chap3 电子商务的安全问题.doc

第3章 电子商务的安全问题电子商务的技术基础是计算机网络技术，特别是Internet技术，由于Internet的开放性和共享性，给电子商务的发展带来了极大的安全隐患,解决安全性和保密性的问题,是当前电子商务所面对的一个主要问题。3.1 电子商务安全概述计算机网络安全是计算机安全概念在网络环境下的扩展，我国专家对计算机安全的定义为：计算机系统的硬件、软件、数据受到保护，不因偶然的或恶意的原因而泄露、更改和破坏，系统能连续正常运行。计算机安全可以从三个方面来衡量，即保密性、完整性、可用性。保密性(Confidentiality)：是指电子商务的贸易信息直接代表着个人、企业或国家的商业机密。维护商业机密是电子商务全面推广应用的重要保障，要在数据传输过程和存储过程中采用加密技术,使数据不被别人非法窃取、泄露、篡改和破坏。完整性(Integrity)：是指电子商务简化了贸易的中间过程,但是由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。可用性(Authentication)：主要体现在识别机制上,对实体的某些参数进行有效性验证,确认使用者的身份,交易合同、契约、或贸易单据的可靠性,预防抵赖行为的发生。因此,要在交易信息的传输过程中为交易的个人、企业或国家提供可靠的标识。网络安全技术是伴随着网络的诞生而出现的，但直到20世纪80年代末才引起关注，90年代在国外获得了飞速的发展。近几年频繁出现的安全事故引起了各国计算机安全界高度重视，计算机网络安全技术也因此出现了日新月异的变化。安全核心系统、VPN安全隧道、身份认证、网络底层加密和网络入侵主动监测等越来越高深复杂的安全技术极大地从不同层次加强了计算机网络的整体安全性。 互联网已经日渐融入到人类社会的各个方面中，网络防护与网络攻击之间的斗争也将更加激烈。这就对网络安全技术提出了更高的要求。未来的网络安全技术将会涉及到计算机网络的各个层次中，但围绕电子商务安全的防护技术将在未来几年中成为重点，如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。3.1.1 电子商务的安全威胁电子商务的安全威胁来自电子商务系统的各个层面。主要是作为电子商务基础的网络系统、开展电子商务的系统平台和该平台之上的电子商务应用系统。一、网络系统的安全威胁网络系统的主要安全威胁是网络操作系统、黑客攻击、计算机病毒和拒绝服务、安全产品及管理等。1 网络操作系统相关安全配置 不论采用什么操作系统，在缺省安装的条件下都会存在一些安全问题，只有专门针对操作系统安全性进行相关的和严格的安全配置，才能达到一定的安全程度。千万不要以为操作系统缺省安装后，再配上很强的密码系统就算做安全了。网络软件的漏洞和 “后门” 是进行网络攻击的首选目标。2 拒绝服务(DoS，Denial of Service)攻击随着电子商务的兴起，对网站的实时性要求越来越高，DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈，破坏性更大，造成危害的速度更快、范围也更广，而袭击者本身的风险却非常小，甚至可以在袭击开始前就已经消失得无影无踪，使对方没有实行报复打击的可能。例如“电子邮件炸弹”，它的表现形式是用户在很短的时间内收到大量无用的电子邮件，从而影响正常业务的运行。严重时会使系统关机，网络瘫痪。2000年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。3黑客侵袭即黑客非法进人网络非法使用网络资源，例如通过网络监听获取网上用户的账号和密码；非法获取网上传输的数据；通过隐蔽通道进行非法活动：采用匿名用户访问进行攻击；突破防火墙等。4计算机病毒的侵袭当前，活性病毒达3000多种，计算机病毒侵入网络，对网络资源进行破坏，使网络不能正常工作，甚至造成整个网络的瘫痪。5安全产品使用不当 虽然不少网站采用了一些网络安全设备，但由于安全产品本身的问题或使用问题，这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高，超出对普通网管人员的技术要求，就算是厂家在最初给用户做了正确的安装、配置，但一旦系统改动，需要改动相关安全产品的设置时，很容易产生许多安全问题。6缺少严格的网络安全管理制度网络安全最重要的还是要思想上高度重视，网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。7中国特色的安全威胁中国作为发展中国家，在IT基础技术和管理上的弱势使我们的网络安全系统具有一些独具特色的安全威胁。如技术被动性引起的安全威胁，我们的芯片基本依赖于进口，即使是自己开发的芯片也需要到国外加工。只有当我国的半导体和微电子技术取得突破性进展之后，才能从根本摆脱这种受制于人的状态。