發(fā)布時間:2022-04-10 09:33:46
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇信息安全技術(shù)論文,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
1電子商務(wù)平臺系統(tǒng)結(jié)構(gòu)
電子商務(wù)平臺連接局域網(wǎng)(企業(yè)內(nèi)部)和因特網(wǎng)。因為因特網(wǎng)是開放性的網(wǎng)絡(luò),并且結(jié)構(gòu)非常復(fù)雜,不能確保傳輸信息的安全,所以,企業(yè)的局域網(wǎng)會采取先進(jìn)的技術(shù)手段比如防火墻技術(shù),屏蔽因特網(wǎng)中的不安全因素。企業(yè)內(nèi)部局域網(wǎng)一般包括:ERP系統(tǒng)(企業(yè)資源計劃系統(tǒng))及傳統(tǒng)系統(tǒng)、客戶端、郵件服務(wù)系統(tǒng),服務(wù)器包括數(shù)據(jù)服務(wù)器、協(xié)作服務(wù)器、Web服務(wù)器和賬戶服務(wù)器。
2電子商務(wù)中存在的信息安全問題
2.1網(wǎng)絡(luò)信息安全問題
網(wǎng)絡(luò)信息安全問題主要是因為因特網(wǎng)是一種開放的網(wǎng)絡(luò),所以數(shù)據(jù)在網(wǎng)絡(luò)通道上進(jìn)行傳輸時,一些不法分子會分析網(wǎng)絡(luò)的使用協(xié)議及物理特征,損害傳輸?shù)男畔ⅲ涞闹饕侄问菍π畔⑦M(jìn)行插入、篡改、刪除、截獲等。通常情況下,插入就是在有用信息中插入部分無效信息,從而使得合法用戶獲得無效信息或者是錯誤信息;篡改就是更改信息流的傳送次序,從而達(dá)到損壞或者是改變信息內(nèi)容的目的;刪除就是刪除全部或者部分信息,造成信息的缺失,從而使合法用戶不能得到完整的信息;截獲就是不法分子采用非法手段在傳輸信道上攔截機(jī)密信息,比如銀行卡的密碼和賬號等。
2.2身份冒充問題
身份冒充問題主要是因為電子商務(wù)是一種新型的交易方式,它和傳統(tǒng)的交易方式不同,交易雙方的身份不能明確,所以攻擊者就有較多的機(jī)會采用非法手段,對合法用戶的信息進(jìn)行盜取,和其他人進(jìn)行交易,從而來獲取更多的非法利益。目前,身份冒充問題較多的就是冒充他人身份栽贓、冒充合法用戶消費、冒充主機(jī)欺騙其他合法主機(jī)或者合法用戶等。
2.3交易雙方抵賴問題
交易雙方抵賴問題主要是由于為了推卸責(zé)任,部分用戶惡意否認(rèn)自己發(fā)送的信息而產(chǎn)生的。比如,購買者不接收商品,否認(rèn)自己的訂單;網(wǎng)站者否認(rèn)自己發(fā)送的一些信息進(jìn)行,如果出了什么問題就可以不對用戶負(fù)責(zé);賣家為了不承擔(dān)質(zhì)量問題,否認(rèn)賣出的商品等。以上這些問題如果想要得到解決,必須要有強(qiáng)有力的仲裁機(jī)構(gòu)和統(tǒng)一的仲裁標(biāo)準(zhǔn)。
2.4拒絕服務(wù)問題
拒絕服務(wù)問題,這類問題主要是攻擊者為了使合法用戶無法對需要的網(wǎng)絡(luò)資源不能進(jìn)行正常的訪問,從而偽造大量信息,占用正常的服務(wù)器或者是資源信息通道,從而使一些有嚴(yán)格時間限制的服務(wù),不能獲得及時響應(yīng)。例如,對虛擬網(wǎng)店來說,攻擊者通過偽造虛假的用戶信息,發(fā)送大量無效訂單,占用網(wǎng)絡(luò)及服務(wù)器資源,網(wǎng)站就不能對正常用戶及時進(jìn)行信息反饋。
2.5計算機(jī)系統(tǒng)安全問題
由于用戶是分散的,在世界的各個地方,所以不能保證每一臺計算機(jī)都安全穩(wěn)定的運行。計算機(jī)硬件受損導(dǎo)致的數(shù)據(jù)丟失,侵染病毒導(dǎo)致的信息泄露,木馬導(dǎo)致的入侵攻擊等問題,都將嚴(yán)重的威脅計算機(jī)系統(tǒng)的安全問題。
3計算機(jī)安全技術(shù)在電子商務(wù)中的應(yīng)用
為了確保電子商務(wù)的安全,克服上述的安全問題,目前采用的計算機(jī)安全技術(shù)主要有身份識別技術(shù)、數(shù)據(jù)加密技術(shù)、智能防火墻技術(shù)、入侵檢測技術(shù)、認(rèn)證機(jī)構(gòu)CA等。
3.1身份識別
身份識別問題是電子商務(wù)面臨的比較突出的問題,這主要是由電子商務(wù)的特性決定的。一方面,電子商務(wù)和傳統(tǒng)的交易方式不同,交易雙方?jīng)]有見過面,不能進(jìn)行面對面的談判,也不能對對方的身份進(jìn)行有效的核實,只能通過網(wǎng)絡(luò)進(jìn)行交易,所以,身份識別問題在電子商務(wù)中十分關(guān)鍵。另一方面,電子身份識別關(guān)系到用戶的合法性和安全性,因為只有合法的用戶才有權(quán)利獲得十分豐富的網(wǎng)絡(luò)資源,所以進(jìn)行身份識別也是網(wǎng)絡(luò)資源管理的要求。
3.2數(shù)據(jù)加密
當(dāng)前的數(shù)據(jù)加密技術(shù)主要有兩大類,一類是專用密鑰加密或者對稱加密,另一類是公開密鑰加密或者非對稱加密,數(shù)據(jù)加密技術(shù)是保證電子商務(wù)信息安全的主要措施之一。不管是對稱加密技術(shù)還是非對稱加密技術(shù),它們二者都是通過構(gòu)建完整簽名或者加密體系,有效地解決電子商務(wù)中的存在的安全隱患,當(dāng)前,比較常見的加密體系一般是采取公開密鑰技術(shù)構(gòu)建的,此種方式可以確保網(wǎng)絡(luò)交易的安全性和實現(xiàn)網(wǎng)絡(luò)資源的共享。
3.3智能防火墻技術(shù)
防火墻技術(shù)是用來保護(hù)內(nèi)部網(wǎng)絡(luò)內(nèi)的主機(jī)和資源的,它能有效防止外部的網(wǎng)絡(luò)用戶采用非法的手段入侵到內(nèi)部局域網(wǎng)中,因此,防火墻技術(shù)可以加強(qiáng)網(wǎng)絡(luò)間的訪問控制。智能防火墻技術(shù)是根據(jù)技術(shù)特征,采用決策、概率、記憶、統(tǒng)計的智能方法識別數(shù)據(jù)并達(dá)到訪問控制的目的。智能防火墻技術(shù)沒有必要為了匹配檢查進(jìn)行大量的計算,而是直接控制訪問,與傳統(tǒng)防火墻技術(shù)相比,智能防火墻技術(shù)更安全,其安全性能大大提高了,尤其是在內(nèi)核的安全性、系統(tǒng)和特權(quán)最小化、網(wǎng)絡(luò)性能、系統(tǒng)的加固和優(yōu)化等方面都有很大的提高。
3.4入侵檢測技術(shù)
入侵檢測技術(shù)提高計算機(jī)網(wǎng)絡(luò)的安全性能,快速發(fā)現(xiàn)非法攻擊,從而在整體上提高計算機(jī)的安全結(jié)構(gòu)的完整性,它是作為防火墻和其他技術(shù)的補(bǔ)充。VPN技術(shù)采用加解密技術(shù)、隧道技術(shù)等,通過公共網(wǎng)絡(luò)將多個內(nèi)部網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程連接,使用戶能夠跨采用統(tǒng)一規(guī)劃的內(nèi)部網(wǎng)絡(luò)地址進(jìn)行彼此之間的訪問。
3.5認(rèn)證機(jī)構(gòu)CA
CA的組成主要由證書簽發(fā)服務(wù)器、密鑰管理中心和目錄服務(wù)器三部分組成。其中證書簽發(fā)服務(wù)器,負(fù)責(zé)簽發(fā)和管理證書,密鑰管理中心提供CA證書的簽發(fā);目錄服務(wù)器負(fù)責(zé)證書和CRL的查詢及。使用公開密鑰的用戶都會得到CA中心發(fā)放的一個數(shù)字證書,證書上面具有數(shù)字簽名,非法攻擊者不能對其進(jìn)行篡改和偽造,從而保證了信息的安全。根據(jù)X.509標(biāo)準(zhǔn)規(guī)定,證書應(yīng)該包含以下內(nèi)容:證書序列號、版本號及有效期,算法標(biāo)識(用于證書簽名),簽發(fā)證書的CA機(jī)構(gòu)的名字和唯一標(biāo)識符,用戶的名字、公鑰和用戶的唯一標(biāo)識等。
作者:賀甲寧 單位:陜西職業(yè)技術(shù)學(xué)院
1網(wǎng)絡(luò)協(xié)議隔離技術(shù)
協(xié)議隔離技術(shù),就是通過安置協(xié)議分離器達(dá)到內(nèi)網(wǎng)與外網(wǎng)的分離。利用設(shè)置上的兩個接口,完成內(nèi)網(wǎng)和外網(wǎng)通過協(xié)議隔離進(jìn)行信息的交流。在使用協(xié)議隔離技術(shù)的時候,內(nèi)網(wǎng)和外網(wǎng)都是斷開的,只有在需要進(jìn)行信息交流的時候才會進(jìn)行安全的暫時性連接。防火墻技術(shù),就是在內(nèi)網(wǎng)和外網(wǎng)之間樹立一塊安全的分離屏障,把那些無法預(yù)判的惡性攻擊和破壞進(jìn)行有效的攔截掉。同時最大程度的對外隱蔽和保護(hù)內(nèi)網(wǎng)的信息與構(gòu)造,確保內(nèi)網(wǎng)能夠安全正常的運行。
2電力信息系統(tǒng)信息安全技術(shù)的應(yīng)用
2.1構(gòu)建和完善電力系統(tǒng)
構(gòu)建和完善電力系統(tǒng)主要有三方面的工作需做好。首先,創(chuàng)建和完善電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò),需要在專門通道上通過多種手段達(dá)到物理層面和公共信息網(wǎng)絡(luò)的安全分隔。方法有:使用專線,數(shù)字序列同步處理和準(zhǔn)同步處理,通過專一的網(wǎng)絡(luò)設(shè)施組裝網(wǎng)絡(luò)等。電力調(diào)度數(shù)據(jù)網(wǎng)只能夠被允許傳送和電力調(diào)度生產(chǎn)密切有關(guān)的數(shù)據(jù)業(yè)務(wù)信息。然后,電力監(jiān)控系統(tǒng)和電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)都不準(zhǔn)與外面的因特網(wǎng)進(jìn)行直接關(guān)聯(lián),同時做好對電子郵件的嚴(yán)格限制收發(fā)工作。最后,電力監(jiān)控系統(tǒng)可以利用專一的局域網(wǎng)(內(nèi)網(wǎng))做到和當(dāng)?shù)亓硗獾碾娏ΡO(jiān)控系統(tǒng)的關(guān)系與連接。還可以利用電力調(diào)度數(shù)據(jù)網(wǎng)絡(luò)完成不同層級之間在不同的地方對電力監(jiān)督系統(tǒng)的相互聯(lián)系。所用的電力監(jiān)督系統(tǒng)和辦公智能化系統(tǒng)還有其他信息系統(tǒng)互相之間在進(jìn)行網(wǎng)絡(luò)關(guān)聯(lián)時,一定要得到國家相關(guān)部門的審核與批準(zhǔn)才可以,并且要使用相關(guān)的專一,有效的安全隔離設(shè)備。
2.2改革和創(chuàng)新網(wǎng)絡(luò)安全技術(shù)
改革和創(chuàng)新網(wǎng)絡(luò)安全技術(shù)主要包括了以下幾個方面的措施,第一,提升相關(guān)人員的安全防范意識和管理水平。安全意識的缺乏導(dǎo)致的系統(tǒng)安全隱患遠(yuǎn)遠(yuǎn)大于系統(tǒng)自身存在的錯誤與缺陷。把未經(jīng)過掃描查殺病毒的優(yōu)盤,軟盤插入電腦中、不妥當(dāng),不合理的設(shè)置相關(guān)密碼、把密碼寫在另外的地方或者存放在電腦文件中、沒有定期的修改密碼,在網(wǎng)絡(luò)上下載一些不安全的文件、還有企業(yè)自身合法獲得許可的用戶進(jìn)行非法的行為等等都會導(dǎo)致企業(yè)的信息網(wǎng)絡(luò)存在較大的風(fēng)險。第二,實時的監(jiān)督網(wǎng)絡(luò)端口和節(jié)點信息的走向,定期對企業(yè)的信息網(wǎng)絡(luò)進(jìn)行安全檢查,信息日志的審核與統(tǒng)計,還有病毒的掃描排查工作,對很重要的數(shù)據(jù)要及時的備份保存,在整個網(wǎng)絡(luò)領(lǐng)域創(chuàng)建一套正確有效的安全管理體制,都有利于企業(yè)信息網(wǎng)絡(luò)的安全運轉(zhuǎn)。第三,正確安全的設(shè)定和存儲密碼。密碼的安全是網(wǎng)絡(luò)安全中至關(guān)重要的。如果密碼被破解或泄密將給非法用戶有機(jī)可乘,進(jìn)入相關(guān)系統(tǒng)。隨著窮舉軟件的興起,根密碼的位數(shù)要在十位以上,普通用戶的密碼也要求在八位以上,并且有大小寫字母和數(shù)字及其他符合穿插隨機(jī)組成的設(shè)定規(guī)則。也要避免把自己的生日或者名字等比較容易破解的信息作為密碼使用。
2.3更加先進(jìn)的網(wǎng)絡(luò)安全框架
電力企業(yè)信息網(wǎng)絡(luò)在安全問題上有它自己的特點,遇到的安全威脅也是比較嚴(yán)重的,如果不處理好就會影響國家經(jīng)濟(jì)和人們的正常生活。未來一定會使用更加優(yōu)越有效的網(wǎng)絡(luò)安全框架,密碼算法,入侵檢測系統(tǒng)(IDS)與病毒查殺軟件和更加智能化的防火墻技術(shù)等,來保證電力信息系統(tǒng)的信息安全。然而防護(hù)往往是先從自身被瓦解的,所以在這些技術(shù)方面的防護(hù)基礎(chǔ)上,還要制定一套有效的安全體系和培養(yǎng)員工的安全防范意識,它們是保證系統(tǒng)信息安全的優(yōu)秀。
3結(jié)語
綜上所述,我國電力信息系統(tǒng)的信息安全實現(xiàn)要借助大量相關(guān)的關(guān)鍵信息安全技術(shù)的輔助作用。本文主要描述了其中在電力信息系統(tǒng)信息安全管理中運用到的關(guān)鍵技術(shù),包括了各自的優(yōu)缺點。在實際使用過程中還要注意多種技術(shù)的選擇與融合,還描述了信息安全技術(shù)在今后的廣泛應(yīng)用與推廣,有助于促進(jìn)我國電力系統(tǒng)的完善與提高,更好的為國家和社會服務(wù)。
作者:張豆豆 單位:上海理工大學(xué)光電信息與計算機(jī)工程學(xué)院
1有效地劃分安全區(qū)域
依據(jù)信息安全綜合管理要求,信息安全領(lǐng)域包含了較多子區(qū)域,互相間相聯(lián)系的區(qū)域形成了邏輯領(lǐng)域。當(dāng)前,電子政務(wù)網(wǎng)絡(luò)領(lǐng)域中基層設(shè)施以及安保功能應(yīng)由接入專用網(wǎng)絡(luò)系統(tǒng)用戶具體負(fù)責(zé)。電子政務(wù)處理業(yè)務(wù)的領(lǐng)域則應(yīng)包含已經(jīng)屬于政務(wù)部門管控范疇中且承載業(yè)務(wù)系統(tǒng)的本地系統(tǒng)環(huán)境與邊界,還涵蓋內(nèi)部用戶。該服務(wù)對象包含設(shè)計政務(wù)機(jī)構(gòu)之中的公眾、外網(wǎng)領(lǐng)域與內(nèi)網(wǎng)領(lǐng)域等。電子政務(wù)基礎(chǔ)服務(wù)領(lǐng)域則包括信息安全相應(yīng)機(jī)構(gòu)、測評機(jī)構(gòu)、數(shù)字證書機(jī)構(gòu)等。
2合理管控機(jī)密信息數(shù)據(jù)
電子政務(wù)系統(tǒng)針對信息資源的管控具體目標(biāo)在于抑制攻擊者登錄系統(tǒng)主機(jī)并對其進(jìn)行攻擊。當(dāng)然這一目標(biāo)的實現(xiàn)具有一定難度,無法完全抑制攻擊行為。當(dāng)然,主機(jī)可允許對于電子政務(wù)系統(tǒng)內(nèi)網(wǎng)的各類連接、分析掃描以及探測,對從主機(jī)系統(tǒng)之中傳輸?shù)倪B接、掃描等,安全系統(tǒng)要具備相應(yīng)條件方能進(jìn)行放行。如果傳輸數(shù)據(jù)包包含異常問題,系統(tǒng)管理人員要快速叫停。防火墻系統(tǒng)為信息安全技術(shù)之中重要的一項安全管理方式,可全面預(yù)防電子政務(wù)之中的主機(jī)被操控進(jìn)而對他類系統(tǒng)形成不良破壞。為此,應(yīng)利用信息安全手段合理管控主機(jī)外連數(shù)量。例如,可準(zhǔn)許在具體時間段之中傳輸一定總量的數(shù)據(jù)信息報。應(yīng)用的防火墻系統(tǒng)應(yīng)具備良好的功能,即可設(shè)定單向或雙向地址進(jìn)行攔截。單向攔截階段中,可杜絕由一個方向面向另一方向進(jìn)行數(shù)據(jù)傳輸。而反向傳輸則可順利實施。另外,防火墻系統(tǒng)應(yīng)采取現(xiàn)代化的狀態(tài)監(jiān)控過濾技術(shù),不應(yīng)單純的依靠獨立IP包完成過濾率,應(yīng)實施監(jiān)控研究各類連接以及對話,進(jìn)而可在政務(wù)系統(tǒng)之內(nèi)完成自動化的維持原有健康運行狀態(tài),而后再針對連接狀態(tài),使IP包完成更快的安全過濾,合理管控主機(jī)外出連接。倘若外出連接量突破要求標(biāo)準(zhǔn),便會自動停止后續(xù)連接,預(yù)防主機(jī)受到惡意破壞攻擊。
3科學(xué)設(shè)計系統(tǒng)VPN
電子政務(wù)系統(tǒng)之中采用信息安全技術(shù)手段的VPN可位于各個政府部門之中創(chuàng)建形成虛擬通道,令各個電子政務(wù)網(wǎng)絡(luò)實現(xiàn)隨意相互訪問,就像是處在自身專屬的網(wǎng)絡(luò)系統(tǒng)之中。另外,還可令政務(wù)網(wǎng)絡(luò)在連入外網(wǎng)之時,就好比在內(nèi)網(wǎng)系統(tǒng)之中一樣,可實現(xiàn)各類資源的全面共享。再者,可符合電子政務(wù)內(nèi)網(wǎng)各類信息安全管控標(biāo)準(zhǔn)。創(chuàng)建VPN包含三類渠道,第一個方式即是創(chuàng)建因特網(wǎng)服務(wù)商,進(jìn)而實現(xiàn)企業(yè)信息全面透明化。第二類渠道是為政府單位進(jìn)行單獨的劃定建設(shè),實現(xiàn)ISP透明化,再者可為政府單位以及服務(wù)商共同建設(shè)系統(tǒng)VPN。
4結(jié)語
總之,電子政務(wù)系統(tǒng)可靠安全性目前引發(fā)了政府機(jī)構(gòu)乃至社會各界的較高重視,相關(guān)計算機(jī)行業(yè)專家應(yīng)持續(xù)擴(kuò)充信息安全技術(shù)應(yīng)用,為電子政務(wù)開創(chuàng)穩(wěn)定可靠的安全屏障,方能真正確保我國信息資源的整體安全,提升綜合實力,進(jìn)而實現(xiàn)可持續(xù)的全面發(fā)展。
作者:張瑞祥 王鵬宇
