国内信息安全认证范文1
【 关键词 】 互联网;信息安全;账号密码;身份认证
Security Investigation on the Internet Users’ Accounts and Passwords
Xie Jin 1 Liu Fan-bao 2 Xie Tao 2
(1.The First High School of Changsha HunanChangsha 410005;
2. School of Computer Science, National University of Defense Technology HunanChangsha 410073)
【 Abstract 】 Being directed against the basic problem of information security, i.e. the security of the Internet users’ accounts and their corresponding passwords, an investigation on the security level of inland network identity authentication has been carried on for 3 years. The investigation focuses on testing the security mechanisms applied in the registration (create a new account) and sign-in procedures of some dominant inland Internet Email service providers, and testing the security mechanisms applied in the registration and sign-in procedures of some dominant inland Internet E-Business service providers. To make comparisons on the security mechanism with overseas Internet Email service providers, similar tests have also been carried out on the three dominant Internet Email service providers, namely Hotmail, Gmail and Yahoo!Mail. Research results show that, China’s current information security can be leveled as very severe, so that some emergent measures must be taken to hold up the network security as soon as possible, and the first and foremost remedy is not to send a user’s username\password over the circuit “in the clear” any more.
【 Keywords 】 internet;information security; account password; identity authentication
1 引言
与历史上改变人类生活方式的重大技术革命一样,网络技术已经成为一把名副其实的双刃剑。从模拟信号到数字信号、从有线连接到无线连接、从静止通讯到移动通讯、从单计算机应用到多计算机互联、从人-人互联到人-物与物-物互联,网络技术发展到今天,已经无处不在、不可或缺。但由于因特网的基础协议(TCP/IP)未考虑信息安全因素,使得在网络信息技术飞速发展的今天,安全问题也异常突出。网络账号密码泄密、网络阻塞、网站瘫痪、邮件伪造、黑客入侵、网络欺诈、假冒网站等信息安全问题,已经严重威胁电子金融、电子商务、电子政务、网络媒体、网络社交等互联网络服务的安全与信任问题。
愈演愈烈的“密码危机”已经演变成为对网络技术的信任危机。近年来,互联网用户信息泄露与入侵事件层出不穷,事件日益严重。例如,索尼上亿用户信息泄露,韩国SK通讯公司七成韩国人资料遭泄露,日本爱普生公司泄露3500万用户信息,美国银行与美国花旗银行信用卡信息遭泄露,华盛顿邮报百万用户信息遭泄露…… 近年来,我国也发生了史上最为严重的用户信息泄露事件。2011年12月,CSDN上600万用户资料被公开,知名团购网站美团网的用户账号密码信息也被宣告泄露,天涯社区、开心网、7K7K、猫扑等多个社区和游戏网站的用户数据相继外泄,网上公开暴露的网络账号密码超过1亿个。2013年3月,著名云笔记服务提供商Evernote 5000万用户身份密码遭黑客泄漏。 2014年12月,中国铁路客户服务中心12306用户数据在互联网遭到大量泄漏,包括用户账号、明文密码、身份证以及邮箱等。如何确保互联网上个人、组织、服务和设备之间的虚拟服务具有与现实服务同等的可靠度与诚信度,已成为网络安全行业在信息安全理论、技术、工程与管理上迫在眉睫、义不容辞的责任与使命。
