用戶身份認證:是安全的第壹道門,是各種安全措施能夠發揮作用的前提。身份認證技術包括:靜態口令、動態口令(短信口令、動態口令卡、手機令牌)、USB KEY、ic卡、數字證書、指紋虹膜等。
◆防火墻:防火墻在某種意義上可以說是壹種訪問控制產品。它在內部網絡和不安全的外部網絡之間設置屏障,防止外部對內部資源的非法訪問和內部對外部的不安全訪問。主要技術有:包過濾技術、應用網關技術和代理服務技術。防火墻能有效防止黑客利用不安全的服務攻擊內網,並能實現對數據流的監控、過濾、記錄和上報功能,更好地切斷內網與外網的連接。但它可能有自己的安全問題,也可能是潛在的瓶頸。
◆網絡安全隔離:網絡隔離有兩種方式,壹種是通過隔離卡實現,另壹種是通過網絡安全隔離網關實現。隔離卡主要用來隔離單機,網關主要用來隔離全網。這兩者的區別可以在參考資料中找到。網絡安全隔離和防火墻的區別可以在參考資料中找到。
◆安全路由器:由於廣域網連接需要專門的路由器設備,所以可以通過路由器控制網絡傳輸。訪問控制列表技術通常用於控制網絡信息流。
◆虛擬專用網(VPN):虛擬專用網(VPN)是在公共數據網絡上,利用數據加密技術和訪問控制技術,實現兩個或兩個以上可信內網之間的互聯。VPN的構建通常需要使用具有加密功能的路由器或防火墻來實現數據在公共信道上的可靠傳輸。
◆安全服務器:安全服務器主要針對壹個局域網內信息存儲和傳輸的安全,其功能包括局域網資源的管理和控制,局域網內用戶的管理,局域網內所有安全相關事件的審計和跟蹤。
電子簽證機構——CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可靠的認證服務。CA可以向用戶發放電子簽證證書,並為用戶提供會員認證、密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務,將成為所有應用的計算基礎設施的核心組成部分。
◆安全管理中心:由於互聯網上的安全產品非常多,而且分布在不同的地點,所以需要建立壹套集中的管理機制和設備,即安全管理中心。用於向網絡安全設備分發密鑰,監控網絡安全設備的運行狀態,收集網絡安全設備的審計信息。
◆入侵檢測系統(IDS):入侵檢測作為傳統保護機制(如訪問控制、身份識別)的有效補充,在信息系統中形成了不可或缺的反饋鏈。
◆入侵防禦系統(IPS):入侵防禦作為IDS的良好補充,是在信息安全發展中占據重要地位的計算機網絡硬件。
◆安全數據庫:由於大量信息存儲在計算機數據庫中,有些信息是有價值的、敏感的,需要加以保護。壹個安全的數據庫可以確保數據庫的完整性、可靠性、有效性、保密性、可審計性、訪問控制和用戶識別。
◆安全操作系統:為系統中的關鍵服務器提供安全的操作平臺,構成安全的WWW服務、安全的FTP服務、安全的SMTP服務等。,並作為各種網絡安全產品保障自身安全的堅實基礎。
◆DG圖文檔加密:可以智能識別計算機運行的機密數據,自動強制加密所有機密數據,無需人工參與。它體現了安全面前人人平等。從根源上解決信息泄露
信息安全行業主流技術如下:1、病毒檢測與清除技術2、安全防護技術包括網絡防護技術(防火墻、UTM、入侵檢測與防禦等。);應用保護技術(如應用程序接口安全技術等。);系統保護技術(如防篡改、系統備份和恢復技術等。),關系到防止外網用戶通過非法手段進入內網,訪問內部資源,保護內網運行環境。3.安全審計技術包括日誌審計和行為審計。日誌審計幫助管理員在受到攻擊後檢查網絡日誌,從而評估網絡配置的合理性和安全策略的有效性,追溯和分析安全攻擊的軌跡,為實時防禦提供手段。通過對員工或用戶網絡行為的審計,可以確認行為的合規性,確保信息和網絡使用的合規性。4.安全檢測和監控技術可以從二到七個級別檢測信息系統中的流量和應用內容,並對其進行適當的監督和控制,以避免網絡流量的濫用、垃圾信息和有害信息的傳播。5.解密和加密技術在信息系統的傳輸或存儲過程中對信息數據進行加密和解密。6.身份認證技術用於確定訪問或幹預信息系統的用戶或設備的身份的合法性。典型的手段包括用戶名和密碼、身份識別、PKI證書和生物認證。
信息安全服務
信息安全服務是指為確保信息和信息系統的完整性、保密性和可用性而提供的信息技術專業服務,包括咨詢、集成、監督、評估、認證、運維、審計、培訓和風險評估、災難恢復備份、應急響應等。可以建立信息安全,采取有效的技術和管理手段,保護計算機信息系統和網絡中的計算機硬件、軟件、數據和應用程序免受意外或惡意原因的侵害。
壹個安全有效的計算機信息系統可以同時支持機密性、真實性、可控性和可用性四個核心安全屬性,而提供信息安全服務的基本目標是幫助信息系統實現上述全部或大部分內容。電子商務安全從整體上可以分為兩部分:計算機網絡安全和商務交易安全。
(1)計算機網絡安全的內容包括:
(1)不執行與操作系統相關的安全配置。
無論采用什麽操作系統,在默認安裝條件下都會存在壹些安全問題。只有針對操作系統的安全性進行相關的、嚴格的安全配置,才能達到壹定程度的安全性。不要以為用強密碼系統默認安裝操作系統就安全了。網絡軟件的漏洞和“後門”是網絡攻擊的首選目標。
(2)沒有進行CGI程序代碼審計。
如果是壹般的CGI問題,防範起來稍微容易壹點。但是很多網站或者軟件商專門開發的CGI程序,都存在嚴重的CGI問題。對於電子商務網站來說,會出現惡意攻擊者利用他人賬號進行網購等嚴重後果。
(3)拒絕服務(DoS)攻擊。
隨著電子商務的興起,網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網絡癱瘓為目標的攻擊效果比任何傳統的恐怖主義和戰爭手段都更強,破壞力更大,傷害更快,範圍更廣,而攻擊者本身的風險卻很小,甚至在攻擊開始前就消失得無影無蹤,使對方無法報復。
(4)安全產品使用不當
雖然很多網站都采用了壹些網絡安全設備,但是這些產品由於自身問題或者使用問題,並沒有發揮出應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超過了普通網管人員的技術要求。即使廠商最初對用戶進行了正確的安裝和配置,壹旦系統發生改變,當相關安全產品的設置需要改變時,也很容易產生很多安全問題。
(5)缺乏嚴格的網絡安全管理制度
網絡安全最重要的是從思想上高度重視。壹個網站或局域網的內部安全需要有壹套完整的安全體系來保障。建立和實施嚴密的計算機網絡安全體系和策略是真正實現網絡安全的基礎。
(二)計算機業務交易安全的內容包括:
(1)竊取信息
由於沒有采取加密措施,數據信息在網絡上以明文形式傳輸,入侵者可以在數據包經過的網關或路由器上截獲傳輸的信息。通過多次竊取和分析,找到信息的規律和格式,進而得到傳輸信息的內容,導致網絡上傳輸的信息泄露。
(2)篡改信息
入侵者在掌握了信息的格式和規律後,在中途對網絡上傳輸的信息數據進行修改,然後通過各種技術手段和方法發送到目的地。這種方法並不新鮮,這種工作可以在路由器或網關上完成。
(3)偽造
由於掌握了數據格式,篡改了傳遞的信息,攻擊者可以冒充合法用戶發送虛假信息或者主動獲取信息,遠程用戶通常很難分辨。
(4)惡意破壞
由於攻擊者可以訪問網絡,他可能修改網絡中的信息,掌握網絡上的機密信息,甚至潛入網絡,後果非常嚴重。電子商務的壹個重要技術特征是利用計算機技術傳遞和處理商務信息。因此,電子商務安全問題的對策可以分為兩部分:計算機網絡安全措施和商務交易安全措施。
1.計算機網絡安全措施
計算機網絡安全措施主要包括三個方面:保護網絡安全、保護應用服務安全和保護系統安全。各個方面都要結合物理安全、防火墻、信息安全、Web安全、媒體安全等等。
(1)保護網絡安全。
網絡安全是保護所有業務方的網絡端系統之間通信過程的安全。確保機密性、完整性、認證和訪問控制是網絡安全的壹個重要因素。保護網絡安全的主要措施如下:
(1)整體規劃網絡平臺的安全策略。
(2)制定網絡安全管理措施。
(3)使用防火墻。
(4)盡可能記錄網絡上的所有活動。
(5)註意網絡設備的物理保護。
(6)測試網絡平臺系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(2)保護應用安全。
保護應用安全主要是指為特定應用(如Web服務器、網上支付專用軟件系統)建立的安全保護措施,它獨立於網絡的任何其他安全保護措施。雖然有些保護措施可能是網絡安全服務的替代或重疊,如應用層的Web瀏覽器和Web服務器對網絡支付和結算數據包的加密,都是IP層加密,但很多應用都有自己特定的安全需求。
因為電子商務中的應用層對安全的要求是最嚴格、最復雜的,所以更傾向於在應用層而不是網絡層采取各種安全措施。
雖然網絡層的安全仍然有其特殊的地位,但人們不能完全依靠它來解決電子商務應用的安全問題。應用層上的安全服務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網絡支付。
(3)保護系統安全。
保護系統安全是指從整體電子商務系統或網絡支付系統的角度進行安全防護,與網絡系統硬件平臺、操作系統和各種應用軟件相互關聯。涉及網上支付結算的系統安全包括以下措施:
(1)檢查並確認已安裝軟件中的未知安全漏洞,如瀏覽器軟件、電子錢包軟件、支付網關軟件等。
(2)技術和管理的結合使系統具有最小的滲透風險。如果經過多次認證才允許連接,那麽所有的訪問數據都必須經過審核,系統用戶必須嚴格管理。
(3)建立詳細的安全審計日誌,檢測和跟蹤入侵攻擊。
