上海锐雅企业电子商务安全技术研究毕业论文.docx

上海锐雅企业电子商务安全技术研究毕业论文2目录中文摘要4ABSTRACT5第一章引言61.1 电子商务安全的现状61.2 电子商务体系结构71.3 当前电子商务的特点81.3.1 交易网络化81.3.2 交易成本低81.3.3 交易效率高91.3.4 交易透明化91.4 电子商务安全技术研究的目的9第二章锐雅电子商务平台分析研究92.1 锐雅简介及电子商务平台现状92.2 目前锐雅电子商务存在的安全性问题112.2.1 网络协议安全性问题112.2.2 用户信息安全性问题122.2.3 电子商务网站的安全性问题122.3 锐雅电子商务安全性要求122.3.1 服务的有效性要求122.3.2 交易信息的保密性要求122.3.3 数据完整性要求122.3.4 身份认证的要求122第三章针对锐雅电子商务平台采取的安全技术措施133.1 数据加密技术133.1.1对称密钥加密(SECRETKEYENCRYPTION)133.1.2非对称密钥加密(PUBLICKEYENCRYPTION)133.1.3复杂加密技术133.2 数字签名技术133.3 认证机构和数字证书143.4 使用安全电子交易协议(SET:SECURE ELECTRONIC TRANSACTIONS)143.5 私有密钥加密法143.6 公开密钥加密法143.7 虚拟专网技术（VPN）153.8 杀毒软件技术153.9 防火墙技术153.10 文件加密和数字签名技术163.10.1 数据传输加密技术163.10.2 数据存储加密技术173.10.3 数据完整性鉴别技术173.10.4 密钥管理技术173.10.5 加密技术在智能卡上的应用183.10.6 网络扫描技术183.10.7 网络实时入侵检测技术183.10.8 系统扫描技术183.10.9 系统实时入侵探测技术193.10.10 身份认证技术193.10.11 安全电子交易协议193.10.12 访问控制技术19第四章加快上海锐雅电子商务发展的思考204.1 针对上海锐雅电子商务发展的建议20小结21参考文献21致谢215第一章 引言随着网络技术和信息技术的飞速发展，电子商务得到了越来越广泛的应用，越来越多的企业和个人用户依赖于电子商务的快捷、高效。它的出现不仅为Internet的发展壮大提供了一个新的契机，也给商业界注入了巨大的能量。但电子商务是以计算机网络为基础载体的，大量重要的身份信息、会计信息、交易信息都需要在网上进行传递，网上传送的信息可能被破坏、被窃听或被篡改，甚至交易一方可能事后反悔，不承认签订的电子合同，在这样的情况下，安全性问题成为首要问题。本文针对上海锐雅建设发展有限公司电子商务平台的概况及特点，进行总结分析，找出其中存在的纰漏并提出解决方案，使企业电子商务平台更完善，从而为公司带来更好的经济利益。1.1 电子商务安全的现状电子商务(ECommerce)是指利用电子网络进行的商务活动。即指利用电子数据交换(Electronic Data Interchange，EDI)、电子邮件(E-mail)、电子资金转账(Eleetronie Funds Transfer。EFr)和Intemet等主要技术在个人、企业和国家之间进行无纸化的信息交换。包括商品信息及其订购信息、资金信息及其支付信息、安全及其认证信息等即以现代信息技术为手段。以经济效益为中心的现代化商业运转模式。其最终目标是实现商务活动的网络化、自动化与智能化。世界各国对电子商务安全问题的研究非常重视，美国政府很早就致力于研究密码技术，韩国一些公司也建立联盟，力图制定电子商务的标准。我国于1995年起发展电子商务安全产业，其信息安全研究经历了通信保密、计算机数据保护两个发展阶段，市场也从小到大逐步发展起来，虽已初具规模但仍不成熟。近年来，我国因特网用户激增，至今已超过130万，而不少企业更是拥有自己的独立网站，网络交易热潮随之而来。根据CNNIC发布的中国互联网络热点调查报告中显示：网上购物大军达到2000万人，在全体互联网网民中，有过购物经历的网民占近20%的比例。