發布時間:2022-04-10 09:33:46
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的1篇信息安全技術論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1電子商務平臺系統結構
電子商務平臺連接局域網(企業內部)和因特網。因為因特網是開放性的網絡,并且結構非常復雜,不能確保傳輸信息的安全,所以,企業的局域網會采取先進的技術手段比如防火墻技術,屏蔽因特網中的不安全因素。企業內部局域網一般包括:ERP系統(企業資源計劃系統)及傳統系統、客戶端、郵件服務系統,服務器包括數據服務器、協作服務器、Web服務器和賬戶服務器。
2電子商務中存在的信息安全問題
2.1網絡信息安全問題
網絡信息安全問題主要是因為因特網是一種開放的網絡,所以數據在網絡通道上進行傳輸時,一些不法分子會分析網絡的使用協議及物理特征,損害傳輸的信息,其的主要手段是對信息進行插入、篡改、刪除、截獲等。通常情況下,插入就是在有用信息中插入部分無效信息,從而使得合法用戶獲得無效信息或者是錯誤信息;篡改就是更改信息流的傳送次序,從而達到損壞或者是改變信息內容的目的;刪除就是刪除全部或者部分信息,造成信息的缺失,從而使合法用戶不能得到完整的信息;截獲就是不法分子采用非法手段在傳輸信道上攔截機密信息,比如銀行卡的密碼和賬號等。
2.2身份冒充問題
身份冒充問題主要是因為電子商務是一種新型的交易方式,它和傳統的交易方式不同,交易雙方的身份不能明確,所以攻擊者就有較多的機會采用非法手段,對合法用戶的信息進行盜取,和其他人進行交易,從而來獲取更多的非法利益。目前,身份冒充問題較多的就是冒充他人身份栽贓、冒充合法用戶消費、冒充主機欺騙其他合法主機或者合法用戶等。
2.3交易雙方抵賴問題
交易雙方抵賴問題主要是由于為了推卸責任,部分用戶惡意否認自己發送的信息而產生的。比如,購買者不接收商品,否認自己的訂單;網站者否認自己發送的一些信息進行,如果出了什么問題就可以不對用戶負責;賣家為了不承擔質量問題,否認賣出的商品等。以上這些問題如果想要得到解決,必須要有強有力的仲裁機構和統一的仲裁標準。
2.4拒絕服務問題
拒絕服務問題,這類問題主要是攻擊者為了使合法用戶無法對需要的網絡資源不能進行正常的訪問,從而偽造大量信息,占用正常的服務器或者是資源信息通道,從而使一些有嚴格時間限制的服務,不能獲得及時響應。例如,對虛擬網店來說,攻擊者通過偽造虛假的用戶信息,發送大量無效訂單,占用網絡及服務器資源,網站就不能對正常用戶及時進行信息反饋。
2.5計算機系統安全問題
由于用戶是分散的,在世界的各個地方,所以不能保證每一臺計算機都安全穩定的運行。計算機硬件受損導致的數據丟失,侵染病毒導致的信息泄露,木馬導致的入侵攻擊等問題,都將嚴重的威脅計算機系統的安全問題。
3計算機安全技術在電子商務中的應用
為了確保電子商務的安全,克服上述的安全問題,目前采用的計算機安全技術主要有身份識別技術、數據加密技術、智能防火墻技術、入侵檢測技術、認證機構CA等。
3.1身份識別
身份識別問題是電子商務面臨的比較突出的問題,這主要是由電子商務的特性決定的。一方面,電子商務和傳統的交易方式不同,交易雙方沒有見過面,不能進行面對面的談判,也不能對對方的身份進行有效的核實,只能通過網絡進行交易,所以,身份識別問題在電子商務中十分關鍵。另一方面,電子身份識別關系到用戶的合法性和安全性,因為只有合法的用戶才有權利獲得十分豐富的網絡資源,所以進行身份識別也是網絡資源管理的要求。
3.2數據加密
當前的數據加密技術主要有兩大類,一類是專用密鑰加密或者對稱加密,另一類是公開密鑰加密或者非對稱加密,數據加密技術是保證電子商務信息安全的主要措施之一。不管是對稱加密技術還是非對稱加密技術,它們二者都是通過構建完整簽名或者加密體系,有效地解決電子商務中的存在的安全隱患,當前,比較常見的加密體系一般是采取公開密鑰技術構建的,此種方式可以確保網絡交易的安全性和實現網絡資源的共享。
3.3智能防火墻技術
防火墻技術是用來保護內部網絡內的主機和資源的,它能有效防止外部的網絡用戶采用非法的手段入侵到內部局域網中,因此,防火墻技術可以加強網絡間的訪問控制。智能防火墻技術是根據技術特征,采用決策、概率、記憶、統計的智能方法識別數據并達到訪問控制的目的。智能防火墻技術沒有必要為了匹配檢查進行大量的計算,而是直接控制訪問,與傳統防火墻技術相比,智能防火墻技術更安全,其安全性能大大提高了,尤其是在內核的安全性、系統和特權最小化、網絡性能、系統的加固和優化等方面都有很大的提高。
3.4入侵檢測技術
入侵檢測技術提高計算機網絡的安全性能,快速發現非法攻擊,從而在整體上提高計算機的安全結構的完整性,它是作為防火墻和其他技術的補充。VPN技術采用加解密技術、隧道技術等,通過公共網絡將多個內部網絡進行遠程連接,使用戶能夠跨采用統一規劃的內部網絡地址進行彼此之間的訪問。
3.5認證機構CA
CA的組成主要由證書簽發服務器、密鑰管理中心和目錄服務器三部分組成。其中證書簽發服務器,負責簽發和管理證書,密鑰管理中心提供CA證書的簽發;目錄服務器負責證書和CRL的查詢及。使用公開密鑰的用戶都會得到CA中心發放的一個數字證書,證書上面具有數字簽名,非法攻擊者不能對其進行篡改和偽造,從而保證了信息的安全。根據X.509標準規定,證書應該包含以下內容:證書序列號、版本號及有效期,算法標識(用于證書簽名),簽發證書的CA機構的名字和唯一標識符,用戶的名字、公鑰和用戶的唯一標識等。
作者:賀甲寧 單位:陜西職業技術學院
1網絡協議隔離技術
協議隔離技術,就是通過安置協議分離器達到內網與外網的分離。利用設置上的兩個接口,完成內網和外網通過協議隔離進行信息的交流。在使用協議隔離技術的時候,內網和外網都是斷開的,只有在需要進行信息交流的時候才會進行安全的暫時性連接。防火墻技術,就是在內網和外網之間樹立一塊安全的分離屏障,把那些無法預判的惡性攻擊和破壞進行有效的攔截掉。同時最大程度的對外隱蔽和保護內網的信息與構造,確保內網能夠安全正常的運行。
2電力信息系統信息安全技術的應用
2.1構建和完善電力系統
構建和完善電力系統主要有三方面的工作需做好。首先,創建和完善電力調度數據網絡,需要在專門通道上通過多種手段達到物理層面和公共信息網絡的安全分隔。方法有:使用專線,數字序列同步處理和準同步處理,通過專一的網絡設施組裝網絡等。電力調度數據網只能夠被允許傳送和電力調度生產密切有關的數據業務信息。然后,電力監控系統和電力調度數據網絡都不準與外面的因特網進行直接關聯,同時做好對電子郵件的嚴格限制收發工作。最后,電力監控系統可以利用專一的局域網(內網)做到和當地另外的電力監控系統的關系與連接。還可以利用電力調度數據網絡完成不同層級之間在不同的地方對電力監督系統的相互聯系。所用的電力監督系統和辦公智能化系統還有其他信息系統互相之間在進行網絡關聯時,一定要得到國家相關部門的審核與批準才可以,并且要使用相關的專一,有效的安全隔離設備。
2.2改革和創新網絡安全技術
改革和創新網絡安全技術主要包括了以下幾個方面的措施,第一,提升相關人員的安全防范意識和管理水平。安全意識的缺乏導致的系統安全隱患遠遠大于系統自身存在的錯誤與缺陷。把未經過掃描查殺病毒的優盤,軟盤插入電腦中、不妥當,不合理的設置相關密碼、把密碼寫在另外的地方或者存放在電腦文件中、沒有定期的修改密碼,在網絡上下載一些不安全的文件、還有企業自身合法獲得許可的用戶進行非法的行為等等都會導致企業的信息網絡存在較大的風險。第二,實時的監督網絡端口和節點信息的走向,定期對企業的信息網絡進行安全檢查,信息日志的審核與統計,還有病毒的掃描排查工作,對很重要的數據要及時的備份保存,在整個網絡領域創建一套正確有效的安全管理體制,都有利于企業信息網絡的安全運轉。第三,正確安全的設定和存儲密碼。密碼的安全是網絡安全中至關重要的。如果密碼被破解或泄密將給非法用戶有機可乘,進入相關系統。隨著窮舉軟件的興起,根密碼的位數要在十位以上,普通用戶的密碼也要求在八位以上,并且有大小寫字母和數字及其他符合穿插隨機組成的設定規則。也要避免把自己的生日或者名字等比較容易破解的信息作為密碼使用。
2.3更加先進的網絡安全框架
電力企業信息網絡在安全問題上有它自己的特點,遇到的安全威脅也是比較嚴重的,如果不處理好就會影響國家經濟和人們的正常生活。未來一定會使用更加優越有效的網絡安全框架,密碼算法,入侵檢測系統(IDS)與病毒查殺軟件和更加智能化的防火墻技術等,來保證電力信息系統的信息安全。然而防護往往是先從自身被瓦解的,所以在這些技術方面的防護基礎上,還要制定一套有效的安全體系和培養員工的安全防范意識,它們是保證系統信息安全的優秀。
3結語
綜上所述,我國電力信息系統的信息安全實現要借助大量相關的關鍵信息安全技術的輔助作用。本文主要描述了其中在電力信息系統信息安全管理中運用到的關鍵技術,包括了各自的優缺點。在實際使用過程中還要注意多種技術的選擇與融合,還描述了信息安全技術在今后的廣泛應用與推廣,有助于促進我國電力系統的完善與提高,更好的為國家和社會服務。
作者:張豆豆 單位:上海理工大學光電信息與計算機工程學院
1有效地劃分安全區域
依據信息安全綜合管理要求,信息安全領域包含了較多子區域,互相間相聯系的區域形成了邏輯領域。當前,電子政務網絡領域中基層設施以及安保功能應由接入專用網絡系統用戶具體負責。電子政務處理業務的領域則應包含已經屬于政務部門管控范疇中且承載業務系統的本地系統環境與邊界,還涵蓋內部用戶。該服務對象包含設計政務機構之中的公眾、外網領域與內網領域等。電子政務基礎服務領域則包括信息安全相應機構、測評機構、數字證書機構等。
2合理管控機密信息數據
電子政務系統針對信息資源的管控具體目標在于抑制攻擊者登錄系統主機并對其進行攻擊。當然這一目標的實現具有一定難度,無法完全抑制攻擊行為。當然,主機可允許對于電子政務系統內網的各類連接、分析掃描以及探測,對從主機系統之中傳輸的連接、掃描等,安全系統要具備相應條件方能進行放行。如果傳輸數據包包含異常問題,系統管理人員要快速叫停。防火墻系統為信息安全技術之中重要的一項安全管理方式,可全面預防電子政務之中的主機被操控進而對他類系統形成不良破壞。為此,應利用信息安全手段合理管控主機外連數量。例如,可準許在具體時間段之中傳輸一定總量的數據信息報。應用的防火墻系統應具備良好的功能,即可設定單向或雙向地址進行攔截。單向攔截階段中,可杜絕由一個方向面向另一方向進行數據傳輸。而反向傳輸則可順利實施。另外,防火墻系統應采取現代化的狀態監控過濾技術,不應單純的依靠獨立IP包完成過濾率,應實施監控研究各類連接以及對話,進而可在政務系統之內完成自動化的維持原有健康運行狀態,而后再針對連接狀態,使IP包完成更快的安全過濾,合理管控主機外出連接。倘若外出連接量突破要求標準,便會自動停止后續連接,預防主機受到惡意破壞攻擊。
3科學設計系統VPN
電子政務系統之中采用信息安全技術手段的VPN可位于各個政府部門之中創建形成虛擬通道,令各個電子政務網絡實現隨意相互訪問,就像是處在自身專屬的網絡系統之中。另外,還可令政務網絡在連入外網之時,就好比在內網系統之中一樣,可實現各類資源的全面共享。再者,可符合電子政務內網各類信息安全管控標準。創建VPN包含三類渠道,第一個方式即是創建因特網服務商,進而實現企業信息全面透明化。第二類渠道是為政府單位進行單獨的劃定建設,實現ISP透明化,再者可為政府單位以及服務商共同建設系統VPN。
4結語
總之,電子政務系統可靠安全性目前引發了政府機構乃至社會各界的較高重視,相關計算機行業專家應持續擴充信息安全技術應用,為電子政務開創穩定可靠的安全屏障,方能真正確保我國信息資源的整體安全,提升綜合實力,進而實現可持續的全面發展。
作者:張瑞祥 王鵬宇
1.加密技術
加密技術主要是對計算機網絡數據進行加密,來保證信息的可靠與安全。在信息安全技術中,對傳輸的數據進行加密,是計算機系統中一項非常關鍵的技術,是一種主動防御措施。在數據傳輸過程中,加密技術運用精密的加密算法,對傳輸的信息進行加工,使其轉化為密文形式,防止不法分子的直接讀取。加密技術有對稱性和非對稱性之分,使信息更具有安全性。
2.防火墻技術
在計算機的日常維護中,防火墻技術是比較常見的,也是用戶經常使用的安全防護系統。在計算機網絡系統中,它有特定的軟件保護模塊,充分發揮著安全部件的作用,對于計算機系統表現出來的異常狀況,它會在第一時間啟動警報系統,將異常信息及時反饋給用戶,或者上傳給網路監護人員,及時采取相對應的措施對計算機網絡系統予以保護。防火墻技術,主要利用模糊數據庫,來對外來者進行控制和訪問,通過判斷其所執行的網絡行為,來分析其目的或意圖,不需要進行大量的網絡計算,及時攔截不正當的訪問行為,直接提高了計算機網絡系統的防控能力,在信息安全技術中,防火墻技術是最基礎也是最有效的。
3.信息安全掃描技術
