1、电子商务安全技术的发展和应用摘要:随着电子商务日益成为国民经济的亮点,Internet逐渐发展成为电子商务的最佳载体。然而互联网充分开放,不设防护的特点使加强电子商务的安全问题日益紧迫。在电子商务的交易中,经济信息、资金都要通过网络传输,交易双方的身份也需要认证,因此,电子商务的安全性主要是网络平台的安全和交易信息的安全。而网络平台的安全是指网络操作系统对抗网络攻击、病毒,使网络系统连续稳定的运行。防火墙技术、数据加解密技术、数字签名、身份认证和安全电子商务的国际规范等。关键字:安全技术 防火墙 数据加密防火墙技术1.防火墙是一种用来加强网络之间访问控制的特殊网络互联设备,如路由器、网关等。它
2、对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略进行检查,来决定网络之间的通信是否被允许。其中被保护的网络称为内部网络,另一方则称为外部网络或公用网络,它能有效地控制内部网络与外部网络之间的访问及数据传送,从而达到保护内部网络的信息不受外部非授权用户的访问和过滤不良信息的目的。 所有来自Internet的传输信息或你发电子商务资料库的信息都必须经过防火墙。这样防火墙就起到了保护诸如电子邮件、文件传输、远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略的有机组成部分,它通过控制和监测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从总体上看,防火墙应该具有
3、以下五大基本功能:(1) 过滤进、出网络的数据;(2) 管理进、出网络的访问行为;(3) 封堵某些禁止行为;(4) 记录通过防火墙的信息内容和活动;(5) 对网络攻击进行检测和告警;国际标准化组织的计算机专业委员会根据网络开放系统互连7层模型制定了一个网络安全体系结构,用来解决网络系统中的信息安全问题,如表1所示2. 防火墙的基本准则:未被允许的就是禁止的。 基于该准则,防火墙应封锁所有信息流,然后对希望提供的服务逐项开放。这是一种非常实用的方法,可以造成一种相当安全的环境,因为只有经过仔细挑选的服务才被允许使用。其弊端是,安全性高于用户使用的方便性,用户所能使用的范围大大受到限制。防火墙是实
4、现安全访问控制的,因此按照OSIRM,防火墙可以在OSIRM7层中的5层设置,如图1所示: 防火墙从功能上来分通常由以下几部分组成,如图2所示人机接口访问控制策略审计安全管理数据加密网络互联设备图2防火墙体系结构目前,从概念上来讲,防火墙技术主要分为9种:(1)包过滤(Packet filter)防火墙技术,又称筛选路由器(Screening router)或网络层防火墙(Network level firewall),它是对进出内部网络的所有信息进行分析,并按照一定的安全策略信息过滤规则对进出内部网络的信息进行限制,允许授权信息通过,拒绝非授权信息通过。信息过滤规则是以其所收到的数据包头信息
5、为基础,比如IP数据包源地址、IP数据包目的地址、封装协议类型(TCP、UDP、ICMP等)、TCPIP源端口号、TCPIP目的端口号、ICMP报文类型等,当一个数据包满足过滤规则,则允许此数据包通过,否则拒绝此包通过,相当于此数据包所要到达的网络物理上被断开,起到了保护内部网络的作用。采用这种技术的防火墙优点在于速度快、实现方便,但安全性能差,且由于不同操作系统环境下TCP和UDP端口号所代表的应用服务协议类型有所不同,故兼容性差。(2)应用层网关级(Application level gatewav)防火墙技术,又称代理(Proxy),它由两部分组成:代理服务器和筛选路由器。这种防火墙技术
6、是目前最通用的一种,它是把筛选路由器技术和软件代理技术结合在一起,由筛选路由器负责网络的互联,进行严格的数据选择,应用代理则提供应用层服务的控制,如图3所示(3)双宿主机(Dual-homed host)技术防火墙技术,又称堡垒主机(Bastion host),它的结构如图4所示,采用主机取代路由器执行安全控制功能,故类似于包过滤防火墙。双宿主机即一台配有多个网络接口的主机,它可以用来在内部网络和外部网络之间进行寻径,如果在一台双宿主机中寻径功能被禁止了,则这个主机可以隔离与它相连的内部网络与外部网络之间的通信,而与它相连的内部网络和外部网络仍可以执行由它所提供的网络应用,如果这个应用允许的话