身份认证是网络信息安全的基本保障。网络服务器通过身份认证与访问控制方式对合法注册用户进行授权与管理。用户首先通过注册(账号与密码)成为网络服务器的合法用户,只有通过身份认证的用户才能访问/使用(阅读、修改、下载等)网络服务器相应角色的资源。身份认证与访问控制是网络信息安全的基本技术和基本研究内容。网络信息安全涉及计算机操作系统、互联网络安全协议与密码算法的安全性,其中网络安全协议以密码算法为基础,采用网络协议的形式实现两个以上网络实体之间的远程身份认证、密钥协商以及确保消息的不可抵赖性。安全协议的安全性不仅取决于密码算法自身的安全性,同时也取决于协议形式的安全性。身份认证协议常用攻击方法包括网络监听、重放攻击、中间人攻击、在线攻击、离线攻击等等,一个不安全的身份认证协议可以被黑客利用进行网络攻击。因此,身份认证协议的安全性是确保网络身份认证安全的技术基础。
2 电子邮件系统与商业网站账号安全
我们首先对每个电子邮箱的三种登录方式分别进行了用户账号密码的传输方式测试,包括POP3登录方式、IMAP登录方式以及Web登录方式。然后,对每个电子邮箱注册服务过程中用户注册信息的传输方式进行测试。
2.1 电子邮箱POP3客户端登录安全方式调查
我们在2011年8月的调查结果表明,采用POP3客户端登录方式的所有国内电子邮件服务提供方默认使用明文密码进行用户身份认证,而且其中46%的境内邮件服务提供方(28家中的13家)仅支持明文密码认证。我们在2012年8月的调查结果表明,采用POP3客户端登录方式的所有境内电子邮件服务提供方仍然默认使用明文密码进行用户身份认证,而且其中39%的境内邮件服务提供方(28家中的11家)仅支持明文密码认证。一年期间,中国移动的139mail新增HTTPS支持,Tommail新增Login支持。此点说明,已经有境内电子邮件服务提供方开始认识到用户登录身份认证安全的重要性。调查统计结果如图1(a)所示。
2.2 电子邮箱IMAP客户端登录安全方式调查
我们在2012年8月的调查结果表明,25%的境内邮件服务提供方(28家中的7家)不支持IMAP客户端登录。在支持IMAP客户端登录的境内电子邮件服务提供方中,所有提供方默认使用明文密码进行用户身份认证,其中33%的提供方(21家中的7家)仅支持明文密码认证。调查统计结果如图1(b)所示。
2.3 电子邮箱Web页面注册与登录安全方式调查
我们在2012年8月的调查结果表明,除亿邮(eyou.mail)关闭了注册功能外,所有境内邮件服务提供方在用户注册过程中均将注册信息(包括账号与密码)以明文方式传输至注册服务器。在已调查的28个境内知名邮件服务提供方中有19个(比例为67.9%)为收费邮件服务(每月收取服务费用从五元至上百元不等),有9个(比例为32.1%)提供免费电子邮件服务。调查结果表明,境内邮件服务商信息安全意识不强,对用户私密信息缺乏足够安全保护。令人震惊的是,19家收费电子邮件系统中竟有16家(比例为84.2%)默认使用明文密码进行登录认证,仅有3家提供非明文密码的登录认证方式,而且其中一家仅仅采用极其简单的线性掩码变换方式对登录密码进行保护,另外两家则采用安全的HTTPS方式对登录过程中的密码传输进行加密保护。由此可见,境内电子邮件系统安全性十分脆弱。在9家免费电子邮件系统中,仅有搜狐旗下的4家提供安全的HTTPS对登录过程的密码传输进行加密保护,另外三个使用用户明文密码进行登录认证,剩余两家使用单向挑战响应认证方式对用户账号密码进行有限保护。根据轻量级(非公开密钥密码系统)动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的两家邮件服务商均采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图2所示。
2.4 国外电子邮箱系统安全性调查
作为安全性比较分析,我们对境外三大电子邮箱服务器Hotmail、Gmail和Yahoo!Mail的安全身份认证方式进行了同样的测试工作,结果发现这些邮箱的注册与登录过程全部以安全HTTPS协议方式对用户账号密码信息进行加密传输,基本上没有明文账号密码传输认证方式选项。
境内电子邮件服务提供方仅采用最低安全级别的明文密码传输方式进行身份认证,而境外电子邮件服务方一般提供安全级别很高的口令密码加密传输保护方式。因此,境内电子邮件系统极易受到境内外黑客或者情报部门攻击,并利用用户个人私密信息进行商业牟利或政治与军事渗透活动。重视账号和内容安全的国内电子邮件用户因而转投境外电子邮件提供方。由于我们无法控制国外邮件服务器,而境外情报部门却能轻易控制并利用境内的电子邮箱信息,致使我国在网络信息安全技术领域处于不对称的弱势地位。此外,我国现有网络服务器等网络核心设备一般采用国外主机与操作系统,由网络设备制造方预设的硬件后门和软件后门所导致的安全风险也不容小觑。
2.5 商业网站账号安全性调查
名目繁多的境内互联网商业网站为用户提供购物、旅游、聊天、交友等系列服务,极大便利了广大用户的生活。这些网站数据库中留下了用户的各种私密信息(爱好、消费内容和习惯、交往人群等),如果这些用户信息发生集中泄露事件,用户就毫无隐私可言。2011年12月期间我国系列网站账号数据库集中泄露事件表明,境内商业网站的账号与密码的安全性令人质疑。
