导语:在数字签名技术论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
[关键词]RSA公钥密码体制安全性
一、对称密码体制
对称密码体制是一种传统密码体制,也称为私钥密码体制。在对称加密系统中,加密和解密采用相同的密钥。因为加解密密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。
二、非对称密码体制
采用分组密码、序列密码等对称密码体制时,加解密双方所用的密钥都是秘密的,而且需要定期更换,新的密钥总是要通过某种秘密渠道分配给使用方,在传递的过程中,稍有不慎,就容易泄露。
公钥密码加密密钥通常是公开的,而解密密钥是秘密的,由用户自己保存,不需要往返交换和传递,大大减少了密钥泄露的危险性。同时,在网络通信中使用对称密码体制时,网络内任何两个用户都需要使用互不相同的密钥,只有这样,才能保证不被第三方窃听,因而N个用户就要使用N(N1)/2个密钥。对称密钥技术由于其自身的局限性,无法提供网络中的数字签名。这是因为数字签名是网络中表征人或机构的真实性的重要手段,数字签名的数据需要有惟一性、私有性,而对称密钥技术中的密钥至少需要在交互双方之间共享,因此,不满足惟一性、私有性,无法用做网络中的数字签名。相比之下,公钥密码技术由于存在一对公钥和私钥,私钥可以表征惟一性和私有性,而且经私钥加密的数据只能用与之对应的公钥来验证,其他人无法仿冒,所以,可以用做网络中的数字签名服务。
具体而言,一段消息以发送方的私钥加密之后,任何拥有与该私钥相对应的公钥的人均可将它解密。由于该私钥只有发送方拥有,且该私钥是密藏不公开的,所以,以该私钥加密的信息可看做发送方对该信息的签名,其作用和现实中的手工签名一样有效而且具有不可抵赖性。
一种具体的做法是:认证服务器和用户各持有自己的证书,用户端将一个随机数用自己的私钥签名后和证书一起用服务器的公钥加密后传输到服务器;使用服务器的公钥加密保证了只有认证服务器才能进行解密,使用用户的密钥签名保证了数据是由该用户发出;服务器收到用户端数据后,首先用自己的私钥解密,取出用户的证书后,使用用户的公钥进行解密,若成功,则到用户数据库中检索该用户及其权限信息,将认证成功的信息和用户端传来的随机数用服务器的私钥签名后,使用用户的公钥进行加密,然后,传回给用户端,用户端解密后即可得到认证成功的信息。
长期以来的日常生活中,对于重要的文件,为了防止对文件的否认、伪造、篡改等等的破坏,传统的方法是在文件上手写签名。但是在计算机系统中无法使用手写签名,而代之对应的数字签名机制。数字签名应该能实现手写签名的作用,其本质特征就是仅能利用签名者的私有信息产生签名。因此,当它被验证时,它也能被信任的第三方(如法官)在任一时刻证明只有私有信息的唯一掌握者才能产生此签名。
由于非对称密码体制的特点,对于数字签名的实现比在对称密码体制下要有效和简单的多。
密码理论与技术主要包括两部分,即基于数学的密码理论与技术(包括公钥密码、分组密码、序列密码、认证码、数字签名、Hash函数、身份识别、密钥管理、PKI技术等)和非数学的密码理论与技术(包括信息隐形,量子密码,基于生物特征的识别理论与技术)。
以及潜信道的深入研究。
参考文献:
[1]冯登国.密码分析学[M].北京:清华大学出版社,2000.
[2]卢开澄.计算机密码学:计算机网络中的数据保密与安全(第2版)[M].北京:清华大学出版社,1998.
