第五、缺乏安全策略,许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
第六、网络系统在稳定性和可扩充性方面存在问题。由于设计的系统不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
第七、网络硬件的配置不协调。一是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响网络系统的质量。网络应用的需求没有引起足够的重视,设计和选型考虑欠周密,从而使网络功能发挥受阻,影响网络的可靠性、扩充性和升级换代。二是网卡用工作站选配不当导致网络不稳定。
第八、访问控制配置的复杂性,容易导致配置错误,从而给他人以可乘之机。 第九、管理制度不健全,网络管理、维护任其自然。
2.3 网络安全目标
(1)身份真实性:能对通讯实体身份的真实性进行鉴别,不被欺骗。、 (2)信息机密性:保证机密信息不会泄漏给非授权的人或实体。
(3)信息完整性:保证数据的一致性,在传输过程中不被改动,能防止数据被非授权用户或实体建立、修改、破坏;
(4)数据安全性:通信过程中必须保护数据的完整。
(5)服务可用性,保证合法用户对信息和资源的使用不会被不正当的拒绝; (6)不可否认性:建立有效的责任机制,防止实体否认其行为, (7)系统可控性:能够控制使用资源的人或实体的使用方式;
(8)可审查性:能对出现的网络安全问题提供调查的依据和手段,在满足安全的条件下,系统应当操作简单、维护方便。
7
3 网络安全协议
3.1 SET协议
安全电子交易(SET:SecureElectronicTransactions)是一个通过网络进行安全资金支付的为在线交易设立的开放的以电子货币为基础的电子付款系统规范。SET向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。它是由Visa国际组织和万事达组织共同制定的一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准。参与该标准研究的还有微软公司、IBM公司、Netscape公司、RSA公司等。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。对于需要支付货币的交易来讲是致关重要的,已成为全球网络的工业标准。SET将建立一种能在Internet上安全使用银行卡购物的标准,是一种能广泛应用与Internet上的安全电子付款协议,它能够将普遍应用的信用卡的使用场所从目前的商店扩展到消费者家里,扩展到消费者个人计算机。SET主要由3个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET 1.0版已经公布并可应用于任何银行支付服务。VISA和MasterCard一直在致力于开发使用信用卡进行Internet支付的安全电子交易协议(SET)。该协议干1997年5月正式通过。该协议是开放网络环境中的卡支付安全协议,它采用公开密码体制(PK1)和X.509电子证书标准,通过相应软件、电于证书、数字签名和加密等技术,在电于交易环节上提供更大的信任度,更完善的交换信息、更高的安全性和较少的可欺诈性。但是采用SET协议的一些试验结果表明SET在相互操作方面存在一些问题。SET的局限性还在于该协议仅限于使用信用卡方式的支付手段。
3.2 安全套接层协议(SSL)
安全套接层协议(Secure Sockets Layer,SSL)或电子支付安全协议是由
Netscape Communication公司1994年设计开发国际上最早的电子商务安全支付协议,主要用于提高应用程序之间的数据的安全系数。 SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。该协议运行的基点是商家对客户信息的承诺。该协议通过在应用程序进行数据交换前交换SSL初始握手信息来实现有关安全特性的审查。在SSL握手信息中采用了DES、MD5等加密技术来实现机密性和数据完整性,
8
并采用X.509的数字证书实现鉴别。该协议已成为事实上的工业标准,并被广泛应用于Internet和Intranet的服务器产品和客户端产品中。如Netscape公司、微软公司、IBM公司等领导Internet/Internet 网络产品的公司已在使用该协议。此外,微软公司和Visa机构也共同研究制定了一种类似于SSL的协议,这就是PCT(专用通信技术)。该协议只是对SSL进行少量的改进。
3.3 UN/EDIFACT的安全标准协议