2012年8月我们集中调查了30家知名商业网站的账号密码安全性。受调查的商业网站涵盖生活、招聘、交友、团购、购物、旅游和视频等方面,在一定程度上代表了当前服务性商业网站的主流应用。我们主要通过监控用户注册过程和用户登录过程,检查网站是否提供必要的安全技术对用户的账号密码进行保护。其中29家商业网站在用户提交注册信息(包含账号密码)的过程中均未提供任何安全保护,包括知名购物网站淘宝网,用户设定的账号和密码通过明文方式经过不安全的互联网传送至网站服务器。京东商城使用HTTPS对注册和登录过程进行保护。
26家商业网站(比例86.7%)对用户的登录认证过程未提供任何安全保护,仅仅采用明文密码认证方式,包括知名团购网站拉手网和美团网以及三大招聘网站,如图3所示。仅有淘宝和京东商城提供了安全的HTTPS对用户登录认证过程的密码传输进行加密保护,另有三家网站(58同城、开心网和新浪微博)采用单向挑战响应认证方式对用户在登录认证过程中的密码传输进行了有限的保护。根据动态身份认证方式中认证服务器数据库账号密码必须与用户登录密码一致的原理,可以推定其中使用单向挑战响应认证方式的三家商业网站服务商采用明文密码数据库,因此容易遭受因认证数据库泄密导致的集中泄密风险。调查统计结果如图3所示。2014年8月,我们再一次对此30家知名商业网站的账号密码安全性进行复查,发现58同城网、CSDN论坛网、美团购物网、大公点评网以及去哪儿旅游网等几家商业或社交网站的注册与登录信息传输已经采用HTTPS安全协议进行了加密封装,其它网站仍然没有进行必要的安全升级。
3 调查结论与建议
3.1 调查结论
(1)境内互联网服务提供方用户的身份注册与登录认证过程普遍默认采用静态身份认证方式。虽然认证数据库用户的账号密码存储方式不明,但用户的账号密码却几乎全部采用明文密码传输方式。因此,容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(2)绝大部分境内互联网服务提供方的用户注册信息(账号与密码)传输仅仅提供唯一的明文传输方式,近半数境内互联网服务提供方用户登录身份认证的账号密码传输仅仅提供唯一的明文传输方式。因此,非常容易遭受网络监听泄密风险。这是导致近几年国内外商业数据库账号密码泄密的主要技术原因。
(3)境外互联网几大专业电子邮箱服务器Hotmail、Gmail和Yahoo!Mail均采用SSL\TLS协议对口令实施加密传输动态认证,防止账号口令密码网络明文传输泄密风险;认证服务器数据库则采用账号口令散列值加密方式,预防数据库内部集中泄密风险。
(4)为了确保网络身份认证数据库安全与认证过程中认证信息传输的安全性,无论是国际互联网还是包括军网在内的各种内部专网,必须采用SSL\TLS协议将网络身份认证过程加密封装,在口令密码散列值加密存储方式下实现非对称密码体制下的动态身份认证。
(5)密码算法、安全协议与网络工程以及操作系统各专业研究领域必须紧密合作,才能保证一项互联网应用工程中的信息安全。我国互联网普遍存在用户账号密码明文传输的不安全静态认证方式,根本原因在于互联网应用工程设计人员网络安全意识不强,对网络安全协议缺少研究,对常规网络攻击方法与行为缺乏了解,对潜在的网络攻击新理论与新技术更缺少关心。
根据轻量级动态身份认证的一致性原理可以推定,采用轻量级动态身份认证方式的认证数据库一般采用用户账号密码的明文存储方式。根据一致性原理同时可以推定,安全的认证数据库一般采用用户账号密码的单向散列值影子文件加密保护,而采用SSL/TLS安全协议将静态认证的明文密码传输转换成重量级动态认证的加密传输方式。这样,网络身份认证才能既可防止认证数据库的内部集中泄密风险,又能防止外部网络监听的重放攻击。
3.2 应急建议
(1)尽快对我国互联网开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(2)尽快对我国各行业内部专用互联网(内部信息专网、政府办公专网、金融专网、邮电专网、铁路专网等等)开展一次用户身份认证方式的普查工作,检查认证数据库用户的账号密码存储方式与身份认证中账号密码的网络传输方式。
(3)采用SSL\TLS协议对我国互联网用户身份认证过程实现加密封装,确保身份认证过程的动态性。
(4)加强网络信息安全意识,建立互联网攻防新技术专业实验室,为复杂信息化环境下的军事斗争加紧培养既精通密码算法与安全协议的分析方法又通晓操作系统与网络工程技术的复合型高级专门技术人才。
参考文献
[1] 谢涛,陈火旺,康立山. 幻方身份双向认证与密约传输一体化方法.中国知识产权局,发明专利号:331608,2007年6月.
[2] 谢涛. 一种用于身份真伪鉴别的幻方签名方法.中国知识产权局,发明专利号:695757,2010年11月.
[3] Freier A, Karlton P, Kocher P. The Secure Sockets Layer (SSL)Protocol Version 3.0. RFC 6101 (Historic). August 2011. http:///rfc/rfc6101.txt.
[4] Dierks T, Rescorla E. The Transport Layer Security (TLS) Protocol Version 1.2. RFC 5246 (Proposed Standard). August 2008. Updated by RFCs 5746, 5878, 6176, http:///rfc/rfc5246.txt.
