隨着資訊技術在貿易和商業領域的廣泛應用,利用計算機技術、網絡通信技術和因特網實現商務活動的國際化、資訊化和無紙化,已成爲各 國商務發展的一大趨勢。電子商務正是爲了適應這種以全球爲市場的的變化而出現的和發展起來的,它是當今社會發展最快的領域之一,同時也爲全球的經濟發展帶來新的增長點。電子商務正在改變着人們的生活以及整個社會的發展進程,貿易網絡將引起人們對管理模式、工作和生活方式,乃至經營管理思維方式等等的綜合革新。對貿易和商業領域來說,電子商務的發展正在改變着傳統的貿易方式,縮減交易程序,提高辦事效率。現在,許多網站都提供有“商城”,供網民在網上購物。可以說,電子商務應用將越來越普及。然而,隨着Internet逐漸發展成爲電子商務的最佳載體,互聯網具有充分開放,不設防護的特點使加強電子商務的安全問題日益緊迫,只有在全球範圍建立一套人們能充分信任的安全保障制度,確保資訊的真實性、可靠性和保密性,才能夠打消人們的顧慮,放心的參與電子商務。否則,電子商務的發展將失去其支撐點。
要加強電子商務的安全,需要企業本身採取更爲嚴格的管理措施,需要國家建立健全法律制度,更需要有科學的先進的安全技術。
在電子商務的交易中,經濟資訊、資金都要透過網絡傳輸,交易雙方的身份也需要認證,因此,電子商務的安全性主要是網絡平臺的安全和交易資訊的安全。而網絡平臺的安全是指網絡操作系統對抗網絡攻擊、病毒,使網絡系統連續穩定的執行。常用的保護措施有防火牆技術、網絡入侵檢測技術、網絡防毒技術。交易資訊的安全是指保護交易雙方的不被破壞、不泄密,和交易雙方身份的確認。可以用數據加密、數字簽名、數字證書、ssl 、set安全協議等技術來保護。
在這裏我想重點談談防火牆技術和數據加密技術。
一、防火牆技術。
防火牆就是在網絡邊界上建立相應的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以製作或嵌入到某種硬件產品中。從邏輯上講,防火牆是起分隔、限制、分析的作用。實際上,防火牆是加強Intranet (內部網)之間安全防禦的一個或一組系統,它由一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自Internet的傳輸資訊或你發出的資訊都必須經過防火牆。這樣,防火牆就起到了保護諸如電子郵件、檔案傳輸、遠程登入、在特定的系統間進行資訊交換等安全的作用。防火牆是網絡安全策略的有機組成部分,它透過控制和監測網絡之間的資訊交換和訪問行爲來實現對網絡安全的有效管理。從總體上看,防火牆應該具有以下五大基本功能:(1)過濾進、出網絡的數據;(2)管理進、出網絡的訪問行爲;(3)封堵某些禁止行爲;(4)記錄透過防火牆的資訊內容和活動;(5)對網絡攻擊進行檢測和告警。
新一代的防火牆產品一般運用了以下技術:
(1)透明的訪問方式。
以前的防火牆在訪問方式上要麼要求用戶做系統登入,要麼需要透過SOCKS等庫路徑修改客戶機的應用。而現在的防火牆利用了透明的代理系統技術,從而降低了系統登入固有的安全風險和出錯概率。
(2)靈活的代理系統。
代理系統是一種將資訊從防火牆的一側傳送到另一側的軟件模組。採用兩種代理機制:一種用於代理從內部網絡到外部網絡的連接;另一種用於代理從外部網絡到內部網絡的連接。前者採用網絡地址轉接(NIT)技術來解決,後者採用非保密的用戶定製代理或保密的代理系統技術來解決。
(3)多級過濾技術。
爲保證系統的安全性和防護水平,防火牆採用了三級過濾措施,並輔以鑑別手段。在分組過濾一級,能過濾掉所有的源路由分組和假冒IP位址;在應用級網關一級,能利用FTP、SMTP等各種網關,控制和監測Internet提供的所有通用服務;在電路網關一級,實現內部主機與外部站點的透膽連接,並對服務的通行實行嚴格控制。
(4)網絡地址轉換技術。
防火牆利用NAT技術能透明地對所有內部地址做轉換,使得外部網絡無法瞭解內部網絡的內部結構,同時允許內部網絡使用自己編的IP源地址和專用網絡,防火牆能詳盡記錄每一個主機的通信,確保每個分組送往正確的地址。