在保護計算機網絡安全的措施中,信息安全掃描技術也是極其關鍵的。通過對全網系統給予有目的的安全掃描,對網絡運行的狀態,網路管理員可以及時準確地了解,一旦發現安全泄露問題,可以采取及時的補救措施。在計算機網絡信息安全中,安全掃描技術應用的比較廣泛,可以從防火墻系統、主機操作系統、Web服務站點、局域網等方面給予安全監控,對異常信息給予及時的檢測,提高了系統安全性。
4.防止病毒入侵技術
在網絡信息安全中,病毒入侵對計算機系統的破壞性是極強的,根據前面所講述的,病毒具有很強的隱藏性,它會長期潛伏在我們的計算機系統中,一旦不小心將病毒激活了,那么導致的破壞性是非常強的。所以加強防止病毒入侵技術是非常有必要的,用戶在使用計算機的過程中,在安裝殺毒軟件時,要選擇正版的、專業的殺毒軟件;對于陌生的郵件,用戶要及時給予病毒查殺,有效防止病毒進入計算機系統。
5.結束語
綜上所述,對于計算機網絡信息安全的影響因素比較多,在對計算機的日常維護中要加倍小心,對于上述所提到的,幾種比較新型的信息安全技術,用戶要根據實際情況合理運用,努力創造一個安全、可靠的網絡環境。
作者:陳躍輝
摘要:隨著科學技術的發展和時代的日新月異,我們的生活在不知不覺中發生了翻天覆地的變化,就連最基本的購物和消費都在默默變化著。近年來,隨著亞馬遜、阿里巴巴等電子商務如火如荼地闖入大眾的視野,“電子商務”這個在十幾年前聞所未聞的名詞如今成為人們口中常談的對象。在大眾的口中,“電子商務”這個名詞依舊略顯陌生和專業,人們常常用“網購”和“網上支付”來代替“電子商務”,實際上說的是一回事。電子商務的出現,打破了空間的束縛,極大地方便了人們的購物行為,刺激了消費,一定程度上促進了經濟的繁榮和增長。
關鍵詞:電子商務;信息安全技術
一、電子商務發展存在的風險
第三方的電子交易平臺在網絡上對于信息進行儲存、記錄、處理、和傳遞,以此來協助一次網絡消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私。但是,現在的網絡環境比較惡劣,有很多網絡陷阱以及刻意挖掘用戶信息的“黑客”,從而導致基本信息出現失真、泄露和刪除的危機,不利于正常電子商務交易的完成。對于電子商務信息大致上可以分為以下幾類:第一,信息的真實性;第二,信息的實時性;第三,信息的安全性。首先,是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑,應該絕對真實。一旦出現虛假信息,則屬于欺騙消費者,是危害消費者權益的不法行為。其次,是信息的實時性。信息的實時性主要是指信息的保質期。因為很多信息只在一段時間內有效,具有時效性,一旦錯過這段關鍵時期,那么該信息則失去自身的價值,變得一文不值。最后,就是信息的安全性,這也是消費者最為關心的問題。電子商務出現的安全性問題主要表現為客戶的信息被刪除、篡改從而失真,同時也表現為用戶的信息被竊取從而達成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務的信息安全技術的內容
2.1?備份技術。相信備份技術對于大眾來說不是很陌生。但是很多人卻錯誤的將備份理解為拷貝,從而片面的看待這個問題。電子商務對于網絡環境有很大的依賴性,網絡環境自身卻存在極大的不穩定性,這就導致電子商務的發展存在不可避免的風險,如果沒有一個數據庫對于基本信息進行存儲,那么一旦出現系統故障或者誤刪的情況則信息永遠消失,這對于商家來說是極其可怕的,因此,電子商務的第三方有一個信息儲存庫,旨在在必要的時刻段時間內將客戶的信息及時恢復。這種恢復不是簡單的、傳統意義上的恢復,而是通過備份介質得以完成的。這樣的話,在系統故障或者其他原因導致信息在短時間內無法正常恢復時,可以借助儲存在備份介質中的信息將信息還原到原來的備份狀態。2.2?認證技術。所謂認證技術其實一個專業術語,道理實際上很簡單,就是我們常說的登錄口令。認證技術的目的主要在于阻止不具有系統授權的用戶進行非法的破壞計算機機密數據,是數據庫系統為減少和避免各種破壞電子商務安全的重要策略。登陸口令是我們正常用戶進行電子商務平臺登錄的方式,是大眾在網絡環境下的身份證。我們每一個用戶在使用某一個電子商務平臺之前都被要求進行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨一無二的,是我們進行網上交易的身份認證和識別。因為電子商務平臺往往具有開放性,一旦沒有身份認證后果將不堪設想。人們的信息安全更是沒有任何保障。2.3?訪問控制技術。訪問控制技術也可以理解為訪問等級制度,電子商務的系統會根據用戶的不同等級對于用戶對于系統數據的訪問進行一定的控制。等級較低時,則用戶的訪問權限有限,一些重要的關鍵的信息則被系統禁止訪問,只要當等級較高時才能獲得相關權限,這就保證了一些重要信息不會被竊取。關于用戶的訪問權限也有兩層含義,首先是用戶能夠獲得數據庫中的信息種類和數量,另一層含義則是指用戶對于獲取的數據庫信息進行怎樣的操作。
電子商務的便利性和優點遠遠大于其存在的信息安全技術風險給人們帶來的不便,盡管信息安全技術問題層出不窮,但是大眾們依然親睞和依賴電子商務。但電子商務想要獲得更廣闊的發展空間,虜獲更多人的心,則必須在信息安全技術問題上下一點功夫。其次,對于普通消費者來說,掌握一定的電子商務信息安全知識是十分必要的,它既能幫助我們在需要的時候解決自己原來束手無策的問題,更能讓自身的網購行為變得更加安全,減少甚至避免了很多不必要麻煩的出現,因此,不管你從事任何行業,都需要對于電子商務的信息安全問題進行一定的了解。
作者:王傳 單位:四川化工職業技術學院網管中心
【摘要】隨著我國社會主義現代化建設的不斷發展,我國的計算機信息技術得到了前所未有的發展,并由此進入一個信息時代。計算機信息技術已經充分滲透于人們生活與工作的各個方面,在人們的生活中發揮著不可替代的作用,然而,伴隨著計算機信息技術的發展,信息的安全防護也成為人們關注的焦點。本文將著重對計算機信息安全技術防護中存在的問題及其防護策略進行深入探討。
【關鍵詞】計算機;信息安全技術;防護;有效策略
信息時代的到來,使人們的生活方式與生產方式發生了一系列轉變,已經成為人們日常生活中極為重要的組成部分,一方面使人們的生活更加豐富多樣,另一方面也促進了社會效益的極大提升,體現了計算機信息技術的無限優越性。與此同時,在對計算機信息技術進行運用的過程中,也面臨著信息安全的問題,這也是計算機信息系統亟待解決的一個問題。
1計算機信息安全概述
計算機信息安全主要指的是對計算機網絡內部的各個環節的安全檢測與防護,包括硬盤、各種數據資源等,保障相關的數據及信息不遭到人為更改或其他因素的破壞,使計算的網絡信息系統能夠正常運行。近年來,隨著計算機網絡的普及,信息安全也越來越受到人們的關注,計算機信息安全涉及的范圍比較廣,主要有計算機系統軟件與硬件的安全、賬號與密碼的安全、服務器開機安全以及系統管理的賬號使用等,另外,一些網頁的訪問記錄、重要的文件等也屬于計算機信息安全的范圍,一旦出現計算機系統漏洞或被黑客攻破,將會存在信息安全隱患,甚至造成難以彌補的損失,因此,對計算機信息安全防護工作勢在必行。
2計算機信息安全技術防護存在的問題
近年來,由于計算機信息安全問題造成的損失案例不在少數,這也引起了人們對計算機信息安全的關注。計算機信息安全防護與經濟、科技水平有著一定的聯系,經濟水平比較發達的國家或地區,計算機信息安全防護相對更加成熟。我國的計算機網絡起步比較晚,但發展較為迅速,目前,我國對計算機信息安全防護給予了高度的重視,計算機的信息安全防護工作得到了不斷的完善與發展,然而,在實際應用中還存在著一些亟待解決的問題。首先,從整體來看,我國當前的計算機信息安全技術普遍偏低,存在一些安全隱患,盡管經歷了不斷的發展,計算機技術實現了重大的突破,然而很難對網絡黑客進行有效的治理,這使人們對計算機技術的應用存在較大的安全隱患,同時也使相關的網絡技術開發人員面臨著巨大的挑戰。另外,一些企業單位未能認識到計算機信息安全技術防護的重要性,缺乏必要的安全技術培訓,一些計算機安全管理人員缺乏專業的技能與知識素養,這也在一定程度上使計算機的安全技術防護存在漏洞,使計算機信息安全管理存在一定的風險。
3計算機信息安全技術的防護
3.1加強對計算機病毒的安全防護
計算機與互聯網有著密不可分的聯系,互聯網技術充分滲入人們生活與工作的各個方面,也正由于這種聯系,一旦出現計算機病毒,那么整個計算機網絡系統將會癱瘓,計算機病毒傳播十分迅速,破壞性比較大,會造成不可估量的損失。因此,要采取科學的措施,將這些計算機病毒防護措施應用于計算機信息系統,保證計算機信息的安全性,目前,應用較為普遍的有360安全衛士、金山毒霸等,這些防護技術能夠對病毒進行實時查殺,增強人們對計算機病毒的認識,合理操作計算機,降低病毒出現的幾率。另外,要對計算機系統的防護能力進行加強,目前大部分計算機應用的是windows,針對計算機病毒問題進行了有效防護。計算機操作系統不同,所用的防毒軟件以及功能也有所不同,要充分采用信息過濾技術、安全掃描技術以及訪問控制技術等,有效抑制病毒的攻擊,提升計算機病毒安全防護的能力。
3.2對計算機信息操作系統的防護
目前,計算機操作系統主要有windows、Unix/Linux以及蘋果操作系統等,其中以windows操作系統最為普遍。對計算機信息操作系統的防護主要包括多個方面,首先,是對登陸權限的安全防護。通常計算機系統具有一定的安全性,能夠有效控制外部對系統內的信息訪問,因此,只有經過授權的用戶才能夠對計算機進行訪問操作。其次,是計算機密碼設置的安全防護,只有正確輸入密碼能夠獲得訪問的權限,用戶可定期更換密碼,并且密碼要盡量復雜化,一般來講,密碼越復雜,安全性就相對越高。軟件的防火墻技術經過不斷地升級與發展,不但能夠對病毒來源與端口信息進行有效的分析,而且能夠攔截、查殺各種病毒,對計算機信息進行實時的監控與防護。另外,當人們在對瀏覽器進行瀏覽與訪問的過程中,很容易出現信息安全隱患,大部分病毒都是通過瀏覽器進行傳播的,針對這個問題,windows系統對瀏覽器進行了安全級別設置,以此實現對瀏覽器病毒的攔截,消除其造成的威脅。除此之外,計算機還有設有專門的備份恢復還原機制,這些能夠降低信息安全隱患帶來的損失。在使用計算的過程中,盡量不要將外界的不明設備插入計算機,一旦發現有可疑的軟件或郵件要進行及時的查殺、卸載,阻斷其侵入計算機的路徑,保障計算機信息系統安全。
3.3對軟件系統的保護
在計算機的軟件系統中,也會存在各種各樣的安全隱患,因此,可在計算機上安裝殺毒軟件。一般情況下,殺毒軟件負責維護一整個病毒庫,它能夠實現及時更新,對計算機軟件中出現的最新病毒進行掃描、查殺。而目前又出現了一種新型的流氓軟件,這類軟件與一般的病毒、木馬等有所不同,在強大的商業支持下,更新換代速度快,它主要是指一些商家為了實現商業經濟利益,在未經過用戶允許的情況下,強行進行安裝,并且難以對其刪除,不僅會彈出大量的廣告信息,而且會更改用戶的瀏覽器默認主頁,影響計算機性能的發揮,造成死機、重啟等現象的發生。對于這類軟件,殺毒軟件并不能夠對其進行查殺,因此,可以應用反流氓軟件工具,避免遭到流氓軟件的侵害。
4結束語
當前,計算機信息技術已經成為人們生活中不可替代的重要組成部分,影響著人們的生活方式與生產方式,使人們的生活得到了極大的便利。另一方面,計算機的使用也存在著一定的安全隱患,因此,作為網絡中的一員,必須加強對計算機信息安全技術防護的認識,提升計算機信息安全防護意識,有效避免病毒的侵害,安全、科學上網,使計算機信息技術發揮出更大的優越性。
作者:胡凱倫 單位:武漢市洪山高級中學
關鍵詞:電子商務密碼技術安全協議
摘要:文章主要針對在電子商務應用中所經常使用到的幾種信息安全技術作了系統的闡述,分析了各種技術在應用中的側重點,強調了在電子商務應用中信息安全技術所具有的重要作用。
21世紀是知識經濟時代,網絡化、信息化是現代社會的一個重要特征。隨著網絡的不斷普及,電子商務這種商務活動新模式已經逐漸改變了人們的經濟、工作和生活方式,可是,電子商務的安全問題依然是制約人們進行電子商務交易的最大問題,因此,安全問題是電子商務的優秀問題,是實現和保證電子商務順利進行的關鍵所在。
信息安全技術在電子商務應用中,最主要的是防止信息的完整性、保密性與可用性遭到破壞;主要使用到的有密碼技術、信息認證和訪問控制技術、防火墻技術等。
一、密碼技術
密碼是信息安全的基礎,現代密碼學不僅用于解決信息的保密性,而且也用于解決信息的保密性、完整性和不可抵賴性等,密碼技術是保護信息傳輸的最有效的手段。密碼技術分類有多種標準,若以密鑰為分類標準,可將密碼系統分為對稱密碼體制(私鑰密碼體制)和非對稱密碼體制(公鑰密碼體制),他們的區別在于密鑰的類型不同。
在對稱密碼體制下,加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經過安全的密鑰通道,由發送方傳輸到接收方。比較著名的對稱密鑰系統有美國的DES,歐洲的IDEA,Et本的RC4,RC5等。在非對稱密碼體制下加密密鑰與解密密鑰不同,加密密鑰公開而解密密鑰保密,并且幾乎不可能由加密密鑰導出解密密鑰,也無須安全信道傳輸密鑰,只需利用本地密鑰的發生器產生解密密鑰。比較著名的公鑰密鑰系統有RSA密碼系統、橢圓曲線密碼系統ECC等。