[5] Rescorla E. HTTP Over TLS. RFC 2818 (Informational). May 2000. Updated by RFC 5785, http:///rfc/rfc2818.txt.
[6] Fielding R, Gettys J, Mogul J, et al. Hypertext Transfer Protocol-HTTP/1.1. RFC 2616 (Draft Standard). June 1999. Updated by RFCs 2817, 5785, 6266, http:///rfc/rfc2616.txt.
[7] Crispin M. INTERNET MESSAGE ACCESS PROTOCOL - VER- SION 4rev1. RFC 3501 (Proposed Standard). March 2003. Updated by RFCs 4466, 4469, 4551, 5032, 5182, 5738, 6186, http:///rfc/rfc3501.txt.
基金项目:
本文工作得到国家自然科学基金项目NSF.61070228与 NSF.61472476的连续资助以及国防科技大学XXX实验室的大力支持。
作者简介:
谢瑾(1997-),女,湖南长沙人, 湖南省长沙市第一中学信息技术组成员;主要研究方向和关注领域:互联网应用创意、文学创作、数学游戏。
国内信息安全认证范文2
安全技术需自主研发
网络信息安全行业不是普通行业,是关系到国家安全的特殊行业,中国国产企业在从事信息安全行业时,需要有强烈的爱国主义情怀和刻苦研发技术的实干精神。
周强表示,中国的信息安全更应重视核心技术的自主研发能力。在电子银行与移动支付兴起的今天,金融业务中电子银行和证券等领域面临着网络攻击、病毒侵扰、非法窃取账户信息、客户信息泄漏等新的信息安全问题。众人科技研发的‘iKEY多因素动态密码身份认证系统’正是针对信息安全问题所研发的认证系统。
记者了解到,“iKEY多因素动态密码身份认证系统”是基于时间同步技术的多因素认证系统,该系统已获得了国家密码管理局颁发的国内首张动态口令产品证书,相关的专用安全芯片也获得了国内产品型号证书。
去介质下的认证技术
最新数据显示,截止2015年底,全国网民数规模已达到6.88亿人,手机网民数达到6.2亿人,占网民总数的90.1%,其中网购用户规模达到4.13亿,比例高达六成;截至2015年12月,网上支付用户规模达4.16亿人,手机网上支付用户规模达3.58亿人,增长率为64.5%。网民手机网上支付的比例由2014年底的39.0%提升至57.7%。
庞大的网民逐渐使用起网上支付这种便捷移动的方式,但背后却有着巨大的网络安全隐患。就中国而言,每年造成805亿资金损失,人均124元。其中约4500万网民近一年遭受经济损失在1000元以上,全球范围内的网络犯罪掘金已高达3万亿美金。
周强推测,随着支付、存款、转账、理财、信贷等金融服务的线上化,未来金融服务不再依赖于实体的银行卡,银行物理网点也将转型并逐渐消失,未来银行的介质是可以多元化的,比如虹膜、指纹等,甚至银行卡实体会“消失”或者虚拟化。
基于这些实际情况,上海众人网络安全技术有限公司的研发团队最新发明了移动互联网创新密码技术——SOTP,即“多因素动态可重构的确定真实性认证技术”,实现了密钥和算法的融合,在无需增加硬件的前提下,采用软件方式解决移动设备中存储密钥的关键性问题。周强表示:“该项技术从加密协议到密码算法的所有部件都由众人科技自主研发,在业界具有领先优势。”
提高全民安全意识
据《中国网民权益保护调查报告(2015)》显示,79.2%的中国网民个人身份信息被泄露过,包括网民的姓名、学历、家庭住址、身份证号和工作单位等;63.4%的网民个人网上活动信息被泄露过,包括通话记录、网购记录、网站浏览痕迹、IP地址等等。
未来,随着民众对信息安全的重视,信息安全技术逐渐升温,很多信息网络企业开始积极投身到这个领域,周强说:“网络信息安全企业不同于普通行业,信息安全人士需要有持久的耐心,由于安全密码行业的认证许可门槛高,研发的新技术从获得政府监管部门的认证许可,到产品真正被市场认可并应用,需要经过漫长的时间。”
另一方面,周强认为提高广大民众和企业的信息安全意识是发展自主信息安全产品的根本与前提。但大多数人对信息安全还停留在模糊认识的阶段,为此,众人科技团队曾四处奔走为信息安全摇旗呐喊,致力于提高广大民主的信息安全意识,增进公众对信息安全的关注和投入,为信息安全行业的发展创造一个良好的环境。
国内信息安全认证范文3
关键词:物联网;安全认证;技术;研究
中图分类号:TP274.2 文献标识码:A 文章编号:1007-9599 (2012) 11-0000-01
一、物联网安全层次及其内容
物联网安全性有着自己的特征,现阶段,由于物联网是一种新事物,对物联网这种新事物的相关概念、及其内涵和外延并没有形成统一意见,相关研究学者认为物联网应该具备以下三个特点:1.感知性,即物联网能够对整个体系进行自我感知。2.传递性,即物联网能够通过信息技术实现信息的可靠传递。3.智能性,即物联网能够人机交互的相关信息进行智能化处理。根据物联网这三个基本特点,在进行物联网安全内容分析时可以从物联网的感知层、传输层、处理层三个安全层次,与互联网相比,物联网主要实现人与物、物与物之间的通信,通信的对象扩大到了物品。根据功能的不同,物联网网络体系结构大致分为3个层次,底层是用来信息采集的感知层,中间层是数据传输的网络层,顶层则是应用/中间件层。
物理安全层:保证物联网信息采集节点不被欺骗、控制、破坏。信息采集安全层:防止采集的信息被窃听、篡改、伪造和重放攻击,主要涉及传感技术和RFID的安全。在物联网层次模型中,物理安全层和信息采集安全层对应于物联网的感知层安全。信息传输安全层:保证信息传递过程中数据的机密性、完整性、真实性和新鲜性,主要是电信通信网络的安全,对应于物联网的网络层安全。信息处理安全层:保证信息的私密性和储存安全等,主要是个体隐私保护和中间件安全等,对应于物联网中应用层安全。
二、物联网在我国发展现状及存在问题