(5)Internet網關技術。
由於是直接串聯在網絡之中,防火牆必須支援用戶在Internet互聯的所有服務,同時還要防止與Internet服務有關的安全漏洞,故它要能夠以多種安全的應用服務器(包括FTP、Finger、mail、Ident、News、WWW等)來實現網關功能。爲確保服務器的安全性,對所有的檔案和命令均要利用“改變根系統調用(chroot)”做物理上的隔離。在域名服務方面,新一代防火牆採用兩種獨立的域名服務器:一種是內部DNS服務器,主要處理內部網絡和DNS資訊;另一種是外部DNS服務器,專門用於處理機構內部向Internet提供的部分DNS資訊。在匿名FTP方面,服務器只提供對有限的受保護的部分目錄的只讀訪問。在WWW服務器中,只支援靜態的網頁,而不允許圖形或CGI代碼等在防火牆內執行。在Finger服務器中,對外部訪問,防火牆只提供可由內部用戶配置的基本的文字資訊,而不提供任何與攻擊有關的系統資訊。SMTP與POP郵件服務器要對所有進、出防火牆的郵件做處理,並利用郵件映射與標頭剝除的方法隱除內部的郵件環境。Ident服務器對用戶連接的識別做專門處理,網絡新聞服務則爲接收來自ISP的新聞開設了專門的磁盤空間。
(6)安全服務器網絡(SSN)。
爲了適應越來越多的用戶向Internet上提供服務時對服務器的需要,新一代防火牆採用分別保護的策略對用戶上網的對外服務器實施保護,它利用一張網卡將對外服務器作爲一個獨立網絡處理,對外服務器既是內部網絡的一部分,又與內部網關完全隔離,這就是安全服務器網絡(SSN)技術。而對SSN上的主機既可單獨管理,也可設定成透過FTP、Telnet等方式從內部網上管理。SSN方法提供的安全性要比傳統的“隔離區(DMZ)”方法好得多,因爲SSN與外部網之間有防火牆保護,SSN與內部網之間也有防火牆的保護,而DMZ只是一種在內、外部網絡網關之間存在的一種防火牆方式。換言之,一旦SSN受破壞,內部網絡仍會處於防火牆的保護之下,而一旦DMZ受到破壞,內部網絡便暴露於攻擊之下。
(7)用戶鑑別與加密。
爲了降低防火牆產品在Ielnet、FTP等服務和遠程管理上的安全風險,鑑別功能必不可少。新一代防火牆採用一次性使用的口令系統來作爲用戶的鑑別手段,並實現了對郵件的加密。
(8)用戶定製服務。
爲了滿足特定用戶的特定需求,新一代防火牆在提供衆多服務的同時,還爲用戶定製提供支援,這類選項有:通用TCP、出站UDP、FTP、SMTP等,如果某一用戶需要建立一個數據庫的代理,便可以利用這些支援,方便設定。
(9)審計和告警。
新一代防火牆產品採用的審計和告警功能十分健全,日誌檔案包括:一般資訊、內核資訊、核心資訊、接收郵件、郵件路徑、發送郵件、已收消息、已發消息、連接需求、已鑑別的訪問、告警條件、管理日誌、進站代理、FTP代理、出站代理、郵件服務器、域名服務器等。告警功能會守住每一個TCP或UDP探尋,並能以發出郵件、聲響等多種方式報警。此外,防火牆還在網絡診斷、數據備份保全等方面具有特色。
目前的防火牆主要有兩種類型。其一是包過濾型防火牆。它一般由路由器實現,故也被稱爲包過濾路由器。它在網絡層對進入和出去內部網絡的所有資訊進行分析,一般檢查數據包的IP源地址、IP目標地址、TCP端口號、ICMP消息類型,並按照資訊過濾規則進行篩選,若符合規則,則允許該數據包透過防火牆進入內部網,否則進行報警或通知管理員,並且丟棄該包。這樣一來,路由器能根據特定的劌則允許或拒絕流動的數據,如:Telnet服務器在TCP的23號端口監聽遠程連接,若管理員想阻塞所有進入的Telnet連接,過濾規則只需設爲丟棄所有的TCP端口號爲23的數據包。採用這種技術的防火牆速度快,實現方便,但由於它是透過IP位址來判斷數據包是否允許透過,沒有基於用戶的認證,而IP位址可以僞造成可信任的外部主機地址,另外它不能提供日誌,這樣一來就無法發現黑客的攻擊紀錄。
