您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 信息化管理 > 小型公司信息化方案的设计、实现与性能研究
第9章电子商务安全9.1电子商务的安全概述一、网络信息安全状况1、Windows操作系统的安全漏洞越来越多。年度漏洞数1995171199634519973111998262199941920001090200124372002412920033784200437802.网络安全隐患严重利用操作系统固有安全漏洞来达成攻击变得容易,几乎不用或很少用到技术上的技巧就能攻击70%的脆弱性;攻击节奏加快,蠕虫的攻击在公布漏洞之后的48小时之内发生;攻击烈度加剧。年度遭侵数19925319931151994255199555919967251997575199858441999221442000236622001400763.网络病毒活动猖獗。4.“网络钓鱼”(Phishing)式欺诈活动明显增多,网页(站)篡改事件上升。5.投资诈骗已成一大害。6.身份被盗财产损失惊人。2003年12月至2004年2月初期间,湖南长沙发生国内首例利用木马病毒盗窃网络银行资金案;2004年3月,哈尔滨市三名大学生网络银行犯罪案;二、网络信息安全案例来自《中国计算机报》2004年网上银行事故列表*2004年2月,广东省江门市公安局破获一宗盗取网上银行存款案件。*2004年3月,“假名开户支取网上银行53万,三名大学生涉嫌盗窃被批捕”。*2004年7月,一中国黑客洗劫新加坡DBS网上银行窃走6.2万美元。*2004年夏天,大盗们用木马病毒窃取了数家券商旗下股民的网络交易账号,对其股票账户进行恶意操作,造成了严重的损失。*2004年9月,网上一种名叫“快乐耳朵”的病毒可以窃取招商银行的用户账号和密码。*2004年12月,假中国银行网站被发现。紧跟着,假中国工商银行、假银联、假农业银行的网站也暴露出来。9.2网络安全物理层安全主要防止物理通路的损坏、物理通路的窃听、对物理通路的攻击(干扰)等。链路层安全需要保证通过网络链路传送的数据不被窃听。主要采用划分电子商务VAN、加密通信(远程网)等手段。网络层安全需要保证网络只给授权客户使用授权的服务,保证网络路由正确,避免被拦截或监听。9.2.1网络安全的种类病毒的大规模侵袭。黑客通过自己的技术来“获利”。硬件安全问题1999年4月,奔腾IIICPU序列号功能的安全隐患问题。信息产业部主管业务司局要求:国内PC生产厂家要关闭P-Ⅲ序列号功能;在华销售的同类产品必须经过检测;安装了奔腾Ⅲ处理器的PC机政府部门不得直接连入互联网;各级政府机关购买装有奔腾Ⅲ处理器的计算机时,必须把序列号关闭;即使关闭了序列号,也只能单机或内部联网使用,决不允许把政府机关的OA网直接用来上互联网。安全隐患的问题整个信息体系对他人技术平台核心技术的过度依赖。软件安全问题对Windows操作系统的安全问题的担心;为消除各国政府对于Windows平台安全性的担心,微软公司执行政府安全计划(GovernmentSecurityProgram,GSP)源代码协议,使有关国政府及其指定的单位按规定的方式查看微软Windows的源代码以及相关的技术信息;2003年9月25日微软公司向我国政府提供Windows操作系统的源代码;2004年9月,微软将Office2003将加入GSP,公布Word、Excel、PowerPoint等软件90%的源代码。系统的安全问题系统设备的安全很多是从从国外主要是美国进口,这类系统设备除了供使用的功能之外,其内部构造我们是不可能完全清楚的。一有风吹草动,这些智能设备如果有潜伏的功能,是可以被唤醒的;全球共有13台顶级域名服务器,除东京、伦敦和斯德哥尔摩各有一台,其余均在美国。如果有人要卡死我国的因特网,可以说是轻而易举的。这样的事例已经有过,仅2004年11月,国外就完全屏蔽了我180个IP地址段;降低对进口信息设备的依赖性,提高对这个问题的警惕,在思想上要有安全忧患意识,要有应对安全灾害的对策。