電子商務信息安全技術應用知識

對於網絡信息安全是一個涉及計算機技術、網絡通信技術、密碼技術、信息安全技術等多種技術的邊緣性綜合學科。下面是小編為大家整理的電子商務信息安全技術應用知識，歡迎大家閲讀瀏覽。

　　1. 簡介

隨着Internet及網絡的迅猛發展，眾多用户可以藉助網絡共享和交流信息，極大地提高了工作效率;但另一方面，網絡(尤其是Internet)本身的開放性也必然存在着極大的安全隱患，伴隨網絡接踵而來的黑客大肆攻擊網站事件、蠕蟲病毒導致嚴重網絡癱瘓事件，已經不斷向人們敲響了網絡安全的警鐘。毫不誇張地説，在缺乏保護的情況下，用户在網絡上存儲和傳輸的任何信息，都存在着被泄露和篡改的可能性。因此，在網絡化、信息化進程不可逆轉的形勢下，如何最大限度地減少或避免因信息泄漏、破壞所造成的經濟損失，是擺在我們面前亟需解決的一項重大課題。

網絡信息安全是一個涉及計算機技術、網絡通信技術、密碼技術、信息安全技術等多種技術的邊緣性綜合學科。有效的安全策略或方案的制定，是網絡信息安全的首要目標。網絡信息安全技術通常從防止信息竊密和防止信息破壞兩個方面加以考慮。防止信息竊密的技術通常採用防火牆技術、密鑰管理、通信保密、文件保密、數字簽名等。防止信息破壞的技術有防止計算機病毒、入侵檢測、接入控制等。

　　2. 網絡信息安全技術的分類

本文從另一個角度綜述了網絡信息安全技術，主要基於以下兩個特性對目前使用的網絡信息安全技術進行了分類：

(1)技術與數據的交互時間：即主動的或者被動的。

(2)技術是在網絡層、主機層還是在應用層上實現的。

主動意味着：特定的信息安全技術採用主動的措施，試圖在出現安全破壞之前保護數據或者資源。被動意味着：一旦檢測到安全破壞，特定的信息安全技術才會採取保護措施，試圖保護數據或者資源。主動和被動的信息安全技術都可以應用於應用層、主機層或者網絡層。應用層上的信息安全技術試圖保護“明確與主機上的單個計算機程序有關”的數據或者資源。主機層上的信息安全技術試圖保護單個計算機上的數據或者資源。網絡層上的信息安全技術試圖保護正在計算機系統(通過電話線或者其他方式互連以共享信息)上傳輸的數據或者資源。

2.1 被動的信息安全技術

2.1.1 防火牆

防火牆是抵禦入侵者的第一道防線，它的目的是阻止未授權的通信進入或者流出被保護的機構內部網絡或者主機，最大限度地防止網絡中的黑客更改、拷貝、毀壞敏感信息。Internet防火牆是安裝在特殊配置計算機上的軟件工具，作為機構內部或者信任網絡和不信任網絡或者Internet之間的安全屏障、過濾器或者瓶頸。

個人防火牆是面向個人用户的防火牆軟件，可以根據用户的要求隔斷或連通用户計算機與Internet之間的連接。用户可以通過設定規則來決定哪些情況下防火牆應該隔斷計算機與Internet間的數據傳輸，哪些情況下允許兩者間的數據傳輸。與網絡防火牆不同的是個人防火牆通常直接切入用户的個人操作系統，並接管用户操作系統對網絡的控制，使得運行在系統上的網絡應用軟件在訪問網絡的時候，都必須經過防火牆的確認，從而達到控制用户計算機和Internet之間連接的目的。

防火牆是被動的信息安全技術，因為一旦出現特定的安全事件，才會使用防火牆抵禦它們。在以下各個層次上實現防火牆：

(l)在主機層：可以將個人防火牆安裝在主機上，試圖只阻止或者只允許特定數據流進入或者流出那個特定的主機。

(2)在網絡層：可以將網絡防火牆安裝在充當專用網絡網關的主機上。網絡防火牆試圖阻止或者允許特定數據流進入或者流出位於網絡防火牆後面的所有主機.

2.1.2 接入控制

接入控制的目的是確保主體有足夠的權利對系統執行特定的動作。主體可以是一個用户、一羣用户、服務或者應用程序。主體對系統中的特定對象有不同的接入級別。對象可以是文件、目錄、打印機或者進程.