數字簽名是一項專門的技術,也是實現電子交易安全的優秀技術之一,在實現身份認證、數據完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務等領域有重要的應用價值。數字簽名的實現基礎是加密技術,它使用的是公鑰加密算法與散列函數一個數字簽名的方案一般有兩部分組成:數字簽名算法和驗證算法。數字簽名主要的功能是保證信息傳輸的完整性、發送者身份的驗證、防止交易中抵賴的發生。
二、信息認證和訪問控制技術
信息認證技術是網絡信息安全技術的一個重要方面,用于保證通信雙方的不可抵賴性和信息的完整性。在網絡銀行、電子商務應用中,交易雙方應當能夠確認是對方發送或接收了這些信息,同時接收方還能確認接收的信息是完整的,即在通信過程中沒有被修改或替換。
①基于私鑰密碼體制的認證。假設通信雙方為A和B。A,B共享的密鑰為KAB,M為A發送給B的信息。為防止信息M在傳輸信道被竊聽,A將M加密后再傳送。
由于KAB為用戶A和B的共享密鑰,所以用戶B可以確定信息M是由用戶A所發出的,這種方法可以對信息來源進行認證,它在認證的同時對信息M也進行了加密,但是缺點是不能提供信息完整性的鑒別。通過引入單向HASH函數,可以解決信息完整性的鑒別問題,如圖2所示
用戶A首先對信息M求HASH值H(M),之后將H(M)加密成為m,然后將m。和M一起發送給B,用戶B通過解密ml并對附于信息M之后的HASH值進行比較,比較兩者是否一致。圖2給出的信息認證方案可以實現信息來源和完整性的認證。基于私鑰的信息認證的機制的優點是速度較快,缺點是通信雙方A和B需要事先約定共享密鑰KAB。
②基于公鑰體制的信息認證。基于公鑰體制的信息認證技術主要利用數字簽名和哈希函數來實現。假設用戶A對信息M的HASH值H(M)的簽名為SA(dA,H(m),其中dA為用戶A的私鑰),用戶A將M//SA發送給用戶B,用戶B通過A的公鑰在確認信息是否由A發出,并通過計算HSAH值來對信息M進行完整性鑒別。如果傳輸的信息需要報名,則用戶A和B可通過密鑰分配中心獲得一個共享密鑰KAB,A將信息簽名和加密后再傳送給B,如圖3所示。由圖3可知,只有用戶A和B擁有共享密鑰KAB,B才能確信信息來源的可靠性和完整性。
訪問控制是通過一個參考監視器來進行的,當用戶對系統內目標進行訪問時,參考監視器邊查看授權數據庫,以確定準備進行操作的用戶是否確實得到了可進行此項操作的許可。而數據庫的授權則是一個安全管理器負責管理和維護的,管理器以阻止的安全策略為基準來設置這些授權。
③防火墻技術。防火墻是目前用得最廣泛的一種安全技術,是一種由計算機硬件和軟件的組合。它使互聯網與內部網之間建立起一個安全網關,可以過濾進出網絡的數據包、管理進出網絡的訪問行為、對某些禁止的訪問行為、記錄通過防火墻的信息內容和活動及對網絡攻擊進行檢測和告警等。防火墻的應用可以有效的減少黑客的入侵及攻擊,它限制外部對系統資源的非授權訪問,也限制內部對外部的非授權訪問,同時還限制內部系統之間,特別是安全級別低的系統對安全級別高的系統的非授權訪問,為電子商務的施展提供一個相對更安全的平臺,具體表現如下:
①防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻身上。
②對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
③防止內部信息的外泄。通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣臺主機的域名和IP地址就不會被外界所了解。
④網絡安全協議。網絡協議是網絡上所有設備之間通信規則的集合。在網絡的各層中存在著許多協議,網絡安全協議就是在協議中采用了加密技術、認證技術等保證信息安全交換的安全網絡協議。
目前,Intemet上對七層網絡模型的每一層都已提出了相應的加密協議,在所有的這些協議中,會話層的SSL和應用層的SET與電子商務的應用關系最為密切:
①ssL協議(SecureSocketsLayer)安全套接層協議。SSL使用對稱加密來保證通信保密性,使用消息認證碼(MAC)來保證數據完整性。SSL主要使用PKI在建立連接時對通信雙方進行身份認證。SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性。它主要適用于點對點之間的信息傳輸,提供基于客戶/服務器模式的安全標準,它在傳輸層和應用層之間嵌入一個子層,在建立連接過程中采用公開密鑰,在會話過程中使用私人密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。SSL安全協議是國際上最早應用于電子商務的一種網絡安全協議,至今仍然有很多網上商店使用。在傳統的郵購活動中,客戶首先尋找商品信息,然后匯款給商家,商家將商品寄給客戶。這里,商家是可以信賴的,所以客戶先付款給商家。在電子商務的開始階段,商家也是擔心客戶購買后不付款,或使用過期的信用卡,因而希望銀行給予認證。SSL安全協議正是在這種背景下產生的。所以,它運行的基點是商家對客戶信息保密的承諾。顯然,SSL協議無法完全協調各方間的安全傳輸和信任關系。
②SET協議SecureElectronicTransaction)安全電子交易。為了克服SSL安全協議的缺點,實現更加完善的即時電子支付,SET協議應運而生。SET協議采用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名,使得商家看不到支付信息,只能接收用戶的訂單信息;而金融機構看不到交易內容,只能接收到用戶支付信息和賬戶信息,從而充分保證了消費者帳戶和定購信息的安全性。SET協議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性,其理論基礎就是不可否認機制,采用的優秀技術包括X.509電子證書標準,數字簽名,報文摘要,雙重簽名等技術。SET協議使用數字證書對交易各方的合法性進行驗證,通過數字證書的驗證,可以確保交易中的商家和客戶都是合法的、可信賴的。
信息安全技術在電子商務中的應用非常廣泛,并且起到了尤其重要的作用。
摘要:稅收管理信息化是加強稅收征管、實現依法治稅的重要措施,也是降低稅收成本和提高征管效率的技術保障。隨著我國稅收信息化的快速發展,稅收信息化建設中的信息安全問題日益凸顯,它已成為制約我國稅收現代化的瓶頸。隨著“科技興稅”和稅收征管改革的全面實施,稅收信息化有了長足的發展,稅收信息化建設中的信息安全問題越來越重要。
關鍵詞:稅收信息化;信息狀態安全;信息轉移安全;信息安全技術
從三個方面來考慮:首先是信息狀態安全,即稅務系統安全,要防止稅務系統中心的數據被攻擊者破壞。稅務系統要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數據中心開放,這對稅務系統本身帶來了很大的風險。其次是信息轉移安全,即服務安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術進行研究。
一、信息狀態安全技術
信息狀態安全主要包括系統主機服務器安全、操作系統安全和數據庫安全三個方面。
(一)系統主機服務器安全(ServerSecurity)
服務器是存儲數據、處理請求的優秀,因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護,對非法接觸服務器配件具有一定的保護措施,比如加鎖或密碼開關設置等;同時,服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性,不會因為大量的訪問導致服務器崩潰;服務器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統、數據備份功能,使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復,保證服務器的不間斷運行;服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面,這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率。
(二)操作系統安全(OperatingSystemSecurity)
設置操作系統就像為構筑安全防范體系打好“地基”。
1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實現完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中。訪問控制矩陣中的每行表示一個主體,每列表示一個受保護的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表,根據表中信息的不同可分為三種形式:(1)權力表(CapabilitiesList),它決定是否可對客體進行訪問以及可進行何種模式的訪問。(2)前綴表(PrefixList),它包括受保護客體名以及主體對客體的訪問權。(3)口令(Password),主體對客體進行訪問前,必須向稅務操作系統提供該客體的口令。對于口令的使用,建議實行相互制約式的雙人共管系統口令。
2.強制訪問控制(MandatoryAccessControl,MAC)。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊,這就需要利用強制訪問控制來采取更強有力的訪問控制手段。在強制訪問控制中,稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務系統一般可采取兩種強制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用,該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。(2)限制編程。鑒于稅務系統僅需要進行事務處理,不需要任何編程的能力,可將用于應用開發的計算機系統分離出去,完全消除用戶的編程能力。
3.安全核技術(SecurityKernelTechnology)。安全核是構造高度安全的操作系統最常用的技術。該技術的理論基礎是:將與安全有關的軟件隔離在操作系統的一個可信核內,而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進監控器才能對客體進行訪問操作,并使硬件支持基于安全核的系統。(2)隔離性(Isolation),要求將安全核與外部系統很好的隔離起來,以防止進程對安全核的非法修改。(3)可驗證性(Verifiability),要求無論采用什么方法構造安全核,都必須保證對它的正確性可以進行某種驗證。
其他常見措施還有:信息加密、數字簽名、審計等,這些技術方法在數據庫安全等方面也可廣泛應用,我們將在下面介紹。
(三)數據庫安全(DatabaseSecurity)
數據庫是信息化及很多應用系統的優秀,其安全在整個信息系統中是最為關鍵的一環,所有的安全措施都是為了最終的數據庫上的數據的安全性。另外,根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求,數據庫需要提供安全性控制的層次結構和有效的安全性控制策略。
數據庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設置的,真正做到了層層設防。第一層應該是注冊和用戶許可,保護對服務器的基本存取;第二層是存取控制,對不同用戶設定不同的權限,使數據庫得到最大限度的保護;第三層是增加限制數據存取的視圖和存儲過程,在數據庫與用戶之間建立一道屏障。基于上述數據庫層次結構的安全體系,稅務網絡信息系統需要設置對機密和非機密數據的訪問控制:(1)驗證(Authentication),保證只有授權的合法用戶才能注冊和訪問;(2)授權(Authorization),對不同的用戶訪問數據庫授予不同的權限;(3)審計(Auditing),對涉及數據庫安全的操作做一個完整的記錄,以備有違反數據庫安全規則的事件發生后能夠有效追查,再結合以報警(Alert)功能,將達到更好的效果。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定,這樣用戶只能取得對視圖和存儲過程的授權,而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數據列的種類。二、信息轉移安全技術