1.加密技術(shù)
加密技術(shù)主要是對計算機(jī)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密,來保證信息的可靠與安全。在信息安全技術(shù)中,對傳輸?shù)臄?shù)據(jù)進(jìn)行加密,是計算機(jī)系統(tǒng)中一項非常關(guān)鍵的技術(shù),是一種主動防御措施。在數(shù)據(jù)傳輸過程中,加密技術(shù)運用精密的加密算法,對傳輸?shù)男畔⑦M(jìn)行加工,使其轉(zhuǎn)化為密文形式,防止不法分子的直接讀取。加密技術(shù)有對稱性和非對稱性之分,使信息更具有安全性。
2.防火墻技術(shù)
在計算機(jī)的日常維護(hù)中,防火墻技術(shù)是比較常見的,也是用戶經(jīng)常使用的安全防護(hù)系統(tǒng)。在計算機(jī)網(wǎng)絡(luò)系統(tǒng)中,它有特定的軟件保護(hù)模塊,充分發(fā)揮著安全部件的作用,對于計算機(jī)系統(tǒng)表現(xiàn)出來的異常狀況,它會在第一時間啟動警報系統(tǒng),將異常信息及時反饋給用戶,或者上傳給網(wǎng)路監(jiān)護(hù)人員,及時采取相對應(yīng)的措施對計算機(jī)網(wǎng)絡(luò)系統(tǒng)予以保護(hù)。防火墻技術(shù),主要利用模糊數(shù)據(jù)庫,來對外來者進(jìn)行控制和訪問,通過判斷其所執(zhí)行的網(wǎng)絡(luò)行為,來分析其目的或意圖,不需要進(jìn)行大量的網(wǎng)絡(luò)計算,及時攔截不正當(dāng)?shù)脑L問行為,直接提高了計算機(jī)網(wǎng)絡(luò)系統(tǒng)的防控能力,在信息安全技術(shù)中,防火墻技術(shù)是最基礎(chǔ)也是最有效的。
3.信息安全掃描技術(shù)
在保護(hù)計算機(jī)網(wǎng)絡(luò)安全的措施中,信息安全掃描技術(shù)也是極其關(guān)鍵的。通過對全網(wǎng)系統(tǒng)給予有目的的安全掃描,對網(wǎng)絡(luò)運行的狀態(tài),網(wǎng)路管理員可以及時準(zhǔn)確地了解,一旦發(fā)現(xiàn)安全泄露問題,可以采取及時的補(bǔ)救措施。在計算機(jī)網(wǎng)絡(luò)信息安全中,安全掃描技術(shù)應(yīng)用的比較廣泛,可以從防火墻系統(tǒng)、主機(jī)操作系統(tǒng)、Web服務(wù)站點、局域網(wǎng)等方面給予安全監(jiān)控,對異常信息給予及時的檢測,提高了系統(tǒng)安全性。
4.防止病毒入侵技術(shù)
在網(wǎng)絡(luò)信息安全中,病毒入侵對計算機(jī)系統(tǒng)的破壞性是極強(qiáng)的,根據(jù)前面所講述的,病毒具有很強(qiáng)的隱藏性,它會長期潛伏在我們的計算機(jī)系統(tǒng)中,一旦不小心將病毒激活了,那么導(dǎo)致的破壞性是非常強(qiáng)的。所以加強(qiáng)防止病毒入侵技術(shù)是非常有必要的,用戶在使用計算機(jī)的過程中,在安裝殺毒軟件時,要選擇正版的、專業(yè)的殺毒軟件;對于陌生的郵件,用戶要及時給予病毒查殺,有效防止病毒進(jìn)入計算機(jī)系統(tǒng)。
5.結(jié)束語
綜上所述,對于計算機(jī)網(wǎng)絡(luò)信息安全的影響因素比較多,在對計算機(jī)的日常維護(hù)中要加倍小心,對于上述所提到的,幾種比較新型的信息安全技術(shù),用戶要根據(jù)實際情況合理運用,努力創(chuàng)造一個安全、可靠的網(wǎng)絡(luò)環(huán)境。
作者:陳躍輝
摘要:隨著科學(xué)技術(shù)的發(fā)展和時代的日新月異,我們的生活在不知不覺中發(fā)生了翻天覆地的變化,就連最基本的購物和消費都在默默變化著。近年來,隨著亞馬遜、阿里巴巴等電子商務(wù)如火如荼地闖入大眾的視野,“電子商務(wù)”這個在十幾年前聞所未聞的名詞如今成為人們口中常談的對象。在大眾的口中,“電子商務(wù)”這個名詞依舊略顯陌生和專業(yè),人們常常用“網(wǎng)購”和“網(wǎng)上支付”來代替“電子商務(wù)”,實際上說的是一回事。電子商務(wù)的出現(xiàn),打破了空間的束縛,極大地方便了人們的購物行為,刺激了消費,一定程度上促進(jìn)了經(jīng)濟(jì)的繁榮和增長。
關(guān)鍵詞:電子商務(wù);信息安全技術(shù)
一、電子商務(wù)發(fā)展存在的風(fēng)險
第三方的電子交易平臺在網(wǎng)絡(luò)上對于信息進(jìn)行儲存、記錄、處理、和傳遞,以此來協(xié)助一次網(wǎng)絡(luò)消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私。但是,現(xiàn)在的網(wǎng)絡(luò)環(huán)境比較惡劣,有很多網(wǎng)絡(luò)陷阱以及刻意挖掘用戶信息的“黑客”,從而導(dǎo)致基本信息出現(xiàn)失真、泄露和刪除的危機(jī),不利于正常電子商務(wù)交易的完成。對于電子商務(wù)信息大致上可以分為以下幾類:第一,信息的真實性;第二,信息的實時性;第三,信息的安全性。首先,是信息的真實性。電子商務(wù)上的基本信息是賣家和買家進(jìn)行認(rèn)識對方和分辨商品真實性可靠性的唯一途徑,應(yīng)該絕對真實。一旦出現(xiàn)虛假信息,則屬于欺騙消費者,是危害消費者權(quán)益的不法行為。其次,是信息的實時性。信息的實時性主要是指信息的保質(zhì)期。因為很多信息只在一段時間內(nèi)有效,具有時效性,一旦錯過這段關(guān)鍵時期,那么該信息則失去自身的價值,變得一文不值。最后,就是信息的安全性,這也是消費者最為關(guān)心的問題。電子商務(wù)出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除、篡改從而失真,同時也表現(xiàn)為用戶的信息被竊取從而達(dá)成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務(wù)的信息安全技術(shù)的內(nèi)容
2.1?備份技術(shù)。相信備份技術(shù)對于大眾來說不是很陌生。但是很多人卻錯誤的將備份理解為拷貝,從而片面的看待這個問題。電子商務(wù)對于網(wǎng)絡(luò)環(huán)境有很大的依賴性,網(wǎng)絡(luò)環(huán)境自身卻存在極大的不穩(wěn)定性,這就導(dǎo)致電子商務(wù)的發(fā)展存在不可避免的風(fēng)險,如果沒有一個數(shù)據(jù)庫對于基本信息進(jìn)行存儲,那么一旦出現(xiàn)系統(tǒng)故障或者誤刪的情況則信息永遠(yuǎn)消失,這對于商家來說是極其可怕的,因此,電子商務(wù)的第三方有一個信息儲存庫,旨在在必要的時刻段時間內(nèi)將客戶的信息及時恢復(fù)。這種恢復(fù)不是簡單的、傳統(tǒng)意義上的恢復(fù),而是通過備份介質(zhì)得以完成的。這樣的話,在系統(tǒng)故障或者其他原因?qū)е滦畔⒃诙虝r間內(nèi)無法正常恢復(fù)時,可以借助儲存在備份介質(zhì)中的信息將信息還原到原來的備份狀態(tài)。2.2?認(rèn)證技術(shù)。所謂認(rèn)證技術(shù)其實一個專業(yè)術(shù)語,道理實際上很簡單,就是我們常說的登錄口令。認(rèn)證技術(shù)的目的主要在于阻止不具有系統(tǒng)授權(quán)的用戶進(jìn)行非法的破壞計算機(jī)機(jī)密數(shù)據(jù),是數(shù)據(jù)庫系統(tǒng)為減少和避免各種破壞電子商務(wù)安全的重要策略。登陸口令是我們正常用戶進(jìn)行電子商務(wù)平臺登錄的方式,是大眾在網(wǎng)絡(luò)環(huán)境下的身份證。我們每一個用戶在使用某一個電子商務(wù)平臺之前都被要求進(jìn)行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨一無二的,是我們進(jìn)行網(wǎng)上交易的身份認(rèn)證和識別。因為電子商務(wù)平臺往往具有開放性,一旦沒有身份認(rèn)證后果將不堪設(shè)想。人們的信息安全更是沒有任何保障。2.3?訪問控制技術(shù)。訪問控制技術(shù)也可以理解為訪問等級制度,電子商務(wù)的系統(tǒng)會根據(jù)用戶的不同等級對于用戶對于系統(tǒng)數(shù)據(jù)的訪問進(jìn)行一定的控制。等級較低時,則用戶的訪問權(quán)限有限,一些重要的關(guān)鍵的信息則被系統(tǒng)禁止訪問,只要當(dāng)?shù)燃壿^高時才能獲得相關(guān)權(quán)限,這就保證了一些重要信息不會被竊取。關(guān)于用戶的訪問權(quán)限也有兩層含義,首先是用戶能夠獲得數(shù)據(jù)庫中的信息種類和數(shù)量,另一層含義則是指用戶對于獲取的數(shù)據(jù)庫信息進(jìn)行怎樣的操作。
電子商務(wù)的便利性和優(yōu)點遠(yuǎn)遠(yuǎn)大于其存在的信息安全技術(shù)風(fēng)險給人們帶來的不便,盡管信息安全技術(shù)問題層出不窮,但是大眾們依然親睞和依賴電子商務(wù)。但電子商務(wù)想要獲得更廣闊的發(fā)展空間,虜獲更多人的心,則必須在信息安全技術(shù)問題上下一點功夫。其次,對于普通消費者來說,掌握一定的電子商務(wù)信息安全知識是十分必要的,它既能幫助我們在需要的時候解決自己原來束手無策的問題,更能讓自身的網(wǎng)購行為變得更加安全,減少甚至避免了很多不必要麻煩的出現(xiàn),因此,不管你從事任何行業(yè),都需要對于電子商務(wù)的信息安全問題進(jìn)行一定的了解。
作者:王傳 單位:四川化工職業(yè)技術(shù)學(xué)院網(wǎng)管中心
【摘要】隨著我國社會主義現(xiàn)代化建設(shè)的不斷發(fā)展,我國的計算機(jī)信息技術(shù)得到了前所未有的發(fā)展,并由此進(jìn)入一個信息時代。計算機(jī)信息技術(shù)已經(jīng)充分滲透于人們生活與工作的各個方面,在人們的生活中發(fā)揮著不可替代的作用,然而,伴隨著計算機(jī)信息技術(shù)的發(fā)展,信息的安全防護(hù)也成為人們關(guān)注的焦點。本文將著重對計算機(jī)信息安全技術(shù)防護(hù)中存在的問題及其防護(hù)策略進(jìn)行深入探討。
【關(guān)鍵詞】計算機(jī);信息安全技術(shù);防護(hù);有效策略
信息時代的到來,使人們的生活方式與生產(chǎn)方式發(fā)生了一系列轉(zhuǎn)變,已經(jīng)成為人們?nèi)粘I钪袠O為重要的組成部分,一方面使人們的生活更加豐富多樣,另一方面也促進(jìn)了社會效益的極大提升,體現(xiàn)了計算機(jī)信息技術(shù)的無限優(yōu)越性。與此同時,在對計算機(jī)信息技術(shù)進(jìn)行運用的過程中,也面臨著信息安全的問題,這也是計算機(jī)信息系統(tǒng)亟待解決的一個問題。
1計算機(jī)信息安全概述
計算機(jī)信息安全主要指的是對計算機(jī)網(wǎng)絡(luò)內(nèi)部的各個環(huán)節(jié)的安全檢測與防護(hù),包括硬盤、各種數(shù)據(jù)資源等,保障相關(guān)的數(shù)據(jù)及信息不遭到人為更改或其他因素的破壞,使計算的網(wǎng)絡(luò)信息系統(tǒng)能夠正常運行。近年來,隨著計算機(jī)網(wǎng)絡(luò)的普及,信息安全也越來越受到人們的關(guān)注,計算機(jī)信息安全涉及的范圍比較廣,主要有計算機(jī)系統(tǒng)軟件與硬件的安全、賬號與密碼的安全、服務(wù)器開機(jī)安全以及系統(tǒng)管理的賬號使用等,另外,一些網(wǎng)頁的訪問記錄、重要的文件等也屬于計算機(jī)信息安全的范圍,一旦出現(xiàn)計算機(jī)系統(tǒng)漏洞或被黑客攻破,將會存在信息安全隱患,甚至造成難以彌補(bǔ)的損失,因此,對計算機(jī)信息安全防護(hù)工作勢在必行。
2計算機(jī)信息安全技術(shù)防護(hù)存在的問題
近年來,由于計算機(jī)信息安全問題造成的損失案例不在少數(shù),這也引起了人們對計算機(jī)信息安全的關(guān)注。計算機(jī)信息安全防護(hù)與經(jīng)濟(jì)、科技水平有著一定的聯(lián)系,經(jīng)濟(jì)水平比較發(fā)達(dá)的國家或地區(qū),計算機(jī)信息安全防護(hù)相對更加成熟。我國的計算機(jī)網(wǎng)絡(luò)起步比較晚,但發(fā)展較為迅速,目前,我國對計算機(jī)信息安全防護(hù)給予了高度的重視,計算機(jī)的信息安全防護(hù)工作得到了不斷的完善與發(fā)展,然而,在實際應(yīng)用中還存在著一些亟待解決的問題。首先,從整體來看,我國當(dāng)前的計算機(jī)信息安全技術(shù)普遍偏低,存在一些安全隱患,盡管經(jīng)歷了不斷的發(fā)展,計算機(jī)技術(shù)實現(xiàn)了重大的突破,然而很難對網(wǎng)絡(luò)黑客進(jìn)行有效的治理,這使人們對計算機(jī)技術(shù)的應(yīng)用存在較大的安全隱患,同時也使相關(guān)的網(wǎng)絡(luò)技術(shù)開發(fā)人員面臨著巨大的挑戰(zhàn)。另外,一些企業(yè)單位未能認(rèn)識到計算機(jī)信息安全技術(shù)防護(hù)的重要性,缺乏必要的安全技術(shù)培訓(xùn),一些計算機(jī)安全管理人員缺乏專業(yè)的技能與知識素養(yǎng),這也在一定程度上使計算機(jī)的安全技術(shù)防護(hù)存在漏洞,使計算機(jī)信息安全管理存在一定的風(fēng)險。
3計算機(jī)信息安全技術(shù)的防護(hù)
3.1加強(qiáng)對計算機(jī)病毒的安全防護(hù)
計算機(jī)與互聯(lián)網(wǎng)有著密不可分的聯(lián)系,互聯(lián)網(wǎng)技術(shù)充分滲入人們生活與工作的各個方面,也正由于這種聯(lián)系,一旦出現(xiàn)計算機(jī)病毒,那么整個計算機(jī)網(wǎng)絡(luò)系統(tǒng)將會癱瘓,計算機(jī)病毒傳播十分迅速,破壞性比較大,會造成不可估量的損失。因此,要采取科學(xué)的措施,將這些計算機(jī)病毒防護(hù)措施應(yīng)用于計算機(jī)信息系統(tǒng),保證計算機(jī)信息的安全性,目前,應(yīng)用較為普遍的有360安全衛(wèi)士、金山毒霸等,這些防護(hù)技術(shù)能夠?qū)Σ《具M(jìn)行實時查殺,增強(qiáng)人們對計算機(jī)病毒的認(rèn)識,合理操作計算機(jī),降低病毒出現(xiàn)的幾率。另外,要對計算機(jī)系統(tǒng)的防護(hù)能力進(jìn)行加強(qiáng),目前大部分計算機(jī)應(yīng)用的是windows,針對計算機(jī)病毒問題進(jìn)行了有效防護(hù)。計算機(jī)操作系統(tǒng)不同,所用的防毒軟件以及功能也有所不同,要充分采用信息過濾技術(shù)、安全掃描技術(shù)以及訪問控制技術(shù)等,有效抑制病毒的攻擊,提升計算機(jī)病毒安全防護(hù)的能力。
3.2對計算機(jī)信息操作系統(tǒng)的防護(hù)
目前,計算機(jī)操作系統(tǒng)主要有windows、Unix/Linux以及蘋果操作系統(tǒng)等,其中以windows操作系統(tǒng)最為普遍。對計算機(jī)信息操作系統(tǒng)的防護(hù)主要包括多個方面,首先,是對登陸權(quán)限的安全防護(hù)。通常計算機(jī)系統(tǒng)具有一定的安全性,能夠有效控制外部對系統(tǒng)內(nèi)的信息訪問,因此,只有經(jīng)過授權(quán)的用戶才能夠?qū)τ嬎銠C(jī)進(jìn)行訪問操作。其次,是計算機(jī)密碼設(shè)置的安全防護(hù),只有正確輸入密碼能夠獲得訪問的權(quán)限,用戶可定期更換密碼,并且密碼要盡量復(fù)雜化,一般來講,密碼越復(fù)雜,安全性就相對越高。軟件的防火墻技術(shù)經(jīng)過不斷地升級與發(fā)展,不但能夠?qū)Σ《緛碓磁c端口信息進(jìn)行有效的分析,而且能夠攔截、查殺各種病毒,對計算機(jī)信息進(jìn)行實時的監(jiān)控與防護(hù)。另外,當(dāng)人們在對瀏覽器進(jìn)行瀏覽與訪問的過程中,很容易出現(xiàn)信息安全隱患,大部分病毒都是通過瀏覽器進(jìn)行傳播的,針對這個問題,windows系統(tǒng)對瀏覽器進(jìn)行了安全級別設(shè)置,以此實現(xiàn)對瀏覽器病毒的攔截,消除其造成的威脅。除此之外,計算機(jī)還有設(shè)有專門的備份恢復(fù)還原機(jī)制,這些能夠降低信息安全隱患帶來的損失。在使用計算的過程中,盡量不要將外界的不明設(shè)備插入計算機(jī),一旦發(fā)現(xiàn)有可疑的軟件或郵件要進(jìn)行及時的查殺、卸載,阻斷其侵入計算機(jī)的路徑,保障計算機(jī)信息系統(tǒng)安全。
3.3對軟件系統(tǒng)的保護(hù)
在計算機(jī)的軟件系統(tǒng)中,也會存在各種各樣的安全隱患,因此,可在計算機(jī)上安裝殺毒軟件。一般情況下,殺毒軟件負(fù)責(zé)維護(hù)一整個病毒庫,它能夠?qū)崿F(xiàn)及時更新,對計算機(jī)軟件中出現(xiàn)的最新病毒進(jìn)行掃描、查殺。而目前又出現(xiàn)了一種新型的流氓軟件,這類軟件與一般的病毒、木馬等有所不同,在強(qiáng)大的商業(yè)支持下,更新?lián)Q代速度快,它主要是指一些商家為了實現(xiàn)商業(yè)經(jīng)濟(jì)利益,在未經(jīng)過用戶允許的情況下,強(qiáng)行進(jìn)行安裝,并且難以對其刪除,不僅會彈出大量的廣告信息,而且會更改用戶的瀏覽器默認(rèn)主頁,影響計算機(jī)性能的發(fā)揮,造成死機(jī)、重啟等現(xiàn)象的發(fā)生。對于這類軟件,殺毒軟件并不能夠?qū)ζ溥M(jìn)行查殺,因此,可以應(yīng)用反流氓軟件工具,避免遭到流氓軟件的侵害。
4結(jié)束語
當(dāng)前,計算機(jī)信息技術(shù)已經(jīng)成為人們生活中不可替代的重要組成部分,影響著人們的生活方式與生產(chǎn)方式,使人們的生活得到了極大的便利。另一方面,計算機(jī)的使用也存在著一定的安全隱患,因此,作為網(wǎng)絡(luò)中的一員,必須加強(qiáng)對計算機(jī)信息安全技術(shù)防護(hù)的認(rèn)識,提升計算機(jī)信息安全防護(hù)意識,有效避免病毒的侵害,安全、科學(xué)上網(wǎng),使計算機(jī)信息技術(shù)發(fā)揮出更大的優(yōu)越性。
作者:胡凱倫 單位:武漢市洪山高級中學(xué)
關(guān)鍵詞:電子商務(wù)密碼技術(shù)安全協(xié)議
