tǒng)可以將內(nèi)部網(wǎng)與Internet連接,使小到本企業(yè)的商業(yè)機密、商務活動的正常運轉(zhuǎn),大至國家的政治、經(jīng)濟機密都將面臨網(wǎng)上黑客與病毒的嚴峻考驗。因此,安全性始終是電子商務的核心和關鍵問題。
電子商務的安全問題,總的來說分為二部分:一是網(wǎng)絡安全,二是商務安全。計算機網(wǎng)絡安全的內(nèi)容包括:計算機網(wǎng)絡設備安全,計算機網(wǎng)絡系統(tǒng)安全,數(shù)據(jù)庫安全,工作人員和環(huán)境等。其特征是針對計算機網(wǎng)絡本身可能存在的安全問題,實施網(wǎng)絡安全增強方案,以保證計算機網(wǎng)絡自身的安全性為目標。商務安全則緊緊圍繞傳統(tǒng)商務在Internet上應用時產(chǎn)生的各種安全問題,在計算機網(wǎng)絡安全的基礎上,如何保障電子商務過程的順利進行。即實現(xiàn)電子商務的保密性,完整性,可鑒別性,不可偽造性和不可依賴性。
一、網(wǎng)絡安全問題
一般來說,計算機網(wǎng)絡安全問題是計算機系統(tǒng)本身存在的漏洞和其他人為因素構成了計算機網(wǎng)絡的潛在威脅。一方面,計算機系統(tǒng)硬件和通信設施極易遭受自然環(huán)境的影響(如溫度、濕度、電磁場等)以及自然災害和人為(包括故意破壞和非故意破壞)的物理破壞;另一方面計算機內(nèi)的軟件資源和數(shù)據(jù)易受到非法的竊取、復制、篡改和毀壞等攻擊;同時計算機系統(tǒng)的硬件、軟件的自然損耗等同樣會影響系統(tǒng)的正常工作,造成計算機網(wǎng)絡系統(tǒng)內(nèi)信息的損壞、丟失和安全事故。
二、計算機網(wǎng)絡安全體系
一個全方位的計算機網(wǎng)絡安全體系結構包含網(wǎng)絡的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火墻技術、安全審計技術、安全管理技術、系統(tǒng)漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,并增加了審核信息的數(shù)量,利用這些審核信息可以跟蹤入侵者。
在實施網(wǎng)絡安全防范措施時,首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;其次要用各種系統(tǒng)漏洞檢測軟件定期對網(wǎng)絡系統(tǒng)進行掃描分析,找出可能存在的安全隱患,并及時加以修補;從路由器到用戶各級建立完善的訪問控制措施,安裝防火墻,加強授權管理和認證;利用RAID5等數(shù)據(jù)存儲技術加強數(shù)據(jù)備份和恢復措施。
對敏感的設備和數(shù)據(jù)要建立必要的物理或邏輯隔離措施;對在公共網(wǎng)絡上傳輸?shù)拿舾行畔⒁M行強度的數(shù)據(jù)加密;安裝防病毒軟件,加強內(nèi)部網(wǎng)的整體防病毒措施;建立詳細的安全審計日志,以便檢測并跟蹤入侵攻擊等。
網(wǎng)絡安全技術是伴隨著網(wǎng)絡的誕生而出現(xiàn)的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發(fā)展。近幾年頻繁出現(xiàn)的安全事故引起了各國計算機安全界的高度重視,計算機網(wǎng)絡安全技術也因此出現(xiàn)了日新月異的變化。安全核心系統(tǒng)、VPN安全隧道、身份認證、網(wǎng)絡底層數(shù)據(jù)加密和網(wǎng)絡入侵主動監(jiān)測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網(wǎng)絡的整體安全性。安全核心系統(tǒng)在實現(xiàn)一個完整或較完整的安全體系的同時也能與傳統(tǒng)網(wǎng)絡協(xié)議保持一致。它以密碼核心系統(tǒng)為基礎,支持不同類型的安全硬件產(chǎn)品,屏蔽安全硬件以變化對上層應用的影響,實現(xiàn)多種網(wǎng)絡安全協(xié)議,并在此之上提供各種安全的計算機網(wǎng)絡應用。
