（计算机应用技术专业论文）电子商务的网络安全体系设计.pdf

独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得墨洼盘堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 靴敝储戳：李辞辩醐哆卯”月2 日 学位论文版权使用授权书 本学位论文作者完全了解鑫壅盘茎有关保留、使用学位论文的规定。 特授权墨鲞盘茎可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名： 季蹿 签字日期：二萨矿乒年月2 日 导师签名： 签字日期：日 1 月峻年 太 摘要 安全性是电子商务能否生存、发展的最重要因素之一。考虑电子商务网 络安全时，应当从系统的角度，从全局性的角度去指导为实现安全网络所采 取的措施。对于网络环境来说，只要在某个环节出现了安全问题，就可能会 破坏整个系统的安全。笔者正是出于这种思想，对电子商务的网络安全策略、 安全性评估、安全服务、安全交易协议到入侵检测、网络备份与恢复进行了 一次系统化的分析和研究。并探讨了针对各个薄弱环节的解决方案。 本文提出了两个新的设想。一是提出使用攻击树来评估电子商务网络风 险。攻击树是在一个树形结构中描述一个系统的防御措施。在这个树形结构 中，根节点代表总目标，各个分支代表到达总目标的方法。使用攻击树对所 有潜在的攻击进行分析后，就可以发现系统真正脆弱的地方。这样既能节省 时间又能尽可能全面地对目标系统进行分析。文中还探讨设计了一个实际攻 击树分析软件的框架。 二是将“可扩展的网络弱点扫描系统”的概念引入电子商务安全中来。 设计它是要针对当前网络弱点扫描系统的局限，将弱点检测部分从整个系统 分离出来，使之能够在较短的时间内对新发现的安全问题迅速做出反应，极 大地提高系统的安全防御能力。 关键词：电子商务攻击树网络安全政策可扩展的网络弱点扫描系统 a b s t r a c t s e c u r i t yi sv e r yi m p o r t a n t t ot h ed e v e l o p m e n ta n de x i s t so fe c w es h o u l d m a k eu s eo ft h e s y s t e m a t i cv i e w p o i n t s t oc o n s i d e rt h e s e c u r i t y t h i sp a p e r a n a l y s e sa n dr e s e a r c h e s t h el i n k ss u c ha sn e t w o r ks e c u r i t yp o l i c y , n e t w o r k s e c u r i t ye v a l u a t i o n ，s e c u r i t ys e r v i c e ，s e c u r i t yp r o t o c o l i n p a y m e n t ，i n t r u s i o n d e t e c t i o ns y s t e m ，n e t w o r kb a c k u pa n dr e c o v e r yi ne c a n dw ea l s od e s c r i b et h e m e t h o d st or e s o l v et h e i re x i s t i n gp r o b l e m s t nt h i sp a p e r , w eh a v et w oi n n o v a t i v ep o i n t s f i r s t l y , w ep r e s e n tav i e w p o i n t t l l a te n t e r p r i s es h o u l db u i l da t t a c kt r e e st oe v a l u a t ea n dd e t e c tt h ew e a ki nt h e n e t w o r k i na t t a c kt r e e s ，t h er o o tn o d er e p r e s e n tt h ef i n a lo b j e c t i v e ，t h e b r a n c h e sa r et h em e t h o d st or e a c ht h ef i n a lo b j e c t i v e a f t e ra n a l r a n ga l lt h e p o t e n t i a la t t a c k s ，w ew i l lf i n d t h er e a lw e a ka r e ai ne c ，a n dw ec a np r o t e c ts y s t e m f r o ma t t a c k sa n ds a v et i m ea sw e l l 嬲p o s s i b l e a na n a l y z i n gs o