因为Internet自身的开放性，安全事故和黑客事件时有发生，据公安部的资料,利用计算机网络进行的各类违法行为在中国以每年30%的速度递增，更有媒介报道,中国95%的与Internet相连的网络管理中心遭到过境内外黑客的攻击或侵入,由此可见，安全隐患已成为电子商务发展的严重阻碍。现在大家都在关注CA中心，从国外的发展看，认证应该是第三方的，政府干预最好少一些，只需作些必要的引导。在我国，最大的问题是多人过早地把CA认证看作是一种6产业，把它当作生意来做，而过少地考虑到应该担负的责任。其实，面向社会服务的CA中心必须达到一定的要求。首先要看建设单位是否具备管理能力，以及责任和义务是否很明确，一旦证书出了问题，各方的责任是否清楚；其次是看技术能力和运行条件，CA要为社会服务，能否保证安全可信，运转有效；这需要专门的技术能力和安全完整的网上认证技术体系。比如在炒股票时，如果认证的周期太长，别人已经成交了，你这里还堵着，那肯定不行。第三是看是否有足够的财力支持。没有数千万乃至上亿的投入，是无法面向社会提供可信赖的CA服务。第四是看整个CA系统和设施是否安全。总之，CA中心能否提供安全可靠的服务，不能仅凭自身的宣传，而是要通过国家信息安全认证。到目前为止已经通过认证的只有一家，还有其它几家也正在审查之中。主要的问题不在于能否发出证书，而在于能否保障证书的使用者的利益。（图1-1 CA体系参考图）图1-1 CA体系参考图1.2 电子商务体系结构随着网络技术的发展，真正意义上的、完善的电子商务应可提供网上交易和管理等全过程的服务。概括起来讲，电子商务的服务功能主要体现在如下几个方面：网上广告宣传服务、网上咨询和交易洽谈服务、网上产品订购服务、网上货币支付服务、电子账户管理服务、网上商品传递及查询服务、用户意见征询服务以及交易活动管理服务等。而电子商务的安全性问题不像人们所想象的那样仅限于用户数据库信息管理的安全性和网上货币支付服务的安全性问题，而是贯穿了如图1-2 所示的电子商务活动的全过程中。7图1-2 电子商务体系结构示意图1.3 当前电子商务的特点电子商务将传统商业活动中物流、资金流、信息流的传递方式利用网络科技整合。企业将重要的信息以全球信息网(W )、企业内部网(Intranet)或外联网(Extranet)直接与分布各地的客户、员工、经销商及供应商连接。创造更具竞争力的经营优势。与传统的商务活动方式相比。电子商务具有以下几个特点：1.3.1 交易网络化通过基于Intemet的计算机网络进行的贸易。整个交易过程均通过计算机互联网络完成。整个交易完全虚拟化。卖方到网络管理机构申请域名。制作主页。而虚拟现实、网上聊天等新技术的发展使买方能够根据自己的需求选择广告，并将信息反馈给卖方。整个交易都在网络这个虚拟的环境中进行。1.3.2 交易成本低网络信息传递的成本相对于信件、电话、传真等较低，同时缩短时间，减少重复的数据录人降低了信息成本,买卖双方通过网络进行商务活动，无需中介者参与，减少了交易的有关环节,卖方可通过互联网络进行产品介绍、宣传，节省传统方式下的广告费用。电8子商务实行“无纸贸易”，减少文件处理费用。互联网使买卖双方即时沟通供需信息，使无库存生产和无库存销售成为可能，从而使库存成本降为零。企业利用内部网(Intranet)可实现无纸办公。提高了内部信息传递的效率，节省时间，并降低管理成本,采用产销快捷的配送公司提供交货服务，降低了产品成本,传统的贸易平台是地面店铺，新的电子商务贸易平台则是网吧或办公室。1.3.3 交易效率高电子商务基于网络技术，克服了传统贸易方式费用高、易出错、处理速度慢等缺点。极大地缩短了交易时间。使整个交易非常快捷与方便。1.3.4 交易透明化买卖双方从交易的洽谈、签约以及货款的支付、交货通知等整个交易过程都在网络上进行。通畅、快捷的信息传输可以保证各种信息之间互相核对。可以防止伪造信息的流通，随着电子商务魅力的日渐显露。虚拟企业、虚拟银行、网络营销、网上购物、网上支付、网络广告等正在为人们所熟悉和认同。同时也从另一个侧面反映了电子商务正在对社会和经济产生的影响，包括对商务活动的方式、人们的消费方式、企业的生产方式以及对传统行业、现在金融业和政府的管理行为等影响。总之作为一种商务活动过程。电子商务将带来一场史无前例的革命。