(一)我国物联网发展的现状
物联网在我国发展迅速,因为物联网在我国发展有着很强的优势,无论是在政策上、技术上、还是市场上,在政策上,我国政府对物联网的发展相对重视,一方面中国科学院早已经开始着手对传感网进行研究,另一方面我国已经将物联网的建设纳入都国家信息化发展的总体规划中,政府对物联网发展的重视和大力支持使得我国物联网在短时间内发展迅速,在技术上,我国物联网行业起步较早,在国家和政府的大力支持下,物联网技术研发水平处于国际领先行列,已经可以影响行业标准。我国已经开始尝试将物联网实验室内研发的相关技术商业化。在市场方面,我国是发展中国家,物联网在我国的运用和发展前景巨大,物联网在我国是朝阳产业。我国国内本身也市场需求巨大,这为我国物联网的迅速发展提供了广阔的市场。
(二)我国物联网发展存在的问题
1.物联网发展的相关立法和政策滞后。物联网是一种新事物,我国对物联网发展的相关立法和政策制定相对滞后于我国物流的发展水平,而物联网对我国的社会经济发展和国防安全就有十分重要的战略意义,我国政府相关部门应该加强物联网法律法规政策研究,为推进我国物联网发展创造良好的政策环境和法律环境。2.物联网技术标准和行业标准不统一。物联网的发展客观上需要对相关技术进行统一,物联网相关企业和研发单位在开发新的物联网技术时要考虑系统和设备的相互兼容性,目前,我国物联网行业发展标准和技术还不统一,相关企业各自为政,这对我国物联网未来发展极为不利。3.物联网安全形势十分严峻。我国物联网的发展面临着十分严峻的安全形势,安全问题亟需从技术和法律层面上得到有效解决。物联网的兴起既给人们生活带来了诸多便利,但也使得人们对它的依赖性越来越大。如果物联网被恶意的入侵和破坏,那么个人隐私和信息就会被窃取,更不必说国家的军事和财产安全。这一点,从互联网时代的黑客行为就可想象得到它的巨大危害性。
(三)物联网安全认证机制
我国物联网现有安全认证机制主要包括以下几个方面,包括组认证机制、设备认证机制、基于认证的密钥协商机制等,如下图所示:
1.组认证机制:认证机制对确保物联网安全具有十分重要的意义,通常认证机制能够实现为用户提供双向认证,即物联网终端与互联网间双向认证,用户与业务平台之间认证是建立在合作协议基础上的,现阶段,AKA认证方式是3GPP网络中网络接入认证的基本方式,这种认证机制能够实现双向认证,能够协商出网络和用户共享的加密密钥与完整性保护密钥。由于物联网的发展前景广阔,未来物联网终端设备持有量会大量增长,通过这些终端设备组成一个或者多个组,物联网可以考虑组内的终端节点认证方法。
2.设备认证机制:众所周知,物联网终端设备一个最大的特点就是一般处于无人值守的情况下,这容易引发终端设备被恶意损坏、不法分子非法接入物联网网络等相关安全问题,这客观上要求网络必须要建立验证接入网络设备合法性的机制。设备认证机制是解决这一问题的重要方法。设备认证机制可以确保只有合法的物联网终端设备接入网络,维护用户的合法利益,避免因非法设备接入带来的利益争端问题及网络安全问题。
3.基于认证的密钥协商机制:物联网架构底层可以是终端设备也可以是传感器,密钥管理对具有网络通信能力的终端设备来说可以解决通信网络和传感器密钥结合问题。通信网络与传感器网络间可通过认证产生共享的密钥,传感器网关与传感器网络节点间通过传感器网络的认证获得共享的密钥,然后传感器网关将与通信网络共享的密钥转发给传感器网络中的传感器节点,使得传感器节点与通信网络间共享密钥或基于此共享密钥产生新的密钥。
参考文献:
[1]International Telecommunication Union.ITU Internet Reports 2005 Internet of Things,2005
[2]物联网的定义和应用,射频世界,第4期,2010
[3]焦文娟.物联网安全-认证技术研究[D].北京邮电大学,2010,(01)
国内信息安全认证范文4
【摘要题】信息法学
【关键词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策
美国著名未来学家阿尔温·托夫勒说:“电脑网络的建立和普及将彻底改变人类生存及生活的模式,控制与掌握网络的人就是未来命运的主宰。谁掌握了信息,控制了网络,谁就拥有整个世界。”的确,网络的国际化、社会化、开放化、个人化诱发出无限的商机,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,就成为了网络时展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。
电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
包过滤技术(PackctFiltering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它节点的直接请求。运行服务的主机被称为应用机关。服务还可以用于实施较强的数据流监控、过滤、记录等功能。
状态监控(StatcInnspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务。目前最有效的实现方法是采用CheckPoint)提出的虚拟机方式(InspectVirtualMachine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTimestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
时间戳(Time-Stamp)是一个经加密后形成的凭证文档,包括三个部分。一是需加时间戳的文件的摘要(Digest),二是DTS收到文件的日期与时间,三是DIS数字签名。
时间戳产生的过程是:用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,数字时间则不然,它是由认证单位DIS来加的,以DIS收到文件的时间为依据。
数字认证及数字认证授权机构
1.数字证书。数字证书也叫数字凭证、数字标识,它含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