再者，新技术的引入也可能带来安全问题。攻击者可能用现有的技术去研究新技术发现新技术的脆弱点。引入新技术时，并不都有合适的安全特性。尤其是在安全问题还没有被认识，没有被解决之前，产品就进入市场，情况就更严重。若没有及时发现有关的安全缺陷，就有可能形成严重的安全隐患。最后，人员素质较差和缺乏系统的安全标准所引起的安全威胁也是需要认真对待的。 具体地讲，网络系统面临的安全威胁主要有如下各种表现： 身份窃取。指用户的身份在通信时被他人非法截取。 非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。 冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权 限，以达到占用合法用户资源的目的。 数据窃取。指非法用户截取通信网络中的某些重要信息。 破坏数据的完整性。指使用非法手段，删除、修改、重发某些重要信息，以干扰用户的正常使用。 拒绝服务。指通信被终止或实时操作被延迟。 否认。指通信的双方有一方事后否认曾参与某次活动。 数据流分析。指分析通信线路中的信息流向、流量和流速等，从中获得有用信息。 干扰系统正常运行。指改变系统的正常运行方法，减慢系统的响应时间等手段。 病毒与恶意攻击。指通过网络传播病毒或恶意Java，ActiveX等。二、电子商务系统安全威胁 当许多传统的商务方式应用在Internet上时，便会带来许多源于安全方面的问题，但在Internet上的电子商务交易过程中，最核心和最关键的问题就是交易的安全性。一般说来商务安全中普遍存在着以下几种安全隐患：1 窃取信息由于未采用加密措施，数据信息在网络上以明文形式传送，入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析，可以找到信息的规律和格式，进而得到传输信息的内容，造成网上传输信息泄密。2 篡改信息当入侵者掌握了信息的格式和规律后，通过各种技术手段和方法，将网络上传送的信息数据在中途修改，然后再发向目的地。这种方法并不新鲜，在路由器或网关上都可以做此类工作。3 假冒由于掌握了数据的格式，并可以篡改通过的信息，攻击者可以冒充合法用户发送假冒的信息或者主动获取信息，而远程用户通常很难分辨。4恶意破坏由于攻击者可以接入网络，则可能对网络中的信息进行修改，掌握网上的机要信息，甚至可以潜入网络内部，其后果是非常严重的。3.1.2 电子商务系统安全的概念模型 电子商务系统是计算机网络及电子商务应用系统的集成，其安全性是一个系统的概念，不仅与计算机系统结构有关，还与电子商务应用的环境、人员素质和社会因素有关。它包括电子商务系统的硬件安全、软件安全、运行安全、电子商务安全立法等等。所以，电子商务的安全系统是一个系统工程。 一、 电子商务系统硬件安全。硬件安全是指保护计算机系统硬件（包括外部设备）的安全，保证其自身的可靠性和为系统提供基本安全机制。 二、 电子商务统软件安全。软件安全是指保护软件和数据不被篡改、破坏和非法复制。系统软件安全的目标是使计算机系统逻辑上安全，主要是使系统中信息的存取、处理和传输满足系统安全策略的要求。根据计算机软件系统的组成，软件安全可分为操作系统安全、数据库安全、网络软件安全和应用软件安全。 三、 电子商务系统运行安全。运行安全是指保护系统能连续和正常地运行。 四、 电子商务安全立法。电子商务安全立法是对电子商务犯罪的约束，它是利用国家机器，通过安全立法，体现与犯罪斗争的国家意志。 综上所述，电子商务安全是一个复杂的系统问题，与电子商务应用的社会环境、人员素质等有关，基本上不属于技术上的系统设计问题，而硬件安全是目前硬件技术水平能够 解决的问题。在下面各节，主要讲述解决电子商务安全的相关技术问题。3.1.3 电子商务对安全交易的要求要确保电子商务交易的安全，特别是电子支付的安全，在电子商务的应用过程中需要满足以下六个方面的要求。一、信息的保密性 信息的保密性是指信息在传输或存储过程中不被他人窃取。在利用网络进行的交易中，的商务信息均有保密的要求。如信用卡的帐号和用户名等不能被他人知悉，因此在信息传输中一般均有加密的要求。传统贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的的。电子商务建立在开放的Internet环境上，维护商业机密是电子商务全面推广应用的重要保障。因此，要预防信息大量传输过程中被非法窃取，必须确保只有合法用户才能看到数据，防止信息被窃看。二、信息的完整性 由于数据输入时的意外差错或欺诈行为，可能导致贸易各方信息的差异。此外，数据传输过程中的信息丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略，电子商务系统信息存储必须保证正确无误。因此，要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。 