7、,它们就可以共享数据,这样就保证内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息,但内部网络与外部网络之间却不能传递信息,从而达到保护内部网络的作用。(4)网络地址转换技术。防火墙利用NAT技术能透明地对所有内部地址做转换,使得外部网络无法了解内部网络的内部结构,同时允许内部网络使用自己编的源地址和专用网络,防火墙能详尽记录每一个主机的通信,确保每个分组送往正确的地址。(5)Internet网关技术。由于是直接串联在网络之中,防火墙必须支持用户在Internet互联的所有服务,同时还要防止与Internet服务有关的安全漏洞,故它要能够以多种安全的应用服务器(包括FTP、F
8、inger、mail、Ident、News、WWW等)来实现网关功能。 图5 InternetIntranet防火墙配置在域名服务方面,新一代防火墙采用两种独立的域名服务器:一种是内部DNS服务器,主要处理内部网络和DNS信息;另一种是外部DNS服务器,专门用于处理机构内部向Internet提供的部分DNS信息。在匿名FTP方面,服务器只提供对有限的受保护的部分目录的只读访问。在WWW服务器中,只支持静态的网页,而不允许图形或CGI代码等在防火墙内运行。在Finger服务器中,对外部访问,防火墙只提供可由内部用户配置的基本的文本信息,而不提供任何与攻击有关的系统信息。SMTP与POP邮件服务器
9、要对所有进、出防火墙的邮件做处理,并利用邮件映射与标头剥除的方法隐除内部的邮件环境。Ident服务器对用户连接的识别做专门处理,网络新闻服务则为接收来自ISP的新闻开设了专门的磁盘空间。(6)安全服务器网络(SSN)。为了适应越来越多的用户向Internet上提供服务时对服务器的需要,新一代防火墙采用分别保护的策略对用户上网的对外服务器实施保护,它利用一张网卡将对外服务器作为一个独立网络处理,对外服务器既是内部网络的一部分,又与内部网关完全隔离,这就是安全服务器网络(SSN)技术。而对SSN上的主机既可单独管理,也可设置成通过FTP、Telnet等方式从内部网上管理。SSN方法提供的安全性要比
10、传统的“隔离区(DMZ)”方法好得多,因为SSN与外部网之间有防火墙保护,SSN与内部网之间也有防火墙的保护,而DMZ只是一种在内、外部网络网关之间存在的一种防火墙方式。换言之,一旦SSN受破坏,内部网络仍会处于防火墙的保护之下,而一旦DMZ受到破坏,内部网络便暴露于攻击之下。(7)用户鉴别与加密。为了降低防火墙产品在Ielnet、FTP等服务和远程管理上的安全风险,鉴别功能必不可少。新一代防火墙采用一次性使用的口令系统来作为用户的鉴别手段,并实现了对邮件的加密。(8)用户定制服务。为了满足特定用户的特定需求,新一代防火墙在提供众多服务的同时,还为用户定制提供支持,这类选项有:通用TCP、出站
11、UDP、FTP、SMTP等,如果某一用户需要建立一个数据库的代理,便可以利用这些支持,方便设置。(9)审计和告警。新一代防火墙产品采用的审计和告警功能十分健全,日志文件包括:一般信息、内核信息、核心信息、接收邮件、邮件路径、发送邮件、已收消息、已发消息、连接需求、已鉴别的访问、告警条件、管理日志、进站代理、FTP代理、出站代理、邮件服务器、域名服务器等。此外,防火墙还在网络诊断、数据备份保全等方面具有特色。二两主要防火墙的构造。 (1)包过滤型防火墙它一般由路由器实现,故也被称为包过滤路由器。如图6所示:它在网络层对进入和出去内部网络的所有信息进行分析,一般检查数据包的IP源地址、IP目标地址
12、、TCP端口号、ICMP消息类型,并按照信息过滤规则进行筛选,若符合规则,则允许该数据包通过防火墙进入内部网,否则进行报警或通知管理员,并且丢弃该包。这样一来,路由器能根据特定的刿则允许或拒绝流动的数据,如:Telnet服务器在TCP的23号端口监听远程连接,若管理员想阻塞所有进入的Telnet连接,过滤规则只需设为丢弃所有的TCP端口号为23的数据包。采用这种技术的防火墙速度快,实现方便,但由于它是通过IP地址来判断数据包是否允许通过,没有基于用户的认证,而IP地址可以伪造成可信任的外部主机地址,另外它不能提供日志,这样一来就无法发现黑客的攻击纪录。(2)应用级防火墙大多数的应用级防火墙产品