一旦有接入請求，就會使用接入控制技術允許或者拒絕接入系統，所以它是被動的信息安全技術。在各個層次上實現接入控制：

(l)在應用層：使用應用程序中列出的接入控制，針對主體對特定對象的接入請求允許或者拒絕接入。

(2)在主機層：當用户試圖登錄到主機時，允許或者拒絕接入該主機。

(3)在網絡層：當用户試圖通過主機或者進程登錄到網絡時，允許或者拒絕接入該網絡。

2.1.3 口令

口令是某個人必須輸入才能獲得進入或者接入信息(例如文件、應用程序或者計算機系統)的保密字、短語或者字符序列。

口令是被動的信息安全技術，因為一旦有人或者進程想登錄到應用程序、主機或者網絡，才會使用它們允許或者拒絕接入系統。在各個層次上實現口令：

(l)在應用層：根據一個人或者進程是否提供正確的口令，允許或者拒絕這個人或者進程接入特定的應用程序。

(2)在主機層：根據一個人或者進程是否提供正確的口令，允許或者拒絕這個人或者進程接入特定主機。

(3)在網絡層：根據一個人或者進程是否提供正確的口令，允許或者拒絕這個人或者進程接入網絡。

2.1.4 生物特徵識別

生物特徵識別技術是指通過計算機利用人類自身的生理或行為特徵進行身份認定的一種技術，包括指紋、虹膜、掌紋、面相、聲音、視網膜和DNA等人體的生理特徵，以及簽名的動作、行走的步態、擊打鍵盤的力度等行為特徵。生物特徵的特點是人各有異、終生不變(幾乎)、隨身攜帶。

一旦某個人想使用他/她人體的一部分的幾何結構登錄到應用程序、主機或者網絡，就會使用生物特徵識別技術允許或者拒絕他/她接入系統，所以該技術是被動的信息安全技術，在各個層次上實現生物特徵識別技術：

(l)在應用層：根據某個人是否提供他/她自己的生物統計特徵，允許或者拒絕這個人接入特定的應用程序。

(2)在主機層：根據某個人是否提供他/她自己的生物統計特徵，允許或者拒絕這個人接入特定的主機。

(3)在網絡層：根據某個人是否提供他/她自己的生物統計特徵，允許或者拒絕這個人接入網絡。

2.1.5 入侵檢測系統

入侵檢測是監控計算機系統或者網絡中發生的事件、並且分析它們的入侵跡象的進程。入侵是試圖損害資源的完整性、機密性或者可用性的任何一組動作。入侵檢測系統(IDS)是自動實現這個監控和分析進程的軟件或者硬件技術。

由於IDS用於監控網絡上的主機，並且一旦出現入侵，就會對入侵採取行動，所以IDS是被動的信息安全技術。在以下各層次上實現IDS：

(l)在主機層：IDS監控特定的主機，從而檢測對那個特定主機的入侵。它運行在個人主機上，並且連續檢查那個主機的檢查日誌，查找可能的入侵跡象。

(2)在網絡層：可以將IDS節點放置在試圖檢測由多台主機引起的入侵(例如分佈式拒絕服務攻擊)並對其起作用的網絡中。

2.1.6 登錄日誌

登錄日誌是試圖蒐集有關發生的特定事件信息的信息安全技術，其目的是提供檢查追蹤記錄(在發生了安全事件之後，可以追蹤它)。

登錄日誌是被動的信息安全技術，因為是在發生了安全事件之後，才使用它追蹤安全事件。在各個層次上執行登錄日誌：

(l)在應用層：特定的軟件應用程序監控其他軟件應用程序，並且記錄那些軟件應用程序引起的事件。

(2)在主機層：特定的軟件應用程序監控操作系統運行的進程，並且記錄那些進程引起的事件。

(3)在網絡層：特定的硬件或者軟件應用程序能夠在它經過網絡中的特定點上的網絡監控器時，監控網絡業務。

2.1.7 遠程接入

遠程接入是允許某個人或者進程接入遠程服務的信息安全技術。但是，接入遠程服務並不總是受控的，有可能匿名接入遠程服務，並造成威脅。例如，可能錯誤地將一些系統配置為默認地允許匿名連接，但是根據機構的安全策略來説，實際上不應該允許匿名連接。