摘要:文章主要針對在電子商務(wù)應(yīng)用中所經(jīng)常使用到的幾種信息安全技術(shù)作了系統(tǒng)的闡述,分析了各種技術(shù)在應(yīng)用中的側(cè)重點,強(qiáng)調(diào)了在電子商務(wù)應(yīng)用中信息安全技術(shù)所具有的重要作用。
21世紀(jì)是知識經(jīng)濟(jì)時代,網(wǎng)絡(luò)化、信息化是現(xiàn)代社會的一個重要特征。隨著網(wǎng)絡(luò)的不斷普及,電子商務(wù)這種商務(wù)活動新模式已經(jīng)逐漸改變了人們的經(jīng)濟(jì)、工作和生活方式,可是,電子商務(wù)的安全問題依然是制約人們進(jìn)行電子商務(wù)交易的最大問題,因此,安全問題是電子商務(wù)的優(yōu)秀問題,是實現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在。
信息安全技術(shù)在電子商務(wù)應(yīng)用中,最主要的是防止信息的完整性、保密性與可用性遭到破壞;主要使用到的有密碼技術(shù)、信息認(rèn)證和訪問控制技術(shù)、防火墻技術(shù)等。
一、密碼技術(shù)
密碼是信息安全的基礎(chǔ),現(xiàn)代密碼學(xué)不僅用于解決信息的保密性,而且也用于解決信息的保密性、完整性和不可抵賴性等,密碼技術(shù)是保護(hù)信息傳輸?shù)淖钣行У氖侄巍C艽a技術(shù)分類有多種標(biāo)準(zhǔn),若以密鑰為分類標(biāo)準(zhǔn),可將密碼系統(tǒng)分為對稱密碼體制(私鑰密碼體制)和非對稱密碼體制(公鑰密碼體制),他們的區(qū)別在于密鑰的類型不同。
在對稱密碼體制下,加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經(jīng)過安全的密鑰通道,由發(fā)送方傳輸?shù)浇邮辗健1容^著名的對稱密鑰系統(tǒng)有美國的DES,歐洲的IDEA,Et本的RC4,RC5等。在非對稱密碼體制下加密密鑰與解密密鑰不同,加密密鑰公開而解密密鑰保密,并且?guī)缀醪豢赡苡杉用苊荑€導(dǎo)出解密密鑰,也無須安全信道傳輸密鑰,只需利用本地密鑰的發(fā)生器產(chǎn)生解密密鑰。比較著名的公鑰密鑰系統(tǒng)有RSA密碼系統(tǒng)、橢圓曲線密碼系統(tǒng)ECC等。
數(shù)字簽名是一項專門的技術(shù),也是實現(xiàn)電子交易安全的優(yōu)秀技術(shù)之一,在實現(xiàn)身份認(rèn)證、數(shù)據(jù)完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務(wù)等領(lǐng)域有重要的應(yīng)用價值。數(shù)字簽名的實現(xiàn)基礎(chǔ)是加密技術(shù),它使用的是公鑰加密算法與散列函數(shù)一個數(shù)字簽名的方案一般有兩部分組成:數(shù)字簽名算法和驗證算法。數(shù)字簽名主要的功能是保證信息傳輸?shù)耐暾浴l(fā)送者身份的驗證、防止交易中抵賴的發(fā)生。
二、信息認(rèn)證和訪問控制技術(shù)
信息認(rèn)證技術(shù)是網(wǎng)絡(luò)信息安全技術(shù)的一個重要方面,用于保證通信雙方的不可抵賴性和信息的完整性。在網(wǎng)絡(luò)銀行、電子商務(wù)應(yīng)用中,交易雙方應(yīng)當(dāng)能夠確認(rèn)是對方發(fā)送或接收了這些信息,同時接收方還能確認(rèn)接收的信息是完整的,即在通信過程中沒有被修改或替換。
①基于私鑰密碼體制的認(rèn)證。假設(shè)通信雙方為A和B。A,B共享的密鑰為KAB,M為A發(fā)送給B的信息。為防止信息M在傳輸信道被竊聽,A將M加密后再傳送。
由于KAB為用戶A和B的共享密鑰,所以用戶B可以確定信息M是由用戶A所發(fā)出的,這種方法可以對信息來源進(jìn)行認(rèn)證,它在認(rèn)證的同時對信息M也進(jìn)行了加密,但是缺點是不能提供信息完整性的鑒別。通過引入單向HASH函數(shù),可以解決信息完整性的鑒別問題,如圖2所示
用戶A首先對信息M求HASH值H(M),之后將H(M)加密成為m,然后將m。和M一起發(fā)送給B,用戶B通過解密ml并對附于信息M之后的HASH值進(jìn)行比較,比較兩者是否一致。圖2給出的信息認(rèn)證方案可以實現(xiàn)信息來源和完整性的認(rèn)證。基于私鑰的信息認(rèn)證的機(jī)制的優(yōu)點是速度較快,缺點是通信雙方A和B需要事先約定共享密鑰KAB。
②基于公鑰體制的信息認(rèn)證。基于公鑰體制的信息認(rèn)證技術(shù)主要利用數(shù)字簽名和哈希函數(shù)來實現(xiàn)。假設(shè)用戶A對信息M的HASH值H(M)的簽名為SA(dA,H(m),其中dA為用戶A的私鑰),用戶A將M//SA發(fā)送給用戶B,用戶B通過A的公鑰在確認(rèn)信息是否由A發(fā)出,并通過計算HSAH值來對信息M進(jìn)行完整性鑒別。如果傳輸?shù)男畔⑿枰獔竺瑒t用戶A和B可通過密鑰分配中心獲得一個共享密鑰KAB,A將信息簽名和加密后再傳送給B,如圖3所示。由圖3可知,只有用戶A和B擁有共享密鑰KAB,B才能確信信息來源的可靠性和完整性。
訪問控制是通過一個參考監(jiān)視器來進(jìn)行的,當(dāng)用戶對系統(tǒng)內(nèi)目標(biāo)進(jìn)行訪問時,參考監(jiān)視器邊查看授權(quán)數(shù)據(jù)庫,以確定準(zhǔn)備進(jìn)行操作的用戶是否確實得到了可進(jìn)行此項操作的許可。而數(shù)據(jù)庫的授權(quán)則是一個安全管理器負(fù)責(zé)管理和維護(hù)的,管理器以阻止的安全策略為基準(zhǔn)來設(shè)置這些授權(quán)。
③防火墻技術(shù)。防火墻是目前用得最廣泛的一種安全技術(shù),是一種由計算機(jī)硬件和軟件的組合。它使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),可以過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包、管理進(jìn)出網(wǎng)絡(luò)的訪問行為、對某些禁止的訪問行為、記錄通過防火墻的信息內(nèi)容和活動及對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警等。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,它限制外部對系統(tǒng)資源的非授權(quán)訪問,也限制內(nèi)部對外部的非授權(quán)訪問,同時還限制內(nèi)部系統(tǒng)之間,特別是安全級別低的系統(tǒng)對安全級別高的系統(tǒng)的非授權(quán)訪問,為電子商務(wù)的施展提供一個相對更安全的平臺,具體表現(xiàn)如下:
①防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時,一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機(jī)上,而集中在防火墻身上。
②對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外,收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
③防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題,一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger,DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度,這個系統(tǒng)是否有用戶正在連線上網(wǎng),這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息,這樣臺主機(jī)的域名和IP地址就不會被外界所了解。
④網(wǎng)絡(luò)安全協(xié)議。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備之間通信規(guī)則的集合。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議,網(wǎng)絡(luò)安全協(xié)議就是在協(xié)議中采用了加密技術(shù)、認(rèn)證技術(shù)等保證信息安全交換的安全網(wǎng)絡(luò)協(xié)議。
目前,Intemet上對七層網(wǎng)絡(luò)模型的每一層都已提出了相應(yīng)的加密協(xié)議,在所有的這些協(xié)議中,會話層的SSL和應(yīng)用層的SET與電子商務(wù)的應(yīng)用關(guān)系最為密切:
①ssL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議。SSL使用對稱加密來保證通信保密性,使用消息認(rèn)證碼(MAC)來保證數(shù)據(jù)完整性。SSL主要使用PKI在建立連接時對通信雙方進(jìn)行身份認(rèn)證。SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性。它主要適用于點對點之間的信息傳輸,提供基于客戶/服務(wù)器模式的安全標(biāo)準(zhǔn),它在傳輸層和應(yīng)用層之間嵌入一個子層,在建立連接過程中采用公開密鑰,在會話過程中使用私人密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。SSL安全協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議,至今仍然有很多網(wǎng)上商店使用。在傳統(tǒng)的郵購活動中,客戶首先尋找商品信息,然后匯款給商家,商家將商品寄給客戶。這里,商家是可以信賴的,所以客戶先付款給商家。在電子商務(wù)的開始階段,商家也是擔(dān)心客戶購買后不付款,或使用過期的信用卡,因而希望銀行給予認(rèn)證。SSL安全協(xié)議正是在這種背景下產(chǎn)生的。所以,它運行的基點是商家對客戶信息保密的承諾。顯然,SSL協(xié)議無法完全協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。
②SET協(xié)議SecureElectronicTransaction)安全電子交易。為了克服SSL安全協(xié)議的缺點,實現(xiàn)更加完善的即時電子支付,SET協(xié)議應(yīng)運而生。SET協(xié)議采用了雙重簽名技術(shù)對SET交易過程中消費者的支付信息和訂單信息分別簽名,使得商家看不到支付信息,只能接收用戶的訂單信息;而金融機(jī)構(gòu)看不到交易內(nèi)容,只能接收到用戶支付信息和賬戶信息,從而充分保證了消費者帳戶和定購信息的安全性。SET協(xié)議的重點就是確保商家和客戶的身份認(rèn)證和交易行為的不可否認(rèn)性,其理論基礎(chǔ)就是不可否認(rèn)機(jī)制,采用的優(yōu)秀技術(shù)包括X.509電子證書標(biāo)準(zhǔn),數(shù)字簽名,報文摘要,雙重簽名等技術(shù)。SET協(xié)議使用數(shù)字證書對交易各方的合法性進(jìn)行驗證,通過數(shù)字證書的驗證,可以確保交易中的商家和客戶都是合法的、可信賴的。
信息安全技術(shù)在電子商務(wù)中的應(yīng)用非常廣泛,并且起到了尤其重要的作用。
摘要:稅收管理信息化是加強(qiáng)稅收征管、實現(xiàn)依法治稅的重要措施,也是降低稅收成本和提高征管效率的技術(shù)保障。隨著我國稅收信息化的快速發(fā)展,稅收信息化建設(shè)中的信息安全問題日益凸顯,它已成為制約我國稅收現(xiàn)代化的瓶頸。隨著“科技興稅”和稅收征管改革的全面實施,稅收信息化有了長足的發(fā)展,稅收信息化建設(shè)中的信息安全問題越來越重要。
關(guān)鍵詞:稅收信息化;信息狀態(tài)安全;信息轉(zhuǎn)移安全;信息安全技術(shù)
從三個方面來考慮:首先是信息狀態(tài)安全,即稅務(wù)系統(tǒng)安全,要防止稅務(wù)系統(tǒng)中心的數(shù)據(jù)被攻擊者破壞。稅務(wù)系統(tǒng)要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數(shù)據(jù)中心開放,這對稅務(wù)系統(tǒng)本身帶來了很大的風(fēng)險。其次是信息轉(zhuǎn)移安全,即服務(wù)安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務(wù)人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術(shù)進(jìn)行研究。
一、信息狀態(tài)安全技術(shù)
信息狀態(tài)安全主要包括系統(tǒng)主機(jī)服務(wù)器安全、操作系統(tǒng)安全和數(shù)據(jù)庫安全三個方面。
(一)系統(tǒng)主機(jī)服務(wù)器安全(ServerSecurity)
服務(wù)器是存儲數(shù)據(jù)、處理請求的優(yōu)秀,因此服務(wù)器的安全性尤為重要。服務(wù)器的安全性主要涉及到服務(wù)器硬件設(shè)備自身的安全性防護(hù),對非法接觸服務(wù)器配件具有一定的保護(hù)措施,比如加鎖或密碼開關(guān)設(shè)置等;同時,服務(wù)器需要支持大數(shù)據(jù)量及多線程存儲矩陣以滿足大數(shù)據(jù)量訪問的實時性和穩(wěn)定性,不會因為大量的訪問導(dǎo)致服務(wù)器崩潰;服務(wù)器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統(tǒng)、數(shù)據(jù)備份功能,使得安裝在服務(wù)器上的操作系統(tǒng)和數(shù)據(jù)庫能夠在災(zāi)難后得到備份恢復(fù),保證服務(wù)器的不間斷運行;服務(wù)器設(shè)備配件的高質(zhì)量及運行可靠性也是服務(wù)器安全的非常重要的一個方面,這直接關(guān)系到服務(wù)器不間斷運行的時間和網(wǎng)絡(luò)數(shù)據(jù)訪問的效率。
(二)操作系統(tǒng)安全(OperatingSystemSecurity)
設(shè)置操作系統(tǒng)就像為構(gòu)筑安全防范體系打好“地基”。
1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實現(xiàn)完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務(wù)操作系統(tǒng)中。訪問控制矩陣中的每行表示一個主體,每列表示一個受保護(hù)的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細(xì)表,根據(jù)表中信息的不同可分為三種形式:(1)權(quán)力表(CapabilitiesList),它決定是否可對客體進(jìn)行訪問以及可進(jìn)行何種模式的訪問。(2)前綴表(PrefixList),它包括受保護(hù)客體名以及主體對客體的訪問權(quán)。(3)口令(Password),主體對客體進(jìn)行訪問前,必須向稅務(wù)操作系統(tǒng)提供該客體的口令。對于口令的使用,建議實行相互制約式的雙人共管系統(tǒng)口令。
2.強(qiáng)制訪問控制(MandatoryAccessControl,MAC)。鑒于自主訪問控制不能有效的抵抗計算機(jī)病毒的攻擊,這就需要利用強(qiáng)制訪問控制來采取更強(qiáng)有力的訪問控制手段。在強(qiáng)制訪問控制中,稅務(wù)系統(tǒng)對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統(tǒng)通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務(wù)系統(tǒng)一般可采取兩種強(qiáng)制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權(quán)系統(tǒng)的功能調(diào)用,該功能依據(jù)用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計算機(jī)病毒的威脅。(2)限制編程。鑒于稅務(wù)系統(tǒng)僅需要進(jìn)行事務(wù)處理,不需要任何編程的能力,可將用于應(yīng)用開發(fā)的計算機(jī)系統(tǒng)分離出去,完全消除用戶的編程能力。
3.安全核技術(shù)(SecurityKernelTechnology)。安全核是構(gòu)造高度安全的操作系統(tǒng)最常用的技術(shù)。該技術(shù)的理論基礎(chǔ)是:將與安全有關(guān)的軟件隔離在操作系統(tǒng)的一個可信核內(nèi),而操作系統(tǒng)的大部分軟件無須負(fù)責(zé)系統(tǒng)安全。稅務(wù)系統(tǒng)安全核技術(shù)要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進(jìn)監(jiān)控器才能對客體進(jìn)行訪問操作,并使硬件支持基于安全核的系統(tǒng)。(2)隔離性(Isolation),要求將安全核與外部系統(tǒng)很好的隔離起來,以防止進(jìn)程對安全核的非法修改。(3)可驗證性(Verifiability),要求無論采用什么方法構(gòu)造安全核,都必須保證對它的正確性可以進(jìn)行某種驗證。
其他常見措施還有:信息加密、數(shù)字簽名、審計等,這些技術(shù)方法在數(shù)據(jù)庫安全等方面也可廣泛應(yīng)用,我們將在下面介紹。
(三)數(shù)據(jù)庫安全(DatabaseSecurity)
數(shù)據(jù)庫是信息化及很多應(yīng)用系統(tǒng)的優(yōu)秀,其安全在整個信息系統(tǒng)中是最為關(guān)鍵的一環(huán),所有的安全措施都是為了最終的數(shù)據(jù)庫上的數(shù)據(jù)的安全性。另外,根據(jù)稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)中各種不同應(yīng)用系統(tǒng)對各種機(jī)密、非機(jī)密信息訪問權(quán)限的要求,數(shù)據(jù)庫需要提供安全性控制的層次結(jié)構(gòu)和有效的安全性控制策略。