1 数据传输的完整性 网络传输所使用的协议具有查错纠错的功能，以保证数据的完整性。在高层信息中，应具有信息投递的确认与通知的功能，以保证传送无误。要确保数据在传递过程中的安全性和真实性，防止数据的丢失和篡改。 2 完整性检查上下文检查 对电子商务报文进行完整性检查，抛弃不完整的电子商务文件。对接收电子商务报文数据要进行扫描，按电子商务所规定的语法规则进行上下文检查，不符合语法规则的非法字符将从数据流中被移走。三、信息的有效性电子商务以电子形式取代了纸张，那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务作为贸易的一种形式，其信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后，这项交易就应受到保护以防止被篡改或伪造。交易的有效性在其价格、期限及数量作为协议一部分时尤为重要。接收方可以证实所接收的数据是原发方发出的；而原发方也可以证实只有指定的接收方才能接收；因此，必须保证贸易数据在确定价格、期限、数量以及确定时刻、地点时是有效的。四、信息的不可抵赖性由于商情的千变万化，交易一旦达成是不能被否认的。否则必然会损害一方的利益。因此电子交易通信过程的各个环节都必须是不可抵赖的。在传统的纸面贸易中，贸易双方通过在交易合同、契约或贸易交易所的书面文件上的手写签名或印章来鉴别贸易伙伴，确定合同、契约、交易所的可靠性，并预防抵赖行为的发生。这也就是人们常说的“白纸黑字”。一旦交易开展后便不可撤销，交易中的任何一方都不得否认其在该交易中的行为。 在无纸化的电子商务方式下，通过手写签名和印章进行贸易方的鉴别已是不可能的了。可能出现这样的情况，买方向卖方订购某种建筑材料，订货时世界市场的价格较低，收到订单时价格上涨了，如果卖方否认收到的订单的时间，甚至否认收到订单，那么买方就会受到损失。再比如，买方在网上买了光盘，不能说没有买，谎称寄出的订单不是自己的，而是信用卡被盗用，卖方也同样会受到损失。因此，要求在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识，使原发方在发送数据后不能抵赖；接收方在接收数据后也不能抵赖。五、交易身份的真实性交易者身份的真实性是指交易双方确实是存在的，不是假冒的。网上交易的双方很可能素昧平生，相隔千里。要使交易成功，首先要能确认对方的身份，对商家要考虑客户端不能是骗子，而客户也会担心网上的商店是不是一个玩弄欺诈的黑店。因此能方便而可靠地确认对方身份是交易的前提。六、系统的可靠性电子商务系统是计算机系统，其可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等所产生的潜在威胁，并加以控制和预防，确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输、数据存储及电子商务完整性检查的正确和可靠的根基。总之，要保证电子商务系统的安全性，必须建立安全交易体系。下面的图8-1列出了安全体系包括的几个层次：数据加密、安全认证技术、安全协议和在此基础上的电子商务系统。电子商务业务系统 电子支付系统 电子商务安全应用层协议 SET、SSL、SHTP、STT 、S/MIME. 电子商务安全认证技术数字摘要、数字签名、数字信封、CA体系 安全数据传输技术 非对称密钥体制、对称密钥体制、DES、RSA.图3-1 电子商务安全交易体系结构第3章 电子商务的安全问题3.2 电子商务常用安全技术3.2.1 信息安全与加密技术一、数据加密技术数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破 译所采用的主要技术手段之一，也是网络安全的重要技术。加密技术是一种主动的信息安 全防范措施，其原理是利用一定的加密算法，将明文（即原始信息）转换成为无意义的密文，阻止非法用户获取和理解原始数据，从而确保数据的保密性。 加密明文密文发信方 解密密文明文收信方Internet图3-2 加密技术示意图明文变成密文的过程称为加密，由密文还原成明文的过程称为解密，加密和解密的规则称为加密算法。在加密和解密的过程中，由加密者和解密者使用的加解密可变参数称为密钥。加密过程及原理如图8-2所示。二、对称密钥加密体制对称密钥加密体制属于传统密钥加密系统。是指在对信息的加密和解密过程中使用相同的密钥。或者，加密和解密的密钥虽然不同，但可以由其中一个推导出另一个。 对称密钥加密算法的代表是数据加密标准DES（US Federal Data Encryption standard），此标准由IBM公司开发，现在已成为国际标准，由美国国家安全局和国家标准与技术局来管理。另一个系统是国际数据加密算法（IDEA），它比DES的加密性好，而且需要的计算机功能也不那么强。IDEA加密标准由PGP（Pretty Good Privacy）系统使用。