f t w a r ef r a m eo f a t t a c kt r e e si sa l s od e s i g n e di nt h i sp a p e r s e c o n d ，i nt h i sp a p e r , t h ec o n c e p to fs c a l a b l en e t w o r kv u l n e r a b i l i t ys c a n n e r s y s t e mi si n t r o d u c e dt oe c t h i ss y s t e ms e p a r a t et h ev u l n e r a b i l i t yp a r tf r o m t h e w h o l ee c s y s t e ma n dm a k e i tc a l lr e s p o n d q u i c k l y t ot h el a t e s td i s c o v e r e ds e c u r i t y , a n d g r e a t l yi m p r o v e t h ed e f e n s e c a p a b i l i t yo f e c k e y w o r d ：e l e c t r o n i cc o n l r f l e t c e ； a t t a c kt r e e s ；n e t w o r k s e c u r i t yp o l i c y ； s c a l a b l en e t w o r k v u l n e r a b i l i t ys c a n n e rs y s t e m 2 第一章绪论 第一章绪论 1 1 电子商务安全隐患的严重性及其存在的安全问题 1 1 ，1 电子商务安全隐患的严重性及解决安全问题的迫切性 我国在1 9 9 4 年就出现电子商务模式，从2 0 0 0 年开始，中国电子商务开 始了蓬勃发展，据统计，2 0 0 0 年，中国电子商务交易总额达到7 7 6 1 亿元人 民币。一些证券公司和金融结算机构已成功地进入电子商务领域并进行了大 量的可靠的交易，为电子商务的进一步发展积累了丰富的经验。但是，我们 在为电子商务的未来繁荣欢欣鼓舞的同时，也应看到，电子商务的安全受到 来自i n t e m e t 上黑客的巨大威胁，电子商务的前途正在受到网络犯罪的严重制 约。2 0 0 2 年9 月，美国芝加哥发生一起涉及1 0 万多笔虚假互联网交易的神 秘信用卡诈骗案，再一次敲响了在线商务安全的警钟。s p i 砸r e 投资公司在9 0 分钟内收到了提交的1 4 万笔信用卡业务，其中有6 2 4 7 7 笔虚假交易被确认有 效。这起诈骗案虽然没有造成实际损失，但是有6 万多笔非法交易通过了认 证密码，暴露出在线信用卡处理系统的安全漏洞。由于我国的电子商务尚处 于起步和探索阶段，电子商务网站的安全管理的隐患要比发达国家还要大。 据统计，从2 0 0 0 年1 月至2 0 0 2 年1 月，我国计算机系统被入侵的数量从 1 1 6 5 增加到了6 3 3 ，这个趋势说明了在我国信息化网络化快速发展的同 时，信息安全形式令人担忧。国内电子商务网站被攻击的事件较少并不表示 是牢不可破。而是因为大多数网站本身很小，没有多少可攻的价值。 制约我国电子商务发展的主要因素有：基础设施问题、观念改变问题、 信用机制问题、支付技术问题、法律保障问题、物流配送问题、信息安全问 题等，其中，最关键的问题还是信息安全问题，必须从技术上为电子商务交 易活动提供机密性、完整性、真实性和抗抵赖性等安全保障，而且这是一个 长期的、不断发展的过程。从国内外的情况来看，安全技术和安全管理跟不 上电子商务发展的速度，这是一个越来越突出的问题。电予商务的快速发展 需要业界，特别是信息安全业快速地做出反应，否则安全方面的额外难题将 会制约它的发展。现在不仅仅是发展中国家，就连美国这样的发达国家，电 子商务在很多领域还是没有像其他传统的商务那样发达，一个重要的原因就 是安全问题。这就需要信息安全业及企业共同做出不懈的努力。 第一章绪论 1 1 2 电子商务网络的基本安全问题 电子商务是在丌放、自由的互联网的基础上应运而生的，因此，网络运 营中的安全极为重要。电子商务的网络环境是个迅速发展同时又危机四伏 的网络。截止到2 0 0 2 年1 2 月3 l 曰，我国的网民数、上网计算机数、c n 下 注册的域名数、网站数等都保持了较高的增长速度，分别达到了5 9 1 0 万、2 0 8 3 万、1 7 9 万、3 7 1 万，这和2 0 0 2 年6 月的统计数字相比增长率均超过了2 0 。 但同时我们也要注意到，利用系统漏洞的网络病毒传播能力日益增强；黑客 事件接二连三，且技术水平与入侵后果不断升级。2 0 0 0 年包括雅虎、e b a y 公司、亚马逊、微软、e - t r a d e 、z d n e t 、c n n 在内的八家顶级网站均曾接连遭 到来历不名的电子攻击，造成的经济损失高达1 2 亿美元以上，其中，受害公 司在3 天内的损失就高达1 0 亿多美元的市场价值，营销和广告收入损失达 亿美元以上。