互聯(lián)網(wǎng)已經(jīng)日漸融入到人類社會的各個方面中,網(wǎng)絡防護與網(wǎng)絡攻擊之間的斗爭也將更加激烈。這就對網(wǎng)絡安全技術提出了更高的要求。未來的網(wǎng)絡安全技術將會涉及到計算機網(wǎng)絡的各個層次中,但圍繞電子商務安全的防護技術將在未來的幾年中成為重點,如身份認證,授權檢查,數(shù)據(jù)安全,通信安全等將對電子商務安全產(chǎn)生決定性影響。
三、商務安全要求
作為一個成功的電子商務系統(tǒng),首先要消除客戶對交易過程中安全問題的擔心才能夠吸引用戶通過WEB購買產(chǎn)品和服務。使用者擔心在網(wǎng)絡上傳輸?shù)男庞每皞€人資料被截取,或者是不幸遇到“黑店”,信用卡資料被不正當運用;而特約商店也擔心收到的是被盜用的信用卡號碼,或是交易不認賬,還有可能因網(wǎng)絡不穩(wěn)定或是應用軟件設計不良導致被黑客侵入所引發(fā)的損失。由于在消費者、特約商店甚至與金融單位之間,權責關系還未徹底理清,以及每一家電子商場或商店的支付系統(tǒng)所使用的安全控管都不盡相同,于是造成使用者有無所適從的感覺,因擔憂而猶豫不前。因些,電子商務順利開展的核心和關鍵問題是保證交易的安全性,這是網(wǎng)上交易的基礎,也是電子商務技術的難點。
用戶對于安全的需求主要包括以下幾下方面:
1.信息的保密性。交易中的商務信息均有保密的要求。如信用卡的賬號和用戶被人知悉,就可能被盜用;定貨和付款信息被競爭對手獲悉,就可能喪失商機。因此在電子商務中的信息一般都有加密的要求。
2.交易者身份的確定性。網(wǎng)上交易的雙方很可能素昧平生,相隔千里。因此,要使交易能夠成功,首先要想辦法確認對方的身份。對商家而言,要考慮客戶端是否是騙子,而客戶也會擔心網(wǎng)上的商店是否是黑店。因此,能方便而可靠地確認對方身份是交易的前提。
3.交易的不可否認性。交易一旦達成,是不能被否認的,否則必然會損害一方的利益。因此電子交易過程中通信的各個環(huán)節(jié)都必須是不可否認的。主要包括:源點不可否認:信息發(fā)送者事后無法否認其發(fā)送了信息。接收不可否認:信息接收方無法否認其收到了信息。回執(zhí)不可否認:發(fā)送責任回執(zhí)的各個環(huán)節(jié)均無法推脫其應負的責任。
4.交易內(nèi)容的完整性。交易的文件是不可以被修改的,否則必然會損害交易的嚴肅性和公平性。
5.訪問控制。不同訪問用戶在一個交易系統(tǒng)中的身份和職能是不同的,任何合法用戶只能訪問系統(tǒng)中授權和指定的資源,非法用戶將拒絕訪問系統(tǒng)資源。
四、電子商務安全交易標準
近年來,針對電子交易安全的要求,IT業(yè)界與金融行業(yè)一起,推出不少有效的安全交易標準和技術。主要的協(xié)議標準有:
1.安全超文本傳輸協(xié)議(S—HTTP):依靠對密鑰的加密,保障Web站點間的交易信息傳輸?shù)陌踩浴?/p>
2.安全套接層協(xié)議(SSL):由Netscape公司提出的安全交易協(xié)議,提供加密、認證服務和報文的完整性。SSL被用于NetscapeCommunicator和MicrosoftIE瀏覽器,以完成需要的安全交易操作。
3.安全交易技術協(xié)議(STT,SecureTransactionTechnology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在InternetExplorer中采用這一技術。
4.安全電子交易協(xié)議(SET,SecureElectronicTransaction):1996年6月,由IBM、MasterCardInternational、VisaInternational、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標準SET公告,并于1997年5月底了SETSpecificationVersion1.0,它涵蓋了信用卡在電子商務交易中的交易協(xié)定、信息保密、資料完整及數(shù)據(jù)認證、數(shù)據(jù)簽名等。SET2.0預計今年,它增加了一些附加的交易要求。這個版本是向后兼容的,符合SET1.0的軟件并不必要跟著升級,除非它需要新的交易要求。SET規(guī)范明確的主要目標是保障付款安全,確定應用之互通性,并使全球市場接受。