1DES加密算法 DES是一种数据分组的加密算法，它将数据分成长度为64位的数据块，其中8位作为奇偶校验。有效的密码长度为56位。首先将明文数据进行初始置换，得到64位的混乱明文组，再将其分成两段，每段32位。然后进行乘积变换，在密钥的控制下，做16次迭代，最后进行逆初始变换而得到密文。 对称密码体制也称为私钥加密法。这种方法已经使用几个世纪了，收发加密信息双方使用同一个私钥对信息进行加密和解密。对称密码体制的优点是具有很高的保密强度，但它的密钥必须按照安全途径进行传递，根据“一切秘密寓于密钥当中”的公理，密钥管理成为影响系统安全的关键性因素，难于满足开放式计算机网络的需求。2对称密码体制的特点在对称密钥密码体制中，使用的加密算法比较简便高效，密钥简短，破译极其困难。 密钥难于安全传递 密钥使用一段时间后就要更换，加密方每次启动新密码时，都要经过某种秘密渠道把密钥传给解密方，而密钥在传递过程中容易泄漏。 密钥量太大，难以进行管理网络通信时，如果网内的所有用户都使用同样的密钥,那就失去了保密的意义。但如果网内任意两个用户通信时都使用互不相同的密钥，N个人就要使用N（N一1）/2个密钥。因此，密钥量太大，难以进行管理。无法满足互不相识的人进行私人谈话时的保密性要求。在Internet中，有时素不相识的两方需要传送加密信息。 难以解决数字签名验证的问题。为解决密钥管理问题，Diffie和He11man于1976年提出一种密钥交换协议，允许在不安全的媒体上通信双方交换信息，安全地达成一致的密钥。在此新思想的基础上，很快出现公开密钥加密体制。三、公开密钥加密体制公开密钥密码体制是现代密码学的最重要的发明和进展。它是将加密密钥和解密密钥分开，加密和解密分别由两个密钥来实现，并使得由加密密钥推导出解密密钥（或由解密密钥推导出加密密钥）在计算上是不可行的。 采用公开密钥密码体制的每一个用户都有一对选定的密钥，其中加密密钥不同于解密密钥，加密密钥公之于众，谁都可以用，称为“公开密钥”（public-key）；解密密钥只有解密人自己知道，称为“私密密钥”（private-key），公开密钥密码体制也称为不对称密钥密码体制。 保护敏感的信息和验证信息发送人的身份一直是密码学的研究主题，公开密钥密码体制为这两方面的问题都给出了出色的答案，并正在继续产生许多新的思想和方案。公开密钥加密方法的典型代表是RSA算法。 1RSA算法 RSA算法是1978年由RonRivest，AdiShamir和Leonard Adleman三人发明的，所以该算法以三个发明者名字的首字母命名为RSA。RSA是第一个既能用于数据加密也能用于数字签名的算法。但RSA的安全性一直未能得到理论上的证明。 RSA的安全性依赖于大数分解。公钥和私钥都是两个大素数(大于100个十进制位)的函数。据猜测，从一个密钥和密文推断出明文的难度等同于分解两个大素数的积。 简言之，找两个很大的质数，一个作为“公钥”公开，一个作为“私钥”不告诉任何人。这两个密钥是互补的，即用公钥加密的密文可以用私钥解密，反过来也可以。例如：甲、乙双方利用该方案实现机密信息交换的基本过程是：甲方生成一对密钥并将其中的一把作为公开密钥向乙方公开；乙方使用该公钥对机密信息加密后发送给甲方；甲方收到信息后用自己保存的私钥解密。从而解决了信息传输中的保密问题。另一方面由于每个人都可以知道甲方的公钥，他们都能给甲方发送信息。甲方需要确认的确是乙方发送的信息，这就产生了认证的问题，这时候就要用到数字签名。RSA公钥体系的特点使它非常适合用来满足上述两个要求：保密性(privacy)和认证性(authentication)。2公开密钥密码体制的特点 密钥分配简单。由于加密密钥与解密密钥不同，且不能由加密密钥推导出解密密 钥，因此，加密密钥表可以像电话号码本一样分发给各用户，而解密密钥则由用户自己掌握。 密钥的保存量少。网络中的每一密码通信成员只需秘密保存自己的解密密钥，N个通信成员只需产生N对密钥，便于密钥管理。 可以满足互不相识的人之间进行私人谈话时的保密性要求。 可以完成数字签名和数字鉴别。发信人使用只有自己知道的密钥进行签名，收信人利用公开密钥进行检查，既方便又安全。四、加密算法的应用对称密码体制算法比公钥密码体制算法快；另一方面，后者比前者易传递，因而在电子商务交易系统的安全协议中，两种体制均得到了应用。这样，既提供了保密又提高了通信速度。示例如下：第一步：发送者先产生一个随机数(即对称密钥，每次加密密钥不同)，并用它对要发送的信息进行加密。第二步：发送者用接收者的公共密钥用RSA算法对该随机数（即对称密钥）加密。随后将上两步加密的信通过网络发送。第三步：接收者接收到信息后，首先用自己的私人密钥随机数解密。第四步：接收者再用解密后的随机数对信息进行解密。这种加解密方式，既有RSA体系的保密性，又有DES或IDEA算法的快捷性。