论文摘要:本文探讨一种基于非对称密码体制、单向散列函数、数字证书和数字签名的手机彩信通信接入双向认证方案。在本方案中,认证服务器无需存储和查找客户端公钥,且移动运营商具有自签名的顶级证书服务器,无需借助第三方颁发证书。最后对本方案做了简要的性能分析。
移动通信技术发展日新月异,3G,E3G,4G这些标志通信技术里程碑的名词。通过手机彩信功能,现在可以传输文字,图片,和视频等多媒体信息。彩信丰富了我们的日常生活,与此同时彩信中夹杂病毒和一些不良信息的现象不段出现。通信安全问题已成为制约移动网络应用的一个瓶颈,并且随着移动通信网络的迅猛发展,日益变得突出。借鉴互联网领域的数字签名技术,本文探讨通过非对称密钥体制来实现手机彩信的通信安全。
有对称和非对称两种密钥体制。在对称密钥系统中,加密和解密采用相同的密钥。因为加解密钥相同,需要通信的双方必须选择和保存他们共同的密钥,各方必须信任对方不会将密钥泄密出去,这样就可以实现数据的机密性和完整性。对于具有n个用户的网络,需要n(n-1)/2个密钥,在用户群不是很大的情况下,对称密钥系统是有效的。但是对于大型网络,当用户群很大,分布很广时,密钥的分配和保存就成了问题。因此在移动通信中不可以采取对称密钥体制。
(1)用公钥加密的数据,只能由与其对应的私钥解密,而不能用原公钥解密;反之,用私钥加密的数据,只能由与其对应的公钥解密,而不能由原私钥解密。即,设加密算法为E,解密算法为D,KP是公钥,KS是KP对应的与私钥,明文为X,则有:Dkp[Eks(X)]可以得出明文X,而Dks[Eks(X)]则无法得出明文X。
(2)非对称钥体制不存在对称秘钥体制中的密钥分配问题和保存问题。M个用户之间相互通信只需要2M个密钥即可完成。
(3)非对称秘钥体制支持以下功能:
(5)确认(Authentication):保证对方属于所声称的实体;
(6)数据完整性(Dataintegrity):保证信息内容不被篡改;
(7)不可抵赖性(Non-repudiation):发送者不能事后否认他发送过消息。
3一种双向认证的方案:
首先需要在移动运营商架设一台证书服务器。证书服务器有自己的公钥KCP和私钥KCS,同时证书服务器也有一张自签名的顶级证书,以防止它的公钥被黑客替换。在用户开通服务时,证书服务器为用户颁发一张数字证书,并对证书进行数字签名,以防止证书内容被篡改。颁发证书的时候为用户创建了公钥KUP、私钥KUS,其中KUS由用户保存且保密,KUP公开。
用户开机或者请求某种业务时,发起相应的认证过程,即向AAAServer发送认证开始请求。AAAServer收到请求后,向用户发送证书请求,要求用户出示数字证书。然后用户将自己的数字证书发送给AAAServer。
AAAServer收到证书后,有三件事情需要证明:
(1)该数字证书是移动运营商数字证书服务器所颁发;
(2)该数字证书未被篡改过;
(3)该证书确实为出示证书者所有。
对于前面两项,AAAServer只需验证数字证书上证书服务器的数字签名即可得到证明。具体方法是用证书服务器的公钥KCP解密数字签名,然后再用公开的单向散列函数求证书的散列值,并比较二者,如果相同,验证通过,不相同,验证失败。
为了证明该证书确实为证书出示者所有,AAAServer生成一个大的随机数R,并使用用户的公钥KUP(数字证书中包含KUP,因此服务器无需预先存储用户公钥,也无需查找数据库,这有利于加快处理速度)将R加密,得到EKup(R)。为了防止R在传输过程中被黑客截获并修改,使得合法用户得不到正确的认证。AAAServer先使用一个公开的单向散列函数H作用于R,得到H(R),然后用服务器的私钥KSS对H(R)进行加密(数字签名)。最后将Ekup(R)+Ekss[H(R)]发送给用户。客户收到Ekup(R)+Ekss[H(r)]后,首先应该验证R在传输过程中是否被篡改过。方法如下:首先,客户端使用AAAServer的公钥KSP解开Ekss[H(R)],即:DKsp(Ekss[H(r)])=H(R)[]
转贴于
再用客户端私钥KUS解密Ekup(R),即:
Dkus[Ekup(R)]=R’,
然后再用公开的单向散列函数H(必须与AAAServer使用的H相同),求R′的散列值H(R′)。如果在传输过程中R被篡改过,即R′≠R,那么根据散列函数的性质,必然有:H(R′)≠H(R),从而发现R被修改过这一事实。
如果上面的操作证明R未被修改,那么客户端接下来的工作是设法将解密得到的R′不被篡改地传回AAAServer,以便AAAServer进行鉴别。为了防止在将R′传回给AAAServer的过程中,被黑客捕获并篡改,使得合法用户不能通过认证。在回传R′时,先对R′施以单向散列函数H,得到R′的一个散列值H(R′)。然后使用用户的私钥KUS对H(R′)进行加密(数字签名),最后将R′和加密后的H(R′)一起,即R’+Ekus[H(R’)]回传给AAAServer。这里R′可以明文传输,无需加密,因为R是随机数,每次都不一样,黑客即使获得R′也不能对认证过程构成威胁。
AAAServer收到R’+Ekus[H(R’)]后,验证过程如下:
首先验证R′是否等于R。如果R′=R,说明该证书确实为其出示者所有,对用户的认证获得通过。
如果R′≠R,有两种可能,即要么用户提供的证书是假的,要么R′在传输过程被人篡改过。要检查R′是否被修改过,AAAServer只需验证用户的数字签名即可:
如果R′被篡改为R″(R″≠R′),则必然有H(R″)≠H(R′),从而可以发现R′在传输过程中被修改过。
如果经过前面验证,R′在传输过程中没有被修改,且R′≠R,这说明用户所出示的数字证书非法,用户认证失败。
至此,AAAServer对客户端认证完成。反方向的客户端对AAAServer的认证类似,不再详述。
本认证方案采用了单向散列函数、非对称密码体制、数字证书、数字签名等信息安全技术。认证服务器无需存储用户公钥,也不需要查找相应数据库,处理速度快。
(1)有效性(Validity):在本认证方案过程中,要求用户出示了由移动运营商证书服务器颁发的数字证书,并对证书进行了三项验证,确保证书的有效性(为移动运营商证书服务器所颁发)、完整性(未被修改过)和真实性(确实为该用户所有)得到验证。在AAAServer方,我们认为没有必要向客户端出示其证书。客户端知道合法的AAAServer的公钥,只需验证自称是AAAServer的一方拥有该公钥对应的私钥即可,因为世界上有且仅有合法的AAAServer知道该私钥。
(2)完整性(Integrity):在认证消息传输过程中,我们始终坚持了消息可靠传输这一原则,对认证消息采取了保护措施。一旦认证消息在传输过程中被修改,消息到达对方时将被发现。
不可否认性(Non-repudiation):本方案中所有认证消息都采用了发送方数字签名,使得发送方对自己发送的消息不可否认。
彩信丰富人们的生活,手机,手机炒股……各种网络应用在移动网络中产生,安全显的很重要。通过数字签名技术来解决手机彩信通信安全是一种切实可行的方案,非对称的加密体制为方案的实现提供了可能性,在基于J2ME的开发平台下实现,使得具有很强的可移植性,为手机彩信提供安全保障。
[1]赵泽茂.数字签名理论.北京:科学出版社,2007.
[4]杨世平,李祥.一种广播多重(t,n)门限数字签名方案[J].应用研究,2006.
[2]AndrewNash,WilliamDuane,CeliaJoseph,DerekBrink:PKI:ImplementingandManagingE-Security,McGraw-HillCompanies,2001.
关键词:电子签名证据;证据属性;审查判断
一、电子签名证据概述
根据联合国国际贸易法委员会《电子签名示范法》第二条中的规定,电子签名是指“以电子形式表现的数据,该数据在一段数据信息之中或附着于或与一段数据信息有逻辑上的联系,该数据可以用来确定签名人与数据信息的联系并且可以表明签名人对数据信息中的信息的同意。”我国在《电子签名法》第二条第一款中对电子签名也进行了规定:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。”
综上所述,我们可以这样认为,电子签名是在电子数据交换中,附属于数据电文中,以电子形式以表明签名人身份的数据。当今理论界又把电子签名有分为广义的电子签名和狭义的电子签名。广义的电子签名的定义可以简单的分解成以下几点:一是电子签名是以电子形式存在的;二是电子签名能确认电子合同的内容;三是当事人通过电子签名表明其身份,并表明接受合同项下的权利义务,继之表明愿意承担可能产生的合同责任;狭义的电子签名则是指利用特定的加密算法而进行的签名,通常是指数字签名。
二、电子签名证据的种类
1.数字签名(DigitalSignature),即狭义的电子签名,是以特定的电子签名技术所进行的签名。如前所述,数字签名是电子签名的一种,这种观点被广泛的学者所认可,一般是指以非对称加密技术所进行的电子签名。它是电子商务活动中使用最为普遍的电子签名方式。此外,通过动态签名的识别,也可以使个人身份与其签名发生特定的联系。
2.生物特征签名(SignatureByBiometries),是指籍由使用者的指纹、声波、视网膜纹等生理特征作为辨识的根据,而达到鉴别作用的签名。它是与用户个人生理特征相联系的。
三、电子签名证据进行审查判断的方法
(一)电子签名证据收集主体的审查
(二)电子签名证据能力的审查
证据能力,又称为证据资格,“是指证据材料能够作为证据使用而在法律上享有正当性。通常情况下,必须同时具备真实性、合法性和关联性等的证据才具有证据能力。”对电子签名证据的证据能力进行审查,也就是对其是否满足作为证据使用条件进行审查。我国《电子签名法》第三条规定:“当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力”;第四条规定:“可靠地电子签名与手写或者盖章具有同等的法律效力”;第七条规定:“数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者存储而被拒绝作为证据使用。”从以上条文可知,我国从立法上对于数据电文和电子签名的证据能力及证明力给予了肯定。
另外,我国《电子签名法》第五条规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用;(二)能够可靠的保证自最初形成时起,内容保持完整,未被更改。”但是,数据电文在储存和经行数据交换时发生形式的变化并不影响数据电文的完整性。上述的规定表明我国对电子签名证据的复印件与原件在功能相同的情况下,具有相同的证明力。
注释:
何峰,.论电子证据的审查与举证.信息网络安全.2010(4).