所有這些安全交易標準中,SET標準以推廣利用信用卡支付網(wǎng)上交易,而廣受各界矚目,它將成為網(wǎng)上交易安全通信協(xié)議的工業(yè)標準,有望進一步推動Internet電子商務市場。
五、商務安全的關鍵CA認證
怎樣解決電子商務安全問題呢?國際通行的做法是采用CA安全認證系統(tǒng)。CA是CertificateAuthority的縮寫,是證書授權的意思。在電子商務系統(tǒng)中,所有實體的證書都是由證書授權中心即CA中心分發(fā)并簽名的。一個完整、安全的電子商務系統(tǒng)必須建立起一個完整、合理的CA體系。CA機構應包括兩大部門:一是審核授權部門,它負責對證書申請者進行資格審查,決定是否同意給該申請者發(fā)放證書,并承擔因?qū)徍隋e誤引起的一切后果,因此它應由能夠承擔這些責任的機構擔任;另一個是證書操作部門,負責為已授權的申請者制作、發(fā)放和管理證書,并承擔因操作運營所產(chǎn)生的一切后果,包括失密和為沒有獲得授權者發(fā)放證書等,它可以由審核授權部門自己擔任,也可委托給第三方擔任。
CA體系主要解決幾大問題:1.解決網(wǎng)絡身份證的認證以保證交易各方身份是真實的;2.解決數(shù)據(jù)傳輸?shù)陌踩砸员WC在網(wǎng)絡中流動的數(shù)據(jù)沒有受到破壞或篡改;3.解決交易的不可抵賴性以保證對方在網(wǎng)上說的話是真實的。
需要注意的是,CA認證中心并不是安全機構,而是一個發(fā)放”身份證”的機構,相當于身份的”公證處”。因此,企業(yè)開展電子商務不僅要依托于CA認證機構,還需要一個專業(yè)機構作為外援來解決配置什么安全產(chǎn)品、怎樣設置安全策略等問題。外援的最合適人選當然非那些提供信息安全軟硬件產(chǎn)品的廠商莫屬了。好的IT廠商,會讓用戶在部署安全策略時少走許多彎路。在選擇外援時,用戶為了節(jié)省成本,避免損失,應該把握幾個基本原則:1.要知道自己究竟需要什么;2.要了解廠商的信譽;3.要了解廠商推薦的安全產(chǎn)品;4.用戶要有一雙”火眼金睛”,對項目的實施效果能夠正確加以評估。有了這些基本的安全思路,用戶可以少走許多彎路。
六、相應法律法規(guī)
電子商務要健康有序地發(fā)展,就像傳統(tǒng)商務一樣,也必須有相應的法律法規(guī)作后盾。商務過程中不可避免地會產(chǎn)生一些矛盾,電子商務也一樣。在電子商務中,合同的意義和作用沒有發(fā)生改變,但其形式卻發(fā)生了極大的變化,1.訂立合同的雙方或多方是互不見面的。所有的買方和賣方在虛擬市場上運作,其信用依靠密碼的辨認或認證機構的認證。2.傳統(tǒng)合同的口頭形式在貿(mào)易上常常表現(xiàn)為店堂交易,并將商家所開具的發(fā)票作為合同的依據(jù)。而在電子商務中標的額較小、關系簡單的交易沒有具體的合同形式,表現(xiàn)為直接通過網(wǎng)絡訂購、付款,例如利用網(wǎng)絡直接購買軟件。3.表示合同生效的傳統(tǒng)簽字蓋章方式被數(shù)字簽名所代替。
電子商務合同形式的變化,對于世界各國都帶來了一系列法律新問題。電子商務作為一種新的貿(mào)易形式,與現(xiàn)存的合同法發(fā)生矛盾是非常容易理解的事情。但對于法律法規(guī)來說,就有一個怎樣修改并發(fā)展現(xiàn)存合同法,以適應新的貿(mào)易形式的問題。
七、小結
在計算機互聯(lián)網(wǎng)絡上實現(xiàn)的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統(tǒng)在保證其計算機網(wǎng)絡硬件平臺和系統(tǒng)軟件平臺安全的基礎上,應該還具備以下特點:強大的加密保證;使用者和數(shù)據(jù)的識別和鑒別;存儲和加密數(shù)據(jù)的保密;連網(wǎng)交易和支付的可靠;方便的密鑰管理;數(shù)據(jù)的完整、防止抵賴。電子商務對計算機網(wǎng)絡安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數(shù)計算機網(wǎng)絡更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