信息轉移安全即網絡安全。為了達到保證網絡系統安全性的目的,安全系統應具有身份認證(IdentificationandAuthentication);訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse);精確性(Accuracy);服務可用性(AvailabilityofServices)等功能。
1.防火墻技術(FirewallTechnology)
為保證信息安全,防止稅務系統數據受到破壞,常用防火墻來阻擋外界對稅務局數據中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護的企業內聯網與對公眾開放的網絡(如Internet)之間設立一道屏障,對所有要進入內聯網的信息進行分析或對訪問用戶進行認證,防止有害信息和來自外部的非法入侵進入受保護網,并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散,從而保護內部系統的安全。防火墻的實質是實施過濾技術的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可,常常將兩種防火墻結合使用,以互相補充,確保網絡的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒,保護系統。
2.信息加密技術(InformationEncryptionTechnology)
信息加密包括密碼設計、密碼分析、密鑰管理、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式,經過線路傳送,到達目的端用戶再把密文還原成明文。對數據進行加密是防止信息泄露的有效手段。適當的增加密鑰的長度和更先進的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography),即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組,然后逐組加密。而序列密碼把明文符號立即轉換為密文符號,運算速度更快,安全性更高。(2)公鑰加密體制(Public-keyCryptography),其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務系統和認證中心(AuthenticationCenter,AC)才有稅務系統的公開密鑰,只有納稅人和認證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經過加密后雙方的私有密鑰,也因為無法進行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認證技術(InformationAuthenticationTechnology)
數字簽名技術(DigitalSignatureTechnology)。數字簽名可以證實信息發送者的身份以及信息的真實性,它具備不可偽造性、真實性、不可更改性和不可重復性四大特征。數字簽名是通過密碼算法對數據進行加密、解密交換實現的,其主要方式是:信息發送方首先通過運行散列函數,生成一個欲發送報文的信息摘要,然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。接收方在接收到信息后,首先運行和發送方相同的散列函數生成接收報文的信息摘要,然后再用發送方的公開密鑰對報文所附的數字簽名進行解密,產生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性。
完整性認證(IntegrityAuthentication)。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發送者在信息中加入一個認證碼,經加密后發送給接收者檢驗,接收者利用約定的算法對解密后的信息進行運算,將得到的認證碼與收到的認證碼進行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(Anti-virusTechnology)
病毒防范是計算機安全中最常見也是最容易被忽視的一環。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施,來最大限度地加強網絡端到端的防病毒架構,再加上防病毒制度與措施,就構成了一套完整的防病毒體系。
摘要:稅收管理信息化是加強稅收征管、實現依法治稅的重要措施,也是降低稅收成本和提高征管效率的技術保障。隨著我國稅收信息化的快速發展,稅收信息化建設中的信息安全問題日益凸顯,它已成為制約我國稅收現代化的瓶頸。隨著“科技興稅”和稅收征管改革的全面實施,稅收信息化有了長足的發展,稅收信息化建設中的信息安全問題越來越重要。
關鍵詞:稅收信息化;信息狀態安全;信息轉移安全;信息安全技術
從三個方面來考慮:首先是信息狀態安全,即稅務系統安全,要防止稅務系統中心的數據被攻擊者破壞。稅務系統要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數據中心開放,這對稅務系統本身帶來了很大的風險。其次是信息轉移安全,即服務安全,如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保證稅務人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術進行研究。
一、信息狀態安全技術
信息狀態安全主要包括系統主機服務器安全、操作系統安全和數據庫安全三個方面。
(一)系統主機服務器安全(ServerSecurity)
服務器是存儲數據、處理請求的優秀,因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護,對非法接觸服務器配件具有一定的保護措施,比如加鎖或密碼開關設置等;同時,服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性,不會因為大量的訪問導致服務器崩潰;服務器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統、數據備份功能,使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復,保證服務器的不間斷運行;服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面,這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率。
(二)操作系統安全(OperatingSystemSecurity)
設置操作系統就像為構筑安全防范體系打好“地基”。
1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問。為實現完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中。訪問控制矩陣中的每行表示一個主體,每列表示一個受保護的客體,矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表,根據表中信息的不同可分為三種形式:(1)權力表(CapabilitiesList),它決定是否可對客體進行訪問以及可進行何種模式的訪問。(2)前綴表(PrefixList),它包括受保護客體名以及主體對客體的訪問權。(3)口令(Password),主體對客體進行訪問前,必須向稅務操作系統提供該客體的口令。對于口令的使用,建議實行相互制約式的雙人共管系統口令。
2.強制訪問控制(MandatoryAccessControl,MAC)。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊,這就需要利用強制訪問控制來采取更強有力的訪問控制手段。在強制訪問控制中,稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務系統一般可采取兩種強制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用,該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。(2)限制編程。鑒于稅務系統僅需要進行事務處理,不需要任何編程的能力,可將用于應用開發的計算機系統分離出去,完全消除用戶的編程能力。
3.安全核技術(SecurityKernelTechnology)。安全核是構造高度安全的操作系統最常用的技術。該技術的理論基礎是:將與安全有關的軟件隔離在操作系統的一個可信核內,而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進監控器才能對客體進行訪問操作,并使硬件支持基于安全核的系統。(2)隔離性(Isolation),要求將安全核與外部系統很好的隔離起來,以防止進程對安全核的非法修改。(3)可驗證性(Verifiability),要求無論采用什么方法構造安全核,都必須保證對它的正確性可以進行某種驗證。
其他常見措施還有:信息加密、數字簽名、審計等,這些技術方法在數據庫安全等方面也可廣泛應用,我們將在下面介紹。
(三)數據庫安全(DatabaseSecurity)
數據庫是信息化及很多應用系統的優秀,其安全在整個信息系統中是最為關鍵的一環,所有的安全措施都是為了最終的數據庫上的數據的安全性。另外,根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求,數據庫需要提供安全性控制的層次結構和有效的安全性控制策略。
數據庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設置的,真正做到了層層設防。第一層應該是注冊和用戶許可,保護對服務器的基本存取;第二層是存取控制,對不同用戶設定不同的權限,使數據庫得到最大限度的保護;第三層是增加限制數據存取的視圖和存儲過程,在數據庫與用戶之間建立一道屏障。基于上述數據庫層次結構的安全體系,稅務網絡信息系統需要設置對機密和非機密數據的訪問控制:(1)驗證(Authentication),保證只有授權的合法用戶才能注冊和訪問;(2)授權(Authorization),對不同的用戶訪問數據庫授予不同的權限;(3)審計(Auditing),對涉及數據庫安全的操作做一個完整的記錄,以備有違反數據庫安全規則的事件發生后能夠有效追查,再結合以報警(Alert)功能,將達到更好的效果。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定,這樣用戶只能取得對視圖和存儲過程的授權,而無法訪問底層表。視圖可以限制底層表的可見列,從而限制用戶能查詢的數據列的種類。
二、信息轉移安全技術
信息轉移安全即網絡安全。為了達到保證網絡系統安全性的目的,安全系統應具有身份認證(IdentificationandAuthentication);訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse);精確性(Accuracy);服務可用性(AvailabilityofServices)等功能。
1.防火墻技術(FirewallTechnology)
為保證信息安全,防止稅務系統數據受到破壞,常用防火墻來阻擋外界對稅務局數據中心的非法入侵。所謂防火墻,是一類防范措施的總稱,是指在受保護的企業內聯網與對公眾開放的網絡(如Internet)之間設立一道屏障,對所有要進入內聯網的信息進行分析或對訪問用戶進行認證,防止有害信息和來自外部的非法入侵進入受保護網,并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散,從而保護內部系統的安全。防火墻的實質是實施過濾技術的軟件防范措施。防火墻可以分為不同類型,最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻。兩種防火墻各有千秋,IP層防火墻對用戶透明性好,應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可,常常將兩種防火墻結合使用,以互相補充,確保網絡的安全。另外,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒,保護系統。
2.信息加密技術(InformationEncryptionTechnology)
