网络安全基础作业 070320 07材料一班林文荣.docx
《网络安全基础作业 070320 07材料一班林文荣.docx》由会员分享,可在线阅读,更多相关《网络安全基础作业 070320 07材料一班林文荣.docx(8页珍藏版)》请在冰豆网上搜索。
网络安全基础作业07032007材料一班林文荣
院系:
化学与材料学院
班级:
07材料
(一)班
姓名:
林文荣
学号:
2007070320
科任教师:
白兴瑞
课题:
电子商务网络安全浅谈
电子商务网络安全浅谈
一、网络安全的基本概念
网络安全的具体含义会随着“角度”的变化而变化。
比如:
从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
二、主要特性
网络安全应具有以下五个方面的特征:
2.1保密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
2.2完整性:
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
2.3可用性:
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
2.4可控性:
对信息的传播及内容具有控制能力。
2.5可审查性:
出现的安全问题时提供依据与手段。
从网络运行和管理者角度说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击。
对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免机要信息泄露,避免对社会产生危害,对国家造成巨大损失。
从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和人类的发展造成阻碍,必须对其进行控制。
随着计算机技术的迅速发展,在计算机上处理的业务也由基于单机的数学运算、文件处理,基于简单连接的内部网络的内部业务处理、办公自动化等发展到基于复杂的内部网(Intranet)、企业外部网(Extranet)、全球互联网(Internet)的企业级计算机处理系统和世界范围内的信息共享和业务处理。
在系统处理能力提高的同时,系统的连接能力也在不断的提高。
但在连接能力信息、流通能力提高的同时,基于网络连接的安全问题也日益突出,整体的网络安全主要表现在以下几个方面:
网络的物理安全、网络拓扑结构安全、网络系统安全、应用系统安全和网络管理的安全等。
因此计算机安全问题,应该像每家每户的防火防盗问题一样,做到防范于未然。
甚至不会想到你自己也会成为目标的时候,威胁就已经出现了,一旦发生,常常措手不及,造成极大的损失。
三、它与网络性能和功能的关系
通常,系统安全与性能和功能是一对矛盾的关系。
如果某个系统不向外界提供任何服务(断开),外界是不可能构成安全威胁的。
但是,企业接入国际互连网络,提供网上商店和电子商务等服务,等于将一个内部封闭的网络建成了一个开放的网络环境,各种安全包括系统级的安全问题也随之产生。
构建网络安全系统,一方面由于要进行认证、加密、监听,分析、记录等工作,由此影响网络效率,并且降低客户应用的灵活性;另一方面也增加了管理费用。
但是,来自网络的安全威胁是实际存在的,特别是在网络上运行关键业务时,网络安全是首先要解决的问题。
选择适当的技术和产品,制订灵活的网络安全策略,在保证网络安全的情况下,提供灵活的网络服务通道。
采用适当的安全体系设计和管理计划,能够有效降低网络安全对网络性能的影响并降低管理费用。
全方位的安全体系:
与其它安全体系(如保安系统)类似,企业应用系统的安全休系应包含:
访问控制:
通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。
检查安全漏洞:
通过对安全漏洞的周期检查,即使攻击可到达攻击目标,也可使绝大多数攻击无效。
攻击监控:
通过对特定网段、服务建立的攻击监控体系,可实时检测出绝大多数攻击,并采取相应的行动(如断开网络连接、记录攻击过程、跟踪攻击源等)。
加密通讯:
主动的加密通讯,可使攻击者不能了解、修改敏感信息。
认证:
良好的认证体系可防止攻击者假冒合法用户。
备份和恢复:
良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
多层防御,攻击者在突破第一道防线后,延缓或阻断其到达攻击目标。
隐藏内部信息,使攻击者不能了解系统内的基本情况。
设立安全监控中心,为信息系统提供安全体系管理、监控,渠护及紧急情况服务。
四、网络安全分析
4.1.物理安全分析
网络的物理安全是整个网络系统安全的前提。
在校园网工程建设中,由于网络系统属于弱电工程,耐压值很低。
因此,在网络工程的设计和施工中,必须优先考虑保护人和网络设备不受电、火灾和雷击的侵害;考虑布线系统与照明电线、动力电线、通信线路、暖气管道及冷热空气管道之间的距离;考虑布线系统和绝缘线、裸体线以及接地与焊接的安全;必须建设防雷系统,防雷系统不仅考虑建筑物防雷,还必须考虑计算机及其他弱电耐压设备的防雷。