对社会经济的影响会远远超过商务的本身，此外还将对就业、法律制度以及文化教育等带来巨大的影响。电子商务将会带领人类进人真正的信息社会。1.4电子商务安全技术研究的目的电子商务在快速发展，各种交易模式遍地开花的过程中，也日益凸显它的弊端，安全性的问题尤其明显。当网上购物变得越来普及的今天，安全问题更亟待解决。对电子商务交易安全的担心，是严重制约我国电子商务发展的第一大瓶颈，安全问题是实施电子商务的首要问题,也是最重要的问题。电子商务的运作，涉及诸多方面的安全问题，资金安全、信息安全、货物安全、商业秘密安全等等。安全问题如果不能妥善解决,电子商务的实现就是一句空话。许多用户不愿进行网上交易，也是因为对网上交易的安全性、可靠性持怀疑态度。因此，从技术上保证交易数据的安全已成为电子商务发展中至关重要的问题。第二章 锐雅电子商务平台分析研究2.1 锐雅简介及电子商务平台现状上海锐雅建设发展有限公司于2010年正式注册成立，注册资金人民币1000万元。公9司坐落于浦东金桥，周边环境优静，办公环境舒适。上海锐雅建设发展有限公司属于建筑/建材/工程行业的民营公司，公司拥有约100名员工本公司纪律严明，公开、公平、公正。公司实行人性化管理，给员工家的感觉、家的关爱、家的温暖。本公司致力于为建筑行业发展提供服务，主要从事：施工总承包资质、施工专业承包资质、设计资质、监理资质等各类建筑资质申请、升级、年检、政策、标准咨询相关服务。公司自成立以来，已为多家中大型建筑企业成功办理相关业务。在2011年2月申请并通过取得了机电设备安装工程专业承包三级资质、城市及道路照明工程专业承包三级资质，同年6月又取得承装（修、试）电力设施许可证，同时具有完善的售后服务体系。锐雅的电子商务平台基本运作流程如图2-1，它除了拥有普通互联网功能外，它还拥有B2C、C2C、B2M、M2C等特殊功能项目，并且还拥有一种前沿功能saas模式的电子商务平台。锐雅的电子商务平台能做很多员工不能做的事情：（1）广告宣传 电子商务可凭借企业的Web服务器和客户的浏览，在Internet上发播各类商业信息。客户可借助网上的检索工具（Search）迅速地找到所需商品信息，而商家可利用网上主页（HomePage）和电子邮件(E-mail）在全球范围内作广告宣传。与以往的各类广告相比，网上的广告成本最为低廉，而给顾客的信息量却最为丰富。（2）咨询洽谈 电子商务可借助非实时的电子邮件（E-mail），新闻组（NewsGroup）和实时的讨论组(chat）来了解市场和商品信息、洽谈交易事务，如有进一步的需求，还可用网上的白板会议（WhiteboardConference）来交流即时的图形信息。网上的咨询和洽谈能超越人们面对面洽谈的限制、提供多种方便的异地交谈形式。（3）网上支付 电子商务要成为一个完整的过程，网上支付是重要的环节，客户和商家之间可采用信用卡帐号进行支付，在网上直接采用电子支付手段将可省去交易中很多人员的开销。网上支付将需要更为可靠的信息传输安全性控制以防止欺骗、窃听、冒用等非法行为。（4）交易管理 整个交易的管理将涉及到人、财、物多个方面，企业和企业、企业和客户及企业内部等各方面的协调和管理。因此，交易管理是涉及商务活动全过程的管理。这些功能使整个公司的运作非常顺利。10图2-1 锐雅的电子商务平台基本运作流程图2.2 目前锐雅电子商务存在的安全性问题随着电子商务的飞速发展，锐雅企业电子商务平台也在快速更新，但电子商务的发展受到许多因素的制约，如社会认同、交易成本、物流配送、信用与法律问题、安全问题等。在这些问题当中，安全问题是一个核心问题。电子商务基于开放的互连网，大量的信息在网上传递，大量的资金在网上划拨流动必然面临各种安全风险，诸如信息泄露或篡改、欺骗、抵赖等。电子商务系统的关键是保证交易数据和交易过程的安全。电子商务的安全性包括保密性、认证性、接人控制、完整性、不可否认性和匿名性等方面。网络安全就是如何保证网络上存储和传输的信息的安全性。但是由于在互联网络设计之初，只考虑方便性、开放性，使得互联网络非常脆弱。极易受到黑客的攻击或有组织的群体人侵。也会由于系统内部人员的不规范使用和恶意破坏，使得网络信息系统遭到破坏，信息泄露。