这次袭击还给受害公司的品牌、合作关系以及未来的客户造成 损害。 1 信息安全 信息安全问题概括了一般性的安全技术问题。一般来说系统可能遭受的 攻击分为以下几类：窃听、伪装、消息篡改、重放、渗透、流量分析、拒绝 服务。目前针对这些攻击主要采取加密机制、数字签名机制、访问控制机制、 数据完整性机制、认证交换机制、流量填充机制、公证机制。 2 电子支付安全 传统的支付系统存在伪造现金、伪造签名、拒付支票。相对而言电子支 付安全问题可能出现任意复制数字文档、知道私钥的任何人都能产生数字签 名、买方的身份及每次购买行为之间的关系可以被跟踪出来。通常会遇到三 种攻击：在通信线路上进行窃听并滥用收集到的数据；向经过授权的支付系 统参与方发送伪造的消息以破坏系统的正常工作或盗用交换的财务；不诚实 的支付参与方试图获取并滥用自己无权读取或使用韵支付交易数据。为了抵 抗这些攻击，可以采用以下三种支付安全技术：第一类，称为支付交易安全 服务；第二类，称为数字货币安全；第三类是基于电子支票作为支付手段的 支付系统。 3 通信安全 通信网络是交换信息的基本设施，其上设计的t c p i p 协议并没有考虑安 全问题，因此协议的每一层都存在相应的安全威胁。为此针对通信协议中最 常出现的安全威胁，要实施相应的安全协议用于实现网络通信的安全。 第一章绪论 4 w e b 安全问题 w e b 是基于客户端服务器端式的应用，利用h t t p 通过i n t e m e t 交换信 息。h t t p 所有的消息头都带有用户或原始服务器的信息，这是一个潜在的 安全隐患。w e b 服务器也存在几种安全问题：一是公用网关接口的安全问题， c g i 脚本被赋予过多的访问权限：二是数据库安全，数据库一般以明文形式 存储数据，极易遭受攻击。此外，w 曲客户也易遭受网页的篡改，用户的隐 私和匿名问题。移动代码安全问题包括：j a v a 小应用程序和j a v a s c f i p t 的安 全问题，a c t i v e x 控件和一些图形文件、插件和电子邮件附件的安全问题。 1 2 电子商务的安全技术体系结构及网络安全模型 1 2 1 电子商务的安全技术体系结构 电子商务系统的关键是保证交易数据和交易过程的安全，i n t e m e t 本身的 开放性使电子商务系统面临着各种各样的安全威胁。因此对其安全性要求很 高，要求电子商务系统具备：防止交易信息被非法截获或读取的保密性 ( c o n f i d e n t i a l i t y ) 、防止交易信息被跟踪的匿名性( a n o n y m i t y ) 、防止交易信 息丢失并保证信息传递次序统一的完整性( i n t e g r i t y ) 、防止假冒身份在网上 交易、诈骗的可靠性( r e l i a b i l i t y ) 、防止交易各方对已做交易抵赖的抗否认 性( a n t i d e n s i t y ) 、以及原子性( a t o m i c i t y ) 等安全需求。在电子商务中引入 了原子性的概念，用以规范电子商务中的资金流、信息流和物流。原子性包 括；钱原子性( m o n e ya t o m i c i t y ) 、商品原子性( g o o d sa t o m i c i t y ) 、确认发送 原子性( c e r t i f i e dd e l i v e r y ) 。原子性是满足商品交易的要求之一。 电子商务的安全控制体系结构是保证电子商务中数据安全的一个完整的 逻辑结构，由5 个部分组成，具体如图1 1 所示。电子商务安全体系由网络 服务层、加密技术层、安全认证层、交易协议层、商务系统层组成。从图中 的层次结构可看出，下层是上层的基础，为上层提供技术上的支持；上层是 下层的扩展与递进。各层次之间相互依赖、相互关联构成统一整体。各层通 过控制技术的递进实现电子商务系统的安全。 第一章绪论 电子商务安 商务系统层 交易协议层 安全认证层 加密技术层 网络服务层 图1 - 1 电子商务安全技术体系结构 1 ，2 2 电子商务的网络安全模型 电子碲务是通过信息网络系统来进行的，如图l ，2 所示，组成系统的软件、 硬件、协议支撑着应用平台。这个平台的安全保证了电子商务的信息安全。 釜二童鳖望 图1 2 电子商务的网络安全框架 从这个安全框架中，我们可以看到，安全政策或称安全策略( s e c u r i t y p o l i c y ) 是电子商务网络安全的核心，安全策略描述了系统中哪些资源要得 到保护，以及如何实现对它们的保护等。 全支付协议等都是依据安全策略实施的， 理方向和支持手段。 所有的如安全机制、支持设施、安 企业的安全策略为安全管理提供管 本文设计的模型，也是以安全策略为核心的，如图卜3 。在这个模型中 除了安全策略以外，还有五个重要环节： 第一章绪论 图i - 3 电子商务的网络安全模型 分别是安全性评估及网络安全服务、电子支付安全协议、弱点扫描和入 侵检铡系统、网络备份与恢复。 每一个环节实施定的安全功能。模型的第个环节是安全性评估或称 风险分析：它是制定网络安全策略的依据。