數(shù)據(jù)庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設(shè)置的,真正做到了層層設(shè)防。第一層應(yīng)該是注冊和用戶許可,保護(hù)對服務(wù)器的基本存取;第二層是存取控制,對不同用戶設(shè)定不同的權(quán)限,使數(shù)據(jù)庫得到最大限度的保護(hù);第三層是增加限制數(shù)據(jù)存取的視圖和存儲過程,在數(shù)據(jù)庫與用戶之間建立一道屏障。基于上述數(shù)據(jù)庫層次結(jié)構(gòu)的安全體系,稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)需要設(shè)置對機(jī)密和非機(jī)密數(shù)據(jù)的訪問控制:(1)驗證(Authentication),保證只有授權(quán)的合法用戶才能注冊和訪問;(2)授權(quán)(Authorization),對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限;(3)審計(Auditing),對涉及數(shù)據(jù)庫安全的操作做一個完整的記錄,以備有違反數(shù)據(jù)庫安全規(guī)則的事件發(fā)生后能夠有效追查,再結(jié)合以報警(Alert)功能,將達(dá)到更好的效果。還可以使用數(shù)據(jù)庫本身提供的視圖和存儲過程對數(shù)據(jù)庫中的其他對象進(jìn)行權(quán)限設(shè)定,這樣用戶只能取得對視圖和存儲過程的授權(quán),而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數(shù)據(jù)列的種類。二、信息轉(zhuǎn)移安全技術(shù)
信息轉(zhuǎn)移安全即網(wǎng)絡(luò)安全。為了達(dá)到保證網(wǎng)絡(luò)系統(tǒng)安全性的目的,安全系統(tǒng)應(yīng)具有身份認(rèn)證(IdentificationandAuthentication);訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse);精確性(Accuracy);服務(wù)可用性(AvailabilityofServices)等功能。
1.防火墻技術(shù)(FirewallTechnology)
為保證信息安全,防止稅務(wù)系統(tǒng)數(shù)據(jù)受到破壞,常用防火墻來阻擋外界對稅務(wù)局?jǐn)?shù)據(jù)中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護(hù)的企業(yè)內(nèi)聯(lián)網(wǎng)與對公眾開放的網(wǎng)絡(luò)(如Internet)之間設(shè)立一道屏障,對所有要進(jìn)入內(nèi)聯(lián)網(wǎng)的信息進(jìn)行分析或?qū)υL問用戶進(jìn)行認(rèn)證,防止有害信息和來自外部的非法入侵進(jìn)入受保護(hù)網(wǎng),并且阻止內(nèi)聯(lián)網(wǎng)本身某個節(jié)點上發(fā)生的非法操作以及有害數(shù)據(jù)向外部擴(kuò)散,從而保護(hù)內(nèi)部系統(tǒng)的安全。防火墻的實質(zhì)是實施過濾技術(shù)的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機(jī)的應(yīng)用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應(yīng)用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可,常常將兩種防火墻結(jié)合使用,以互相補(bǔ)充,確保網(wǎng)絡(luò)的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒,保護(hù)系統(tǒng)。
2.信息加密技術(shù)(InformationEncryptionTechnology)
信息加密包括密碼設(shè)計、密碼分析、密鑰管理、驗證等內(nèi)容。利用加密技術(shù)可以把某些重要信息或數(shù)據(jù)從明文形式轉(zhuǎn)換成密文形式,經(jīng)過線路傳送,到達(dá)目的端用戶再把密文還原成明文。對數(shù)據(jù)進(jìn)行加密是防止信息泄露的有效手段。適當(dāng)?shù)脑黾用荑€的長度和更先進(jìn)的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography),即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進(jìn)行分組,然后逐組加密。而序列密碼把明文符號立即轉(zhuǎn)換為密文符號,運算速度更快,安全性更高。(2)公鑰加密體制(Public-keyCryptography),其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務(wù)系統(tǒng)和認(rèn)證中心(AuthenticationCenter,AC)才有稅務(wù)系統(tǒng)的公開密鑰,只有納稅人和認(rèn)證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經(jīng)過加密后雙方的私有密鑰,也因為無法進(jìn)行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認(rèn)證技術(shù)(InformationAuthenticationTechnology)
數(shù)字簽名技術(shù)(DigitalSignatureTechnology)。數(shù)字簽名可以證實信息發(fā)送者的身份以及信息的真實性,它具備不可偽造性、真實性、不可更改性和不可重復(fù)性四大特征。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進(jìn)行加密、解密交換實現(xiàn)的,其主要方式是:信息發(fā)送方首先通過運行散列函數(shù),生成一個欲發(fā)送報文的信息摘要,然后用所持有的私鑰對這個信息的摘要進(jìn)行加密以形成發(fā)送方的數(shù)字簽名,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。接收方在接收到信息后,首先運行和發(fā)送方相同的散列函數(shù)生成接收報文的信息摘要,然后再用發(fā)送方的公開密鑰對報文所附的數(shù)字簽名進(jìn)行解密,產(chǎn)生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認(rèn)發(fā)送方和報文的正確性。
完整性認(rèn)證(IntegrityAuthentication)。完整性認(rèn)證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發(fā)送者在信息中加入一個認(rèn)證碼,經(jīng)加密后發(fā)送給接收者檢驗,接收者利用約定的算法對解密后的信息進(jìn)行運算,將得到的認(rèn)證碼與收到的認(rèn)證碼進(jìn)行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(shù)(Anti-virusTechnology)
病毒防范是計算機(jī)安全中最常見也是最容易被忽視的一環(huán)。我們建議采用由單機(jī)防毒和網(wǎng)絡(luò)防毒同時使用的這種防病毒措施,來最大限度地加強(qiáng)網(wǎng)絡(luò)端到端的防病毒架構(gòu),再加上防病毒制度與措施,就構(gòu)成了一套完整的防病毒體系。
摘要:稅收管理信息化是加強(qiáng)稅收征管、實現(xiàn)依法治稅的重要措施,也是降低稅收成本和提高征管效率的技術(shù)保障。隨著我國稅收信息化的快速發(fā)展,稅收信息化建設(shè)中的信息安全問題日益凸顯,它已成為制約我國稅收現(xiàn)代化的瓶頸。隨著“科技興稅”和稅收征管改革的全面實施,稅收信息化有了長足的發(fā)展,稅收信息化建設(shè)中的信息安全問題越來越重要。
關(guān)鍵詞:稅收信息化;信息狀態(tài)安全;信息轉(zhuǎn)移安全;信息安全技術(shù)
從三個方面來考慮:首先是信息狀態(tài)安全,即稅務(wù)系統(tǒng)安全,要防止稅務(wù)系統(tǒng)中心的數(shù)據(jù)被攻擊者破壞。稅務(wù)系統(tǒng)要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數(shù)據(jù)中心開放,這對稅務(wù)系統(tǒng)本身帶來了很大的風(fēng)險。其次是信息轉(zhuǎn)移安全,即服務(wù)安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務(wù)人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術(shù)進(jìn)行研究。
一、信息狀態(tài)安全技術(shù)
信息狀態(tài)安全主要包括系統(tǒng)主機(jī)服務(wù)器安全、操作系統(tǒng)安全和數(shù)據(jù)庫安全三個方面。
(一)系統(tǒng)主機(jī)服務(wù)器安全(ServerSecurity)
服務(wù)器是存儲數(shù)據(jù)、處理請求的優(yōu)秀,因此服務(wù)器的安全性尤為重要。服務(wù)器的安全性主要涉及到服務(wù)器硬件設(shè)備自身的安全性防護(hù),對非法接觸服務(wù)器配件具有一定的保護(hù)措施,比如加鎖或密碼開關(guān)設(shè)置等;同時,服務(wù)器需要支持大數(shù)據(jù)量及多線程存儲矩陣以滿足大數(shù)據(jù)量訪問的實時性和穩(wěn)定性,不會因為大量的訪問導(dǎo)致服務(wù)器崩潰;服務(wù)器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統(tǒng)、數(shù)據(jù)備份功能,使得安裝在服務(wù)器上的操作系統(tǒng)和數(shù)據(jù)庫能夠在災(zāi)難后得到備份恢復(fù),保證服務(wù)器的不間斷運行;服務(wù)器設(shè)備配件的高質(zhì)量及運行可靠性也是服務(wù)器安全的非常重要的一個方面,這直接關(guān)系到服務(wù)器不間斷運行的時間和網(wǎng)絡(luò)數(shù)據(jù)訪問的效率。
(二)操作系統(tǒng)安全(OperatingSystemSecurity)
設(shè)置操作系統(tǒng)就像為構(gòu)筑安全防范體系打好“地基”。
1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實現(xiàn)完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務(wù)操作系統(tǒng)中。訪問控制矩陣中的每行表示一個主體,每列表示一個受保護(hù)的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細(xì)表,根據(jù)表中信息的不同可分為三種形式:(1)權(quán)力表(CapabilitiesList),它決定是否可對客體進(jìn)行訪問以及可進(jìn)行何種模式的訪問。(2)前綴表(PrefixList),它包括受保護(hù)客體名以及主體對客體的訪問權(quán)。(3)口令(Password),主體對客體進(jìn)行訪問前,必須向稅務(wù)操作系統(tǒng)提供該客體的口令。對于口令的使用,建議實行相互制約式的雙人共管系統(tǒng)口令。
2.強(qiáng)制訪問控制(MandatoryAccessControl,MAC)。鑒于自主訪問控制不能有效的抵抗計算機(jī)病毒的攻擊,這就需要利用強(qiáng)制訪問控制來采取更強(qiáng)有力的訪問控制手段。在強(qiáng)制訪問控制中,稅務(wù)系統(tǒng)對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統(tǒng)通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務(wù)系統(tǒng)一般可采取兩種強(qiáng)制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權(quán)系統(tǒng)的功能調(diào)用,該功能依據(jù)用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計算機(jī)病毒的威脅。(2)限制編程。鑒于稅務(wù)系統(tǒng)僅需要進(jìn)行事務(wù)處理,不需要任何編程的能力,可將用于應(yīng)用開發(fā)的計算機(jī)系統(tǒng)分離出去,完全消除用戶的編程能力。
3.安全核技術(shù)(SecurityKernelTechnology)。安全核是構(gòu)造高度安全的操作系統(tǒng)最常用的技術(shù)。該技術(shù)的理論基礎(chǔ)是:將與安全有關(guān)的軟件隔離在操作系統(tǒng)的一個可信核內(nèi),而操作系統(tǒng)的大部分軟件無須負(fù)責(zé)系統(tǒng)安全。稅務(wù)系統(tǒng)安全核技術(shù)要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進(jìn)監(jiān)控器才能對客體進(jìn)行訪問操作,并使硬件支持基于安全核的系統(tǒng)。(2)隔離性(Isolation),要求將安全核與外部系統(tǒng)很好的隔離起來,以防止進(jìn)程對安全核的非法修改。(3)可驗證性(Verifiability),要求無論采用什么方法構(gòu)造安全核,都必須保證對它的正確性可以進(jìn)行某種驗證。
其他常見措施還有:信息加密、數(shù)字簽名、審計等,這些技術(shù)方法在數(shù)據(jù)庫安全等方面也可廣泛應(yīng)用,我們將在下面介紹。
(三)數(shù)據(jù)庫安全(DatabaseSecurity)
數(shù)據(jù)庫是信息化及很多應(yīng)用系統(tǒng)的優(yōu)秀,其安全在整個信息系統(tǒng)中是最為關(guān)鍵的一環(huán),所有的安全措施都是為了最終的數(shù)據(jù)庫上的數(shù)據(jù)的安全性。另外,根據(jù)稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)中各種不同應(yīng)用系統(tǒng)對各種機(jī)密、非機(jī)密信息訪問權(quán)限的要求,數(shù)據(jù)庫需要提供安全性控制的層次結(jié)構(gòu)和有效的安全性控制策略。
數(shù)據(jù)庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設(shè)置的,真正做到了層層設(shè)防。第一層應(yīng)該是注冊和用戶許可,保護(hù)對服務(wù)器的基本存取;第二層是存取控制,對不同用戶設(shè)定不同的權(quán)限,使數(shù)據(jù)庫得到最大限度的保護(hù);第三層是增加限制數(shù)據(jù)存取的視圖和存儲過程,在數(shù)據(jù)庫與用戶之間建立一道屏障。基于上述數(shù)據(jù)庫層次結(jié)構(gòu)的安全體系,稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)需要設(shè)置對機(jī)密和非機(jī)密數(shù)據(jù)的訪問控制:(1)驗證(Authentication),保證只有授權(quán)的合法用戶才能注冊和訪問;(2)授權(quán)(Authorization),對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限;(3)審計(Auditing),對涉及數(shù)據(jù)庫安全的操作做一個完整的記錄,以備有違反數(shù)據(jù)庫安全規(guī)則的事件發(fā)生后能夠有效追查,再結(jié)合以報警(Alert)功能,將達(dá)到更好的效果。還可以使用數(shù)據(jù)庫本身提供的視圖和存儲過程對數(shù)據(jù)庫中的其他對象進(jìn)行權(quán)限設(shè)定,這樣用戶只能取得對視圖和存儲過程的授權(quán),而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數(shù)據(jù)列的種類。
二、信息轉(zhuǎn)移安全技術(shù)
信息轉(zhuǎn)移安全即網(wǎng)絡(luò)安全。為了達(dá)到保證網(wǎng)絡(luò)系統(tǒng)安全性的目的,安全系統(tǒng)應(yīng)具有身份認(rèn)證(IdentificationandAuthentication);訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse);精確性(Accuracy);服務(wù)可用性(AvailabilityofServices)等功能。
1.防火墻技術(shù)(FirewallTechnology)
為保證信息安全,防止稅務(wù)系統(tǒng)數(shù)據(jù)受到破壞,常用防火墻來阻擋外界對稅務(wù)局?jǐn)?shù)據(jù)中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護(hù)的企業(yè)內(nèi)聯(lián)網(wǎng)與對公眾開放的網(wǎng)絡(luò)(如Internet)之間設(shè)立一道屏障,對所有要進(jìn)入內(nèi)聯(lián)網(wǎng)的信息進(jìn)行分析或?qū)υL問用戶進(jìn)行認(rèn)證,防止有害信息和來自外部的非法入侵進(jìn)入受保護(hù)網(wǎng),并且阻止內(nèi)聯(lián)網(wǎng)本身某個節(jié)點上發(fā)生的非法操作以及有害數(shù)據(jù)向外部擴(kuò)散,從而保護(hù)內(nèi)部系統(tǒng)的安全。防火墻的實質(zhì)是實施過濾技術(shù)的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機(jī)的應(yīng)用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應(yīng)用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可,常常將兩種防火墻結(jié)合使用,以互相補(bǔ)充,確保網(wǎng)絡(luò)的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒,保護(hù)系統(tǒng)。
2.信息加密技術(shù)(InformationEncryptionTechnology)