总体来说物理安全的风险主要有,地震、水灾、火灾等环境事故;电源故障;人为操作失误或错误;设备被盗、被毁;电磁干扰;线路截获;高可用性的硬件;双机多冗余的设计;机房环境及报警系统、安全意识等,因此要尽量避免网络的物理安全风险。
4.2.网络结构的安全分析
网络拓扑结构设计也直接影响到网络系统的安全性。
假如在外部和内部网络进行通信时,内部网络的机器安全就会受到威胁,同时也影响在同一网络上的许多其他系统。
透过网络传播,还会影响到连上Internet/Intrant的其他的网络;影响所及,还可能涉及法律、金融等安全敏感领域。
因此,我们在设计时有必要将公开服务器(WEB、DNS、EMAIL等)和外网及内部其它业务网络进行必要的隔离,避免网络结构信息外泄;同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其它的请求服务在到达主机之前就应该遭到拒绝。
4.3.系统的安全分析
所谓系统的安全是指整个网络操作系统和网络硬件平台是否可靠且值得信任。
目前恐怕没有绝对安全的操作系统可以选择,无论是Microsfot的WindowsNT或者其它任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
因此,我们可以得出如下结论:
没有完全安全的操作系统。
不同的用户应从不同的方面对其网络作详尽的分析,选择安全性尽可能高的操作系统。
因此不但要选用尽可能可靠的操作系统和硬件平台,并对操作系统进行安全配置。
而且,必须加强登录过程的认证(特别是在到达服务器主机之前的认证),确保用户的合法性;其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
4.4.应用系统的安全分析
应用系统的安全跟具体的应用有关,它涉及面广。
应用系统的安全是动态的、不断变化的。
应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全是动态的、不断变化的。
应用的安全涉及方面很多,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有sendmail、NetscapeMessagingServer、Software.ComPost.Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多种。
其安全手段涉及LDAP、DES、RSA等各种方式。
应用系统是不断发展且应用类型是不断增加的。
在应用系统的安全性上,主要考虑尽可能建立安全的系统平台,而且通过专业的安全工具不断发现漏洞,修补漏洞,提高系统的安全性。
应用的安全性涉及到信息、数据的安全性。
信息的安全性涉及到机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
在某些网络系统中,涉及到很多机密信息,如果一些重要信息遭到窃取或破坏,它的经济、社会影响和政治影响将是很严重的。
因此,对用户使用计算机必须进行身份认证,对于重要信息的通讯必须授权,传输必须加密。
采用多层次的访问控制与权限控制手段,实现对数据的安全保护;采用加密技术,保证网上传输的信息(包括管理员口令与帐户、上传信息等)的机密性与完整性。
4.5.管理的安全风险分析
管理是网络中安全最最重要的部分。
责权不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
当网络出现攻击行为或网络受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
这就要求我们必须对站点的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是制定健全的管理制度和严格管理相结合。
保障网络的安全运行,使其成为一个具有良好的安全性、可扩充性和易管理性的信息网络便成为了首要任务。
一旦上述的安全隐患成为事实,所造成的对整个网络的损失都是难以估计的。
因此,网络的安全建设是校园网建设过程中重要的一环。
五、商务网络安全概述
电子商务是利用各种电子信息技术手段进行的商务活动,是指商务活动的电子化、网络化。
它突破了传统商务在时间、地域上的限制,成为方便、快捷、安全可靠的新兴电子商务活动模式。
广义而言,电子商务还包括政府机构、企事业单位各种内部业务的电子化。
电子商务可被看作是一种现代化的商业和行政作业方法,这种方法通过改善产品和服务质量、提高服务传递速度,满足政府组织、厂商和消费者的降低成本的需求,并通过计算机网络加快信息交流以支持决策。
电子商务可以包括通过电子方式进行的各项社会活动。
随着信息技术的发展,电子商务的内涵和外延也在不断充实和扩展,并不断被赋予新的含义,开拓出更广阔的应用空间。
它不仅正在改变着各行各业的经营理念和经营模式,而且正逐渐改变着人们的生活、学习和工作方式。