3.2.2 3.2.2 网络安全与防火墙技术古时候，人们常在住处与生活处所之间砌起一道墙，一旦发生火灾，它能够防止火势蔓延到别的地方，这种墙称为防火墙（FireWall）。在Internet中防火墙是一种形象的说法，是指在内部网络（如Intranet）和外部网络（如互联网）之间设置一个或多个电子屏障来提供网络安全环境。其目的是阻止对信息资源的非法访问；也可以使用防火墙阻止内部信息从公司的网络上被非法窃取。换言之：防火墙是一道门槛，控制进出两个方向的通信。通过限制网络或某一特定区域的通信，以达到防范不可预料的、潜在的非法用户（对内部网络未授权访问的用户）侵犯网络以及防止内部用户对外部网络的非法访问等目的。一、防火墙的功能防火墙己成为实现网络安全策略的最有效的工具之一，并被广泛地应用到Internet上。 防火培主要有以下功能： 保护那些易受攻击的服务。防火墙能过滤那些不安全的服务（如Finger，NFS等）。只有预先被允许的服务才能通过防火墙，这样就降降低了受到非法攻击的危险，大大提高了 网络的安全性。 控制对特殊站点的访问。 防火墙能控制对特殊站点的访问。如有些主机能被外部网络访问，而有些则要被保护起来，防止不必要的访问。通常会有这样一种情况，在内部网中只有E-Mail服务器、FTP服务器和www服务器能被外部网访问，而其他访问则被主机禁止。 集中化的安全管理。对于一个公司来说，使用防火墙比不使用防火墙可能更加经济一些。这是因为如果使用了防火墙，就可以将所有修改过的软件和附加的安全软件都放在防火墙上。而不使用防火墙，就必须将所有软件分散到各个主机上。 对网络存取访问进行记录和统计，如果所有对Internet的访问都经过防火墙，那么，防火墙就能记录下这些访问，并能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的告警，并提供网络是否受到监测和攻击的详细信息。二、防火墙的主要类型在建立防火墙系统时，首先要决定防火墙所采取的安全策略。 防火墙的安全策略有两种： 一切未被允许的都是被禁止的这意味着需要确定所有可以被提供的服务以及他们的安全特性，开放这些服务，并将所有其他未列入的服务排斥在外，禁止访问。其弊端是，安全性高于用户使用的方便性，用户所能使用的服务范围受限制。 一切未被禁止的都是被允许的这意味着首先确定那些被禁止的、不安全的服务，以禁止他们来访问，而其他服务则被认为是安全的，允许访问。其弊病是，在日益增多的网络服务面前，网络管理人员疲于奔命，特别是受保护的网络范围增大时，很难提供可靠的安全防护。从安全的角度考虑，第一种策略更安全可取，而从灵活性和使用方便性的角度考虑，第二种策略更适合。 根据防火墙所采用的技术不同，可以将它分为三种基本类型：包过滤型、代理型和全状态检测型。 1包过滤型防火墙 包过滤型产品是防火墙的初级产品，其技术依据是网络中的包传输技术。网络上的数据被分割成为一定大小的数据包，每个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCPUDP源端口和目标端口等。防火墙通过读取数据包中的IP地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。 包过滤技术的优点是简单实用，实现成本较低，在应付环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。 但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。 2代理型防火墙 代理型防火墙也可以称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机看，代理服务器相当于一台真正的服务器：而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。 代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响而且代理服务器必须针对客户机可能产生的所有应用层安全逐一进行设置，大大增加了系统管理的复杂性。 3全状态检测型防火墙 全状态检测型防火墙是最新的防火墙产品，这一技术实际已经超越了最初的防火墙定义。全状态检测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，全状态检测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。因此，全状态检测型防火墙不仅超越了传统防火墙的定义，而且在安全性也超越了前两代产品。三、防火墙应用系统上述防火墙技术的不同组合，可以形成各种不同的防火墙应用系统，常用的如下： 单一包过滤防火墙系统这是最简单的防火墙，它只是在路由器上运行包过滤软件。配置如图8-3所示。