遠程接入是被動的信息安全技術，因為它使一個人或者進程能夠根據他們的接入權限連接到遠程服務。在主機層執行遠程接入：

(l)在主機層：特定的主機運行服務，使遠端的人或者進程能夠連接到它，並且根據他們的特定接入權限允許接入。

2.2 主動的網絡信息安全技術

2.2.1 密碼術

密碼術是將明文變成密文和把密文變成明文的技術或科學，用於保護數據機密性和完整性。密碼術包括兩個方面：加密是轉換或者擾亂明文消息、使其變成密文消息的進程;解密是重新安排密文、將密文消息轉換為明文消息的進程。

由於密碼術是通過對數據加密、在潛在威脅可能出現之前保護數據，所以它是主動的網絡信息安全技術。在以下層次上執行密碼術：

(l)在應用層：特定的應用程序在入侵者能夠截取敏感數據之前執行加密進程。

(2)在網絡層：硬件加密(不是軟件加密)可以發生在網絡層上放置硬件加密模型的任何地方。

2.2.2 數字簽名

數字簽名與手寫簽名是等效的，它們有相同的目的：將只有某個個體才有的標記與文本正文相關聯。與手寫簽名一樣，數字簽名必須是不可偽造的，換句話説，應該只有消息的合法發送方才能創建數字簽名。數字簽名是使用加密算法創建的，使用建立在公開密鑰加密技術基礎上的“數字簽名”技術，可以在電子事務中證明用户的身份，就像兑付支票時要出示有效證件一樣。用户也可以使用數字簽名來加密郵件以保護個人隱私。

數字簽名是主動的信息安全技術，因為是在出現任何懷疑“消息的特定發送方不是真正的預期發送方”之前，創建數字簽名。因此，創建數字簽名預先指出消息的特定發送方是那個消息的惟一創建者。在應用層上執行數字簽名：

(l)數字簽名是在被髮送給特定的接收者之前，由特定的應用程序創建的。

2.2.3 數字證書

數字證書試圖解決Internet上的信任問題。數字證書是由信任的第三方(也稱為認證機構，CA)頒發的。CA 是擔保Web上的人或者機構身份的商業組織。因此，在Web用户之間建立了信任網絡。用簡單的術語來説，“信任”或者“擔保”的概念可以敍述為是“我信任的某個人――CA――信任這個另外的人，所以我也將信任他”。

由於證書用於將通信一方的公鑰發送給通信的另一方，可以在雙方通信之前建立信任，所以數字證書是主動的信息安全技術。在應用層執行數字證書：

(l)特定的應用程序(例如Web瀏覽器)在通信開始之前驗證它可以信任特定的通信方。

2.2.4 虛擬專用網

虛擬專用網(VPN)能夠利用Internet或其它公共互聯網絡的基礎設施為用户創建隧道，並提供與專用網絡一樣的安全和功能保障。VPN支持企業通過Internet等公共互聯網絡與分支機構或其它公司建立連接，進行安全的通訊。VPN技術採用了隧道技術：數據包不是公開在網上傳輸，而是首先進行加密以確保安全，然後由VPN封裝成IP包的形式，通過隧道在網上傳輸，因此該技術與密碼術緊密相關。但是，普通加密與VPN之間在功能上是有區別的：只有在公共網絡上傳輸數據時，才對數據加密――不加密在發起主機和VPN主機之間傳輸的數據。

VPN是主動的信息安全技術，因為它通過加密數據、在公共網絡上傳輸數據之前保護它，因此只有合法個體才能閲讀該信息。而且，VPN運行在網絡層：

(l)在網絡上發送加密數據之前，在位於網絡入口上的兩個VPN主機之間執行加密進程。

2.2.5 漏洞掃描

漏洞掃描(VS)使用它們可以標識的漏洞的特徵。因此，VS其實是入侵檢測的特例。因為漏洞掃描定期而不是連續掃描網絡上的主機，所以也將其稱為定期掃描。由於VS試圖在入侵者或者惡意應用可以利用漏洞之前標識漏洞，所以它是主動的信息安全技術。而且，VS運行在主機層：