其二是應用級防火牆。大多數的應用級防火牆產品使用的是應用代理機制,內置了代理應用程序,可用代理服務器作內部網和Internet之間的的轉換。若外部網的用戶要訪問內部網,它只能到達代理服務器,若符合條件,代理服務器會到內部網取出所需的資訊,轉發出去。同樣道理,內部網要訪問Internet,也要透過代理服務器的轉接,這樣能監控內部用戶訪問Internet.這類防火牆能詳細記錄所有的訪問紀錄,但它不允許內部用戶直接訪問外部,會使速度變慢。且需要對每一個特定的Internet服務安裝相應的代理服務器軟件,用戶無法使用未被服務器支援的服務。
防火牆技術從其功能上來分,還可以分爲FTP防火牆、 Telnet防火牆、Email 防火牆、病毒防火牆等等。通常幾種防火牆技術被一起使用,以彌補各自的缺陷和增加系統的安全性能。
防火牆雖然能對外部網絡的功擊實施有效的防護,但對來自內部網絡的功擊卻無能爲力。網絡安全單靠防火牆是不夠的,還需考慮其它技術和非技術的因素,如資訊加密技術、制訂法規、提高網絡管理使用人員的安全意識等。就防火牆本身來看,包過濾技術和代理訪問模式等都有一定的侷限性,因此人們正在尋找更有效的防火牆,如加密路由器、“身份證”、安全內核等。但實踐證明,防火牆仍然是網絡安全中最成熟的一種技術。
二、數據加密技術
在電子商務中,資訊加密技術是其它安全技術的基礎,加密技術是指透過使用代碼或密碼將某些重要資訊和數據從一個可以理解的明文形式變換成一種複雜錯亂的、不可理解的密文形式(即加密),在線路上傳送或在數據庫中存儲,其他用戶再將密文還原成明文(即解密),從而保障資訊數據的安全性。
數據加密的方法很多,常用的有兩大類。一種是對稱加密。一種是非對稱密鑰加密。對稱加密也叫祕密密鑰加密。發送方用密鑰加密明文,傳送給接收方,接收方用同一密鑰解密。其特點是加密和解密使用的是同一個密鑰。典型的代表是美國國家安全局的DES。它是IBM於1971年開始研製,1977年美國標準局正式頒佈其爲加密標準,這種方法使用簡單,加密解密速度快,適合於大量資訊的加密。但存在幾個問題:第一,不能保證也無法知道密鑰在傳輸中的安全。若密鑰泄漏,黑客可用它解密資訊,也可假冒一方做壞事。第二,假設每對交易方用不同的密鑰,N對交易方需要N*(N-1)/2個密鑰,難於管理。第三,不能鑑別數據的完整性。
非對稱密鑰加密也叫公開密鑰加密。公鑰加密法是在對數據加解密時,使用不同的密鑰,在通信雙方各具有兩把密鑰,一把公鑰和一把密鑰。公鑰對外界公開,私鑰自己保管,用公鑰加密的資訊,只能用對應的私鑰解密,同樣地,用私鑰解密的數據只能用對應的公鑰解密。具體加密傳輸過程如下:
(1)發送方甲用接收方乙的公鑰加密自己的私鑰。
(2)發送方家用自己的私鑰加密檔案,然後將加密後的私鑰和檔案傳輸給接收方。
(3)接收方乙用自己的私鑰解密,得到甲的私鑰。
(4)接收方乙用甲的公鑰解密,得到明文。
這個過程包含了兩個加密解密過程:密鑰的加解密和檔案本身的加解密。在密鑰的加密過程中,由於發送方甲用乙的公鑰加密了自己的私鑰,如果檔案被竊取,由於只有乙保管自己的私鑰,黑客無法解密。這就保證了資訊的機密性。另外,發送方甲用自己的私鑰加密資訊,因爲資訊是用甲的私鑰加密,只有甲保管它,可以認定資訊是甲發出的,而且沒有甲的私鑰不能修改數據。可以保證資訊的不可抵賴性。
公開密鑰加密典型的代表是RSA算法,它是由Rivest、Shamir、Adleman三人於1977年提出的一個公鑰加密算法。但是RSA的加密解密要兩次,處理和計算量都比較大,速度慢,所以只適合於少量數據的加密。因此,在當前的加密應用中,經常使用對稱密鑰來對文字加密和解密,用非對稱RSA加密體系對私鑰加密和解密。發送方把密文和加密後的私鑰一起發送給接收方。使用這種聯合加密法,不僅可以確保數據的保密性,而且還可以實現一種名爲數字簽名的認證機制。發送者私鑰加密的數據可以提供對發送者身份的認證,接收者私鑰加密的數據可以提供對接收者身份的認證。
此外,安裝防病毒的軟件並定期執行檢測,使用數字簽名技術和數字證書等等,都是加強電子商務安全的重要技術措施。當然,任何一個安全產品或技術都不會提供永遠和絕對的安全,因爲網絡在變化,應用在變化,入侵和破壞的手段也在變化,只有技術的不斷進步纔是真正的出路。