EDI是EC最重要的组成部分,是国际上广泛采用的自动交换和处理商业信息和管理信息的技术。UN/EDIFACT报文是唯一的国际通用的EDI标准。利用Internet进行EDI已成为人们日益关注的领域,保证EDI的安全成为主要解决的问题。联合国下属的专门从事UN/EDIFACT标准研制的组织--UN/ECE/WP4(即贸易简化工作组)于1990年成立了安全联合工作组(UN-SJWG),来负责研究UN/EDIFACT标准中实施安全的措施。该工作组的工作成果将以ISO的标准形式公布。 在ISO将要发布的ISO 9735(即UN/EDIFACT语法规则)新版本中包括了描述UN/EDIFACT中实施安全措施的5个新部分。它们分别是:第5部分--批式EDI(可靠性、完整性和不可抵赖性)的安全规则;第6部分--安全鉴别和确认报文(AUTACK);第7部分--批式EDI(机密性)的安全规则;第9部分--安全密钥和证书管理报告(KEYMAN);第10部分--交互式EDI的安全规则。UN/EDIFACT的安全措施主要是通过集成式和分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的鉴别和不可抵赖性; 而分离式途径则是通过发送3种特殊的 UN/EDIFACT报文(即 AU TCK、KEYMAN和CIPHER来达到保障安全的目的。
3.4 安全交易技术协议(STT)
STT将认证与解密在浏览器中分离开,以提高安全控制能力。由Microsoft提出、VISA和Microsoft共同开发的网络支付规范,在Internet Explorer中有采用。
由于MasterCard、Netscape、IBM在之后开发了SEPP(安全电子支付协议),使两大信用卡组织MasterCard和VISA分别支持独立的网络支付解决方案。又几个月后,这些机构联合开发了SET(安全电子交易协议)。
9
4 网络安全技术
互联网无疑已经成为最大的公共数据网络,随着互联网通信技术的发展,目前电子商务技术正在全球迅速发展。电子商务在提高商务效率、降低商务交易成本的同时,本身安全性也随之而至,成为制约其进一步发展的重要瓶颈。目前影响电子商务安全的主要因素有电子商务环境安全和商务交易安全两个方面。由于互联网上电子商务交易平台的虚拟性和匿名性,电子商务环境安全和商务交易安全问题也变得越来越突出。这就需要网络安全做保障。
网络安全的本质是网络上信息的安全,信息的安全主要靠密码学和认证技术来保证。一方面它具有信息安全的特点,另一方面又与主机式的计算机系统不同。
安全功击就是安全威胁的具体表现,分为主动功击和被动功击,被动功击的主要是窃听和监视信息的传输,并存储。目的只是想获得被传送的信息。它很难被检测出来。因为它不改变数据。但预防这种攻击是可能的。因此被动攻击通常采用预防手段而不是检测恢复手段。主动攻击通常修改数据流或创建一些虚假数据流,包括假冒、重放、修改、消息和拒绝服务。主动攻击中预防是困难的。因为这需要在所有时候内对所有通信设施或路径实行物理安全保护。主动攻击通常可以采取有效的检测和恢复手段进行保护。
网络安全攻击的形式:(1)中断:指系统资源遭到破坏或变得不能使用,是对可用性的攻击(2)截取:指未授权的实体得到了资源的访问权,对机密性的攻击。(3)修改:指未授权的实体不仅得到了访问权而且还篡改了资源,这是对完整性的攻击(4)伪造:非授权用户将伪造的数据插入到正常系统中,对完整性作为攻击目标。为了使电子商物在一个安全的环境中运行,我的们不光要求有威严的法律,更要求有先进的技术保障.病毒防范技术、生物识别技术、加密技术、防火墙技术、认证技术。
4.1 防火墙技术
4.1.1 防火墙
防火墙技术,最初是针对 Internet 网络不安全因素所采取的一种保护措施。顾名思义,防火墙就是用来阻挡外部不安全因素影响的内部网络屏障,其目的就是防止外部网络用户未经授权的访问。目前,防火墙采取的技术,主要是包过滤、应用网关、子网屏蔽等。
4.1.2 防火墙技术分类
10
防火墙技术一般分为两类:
1、网络级防火墙 主要是用来防止整个网络出现外来非法入侵。属于这类的有分组过滤器和授权服务器。前者检查所有流入本网络的信息,然后拒绝不符合实现制定好的一套准则的数据,而后者则是检查用户的登录是否合法。
2、应用级防火墙 从应用程序来进行接入控制。通常使用应用网关活代理服务器来区分各种应用。例如,可以只允许通过访问万维网的应用,而阻止FTP应用的通过。
4.1.3 防火墙体系结构
常见的防火墙体系结构: 1、双重宿主主机体系结构 2、屏蔽主机体系结构 3、屏蔽子网体系结构
防火墙技术在网络安全防护方面存在的不足
防火墙不能防止内部攻击;防火墙不能防止未经过防火墙的攻击;防火墙不能取代杀毒软件;防火墙不易防止反弹端口木马攻击。
防火墙(Firewall)是Internet上广泛应用的一种安全措施的形象说法。
防火墙是不同网络之间信息的唯一出口,能根据企业网络安全策略控制出入网络的信息流且本身具有较强的抗攻击能力。所有的内部网和外部网、专用网和公共网之间的连接都必须经过防火墙的检查、认证和连接,检测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部的信息、结构和运行状况,只有被授权的通信才能通过此保护层,以此来实现网络的安全。
在逻辑上,防火墙是一个分离器、一个限制器、一个分析器,有效的监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备;是一个在内部网和外部网之间的界面上所构造的保护屏障,由软件系统和硬件设备组合而成的。它能保障网络用户访问公用网络具有最低风险,同时也能保护专用网络免遭外部袭击。它对两个或多个网络之间传输的数据包如链接方式按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,并监视网络运行状态。?
11