9.2.2网络的安全威胁信息间谍的恶意闯入怀有恶意用户的闯入闲散用户的好奇闯入用户的恶性破坏。网络的内部威胁内部用户有意的安全威胁无意用户的安全威胁9.2.3信息传输安全的问题对网上信息的监听对用户身份的仿冒对网络上信息的篡改对发出信息予以否认对信息进行重发9.2.4通信安全涉及的范围数据完整性通信过程必须保证数据完整。数据一致性保证数据传输过程中不会被篡改。即使发生了数据篡改,接收方也应能够及时检测出。数据保密性通信内容只有特定方才能够了解。数据可鉴别性指通信双方能够识别对方的真实身份,而不会被假冒和欺骗。数据不可否认性指数据的发送方无法否认数据传输行为9.2.5电子商务系统的安全技术加密技术设置虚拟专用网路由选择机制保护传输线路安全采用端口保护设备使用安全访问设备防火墙数据完整性机制访问控制鉴别机制审计追踪机制入侵检测机制客户认证(ClientAuthentication,CA)是保证电子商务交易安全的一项重要技术,客户认证主要包括身份认证和信息认证。前者用于鉴别用户身份,后者用于保证通信双方的不可抵赖性和信息的完整性。在某些情况下,身份认证显得比信息保密更为重要。买卖双方发生日用品业务或交易时,可能交易的具体内容并不需要保密,但是交易双方应当能够确认是对方发送或接收了这些信息,同时接收方还能确认接收的信息是完整的,即信息在通信过程中没有被修改或替换。网络中的广告信息,此时接收方主要关心的是信息的真实性和信息来源的可靠性。因此,在这些情况下,信息认证将处于首要地位。9.3电子商务安全技术9.3.1身份认证密码的方式:使用身份标识码加密码来进行安全防范,如用户口令;物理载体的方式:使用证件、钥匙、卡等有形载体认证身份;生物特征身份识别方式:使用指纹、手指血管纹、面像、唇纹、视网膜、虹膜、DNA、语音等生物特征来识别人身份。每一种身份识别技术都有其优点和缺点,都不可能达到百分之百的完美程度。一、身份识别二、电子商务环境对身份识别技术的基本要求必须是采用电子的方法、数字化,以适合在网络环境应用;识别过程要求在网络上进行,识别信息需转化为电子数字信号;安全、健康、对人的身体不会造成伤害;检测最好采用非接触方式,不会传染疾病,也不能伤害人的身体器官;快速、方便、易使用;要满足实时检测的的速度要求,操作简单,容易掌握和使用;性能价格比高;检测和识别设备在满足性能要求的前提下价格不能昂贵,适合普及推广应用。三、生物特征身份识别技术根据有关统计,全世界每年有5亿美元的信用卡诈骗、10亿美元的移动电话诈骗、30亿美元的ATM机诈骗;发生的原因在于传统的身份认证总是通过证件号码或者各种密码、口令、暗记等方法辨别人的身份,很容易遗忘、丢失、被盗,以致被冒用、泄露或者伪造;生物特征身份识别技术利用人的个体解剖、生理甚至病理特征,如指纹、虹膜、视网膜、声纹、唇纹、DNA、签名甚至手形、掌纹、指形、面形、牙形等;将这些特征进行图像处理,数字化、加密后存储到芯片中,用这种芯片做成的证件或者识别系统,具有难以伪造、安全性高、不易丢失、可以通过网络传输等优点,广泛地应用电子商务的身份识别领域。1)语音身份识别技术语音身份识别技术是使用设备测量、记录声音的波形和变化,即声纹,同登记过的声音模板进行精确的匹配,从而识别发声者的身份;是一种非接触的识别技术,使用方便;抗伪造能力差,容易用录在磁带上的声音来欺骗声音识别系统;高保真的麦克风很昂贵;声音因为变化的范围太大,故而很难进行很精确的匹配。2)DNA身份识别技术DNA是包含一个人所有遗传信息的片段,与生具有,并终身保持不变。这种遗传信息蕴含在人的骨骼、毛发、血液、唾液等所有人体组织器官中;已经开发出多种DNA遗传标记用于个体识别。其中短片段重复序列(简称STR)广泛存在于人的基因组中,目前已用于亲子鉴定和各类刑事案件的犯罪嫌疑人排除和认定;DNA编码信息检测必须使用昂贵的专用检测仪,是属于接触式识别技术,不大适合网络环境的身份识别。3)唇纹身份识别技术唇纹是指每个人口唇图纹;每个人的唇纹各不相同,而且人的唇纹并不随着年龄的变化而变化;和人的指纹一样,唇纹具有终生不变的特征也成了人体无法消除的“身份证”。