信息加密包括密碼設計、密碼分析、密鑰管理、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式,經過線路傳送,到達目的端用戶再把密文還原成明文。對數據進行加密是防止信息泄露的有效手段。適當的增加密鑰的長度和更先進的密鑰算法,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography),即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組,然后逐組加密。而序列密碼把明文符號立即轉換為密文符號,運算速度更快,安全性更高。(2)公鑰加密體制(Public-keyCryptography),其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。
在傳輸過程中,只有稅務系統和認證中心(AuthenticationCenter,AC)才有稅務系統的公開密鑰,只有納稅人和認證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經過加密后雙方的私有密鑰,也因為無法進行解密而保證了私有密鑰的重要性,從而保證了傳輸文件的安全性。
3.信息認證技術(InformationAuthenticationTechnology)
數字簽名技術(DigitalSignatureTechnology)。數字簽名可以證實信息發送者的身份以及信息的真實性,它具備不可偽造性、真實性、不可更改性和不可重復性四大特征。數字簽名是通過密碼算法對數據進行加密、解密交換實現的,其主要方式是:信息發送方首先通過運行散列函數,生成一個欲發送報文的信息摘要,然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。接收方在接收到信息后,首先運行和發送方相同的散列函數生成接收報文的信息摘要,然后再用發送方的公開密鑰對報文所附的數字簽名進行解密,產生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性。
完整性認證(IntegrityAuthentication)。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發送者在信息中加入一個認證碼,經加密后發送給接收者檢驗,接收者利用約定的算法對解密后的信息進行運算,將得到的認證碼與收到的認證碼進行比較,若兩者相等,則接收,否則拒絕接收。
4.防病毒技術(Anti-virusTechnology)
病毒防范是計算機安全中最常見也是最容易被忽視的一環。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施,來最大限度地加強網絡端到端的防病毒架構,再加上防病毒制度與措施,就構成了一套完整的防病毒體系。
當今社會在計算機網絡技術廣泛應用于人們的日常與工作中的同時,信息安全問題也越發突顯化,人們對于信息保護的重視度正在逐漸增強,如果始終無法采取科學有效的防范措施對網絡信息實行全面保障,那么則會帶來極為嚴重的后果。由此可見,加強對網絡信息的安全技術優化及科學防范措施相關問題的分析探究,具有極為重要的意義。
1網絡信息安全技術優化措施
1.1防病毒入侵技術首先需做的是,加強對網絡信息存取的控制度,以此幫助避免違法用戶在進入網絡系統之后,采用篡改口令的方式來實現身份認證。與此同時,還需注意針對用戶類型的不同,對其設置相應的信息存取權限,以免出現越權問題。其次,需注意采用一套安全可靠的殺毒和防木馬軟件,以此實現對網絡病毒和木馬的全面清除,且還可對網絡用戶的具體操作進行監控,從而全面確保網絡進行安全。最后需做的是,針對局域網入口,需進一步加強監控,因為網絡病毒進入計算機系統的主要渠道為局域網。所以需盡可能地采用云終端,盡量減少超級用戶設置,對系統中的重要程序采用只讀設置,以此幫助全面避免病毒入侵。
1.2信息加密技術此項技術主要是指對網絡中的傳輸信息做加密處理,在達到防范目的之后,再對其做解密處理,將其還原為原始信息的一種信息安全技術。在此項技術應用中,可全面確保傳輸文件、信息、口令及數據的安全可靠。此項技術主要的加密方式有:節點加密、鏈路加密及端點加密。其中節點加密主要的保障安全對象為:源節點至目的節點信息。而端點加密主要的保障安全對象為:源端用戶至目的端的信息。鏈路加密主要的保障安全對象為:網絡各節點間的鏈路信息。整個信息加密技術的設計優秀主要為加密算法,可被分為對稱及非對稱的密鑰加密法。
1.3防火墻技術在用戶正式連接至Internet網絡中后,防火墻技術內部會出現一個安全保護屏障,對網絡用戶的所處環境安全性進行檢測及提升,對來源不詳的信息做過濾篩選處理,以此幫助更好地減小網絡運行風險。只有一些符合防火墻策略的網絡信息方可通過防火墻檢驗,以此確保用戶連接網絡時,整個網絡環境的安全性。將防火墻作為重點安全配置,還可對整個網絡系統之內的安全軟件做身份驗證、審查核對處理。整體而言,防火墻技術的應用可以說是計算機系統自帶的有效防護屏障。
1.4訪問控制技術此項技術的應用可對信息系統資源實行全面保護,其主要組成部分為:主體、客體及授權訪問。其中主體是指主動實體,可對客體實行訪問,可為用戶、終端、主機等。而客體即為一個被動實體,客體會受到一定程度上的限制,客體可為字段、記錄、程序、文件等。授權訪問則是指:主體訪問客體的允許。無論是對主體還是客體而言,授權訪問均為給定。訪問控制技術主要分為三種,自主訪問、強制訪問、基于角色訪問。
1.5報文鑒別在面對被動信息安全攻擊時,可采用前文所述的加密技術。而對于主動信息安全攻擊,則需要運用報文鑒別技術。此技術的應用主要是為了對信息數據傳輸中的截獲篡改問題予以妥善解決,科學判定報文完整性。報文鑒別技術的應用全程是:報文發送方在發送報文信息之間,對其做哈希函數計算處理,進而得到一個定長報文摘要,對此摘要做加密處理,并放置于報文尾端,將其與報文一同發送。而接收方在接收到報文之后,對加密摘要做解密處理,并對報文運用哈希函數做運算處理,將所得到的摘要與接收到的解密摘要進行對比。如果兩者信息一致,那么則表明,在報文信息傳輸中,未受到篡改,反之亦然。
2網絡信息安全防范措施
2.1增強管理人員網絡用戶安全意識網絡信息管理人員在日常工作中需注意加強自身的責任與安全意識,積極構建起一個完善化的安全管理體系,對網絡操作做嚴格規范處理,加強安全建設,全面確保網絡安全運行。與此同時,網絡用戶還需注意加強安全意識,依照網絡設置權限,運用正確口令,避免違法入侵者竊取用戶的賬號、密碼信息,進一步加強網絡信息安全設置。
2.2加強網絡監控評估,建立專業管理團隊對于計算機網絡的安全管理,首先需做的便是采用先進化的網絡安全技術,另外需做的便是積極建立起專業化的網絡管理、評估人員。專業網絡信息管理團隊的建立,可幫助有效防范黑客攻擊,監控網絡運行全程,評估是否存在非法攻擊行為,對網絡運行機制做科學健全完善化處理,全面提升網絡安全穩定性。
2.3安全檢查網絡設備網絡管理人員,需注意在日常工作中對各網絡設備做全面安全檢查,積極運用多種新興現代化的軟件工具對計算機網絡端口實行檢查,查看是否存在異常狀況。一旦發現存在任何問題,便需對網絡實行掃描殺毒處理。情況嚴重時,還需對網絡端口做隔離處理。只有逐漸提升網絡設備的安全可靠性,才可有效避免計算機網絡受到外在攻擊,保障用戶安全。
2.4積極更新軟件對計算機軟件做積極更新處理,可幫助全面保障計算機不會受到來自外界網絡的惡意侵襲,信息安全得以受到保護。另外,對計算機軟件做更新處理,則可幫助保障軟件抵抗病毒能力能夠與病毒的日益變化相互適應。與此同時,還需注意的是,需對整個網絡操作系統做實時的更新處理,從而促使計算機軟件始終處于一個最新的操作系統之中,為網絡信息安全提供全面保障。
3結語
在網絡信息技術發展之中,加強對網絡安全問題的關注,才可幫助實現對網絡信息的全面安全防范,更好地保障個體、集體的信息資源,促使網絡信息社會得以健康發展。所以,在今后的網絡安全防范工作中,還需實行更進一步的探索研究,從采用多種安全技術;增強管理人員網絡用戶安全意識;加強網絡監控評估,建立專業管理團隊;安全檢查網絡設備;積極更新軟件等多方面入手,全面保障網絡信息的安全性。
一.一鉆研違景與意義
一、鉆研違景
電子政務是指政府在其管理以及服務職能中運用通訊網絡以及計算機自動化等現代化信息高科技技術與高新理念,超出部門隔離以及時空的制約,促使政府工功課務以及機構組織整合優化,建造公平公正、廉正高效的政府運行模式,到達系統綜合地向社會民眾提供高效優質、相符國際水平的管理與服務[一]。從廣義的角度上說,電子政務其實是1個系統工程,它的內容10分廣泛,國內外有著不同的內容規范。依據我國政府所計劃的項目來看,電子政務主要包含這樣幾個方面:政府間的電子政務(G二G):政府與企業間電子政務(G二B);政府與社會民眾間的電子政務(G二C)。跟著當代政府改革運動的展開以及現代社會信息化的加速,電子政務是信息社會管理發展的1種趨勢,政府是全社會中最大的信息具有者以及最大的信息技術的用戶,有效地應用信息技術,通過樹立1個真正有效的、可伸縮的電子政務系統,可以匡助政府向更為勤政、精簡、廉正以及高效的方向發展。在各國踴躍提倡的“信息高速公路”規劃中,電子政務建設被列在第1位,成為世界各國的關注焦點。許多國家有遠見的政府或者領導人都把施行電子政務作為創立高效政府管理的首要舉措,特別是1些發達國家憑仗其信息技術以及人力資源等方面的優勢,鼎力發展電子政務建設,其目的是要在國際政治、經濟競爭中進1步獲得主導地位。發展中國家只有踴躍吸取他們的經驗教訓,同時結合自己的實際,加大電子政務建設的力度,加快建設高效政府,才能在信息時期發展中迎頭遇上。國家相干部門講演顯示,中國面臨嚴重境外網絡襲擊要挾。
據了解,二0一二年境外約有七. 三萬個木馬或者僵尸網絡節制服務器介入節制中國境內主機,同比增長五六. 九%,節制服務器介入節制中國境內一四一九. 七萬余臺主機;被篡改政府網站一八0二個,同比增長二一. 四%。國家某部門講演顯示,二0一二年中國網絡基礎設施運行整體安穩,但安全形勢不容樂觀。
不完整統計顯示,全年有五0余個網站用戶信息數據庫在互聯網上公然流傳或者通過地下黑色產業鏈進行售賣,其中已經被證實確為真實信息的數據近五000萬條。依據該部門提供的案例顯示,中國網站被境外襲擊10分頻繁,主要體現在兩個方面,1是網站被境外入侵篡改;2是網站被境外入侵并安插后門。中國網站遭遇來自境外的網絡襲擊也10分頻繁。這些受控主機因被黑客遠程操控,1方面會致使用戶計算機上存儲信息被盜取,另外一方面則可能成為黑客借以向別人發動襲擊的跳板。大量遭到集中節制的主機還可能形成僵尸網絡,成為黑客發動大范圍網絡襲擊的工具以及平臺。這些事件若產生在電子政務上,將會給電子政務系統帶來嚴重危害,而電子政務信息安全瓜葛到國家的安全、社會的不亂,觸及到國家與政府的形象,在現代社會電子政務系統盤踞著極為首要的地位,它具有極為i貴的各種資源,如果它被襲擊勝利,后果將不堪假想,所以它極易成為背法犯法份子及各種利益團體的襲擊目標,必然會見對于各種成心無心的損壞、襲擊。電子政務安全問題是電子政務建設中的極為癥結的問題,如果解決不好,必將影響到電子政務的構建。
如何既保障電子政務信息安全的條件下又提高政府部門的辦事質量以及效力成為當今鉆研的熱門問題。電子政務系統樹立在互聯網基礎平臺上,包括政務外網、內網以及門戶網。而互聯網是有良多缺點的全世界網絡,本身的安全風險隱患良多,使在互聯網上幵展的電子政務利用面臨著嚴峻的挑戰。信息安全主要是采用各種措施,保證信息的秘要性、完全性、1致性以及不可否認性等。信息安全技術廣泛利用于電子政務,規范了政務處理的流程,加快了信息活動,提高了政務處理效力,給政務工作方式帶來了全新的變化二、鉆研意義電子政務建設是國家信息化的龍頭工程,是實現政府信息化的主要手腕,已經成為世界性潮流以及全世界化發展趨勢,不管是發達國家、仍是發展中國家為在國際政治經濟競爭中獲得1席之地,都在踴躍推進電子政務建設。
我國的電子政務的建設,將有益于政府建立形象、精簡人員與機構、提高辦事效力、進行迅速有力的科學決策等,對于于國家的經濟繁華以及社會進步有著深遠的意義。電子政務系統的信息安全是指1個國家的政府信息資源不受外來的損害與要挾,信息資源不被故意的或者偶然的非法授權泄露、更改,避免信息被非法入侵者辨識、盜取、節制、應用等。信息安全成為如今政府信息化中的癥結問題。安全問題是電子政務建設中的重中之重。可以說,信息安全在必定意義上觸及到政治、社會、經濟、軍事、文化、生態文明等的安全。信息安全包含:存儲傳輸、系統風險管理、審計跟蹤、備份與恢復、應急響應等方面的安全內容。
總結與瞻望
電子政務系統安全部系的安全建設是1項雄偉的繁雜的系統工程,本文重點鉆研并利用了信息安全技術及其相干理論,融入了管理學、數理幾率理論、法律學、經濟學、計算機網絡技術、密碼學以及安全工程、決策理論以及博弈學、通訊與信息工程學等知識,從多角度對于電子政務系統安全部系進行了設計構建。本文的主要工作包含下列方面:
一、鉆研分析了電子政務系統的安全現狀與安全問題,鉆研了信息安全技術及理論,針對于電子政務系統的安全隱患問題,分析了電子政務系統的安全需求,分析設計了電子政務系統的安全部系。具體設計了它的電子政務安全法律法規、安全基礎裝備與設施、信息安全技術、安全管理、安全應急響應系統5個組成部份。