包过滤路由器受保护的内部网络外部网络（Internet）图3-3 单一包过滤防火墙系统 双宿主网关防火墙系统双宿主网关由一台插有两块网卡的计算机（代理服务器）来实现（见图8-4），如果内受保护的内部网络外部网络（Internet）图3-4 双宿主网关防火墙系统网卡1网卡2代理服务器部网络的计算机想访问外部网络，它必须通过双宿主主机上连接内部网络的网卡1向代理服务器发出请求，代理服务器检查其是否符合允许访问外部主机的规则，如果允许，代理服务器通过网卡2为它们建立连接，反之亦然。作为双宿主网关的主机，其操作系统的路由功能必须是关闭的，否则，两块网卡之间的通信会绕过代理服务器软件。 主机过滤此种防火墙配置采用了包过滤路由器和应用网关（代理服务器）来实现高层次的安全。来自外部网络的数据包先经过过滤路由器的过滤，不符合过滤规则的数据包被滤掉（通常与应用网关之外的机器的通信都会被拒绝）；通过过滤路由器的数据包被传送到应用网关（只配有一块网卡），网关的代理服务器软件将允许通过的信息传送到受保护的内部网络上（见图8-5）。受保护的内部网络外部网络（Internet）图3-5 主机过滤防火墙系统代理服务器包过滤路由器 子网过滤子网过滤防火墙比主机过滤防火墙增加了一个内部过滤路由器，由两个包过滤路由器和应用网关（代理服务器）组成。为内部网络又提供了一层保护。 如何建立防火墙并没有严格的规定，网络管理员应遵循既能保护内部网络的安全而又不影响网络使用的原则，选择适用于自己网络需求的防火墙配置。3.2.3 3.2.3 工作站系统安全工作站安全也是商务系统安全体系的一个组成部分。一般来说工作站和系统越复杂、越灵活，它所提供的服务就越多；而服务越多，导致运行设计方面出错的机会就越大，这将会给非法用户者进入该系统留下许多隐患。所以，从安全的角度出发，只保留使用网络服务器运行所需的主要功能，而其他的功能不能运行，是一个常用策略。 对UNIX系统 UNIX系统里，系统管理员被称为超级用户。它拥有控制系统的所有权限，所以必须对超级用户的密码进行严格管理。网上的侵入主要是截取超级用户的密码，利用得到的系统最高权限，进行破坏。在防范措施上，首先要增加防范意识；此外，及时应用系统供应商提供的补丁程序改进系统功能；在运行UNIX版本时，删除一些不必要的服务功能，特别是基于Internet的一些服务功能，如FTP，Telnet等。 对Windows NT系统Windows NT有一个类似于UNIX系统的路由，管理型用户的账户有类似于UNIX路由账户使用的优先进入权，并能够修改注册，但不包括进入系统的全部口令。Windows NT具有保护的功能，但管理人员必须启动它们。除提供一种虚拟的闯入报警装置来检测侵入者的功能以外，还提供账户封闭和审查特点的功能，通过启动这些功能就能够更加有效监测Windows NT。 安全扫描仪 安全扫描仪（Security scanner）也是常用的安全防范措施。它能够检测现行网络结构与工作站的脆弱点，并提供解决的办法。目前，Internet安全系统Internet Scanner Safe Suite 4.0能够发现防火墙和企业内部网络中的140种弱点。Suite软件由Web Security Scanner和内部网Scanner几部分构成，该软件可以检测Unix，Windows95和windows NT系统上的问题。它可以直接购买，亦可由网络服务商提供服务。另外对付拒绝服务攻击的一个防范工具就是Realsecure，它能监视网络中的活动事件，寻找有攻击企图和未经授权的行为。当Realsecure检测到一个攻击对象时，它会提供几种响应方式，如记录攻击，自动切断信号并通知系统管理员。与防火墙相比，防火墙是按事先设计程序过滤通讯量，而Realsecure则是一种主要监测网络攻击的侵入检测工具。 TripWire TripWire监视文档，用来查看文档是否曾被修改过。这些文档包括那些经常受到侵入者修改的重要工作站的文档。在Web服务器中，所有的网页都受到监视。通过每天至少运行一次TripWire，Unix系统管理人员就能确定文档是否曾被修改过，对可能的非法侵入或Web服务器的破坏提供警报。3.2.4 3.2.4 安全认证技术 安全认证技术是为了满足电子商务系统的安全性要求而采取的一种常用而且必须的安全技术。它主要包括数字摘要、数字信封、数字签名、数字时间戳、数字证书等技术。下面简要介绍。一、数字信封（digital envelop） 数字信封是用加密技术来保证只有规定的特定收信人才能阅读信的内容。在数字信封中，信息发送方采用对称密钥来加密信息，然后将此对称密钥用接收方的公开密钥加密、这部分称为数字信封）如RSA，之后，将它和信息一起发送给接收方，接收方先用相应的私有密钥打开数字信封，得到对称密钥，然后使用对称密钥解开信息。这种技术的安全性能相当高。