概括起来，电子商务面临的安全威胁主要有：2.2.1 网络协议安全性问题目前，TCP/IP协议是应用最广泛的网络协议，但由于TCP/IP本身的开放性特点，企业和用户在电子交易过程中的数据是以数据包的形式来传送的，恶意攻击者很容易对某个电子商务网站展开数据包拦截，甚至对数据包进行修改和假冒。112.2.2 用户信息安全性问题目前最主要的电子商务形式是基于B/S(Browser/Server)结构的电子商务网站，用户使用浏览器登录网络进行交易，由于用户在登录时使用的可能是公共计算机，如网吧、办公室的计算机等情况，那么如果这些计算机中有恶意木马程序或病毒，这些用户的登录信息如用户名、口令可能会有丢失的危险。2.2.3 电子商务网站的安全性问题有些企业建立的电子商务网站本身在设计制作时就会有一些安全隐患，服务器操作系统本身也会有漏洞，不法攻击者如果进入电子商务网站，大量用户信息及交易信息将被窃取，给企业和用户造成难以估量的损失。2.3锐雅电子商务安全性要求2.3.1 服务的有效性要求电子商务系统应能防止服务失败情况的发生，预防由于网络故障和病毒发作等因素产生的系统停止服务等情况，保证交易数据能准确快速的传送。2.3.2 交易信息的保密性要求电子商务系统应对用户所传送的信息进行有效的加密，防止因信息被截取破译，同时要防止信息被越权访问。2.3.3 数据完整性要求数字完整性是指在数据处理过程中，原来数据和现行数据之间保持完全一致。为了保障商务交易的严肃和公正，交易的文件是不可被修改的，否则必然会损害一方的商业利益。2.3.4 身份认证的要求电子商务系统应提供安全有效的身份认证机制，确保交易双方的信息都是合法有效的，以免发生交易纠纷时提供法律依据。12第三章 针对锐雅电子商务平台采取的安全技术措施3.1 数据加密技术对数据进行加密是电子商务系统最基本的信息安全防范措施.其原理是利用加密算法将信息明文转换成按一定加密规则生成的密文后进行传输，从而保证数据的保密性。使用数据加密技术可以解决信息本身的保密性要求。数据加密技术可分为对称密钥加密和非对称密钥加密。3.1.1对称密钥加密(SecretKeyEncryption)对称密钥加密也叫秘密/专用密钥加密，即发送和接收数据的双方必须使用相同的密钥对明文进行加密和解密运算。它的优点是加密、解密速度快，适合于对大量数据进行加密，能够保证数据的机密性和完整性；缺点是当用户数量大时，分配和管理密钥就相当困难。3.1.2非对称密钥加密(PublicKeyEncryption)非对称密钥加密也叫公开密钥加密，它主要指每个人都有一对惟一对应的密钥:公开密钥(简称公钥)和私人密钥(简称私钥)公钥对外公开，私钥由个人秘密保存，用其中一把密钥来加密，就只能用另一把密钥来解密。非对称密钥加密算法的优点是易于分配和管理，缺点是算法复杂，加密速度慢。算法如下：公钥n=pq(p，q分别为两个互异的大素数，必须要保密，n的长度大于512bit)，选一个数e与(p1)(q1)互质，私钥d=e1(mod(p1)(q1)，加密：c=me(mod n)(其中m为明文，c为密文)，解密：m=cd(mod n)。3.1.3复杂加密技术由于上述两种加密技术各有长短，目前比较普遍的做法是将两种技术进行集成。例如信息发送方使用对称密钥对信息进行加密，生成的密文后再用接收方的公钥加密对称密钥生成数字信封，然后将密文和数字信封同时发送给接收方，接收方按相反方向解密后得到明文。3.2 数字签名技术数字签名是通过特定密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证，其验证的准确度是一般手工13签名和图章的验证所无法比拟的。数字签名技术可以保证信息传送的完整性和不可抵赖性。3.3 认证机构和数字证书由于电子商务中的交易一般不会有使用者面对面进行，所以对交易双方身份的认定是保障电子商务交易安全的前提。认证机构是一个公立可信的第三方，用以证实交易双方的身份，数字证书是由认证机构签名的包括公开密钥拥有者身份信息以及公开密钥的文件。在交易支付过程中，参与方必须利用认证中心签发的数字证书来证明自己的身份。3.4 使用安全电子交易协议(SET:Secure Electronic Transactions)是由VISA和MasterCard两大信用卡组织指定的标准。