二、
針對于電子政務的具體的安全問題,利用信息安全技術,安全管理,應急響應等方面的知識理論,分別具體構建了電子政務系統安全部系的5個部份的機制或者措施方案。使患上電子政務系統的安全性患上到了首要保障。
[論文關鍵詞]Web Services 網絡完全 技術
[論文摘要]為了滿足日益增長的需求,人們提出了基于XML的Web服務。它的主要目標是在現有的各種異構平臺的基礎上構建一個通用的與平臺無關、語言無關的技術層,各種平臺上的應用依靠這個技術層來實現彼此的連接和集成,Web Services的優秀技術主要是XML技術、SOAP技術、WSDL及UDDI等。本文對此進行了探討。
1 XML技術
近年來,XML已成為數據表示和數據交換的一種新標準。其基本思想是數據的語義通過數據元素的標記來表達,數據元素之間關系通過簡單的嵌套和引用來表示。若所有web服務器和應用程序將它們的數據以XML編碼并到Internet,則信息可以很快地以一種簡單、可用的格式獲得,信息提供者之間也易于互操作。XML一推出就被廣泛地采用,并且得到越來越多的數據庫及軟件開發商的支持。總體講來,XML具有自描述性、獨立于平臺和應用、半結構化、機器可處理的、可擴展性和廣泛的支持等特點。因此,XML可被廣泛應用于電子商務、不同數據源的集成、數據的多樣顯示等各個方面。XML描述了一個用來定義標記集的方法用于規定一個標記集,填入文本內容后,這些標記和純文本一起構成了一個XML文檔。一個良好的XML文檔必須滿足以下幾條規則:(1)有一致良好定義的結構(2)屬性需用引號引起來:(3)空白區域不能忽略:(4)每個開始標簽必須要有一個與之對應的結束標簽:(5)有且只有一個根元素包含其他所有的結點:(6)元素不能交叉重疊但可以包含:(7)注釋和處理指令不能出現在標簽中:(8)大小寫敏感:(9)關鍵詞“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大寫。為了說明特定的語法規則,XMLDTD(DocumentTypeDefination)采用了一系列正則式。語法分析器(或稱解析器)將這些正則式與XML文件內部的數據模式相匹配,以判別文件是否是有效。一個DTD描述了標記語言的語法和詞匯表,定義了文件的整體結構以及文件的語法。在Internet中,一個最重要的問題是如何實現數據的交互,即客戶端和服務器端雙向數據交流。當前所面對的是一個物理上分散的、異源、異構的數據環境,能方便地從這些數據中取得所需要的信息極為重要。XML滿足這一要求,它可以將各種類型的數據轉換成XML文檔,然后對XML文檔進行處理,之后,再將XML數據轉換為某種方式存儲的數據。XML的數據源多種多樣,但主要分為三種:第一種為本身是純文本的XML文檔、TXT文件、DAT文件等第二種來自于數據庫,如關系數據庫、對象數據庫等:第三種是其它的帶有一定格式的應用數據,如郵件、圖表、清單等。針對不同的數據源可以采用不同的技術進行轉換。純文本文檔是最基本也是最簡單的,它將數據存儲于文本文件中,可以直接方便地讀取數據。另外,XML文檔也可以加上CSS、XSL等樣式信息在瀏覽器中顯示,或者通過DOM、SAX編程接口同其它應用相關聯。第二種來源主要利用現有的比較成功的數據庫資源,是對第一種資源的擴展,可以利用數據庫管理系統對數據進行管理,并用服務器編程語言對數據進行動態存取,來實現各種動態應用。第三種數據源的轉換可以利用微軟提出的基于OLEDB的解決方案,從數據源直接導出XML文檔。
2 SOAP技術
SOAP(simple ObjectAcCess PrOtOCO1,簡單對象訪問協議)是由Microsoft、IBM等共同提出的規范,目的是實現大量異構程序和平臺之間的互操作,從而使存在的應用程序能夠被用戶訪問。W3C的SOAP規范主要由SOAP封裝、SOAP編碼規則、SOAPRPC表示及SOAP綁定四方面的內容組成:(1)SOAP封裝(SOAPEnvelop):構造了一個整體的SOAP消息表示框架,可用于表示消息的內容是什么、誰發送的、誰應當接收并處理它,以及處理操作是可選的還是必須的。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)。消息體部分總是用于最終接收的消息,頭部可以確定執行中間處理的目標節點。附件、二進制數字及其他項目均可以附加到消息體上。(2)SOAP編碼規則(SOAPEncodingRules):定義了一個數據編碼機制,通過這樣一個編碼機制來定義應用程序中需要使用的數據類型,并可用于交換由這些應用程序定義的數據類型所衍生的實例。(3)S0AP RPC表示(S0AP RPcRepresentation):定義了一個用于表示遠程過程調用和響應的約定與HTTP相似,RPC使用請求/響應模型交換信息。使用SOAP調用遠程方法的主要工作就是構造SOAP消息。SOAP請求消息代表方法調用,被發送給遠程服務器,5OAP響應消息代表調用結果,返回給方法的調用者。(4)SOAP綁定(sOAPBinding):定義了一個使用底層協議來完成在節點間交換SOAP消息的機制。SOAP消息的傳輸依靠底層的傳輸協議,與傳輸層的協議都能進行綁定。SOAP采用了已經廣泛使用的兩個協議:HTTP和XML。HTTP用于實現SOAP的RPC風格的傳輸,而XML是它的編碼模式。SOAP通訊協議使用HTTP來發送x扎格式的消息。HTTP與RPC的協議很相似,它簡單、配置廣泛,并且對防火墻比其它協議更容易發揮作用。HTTP請求一般由Web服務器來處理,但越來越多的應用服務器產品正在支持HTTP XML作為一個更好的網絡數據表達方式,SOAP把XML的使用代碼轉化為請求/響應參數編碼模式,并用HTTP作傳輸。具體的講,一個SOAP方法可以簡單地看作遵循SOAP編碼規則的HTTP請求和響應。一個SOAP終端則可以看作一個基于HTTP的URL,它用來識別方法調用的目標。SOAP不需要將具體的對象綁定到一個給定的終端,而是由具體實現程序來決定怎樣把對象終端標識符映像到服務器端的對象。
3 WSDL與UDDI技術
WSDL(WebServicesDescriptionLanguage,web服務描述語言)基于Ⅺ旺,將Web服務描述為一組對消息進行操作的服務訪問點它抽象描述了操作和消息,并綁定到一個具體的網絡協議和消息格式,定義了具體實施的服務訪問點。WSDL包含服務接口定義和服務實現定義,服務接口是Web服務的抽象定義,包括類型、消息和端口類型等。服務實現定義描述了服務提供者如何實現特定的服務接口,包括服務定義和端口定義幾乎所有在因特網上的Web服務都配有相關的WSDL文檔,其中列舉了該服務的功能,說明了服務在Web上的位置,并提供了使用它的命令。WSDL文檔定義了Web服務功能發送和接收的消息種類,并規定了調用程序必須提供給Web服務的數據,以便該服務能夠執行其任務。WSDL文檔還提供了一些特定的技術信息,告訴應用程序如何通過HTTP或其他通信協議與Web服務進行連接和通信。用戶想使用服務提供者所提供的服務,必須首先找到這個服務。UDDI(UniversalDescrip—ti012DiseoveryIntegration,統一描述發現集成)提供了一種、查找服務的方法,使得服務請求者可以在Internet巨大的信息空間中快速、方便地發現要調用的服務,并完成服務間的集成。UDDI是一個基于SOAP協議的、為Web服務提供信息注冊中心的實現標準。同時也包含一組提供Web服務注冊、發現和調用的訪問協議。UDDI通過XML格式的目錄條目將Web服務注冊在UDDI中心的公共注冊表內供其它用戶查詢和使用。UDDI目錄條目包括三個部分:白頁、黃頁和綠頁。白頁提供一般信息,即Web服務的URL和提供者的名稱、地址、聯系方式等基本信息:黃頁提供基于標準分類法的相關產業、產品或提供服務類型以及地域等的分類信息:綠頁提供技術信息,它詳細介紹了訪問服務的接口,以便用戶能夠編寫應用程序以使用Web服務,這是發現潛在Web服務的關鍵。同時,UDDI提供了基于XML的輕量級的數據描述和存儲方式,服務的定義是通過一個稱為類型模型的UDDI文檔來完成的。UDDI本身就是一個Web服務,它通過一組基于SOAP的UDDI的API函數進行訪問。其中查詢API用來查詢定位商業實體、服務、綁定等信息。API被用來在注冊中心或者取消服務。
摘要:電子商務(Electronic Commerce)是90年代初期在美國等發達國家興起的一種新的企業經營方式,它是一種通過網絡技術的應用,快速而有效地進行各種商務活動的全新方法。
關鍵詞:電子商務;信息;安全
電子商務(Electronic Commerce)是90年代初期在美國等發達國家興起的一種新的企業經營方式,它是一種通過網絡技術的應用,快速而有效地進行各種商務活動的全新方法。傳統的電子商務指人們通過計算機及計算機專用網絡進行商貿活動,例如電子資金轉帳、遠程購物、電子合同、電子化海關進出口報關、電子化稅務申報等等。如今, 電子商務的范圍更加廣泛。基于因特網上的電子商務不僅指基于Internet網上的交易,而且指所有利用Internet、Intranet技術來解決問題、降低成本、增加價值并創造新的商機的所有商務活動,包括從銷售到市場運作以及信息管理籌備各個方面。因此,電子商務的對商業的影響越來越大。
然而,隨著Internet的高速發展,其開放性、國際性和自由性在增加應用自由度的同時,也使安全成為一個日益重要的問題。這主要表現在:開放性的網絡,導致網絡的技術是全開放的,因而網絡所面臨的破壞和攻擊也是多方面的,如何保護企業和個人的信息不被非法獲取、盜用、篡改和破壞,已成為所有Internet參與者共同關心的重要問題。企業與消費者對電子交易安全的擔憂已嚴重阻礙了電子商務的發展,為了消除這些顧慮,必須保證企業與消費者在進行電子商務時雙方的利益不受侵害。
按照安全策略的要求及風險分析的結果,電子商務中的信息安全系統由以下幾個方面組成: 物理安全、網絡安全、信息安全。
物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。
網絡安全可以分成三類:系統安全,指主機和服務器的安全,主要包括反病毒、系統安全檢測、入侵檢測(監控) 和審計分析;網絡運行安全,是指系統要具備必須的針對突發事件的應急措施,如數據的備份和恢復等等;局域網或子網的安全主要是訪問控制和網絡安全檢測的問題。特別說明,各種黑客與防火墻主要屬于網絡安全的相關范疇。
信息安全涉及到信息傳輸的安全、信息存儲的安全以及對網絡傳輸信息內容的審計三方面,當然也包括對用戶的鑒別和授權。這里主要對信息安全技術進行概括介紹。
在信息安全涉及到的幾個方面中,為保障數據傳輸的安全,需采用數據傳輸加密技術、數據完整性鑒別技術;由于網絡的開放性,為避免數據被截獲,泄漏機密信息,重要的信息、文件等數據在網絡上進行傳輸時都要按照一定算法進行加密。目前,主要的加密技術分為兩類,即對稱加密和非對稱加密。對稱密鑰加密,又稱私鑰加密,即信息的發送方和接收方用一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合于對大數據量進行加密,但密鑰管理困難。非對稱密鑰加密系統,又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作,一個公開,即公開密鑰,另一個由用戶自己秘密保存,即私用密鑰。信息發送者用公開密鑰去加密,而信息接收者則用私用密鑰去解密。公鑰機制靈活,但加密和解密速度卻比對稱密鑰加密慢得多。數據完整性鑒別技術是確保信息完整性,采用的方法大多是收錯重傳、丟棄后續包的辦法,主要有報文鑒別、校驗和、消息完整性編碼MIC(Message Integrity Code)。
為保證信息存儲的安全,須保障數據庫安全和終端安全;計算機信息系統中存儲的信息主要包括純粹的數據信息和各種功能文件信息兩大類。對純粹數據信息的安全保護,以數據庫信息的保護最為典型。而對各種功能文件的保護,終端安全很重要。
信息內容審計,則是實時對進出內部網絡的信息進行內容審計,以防止或追查可能的泄密行為(為了滿足國家保密法的要求,在某些重要或涉密網絡,應該安裝使用此系統)。
對用戶的鑒別是對網絡中的主體進行驗證的過程,通常有三種方法驗證主體身份。一是只有該主體了解的秘密,如口令、密鑰;二是主體攜帶的物品,如智能卡和令牌卡;三是只有該主體具有的獨一無二的特征或能力,如指紋、聲音、視網膜或簽字等。
保護信息安全所采用的手段也稱做安全機制。所有的安全機制都是針對某些安全攻擊威脅而設計的,可以按不同的方式單獨或組合使用。合理地使用安全機制會在有限的投入下最大地降低安全風險。
網絡中所采用的安全機制主要有:
1.加密和隱藏機制:加密使信息改變,攻擊者無法讀懂信息的內容從而保護信息;而隱藏則是將有用的信息隱藏在其他信息中,使攻擊者無法發現,不僅實現了信息的保密,也保護了通信本身。