二、数字摘要（digital digest） 数字摘要技术是采用单向Hash函数对文件中若干重要元素进行某种变换运算得到固定长度的摘要码（也叫数字指纹Finger Print），并在传输信息时将之加入文件一同送给接收方，接收方接到文件后，用相同的方法进行变换计算，若得出的结果与发送来的摘要码相同，则可断定文件未被篡改，反之亦然。三、数字签名（digital signature）所谓数字签名，就是只有信息的发送者才能产生的，而别人无法伪造的一段数字串，这段数字申同时也是对发送者发送信息的真实性的一个有效证明。电子商务中，完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。传统的在书面文件上签名是确认文件的一种手段，其作用有两点： 因为自己的签名难以否认，从而确认了文件已签署这一事实； 因为签名不易仿冒，从而确定了文件是真的这一事实。数字签名与书面文件签名有相同之处，采用数字签名，也能确认以下两点：信息是由签名者发送的；信息自签发后到收到为止未曾作过任何修改。这样数字签名就可用来防止电子信息因易被修改而有人作伪；用冒用别人的名义发送信息；或发出（收到）信件后又加以否认等情况发生。签名能够实现对原始报文的鉴别和不可抵赖性。 数字签名技术广泛应用于鉴别发方不可否认服务中，收方不可否认服务也需结合数字签名技术予以实现。数字签名的基础是密码技术，应用广泛的数字签名方法主要有三种，即RSA签名、DSS签名和Hash签名。这三种算法可单独使用，也可综合在一起使用。RSA数字签名源于RSA公开密钥系统，是目前应用最多的数字签名方法。利用公钥加密体制进行数字签名的原理如下：将数字签名用发送方的私有密钥进行加密，会同密文一起送给接收方，接收方用发送方的公开密钥对数字签名进行解密，若解密出的数字签名与其计算出的相同，则可确定发送方的身份是真实的。这样，只要拥有发送方的公开密钥的人都能够验证数字签名的正确性，而只有真正的发送方才能发送这一数字签名，这也就完成了对发送方身份的鉴别。这就符合了签名的唯一性、不可仿冒和不可否认三大特征。四、数字时间戳（DTS： Digital Time-Stamp）在电子商务交易文件中，时间和签名一样是十分重要的证明文件有效性的内容。数字时间戳技术就是对电子文件签署的日期和时间进行安全性保护和有效证明的技术。需要指出，数字时间戳的签署与由签署人自己写上的书面文件的时间根本不同，它是由专门的认证机构来加的，并以认证机构收到文件的时间为依据。 一般来说，数字时间戮产生的过程为：用户首先将需要加时间戳的文件用HASH编码加密形成摘要，然后将该摘要发送到DTS，DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密（数字签名），然后送回用户。其时间是由认证单位DTS以收到文件的时间为依据。五、数字证书（digital certificate）数字证书也叫数字凭证、数字标识。它是用电子手段来证实一个用户的身份及用户对网络资源的访问权限。含有证书持有者的有关信息，以标识他的身份。 数字证书的内部格式是由CCITT X.509国际标准所规定的，它必须包含以下几点：证书的版本号；数字证书的序列号：证书拥有者的姓名；证书拥有者的公开密钥：公开密钥的有效期；签名算法；颁发数字证书的单位：颁发数字证书单位的数字签名。 在电子商务中，一般数字证书有四种类型：客户证书；商家证书：网关证书及CA系统证书。六、认证中心（Certificate Authority-CA） 电子商务认证授权机构（CA）也称为电子商务认证中心。在电子交易中，无论是数字时间戳服务（DTS）还是数字证书（Digital ID）的发放，都不是靠交易的双方自己能完成的，而需要有一个具有权威性和公正性的第三方（third party）来完成。认证中心（CA）就是承担网上安全电子交易认证服务，能签发数字证书，并能确认用户身份的服务机构。认证中心通常是企业性的服务机构，主要任务是受理数字凭证的申请、签发及对数字凭证的管理。在实际运作中，CA可由大家都信任的一方担当，例如在客户、商家、银行三角关系中，客户使用的是由某个银行发的卡，而商家又与此银行有业务关系或有账号。在这样情况下，客户和商家都信任该银行，可由该银行担当CA角色，接收、处理他的卡客户证书和商家证书的验证请求。又例如，对商家自己发行的购物卡，则可由商家自己担当CA角色。 CA有四大职能：证书发放、证书更新、证书撤消和证书验证。下面具体阐述各职能要完成的工作。电子商务CA体系包括两大部分，即符合SET标准的SETCA认证体系和其他基于X509的CA认证体系。 1证书发放。对于SET的用户，可以有多种方法向申请者发放证书，可以发放给最终用户签名的或加密的证书，向持卡人只能发放签名的证书，向商户和支付网关可以发放签名并加密的证书。 2证书更新。持卡人证书、商户和支付网关证书应定期更新，更新过程与证书发放过程是一样的。 3证书撤消。证书的撤消可以有许多理由，如私有密钥被泄密，身份信息的更新或终止使用等。