參考文獻:
[1]《電子商務基礎》尚建成主編高等教育出版社出版2000.9
論文關鍵詞:12種生物農(nóng)藥在果樹上的正確安全應用
生物農(nóng)藥是指利用生物活體或其代謝產(chǎn)物對害蟲、病菌、雜草、線蟲、鼠類等有害生物進行防治的一類農(nóng)藥制劑,或者是通過仿生合成具有特異作用的農(nóng)藥制劑。
一、除蟲脲
除蟲脲又名滅幼脲1號,具有胃毒和觸殺作用??捎糜诜乐胃涕黉P壁虱,柑橘潛葉蛾,柑橘木虱等害蟲,使用濃度為25%除蟲脲可濕性粉劑2500~3000倍液。對人畜安全,對鳥、魚、蜜蜂等無不良影響。與除蟲脲相類似的還有滅幼脲(滅幼脲3號)、氟苯脲(農(nóng)夢特)、氟蟲脲(卡死克)、殺鈴脲、氟鈴脲、氟啶脲等。
二、魚藤酮
魚藤酮又名施綠寶,以觸殺和胃毒作用為主,也有一定驅(qū)避作用,無內(nèi)吸性,具選擇性,對天敵安全,殺蟲譜廣,對鱗翅目、半翅目,鞘翅目等多種果樹害蟲均有較好的防效。防治蚜蟲,可用2.5%魚藤酮乳油400~600倍液。
三、阿維菌素
阿維菌素又名齊螨素、愛福丁、除蟲菌素、阿巴丁隆維康。是一種抗生素類殺蟲螨劑農(nóng)業(yè)論文,對害螨和害蟲有觸殺和胃毒作用,殺蟲譜廣,特效期長,殺蟲效果好??捎糜诜乐卫婺臼⑻O果葉螨、桃小食心蟲、柑橘銹壁虱、紅蜘蛛、潛葉蛾等。防治果樹害螨可用1.8%阿維菌素乳油4500~5000倍液噴施。
四、蟲酰肼
蟲酰肼又名米螨,作用速度快,可用于防治梨小食心蟲、草果卷葉蛾、葡萄小卷葉蛾、松毛蟲、美國白蛾等。
五、武大綠洲1號
武大綠洲1號為病毒殺蟲劑,可用于防治果樹鱗翅目害蟲、梨食心蟲等。防治梨食心蟲等鉆蛀性害蟲,在蟲卵高峰期用藥效果最佳。
六、煙百素
煙百素為煙堿、百部堿、楝素等3種成分混配的殺蟲劑,具有很強的觸殺和胃毒作用,殺蟲譜廣,可用于防治鱗翅目、雙翅目、同翅目和半翅目等多種害蟲。防治蚜蟲、紅蜘蛛、介殼蟲等,一般用1.1%煙百素乳油1000倍液,7~10天1次,連噴2~3次。
七、皂素煙堿
皂素煙堿由皂素和煙堿配制而成,耐雨水沖刷雜志鋪??捎糜诜乐胃探奂t蜘蛛和介殼蟲等。防治介殼蟲在卵孵初期,用27%皂素煙堿300倍液噴施,5~7天1次,連噴2~3次。
八、甲殼素
甲殼素其系列產(chǎn)品有:一施壯、聚糖果樂、黑星21等。一施壯,又名綠色植保素2號,能誘導植物增強免疫功能,并能防止病菌侵入,一般用2%一施壯600~800倍液,在開花到果實形成期噴施。聚糖果樂在著果期施用,有保護果實免受病菌侵入,并使糖度提高的作用,一般用1.5%聚糖果樂水劑6000倍液在現(xiàn)果期噴施,每6~7天1次,連噴2~3次。黑星21具有誘導抗性,抑制病菌侵染,改善果實品質(zhì)的作用,可用于防治果樹黑星病等,一般用2%黑星21水劑400~600倍液噴施。
九、阿密西達
阿密西達可用于防治梨黑星病、黑斑病、輪紋病,柑橘黑星病、瘡痂病農(nóng)業(yè)論文,桃褐腐病、核桃黑星病、葡萄霜霉病、白粉病、枝枯病、蘋果黑星病、斑點落葉病、白粉病、輪紋病、煙污病等。防治桃褐腐病,一般用于25%阿密西達500~800倍液噴霧。
十、多氧清
多氧清又名寶麗安、多克菌、多氧霉素、多效霉素、保利霉素、科生霉素等。是一種廣譜性核苷類農(nóng)用抗生素,可用以防治梨黑班病、輪紋病,葡萄黑痘病、灰霉病、白粉病,蘋果斑點落葉病、霉心病、輪紡病,以及草莓灰霉病、白粉病等。防治葡萄黑痘病,用3%多氧清600~900倍液,每隔7天使用1次,連噴1~2次。
十一、克菌康
克菌康又名中生霉素,對農(nóng)作物細菌性病害和部分真菌性病害有很高的活性,可用于防治葡萄炭疽病、黑痘病,蘋果輪紋病、炭疽病、斑點落葉病、霉心病等。防治葡萄炭疽病、斑點落葉病、霉心病等。防治葡萄炭疽病,可在發(fā)病初期用3%克菌康1000~1200倍液噴霧,共使用3~4次。
十二、根復特
根復特又名根腐110??捎糜诜乐喂麡涞母。⒛芑罨?、壯根,促使根系發(fā)達。移栽期用2.5%根復特800倍,植株生長期用500~600倍液,每株200~300毫升灌根。