SET用于划分与界定电子商务活动中各方的权利义务关系，给定交易信息传送流程标准。SET协议保证了电子商务系统的保密性、完整性、不可否认性和身份的合法性。3.5 私有密钥加密法私有密钥加密,指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用同样的一把密钥A对收到的密文M进行解密,得到明文信息,从而完成密文通信目的的方法。这种信息加密传输方式,就称为私有密钥加密法。上述加密法的一个最大特点是,信息发送方与信息接收方均需采用同样的密钥,具有对称性,所以私有密钥加密又称为对称密钥加密。3.6 公开密钥加密法公开密钥加密法是针对私有密钥加密法的缺陷而提出来的。是电子商务应用的核心密码技术。所谓公开密钥加密,就是指在计算机网络上甲、乙两用户之间进行通信时,发送方甲为了保护要传输的明文信息不被第三方窃取,采用密钥A对信息进行加密而形成密文M并发送给接收方乙,接收方乙用另一把密钥B对收到的密文M进行解密,得到明文信息完密文通信目的的方法。由于密钥A、密钥B这两把密钥中其中一把为用户私有,另一把对网络上的大众用户是公开的,所以这种信息加密传输方式,就称为公开密钥加密法。与私有(对称)密钥加密法的加密和解密用同一把密钥的原理不同,公开密钥加密法的加密与解密所用密钥是不同的,不对称,所以公开私有密钥加密法又称为非对称密钥加密法。143.7 虚拟专网技术（VPN）VPN的实现过程使用了安全隧道技术、信息加密技术、用户认证技术、访问控制技术等。VPN具投资小、易管理、适应性强等优点。VPN可帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网之间建立可信的安全连接，并保证数据的安全传输，以此达到在公共的Internet上或企业局域网之间实现完全的电子交易的目的。3.8杀毒软件技术杀毒软件肯定是我们见的最多，也用得最为普遍的安全技术方案，因为这种技术实现起来最为简单，但我们都知道杀毒软件的主要功能就是杀毒，功能十分有限，不能完全满足网络安全的需要。这种方式对于个人用户或小企业或许还能满足需要，但如果个人或企业有电子商务方面的需求，就不能完全满足了。可喜的是随着杀毒软件技术的不断发展，现在的主流杀毒软件同时对预防木马及其它的一些黑客程序的入侵。还有的杀毒软件开发商同时提供了软件防火墙，具有了一定防火墙功能，在一定程度上能起到硬件防火墙的功效，如KV300、金山防火墙、Norton防火墙等。3.9 防火墙技术“防火墙”是一种形象的说法, 其实它是一种由计算机硬件和软件的组合, 使互联网与内部网之间建立起一个安全网关( scurity gateway), 从而保护内部网免受非法用户的侵入，它其实就是一个把互联网与内部网（通常这局域网或城域网）隔开的屏障。防火墙如果从实现方式上来分，又分为硬件防火墙和软件防火墙两类，我们通常意义上讲的硬防火墙为硬件防火墙，它是通过硬件和软件的结合来达到隔离内、外部网络的目的，价格较贵，但效果较好，一般小型企业和个人很难实现；软件防火墙它是通过纯软件的方式来达到，价格很便宜，但这类防火墙只能通过一定的规则来达到限制一些非法用户访问内部网的目的。现在软件防火墙主要有天网防火墙个人及企业版，Norton的个人及企业版软件防火墙，还有许多原来是开发杀病毒软件的开发商现在也开发了软件防火墙，如KV系列、KILL系列、金山系列等。硬件防火墙如果从技术上来分又可分为两类, 即标准防火墙和双家网关防火墙。标准防火墙系统包括一个UNIX工作站, 该工作站的两端各接一个路由器进行缓冲。其中一个路由器的接口是外部世界, 即公用网; 另一个则连接内部网。标准防火墙使用专门的软件,15并要求较高的管理水平, 而且在信息传输上有一定的延迟。双家网关 (dual home gateway) 则是标准防火墙的扩充, 又称堡垒主机(bation host) 或应用层网关(applications layer gateway), 它是一个单个的系统, 但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用, 同时防止在互联网和内部系统之间建立的任何直接的边界,可以确保数据包不能直接从外部网络到达内部网络, 反之亦然。 