数字证书的内容格式是CCTTTX.509国际标准规定的,通常包括以下内容:证书所有者的姓名;证书所有者的公共密钥;公共密钥(证书)的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。
数字证书通常分为三种类型,即个人证书、企业证书、软件证书。个人证书(PersonalDigital)为某一个用户提供证书,帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的,认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后,就发给个人数字证书,并安置在用户所用的浏览器或电子邮件的应用系统中,同时也给申请者发一个通知。企业证书,就是服务器证书(ServerID),是对网上服务器提供的一个证书,拥有Web服务器的企业可以用具有证书的Internet网站(WebSite)来做安全的电子交易。软件证书通常是为网上下载的软件提供证书,证明该软件的合法性。
2.电子商务数字认证授权机构。电子商务交易需要电子商务证书,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
若未建立独立的注册机构,认证中心则在完成注册机构的功能以外还要完成下列功能:接收、处理证书申请,确立是否接受或拒绝证书申请,向申请者颁发或拒绝颁发证书,证书延期,管理证书吊销目录,提供证书的在线状况,证书归档;提供支持服务,提供电话支持,帮助用户解决与证书有关的问题;审核记录所有同安全有关的活动;提供灵活的结构,使用户可以用自己的名字对服务命名;为认证中心系统提供可靠的安全支持;为认证中心的可靠运营提供一套政策、程序及操作指南。
电子商务信息安全协议
1.安全套接层协议。安全套接层协议(SecureSocketsLayer,SSL)是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证,使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号,由公开密钥编排。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥,也有公开密钥,在客户机和服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证其机密性与数据的完整性,并且经数字证书鉴别;三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
2.安全电子交易公告。安全电子交易公告(SET:SecureElectronicTransactions)是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
SET安全协议的主要对象包括:消费者(包括个人和团体),按照在线商店的要求填写定货单,用发卡银行的信用卡付款;在线商店,提供商品或服务,具备使用相应电子货币的条件;收单银行,通过支付网关处理消费者与在线商店之间的交易付款;电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付;认证中心,负责确认交易对方的身份和信誉度,以及对消费者的支付手段认证。
SET协议规范的技术范围包括:加密算法的应用,证书信息与对象格式,购买信息和对象格式,认可信息与对象格式。
SET协议要达到五个目标:保证电子商务参与者信息的相应隔离;保证信息在互联网上安全传输,防止数据被黑客或被内部人员窃取;解决多方认证问题;保证网上交易的实时性,使所有的支付过程都是在线的;效仿BDZ贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性与交互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3.安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
4.安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
5.UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。在ISO的IS09735(即UN/EDI-FACT语法规则)新版本中,包括描述UN/EDIFACT中实施安全措施的五个新部分,即:第五部分——批式电子商务(可靠性、完整性和不可抵赖性)的安全规则;第六部分——安全鉴别与确认报文(AUTACK);第七部分——批式电子商务(机密性)的安全规则;第九部分——安全密钥和证书管理报告(KEYMAN);第十部分——交互式电子商务的安全规则。
UN/EDIFACT的安全措施通过集成式与分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的不可抵赖性;分离式途径是通过发送三种特殊的UN/EDIFACT报文(即AUTCK、KEYMAN和CI-PHER)来达到安全目的。
6.《电子交换贸易数据统一行为守则》(UNCID)。UNCID由国际商会制定,该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。
电子商务中的信息安全对策
1.提高对网络信息安全重要性的认识。信息技术的发展,使网络逐渐渗透到社会的各个领域,在未来的军事和经济竞争与对抗中,因网络的崩溃而促成全部或局部的失败,决非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。我国公民中的大多数人还是“机盲”、“网盲”,另有许多人仅知道一些关于网络的肤浅知识,或仅会进行简单的计算机操作,对网络安全没有深刻认识。应该以有效方式、途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性,学会维护网络安全的基本技能。