信息加密包括密碼設(shè)計、密碼分析、密鑰管理、驗證等內(nèi)容。利用加密技術(shù)可以把某些重要信息或數(shù)據(jù)從明文形式轉(zhuǎn)換成密文形式,經(jīng)過線路傳送,到達(dá)目的端用戶再把密文還原成明文。對數(shù)據(jù)進(jìn)行加密是防止信息泄露的有效手段。適當(dāng)?shù)脑黾用荑€的長度和更先進(jìn)的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography),即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進(jìn)行分組,然后逐組加密。而序列密碼把明文符號立即轉(zhuǎn)換為密文符號,運算速度更快,安全性更高。(2)公鑰加密體制(Public-keyCryptography),其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務(wù)系統(tǒng)和認(rèn)證中心(AuthenticationCenter,AC)才有稅務(wù)系統(tǒng)的公開密鑰,只有納稅人和認(rèn)證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經(jīng)過加密后雙方的私有密鑰,也因為無法進(jìn)行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認(rèn)證技術(shù)(InformationAuthenticationTechnology)
數(shù)字簽名技術(shù)(DigitalSignatureTechnology)。數(shù)字簽名可以證實信息發(fā)送者的身份以及信息的真實性,它具備不可偽造性、真實性、不可更改性和不可重復(fù)性四大特征。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進(jìn)行加密、解密交換實現(xiàn)的,其主要方式是:信息發(fā)送方首先通過運行散列函數(shù),生成一個欲發(fā)送報文的信息摘要,然后用所持有的私鑰對這個信息的摘要進(jìn)行加密以形成發(fā)送方的數(shù)字簽名,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方。接收方在接收到信息后,首先運行和發(fā)送方相同的散列函數(shù)生成接收報文的信息摘要,然后再用發(fā)送方的公開密鑰對報文所附的數(shù)字簽名進(jìn)行解密,產(chǎn)生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認(rèn)發(fā)送方和報文的正確性。
完整性認(rèn)證(IntegrityAuthentication)。完整性認(rèn)證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發(fā)送者在信息中加入一個認(rèn)證碼,經(jīng)加密后發(fā)送給接收者檢驗,接收者利用約定的算法對解密后的信息進(jìn)行運算,將得到的認(rèn)證碼與收到的認(rèn)證碼進(jìn)行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(shù)(Anti-virusTechnology)
病毒防范是計算機(jī)安全中最常見也是最容易被忽視的一環(huán)。我們建議采用由單機(jī)防毒和網(wǎng)絡(luò)防毒同時使用的這種防病毒措施,來最大限度地加強(qiáng)網(wǎng)絡(luò)端到端的防病毒架構(gòu),再加上防病毒制度與措施,就構(gòu)成了一套完整的防病毒體系。
當(dāng)今社會在計算機(jī)網(wǎng)絡(luò)技術(shù)廣泛應(yīng)用于人們的日常與工作中的同時,信息安全問題也越發(fā)突顯化,人們對于信息保護(hù)的重視度正在逐漸增強(qiáng),如果始終無法采取科學(xué)有效的防范措施對網(wǎng)絡(luò)信息實行全面保障,那么則會帶來極為嚴(yán)重的后果。由此可見,加強(qiáng)對網(wǎng)絡(luò)信息的安全技術(shù)優(yōu)化及科學(xué)防范措施相關(guān)問題的分析探究,具有極為重要的意義。
1網(wǎng)絡(luò)信息安全技術(shù)優(yōu)化措施
1.1防病毒入侵技術(shù)首先需做的是,加強(qiáng)對網(wǎng)絡(luò)信息存取的控制度,以此幫助避免違法用戶在進(jìn)入網(wǎng)絡(luò)系統(tǒng)之后,采用篡改口令的方式來實現(xiàn)身份認(rèn)證。與此同時,還需注意針對用戶類型的不同,對其設(shè)置相應(yīng)的信息存取權(quán)限,以免出現(xiàn)越權(quán)問題。其次,需注意采用一套安全可靠的殺毒和防木馬軟件,以此實現(xiàn)對網(wǎng)絡(luò)病毒和木馬的全面清除,且還可對網(wǎng)絡(luò)用戶的具體操作進(jìn)行監(jiān)控,從而全面確保網(wǎng)絡(luò)進(jìn)行安全。最后需做的是,針對局域網(wǎng)入口,需進(jìn)一步加強(qiáng)監(jiān)控,因為網(wǎng)絡(luò)病毒進(jìn)入計算機(jī)系統(tǒng)的主要渠道為局域網(wǎng)。所以需盡可能地采用云終端,盡量減少超級用戶設(shè)置,對系統(tǒng)中的重要程序采用只讀設(shè)置,以此幫助全面避免病毒入侵。
1.2信息加密技術(shù)此項技術(shù)主要是指對網(wǎng)絡(luò)中的傳輸信息做加密處理,在達(dá)到防范目的之后,再對其做解密處理,將其還原為原始信息的一種信息安全技術(shù)。在此項技術(shù)應(yīng)用中,可全面確保傳輸文件、信息、口令及數(shù)據(jù)的安全可靠。此項技術(shù)主要的加密方式有:節(jié)點加密、鏈路加密及端點加密。其中節(jié)點加密主要的保障安全對象為:源節(jié)點至目的節(jié)點信息。而端點加密主要的保障安全對象為:源端用戶至目的端的信息。鏈路加密主要的保障安全對象為:網(wǎng)絡(luò)各節(jié)點間的鏈路信息。整個信息加密技術(shù)的設(shè)計優(yōu)秀主要為加密算法,可被分為對稱及非對稱的密鑰加密法。
1.3防火墻技術(shù)在用戶正式連接至Internet網(wǎng)絡(luò)中后,防火墻技術(shù)內(nèi)部會出現(xiàn)一個安全保護(hù)屏障,對網(wǎng)絡(luò)用戶的所處環(huán)境安全性進(jìn)行檢測及提升,對來源不詳?shù)男畔⒆鲞^濾篩選處理,以此幫助更好地減小網(wǎng)絡(luò)運行風(fēng)險。只有一些符合防火墻策略的網(wǎng)絡(luò)信息方可通過防火墻檢驗,以此確保用戶連接網(wǎng)絡(luò)時,整個網(wǎng)絡(luò)環(huán)境的安全性。將防火墻作為重點安全配置,還可對整個網(wǎng)絡(luò)系統(tǒng)之內(nèi)的安全軟件做身份驗證、審查核對處理。整體而言,防火墻技術(shù)的應(yīng)用可以說是計算機(jī)系統(tǒng)自帶的有效防護(hù)屏障。
1.4訪問控制技術(shù)此項技術(shù)的應(yīng)用可對信息系統(tǒng)資源實行全面保護(hù),其主要組成部分為:主體、客體及授權(quán)訪問。其中主體是指主動實體,可對客體實行訪問,可為用戶、終端、主機(jī)等。而客體即為一個被動實體,客體會受到一定程度上的限制,客體可為字段、記錄、程序、文件等。授權(quán)訪問則是指:主體訪問客體的允許。無論是對主體還是客體而言,授權(quán)訪問均為給定。訪問控制技術(shù)主要分為三種,自主訪問、強(qiáng)制訪問、基于角色訪問。
1.5報文鑒別在面對被動信息安全攻擊時,可采用前文所述的加密技術(shù)。而對于主動信息安全攻擊,則需要運用報文鑒別技術(shù)。此技術(shù)的應(yīng)用主要是為了對信息數(shù)據(jù)傳輸中的截獲篡改問題予以妥善解決,科學(xué)判定報文完整性。報文鑒別技術(shù)的應(yīng)用全程是:報文發(fā)送方在發(fā)送報文信息之間,對其做哈希函數(shù)計算處理,進(jìn)而得到一個定長報文摘要,對此摘要做加密處理,并放置于報文尾端,將其與報文一同發(fā)送。而接收方在接收到報文之后,對加密摘要做解密處理,并對報文運用哈希函數(shù)做運算處理,將所得到的摘要與接收到的解密摘要進(jìn)行對比。如果兩者信息一致,那么則表明,在報文信息傳輸中,未受到篡改,反之亦然。
2網(wǎng)絡(luò)信息安全防范措施
2.1增強(qiáng)管理人員網(wǎng)絡(luò)用戶安全意識網(wǎng)絡(luò)信息管理人員在日常工作中需注意加強(qiáng)自身的責(zé)任與安全意識,積極構(gòu)建起一個完善化的安全管理體系,對網(wǎng)絡(luò)操作做嚴(yán)格規(guī)范處理,加強(qiáng)安全建設(shè),全面確保網(wǎng)絡(luò)安全運行。與此同時,網(wǎng)絡(luò)用戶還需注意加強(qiáng)安全意識,依照網(wǎng)絡(luò)設(shè)置權(quán)限,運用正確口令,避免違法入侵者竊取用戶的賬號、密碼信息,進(jìn)一步加強(qiáng)網(wǎng)絡(luò)信息安全設(shè)置。
2.2加強(qiáng)網(wǎng)絡(luò)監(jiān)控評估,建立專業(yè)管理團(tuán)隊對于計算機(jī)網(wǎng)絡(luò)的安全管理,首先需做的便是采用先進(jìn)化的網(wǎng)絡(luò)安全技術(shù),另外需做的便是積極建立起專業(yè)化的網(wǎng)絡(luò)管理、評估人員。專業(yè)網(wǎng)絡(luò)信息管理團(tuán)隊的建立,可幫助有效防范黑客攻擊,監(jiān)控網(wǎng)絡(luò)運行全程,評估是否存在非法攻擊行為,對網(wǎng)絡(luò)運行機(jī)制做科學(xué)健全完善化處理,全面提升網(wǎng)絡(luò)安全穩(wěn)定性。
2.3安全檢查網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)管理人員,需注意在日常工作中對各網(wǎng)絡(luò)設(shè)備做全面安全檢查,積極運用多種新興現(xiàn)代化的軟件工具對計算機(jī)網(wǎng)絡(luò)端口實行檢查,查看是否存在異常狀況。一旦發(fā)現(xiàn)存在任何問題,便需對網(wǎng)絡(luò)實行掃描殺毒處理。情況嚴(yán)重時,還需對網(wǎng)絡(luò)端口做隔離處理。只有逐漸提升網(wǎng)絡(luò)設(shè)備的安全可靠性,才可有效避免計算機(jī)網(wǎng)絡(luò)受到外在攻擊,保障用戶安全。
2.4積極更新軟件對計算機(jī)軟件做積極更新處理,可幫助全面保障計算機(jī)不會受到來自外界網(wǎng)絡(luò)的惡意侵襲,信息安全得以受到保護(hù)。另外,對計算機(jī)軟件做更新處理,則可幫助保障軟件抵抗病毒能力能夠與病毒的日益變化相互適應(yīng)。與此同時,還需注意的是,需對整個網(wǎng)絡(luò)操作系統(tǒng)做實時的更新處理,從而促使計算機(jī)軟件始終處于一個最新的操作系統(tǒng)之中,為網(wǎng)絡(luò)信息安全提供全面保障。
3結(jié)語
在網(wǎng)絡(luò)信息技術(shù)發(fā)展之中,加強(qiáng)對網(wǎng)絡(luò)安全問題的關(guān)注,才可幫助實現(xiàn)對網(wǎng)絡(luò)信息的全面安全防范,更好地保障個體、集體的信息資源,促使網(wǎng)絡(luò)信息社會得以健康發(fā)展。所以,在今后的網(wǎng)絡(luò)安全防范工作中,還需實行更進(jìn)一步的探索研究,從采用多種安全技術(shù);增強(qiáng)管理人員網(wǎng)絡(luò)用戶安全意識;加強(qiáng)網(wǎng)絡(luò)監(jiān)控評估,建立專業(yè)管理團(tuán)隊;安全檢查網(wǎng)絡(luò)設(shè)備;積極更新軟件等多方面入手,全面保障網(wǎng)絡(luò)信息的安全性。
一.一鉆研違景與意義
一、鉆研違景
電子政務(wù)是指政府在其管理以及服務(wù)職能中運用通訊網(wǎng)絡(luò)以及計算機(jī)自動化等現(xiàn)代化信息高科技技術(shù)與高新理念,超出部門隔離以及時空的制約,促使政府工功課務(wù)以及機(jī)構(gòu)組織整合優(yōu)化,建造公平公正、廉正高效的政府運行模式,到達(dá)系統(tǒng)綜合地向社會民眾提供高效優(yōu)質(zhì)、相符國際水平的管理與服務(wù)[一]。從廣義的角度上說,電子政務(wù)其實是1個系統(tǒng)工程,它的內(nèi)容10分廣泛,國內(nèi)外有著不同的內(nèi)容規(guī)范。依據(jù)我國政府所計劃的項目來看,電子政務(wù)主要包含這樣幾個方面:政府間的電子政務(wù)(G二G):政府與企業(yè)間電子政務(wù)(G二B);政府與社會民眾間的電子政務(wù)(G二C)。跟著當(dāng)代政府改革運動的展開以及現(xiàn)代社會信息化的加速,電子政務(wù)是信息社會管理發(fā)展的1種趨勢,政府是全社會中最大的信息具有者以及最大的信息技術(shù)的用戶,有效地應(yīng)用信息技術(shù),通過樹立1個真正有效的、可伸縮的電子政務(wù)系統(tǒng),可以匡助政府向更為勤政、精簡、廉正以及高效的方向發(fā)展。在各國踴躍提倡的“信息高速公路”規(guī)劃中,電子政務(wù)建設(shè)被列在第1位,成為世界各國的關(guān)注焦點。許多國家有遠(yuǎn)見的政府或者領(lǐng)導(dǎo)人都把施行電子政務(wù)作為創(chuàng)立高效政府管理的首要舉措,特別是1些發(fā)達(dá)國家憑仗其信息技術(shù)以及人力資源等方面的優(yōu)勢,鼎力發(fā)展電子政務(wù)建設(shè),其目的是要在國際政治、經(jīng)濟(jì)競爭中進(jìn)1步獲得主導(dǎo)地位。發(fā)展中國家只有踴躍吸取他們的經(jīng)驗教訓(xùn),同時結(jié)合自己的實際,加大電子政務(wù)建設(shè)的力度,加快建設(shè)高效政府,才能在信息時期發(fā)展中迎頭遇上。國家相干部門講演顯示,中國面臨嚴(yán)重境外網(wǎng)絡(luò)襲擊要挾。
據(jù)了解,二0一二年境外約有七. 三萬個木馬或者僵尸網(wǎng)絡(luò)節(jié)制服務(wù)器介入節(jié)制中國境內(nèi)主機(jī),同比增長五六. 九%,節(jié)制服務(wù)器介入節(jié)制中國境內(nèi)一四一九. 七萬余臺主機(jī);被篡改政府網(wǎng)站一八0二個,同比增長二一. 四%。國家某部門講演顯示,二0一二年中國網(wǎng)絡(luò)基礎(chǔ)設(shè)施運行整體安穩(wěn),但安全形勢不容樂觀。
不完整統(tǒng)計顯示,全年有五0余個網(wǎng)站用戶信息數(shù)據(jù)庫在互聯(lián)網(wǎng)上公然流傳或者通過地下黑色產(chǎn)業(yè)鏈進(jìn)行售賣,其中已經(jīng)被證實確為真實信息的數(shù)據(jù)近五000萬條。依據(jù)該部門提供的案例顯示,中國網(wǎng)站被境外襲擊10分頻繁,主要體現(xiàn)在兩個方面,1是網(wǎng)站被境外入侵篡改;2是網(wǎng)站被境外入侵并安插后門。中國網(wǎng)站遭遇來自境外的網(wǎng)絡(luò)襲擊也10分頻繁。這些受控主機(jī)因被黑客遠(yuǎn)程操控,1方面會致使用戶計算機(jī)上存儲信息被盜取,另外一方面則可能成為黑客借以向別人發(fā)動襲擊的跳板。大量遭到集中節(jié)制的主機(jī)還可能形成僵尸網(wǎng)絡(luò),成為黑客發(fā)動大范圍網(wǎng)絡(luò)襲擊的工具以及平臺。這些事件若產(chǎn)生在電子政務(wù)上,將會給電子政務(wù)系統(tǒng)帶來嚴(yán)重危害,而電子政務(wù)信息安全瓜葛到國家的安全、社會的不亂,觸及到國家與政府的形象,在現(xiàn)代社會電子政務(wù)系統(tǒng)盤踞著極為首要的地位,它具有極為i貴的各種資源,如果它被襲擊勝利,后果將不堪假想,所以它極易成為背法犯法份子及各種利益團(tuán)體的襲擊目標(biāo),必然會見對于各種成心無心的損壞、襲擊。電子政務(wù)安全問題是電子政務(wù)建設(shè)中的極為癥結(jié)的問題,如果解決不好,必將影響到電子政務(wù)的構(gòu)建。
如何既保障電子政務(wù)信息安全的條件下又提高政府部門的辦事質(zhì)量以及效力成為當(dāng)今鉆研的熱門問題。電子政務(wù)系統(tǒng)樹立在互聯(lián)網(wǎng)基礎(chǔ)平臺上,包括政務(wù)外網(wǎng)、內(nèi)網(wǎng)以及門戶網(wǎng)。而互聯(lián)網(wǎng)是有良多缺點的全世界網(wǎng)絡(luò),本身的安全風(fēng)險隱患良多,使在互聯(lián)網(wǎng)上幵展的電子政務(wù)利用面臨著嚴(yán)峻的挑戰(zhàn)。信息安全主要是采用各種措施,保證信息的秘要性、完全性、1致性以及不可否認(rèn)性等。信息安全技術(shù)廣泛利用于電子政務(wù),規(guī)范了政務(wù)處理的流程,加快了信息活動,提高了政務(wù)處理效力,給政務(wù)工作方式帶來了全新的變化二、鉆研意義電子政務(wù)建設(shè)是國家信息化的龍頭工程,是實現(xiàn)政府信息化的主要手腕,已經(jīng)成為世界性潮流以及全世界化發(fā)展趨勢,不管是發(fā)達(dá)國家、仍是發(fā)展中國家為在國際政治經(jīng)濟(jì)競爭中獲得1席之地,都在踴躍推進(jìn)電子政務(wù)建設(shè)。
我國的電子政務(wù)的建設(shè),將有益于政府建立形象、精簡人員與機(jī)構(gòu)、提高辦事效力、進(jìn)行迅速有力的科學(xué)決策等,對于于國家的經(jīng)濟(jì)繁華以及社會進(jìn)步有著深遠(yuǎn)的意義。電子政務(wù)系統(tǒng)的信息安全是指1個國家的政府信息資源不受外來的損害與要挾,信息資源不被故意的或者偶然的非法授權(quán)泄露、更改,避免信息被非法入侵者辨識、盜取、節(jié)制、應(yīng)用等。信息安全成為如今政府信息化中的癥結(jié)問題。安全問題是電子政務(wù)建設(shè)中的重中之重。可以說,信息安全在必定意義上觸及到政治、社會、經(jīng)濟(jì)、軍事、文化、生態(tài)文明等的安全。信息安全包含:存儲傳輸、系統(tǒng)風(fēng)險管理、審計跟蹤、備份與恢復(fù)、應(yīng)急響應(yīng)等方面的安全內(nèi)容。
總結(jié)與瞻望
電子政務(wù)系統(tǒng)安全部系的安全建設(shè)是1項雄偉的繁雜的系統(tǒng)工程,本文重點鉆研并利用了信息安全技術(shù)及其相干理論,融入了管理學(xué)、數(shù)理幾率理論、法律學(xué)、經(jīng)濟(jì)學(xué)、計算機(jī)網(wǎng)絡(luò)技術(shù)、密碼學(xué)以及安全工程、決策理論以及博弈學(xué)、通訊與信息工程學(xué)等知識,從多角度對于電子政務(wù)系統(tǒng)安全部系進(jìn)行了設(shè)計構(gòu)建。本文的主要工作包含下列方面:
一、鉆研分析了電子政務(wù)系統(tǒng)的安全現(xiàn)狀與安全問題,鉆研了信息安全技術(shù)及理論,針對于電子政務(wù)系統(tǒng)的安全隱患問題,分析了電子政務(wù)系統(tǒng)的安全需求,分析設(shè)計了電子政務(wù)系統(tǒng)的安全部系。具體設(shè)計了它的電子政務(wù)安全法律法規(guī)、安全基礎(chǔ)裝備與設(shè)施、信息安全技術(shù)、安全管理、安全應(yīng)急響應(yīng)系統(tǒng)5個組成部份。
二、
針對于電子政務(wù)的具體的安全問題,利用信息安全技術(shù),安全管理,應(yīng)急響應(yīng)等方面的知識理論,分別具體構(gòu)建了電子政務(wù)系統(tǒng)安全部系的5個部份的機(jī)制或者措施方案。使患上電子政務(wù)系統(tǒng)的安全性患上到了首要保障。
[論文關(guān)鍵詞]Web Services 網(wǎng)絡(luò)完全 技術(shù)
[論文摘要]為了滿足日益增長的需求,人們提出了基于XML的Web服務(wù)。它的主要目標(biāo)是在現(xiàn)有的各種異構(gòu)平臺的基礎(chǔ)上構(gòu)建一個通用的與平臺無關(guān)、語言無關(guān)的技術(shù)層,各種平臺上的應(yīng)用依靠這個技術(shù)層來實現(xiàn)彼此的連接和集成,Web Services的優(yōu)秀技術(shù)主要是XML技術(shù)、SOAP技術(shù)、WSDL及UDDI等。本文對此進(jìn)行了探討。
1 XML技術(shù)
近年來,XML已成為數(shù)據(jù)表示和數(shù)據(jù)交換的一種新標(biāo)準(zhǔn)。其基本思想是數(shù)據(jù)的語義通過數(shù)據(jù)元素的標(biāo)記來表達(dá),數(shù)據(jù)元素之間關(guān)系通過簡單的嵌套和引用來表示。若所有web服務(wù)器和應(yīng)用程序?qū)⑺鼈兊臄?shù)據(jù)以XML編碼并到Internet,則信息可以很快地以一種簡單、可用的格式獲得,信息提供者之間也易于互操作。XML一推出就被廣泛地采用,并且得到越來越多的數(shù)據(jù)庫及軟件開發(fā)商的支持。總體講來,XML具有自描述性、獨立于平臺和應(yīng)用、半結(jié)構(gòu)化、機(jī)器可處理的、可擴(kuò)展性和廣泛的支持等特點。因此,XML可被廣泛應(yīng)用于電子商務(wù)、不同數(shù)據(jù)源的集成、數(shù)據(jù)的多樣顯示等各個方面。XML描述了一個用來定義標(biāo)記集的方法用于規(guī)定一個標(biāo)記集,填入文本內(nèi)容后,這些標(biāo)記和純文本一起構(gòu)成了一個XML文檔。一個良好的XML文檔必須滿足以下幾條規(guī)則:(1)有一致良好定義的結(jié)構(gòu)(2)屬性需用引號引起來:(3)空白區(qū)域不能忽略:(4)每個開始標(biāo)簽必須要有一個與之對應(yīng)的結(jié)束標(biāo)簽:(5)有且只有一個根元素包含其他所有的結(jié)點:(6)元素不能交叉重疊但可以包含:(7)注釋和處理指令不能出現(xiàn)在標(biāo)簽中:(8)大小寫敏感:(9)關(guān)鍵詞“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大寫。為了說明特定的語法規(guī)則,XMLDTD(DocumentTypeDefination)采用了一系列正則式。語法分析器(或稱解析器)將這些正則式與XML文件內(nèi)部的數(shù)據(jù)模式相匹配,以判別文件是否是有效。一個DTD描述了標(biāo)記語言的語法和詞匯表,定義了文件的整體結(jié)構(gòu)以及文件的語法。在Internet中,一個最重要的問題是如何實現(xiàn)數(shù)據(jù)的交互,即客戶端和服務(wù)器端雙向數(shù)據(jù)交流。當(dāng)前所面對的是一個物理上分散的、異源、異構(gòu)的數(shù)據(jù)環(huán)境,能方便地從這些數(shù)據(jù)中取得所需要的信息極為重要。XML滿足這一要求,它可以將各種類型的數(shù)據(jù)轉(zhuǎn)換成XML文檔,然后對XML文檔進(jìn)行處理,之后,再將XML數(shù)據(jù)轉(zhuǎn)換為某種方式存儲的數(shù)據(jù)。XML的數(shù)據(jù)源多種多樣,但主要分為三種:第一種為本身是純文本的XML文檔、TXT文件、DAT文件等第二種來自于數(shù)據(jù)庫,如關(guān)系數(shù)據(jù)庫、對象數(shù)據(jù)庫等:第三種是其它的帶有一定格式的應(yīng)用數(shù)據(jù),如郵件、圖表、清單等。針對不同的數(shù)據(jù)源可以采用不同的技術(shù)進(jìn)行轉(zhuǎn)換。純文本文檔是最基本也是最簡單的,它將數(shù)據(jù)存儲于文本文件中,可以直接方便地讀取數(shù)據(jù)。另外,XML文檔也可以加上CSS、XSL等樣式信息在瀏覽器中顯示,或者通過DOM、SAX編程接口同其它應(yīng)用相關(guān)聯(lián)。第二種來源主要利用現(xiàn)有的比較成功的數(shù)據(jù)庫資源,是對第一種資源的擴(kuò)展,可以利用數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)進(jìn)行管理,并用服務(wù)器編程語言對數(shù)據(jù)進(jìn)行動態(tài)存取,來實現(xiàn)各種動態(tài)應(yīng)用。第三種數(shù)據(jù)源的轉(zhuǎn)換可以利用微軟提出的基于OLEDB的解決方案,從數(shù)據(jù)源直接導(dǎo)出XML文檔。
2 SOAP技術(shù)
SOAP(simple ObjectAcCess PrOtOCO1,簡單對象訪問協(xié)議)是由Microsoft、IBM等共同提出的規(guī)范,目的是實現(xiàn)大量異構(gòu)程序和平臺之間的互操作,從而使存在的應(yīng)用程序能夠被用戶訪問。W3C的SOAP規(guī)范主要由SOAP封裝、SOAP編碼規(guī)則、SOAPRPC表示及SOAP綁定四方面的內(nèi)容組成:(1)SOAP封裝(SOAPEnvelop):構(gòu)造了一個整體的SOAP消息表示框架,可用于表示消息的內(nèi)容是什么、誰發(fā)送的、誰應(yīng)當(dāng)接收并處理它,以及處理操作是可選的還是必須的。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)。消息體部分總是用于最終接收的消息,頭部可以確定執(zhí)行中間處理的目標(biāo)節(jié)點。附件、二進(jìn)制數(shù)字及其他項目均可以附加到消息體上。(2)SOAP編碼規(guī)則(SOAPEncodingRules):定義了一個數(shù)據(jù)編碼機(jī)制,通過這樣一個編碼機(jī)制來定義應(yīng)用程序中需要使用的數(shù)據(jù)類型,并可用于交換由這些應(yīng)用程序定義的數(shù)據(jù)類型所衍生的實例。(3)S0AP RPC表示(S0AP RPcRepresentation):定義了一個用于表示遠(yuǎn)程過程調(diào)用和響應(yīng)的約定與HTTP相似,RPC使用請求/響應(yīng)模型交換信息。使用SOAP調(diào)用遠(yuǎn)程方法的主要工作就是構(gòu)造SOAP消息。SOAP請求消息代表方法調(diào)用,被發(fā)送給遠(yuǎn)程服務(wù)器,5OAP響應(yīng)消息代表調(diào)用結(jié)果,返回給方法的調(diào)用者。(4)SOAP綁定(sOAPBinding):定義了一個使用底層協(xié)議來完成在節(jié)點間交換SOAP消息的機(jī)制。SOAP消息的傳輸依靠底層的傳輸協(xié)議,與傳輸層的協(xié)議都能進(jìn)行綁定。SOAP采用了已經(jīng)廣泛使用的兩個協(xié)議:HTTP和XML。HTTP用于實現(xiàn)SOAP的RPC風(fēng)格的傳輸,而XML是它的編碼模式。SOAP通訊協(xié)議使用HTTP來發(fā)送x扎格式的消息。HTTP與RPC的協(xié)議很相似,它簡單、配置廣泛,并且對防火墻比其它協(xié)議更容易發(fā)揮作用。HTTP請求一般由Web服務(wù)器來處理,但越來越多的應(yīng)用服務(wù)器產(chǎn)品正在支持HTTP XML作為一個更好的網(wǎng)絡(luò)數(shù)據(jù)表達(dá)方式,SOAP把XML的使用代碼轉(zhuǎn)化為請求/響應(yīng)參數(shù)編碼模式,并用HTTP作傳輸。具體的講,一個SOAP方法可以簡單地看作遵循SOAP編碼規(guī)則的HTTP請求和響應(yīng)。一個SOAP終端則可以看作一個基于HTTP的URL,它用來識別方法調(diào)用的目標(biāo)。SOAP不需要將具體的對象綁定到一個給定的終端,而是由具體實現(xiàn)程序來決定怎樣把對象終端標(biāo)識符映像到服務(wù)器端的對象。
3 WSDL與UDDI技術(shù)
WSDL(WebServicesDescriptionLanguage,web服務(wù)描述語言)基于Ⅺ旺,將Web服務(wù)描述為一組對消息進(jìn)行操作的服務(wù)訪問點它抽象描述了操作和消息,并綁定到一個具體的網(wǎng)絡(luò)協(xié)議和消息格式,定義了具體實施的服務(wù)訪問點。WSDL包含服務(wù)接口定義和服務(wù)實現(xiàn)定義,服務(wù)接口是Web服務(wù)的抽象定義,包括類型、消息和端口類型等。服務(wù)實現(xiàn)定義描述了服務(wù)提供者如何實現(xiàn)特定的服務(wù)接口,包括服務(wù)定義和端口定義幾乎所有在因特網(wǎng)上的Web服務(wù)都配有相關(guān)的WSDL文檔,其中列舉了該服務(wù)的功能,說明了服務(wù)在Web上的位置,并提供了使用它的命令。WSDL文檔定義了Web服務(wù)功能發(fā)送和接收的消息種類,并規(guī)定了調(diào)用程序必須提供給Web服務(wù)的數(shù)據(jù),以便該服務(wù)能夠執(zhí)行其任務(wù)。WSDL文檔還提供了一些特定的技術(shù)信息,告訴應(yīng)用程序如何通過HTTP或其他通信協(xié)議與Web服務(wù)進(jìn)行連接和通信。用戶想使用服務(wù)提供者所提供的服務(wù),必須首先找到這個服務(wù)。UDDI(UniversalDescrip—ti012DiseoveryIntegration,統(tǒng)一描述發(fā)現(xiàn)集成)提供了一種、查找服務(wù)的方法,使得服務(wù)請求者可以在Internet巨大的信息空間中快速、方便地發(fā)現(xiàn)要調(diào)用的服務(wù),并完成服務(wù)間的集成。UDDI是一個基于SOAP協(xié)議的、為Web服務(wù)提供信息注冊中心的實現(xiàn)標(biāo)準(zhǔn)。同時也包含一組提供Web服務(wù)注冊、發(fā)現(xiàn)和調(diào)用的訪問協(xié)議。UDDI通過XML格式的目錄條目將Web服務(wù)注冊在UDDI中心的公共注冊表內(nèi)供其它用戶查詢和使用。UDDI目錄條目包括三個部分:白頁、黃頁和綠頁。白頁提供一般信息,即Web服務(wù)的URL和提供者的名稱、地址、聯(lián)系方式等基本信息:黃頁提供基于標(biāo)準(zhǔn)分類法的相關(guān)產(chǎn)業(yè)、產(chǎn)品或提供服務(wù)類型以及地域等的分類信息:綠頁提供技術(shù)信息,它詳細(xì)介紹了訪問服務(wù)的接口,以便用戶能夠編寫應(yīng)用程序以使用Web服務(wù),這是發(fā)現(xiàn)潛在Web服務(wù)的關(guān)鍵。同時,UDDI提供了基于XML的輕量級的數(shù)據(jù)描述和存儲方式,服務(wù)的定義是通過一個稱為類型模型的UDDI文檔來完成的。UDDI本身就是一個Web服務(wù),它通過一組基于SOAP的UDDI的API函數(shù)進(jìn)行訪問。其中查詢API用來查詢定位商業(yè)實體、服務(wù)、綁定等信息。API被用來在注冊中心或者取消服務(wù)。
摘要:電子商務(wù)(Electronic Commerce)是90年代初期在美國等發(fā)達(dá)國家興起的一種新的企業(yè)經(jīng)營方式,它是一種通過網(wǎng)絡(luò)技術(shù)的應(yīng)用,快速而有效地進(jìn)行各種商務(wù)活動的全新方法。
關(guān)鍵詞:電子商務(wù);信息;安全
電子商務(wù)(Electronic Commerce)是90年代初期在美國等發(fā)達(dá)國家興起的一種新的企業(yè)經(jīng)營方式,它是一種通過網(wǎng)絡(luò)技術(shù)的應(yīng)用,快速而有效地進(jìn)行各種商務(wù)活動的全新方法。傳統(tǒng)的電子商務(wù)指人們通過計算機(jī)及計算機(jī)專用網(wǎng)絡(luò)進(jìn)行商貿(mào)活動,例如電子資金轉(zhuǎn)帳、遠(yuǎn)程購物、電子合同、電子化海關(guān)進(jìn)出口報關(guān)、電子化稅務(wù)申報等等。如今, 電子商務(wù)的范圍更加廣泛。基于因特網(wǎng)上的電子商務(wù)不僅指基于Internet網(wǎng)上的交易,而且指所有利用Internet、Intranet技術(shù)來解決問題、降低成本、增加價值并創(chuàng)造新的商機(jī)的所有商務(wù)活動,包括從銷售到市場運作以及信息管理籌備各個方面。因此,電子商務(wù)的對商業(yè)的影響越來越大。
然而,隨著Internet的高速發(fā)展,其開放性、國際性和自由性在增加應(yīng)用自由度的同時,也使安全成為一個日益重要的問題。這主要表現(xiàn)在:開放性的網(wǎng)絡(luò),導(dǎo)致網(wǎng)絡(luò)的技術(shù)是全開放的,因而網(wǎng)絡(luò)所面臨的破壞和攻擊也是多方面的,如何保護(hù)企業(yè)和個人的信息不被非法獲取、盜用、篡改和破壞,已成為所有Internet參與者共同關(guān)心的重要問題。企業(yè)與消費者對電子交易安全的擔(dān)憂已嚴(yán)重阻礙了電子商務(wù)的發(fā)展,為了消除這些顧慮,必須保證企業(yè)與消費者在進(jìn)行電子商務(wù)時雙方的利益不受侵害。
按照安全策略的要求及風(fēng)險分析的結(jié)果,電子商務(wù)中的信息安全系統(tǒng)由以下幾個方面組成: 物理安全、網(wǎng)絡(luò)安全、信息安全。
物理安全是保護(hù)計算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計算機(jī)犯罪行為導(dǎo)致的破壞過程。
網(wǎng)絡(luò)安全可以分成三類:系統(tǒng)安全,指主機(jī)和服務(wù)器的安全,主要包括反病毒、系統(tǒng)安全檢測、入侵檢測(監(jiān)控) 和審計分析;網(wǎng)絡(luò)運行安全,是指系統(tǒng)要具備必須的針對突發(fā)事件的應(yīng)急措施,如數(shù)據(jù)的備份和恢復(fù)等等;局域網(wǎng)或子網(wǎng)的安全主要是訪問控制和網(wǎng)絡(luò)安全檢測的問題。特別說明,各種黑客與防火墻主要屬于網(wǎng)絡(luò)安全的相關(guān)范疇。
信息安全涉及到信息傳輸?shù)陌踩⑿畔⒋鎯Φ陌踩约皩W(wǎng)絡(luò)傳輸信息內(nèi)容的審計三方面,當(dāng)然也包括對用戶的鑒別和授權(quán)。這里主要對信息安全技術(shù)進(jìn)行概括介紹。
在信息安全涉及到的幾個方面中,為保障數(shù)據(jù)傳輸?shù)陌踩璨捎脭?shù)據(jù)傳輸加密技術(shù)、數(shù)據(jù)完整性鑒別技術(shù);由于網(wǎng)絡(luò)的開放性,為避免數(shù)據(jù)被截獲,泄漏機(jī)密信息,重要的信息、文件等數(shù)據(jù)在網(wǎng)絡(luò)上進(jìn)行傳輸時都要按照一定算法進(jìn)行加密。目前,主要的加密技術(shù)分為兩類,即對稱加密和非對稱加密。對稱密鑰加密,又稱私鑰加密,即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快,適合于對大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。非對稱密鑰加密系統(tǒng),又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作,一個公開,即公開密鑰,另一個由用戶自己秘密保存,即私用密鑰。信息發(fā)送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機(jī)制靈活,但加密和解密速度卻比對稱密鑰加密慢得多。數(shù)據(jù)完整性鑒別技術(shù)是確保信息完整性,采用的方法大多是收錯重傳、丟棄后續(xù)包的辦法,主要有報文鑒別、校驗和、消息完整性編碼MIC(Message Integrity Code)。
為保證信息存儲的安全,須保障數(shù)據(jù)庫安全和終端安全;計算機(jī)信息系統(tǒng)中存儲的信息主要包括純粹的數(shù)據(jù)信息和各種功能文件信息兩大類。對純粹數(shù)據(jù)信息的安全保護(hù),以數(shù)據(jù)庫信息的保護(hù)最為典型。而對各種功能文件的保護(hù),終端安全很重要。
信息內(nèi)容審計,則是實時對進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行內(nèi)容審計,以防止或追查可能的泄密行為(為了滿足國家保密法的要求,在某些重要或涉密網(wǎng)絡(luò),應(yīng)該安裝使用此系統(tǒng))。
對用戶的鑒別是對網(wǎng)絡(luò)中的主體進(jìn)行驗證的過程,通常有三種方法驗證主體身份。一是只有該主體了解的秘密,如口令、密鑰;二是主體攜帶的物品,如智能卡和令牌卡;三是只有該主體具有的獨一無二的特征或能力,如指紋、聲音、視網(wǎng)膜或簽字等。
保護(hù)信息安全所采用的手段也稱做安全機(jī)制。所有的安全機(jī)制都是針對某些安全攻擊威脅而設(shè)計的,可以按不同的方式單獨或組合使用。合理地使用安全機(jī)制會在有限的投入下最大地降低安全風(fēng)險。
網(wǎng)絡(luò)中所采用的安全機(jī)制主要有:
1.加密和隱藏機(jī)制:加密使信息改變,攻擊者無法讀懂信息的內(nèi)容從而保護(hù)信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發(fā)現(xiàn),不僅實現(xiàn)了信息的保密,也保護(hù)了通信本身。