对持卡人而言，他需要确认他的账户信息不会发往一个未被授权的支付网关，因此，被撤消的支付网关证书需包含在撤消清单中并散发给持卡人；由于持卡人不会将任何敏感的支付信息发给商户，所以，持卡人只需验证商户证书的有效性即可。对商户而言，被撤消的支付网关证书需散发给商户；对支付网关而言，需检查持卡人不在撤消清单中，并需与发卡行验证信息的合法性；同样支付网关需检查商户证书不在撤消清单中，并需与收单行验证信息的合法性。 4证书验证。SET证书是通过信任分级体系来验证的，每一种证书与签发它的单位相联系，沿着该信任树直接到一个认可信赖的组织，我们就可以确定证书的有效性，信任树“根”的公用密钥对所有SET软件来说都是已知的，因而可以按次序检验每一个证书。认证授权机构的可靠程度取决于以下标准：a）系统的保密结构，包括运营程序以及由认证授权机构提供的机械和电子保护措施。b）用于确认申请证书的用户身份的政策和方法，c）进入电子交易的用户是否能依赖由其他人证明的身份或证书内容。证书申请机构在安全管理方面的经验，特别是其在很长一段时间内提供这些服务的信誉。七、生物统计学身份识别(Biometric identification)在电子商务环境下，由于使用的电子设备越来越多，就需要记忆越来越多的口令或个人识别号码(PIN-Personal identification Number )，为了识别一个人，移动电话、银付账户、电子邮件，计算机和联机购物站点等都需要口令或PIN。生物统计学通过替换这种身份验证方法为口令问题提供了一个解决方案，从而不需要用户记忆任何口令。 生物统计学是基于物理特征或行为特征自动识别人员的一种方法，其优点是严格依据人的物理特性并且不依赖任何能被拷贝的文件或可被破解的口令，所以它是数字证书或智能卡未来的技术选择。 生物统计学技术包括指纹、隔膜和视网膜扫描，字体的分析也是一种常用的生物统计学识别方法。由于已经开始显示出前途，声音和手纹辨认也会成为未来的技术选择。 除了这些传统的生物统计学应用外，越来越多的公司已开始开发更多的应用技术，例如，探测个人体味的安全系统和通过手背血管的样式来识别个人的技术。 随着新的、功能更强大的硬件和更智能化的软件的引入，生物统计学正在成为电子商务中对人员识别的解决方案。3.2.5 3.2.5 网络病毒及其防范技术一、网络病毒及其种类计算机病毒已经成为计算机安全的一个巨大威胁。所谓病毒是指为有害目的而编写的可执行的计算机程序代码，它通常含有两种功能：一种是通过对其他程序进行非法修改，可以“感染”这些程序使它们含有该病毒程序；另一种是引发损坏或产生额外行为。 网络病毒与计算机病毒没有什么不同，只不过由于网络病毒借助了网络的力量，所以它的传播速度更快，危害性也更强。 网络病毒的危害是人们不可忽视的现实。据统计，目前70%的病毒发生在网络上。联网微机病毒的传播速度是单机的20倍。网络设计人员可能已经在文件目录结构、用户组织、数据安全性、备份与恢复方法上，以及系统容错技术上采取了严格的措施，但是没有重视网络防病毒问题。这也就是为什么在1999年4月26日，CIH病毒能够在全球肆虐的原因。 网络病毒问题的解决，只能从采用先进的防病毒技术与制定严格的用户使用网络的管理 制度两方面入手。病毒自1986年第一次出现以来，种类不断扩大，目前约有3000多种各式病毒，病毒技术的革新使这些“生物”变得更加复杂，病毒有三种常见类型：第一：引导区病毒病毒驻留在计算机的主引导区，每当启动计算机时病毒也被启动。这意味着当引导信息装入时病毒会感染硬盘上所有的文件。 第二：可执行病毒病毒通过感染可执行文件起作用，一旦病毒启动，它把自己和所有启动的可执行文件连接在一起，通常是在程序后端加上病毒代码。当受感染文件执 行时，病毒自身也执行，并开始恶性循环，继续感染其他文件，最终散布到整个系统。 第三：宏病毒宏语言是一些应用的集成语言，它允许某些应用的自动化集成操作，宏语言在很多应用中缺少安全约束，可以用来创建病毒。很多情况下宏病毒经常感染Microsoft Word和Excel这类世界最流行的办公软件二、病毒防范措施为了保护公司电子商务系统免受病毒的危害，应考虑以下预防措施。 使用反病毒程序-把它装入防火墙和每一个桌面客户机上，并在网络上提供更新版本；所有进出公司的信息，都要经过防火墙的病毒检查。反病毒版本的不断升级，也是值得重视的，以使系统更有效的对付不断出现的新型病毒。 备份策略-为所有重要数据进行有规律的备份，井确保对备份进行病毒检查，即使备份信息有可能携带病毒，也是必要的。因为用户有可能采用适当的反病毒方案，安全恢复所有数据。 员工教育-组织培训，健全计算机网络系统的管理规则，提高员工的防病毒意识。将常见病毒等问题直接链接到公司主页，使员工能够方便查询。第3章 电子商务的安全问题3.3 电子商务安全协议 近年来，针对电子交易安全的要求，IT业界与金融行业共同推出了不少有效的安全交易标准和技术。主要的协议标准有：安全套接层协议(SSL：Secure Socket Lay