2.加强网络安全管理。我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构。只有在中央建立起这样一个组织,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。对于计算机网络使用单位,要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制。具体的安全措施如:把好用户入网关、严格设置目录和文件访问的权限,建立对应的属性措施,采用控制台加密封锁,使文件服务器安全可靠;用先进的材料技术,如低阻材料或梯性材料将隔离设备屏蔽起来,降低或杜绝重要信息的泄露,防止病毒信息的入侵;运用现代密码技术,对数据库与重要信息加密;采用防火墙技术,在内部网和外部网的界面上构造保护层。
3.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长,只有在高素质的队伍保障中不断提高。应该加大对有良好基础的科研教育基地的支持和投入,多出人才,多出成果。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。要加强对内部人员的网络安全培训,防止堡垒从内部攻破。
4.开展网络安全立法和执法。一是要加快立法进程,健全法律体系。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国政府也十分重视网络安全立法问题,1996年成立的国务院信息化工作领导小组曾设立政策法规组、安全工作专家组,并和国家保密局、安全部、公安部等职能部门进一步加强了信息安全法制建设的组织领导与分工协调。我国已经颁布的网络法规如:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。1997年10月1日起生效的新《刑法》增加了专门针对信息系统安全的计算机犯罪的规定:违犯国家规定,侵入国家事务、国防建设、尖端科学领域的计算机系统,处三年以下有期徒刑或拘役;违犯国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机系统不能正常运行,后果严重的处五年以下有期徒刑,后果特别严重的处五年以上有期徒刑;违犯国家规定,对计算机信息系统存储、处理或者传输的数据与应用程序进行删除、修改、增加操作,后果严重的应负刑事责任。这些法规对维护网络安全发挥了重要作用,但不健全之处还有许多。一是应该结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善;二是要执法必严,违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法的效率和质量。
5.抓紧网络安全基础设施建设。一个网络信息系统,不管其设置有多少道防火墙,加了多少级保护或密码,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言;这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
6.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有重视,这给出现网络安全问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时,在立项时更应注重对网络的可靠性、安全性评估,力争将安全隐患杜绝于立项、决策阶段。
7.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使网络经营陷于困境,这就必须建立网络风险防范机制。为网络安全而产生的防止和规避风险的方法有多种,但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。有学者建议,网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
8.强化网络技术创新。如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系,利用好国内外两个资源,需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。
9.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络安全的技术规范、技术标准,目的就是要在统一的网络环境中保证信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
10.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来,为他们创造更优良的工作学习环境,调动他们在信息安全创新中的积极性。一是要落实相关政策,在收入、福利、住房、职称等方面采取优惠政策;二是在他们的科研立项、科研经费方面采取倾斜措施;三是创造有利于研究的硬环境,如仪器、设备等;四是提供学习交流的机会。
11.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点,也是维护网络安全的必要对策。为了加速发展我国的信息安全产业,需要尽快解决资金投入、对外合作、产品开发、安全评测、销售管理、采购政策、利益分配等方面存在的问题。
【参考文献】
[1]屈云波.电子商务[M].北京:企业管理出版社,1999.
[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.
[3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8):5-7.
[4]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术,2000,(3):50-51.
[5]吉俊虎.网络和网络安全刍议[J].中国信息导报,1989,(9):23-24.