模型的第二个环节是网络安全服 务，它包括有：识证服务、访闫控制、机密性与完整佐、菲否认、防火墙。 第三个环节是电子支付安全协议。它的功能是防止信用卡或帐户信息被盗用 或者在交易中被欺骗。第四个环节是弱点扫描分析和入侵检测系统；这个环 节可以通过定期检查来发现可能存在的系统脆弱性，预防灾难的发生。检测 是动态响应和加强防护的依据，也是落实安全策略的有力工具，通过不断地 检测和监控网络和系统，来发现新的威胁和弱点，通过循环反馈来及时做出 有效的响应。模型的最后一个环节是网络备份与恢复；一旦网络系统的安全 事故发生了，能够保证及对恢复系统功能和数据。恢复宅子商务盘正常运行。 1 0 第一章绪论 1 3 课题实现的背景 本人在从事会计工作时，常会因为计算机网络系统由于网络病毒或黑客 入侵的问题而干扰正常的工作和业务。这促使本人开始对我国的网络财务现 状展开了调研，并查找相关的文献。在调研过程中发现，我国企业的网络财 务的安全问题是相当严重和普遍存在的，尤其是作为近年来异军突起的电子 商务行业，存在着很大的安全隐患。本人希望利用自己从事会计信息系统多 年来的工作经验和在天滓大学所学到的计算机网络知识以及拥有许多从事网 络会计和电子商务的朋友便于调查等这些优势，能够为企业提供一些新的安 全技术。能够比较专业和实际地解决我国弼络财务，特别是电子商务领域的 安全问题。 1 4 本文所做的工作 1 为电子商务设计一个综合性的安全模型。 2 设计和使用攻击树来评估电子商务的网络风险。 设计一个实际攻击树分析软件的框架。 3 在电子商务网络上设计一个“可扩展的网络弱点扫描系统”。 第二章屯子商务网络安全性评估及安全策略 第二章电子商务网络安全性评估及安全策略 2 1 列表量化以评估电子商务网络的安全性 进行风险评估和提出安全需求是制定网络安全策略的依据。风险分析( 又 称风险评估、风险管理) ，是指确定网络资产的安全威胁和脆弱性，并估计可 能由此造成的损失或影响的过程。风险分析有两种基本方法：定性分析和定 量分析。在制定网络安全策略的时候，要从全局进行考虑，基于风险分析的 结果进行决策，建议公司究竟是加大投入，采取更强有力的保护措施，还是 容忍一些小的损失而不采取措施。因此，采取科学的风险分析方法对公司的 网络进行风险分析是非常关键的。 我们在实例研究中使用的公司假定叫e c t e e h 公司。e c t e c h 公司是一个大 型的生产电子产品并兼营电子商务的企业。e c t e c h 公司最关心的是他们后端 数据库信息的保密性。基于e c t e c h 公司所制定的优先权，下面这些有着非常 高的优先级的列表，是e c t e c h 公司的安全策略中应当着力完成的目标： 保密性 完整性。 可用性 接下来为公司的大部分关键资产列一个表。各种资产的三个主要类别( 保 密性、完整性、可用性) 中的每个都给予一个风险等级，“5 ”表示非常重要， 1 表示不重要，每种资产都考虑它实际暴露出的受威胁的程度，和公司对 威胁造成损失的敏感程度分等级。一个资产没有暴露出任何重大安全隐患， 但它包含管理者为保密而敏感的信息，那么它在风险表上的等级不高。另一 方面，一个易受重大威胁影响的资产还包含了保密信息，那么它就是一个高 风险资产。我们通过对e c t e c h 公司的一些具体资产的风险的分析，做出了该 公司的风险等级表，如表2 - 1 所示： 第二章电子商务网络安全性评估及安全策略 表2 - 】 e c t e c h 公司关键资产的风险等级 资产 保密性完整性可用性 后端数据库532 外部w e b 服务器225 i n t e m e tl a n422 i n t e m e t 连通性224 远程办公室和远距离工作者的远程访问 424 财政和h r 数据库 443 这些标准一经建立，下一步就是基于风险评估结果定义一个安全策略来 保护这些资产。必须基于签名表中所提到的三个领域( 保密性、完整性、可 用性) 中的每一个的风险等级，直接去努力保护这些资产。 2 2 建立攻击树以评估风险 2 2 1 攻击树的作用 为了描述电子商务系统存在的各种攻击，我们将攻击树这个概念引入电 子商务系统，攻击树是在一个树形结构中描述一个系统的防御措施，在这个 树形结构中，根节点代表总目标，各个分支代表到达总目标的方法。树中的 每个节点可以是与节点也可以是或节点，与节点表示要达到这个目标有几个 步骤，或节点表示要达到这个目标有几个方式，也可以将之称为与或树，通 过给各个节点赋值，就可以依据此树作一些基本的计算，用来描述对总目标 的各种攻击方式的困难程度。 要建立一个攻击树首先要确立一个攻击总目标，每一种安全系统都是为 了保护特定的信息而建立，而这个特定的信息就是攻击的总的目标。以在线 银行系统为例，其要保护的关键的信息就是用户的帐号和密码，这就是攻击 的总目标。一旦这个总目标建立我们就可以考虑要达到这个总目标有哪些直 接的攻击方式，这样层层划分最终建立一棵树型结构，攻击树建立的过程中 第二章电子商务网络安全性评估及安全策略 需要经过分析人员周密的思考和大量的实践，对攻击树不断地进行补充和完 善。 有两种方式可以描述攻击树，一种是直接以树型结构进行描述，另一种就 是以文本方式进行描绘。 