4)视网膜身份识别技术在1930年代,通过研究就得出了人类眼球后部血管分布唯一性的理论;每人分布在神经视网膜周围的毛细血管图像有唯一性,可用于生物识别;视网膜的结构形式在人的一生当中都相当稳定;视网膜是不可见的,因此也不可能被伪造。视网膜技术的优点:1、视网膜是一种极其固定的生物特征,不磨损、不老化、不受疾病影响;2、使用者无需和设备直接接触;3、最难伪造。视网膜识别的缺点:1、未经测试;2、采样激光照射眼球的背面可能会影响使用者健康,需要进一步的研究;3、对消费者而言,视网膜技术没有吸引力;4、设备技术复杂,很难进一步降低成本。5)虹膜身份识别技术虹膜即一般所称的黑眼珠部分,不同的人虹膜纹络有40%不同;经计算两个人同一只眼虹膜特征相同的概率是十万分之一,两眼相同的概率是一千亿分之一;采用红外成像技术,将人眼中的虹膜纹络特征图信息输入计算机,成为特殊的可供识别个体的特征信息。中国科学院自动化研究所研制的我国第一个具有自主知识产权的虹膜身份认证识别系统;被认证者只需注视摄像机一眼,整个识别处理过程在一秒钟内完成。2001年10月在阿姆斯特丹机场首先投入使用IBMeserverx虹膜扫描安检系统;法兰克福机场虹膜扫描安检系统;对旅客进行实时的虹膜扫描,再根据存储在加密智能卡中并已记录在案的旅客虹膜数据,来进行身份识别;每分钟可以检测4-5位旅客,并具有很高的可靠性,而且干净卫生。6)指纹身份识别技术古代的亚述人和中国人就认识到没有任何两个手指指纹的纹线形态一致,指纹纹线的形态终生不变;指纹识别技术通过扫描提取指纹特征数据输入计算机,再经过模式识别算法,与预存的指纹数据比对,完成身份识别认证;是最早通过计算机实现的身份识别手段,也是应用最为广泛的生物特征身份识别技术。2001年香港科劲有限公司和企业网有限公司推出的电子贸易指纹认证系统:关键部件是可以读取使用者指纹的鼠标;手指一按鼠标内的感应器便立即扫描指纹特征,电脑将指纹特征数码化后,与存储在资料库的指纹进行核对,从而核实使用者的身份;误辨率非常低,核实时间也只需1秒。7)手指的血管身份识别技术手指的血管图纹每一个人都不相同,可以唯一识别身份;将手指放在手指血管识别器里面,传感器通过红外线光束显示手指中血管网络立体模型,再转化为数字信息,和事先存储的用户资料比对,就可以完成身份认证;血管图纹极难伪造盗用,手指血管识别的可信度更高。极端的情况,将两手十指的数据都注册,即使因受伤有几根手指不能使用,也可以正常进行识别。8)人脸身份识别技术人脸识别技术特指利用分析比较人脸视觉特征信息进行身份鉴别的计算机技术;人脸识别技术使用摄像头采集人的面部图像,并转换为特征数据,与预先存储在电脑里的数据进行自动对比以辨识该人;人脸识别技术包括人脸检测、面部特征提取、人脸识别与确认等核心技术,通过对面部特征和它们之间的关系来进行识别,识别技术基于这些唯一的特征时非常复杂,需要人工智能和机器知识学习系统;9)身份标识码ID加密码身份认证方法用户身份标识码ID(IDentity)和密码,或称用户名和口令(Password),是第一代的个人身份识别技术,也称一维识别技术,是当前使用最普及也是最不安全的个人身份识别技术;这种技术简单地根据输入的用户名以及预先约定的秘密信息口令(一维数据)来判断你的身份;身份标识码ID加密码方法的缺点:用户口令一般较短且容易猜测,不能抵御口令猜测攻击;口令的明文传输使得系统攻击者很容易通过在线窃听的方法获取用户口令;口令的明文保存形式,口令方案对重传攻击也毫无抵抗能力。对口令进行加密传输可以受到口令猜测的攻击,或采用离线方式对口令密文实施字典攻击。9.3.2信息认证电子商务对信息的安全保密性提出了更高的要求。加密使用一个数据对明文进行计算得到不能识别的密文的过程;该数据称为密钥;解密对密文使用解密密钥进行计算得到明文的过程。1、信息加密概念加密系统由
本文标题:小型公司信息化方案的设计、实现与性能研究
链接地址:https://www.777doc.com/doc-36007 .html