2.認(rèn)證機(jī)制:網(wǎng)絡(luò)安全的基本機(jī)制,網(wǎng)絡(luò)設(shè)備之間應(yīng)互相認(rèn)證對方身份,以保證正確的操作權(quán)力賦予和數(shù)據(jù)的存取控制。網(wǎng)絡(luò)也必須認(rèn)證用戶的身份,以保證正確的用戶進(jìn)行正確的操作并進(jìn)行正確的審計。 目前,數(shù)字證書認(rèn)證機(jī)制在電子商務(wù)中的網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上繳稅、網(wǎng)上保險、網(wǎng)上購物、網(wǎng)上貿(mào)易、網(wǎng)上招投標(biāo)、電子商務(wù)交易平臺、安全電子郵件、期貨交易和網(wǎng)上票務(wù)等B2B、B2C安全管理業(yè)務(wù)以及電子政務(wù)等各種領(lǐng)域得到了廣泛的應(yīng)用。數(shù)字證書是為了防止不法分子詐騙采用的強(qiáng)身份鑒別技術(shù)。可以避免密碼或口令容易泄露或被攻破的缺點。
3.審計:防止內(nèi)部犯罪和事故后調(diào)查取證的基礎(chǔ),通過對一些重要的事件進(jìn)行記錄,從而在系統(tǒng)發(fā)現(xiàn)錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應(yīng)具有防止非法刪除和修改的措施。加強(qiáng)制度和崗位以及內(nèi)外的審計是非常重要的
4.權(quán)力控制和存取控制: 主機(jī)系統(tǒng)根據(jù)需要賦予不同的用戶不同的執(zhí)行權(quán)利。嚴(yán)格控制用戶不能越權(quán)操作。
5.完整性保護(hù): 用于防止非法篡改,利用密碼理論的完整性保護(hù)能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務(wù),當(dāng)信息源的完整性可以被驗證卻無法模仿時,收到信息的一方可以認(rèn)定信息的發(fā)送者,數(shù)字簽名就可以提供這種手段。
6.業(yè)務(wù)填充
無業(yè)務(wù)時發(fā)送干擾數(shù)據(jù),即發(fā)送無用的隨機(jī)數(shù)據(jù)。減少攻擊者通過通信流量獲得信息。增加密碼通信的破譯難度。
以上簡要的介紹了電子商務(wù)中的信息安全技術(shù)及信息安全機(jī)制。電子商務(wù)正以其低成本、高效率、高質(zhì)量正逐步被廣大企業(yè)所接受。而電子商務(wù)的安全性問題一直是電子商務(wù)令人擔(dān)心的方面和關(guān)注的焦點,也將成為電子商務(wù)全面推廣的主要障礙。因此我們要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù),提高電子商務(wù)系統(tǒng)的安全性和可靠性,促進(jìn)電子商務(wù)的蓬勃發(fā)展。
[論文關(guān)鍵詞]信息安全技術(shù) 電子政務(wù)系統(tǒng) 網(wǎng)絡(luò)安全
[論文摘要]應(yīng)用信息安全技術(shù)提高電子政務(wù)系統(tǒng)的安全性是一個迫切需要解決的問題。本文首先剖析了電子政務(wù)系統(tǒng)信息安全方面存在的問題,其次研究了信息安全技術(shù)在電子政務(wù)系統(tǒng)中的應(yīng)用,涉及到安全區(qū)域的有效劃分、重要信息的有效控制以及系統(tǒng)VPN的臺理設(shè)計等等,在一定程度上保證了電子政務(wù)系統(tǒng)的安全。
1引言
電子政務(wù)是提升一個國家或地區(qū)特別是城市綜合競爭力的重要因素之一,電子政務(wù)系統(tǒng)中有眾多的政府公文在流轉(zhuǎn),其中不乏重要情報,有的甚至涉及國家安全,這些信息通過網(wǎng)絡(luò)傳送時不能被竊聽、泄密、篡改和偽造。如果電子政務(wù)網(wǎng)絡(luò)安全得不到保障,電子政務(wù)的便利與效率便無從保證,對國家利益將帶來嚴(yán)重威脅。因此,研究信息安全技術(shù)及其在電子政務(wù)系統(tǒng)中的應(yīng)用具有重要的現(xiàn)實意義。
2電子政務(wù)系統(tǒng)信息安全存在的問題剖析
2.1網(wǎng)絡(luò)安全方面的問題
電子政務(wù)網(wǎng)在建網(wǎng)初期都是按照雙網(wǎng)模式來進(jìn)行規(guī)劃與建設(shè),即電子政務(wù)內(nèi)網(wǎng)和外網(wǎng),內(nèi)網(wǎng)作為信息內(nèi)部信息和公文傳輸平臺,開通政府系統(tǒng)的一些日常業(yè)務(wù),外網(wǎng)通過路由匯聚加防火墻過濾接入主要向公眾一些公共服務(wù)信息和政府互動平臺。雙網(wǎng)實現(xiàn)了物理隔離,建網(wǎng)初期往往只看重網(wǎng)絡(luò)帶來的便利與高效,但是并沒有同步充分考慮安全問題,也沒有對互聯(lián)網(wǎng)平臺的潛在安全威脅進(jìn)行過全面綜合的風(fēng)險評估,網(wǎng)絡(luò)安全建設(shè)嚴(yán)重滯后。網(wǎng)絡(luò)安全方面的問題主要涉及到以下幾個方面:
(1)來自內(nèi)部的惡意攻擊這種攻擊往往帶有惡作劇的形式,雖然不會給信息安全帶來什么大的危害,但對本單位正常的數(shù)據(jù)業(yè)務(wù)和敏感數(shù)據(jù)還是會帶來一定的威脅。
(2)移動存儲介質(zhì)的交叉使用,對于電子內(nèi)網(wǎng)PC來講,把上互聯(lián)網(wǎng)的PC上使用過的u盤,移動硬盤都不能在政務(wù)內(nèi)網(wǎng)上使用。U盤病毒和“擺渡”間諜特馬會把內(nèi)網(wǎng)中的保密信息和敏感數(shù)據(jù)帶到互聯(lián)網(wǎng)上,回傳給木馬的制作者。并且,這種病毒還會在內(nèi)網(wǎng)上傳播,消耗系統(tǒng)資源,降低平臺的新能,影響政務(wù)內(nèi)網(wǎng)各種業(yè)務(wù)的正常流轉(zhuǎn)。
(3)內(nèi)網(wǎng)的身份認(rèn)證和權(quán)限管理問題。防止內(nèi)網(wǎng)一般用戶越權(quán)管理數(shù)據(jù)庫,服務(wù)器,和高權(quán)限的數(shù)據(jù)平臺。
(4)內(nèi)網(wǎng)中使用的帶存儲芯片的打印復(fù)印設(shè)備離開現(xiàn)場返公司維修問題。
(5)政務(wù)內(nèi)網(wǎng)中使用的各種損壞移動存儲介質(zhì)的管理銷毀問題。
以上各個網(wǎng)絡(luò)環(huán)節(jié)管理不好都會給信息安全帶來潛在的隱患,會造成國家重要機(jī)密的泄密。
2.2信息安全管理方面的問題
有些政府單位存在只重技術(shù),不重管理的現(xiàn)象,沒有認(rèn)識到人是信息安全的關(guān)鍵,管理正是把人和技術(shù)結(jié)合起來,充分發(fā)揮安全技術(shù)保障能力的紐帶。總體上說,我國網(wǎng)絡(luò)安全管理與保衛(wèi)工作是滯后的。許多部門內(nèi)部沒有從管理制度、人員和技術(shù)上建立相應(yīng)的安全防范機(jī)制,缺乏行之有效的安全檢查保護(hù)措施。內(nèi)部人員擁有系統(tǒng)的一定的訪問權(quán)限,可以輕易地繞過許多訪問控制機(jī)制不少網(wǎng)絡(luò)維護(hù)使用人員缺乏必要的網(wǎng)絡(luò)安全意識和知識,有的不遵守安全保密規(guī)定,將內(nèi)網(wǎng)直接或間接地與因特網(wǎng)連接,有的安全設(shè)施設(shè)備的配置不合理,訪問控制不夠嚴(yán)格,這些問題的存在直接帶來了安全隱患。
3電子政務(wù)系統(tǒng)中的信息安全技術(shù)的應(yīng)用掇討
通常情況下,政務(wù)網(wǎng)建設(shè)將市、區(qū)縣政務(wù)網(wǎng)連接在一起。為政府的內(nèi)部辦公和對外服務(wù)提供了極大的便利。本節(jié)針對以上提到的各種安全問題,探討安全技術(shù)在政務(wù)系統(tǒng)中的具體應(yīng)用。
3.1安全區(qū)域的有效劃分
根據(jù)安全策略需要,安全域可以包括多級子域,相互關(guān)聯(lián)的安全域也可以組成邏輯域。
電子政務(wù)網(wǎng)絡(luò)域:網(wǎng)絡(luò)基礎(chǔ)設(shè)施層及其上層的安全保護(hù)功能的實現(xiàn)應(yīng)由接入政務(wù)專網(wǎng)的用戶系統(tǒng)負(fù)責(zé)實現(xiàn)。
電子政務(wù)業(yè)務(wù)處理域:電子政務(wù)業(yè)務(wù)處理域(簡稱“業(yè)務(wù)處理域”)包括那些在政務(wù)部門管理控制之下,用來承載電子政務(wù)業(yè)務(wù)系統(tǒng)的本地計算環(huán)境及其邊界,以及電子政務(wù)信息系統(tǒng)的內(nèi)部用戶。業(yè)務(wù)處理域內(nèi)主要包含相應(yīng)政務(wù)部門的政務(wù)內(nèi)網(wǎng)域、政務(wù)外網(wǎng)域和公眾服務(wù)域,有些政務(wù)部門還有內(nèi)部自成體系的獨立業(yè)務(wù)域。每個子域都對應(yīng)的本地計算環(huán)境和邊界。政務(wù)內(nèi)網(wǎng)域與政務(wù)外網(wǎng)域物理隔離,政務(wù)外網(wǎng)域與公眾服務(wù)域邏輯隔離。
電子政務(wù)基礎(chǔ)服務(wù)域:電子政務(wù)基礎(chǔ)服務(wù)域主要包括為電子政務(wù)系統(tǒng)提供服務(wù)的信息安全基礎(chǔ)設(shè)施信息安全基礎(chǔ)設(shè)旌有:電子政務(wù)數(shù)字證書中心、信息安全測評中心、信息安全應(yīng)急響應(yīng)中心以及遠(yuǎn)程災(zāi)備中心等。
3.2重要信息的有效控制
電子政務(wù)系統(tǒng)的數(shù)據(jù)控制主要目的是阻止攻擊者利用政務(wù)系統(tǒng)的管理主機(jī)作為跳板去攻擊別的機(jī)器,但是只是盡量的減少,而不是杜絕這種行為。當(dāng)然,針對政務(wù)內(nèi)部網(wǎng)絡(luò)任何的掃描、探測和連接管理主機(jī)是允許的,但是對從主機(jī)出去的掃描、探測、連接,網(wǎng)絡(luò)安全系統(tǒng)卻必須有條件的放行,如果發(fā)現(xiàn)出去的數(shù)據(jù)包有異常,那系統(tǒng)管理員必須加以制止。數(shù)據(jù)控制示意圖如圖3—1所示:
本文研究的政務(wù)系統(tǒng)的數(shù)據(jù)控制使用兩層來進(jìn)行數(shù)據(jù)控制:防火墻和信息檢測系統(tǒng)(IDS)。
防火墻為了防止政務(wù)系統(tǒng)的管理主機(jī)被作為跳板攻擊其它正常系統(tǒng)。我們必須對管理主機(jī)的外連接數(shù)進(jìn)行控制,如只允許在一定的時一間內(nèi)發(fā)送一定數(shù)量的數(shù)據(jù)包。防火墻的主要功能是:設(shè)定單向地址攔截或雙向地址攔截,在單向地址攔截時,~方到另一方的資料訪問被禁止,但反向的數(shù)據(jù)訪問依然能正常進(jìn)行,不會受到影響;采用先進(jìn)的狀態(tài)監(jiān)測數(shù)據(jù)包過濾技術(shù),不僅僅是依靠單個的IP包來過濾,而是對每一個對話和連接進(jìn)行分析和監(jiān)控,在系統(tǒng)中自動維護(hù)其當(dāng)前狀態(tài),根據(jù)連接的狀態(tài)來對IP包進(jìn)行高效快速安全過濾;對管理主機(jī)的外出連接進(jìn)行控制。當(dāng)外出連接達(dá)到一定數(shù)量時,阻斷以后的連接,防止管理主機(jī)被攻擊者攻破后用來作為發(fā)起攻擊的“跳板對所有出入系統(tǒng)的連接進(jìn)行日志記錄。
3.3系統(tǒng)VPN的合理設(shè)計
使用VPN,可以在電子政務(wù)系統(tǒng)所連接不同的政府部門之間建虛擬隧道,使得兩個政務(wù)網(wǎng)之間的相互訪問就像在一個專用網(wǎng)絡(luò)中一樣。使用lrPN,可以使政務(wù)網(wǎng)用戶在外網(wǎng)就象在內(nèi)網(wǎng)一樣的訪問政務(wù)專用網(wǎng)的資源。使用VPN,也可以實現(xiàn)政務(wù)網(wǎng)內(nèi)特殊管理的需要。VPN的建立有三種方式:一種是Internet服務(wù)商(ISP)建設(shè),對企業(yè)透明;第二種是政府部門自身建設(shè),對ISP透明;第三種是ISP和政府部門共同建設(shè)。
在政務(wù)網(wǎng)的基礎(chǔ)上建立VPN,第二種方案比較合適,即政府部門自身建設(shè),對ISP透明。因為政務(wù)網(wǎng)是地理范圍在政務(wù)網(wǎng)內(nèi)的計算機(jī)網(wǎng)絡(luò),它有運行于Internet的公網(wǎng)IP地址,有自己的路由設(shè)備,有自己的網(wǎng)絡(luò)管理和維護(hù)機(jī)構(gòu),對政務(wù)網(wǎng)絡(luò)有很強(qiáng)的自主管理權(quán)和技術(shù)支持。所以,在政務(wù)網(wǎng)基礎(chǔ)上建立VPN,完全可以不依賴于ISP,政府部門自身進(jìn)行建設(shè)。這樣可以有更大的自主性,也可以節(jié)省經(jīng)費。
3.4其他信息安全技術(shù)的使用
此外,電子政務(wù)系統(tǒng)的安全性可以采用如下的措施加以保證:控制對網(wǎng)絡(luò)設(shè)備的SNEP和telnet,在所有的骨干路由器上建立accesslist只對網(wǎng)管中心的地址段做permit,即通過網(wǎng)管中心的主機(jī)才能遠(yuǎn)程維護(hù)各骨干路由設(shè)備路由協(xié)議在不安全的端口上進(jìn)行Passive防止不必要的路由泄露;將所有重要事件進(jìn)行紀(jì)錄通過日志輸出:采用防火墻設(shè)備對政務(wù)局域網(wǎng)進(jìn)行保護(hù)。
結(jié)語
總之,本文對基于互聯(lián)網(wǎng)的電子政務(wù)系統(tǒng)存在的安全問題進(jìn)行了深入的分析,在綜合考慮成本和安全保障水平的基礎(chǔ)上,運用信息安全技術(shù),構(gòu)建了一體化分防護(hù)安全保障體系。
論文關(guān)鍵詞:電子商務(wù) 密碼技術(shù) 安全協(xié)議
論文摘要:文章主要針對在電子商務(wù)應(yīng)用中所經(jīng)常使用到的幾種信息安全技術(shù)作了系統(tǒng)的闡述,分析了各種技術(shù)在應(yīng)用中的側(cè)重點,強(qiáng)調(diào)了在電子商務(wù)應(yīng)用中信息安全技術(shù)所具有的重要作用。
21世紀(jì)是知識經(jīng)濟(jì)時代,網(wǎng)絡(luò)化、信息化是現(xiàn)代社會的一個重要特征。隨著網(wǎng)絡(luò)的不斷普及,電子商務(wù)這種商務(wù)活動新模式已經(jīng)逐漸改變了人們的經(jīng)濟(jì)、工作和生活方式,可是,電子商務(wù)的安全問題依然是制約人們進(jìn)行電子商務(wù)交易的最大問題,因此,安全問題是電子商務(wù)的優(yōu)秀問題,是實現(xiàn)和保證電子商務(wù)順利進(jìn)行的關(guān)鍵所在。
信息安全技術(shù)在電子商務(wù)應(yīng)用中,最主要的是防止信息的完整性、保密性與可用性遭到破壞;主要使用到的有密碼技術(shù)、信息認(rèn)證和訪問控制技術(shù)、防火墻技術(shù)等。
1密碼技術(shù)
密碼是信息安全的基礎(chǔ),現(xiàn)代密碼學(xué)不僅用于解決信息的保密性,而且也用于解決信息的保密性、完整性和不可抵賴性等,密碼技術(shù)是保護(hù)信息傳輸?shù)淖钣行У氖侄巍C艽a技術(shù)分類有多種標(biāo)準(zhǔn),若以密鑰為分類標(biāo)準(zhǔn),可將密碼系統(tǒng)分為對稱密碼體制(私鑰密碼體制)和非對稱密碼體制(公鑰密碼體制),他們的區(qū)別在于密鑰的類型不同。
在對稱密碼體制下,加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經(jīng)過安全的密鑰通道,由發(fā)送方傳輸?shù)浇邮辗健1容^著名的對稱密鑰系統(tǒng)有美國的DES,歐洲的IDEA,Et本的RC4,RC5等。在非對稱密碼體制下加密密鑰與解密密鑰不同,加密密鑰公開而解密密鑰保密,并且?guī)缀醪豢赡苡杉用苊荑€導(dǎo)出解密密鑰,也無須安全信道傳輸密鑰,只需利用本地密鑰的發(fā)生器產(chǎn)生解密密鑰。比較著名的公鑰密鑰系統(tǒng)有RSA密碼系統(tǒng)、橢圓曲線密碼系統(tǒng)ECC等。
數(shù)字簽名是一項專門的技術(shù),也是實現(xiàn)電子交易安全的優(yōu)秀技術(shù)之一,在實現(xiàn)身份認(rèn)證、數(shù)據(jù)完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務(wù)等領(lǐng)域有重要的應(yīng)用價值。數(shù)字簽名的實現(xiàn)基礎(chǔ)是加密技術(shù),它使用的是公鑰加密算法與散列函數(shù)一個數(shù)字簽名的方案一般有兩部分組成:數(shù)字簽名算法和驗證算法。數(shù)字簽名主要的功能是保證信息傳輸?shù)耐暾浴l(fā)送者身份的驗證、防止交易中抵賴的發(fā)生。
2信息認(rèn)證和訪問控制技術(shù)
信息認(rèn)證技術(shù)是網(wǎng)絡(luò)信息安全技術(shù)的一個重要方面,用于保證通信雙方的不可抵賴性和信息的完整性。在網(wǎng)絡(luò)銀行、電子商務(wù)應(yīng)用中,交易雙方應(yīng)當(dāng)能夠確認(rèn)是對方發(fā)送或接收了這些信息,同時接收方還能確認(rèn)接收的信息是完整的,即在通信過程中沒有被修改或替換。
①基于私鑰密碼體制的認(rèn)證。假設(shè)通信雙方為A和B。A,B共享的密鑰為KAB,M為A發(fā)送給B的信息。為防止信息M在傳輸信道被竊聽,A將M加密后再傳送,如圖1所示
由于KAB為用戶A和B的共享密鑰,所以用戶B可以確定信息M是由用戶A所發(fā)出的,這種方法可以對信息來源進(jìn)行認(rèn)證,它在認(rèn)證的同時對信息M也進(jìn)行了加密,但是缺點是不能提供信息完整性的鑒別。通過引入單向HASH函數(shù),可以解決信息完整性的鑒別問題,如圖2所示
在圖2中,用戶A首先對信息M求HASH值H(M),之后將H(M)加密成為m,然后將m。和M一起發(fā)送給B,用戶B通過解密ml并對附于信息M之后的HASH值進(jìn)行比較,比較兩者是否一致。圖2給出的信息認(rèn)證方案可以實現(xiàn)信息來源和完整性的認(rèn)證。基于私鑰的信息認(rèn)證的機(jī)制的優(yōu)點是速度較快,缺點是通信雙方A和B需要事先約定共享密鑰KAB。
②基于公鑰體制的信息認(rèn)證。基于公鑰體制的信息認(rèn)證技術(shù)主要利用數(shù)字簽名和哈希函數(shù)來實現(xiàn)。假設(shè)用戶A對信息M的HASH值H(M)的簽名為SA(dA,H(m),其中dA為用戶A的私鑰),用戶A將M//SA發(fā)送給用戶B,用戶B通過A的公鑰在確認(rèn)信息是否由A發(fā)出,并通過計算HSAH值來對信息M進(jìn)行完整性鑒別。如果傳輸?shù)男畔⑿枰獔竺瑒t用戶A和B可通過密鑰分配中心獲得一個共享密鑰KAB,A將信息簽名和加密后再傳送給B,如圖3所示。由圖3可知,只有用戶A和B擁有共享密鑰KAB,B才能確信信息來源的可靠性和完整性。