商務交易的安全性緊密圍繞著傳統商務在互聯網上的應用所產生的各種安全問題。在計算機網絡安全的基礎上,如何保證電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術實現的,主要包括加密技術、認證技術和電子商務安全協議。
(1)加密技術。
加密技術是電子商務采用的基本安全措施,交易雙方可以根據需要在信息交換階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密也叫私鑰加密,即信息的發送方和接收方使用同壹個密鑰對數據進行加密和解密。它最大的優點是加密/解密速度快,適合加密大量數據,但密鑰管理比較困難。如果通信雙方能夠保證私鑰在密鑰交換階段沒有被泄露,那麽通過這種加密方法對機密信息進行加密,並隨消息壹起發送消息摘要或消息哈希值,就可以實現機密性和消息完整性。
(2)非對稱加密。
非對稱加密又稱公鑰加密,是用壹對密鑰分別完成加密和解密操作,其中壹個密鑰公開發布(即公鑰),另壹個密鑰由用戶自己秘密保管(即私鑰)。信息交換的過程是:甲方生成壹對密鑰,並將其中壹個作為公鑰向其他方公開。得到公鑰的乙方對信息進行加密並發送給甲方,甲方用自己的私鑰對加密後的信息進行解密。
(2)認證技術。
認證技術是以電子手段證明發送方和接收方的身份及其文件完整性的技術,即確認雙方的身份信息在傳輸或存儲過程中未被篡改。
(1)數字簽名。
數字簽名,又稱電子簽名,可以像出示手寫簽名壹樣,起到對電子文件的認證、批準和生效的作用。實現方法是將哈希函數與公鑰算法相結合,發送方從消息正文中生成壹個哈希值,並用自己的私鑰對哈希值進行加密,形成發送方的數字簽名。然後,該數字簽名作為消息的附件與消息壹起發送給消息的接收者;消息的接收方首先從接收到的原始消息中計算出哈希值,然後用發送方的公鑰解密附加在消息上的數字簽名;
(2)數字證書。
數字證書是由證書頒發機構數字簽名的文件,它包含公鑰所有者和公鑰的信息。數字證書的主要組成部分包括用戶的公鑰、密鑰所有者的用戶身份標識符以及可信的第三方簽名。第三方壹般是用戶信任的認證機構(CA),如政府部門、金融機構等。用戶以安全的方式將其公鑰提交給公鑰證書頒發機構並獲得證書,然後用戶可以公開該證書。任何需要用戶公鑰的人都可以得到這個證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書(Digital certificate)提供了壹種通過壹系列標記交易各方身份信息的數據來驗證對方身份的方式,用戶可以用它來識別對方的身份。
(3)電子商務的安全協議。
除了上面提到的各種安全技術之外,還有壹整套用於電子商務運作的安全協議。比較成熟的協議有SET,SSL等等。
(1)安全套接字層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL報警協議組成。SSL握手協議用於在客戶端和服務器實際傳輸應用層數據之前建立安全機制。客戶端第壹次與服務器通信時,雙方通過握手協議就版本號、密鑰交換算法、數據加密算法、哈希算法達成壹致,然後驗證彼此的身份。最後用協商好的密鑰交換算法生成壹個只有雙方知道的秘密信息,客戶端和服務器根據這個秘密信息分別生成數據加密算法和哈希算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層發送的數據進行加密壓縮,計算出消息認證碼MAC,然後通過網絡傳輸層發送給對方。SSL警報協議用於在客戶端和服務器之間傳輸SSL錯誤信息。
(2)安全電子交易協議集。
SET協議用於劃分和定義電子商務活動中消費者、網商、銀行和信用卡組織之間的權利和義務,並給出交易信息傳輸流程的標準。SET主要由三個文件組成,即SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據完整性和身份合法性。
SET協議是專門為電子商務系統設計的。它位於應用層,其認證體系完善,可以實現多方認證。在SET的實現中,消費者賬戶信息對商家是保密的。但是SET協議非常復雜,交易數據需要多次驗證,使用多個密鑰,多次加密解密。除了消費者和商家,SET協議中還有其他參與者,如發卡行、收單機構、認證中心、支付網關等。信息安全工程監理是在信息安全工程的開發采購階段和交付實施階段為業主提供信息安全服務。主要是在項目準備階段、項目實施階段和項目驗收階段,通過質量控制、進度控制、合同管理、信息管理和協調,在壹定的成本範圍內,按照科學規範的流程完成信息安全項目,實現項目預期的信息安全目標。
信息安全工程監理的信息安全工程監理模式由三部分組成,即咨詢監理的支撐要素(組織結構、設施設備、安全知識和質量管理)、監理咨詢階段的流程和控制管理措施(“三控兩管壹協調”,即質量控制、進度控制、成本控制、合同管理、信息管理和組織協調)。