13、使用的是应用代理机制,内置了代理应用程序,可用代理服务器作内部网和Internet之间的的转换。若外部网的用户要访问内部网,它只能到达代理服务器,若符合条件,代理服务器会到内部网取出所需的信息,转发出去。同样道理,内部网要访问Internet,也要通过代理服务器的转接,这样能监控内部用户访问Internet.这类防火墙能详细记录所有的访问纪录,但它不允许内部用户直接访问外部,会使速度变慢。且需要对每一个特定的Internet服务安装相应的代理服务器软件,用户无法使用未被服务器支持的服务。如图7所示:防火墙技术从其功能上来分,又可分为FTP防火墙、Telnet防火墙、Email防火墙、病毒防火墙
14、等各种专用防火墙。通常几种防火墙技术被一起使用来弥补各自的缺陷,增加系统的安全性能。防火墙虽然能对外部网络的功击实施有效的防护,但对来自内部网络的功击却无能为力。网络安全单靠防火墙是不够的,还需考虑其它技术和非技术的因素,如信息加密技术、制订法规、提高网络管理使用人员的安全意识等。就防火墙本身来看,包过滤技术和代理访问模式等都有一定的局限性,因此人们正在寻找更有效的防火墙,如加密路由器、“身份证”、安全内核等。但实践证明,防火墙仍然是网络安全中最成熟的一种技术。结论:防火墙技术和数据加密是网络安全的手段,是用来拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访
15、问网络资源,如果使用得当,可以在很大程度上提高网络安全性能,但是并不能百分之百解决网络上的信息安全问题,安防病毒的软件并定期执行检测,使用数字签名技术和数字证书等等,都是加强电子商务安全的重要技术措施。当然,任何一个安全产品或技术都不会提供永远和绝对的安全,因为网络在变化,应用在变化,入侵和破坏的手段也在变化,只有技术的不断进步才是真正的出路。参考文献:1 谢琳. 防火墙策略与VPN配置,2007(4):1101142 凌捷. 计算机安全技术及应用,2004(5):2102353 毛薇.李涛等.计算机网络防火墙技术,2007(4):43454 刘沙.数据加密技术的安全策略,2007(4):15
16、175 陈姝.电子商务安全技术,2007,38(13):20236 王明伟.电子商务安全技术的发展.,2004(6):97100 目 录第一章 总论11.1项目名称与承办单位11.2研究工作的依据、内容及范围11.3编制原则31.4项目概况31.5技术经济指标51.6结论6第二章 项目背景及建设必要性82.1项目背景82.2建设的必要性9第三章 建设条件113.1项目区概况113.2建设地点选择错误!未定义书签。3.3项目建设条件优劣势分析错误!未定义书签。第四章 市场分析与销售方案134.1市场分析134.2营销策略、方案、模式14第五章 建设方案155.1建设规模和产品方案155.2建设规
17、划和布局155.3运输185.4建设标准185.5公用工程205.6工艺技术方案215.7设备方案215.8节能减排措施24第六章 环境影响评价256.1环境影响256.2环境保护与治理措施266.3评价与审批28第七章 项目组织与管理297.1组织机构与职能划分297.2劳动定员297.3经营管理措施307.4技术培训30第八章 劳动、安全、卫生与消防318.1编制依据及采用的标准318.2安全卫生防护原则318.3自然灾害危害因素分析及防范措施328.4生产过程中产生的危害因素分析及防范措施328.5消防编制依据及采用的标准348.6消防设计原则358.7火灾隐患分析358.8总平面消防设
18、计358.9消防给水设计368.10建筑防火368.11火灾检测报警系统378.12预期效果37第九章 项目实施进度389.1实施进度计划389.2项目实施建议38第十章 项目招投标方案4010.1招标原则4010.2项目招标范围4010.3投标、开标、评标和中标程序4010.4评标委员会的人员组成和资格要求42第十一章 投资估算和资金筹措4311.1投资估算4311.2资金筹措及使用计划45第十二章 财务评价4712.1费用与效益估算4712.2财务分析4812.3不确定性分析4912.5财务评价结论50第十三章 建设合理性分析5113.1产业政策符合性分析5113.2清洁生产符合性分析5113.3规划符合性分析5113.4项目建设环保政策符合性分析5113.5环境承载性分析5113.6结论52第十四章 结论与建议53
浙ICP备2021020529号-1 | 浙B2-20240490 