在对系统安全进行分析时，人们易于忽略那些真正影响系统安全的因素。 例如担心密钥长度不够而不断地加长密钥长度，而忽视了攻击者可能不直接 去分析密钥而是试图去偷取密钥，比如装设键盘嗅探器要比分解密钥直接省 力。而使用攻击树对所有潜在的攻击进行分析后。就可以发现系统真正脆弱 的地方。此外攻击树所设计的知识可以再使用，可以把新的攻击方式不断添 加到攻击树中去，具有可升级性。这样在对新的系统进行安全分析时，就可 以把已经存在的攻击树加入到将建立的新的目标攻击树中，既能节省时间又 能尽可能全面地对目标系统进行分析。 2 2 2 一个实际的攻击树分析软件的框架 1 在e c t e c h 公司建立资料库 为了建立和分析攻击树，我们为e c t e c h 公司设计了如图2 一l 所示的攻击 树分析软件框架。 资料录 资料库 建立攻击档 案 厂输入限定条件 i 输出符合条件的攻击路径上 1 分析攻击树l l z 一 i存储新的攻击树 攻击档 案 蠹纛岸：! ：建立攻击档案l 查找攻击档 案 图2 - 1 攻击树分析软件框架 提取存在的攻击树 第二章电子商务网络安全性评估及安全策略 建立资料库的目的是对已经存在的各类攻击进行收集，因为即使是经验 丰富的专家也会有疏漏，所以有必要收集已经存在的各种攻击，并定期收集 近期出现的攻击。我们认为建立这样一个资料库十分必要有助于分析人员在 尽可能短的时间内了解各种攻击。资料库通过对各种安全问题进行分类并将 相关的攻击进行汇总的方式建立。可以划分为以下几类：a c c e s sc o n t r o l 、 e n c r y p t i o n 、i n f o r m a t i o nw a r f a r e 、i n t e l l e c t u a lp r o p e r t yp r o t e c t i o n 、i n t r u s i o n d e t e c t i o n ，然后对存在的攻击进行划分归入到各类中，便于查找。 2 建立攻击档案 建立攻击档案的目的是使用一种统一的格式对攻击进行描述，建立资料 库是为建立攻击档案做准备。为此要建立一种攻击描述规则，以如下的方式 对攻击进行描述： 攻击名；缓存溢出攻击 目的：利用缓存溢出使目标系统执行恶意代码 条件：攻击者可以执行目标系统的程序( 条件与方式之间是与的关系) 方式：( 方式和方式之间是或的关系，步骤与步骤之间是与的关系) 方式l 一步骤1 标识目标系统上易于遭受缓存溢出攻击的程序； 步骤2 标识当以程序权限运行时将执行恶意功能的代码； 步骤3 构造迫使代码转入到程序的地址空间的值； 步骤4 执行程序使它跳到代码驻留的地址。 结果：目标系统执行恶意功能。 我们以这种格式对所有攻击进行描述，一个攻击可能由多个攻击组成， 这些攻击可以串成一张攻击表，通过这种方式对所有的攻击进行归档最终形 成攻击档案，攻击档案是成功建立攻击树的关键。此外使用上述描述攻击的 格式可以容易地建立攻击树；上面攻击中设条件为c ，步骤l 到步骤4 为s 1 ， s 4 结果为g 。就可以绘制攻击树如图2 - 2 第二章电子商务网络安全性评估及安全策略 g cs 1s 2s 3s 4 图2 - 2 缓存溢出攻击树 建立攻击档案后通过对每个攻击的结果进行查找，可以发现达到预定攻 击目标的有效的攻击来完善攻击树。 3 建立目标攻击树 图2 - 3目标攻击树 4 分析攻击树 在攻击树基本完成以后，就要对攻击树进行分析，比较每一种攻击路径 第二章电子商务网络安全性评估及安全策略 的困难程度，来查看系统的脆弱性。 假定我们在e c t e c h 公司攻击其存储商务数据的数据库，攻击路径描述为 ， 。 描述为攻击是从2 2 1 到2 2 到2 最终到达攻击总目标即根节点。 我们将攻击树划分为如下的几个入侵流：( 1 ) ，( 2 1 ) ， 2 2 1 ) ， ( 2 2 2 ) ，( 2 2 3 1 ，2 2 3 2 ) ， 2 2 4 】。各入侵流内部各元素之间是与 的关系，各入侵流之间是或的关系。然后，对入侵流中的每个节点赋值：实 现攻击1 需要花费3 0 k $ 、实现攻击2 2 2 需要1 0 0 k $ 等，详见图2 - 4 【1 ) 2 1 ) 2 2 1 ) 2 2 2 】 ( 2 2 3 1 2 2 3 2 ) ( 2 2 4 ) 3 0k $ 7 5k $ 6 0k $ 1 0 0k $ 2 0 k $ + 4 0 k $ = 6 0k $ 2 0k $ 图2 4 攻击树分析 通过这种分析我们得到了实现攻击目标可能的最大花费1 0 0 k $ ，入侵流 为2 2 2 ) ；最小花费2 0 k $ ，入侵流为2 2 4 ) 。这样，我们就对e c t e c h 公司的系统脆弱性有了较为全面的了解，知道该从哪些方面来解决系统存在 的安全问题。 2 3 电子商务的网络安全策略 2 3 1 制定安全策略的任务 网络安全策略在范围上应该是全面和广泛的。这就意味着基于它所做出 的与安全相关的决定，应该提供一个高层次的原则性观点，但不应该考虑这 个策略的实现细节等内容。 我们为e c t e c h 公司定义了安全策略的三个任务： 1 保护已存储的商务数据的安全；保护网上交易的安全。 