国内信息安全认证范文5
趋势引领与政府部门、权威认证机构(BSI、DNV、BV、ISCCC等)、专业工具厂商(BMC、HP等)、国际500强企业(Siemens、LG等)和高等院校(北大、清华等)保持着良好密切的关系,及时跟踪标准和国内相关政策的发展变化、汲取企业的成功经验,使客户能够得到最新和最权威的信息和咨询服务。
趋势引领的培训服务包括:IT服务管理系列(ITIL和ISO20000)、信息安全管理系列(ISMS、ISO27001和CISA)、业务连续性管理系列(BCM、BS25999)、ICT项目管理系列(PRINCE2)、企业内部控制与风险管理系列(COSO、COBIT)。
趋势引领的咨询服务和差距评估包括:
ITIL (IT基础架构库)评估与实施 根据企业实际情况,建立符合ITIL标准的管理流程,提高企业的IT服务质量,为获取ISO20000和ISO27001国际标准认证做好准备。
ISO20000 IT服务管理体系评估与实施 获得此项认证将标志着企业在IT服务质量上达到了世界先进水平,趋势引领将对企业进行实地考察,为客户提供适合的实施方法,协助协助客户取得这一认证。
ISO27001信息安全管理体系评估与实施 随着信息安全重要性的深入人心,遵循ISO27001国际标准并取得相应认证已经成为趋势之一。趋势引领将为企业完善信息安全管理体系,并依据《信息系统安全等级保护》和客户行业监管机构的要求,实施这一标准并取得该认证,将企业的信息安全体系发展到一个世界领先的地位。
BS25999业务连续性管理体系评估与实施无论是重大灾难还是轻微事故,在发生中断情况下的持续运营对任何组织都是一项基本要求。趋势科技将帮助客户实行BCM体系,从而在最棘手和意外的情况下保护客户的员工、维护客户的声誉,并提供持续运营的能力。
趋势引领的实施项目涉及金融业(中国东方资产管理公司ISO20000&ISO27001认证咨询、中国农业银行数据中心ISO20000认证咨询等),以及包括西门子行业应用服务集团BS15000认证项目实施、LG CNS ISO20000认证项目实施等在内的其他行业项目。
趋势引领曾荣获“2007年度中国IT服务管理最佳咨询奖”、“2008年度EXIN大中华区最佳授权培训机构(ATP)奖”、“2009年度用户满意数据中心服务提供商奖”等奖项。
国内信息安全认证范文6
[关键词] 电子商务 网络/信息安全 信息安全技术 数字认证 安全协议 信息安全对策
随着网络的发展,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,愈来愈受到国际社会的高度关注。
一、电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,包括密码、鉴别、访问控制、信息流控制、数据保护、软件保护、病毒检测及清除、内容分类识别和过滤、网络隐患扫描、系统安全监测报警与审计等技术。
1.防火墙技术。防火墙(Firewall)主要是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络。
2.加密技术。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据,当需要时可使用不同的密钥将密文数据还原成明文数据。
3.数字签名技术。数字签名(Digital Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者,接收者只有用发送者的公钥才能解密被加密的摘要。
4.数字时间戳技术。时间戳(Time-Stamp)是一个经加密后形成的凭证文档,包括需加时间戳的文件的摘要(Digest)、DTS收到文件的日期与时间和DIS数字签名,用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。
二、数字认证及数字认证授权机构
1.数字证书。它含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
2.电子商务数字认证授权机构。电子商务交易需要电子商务证书,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
三、电子商务信息安全协议
1.安全套接层协议。用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
2.安全电子交易公告。安全电子交易公告(SET:Secure Electronic Transactions)是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
3.安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术的。
4.安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
5.UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。
6.《电子交换贸易数据统一行为守则》(UNCID)。UNCID由国际商会制定,该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。
三、电子商务中的信息安全对策
1.提高对网络信息安全重要性的认识。我们在思想上要把信息资源共享与信息安全防护有机统一起来,以有效方式、途径在全社会普及网络安全知识,学会维护网络安全的基本技能。
2.加强网络安全管理。我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,有效统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。
3.加快网络安全专业人才的培养。要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。
4. 抓紧网络安全基础设施建设。一个网络信息系统,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
5.把好网络建设立项关。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时,在立项时更应注重对网络的可靠性、安全性评估,力争将安全隐患杜绝于立项、决策阶段。
6.建立网络风险防范机制。为网络安全而产生的防止方法有多种,但总的来讲不外乎危险产生前的预防、发生中的抑制和发生后的补救。有学者建议,网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
7.强化网络技术创新。如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系,需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,构筑具有中国特色的信息安全体系。
8.注重网络建设的规范化。目前,国际上出现许多关于网络安全的技术规范、技术标准,目的就是要在统一的网络环境中保证信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
9.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来,为他们创造更优良的工作学习环境,调动他们在信息安全创新中的积极性。
10.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点,也是维护网络安全的必要对策。为了加速发展我国的信息安全产业,需要尽快解决资金投入、对外合作、产品开发、安全评测、销售管理、采购政策、利益分配等方面存在的问题。
参考文献
[1]屈云波:电子商务[M].北京:企业管理出版社,1999
[2]赵战生:我国信息安全及其技术研究[J].中国信息导报,1999,(8):5~7