随着防火墙技术的发展, 双家网关的基础上又演化出两种防火墙配置, 一种是隐蔽主机网关方式, 另一种是隐蔽智能网关( 隐蔽子网)。隐蔽主机网关是当前一种常见的防火墙配置。顾名思义, 这种配置一方面将路由器进行隐蔽, 另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上, 通过路由器的配置, 使该堡垒主机成为内部网与互联网进行通信的唯一系统。目前技术最为复杂而且安全级别最高的防火墙是隐蔽智能网关, 它将网关隐藏在公共系统之后使其免遭直接攻击。隐蔽智能网关提供了对互联网服务进行几乎透明的访问, 同时阻止了外部未授权访问对专用网络的非法访问。一般来说, 这种防火墙是最不容易被破坏的。3.10文件加密和数字签名技术与防火墙配合使用的安全技术还有文件加密与数字签名技术，它是为提高信息系统及数据的安全性和保密性, 防止秘密数据被外部窃取、侦听或破坏所采用的主要技术手段之一。随着信息技术的发展, 网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外, 从技术上分别在软件和硬件两方面采取措施, 推动着数据加密技术和物理防范技术的不断发展。按作用不同, 文件加密和数字签名技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。3.10.1 数据传输加密技术目的是对传输中的数据流加密, 常用的方针有线路加密和端对端加密两种。前者侧重在线路上而不考虑信源与信宿, 是对保密信息通过各线路采用不同的加密密钥提供安全保护。后者则指信息由发送者端通过专用的加密软件，采用某种加密技术对所发送文件进行加密,把明文（也即原文）加密成密文（加密后的文件，这些文件内容是一些看不懂的代码）， 然后进入TCP/IP数据包封装穿过互联网, 当这些信息一旦到达目的地, 将由收件人运用相应的密钥进行解密, 使密文恢复成为可读数据明文。目前最常用的加密技术有对称加密技术和非对称加密技术，对称加密技术是指同时运用一个密钥进行加密和解密，非对称加密方式就是加密和解密所用的密钥不一样，它有一对密钥，称为“公钥”和“私钥”两个，这两上密钥必须配对使用，也就是说用公钥加密的文件必须用相应人的么钥才能解密，反之亦然。163.10.2数据存储加密技术这种加密技术的目的是防止在存储环节上的数据失密, 可分为密文存储和存取控制两种。前者一般是通过加密法转换、附加密码、加密模块等方法实现;如上面提到的PGP加密软件，它不光可以为互联网上通信的文件进行加密和数字签名，还可以对本地硬盘文件资料进行加密，防止非法访问。这种加密方式不同于OFFICE文档中的密码保护，用加密17软件加密的文件在解密前内容都会作一下代码转换，把原来普通的数据转变成一堆看不懂的代码，这样就保护了原文件不被非法阅读、修改。后者则是对用户资格、权限加以审查和限制, 防止非法用户存取数据或合法用户越权存取数据，这种技术主要应用于NT系统和一些网络操作系统中，在系统中可以对不同工作组的用户赋予相应的权限以达到保护重要数据不被子非常访问。3.10.3 数据完整性鉴别技术目的是对介入信息的传送、存取、处理的人的身份和相关数据内容进行验证, 达到保密的要求, 一般包括口令、密钥、身份 、数据等项的鉴别, 系统通过对比验证对象输入的特征值是否符合预先设定的参数, 实现对数据的安全保护。这种鉴别技术主要应用于大型的数据库管理系统中，因为一个单位的数据通常是一个单位的命脉，所以保护好公司数据库的安全通常是一个单位网管、甚至到一把手的最重要的责任。数据库系统会根据不同用户设置不同访问权限，并对其身份及权限的完整性进行严格识别。3.10.4密钥管理技术上面我讲到了数据的加密技术通常是运用密钥对数据进行加密，这就涉及了一个密钥的管理方面，因为用加密软件进行加密时所用的密钥通常不是我们平常所用的密码那么仅几位，至多十几位数字或字母，一般情况这种密钥达64bit，有的达到128bit，我们一般不可能完全用脑来记住这些密钥，只能保存在一个安全的地方，所以这就涉及到了密钥的管理技术。