第二章电子商务网络安全性评估及安全策略 2 规定谁负责提供这种保护。 3 为解释和解决任何后来可能的出现的冲突打下基础。 2 3 2 定义安全策略 根据所收集到的信息，e c t e c h 公司开始定义自己的安全策略： 1 由于经营着电子商务业务，e c t e c h 公司非常倚重于使用它的网络资源。 为了确保平时的使用不会导致保密数据的泄漏，公司要求所有在这个网络上 的工作用户理解和遵守安全策略。也就是说，e c t e c h 公司定义了安全策略的 动机和作用域。 2 e e t e c h 公司做出的职责策略是：网络中的所有工作用户都要为自己的 行为而导致的网络安全问题负责。熟悉使用e e t e e h 公司网络所提供服务的指 导方针是每个用户的责任。向系统管理员报告网络中的不正当使用和恶意行 为也是每个用户的责任。 3 计算机技术购买方针。e c t e c h 公司的需求首先是保密性，其次才是完 搂性、可用性等。因此，e c t e e h 公司非常重视安全和保密管理一体化。它要 求把所有的网络设备中已知的b u g 必须在代码中屏蔽掉。并且供应商对这些 b u g 修补的历史也要屏蔽掉。 4 e c t e c h 公司的访问策略：e e t e c h 公司规定，只有公司的雇员才可以访 问后端数据库、h r 和财政数据库。这些资源必须只有在一个雇员加入到本 地网络中，或者加入到远程站点中的一个，或者是一个经授权的远地工作者 ( 远程访问的用户只能通过公司认可的程序) 才能访问这些资源。从其它位 置请求的访问都被禁止。并决定允许一个雇员访问不同的资源时，要由这个 雇员的直接上级和安全部门的主管一起批准。 策略要求公司做出具体的计划以阻止外部网络对这些敏感资源的访问。 也必须做出具体的计划以确保能够侦测到网络入侵，并采取行动以控制损失 和预防将来的入侵。 所有的远程用户在通过远程访问公用网络使用这些资源之前必须获得管 理部门的批准。远程访问用户还需做以下检测以确保他们的p c 连接到公用 网络时是安全的： 仅通过使用认证和加密的v p n 集中器连接。 安装当前共同标准的反病毒软件并且激活自动升级特性。 第二章电子商务网络安全性评估及安全策略 p c 必须是密码保护的，以这样的一种方式重新启动就不能绕过密码程序。 所有用于远程访问的p c ，必须安装了一个有效的个人防火墙。 确保远程设备不被未经授权的个人使用而获取公共网络上的资源是使用 远程访问雇员们的职责。 5 关于认证策略：e c t e c h 公司要求网络上的敏感信息资产在某人获得访 问它们之前都要经过认证。访问企图要记入日志以备审计。 特别是远程访问的用户要经过两层的认证一次是将他们连接到网络 的接入服务器对他们进行认证，另一次认证是为了获得网络专用资源的访问。 要求认证是在使用网络上安全的服务器进行的。公司必须做出具体计划 以保护安全服务器不受外部或内部网络上的攻击和入侵。 策略要求认证用一次性密码实现。认证必须间安全服务器上的授权 ( a u t h o r i z a t i o n ) 和统计( a c c o u n t i n g ) - - 起执行。 6 信息技术系统和网络维护策略：所有的网络设备仅由e c t e c h 公司的 专职人员管理。为了管理的目的而给予个人在任何设备上工作的许可权，都 需要管理人员的批准。允许管理者远程访问网络中的设备，但访问需要密码。 并且为注册访问安全服务器进行认证。所有管理人员的会话，不管是内部的 还是外部的，都必须加密。 7 安全事故报告和处理策略。要求文档记录程序必须建立起来，以便 入侵或者网络攻击发生时能够将其识别。为了事故的报告和处理，需要建立 下面的程序： 一旦确认入侵已经发生或者攻击正在进行，必须调用一个程序，把这 个问题通知给所有需要知道这件事情的网络管理员，并告知在处理这个情况 时他们的任务。 需要建立一个识别所有信息的程序，记录下来以追踪这个攻击，或者 记录可能的检举。 程序必须就地控制已经发生的或正在发生的事故。这个程序必须牢记 保密性是e c t e c h 公司比可用性更关心的问题。 程序必须就地追查已经发生了的攻击，以确保在这个攻击中暴露出来 的所有弱点都已得到了修正，同时相类似的攻击将来可以得到避免。 表2 - 2 显示了我们为e c t e c h 公司设计的安全策略环境中联络人员和他们 第二章电子商务网络安全往评估及安全策略 的任务以及职责。 表2 - 2安全策略中联络人和他们的任务 职位任务职责 首席安全官定义和维护整个改变站点安全策略的主要联系人 网络安全策略以 负责对可能影响网络安全的新网络实现的最终批复 及对它的管理 负责协调各部门间关于安全问题的通信 管理控制直接影响网络安全的全体人员 间接控制网络安全环境下的所有公司职员 网络管理员负责日常的网络确保在所有网络实现中都遵循安全策略 操作 网络安全事故响应的主要联系人 网络设计师负责网络的发展确保安全策略是实用的并且能够实现 设计 遵循网络安全策略创建网络设计 管理发展中的网络设计以维护安全性 在保留原有的基础之上，根据新引入的安全威胁调 麟设计参数以更利于安全 负责网络安全实现发展中的审计，以确保设计的正 确性 网络安全工程师负责实现和配置确保网络实现符合站点安全策略，并做最终设计 网络组件 负责修正配置和验证，以确保安全意图的实现 在牢记安全方面的同时，负责解决网络相关问题的 疑难解析 负责网络安全实现发展中的审计，以确保配置的正 确性 第三章电子商务的安全服务管理 第三章电子商务的安全服务管理 电子商务安全服务管理是模型的第一个环节。