(l)VS在整個主機上掃描漏洞，試圖標識特定主機的所有軟件應用程序和硬件中的漏洞。

2.2.6 病毒掃描

計算機病毒是具有自我複製能力的並具有破壞性的惡意計算機程序，它會影響和破壞正常程序的執行和數據的安全。它不僅侵入到所運行的計算機系統，而且還能不斷地把自己的複製品傳播到其他的程序中，以此達到破壞作用。當內部客户上網接收郵件、瀏覽主頁或下載文件時，病毒和一些惡意代碼(如ActiveX control 和java applet)能感染客户的主機，對企業內部網絡進行攻擊，使企業蒙受巨大的.損失。目前，病毒已成為黑客對系統進行攻擊的一個有效的手段。因此，已經開發了防病毒掃描器來抵制計算機病毒。

病毒掃描試圖在病毒和函數引起嚴重的破壞之前掃描它們，和VS非常類似：它們也“知道”特定病毒的具體特徵。因此，病毒軟件也是主動的信息安全技術。而且，在以下層次上執行病毒掃描：

(l)在應用層：特定的應用程序掃描已知病毒的特徵，試圖在它們引起嚴重破壞之前檢測到它們。應用層上的病毒往往是“靜態的”(例如特洛伊木馬)。

(2)在主機層：病毒(通過使用EMAIL程序，能夠複製它們自己)幾乎可以在主機的任何地方引起惡意的活動。必須在這類病毒啟動它們的惡意活動之前，在整個主機上掃描它們。

2.2.7 安全協議

屬於信息安全技術的安全協議包括有IPSec和Kerberos等。這些協議使用了“規範計算機或者應用程序之間的數據傳輸、從而在入侵者能夠截取這類信息之前保護敏感信息”的標準過程。

安全協議是主動的信息安全技術，因為它們使用特定的安全協議，試圖在入侵者能夠截取這類信息之前保護敏感信息。安全協議運行在以下層次上：

(l)在應用層：安全協議(例如Kerberos)是相互身份驗證的協議，在應用層上處理身份驗證。

(2)在網絡層：安全協議還依賴網絡基礎結構執行它的安全任務，它是加密數據、還是隻是封裝分組以達到隱藏分組標識的安全目的。

2.2.8 安全硬件

安全硬件指的是用於執行安全任務的物理硬件設備，例如硬件加密模塊或者硬件路由器。安全硬件是一個主動的信息安全技術，因為它在潛在威脅可能出現之前保護數據(例如加密數據)。安全硬件是由防止竄改的物理設備組成的，因此阻止了入侵者更換或者修改硬件設備。在以下各個層次上實現安全硬件：

(l)在主機層：可以將硬件設備附加到特定的主機上，執行它自己的安全功能，例如可以將硬件密鑰插到主機的特定端口中，在特定用户能夠登錄到該主機之前驗證用户的身份。

(2)在網絡層：可以將硬件加密模塊放在網絡上，這提供了防止竄改的解決辦法，並且可以在物理上加以保護。

2.2.9 安全SDK

安全軟件開發工具包(SDK)是用於創建安全程序的編程工具。由於可以使用安全SDK開發各種軟件安全應用程序，從而在潛在威脅可能出現之前保護數據，所以安全SDK是主動的信息安全技術。安全SDK用於開發各個層次上的安全軟件：

(l)在應用層：通過對磁盤上的數據加密，可以開發特定的軟件應用程序保護數據。

(2)在主機層：可以開發特定的軟件應用程序向主機證明用户或者進程是真實的。

(3)在網絡層：通過在將數據發送到網絡之前對它加密，開發特定的軟件應用程序保護數據。

　　3. 總結

隨着Internet的迅速發展，網絡信息安全面臨着嚴重威脅，網絡和信息的安全問題越來越受到人們的重視，必須採取有效措施才能保證網絡信息安全。本文綜述並且提出了網絡信息安全技術的新分類方法，以利於機構、個人選擇可以利用的網絡信息安全技術，並且也助於進行新的網絡信息安全技術的研究。

網絡信息安全技術還需要不斷的完善和發展，例如入侵檢測系統仍然不夠智能――仍然需要人類的太多交互才能建立和維護入侵檢測系統。另外，漏洞掃描器要花費太多的資源和時間才能足夠有效。合併各種信息安全技術從而構成更智能的信息安全技術也是今後的一個研究熱點。例如，不久的將來，有可能合併防火牆、入侵檢測系統和防病毒掃描器技術以構成更加魯棒的網絡信息安全技術。