2.認證機制:網絡安全的基本機制,網絡設備之間應互相認證對方身份,以保證正確的操作權力賦予和數據的存取控制。網絡也必須認證用戶的身份,以保證正確的用戶進行正確的操作并進行正確的審計。 目前,數字證書認證機制在電子商務中的網上銀行、網上證券、網上繳稅、網上保險、網上購物、網上貿易、網上招投標、電子商務交易平臺、安全電子郵件、期貨交易和網上票務等B2B、B2C安全管理業務以及電子政務等各種領域得到了廣泛的應用。數字證書是為了防止不法分子詐騙采用的強身份鑒別技術。可以避免密碼或口令容易泄露或被攻破的缺點。
3.審計:防止內部犯罪和事故后調查取證的基礎,通過對一些重要的事件進行記錄,從而在系統發現錯誤或受到攻擊時能定位錯誤和找到攻擊成功的原因。審計信息應具有防止非法刪除和修改的措施。加強制度和崗位以及內外的審計是非常重要的
4.權力控制和存取控制: 主機系統根據需要賦予不同的用戶不同的執行權利。嚴格控制用戶不能越權操作。
5.完整性保護: 用于防止非法篡改,利用密碼理論的完整性保護能夠很好地對付非法篡改。完整性的另一用途是提供不可抵賴服務,當信息源的完整性可以被驗證卻無法模仿時,收到信息的一方可以認定信息的發送者,數字簽名就可以提供這種手段。
6.業務填充
無業務時發送干擾數據,即發送無用的隨機數據。減少攻擊者通過通信流量獲得信息。增加密碼通信的破譯難度。
以上簡要的介紹了電子商務中的信息安全技術及信息安全機制。電子商務正以其低成本、高效率、高質量正逐步被廣大企業所接受。而電子商務的安全性問題一直是電子商務令人擔心的方面和關注的焦點,也將成為電子商務全面推廣的主要障礙。因此我們要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性,促進電子商務的蓬勃發展。
[論文關鍵詞]信息安全技術 電子政務系統 網絡安全
[論文摘要]應用信息安全技術提高電子政務系統的安全性是一個迫切需要解決的問題。本文首先剖析了電子政務系統信息安全方面存在的問題,其次研究了信息安全技術在電子政務系統中的應用,涉及到安全區域的有效劃分、重要信息的有效控制以及系統VPN的臺理設計等等,在一定程度上保證了電子政務系統的安全。
1引言
電子政務是提升一個國家或地區特別是城市綜合競爭力的重要因素之一,電子政務系統中有眾多的政府公文在流轉,其中不乏重要情報,有的甚至涉及國家安全,這些信息通過網絡傳送時不能被竊聽、泄密、篡改和偽造。如果電子政務網絡安全得不到保障,電子政務的便利與效率便無從保證,對國家利益將帶來嚴重威脅。因此,研究信息安全技術及其在電子政務系統中的應用具有重要的現實意義。
2電子政務系統信息安全存在的問題剖析
2.1網絡安全方面的問題
電子政務網在建網初期都是按照雙網模式來進行規劃與建設,即電子政務內網和外網,內網作為信息內部信息和公文傳輸平臺,開通政府系統的一些日常業務,外網通過路由匯聚加防火墻過濾接入主要向公眾一些公共服務信息和政府互動平臺。雙網實現了物理隔離,建網初期往往只看重網絡帶來的便利與高效,但是并沒有同步充分考慮安全問題,也沒有對互聯網平臺的潛在安全威脅進行過全面綜合的風險評估,網絡安全建設嚴重滯后。網絡安全方面的問題主要涉及到以下幾個方面:
(1)來自內部的惡意攻擊這種攻擊往往帶有惡作劇的形式,雖然不會給信息安全帶來什么大的危害,但對本單位正常的數據業務和敏感數據還是會帶來一定的威脅。
(2)移動存儲介質的交叉使用,對于電子內網PC來講,把上互聯網的PC上使用過的u盤,移動硬盤都不能在政務內網上使用。U盤病毒和“擺渡”間諜特馬會把內網中的保密信息和敏感數據帶到互聯網上,回傳給木馬的制作者。并且,這種病毒還會在內網上傳播,消耗系統資源,降低平臺的新能,影響政務內網各種業務的正常流轉。
(3)內網的身份認證和權限管理問題。防止內網一般用戶越權管理數據庫,服務器,和高權限的數據平臺。
(4)內網中使用的帶存儲芯片的打印復印設備離開現場返公司維修問題。
(5)政務內網中使用的各種損壞移動存儲介質的管理銷毀問題。
以上各個網絡環節管理不好都會給信息安全帶來潛在的隱患,會造成國家重要機密的泄密。
2.2信息安全管理方面的問題
有些政府單位存在只重技術,不重管理的現象,沒有認識到人是信息安全的關鍵,管理正是把人和技術結合起來,充分發揮安全技術保障能力的紐帶。總體上說,我國網絡安全管理與保衛工作是滯后的。許多部門內部沒有從管理制度、人員和技術上建立相應的安全防范機制,缺乏行之有效的安全檢查保護措施。內部人員擁有系統的一定的訪問權限,可以輕易地繞過許多訪問控制機制不少網絡維護使用人員缺乏必要的網絡安全意識和知識,有的不遵守安全保密規定,將內網直接或間接地與因特網連接,有的安全設施設備的配置不合理,訪問控制不夠嚴格,這些問題的存在直接帶來了安全隱患。
3電子政務系統中的信息安全技術的應用掇討
通常情況下,政務網建設將市、區縣政務網連接在一起。為政府的內部辦公和對外服務提供了極大的便利。本節針對以上提到的各種安全問題,探討安全技術在政務系統中的具體應用。
3.1安全區域的有效劃分
根據安全策略需要,安全域可以包括多級子域,相互關聯的安全域也可以組成邏輯域。
電子政務網絡域:網絡基礎設施層及其上層的安全保護功能的實現應由接入政務專網的用戶系統負責實現。
電子政務業務處理域:電子政務業務處理域(簡稱“業務處理域”)包括那些在政務部門管理控制之下,用來承載電子政務業務系統的本地計算環境及其邊界,以及電子政務信息系統的內部用戶。業務處理域內主要包含相應政務部門的政務內網域、政務外網域和公眾服務域,有些政務部門還有內部自成體系的獨立業務域。每個子域都對應的本地計算環境和邊界。政務內網域與政務外網域物理隔離,政務外網域與公眾服務域邏輯隔離。
電子政務基礎服務域:電子政務基礎服務域主要包括為電子政務系統提供服務的信息安全基礎設施信息安全基礎設旌有:電子政務數字證書中心、信息安全測評中心、信息安全應急響應中心以及遠程災備中心等。
3.2重要信息的有效控制
電子政務系統的數據控制主要目的是阻止攻擊者利用政務系統的管理主機作為跳板去攻擊別的機器,但是只是盡量的減少,而不是杜絕這種行為。當然,針對政務內部網絡任何的掃描、探測和連接管理主機是允許的,但是對從主機出去的掃描、探測、連接,網絡安全系統卻必須有條件的放行,如果發現出去的數據包有異常,那系統管理員必須加以制止。數據控制示意圖如圖3—1所示:
本文研究的政務系統的數據控制使用兩層來進行數據控制:防火墻和信息檢測系統(IDS)。
防火墻為了防止政務系統的管理主機被作為跳板攻擊其它正常系統。我們必須對管理主機的外連接數進行控制,如只允許在一定的時一間內發送一定數量的數據包。防火墻的主要功能是:設定單向地址攔截或雙向地址攔截,在單向地址攔截時,~方到另一方的資料訪問被禁止,但反向的數據訪問依然能正常進行,不會受到影響;采用先進的狀態監測數據包過濾技術,不僅僅是依靠單個的IP包來過濾,而是對每一個對話和連接進行分析和監控,在系統中自動維護其當前狀態,根據連接的狀態來對IP包進行高效快速安全過濾;對管理主機的外出連接進行控制。當外出連接達到一定數量時,阻斷以后的連接,防止管理主機被攻擊者攻破后用來作為發起攻擊的“跳板對所有出入系統的連接進行日志記錄。
3.3系統VPN的合理設計
使用VPN,可以在電子政務系統所連接不同的政府部門之間建虛擬隧道,使得兩個政務網之間的相互訪問就像在一個專用網絡中一樣。使用lrPN,可以使政務網用戶在外網就象在內網一樣的訪問政務專用網的資源。使用VPN,也可以實現政務網內特殊管理的需要。VPN的建立有三種方式:一種是Internet服務商(ISP)建設,對企業透明;第二種是政府部門自身建設,對ISP透明;第三種是ISP和政府部門共同建設。
在政務網的基礎上建立VPN,第二種方案比較合適,即政府部門自身建設,對ISP透明。因為政務網是地理范圍在政務網內的計算機網絡,它有運行于Internet的公網IP地址,有自己的路由設備,有自己的網絡管理和維護機構,對政務網絡有很強的自主管理權和技術支持。所以,在政務網基礎上建立VPN,完全可以不依賴于ISP,政府部門自身進行建設。這樣可以有更大的自主性,也可以節省經費。
3.4其他信息安全技術的使用
此外,電子政務系統的安全性可以采用如下的措施加以保證:控制對網絡設備的SNEP和telnet,在所有的骨干路由器上建立accesslist只對網管中心的地址段做permit,即通過網管中心的主機才能遠程維護各骨干路由設備路由協議在不安全的端口上進行Passive防止不必要的路由泄露;將所有重要事件進行紀錄通過日志輸出:采用防火墻設備對政務局域網進行保護。
結語
總之,本文對基于互聯網的電子政務系統存在的安全問題進行了深入的分析,在綜合考慮成本和安全保障水平的基礎上,運用信息安全技術,構建了一體化分防護安全保障體系。
論文關鍵詞:電子商務 密碼技術 安全協議
論文摘要:文章主要針對在電子商務應用中所經常使用到的幾種信息安全技術作了系統的闡述,分析了各種技術在應用中的側重點,強調了在電子商務應用中信息安全技術所具有的重要作用。
21世紀是知識經濟時代,網絡化、信息化是現代社會的一個重要特征。隨著網絡的不斷普及,電子商務這種商務活動新模式已經逐漸改變了人們的經濟、工作和生活方式,可是,電子商務的安全問題依然是制約人們進行電子商務交易的最大問題,因此,安全問題是電子商務的優秀問題,是實現和保證電子商務順利進行的關鍵所在。
信息安全技術在電子商務應用中,最主要的是防止信息的完整性、保密性與可用性遭到破壞;主要使用到的有密碼技術、信息認證和訪問控制技術、防火墻技術等。
1密碼技術
密碼是信息安全的基礎,現代密碼學不僅用于解決信息的保密性,而且也用于解決信息的保密性、完整性和不可抵賴性等,密碼技術是保護信息傳輸的最有效的手段。密碼技術分類有多種標準,若以密鑰為分類標準,可將密碼系統分為對稱密碼體制(私鑰密碼體制)和非對稱密碼體制(公鑰密碼體制),他們的區別在于密鑰的類型不同。
在對稱密碼體制下,加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經過安全的密鑰通道,由發送方傳輸到接收方。比較著名的對稱密鑰系統有美國的DES,歐洲的IDEA,Et本的RC4,RC5等。在非對稱密碼體制下加密密鑰與解密密鑰不同,加密密鑰公開而解密密鑰保密,并且幾乎不可能由加密密鑰導出解密密鑰,也無須安全信道傳輸密鑰,只需利用本地密鑰的發生器產生解密密鑰。比較著名的公鑰密鑰系統有RSA密碼系統、橢圓曲線密碼系統ECC等。
數字簽名是一項專門的技術,也是實現電子交易安全的優秀技術之一,在實現身份認證、數據完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務等領域有重要的應用價值。數字簽名的實現基礎是加密技術,它使用的是公鑰加密算法與散列函數一個數字簽名的方案一般有兩部分組成:數字簽名算法和驗證算法。數字簽名主要的功能是保證信息傳輸的完整性、發送者身份的驗證、防止交易中抵賴的發生。
2信息認證和訪問控制技術
信息認證技術是網絡信息安全技術的一個重要方面,用于保證通信雙方的不可抵賴性和信息的完整性。在網絡銀行、電子商務應用中,交易雙方應當能夠確認是對方發送或接收了這些信息,同時接收方還能確認接收的信息是完整的,即在通信過程中沒有被修改或替換。
①基于私鑰密碼體制的認證。假設通信雙方為A和B。A,B共享的密鑰為KAB,M為A發送給B的信息。為防止信息M在傳輸信道被竊聽,A將M加密后再傳送,如圖1所示
由于KAB為用戶A和B的共享密鑰,所以用戶B可以確定信息M是由用戶A所發出的,這種方法可以對信息來源進行認證,它在認證的同時對信息M也進行了加密,但是缺點是不能提供信息完整性的鑒別。通過引入單向HASH函數,可以解決信息完整性的鑒別問題,如圖2所示
在圖2中,用戶A首先對信息M求HASH值H(M),之后將H(M)加密成為m,然后將m。和M一起發送給B,用戶B通過解密ml并對附于信息M之后的HASH值進行比較,比較兩者是否一致。圖2給出的信息認證方案可以實現信息來源和完整性的認證。基于私鑰的信息認證的機制的優點是速度較快,缺點是通信雙方A和B需要事先約定共享密鑰KAB。
②基于公鑰體制的信息認證。基于公鑰體制的信息認證技術主要利用數字簽名和哈希函數來實現。假設用戶A對信息M的HASH值H(M)的簽名為SA(dA,H(m),其中dA為用戶A的私鑰),用戶A將M//SA發送給用戶B,用戶B通過A的公鑰在確認信息是否由A發出,并通過計算HSAH值來對信息M進行完整性鑒別。如果傳輸的信息需要報名,則用戶A和B可通過密鑰分配中心獲得一個共享密鑰KAB,A將信息簽名和加密后再傳送給B,如圖3所示。由圖3可知,只有用戶A和B擁有共享密鑰KAB,B才能確信信息來源的可靠性和完整性。
訪問控制是通過一個參考監視器來進行的,當用戶
對系統內目標進行訪問時,參考監視器邊查看授權數據庫,以確定準備進行操作的用戶是否確實得到了可進行此項操作的許可。而數據庫的授權則是一個安全管理器負責管理和維護的,管理器以阻止的安全策略為基準來設置這些授權。