换句话说,电子商务触发了人类社会全方位的深刻变革,电子商务也将是新世纪社会经济发展的方向。
在电子商务活动中,商家、消费者、银行通过Internet连接在一起,信息的传递通过网络进行的,由于Internet本身在安全上的脆弱性以及信息具有可复制、可伪造、可修改且不留痕迹等特点,这就意味着交易的风险性和随机性比传统的商务活动加大,因此相对传统商务模式而言,对电子商务交易的安全问题有着更高的要求。
中国电子商务总体上还处于初级发展阶段,诸多因素的制约使得电子商务的发展远远落后于人们的期望值。
电子商务在中国的发展仍面临安全机制不够健全、企业和消费者对电子商务缺乏认识、物流水平低下、法律规范及标准仍不完善等不利因素影响。
电子商务的安全问题
电子商务的安全问题形式各种各样,从总体上来说,可分为“外在因素”和“内在因素”两个方面。
外在因素主要是指电子商务存在的环境,涉及的是社会文化、制度规范等方面的因素;内在因素则是指电子商务的科学技术方面,网络技术、电子商务数据等方面的问题。
5.1外在因素方面
(1)网络基础设施不完善。
我国互联网是近些年快速发展起来的,与发达国家相比相对滞后。
虽然也在逐步完善,但我国在网络基础设施建设方面投入不足,使得网络基础设施的发展与电子商务发展的要求相差较远。
因此,须加大投入,以尽早解决制约电子商务发展的瓶颈。
(2)缺乏完善健全的法律法规。
电子商务是基于互联网的一种网上交易、网上支付的新型商业模式,如何在开放的互联网上安全地进行交易尤为重要。
同时,随着电子商务交易方式及途径逐渐成为主流,也对传统的知识产权保护制度提出了挑战。
因此,有必要建立和完善包括电子商务立法在内的知识产权法律体系,采取有力措施促进电子商务的健康发展。
(3)社会信用体系不健全。
在电子商务发展中,社会信用体系的建立健全是必不可少的条件之一。
目前信用体系尚不完善,而由于客户与电子商务企业通过计算机网络和相关信息平台进行交流,使得电子商务比之传统贸易存在更加严重的信用风险。
(4)物流配送体系问题。
电子商务中进行着大量的有形商品的异地交易,整个交易链条中无法回避的环节就是商品的配送问题。
而我国现代物流起步较晚,缺乏专业的管理与运作经验,物流市场一直没有形成闭环式的网络链条。
(5)金融体系支撑不足。
网上支付是电子商务的重要环节,它在给人们带来方便的同时,也带来了一定的“金融风险”,不但涉及国内跨行网上支付,更存在跨国网上支付问题。
(6)人才缺乏问题。
电子商务实现的关键最终仍然是人,电子商务是信息技术与商务的有机结合,需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。
5.2内在因素方面
(1)计算机系统的安全问题。
系统安全与计算机系统的硬件平台、操作系统、所运行的各种应用软件等都有密切关系,其中操作系统的安全性对整个计算机系统的安全性影响最大。
计算机系统安全可包含病毒预防、审计日志、用户账号管理、备份和恢复等措施。
(2)计算机网络的安全问题。
计算机网络安全是指利用网络管理控制方法和技术措施,保证网络环境中数据信息的保密性、完整性和可利用性。
网络安全涉及多个层次,必须采取多种技术和产品来解决各种安全问题。
(3)电子商务数据的安全问题。
保护交易数据的安全性是电子商务系统的关键。
由于Internet本身的开放性,电子商务系统就面临着各种各样的安全威胁。
有以下几方面:
对合法用户的身份冒充、对信息的非法窃取与监听、对信息的篡改、拒绝服务、对发出的信息予以否认、非法入侵和病毒攻击等。
为了保护电子交易数据的安全,需要对数据进行加密,以防止敏感信息被外部破解。
数据加密的安全性在很大程度上依
赖于密钥的安全性,因此,必须对密钥的产生、存储、分配、销毁等管理环节进行有效的管理。
(4)电子商务交易的安全问题。
电子商务交易的安全问题是指传统商务在互联网络上应用时产生的各种安全问题,以及在计算机网络安全的基础上,如何保障电子商务过程的顺利进行问题。
六、解决方法
电子商务中的主要安全技术
除了网络本身的运行安全以外,电子商务还必须利用各种安全控制技术保证整个电子商务过程的安全与完整。
6.1防火墙技术
防火墙是建立在现代通信网络技术和信息安全技术基础上的一种被动式防御的访问控制技术是设置在不同网络或网络安全域之间的一系列部件的组合。
防火墙作为网络安全的第一道防线可以保护内部网络的敏感数据不被窃取和破坏,并记录内外通信的有关状态信息日志。
它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。
智能防火墙从技术特征上,是利用统计、记忆、概率和决策的智能方法来对数据进行识别,并达到访问控制的目的。
防火墙不仅仅是路由器、堡垒主机或任何提供网络安全的设备组合,它还是安全策略的一个重要组成部分。
防火墙的主要技术有包过滤技术、代理服务器技术、应用网关技术和状态检测包过滤技术,现在最常用的是状态检测包过滤技术。
防火墙将内部可信区域与外部危险区域有效地进行隔离,将网络的安全策略制定和信息流动集中管理控制,为网络边界提供保护,确保了内部网络的安全,从而大大减轻了网络和系统被用于非法和恶意目的的风险。