訪問控制是通過一個參考監(jiān)視器來進(jìn)行的,當(dāng)用戶
對系統(tǒng)內(nèi)目標(biāo)進(jìn)行訪問時,參考監(jiān)視器邊查看授權(quán)數(shù)據(jù)庫,以確定準(zhǔn)備進(jìn)行操作的用戶是否確實得到了可進(jìn)行此項操作的許可。而數(shù)據(jù)庫的授權(quán)則是一個安全管理器負(fù)責(zé)管理和維護(hù)的,管理器以阻止的安全策略為基準(zhǔn)來設(shè)置這些授權(quán)。
③防火墻技術(shù)。防火墻是目前用得最廣泛的一種安全技術(shù),是一種由計算機(jī)硬件和軟件的組合。它使互聯(lián)網(wǎng)與內(nèi)部網(wǎng)之間建立起一個安全網(wǎng)關(guān),可以過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包、管理進(jìn)出網(wǎng)絡(luò)的訪問行為、對某些禁止的訪問行為、記錄通過防火墻的信息內(nèi)容和活動及對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警等。防火墻的應(yīng)用可以有效的減少黑客的入侵及攻擊,它限制外部對系統(tǒng)資源的非授權(quán)訪問,也限制內(nèi)部對外部的非授權(quán)訪問,同時還限制內(nèi)部系統(tǒng)之間,特別是安全級別低的系統(tǒng)對安全級別高的系統(tǒng)的非授權(quán)訪問,為電子商務(wù)的施展提供一個相對更安全的平臺,具體表現(xiàn)如下:
①防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。與將網(wǎng)絡(luò)安全問題分散到各個主機(jī)上相比,防火墻的集中安全管理更經(jīng)濟(jì)。例如在網(wǎng)絡(luò)訪問時,一次一密口令系統(tǒng)和其它的身份認(rèn)證系統(tǒng)完全可以不必分散在各個主機(jī)上,而集中在防火墻身上。
②對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計。如果所有的訪問都經(jīng)過防火墻,那么,防火墻就能記錄下這些訪問并作日志記錄,同時也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計數(shù)據(jù)。當(dāng)發(fā)生可疑動作時,防火墻能進(jìn)行適當(dāng)?shù)膱缶⑻峁┚W(wǎng)絡(luò)是否受到監(jiān)測和攻擊的詳細(xì)信息。另外,收集一個網(wǎng)絡(luò)的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網(wǎng)絡(luò)使用統(tǒng)計對網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的。
③防止內(nèi)部信息的外泄。通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離,從而限制了局部重點或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。再者,隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題,一個內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣,甚至因此而暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)如Finger,DNS等服務(wù)。Finger顯示了主機(jī)的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度,這個系統(tǒng)是否有用戶正在連線上網(wǎng),這個系統(tǒng)是否在被攻擊時引起注意等等。
防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的DNS信息,這樣臺主機(jī)的域名和IP地址就不會被外界所了解。
④網(wǎng)絡(luò)安全協(xié)議。網(wǎng)絡(luò)協(xié)議是網(wǎng)絡(luò)上所有設(shè)備之間通信規(guī)則的集合。在網(wǎng)絡(luò)的各層中存在著許多協(xié)議,網(wǎng)絡(luò)安全協(xié)議就是在協(xié)議中采用了加密技術(shù)、認(rèn)證技術(shù)等保證信息安全交換的安全網(wǎng)絡(luò)協(xié)議。目前,Intemet上對七層網(wǎng)絡(luò)模型的每一層都已提出了相應(yīng)的加密協(xié)議,在所有的這些協(xié)議中,會話層的SSL和應(yīng)用層的SET與電子商務(wù)的應(yīng)用關(guān)系最為密切。
①ssL協(xié)議(SecureSocketsLayer)安全套接層協(xié)議。SSL使用對稱加密來保證通信保密性,使用消息認(rèn)證碼(MAC)來保證數(shù)據(jù)完整性。SSL主要使用PKI在建立連接時對通信雙方進(jìn)行身份認(rèn)證。SSL協(xié)議主要是使用公開密鑰體制和X.509數(shù)字證書技術(shù)保護(hù)信息傳輸?shù)臋C(jī)密性和完整性。它主要適用于點對點之間的信息傳輸,提供基于客戶/服務(wù)器模式的安全標(biāo)準(zhǔn),它在傳輸層和應(yīng)用層之間嵌入一個子層,在建立連接過程中采用公開密鑰,在會話過程中使用私人密鑰。加密的類型和強(qiáng)度則在兩端之間建立連接的過程中判斷決定。
SSL安全協(xié)議是國際上最早應(yīng)用于電子商務(wù)的一種網(wǎng)絡(luò)安全協(xié)議,至今仍然有很多網(wǎng)上商店使用。在傳統(tǒng)的郵購活動中,客戶首先尋找商品信息,然后匯款給商家,商家將商品寄給客戶。這里,商家是可以信賴的,所以客戶先付款給商家。在電子商務(wù)的開始階段,商家也是擔(dān)心客戶購買后不付款,或使用過期的信用卡,因而希望銀行給予認(rèn)證。SSL安全協(xié)議正是在這種背景下產(chǎn)生的。所以,它運行的基點是商家對客戶信息保密的承諾。顯然,SSL協(xié)議無法完全協(xié)調(diào)各方間的安全傳輸和信任關(guān)系。
②SET協(xié)議SecureElectronicTransaction)安全電子交易。為了克服SSL安全協(xié)議的缺點,實現(xiàn)更加完善的即時電子支付,SET協(xié)議應(yīng)運而生。
SET協(xié)議采用了雙重簽名技術(shù)對SET交易過程中消費者的支付信息和訂單信息分別簽名,使得商家看不到支付信息,只能接收用戶的訂單信息;而金融機(jī)構(gòu)看不到交易內(nèi)容,只能接收到用戶支付信息和賬戶信息,從而充分保證了消費者帳戶和定購信息的安全性。SET協(xié)議的重點就是確保商家和客戶的身份認(rèn)證和交易行為的不可否認(rèn)性,其理論基礎(chǔ)就是不可否認(rèn)機(jī)制,采用的優(yōu)秀技術(shù)包括X.509電子證書標(biāo)準(zhǔn),數(shù)字簽名,報文摘要,雙重簽名等技術(shù)。SET協(xié)議使用數(shù)字證書對交易各方的合法性進(jìn)行驗證,通過數(shù)字證書的驗證,可以確保交易中的商家和客戶都是合法的、可信賴的。
信息安全技術(shù)在電子商務(wù)中的應(yīng)用非常廣泛,并且起到了尤其重要的作用。
[論文關(guān)鍵詞]Web Services 網(wǎng)絡(luò)完全 技術(shù)
[論文摘要]為了滿足日益增長的需求,人們提出了基于XML的Web服務(wù)。它的主要目標(biāo)是在現(xiàn)有的各種異構(gòu)平臺的基礎(chǔ)上構(gòu)建一個通用的與平臺無關(guān)、語言無關(guān)的技術(shù)層,各種平臺上的應(yīng)用依靠這個技術(shù)層來實現(xiàn)彼此的連接和集成,Web Services的優(yōu)秀技術(shù)主要是XML技術(shù)、SOAP技術(shù)、WSDL及UDDI等。本文對此進(jìn)行了探討。
1 XML技術(shù)
近年來,XML已成為數(shù)據(jù)表示和數(shù)據(jù)交換的一種新標(biāo)準(zhǔn)。其基本思想是數(shù)據(jù)的語義通過數(shù)據(jù)元素的標(biāo)記來表達(dá),數(shù)據(jù)元素之間關(guān)系通過簡單的嵌套和引用來表示。若所有web服務(wù)器和應(yīng)用程序?qū)⑺鼈兊臄?shù)據(jù)以XML編碼并到Internet,則信息可以很快地以一種簡單、可用的格式獲得,信息提供者之間也易于互操作。XML一推出就被廣泛地采用,并且得到越來越多的數(shù)據(jù)庫及軟件開發(fā)商的支持。總體講來,XML具有自描述性、獨立于平臺和應(yīng)用、半結(jié)構(gòu)化、機(jī)器可處理的、可擴(kuò)展性和廣泛的支持等特點。因此,XML可被廣泛應(yīng)用于電子商務(wù)、不同數(shù)據(jù)源的集成、數(shù)據(jù)的多樣顯示等各個方面。XML描述了一個用來定義標(biāo)記集的方法用于規(guī)定一個標(biāo)記集,填入文本內(nèi)容后,這些標(biāo)記和純文本一起構(gòu)成了一個XML文檔。一個良好的XML文檔必須滿足以下幾條規(guī)則:(1)有一致良好定義的結(jié)構(gòu)(2)屬性需用引號引起來:(3)空白區(qū)域不能忽略:(4)每個開始標(biāo)簽必須要有一個與之對應(yīng)的結(jié)束標(biāo)簽:(5)有且只有一個根元素包含其他所有的結(jié)點:(6)元素不能交叉重疊但可以包含:(7)注釋和處理指令不能出現(xiàn)在標(biāo)簽中:(8)大小寫敏感:(9)關(guān)鍵詞“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大寫。為了說明特定的語法規(guī)則,XMLDTD(DocumentTypeDefination)采用了一系列正則式。語法分析器(或稱解析器)將這些正則式與XML文件內(nèi)部的數(shù)據(jù)模式相匹配,以判別文件是否是有效。一個DTD描述了標(biāo)記語言的語法和詞匯表,定義了文件的整體結(jié)構(gòu)以及文件的語法。在Internet中,一個最重要的問題是如何實現(xiàn)數(shù)據(jù)的交互,即客戶端和服務(wù)器端雙向數(shù)據(jù)交流。當(dāng)前所面對的是一個物理上分散的、異源、異構(gòu)的數(shù)據(jù)環(huán)境,能方便地從這些數(shù)據(jù)中取得所需要的信息極為重要。XML滿足這一要求,它可以將各種類型的數(shù)據(jù)轉(zhuǎn)換成XML文檔,然后對XML文檔進(jìn)行處理,之后,再將XML數(shù)據(jù)轉(zhuǎn)換為某種方式存儲的數(shù)據(jù)。XML的數(shù)據(jù)源多種多樣,但主要分為三種:第一種為本身是純文本的XML文檔、TXT文件、DAT文件等第二種來自于數(shù)據(jù)庫,如關(guān)系數(shù)據(jù)庫、對象數(shù)據(jù)庫等:第三種是其它的帶有一定格式的應(yīng)用數(shù)據(jù),如郵件、圖表、清單等。針對不同的數(shù)據(jù)源可以采用不同的技術(shù)進(jìn)行轉(zhuǎn)換。純文本文檔是最基本也是最簡單的,它將數(shù)據(jù)存儲于文本文件中,可以直接方便地讀取數(shù)據(jù)。另外,XML文檔也可以加上CSS、XSL等樣式信息在瀏覽器中顯示,或者通過DOM、SAX編程接口同其它應(yīng)用相關(guān)聯(lián)。第二種來源主要利用現(xiàn)有的比較成功的數(shù)據(jù)庫資源,是對第一種資源的擴(kuò)展,可以利用數(shù)據(jù)庫管理系統(tǒng)對數(shù)據(jù)進(jìn)行管理,并用服務(wù)器編程語言對數(shù)據(jù)進(jìn)行動態(tài)存取,來實現(xiàn)各種動態(tài)應(yīng)用。第三種數(shù)據(jù)源的轉(zhuǎn)換可以利用微軟提出的基于OLEDB的解決方案,從數(shù)據(jù)源直接導(dǎo)出XML文檔。
2 SOAP技術(shù)
SOAP(simple ObjectAcCess PrOtOCO1,簡單對象訪問協(xié)議)是由Microsoft、IBM等共同提出的規(guī)范,目的是實現(xiàn)大量異構(gòu)程序和平臺之間的互操作,從而使存在的應(yīng)用程序能夠被用戶訪問。W3C的SOAP規(guī)范主要由SOAP封裝、SOAP編碼規(guī)則、SOAPRPC表示及SOAP綁定四方面的內(nèi)容組成:(1)SOAP封裝(SOAPEnvelop):構(gòu)造了一個整體的SOAP消息表示框架,可用于表示消息的內(nèi)容是什么、誰發(fā)送的、誰應(yīng)當(dāng)接收并處理它,以及處理操作是可選的還是必須的。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)。消息體部分總是用于最終接收的消息,頭部可以確定執(zhí)行中間處理的目標(biāo)節(jié)點。附件、二進(jìn)制數(shù)字及其他項目均可以附加到消息體上。(2)SOAP編碼規(guī)則(SOAPEncodingRules):定義了一個數(shù)據(jù)編碼機(jī)制,通過這樣一個編碼機(jī)制來定義應(yīng)用程序中需要使用的數(shù)據(jù)類型,并可用于交換由這些應(yīng)用程序定義的數(shù)據(jù)類型所衍生的實例。(3)S0AP RPC表示(S0AP RPcRepresentation):定義了一個用于表示遠(yuǎn)程過程調(diào)用和響應(yīng)的約定與HTTP相似,RPC使用請求/響應(yīng)模型交換信息。使用SOAP調(diào)用遠(yuǎn)程方法的主要工作就是構(gòu)造SOAP消息。SOAP請求消息代表方法調(diào)用,被發(fā)送給遠(yuǎn)程服務(wù)器,5OAP響應(yīng)消息代表調(diào)用結(jié)果,返回給方法的調(diào)用者。(4)SOAP綁定(sOAPBinding):定義了一個使用底層協(xié)議來完成在節(jié)點間交換SOAP消息的機(jī)制。SOAP消息的傳輸依靠底層的傳輸協(xié)議,與傳輸層的協(xié)議都能進(jìn)行綁定。SOAP采用了已經(jīng)廣泛使用的兩個協(xié)議:HTTP和XML。HTTP用于實現(xiàn)SOAP的RPC風(fēng)格的傳輸,而XML是它的編碼模式。SOAP通訊協(xié)議使用HTTP來發(fā)送x扎格式的消息。HTTP與RPC的協(xié)議很相似,它簡單、配置廣泛,并且對防火墻比其它協(xié)議更容易發(fā)揮作用。HTTP請求一般由Web服務(wù)器來處理,但越來越多的應(yīng)用服務(wù)器產(chǎn)品正在支持HTTP XML作為一個更好的網(wǎng)絡(luò)數(shù)據(jù)表達(dá)方式,SOAP把XML的使用代碼轉(zhuǎn)化為請求/響應(yīng)參數(shù)編碼模式,并用HTTP作傳輸。具體的講,一個SOAP方法可以簡單地看作遵循SOAP編碼規(guī)則的HTTP請求和響應(yīng)。一個SOAP終端則可以看作一個基于HTTP的URL,它用來識別方法調(diào)用的目標(biāo)。SOAP不需要將具體的對象綁定到一個給定的終端,而是由具體實現(xiàn)程序來決定怎樣把對象終端標(biāo)識符映像到服務(wù)器端的對象。
3 WSDL與UDDI技術(shù)
WSDL(WebServicesDescriptionLanguage,web服務(wù)描述語言)基于Ⅺ旺,將Web服務(wù)描述為一組對消息進(jìn)行操作的服務(wù)訪問點它抽象描述了操作和消息,并綁定到一個具體的網(wǎng)絡(luò)協(xié)議和消息格式,定義了具體實施的服務(wù)訪問點。WSDL包含服務(wù)接口定義和服務(wù)實現(xiàn)定義,服務(wù)接口是Web服務(wù)的抽象定義,包括類型、消息和端口類型等。服務(wù)實現(xiàn)定義描述了服務(wù)提供者如何實現(xiàn)特定的服務(wù)接口,包括服務(wù)定義和端口定義幾乎所有在因特網(wǎng)上的Web服務(wù)都配有相關(guān)的WSDL文檔,其中列舉了該服務(wù)的功能,說明了服務(wù)在Web上的位置,并提供了使用它的命令。WSDL文檔定義了Web服務(wù)功能發(fā)送和接收的消息種類,并規(guī)定了調(diào)用程序必須提供給Web服務(wù)的數(shù)據(jù),以便該服務(wù)能夠執(zhí)行其任務(wù)。WSDL文檔還提供了一些特定的技術(shù)信息,告訴應(yīng)用程序如何通過HTTP或其他通信協(xié)議與Web服務(wù)進(jìn)行連接和通信。用戶想使用服務(wù)提供者所提供的服務(wù),必須首先找到這個服務(wù)。UDDI(UniversalDescrip—ti012DiseoveryIntegration,統(tǒng)一描述發(fā)現(xiàn)集成)提供了一種、查找服務(wù)的方法,使得服務(wù)請求者可以在Internet巨大的信息空間中快速、方便地發(fā)現(xiàn)要調(diào)用的服務(wù),并完成服務(wù)間的集成。UDDI是一個基于SOAP協(xié)議的、為Web服務(wù)提供信息注冊中心的實現(xiàn)標(biāo)準(zhǔn)。同時也包含一組提供Web服務(wù)注冊、發(fā)現(xiàn)和調(diào)用的訪問協(xié)議。UDDI通過XML格式的目錄條目將Web服務(wù)注冊在UDDI中心的公共注冊表內(nèi)供其它用戶查詢和使用。UDDI目錄條目包括三個部分:白頁、黃頁和綠頁。白頁提供一般信息,即Web服務(wù)的URL和提供者的名稱、地址、聯(lián)系方式等基本信息:黃頁提供基于標(biāo)準(zhǔn)分類法的相關(guān)產(chǎn)業(yè)、產(chǎn)品或提供服務(wù)類型以及地域等的分類信息:綠頁提供技術(shù)信息,它詳細(xì)介紹了訪問服務(wù)的接口,以便用戶能夠編寫應(yīng)用程序以使用Web服務(wù),這是發(fā)現(xiàn)潛在Web服務(wù)的關(guān)鍵。同時,UDDI提供了基于XML的輕量級的數(shù)據(jù)描述和存儲方式,服務(wù)的定義是通過一個稱為類型模型的UDDI文檔來完成的。UDDI本身就是一個Web服務(wù),它通過一組基于SOAP的UDDI的API函數(shù)進(jìn)行訪問。其中查詢API用來查詢定位商業(yè)實體、服務(wù)、綁定等信息。API被用來在注冊中心或者取消服務(wù)。