③防火墻技術。防火墻是目前用得最廣泛的一種安全技術,是一種由計算機硬件和軟件的組合。它使互聯網與內部網之間建立起一個安全網關,可以過濾進出網絡的數據包、管理進出網絡的訪問行為、對某些禁止的訪問行為、記錄通過防火墻的信息內容和活動及對網絡攻擊進行檢測和告警等。防火墻的應用可以有效的減少黑客的入侵及攻擊,它限制外部對系統資源的非授權訪問,也限制內部對外部的非授權訪問,同時還限制內部系統之間,特別是安全級別低的系統對安全級別高的系統的非授權訪問,為電子商務的施展提供一個相對更安全的平臺,具體表現如下:
①防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置,能將所有安全軟件配置在防火墻上。與將網絡安全問題分散到各個主機上相比,防火墻的集中安全管理更經濟。例如在網絡訪問時,一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上,而集中在防火墻身上。
②對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻,那么,防火墻就能記錄下這些訪問并作日志記錄,同時也能提供網絡使用情況的統計數據。當發生可疑動作時,防火墻能進行適當的報警,并提供網絡是否受到監測和攻擊的詳細信息。另外,收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊,并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。
③防止內部信息的外泄。通過利用防火墻對內部網絡的劃分,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者,隱私是內部網絡非常關心的問題,一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣,甚至因此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger,DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名,最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度,這個系統是否有用戶正在連線上網,這個系統是否在被攻擊時引起注意等等。
防火墻可以同樣阻塞有關內部網絡中的DNS信息,這樣臺主機的域名和IP地址就不會被外界所了解。
④網絡安全協議。網絡協議是網絡上所有設備之間通信規則的集合。在網絡的各層中存在著許多協議,網絡安全協議就是在協議中采用了加密技術、認證技術等保證信息安全交換的安全網絡協議。目前,Intemet上對七層網絡模型的每一層都已提出了相應的加密協議,在所有的這些協議中,會話層的SSL和應用層的SET與電子商務的應用關系最為密切。
①ssL協議(SecureSocketsLayer)安全套接層協議。SSL使用對稱加密來保證通信保密性,使用消息認證碼(MAC)來保證數據完整性。SSL主要使用PKI在建立連接時對通信雙方進行身份認證。SSL協議主要是使用公開密鑰體制和X.509數字證書技術保護信息傳輸的機密性和完整性。它主要適用于點對點之間的信息傳輸,提供基于客戶/服務器模式的安全標準,它在傳輸層和應用層之間嵌入一個子層,在建立連接過程中采用公開密鑰,在會話過程中使用私人密鑰。加密的類型和強度則在兩端之間建立連接的過程中判斷決定。
SSL安全協議是國際上最早應用于電子商務的一種網絡安全協議,至今仍然有很多網上商店使用。在傳統的郵購活動中,客戶首先尋找商品信息,然后匯款給商家,商家將商品寄給客戶。這里,商家是可以信賴的,所以客戶先付款給商家。在電子商務的開始階段,商家也是擔心客戶購買后不付款,或使用過期的信用卡,因而希望銀行給予認證。SSL安全協議正是在這種背景下產生的。所以,它運行的基點是商家對客戶信息保密的承諾。顯然,SSL協議無法完全協調各方間的安全傳輸和信任關系。
②SET協議SecureElectronicTransaction)安全電子交易。為了克服SSL安全協議的缺點,實現更加完善的即時電子支付,SET協議應運而生。
SET協議采用了雙重簽名技術對SET交易過程中消費者的支付信息和訂單信息分別簽名,使得商家看不到支付信息,只能接收用戶的訂單信息;而金融機構看不到交易內容,只能接收到用戶支付信息和賬戶信息,從而充分保證了消費者帳戶和定購信息的安全性。SET協議的重點就是確保商家和客戶的身份認證和交易行為的不可否認性,其理論基礎就是不可否認機制,采用的優秀技術包括X.509電子證書標準,數字簽名,報文摘要,雙重簽名等技術。SET協議使用數字證書對交易各方的合法性進行驗證,通過數字證書的驗證,可以確保交易中的商家和客戶都是合法的、可信賴的。
信息安全技術在電子商務中的應用非常廣泛,并且起到了尤其重要的作用。
[論文關鍵詞]Web Services 網絡完全 技術
[論文摘要]為了滿足日益增長的需求,人們提出了基于XML的Web服務。它的主要目標是在現有的各種異構平臺的基礎上構建一個通用的與平臺無關、語言無關的技術層,各種平臺上的應用依靠這個技術層來實現彼此的連接和集成,Web Services的優秀技術主要是XML技術、SOAP技術、WSDL及UDDI等。本文對此進行了探討。
1 XML技術
近年來,XML已成為數據表示和數據交換的一種新標準。其基本思想是數據的語義通過數據元素的標記來表達,數據元素之間關系通過簡單的嵌套和引用來表示。若所有web服務器和應用程序將它們的數據以XML編碼并到Internet,則信息可以很快地以一種簡單、可用的格式獲得,信息提供者之間也易于互操作。XML一推出就被廣泛地采用,并且得到越來越多的數據庫及軟件開發商的支持。總體講來,XML具有自描述性、獨立于平臺和應用、半結構化、機器可處理的、可擴展性和廣泛的支持等特點。因此,XML可被廣泛應用于電子商務、不同數據源的集成、數據的多樣顯示等各個方面。XML描述了一個用來定義標記集的方法用于規定一個標記集,填入文本內容后,這些標記和純文本一起構成了一個XML文檔。一個良好的XML文檔必須滿足以下幾條規則:(1)有一致良好定義的結構(2)屬性需用引號引起來:(3)空白區域不能忽略:(4)每個開始標簽必須要有一個與之對應的結束標簽:(5)有且只有一個根元素包含其他所有的結點:(6)元素不能交叉重疊但可以包含:(7)注釋和處理指令不能出現在標簽中:(8)大小寫敏感:(9)關鍵詞“D0CTYPE”、“ELEMENT”、“ATTRIBUTE”和“ENTITY”要大寫。為了說明特定的語法規則,XMLDTD(DocumentTypeDefination)采用了一系列正則式。語法分析器(或稱解析器)將這些正則式與XML文件內部的數據模式相匹配,以判別文件是否是有效。一個DTD描述了標記語言的語法和詞匯表,定義了文件的整體結構以及文件的語法。在Internet中,一個最重要的問題是如何實現數據的交互,即客戶端和服務器端雙向數據交流。當前所面對的是一個物理上分散的、異源、異構的數據環境,能方便地從這些數據中取得所需要的信息極為重要。XML滿足這一要求,它可以將各種類型的數據轉換成XML文檔,然后對XML文檔進行處理,之后,再將XML數據轉換為某種方式存儲的數據。XML的數據源多種多樣,但主要分為三種:第一種為本身是純文本的XML文檔、TXT文件、DAT文件等第二種來自于數據庫,如關系數據庫、對象數據庫等:第三種是其它的帶有一定格式的應用數據,如郵件、圖表、清單等。針對不同的數據源可以采用不同的技術進行轉換。純文本文檔是最基本也是最簡單的,它將數據存儲于文本文件中,可以直接方便地讀取數據。另外,XML文檔也可以加上CSS、XSL等樣式信息在瀏覽器中顯示,或者通過DOM、SAX編程接口同其它應用相關聯。第二種來源主要利用現有的比較成功的數據庫資源,是對第一種資源的擴展,可以利用數據庫管理系統對數據進行管理,并用服務器編程語言對數據進行動態存取,來實現各種動態應用。第三種數據源的轉換可以利用微軟提出的基于OLEDB的解決方案,從數據源直接導出XML文檔。
2 SOAP技術
SOAP(simple ObjectAcCess PrOtOCO1,簡單對象訪問協議)是由Microsoft、IBM等共同提出的規范,目的是實現大量異構程序和平臺之間的互操作,從而使存在的應用程序能夠被用戶訪問。W3C的SOAP規范主要由SOAP封裝、SOAP編碼規則、SOAPRPC表示及SOAP綁定四方面的內容組成:(1)SOAP封裝(SOAPEnvelop):構造了一個整體的SOAP消息表示框架,可用于表示消息的內容是什么、誰發送的、誰應當接收并處理它,以及處理操作是可選的還是必須的。信封包含了S0AP消息頭部(可選)和SOAP消息體(必須)。消息體部分總是用于最終接收的消息,頭部可以確定執行中間處理的目標節點。附件、二進制數字及其他項目均可以附加到消息體上。(2)SOAP編碼規則(SOAPEncodingRules):定義了一個數據編碼機制,通過這樣一個編碼機制來定義應用程序中需要使用的數據類型,并可用于交換由這些應用程序定義的數據類型所衍生的實例。(3)S0AP RPC表示(S0AP RPcRepresentation):定義了一個用于表示遠程過程調用和響應的約定與HTTP相似,RPC使用請求/響應模型交換信息。使用SOAP調用遠程方法的主要工作就是構造SOAP消息。SOAP請求消息代表方法調用,被發送給遠程服務器,5OAP響應消息代表調用結果,返回給方法的調用者。(4)SOAP綁定(sOAPBinding):定義了一個使用底層協議來完成在節點間交換SOAP消息的機制。SOAP消息的傳輸依靠底層的傳輸協議,與傳輸層的協議都能進行綁定。SOAP采用了已經廣泛使用的兩個協議:HTTP和XML。HTTP用于實現SOAP的RPC風格的傳輸,而XML是它的編碼模式。SOAP通訊協議使用HTTP來發送x扎格式的消息。HTTP與RPC的協議很相似,它簡單、配置廣泛,并且對防火墻比其它協議更容易發揮作用。HTTP請求一般由Web服務器來處理,但越來越多的應用服務器產品正在支持HTTP XML作為一個更好的網絡數據表達方式,SOAP把XML的使用代碼轉化為請求/響應參數編碼模式,并用HTTP作傳輸。具體的講,一個SOAP方法可以簡單地看作遵循SOAP編碼規則的HTTP請求和響應。一個SOAP終端則可以看作一個基于HTTP的URL,它用來識別方法調用的目標。SOAP不需要將具體的對象綁定到一個給定的終端,而是由具體實現程序來決定怎樣把對象終端標識符映像到服務器端的對象。
3 WSDL與UDDI技術
WSDL(WebServicesDescriptionLanguage,web服務描述語言)基于Ⅺ旺,將Web服務描述為一組對消息進行操作的服務訪問點它抽象描述了操作和消息,并綁定到一個具體的網絡協議和消息格式,定義了具體實施的服務訪問點。WSDL包含服務接口定義和服務實現定義,服務接口是Web服務的抽象定義,包括類型、消息和端口類型等。服務實現定義描述了服務提供者如何實現特定的服務接口,包括服務定義和端口定義幾乎所有在因特網上的Web服務都配有相關的WSDL文檔,其中列舉了該服務的功能,說明了服務在Web上的位置,并提供了使用它的命令。WSDL文檔定義了Web服務功能發送和接收的消息種類,并規定了調用程序必須提供給Web服務的數據,以便該服務能夠執行其任務。WSDL文檔還提供了一些特定的技術信息,告訴應用程序如何通過HTTP或其他通信協議與Web服務進行連接和通信。用戶想使用服務提供者所提供的服務,必須首先找到這個服務。UDDI(UniversalDescrip—ti012DiseoveryIntegration,統一描述發現集成)提供了一種、查找服務的方法,使得服務請求者可以在Internet巨大的信息空間中快速、方便地發現要調用的服務,并完成服務間的集成。UDDI是一個基于SOAP協議的、為Web服務提供信息注冊中心的實現標準。同時也包含一組提供Web服務注冊、發現和調用的訪問協議。UDDI通過XML格式的目錄條目將Web服務注冊在UDDI中心的公共注冊表內供其它用戶查詢和使用。UDDI目錄條目包括三個部分:白頁、黃頁和綠頁。白頁提供一般信息,即Web服務的URL和提供者的名稱、地址、聯系方式等基本信息:黃頁提供基于標準分類法的相關產業、產品或提供服務類型以及地域等的分類信息:綠頁提供技術信息,它詳細介紹了訪問服務的接口,以便用戶能夠編寫應用程序以使用Web服務,這是發現潛在Web服務的關鍵。同時,UDDI提供了基于XML的輕量級的數據描述和存儲方式,服務的定義是通過一個稱為類型模型的UDDI文檔來完成的。UDDI本身就是一個Web服務,它通過一組基于SOAP的UDDI的API函數進行訪問。其中查詢API用來查詢定位商業實體、服務、綁定等信息。API被用來在注冊中心或者取消服務。