但是,所有可能受到网
络攻击的地方都必须以同样的安全级别加以保护,仅设置防火墙系统,而没有全面、细致的安全策略,那么防火墙就形同虚设。
6.2加密技术
加密的主要目的是防止信息的非授权泄露,许多密码算法现已成为网络安全和商务信息安全的基础。
加密就是将明文数据转换成我们无法读懂的数据形式,加密后的口令即使被黑客获得也是不可读取的,加密后的文件没有收件人的私钥无法解开。
网络加密常用的方法有链路加密、端点加密和节点加密三种。
密码体制有两种基本的形式:
一种是对称密钥密码技术,称为私有密钥密码技术,指对信息的加密和解密都使用相通的密钥。
根据加密模式不同,可以分为序列密钥和分组密码;另一种是公钥体制密码技术,即公开密钥密码技术,有时也称为不对称密钥密码技术,要求密钥成对出现,一个为加密密钥,一个为解密密钥。
6.3安全认证技术
认证技术是防止信息被篡改、删除和伪造的有效方法。
认证的主要技术分为两种,第一是实体认证,即验证信息的发送者是真的,而不是冒充的;第二是信息认证,即验证信息的完整性。
6.3.1数字摘要
数字摘要是将任意长度的消息变成固定长度的短消息,它类似于一个自变量是消息的函数,也就是Hash函数。
发送端把原信息用HASH函数加密成摘要,然后把数字摘要和原信息一起发送到接收端,接收端也用HASH函数把原消息加密为摘要,看两个摘要是否相同,若相同,则表明信息的完整,否则不完整。
它用来保证信息的完整性。
6.3.2数字签名
数字签名就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名。
主要是针对网络传递的各种文件、书信和合同,通过网络技术进行真实性的确认和所属性的鉴别。
从动态过程看,数字签名技术就是利用数据加解密技术、数据变换技术,根据某种协议来产生一个反映被签署文件和签署人特性的数字化签名。
数字签名是只有信息发送者才能产生的、别人无法伪造的一串数字串。
把Hash函数和公钥算
法结合起来,可以在提供数据完整性的同时也可以保证数据的真实性。
数字签名技术在信息安全,包括身份认证、数据完整性、不可否认性以及匿名性等方面有重要应用,特别是在大型网络安全通信中的密钥分配、认证以及电子商务系统中都具有重要作用。
6.3.3数字时间戳
数字时间戳服务DTS(DigitalTime-stampService)可以提供电子文件发表时间的安全保护。
它由专门的部门提供,产生的过程是:
用户首先将需要加时间戳的文件用编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到的文件摘要的时间信息后再对该文件加密,然后送回用户。
6.3.4安全电子交易协议
电子商务中有多种安全体制可以保证电子商务交易的安全性,其中SSL和SET是电子商务安全中最重要的两个协议。
安全套接层协议SSL本质上是一个网络安全协议,其主要目的是解决信用卡电子付款的安全保障性问题。
安全电子交易协议SET是一个多方的消息报文协议,向基于信用卡进行电子化交易的应用提供了实现安全措施的规则,是一个专门的安全电子支付协议。
SSL虽然成本低、速度快、使用简单,但随着电子商务的发展其缺点凸现出来,需采用更先进的支付系统。
而SET虽有更强的功能和安全性,但过于复杂,使得大面积推广还有很大障碍,并且成本昂贵。
所以,SET与SSL协议的发展趋势是共存互补,即在商家与银行之间采用SET协议,而与顾客连接时仍然使用SSL协议。
6.4构建电子商务的法律环境
解决网络安全问题首先是要解决管理问题,其次才是技术的研发。
构建电子商务的法律环境的核心是政府,只有政府能担当起这个重大的责任。
政府的宏观规划可以明确各级政府在推动电子商务发展中的责任,制定专门的“电子商务法”,对电子商务当事人的权利义务、电子合同法律关系、电子签名、电子认证、电子支付等问题进行专门规定。
同时可以制定一个适合中国国情的信用制度,建立公民诚信数据库和电子法务平台,实现网上司法。
法律才是信息网络安全的真正有效的制度保障,即使再完善的技术和管理的手段,离开法律都是不可靠的。
七、结论
安全问题是阻碍电子商务发展的最大问题。
目前,还没有一种电子商务安全的完整解决方案和完整模型与体系结构,我们离安全电子商务还有一段很长的距离。
电子商务将是企业的一种生存方式,我们必须加大力度来研究和发展信息安全保密技术,以建立一个高效、通用、安全的商务环境。
参考文献:
1XX百科
2浅谈电子商务中的安全问题李保华安徽科技贸易学校
3.我国电子商务发展的现状及对策陈群三峡学院
4电子商务安全的研究肖伟(绵阳师范学院)
5.电子商务的安全问题肖建傲(中国地质大学经管学院,湖北武汉430074)
6电子商务中的安全技术薛继青1温馨21江阴兴澄特种钢铁有限公司江苏2144002南京大学商学院江苏210093
7电子支付及其安全控制问题探讨来敏健胡晓蓉(南昌师范高等专科学校,江西南昌330029)
8.浅谈电子商务安全石家庄经济学院邢延铭
9.浅析网络安全技术王玉慧(长江海事局信息中心,湖北武汉430016)
升级会员 