电子商务主要安全是得到 安全服务管理行动的支持，需要以下5 种安全服务： 3 1 认证服务 在网络经济中，交易双方并不见面；因此，在进行网络交易时，你必须 确保参与加密对话的人确实是其本人。同样，当你收到一份合同时，你也必 须能够保证它是由当事人亲自签发的。这就需要认证。 服务是可控性服务的重要组成部分，它提供了关于某个实体( 人或事物) 身份的保证。这意味着每当某个实体声称具有特定的身份( 如个特定的用 户名) 时。认证服务将提供某种方法来证实这一声明是正确的。目前有许多 种提供认证的方法，其中一些依赖于密码技术，而另一些与密码技术无关。 只需要小范围认证的电子商务企业可以使用路由器或者p i x 或这类进行 认证的设备上维持的一个口令列表来完成。 在大型电子商务网络中，简单的对称密码技术是不实用的，因为它要求 每个验证者和访问它的每个主机都必须保持一个秘密对称密钥，这样会导致 密钥爆炸。密钥爆炸问题可通过引进可信的在线认证服务器来解决，此时， 每台主机和每个验证者共享一个密钥，可以用多种方法实现与在线认证服务 器的通信。图3 1 展示了两种方法。 十 第l 欢交换 方法一 第三章电子商务的安全服务管理 第1 方法二 图3 - 1 在线认证服务器机构 在方法一中，声称者用他的密钥加密或封装一个消息，然后发送给验证 者。因为验证者没有共享声称者本人的密钥，所以验证者不能直接完成验证 过程，但是，验证者通过与认证服务器交换信息则能完成验证。验证者与认 证服务器可进行安全通信，因为二者拥有共享密钥。 在方法二中，声称者首先与认证服务器进行交换信息即可获得一个许可 证，并将该许可证发送给验证者。声称者和认证服务器的通信使用他们的共 享密钥进行保护。用这样的方法构造的许可证只有知道认证服务器和验证者 的共享密钥的实体才能接收。例如，k e r b e r o s 系统就是一个实例。 在电子商务在线认证服务器机制中，实际的信息交换可能有多种方式， 包括声称者和服务器之间的预交换通信、验证者和服务器之间的后交换通信。 手工认证也能被提供。这种类型的机制也可以扩展到具有多重认证服务器的 机制。 由于e c t e e h 公司需要有大范围的认证，因此我们也希望将接入设备进行 口令认证的工作分给一个专用的服务器，比如t a c a c s + 服务器。接入设备 将用户名认证参数，比如接受来自进行认证的用户或者设备的用户名和口令， 传递给服务器。然后服务器认证用户名和口令是否跟数据库中的数据匹配。 这些服务器可以容纳更高级的认证方法，比如一次性( o n e t i m e ) 口令，可变 口令和基于外部数据库( 比如n t 或者u n i x 数据库) 的认证。 我们对e c t e c h 公司的认证设置过程分为四步。 1 启用a a a 在路由器中使用如下命令： r o u t e r ( c o n f i g ) # a a an e w m o d e l 第三章电子商务的安全服务管理 2 设置一个本地用户认证参数数据库或者设置对配置好的r a d i u s 或 t a c a c s + 对路由器中。在用户名和口令被请求之后，服务器就会提供给路由 器通过或者失败的结果信息。为了在路由器中设置本地认证，本地数据库可 以这样定义： r o u t e r ( c o n f i g ) # u s e r n a m e t e s tp a s s w o r dr e s u l t l 2 # 以下的命令定义了r a d i u s 服务器的i p 地址以及用于与服务器进行认证 和授权通信的u d p 目的端口号： r o u t e r ( c o n f i g ) # r a d i u s - s e r v e r h o s t1 7 2 1 6 7 1 1 4 6a u t h _ p o r t1 6 4 5 a e c t - p o r t1 6 4 6 3 设置方法列表 我们使用的认证列表格式为： r o u t e r ( c o n f i g ) # a a aa u t h e n t i c a t i o n ( d e f a u l t llis t l l f l et m e t h o d l m e t h o d 2 将以下类型的服务在c i s c o 路由器上进行定义： - a l 认p 一对a p p l e t a l k 远程访问( a r a ) 的认证。 e n a b l e 一一决定用户是否可以访问特权命令级的认证。 l o g i n 一一对登录到接入设备本身的认证。 p p p - - - 对使用运行p p p 的串行接口的认证。 