密钥的保存媒体通常有: 磁卡、磁带、磁盘、半导体存储器等，但这些都可能有损坏或丢失的危险，所以现在的主流加密软件都采取第三方认证（这第三方可以是个人，也可以是公证机关）或采用随机密钥来弥补人们记忆上的不足，还是如PGP加密软件，不过现在的WIN2K系统以及其它一些加密软件都在慢慢地往这个方向发展。183.10.5 加密技术在智能卡上的应用与数据加密技术紧密相关的另一项技术则是智能卡技术。所谓智能卡就是密钥的一种媒体, 一般就像信用卡一样, 由授权用户所持有并由该用户赋予它一个口令或密码字。该密码与内部网络服务器上注册的密码一致。当口令与身份特征共同使用时, 智能卡的保密性能还是相当有效的。这种技术比较常见，也用得较为广泛，如我们常用的IC卡、银行取款卡、智能门锁卡等等。183.10.6 网络扫描技术解决网络层安全问题，首先要清楚网络中存在的安全隐患和脆弱点的范围面对大型网络的复杂性和不断变化的情况依靠网络管理员的技术和经验寻找安全漏洞。做出风险评估显然是不现实的。因此需要找出一种能寻找网络安全漏洞、评估并提出修改建议的网络安全扫描工具。3.10.7 网络实时入侵检测技术防火墙虽然能抵御网络外部安全威胁。但对网络内部发起的攻击无能为力 动态地监测网络内部活动并做出及时的响应。就要依靠基于网络的实时人侵监测技术。监控网络上的数据流，从中检测出攻击的行为并给予响应和处理。实时人侵检测技术还能检测到绕过防火墙的攻击。实时网络人侵检测系统对计算机网络进行自主地、实时地攻击检测与响应。这种措施对网络安全轮回监控使用户可以在系统被破坏之前自主地中断攻击并报告用户实时监控系统在网络中分析可疑的数据而不会影响数据在网络上的传输，对安全威胁的 主响应为企业提供了最大限度的安全保障。在检测到网络人侵后，除了可以及时切断攻击行为之外还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的智能防护体系。3.10.8 系统扫描技术对操作系统这一层次需要功能全面、智能化的检测，以帮助网络管理员高效地完成定期检测和修复操作系统安全漏洞的工作。系统管理员要不断跟踪有关操作系统漏洞的发布及时下载补丁来进行防范。同时要经常对关键数据和文件进行备份和妥善保存，随时留意系统文件的变化。系统扫描器是基于主机的一种领先的安全评估系统。系统扫描器通过对内部网络安全弱点的全面分析协助企业进行安全风险管理。区别于静态的安全策略，系统扫描工具对主机进行真正预防潜在安全风险问题的设置。其中包括易猜出的密码、用户权限、文件系统进入权、服务器设置以及其他含有攻击隐患的可疑点。3.10.9 系统实时入侵探测技术为了加系统实时入侵探测技术强主机的安全还应采用基于操作系统的入侵探测技术。系统入侵探测技术监控主机的系统事件，从中检测出攻击的可疑特征，并给与响应和处理。系统实时入侵探测技术对计算机主机操作系统进行自主的、实时的攻击检测与响应，一旦19发现对主机的入侵，基于主机的入侵检测系统可以马上切断用户进程并做出各种安全反应。实际的产品一般还具有伪装功能可以将服务器不开放的端口进行伪装进一步迷惑可能的人侵者提高系统的安全防护时间。3.10.10 身份认证技术在实际系统中，可以采用数字摘要、数字信封、数字签名、数字时间戳、数字证书、认证中心、智能卡等技术手段来提高安全性。3.10.11 安全电子交易协议在电子交易中，通常采用适当的电子交易协议，如安全套阶层协议(SecUre Socket Layer，SSL)、安全电子交易协议(Secure Electronic Transaction，SET)、NetBill协议、安全超文本传输协议(sH1 rP)、安全交易技术协议(Secure Transaction Teclnology,srr)等。3.10.12 访问控制技术除了计算机网络硬设备之外网络操作系统是确保计算机网络安全的最基本部件。它是计算机网络资源的管理者必须具备安全的控制策略和保护机制防止非法入侵者攻破设防而非法获取资源。因此，授权策略和机制的安全性显得特别重要。保护可以从物理隔离、时间隔离、密码隔离几个方面加以考虑一般可以采用防火墙和VpN等访问控制技术来加强防范。电子商务是现代信息技术发展