n a s i 一一对n e t w a r e 匿名服务接口( n a s i ) 客户端通过接入服务器进行 连接的认证。 下面定义路由器中的认证方法，见表3 1 第三章电子商务的安全服务管理 表3 - 1路由器认证方法 方法描述 e n a b l e 使用启用口令进行认证 k r b 5 使用k e r b e r o s5 进行认证 k r h 5 - t e l n e t在使笄jt e i n e t 连接列路由器的对候，使用k e r b e r o s5t e l n e t 认证协议。如 果这样的话，该方法必须作为方法列表中的第一个方法出现 l i n e使用行口令进行认证 l 0 c 叠l使用本地硐户名数据库进行认证 l o c a l - c a s e使用区分大小写的本地用户名认证 n o n e 不使用任何认证 g r o u p 使用所有r a d i u s 服务器的列表进行认证 r a d t u s g r o u p使用所有的t a c a c s + j 报务器的列表进行认证 t a e a c s + g r o u p 使用r a d i u s 或者t a c a c s + 服务器的个子集进行认证，在稍8g r o u p g r o u p n a m e l v e rr a d i u s 或者a n n g r o u p s e r v e rt a e a e s + 命令中定义 a u t h g u e s t仅在用户已经登录到e x e c 时，允许g u e s t 登录 g u e s t允许g u e s t 登录 i f - h e e d e d如果用户已经在t t y 行上进行了认证就不再进行认证 注意并不是所有的这些认证方法都能与前面概括的5 种服务相关联。我 们列出了兼容性列表3 - 2 。 第三章电子商务的安全服务管理 表3 - 2哪种服务与哪种方法兼容 服务 l o g i n n a s ie n a b l ea r a pp p p 方法 e n a b l e l i n e 、， ， g r o u p r a d i u s g r o u p 协c a c s + g r o u pg r o u p - n a m e jj k r b 5 ( 仅对于p a p ) k r b 5 一t e l n e t l o c a l l o c a i - c a s e a u t h - g u e s t 、， g u e s t i f - n e e d e d n o m e 4 应用方法列表 第三章屯子商务豹安全服务管理 3 2 授权的策略 授权就是资源的所有者或控制者准许其他人访问这种资源。访问控制是 一种加强授权的方法。 在电子商务中，有两种方法用来阻止未经授权的用户访问目标： 访问请求过滤器；当一个发起者试图访问一个目标时，需要检查发起 者是否被准予以请求的方式访问目标； 分离：防止未经授权的用户有机会去访问敏感的目标。 第三章电子商务的安全服务管理 在为e c t e c h 公司设置授权时，我们根据授权对象具体考虑一些具体的授 权的策略。下面是我们认为e c t e c h 公司可以考虑、选用的一些不同的策略。 3 2 1 基于身份的策略 1 基于个体的策略 一个基于个体的策略根据哪些用户可对一个目标实施哪一种行为的列表 来表示。这个等价用一个目标的访问矩阵列来描述。基于图3 2 可给出策略 陈述的一个例子 弋 目标x日标y 目标z 用户a读、修改、管理读、修改、管理 用户b读、修改、管理 用户c 1 读读、修改 用户c 2 读读、修改 图3 - 2 访问矩阵实例 对目标x ，用户a 被允许读、修改和管理，而用户c 1 和c 2 被允许读。 基于个体的隶略陈述总是依赖于一个暗含的或清晰的缺省策略。在上面 的例子中，假定的缺省是所有用户被所有的许可否决。这类策略遵循所谓的 最小特权原则，最小特权原则要求摄大限度地限制每个用户为实施授权任务 所需要的许可集。这种原则的应用限制了来自偶然事件、错误或未授权用户 的危险。 2 基于组的策略 这是基于身份的策略的另一种情形，一些用户被允许对一个目标具有同 样的访问许可。例如，当许可被分配给一个队的所有成员或一个组织的一个 部门的所有雇员时，采取的就是这种策略。多个用户被组织在一起并赋予一 个共同的识别标识符，这时，把访闯矩阵的多个行压缩为一个行。例如，在 图3 2 中，假定用户c l 和c 2 形成个组，那么对目标x 的访问控制策略可 通过下列一对陈述来表达： 用户组c 由c 1 和c 2 组成； 2 7 第三章电子商务的安全服务管理 对目标x ，用户a 被允许读、修改和管理，而用户组c 被允许读。 注意上述第一条陈述可被其中的目标重复使用，例如目标y 。再者，组 的成员可以被改变而不会影响许可陈述。这些特征往往使基于组的策略在表 示和实现方面比基于个体的策略更容易和更有效。 3 2 2 基于规则的策略 1 多级策略 多级策略主要用来保护数据，防止数据被非法泄露，并且也支持完整性 需求。 一个多级策略通过分配给每个目标一个密级来操作。密级的层次如图3 3 所示。每个用户从相同的层次中分配一个等级。目标的分派反映了它的敏感 性。