参考文献:
[1]苏凤仙,谭德宏.民事诉讼中电子证据的审查判断.辽宁经济职业技术学院学报.2003(2).
[2]胡冰.电子签名证据问题法律研究.山东大学硕士学位论文.2006年.
关键词:电子公文电子政务互联网
一、子公文及其特点
电子公文是指以电子形式表现的并通过网络传送的,用于政府机关相互之间联系事务的专用文件。电子公文的特点是基于电脑和互联网联网的特性而产生的,因为电子公文的制作、发送及接收都需要通过电脑和互联网这两种媒介来进行。首先是电脑,它的最大作用是将政府公文中所有具体的信息都进行了数字化的改变,这里所说的数字化是指电脑将输入的具体信息以“1”和“0”来进行存储和运作,这不像传统的政府公文是以具体的书面形式来表示的。其次是互联网,互联网将电脑里的数字化信息在各个政府机关之间迅速地传送。互联网本身有其特殊性,即公开性和全球性。所谓公开性是指任何人都可以自由地进出互联网,而全球性是指信息在互联网上的传递是没有边界障碍的。根据上述分析,较之传统的政府公文,电子公文有以下几个方面的特点:
(1)电子公文是一种数字化的、虚拟化的文件形式;(2)电子公文的传送是在公开环境下,通过互联网进行的;(3)电子公文的传送可以在各个地区、国家乃至全球范围内的政府之间进行;(4)电子公文的广泛应用能够极大地提高政府的办事效率。
二、电子公文应用中存在的安全问题
目前,电子公文应用中出现的安全问题主要有:
1.黑客问题。黑客入侵网站的消息在近年被频频报道。以前黑客们往往挑选美国国防部和雅虎这些安全防范体系堪称一流的硬骨头啃。而随着各种应用工具的传播,黑客已经大众化了,不像过去那样非电脑高手不能成为黑客。如果安全体系不过硬的话,黑客便可以肆意截留、毁灭、修改或伪造电子公文,给政府部门带来混乱。
2.电脑病毒问题。自电脑病毒问世几十年来,各种新型病毒及其变种迅速增加,而互联网的出现又为病毒的传播提供了最好的媒介。不少新病毒直接利用网络作为自己的传播途径。试想一个完整的电子政府体系中某个环节受到病毒感染而又没有被及时发现,电子公文系统全面瘫痪,那将会产生怎样的后果病毒的感染会使一些电子公文毁灭或送达延误,整个电子政府将会指挥失灵、机构运作不畅。
3.信息泄漏问题。目前,各大软件公司生成的网管软件使网络管理员拥有至高无上的权利,可以方便地对网上每个政府用户的各种使用情况进行详细的监测。此外,网络中存在不少木马程序,如果使用不慎,就会把公文中的重要信息泄漏给他人。而某些大公司生产的软件或硬件产品所带的后门程序更可以使这些公司对政府用户在网上的所作所为了如指掌。对政府而言,信息泄漏将会给其工作带来麻烦,甚至会危及到国家的政治、经济及国防利益,有关的政府工作人员会因此被追究法律责任,这是绝对不能接受的。而对这些大公司的法律管制,对于在信息产业中处于弱势地位的国家来说是根本无法解决的难题,但光靠处于优势地位的国家也是不行的,必须在国际范围内形成管制的合力。
三、电子公文安全体系法律制度建构
【论文摘要】国民经济和社会信息化的发展,进一步带动了工业化发展.在电子信息系统建设的过程中,如何保障系统能提供安全可靠的服务是整个企业电子信息系统建设必须要考虑的问题。本文分析了电子办公系统的信息安全技术中的安全需求,针对需求提出了相应的解决办法。
1.企业电子办公系统中的安全需求
2.企业电子办公系统安全保障防火墙技术
针对安全需求,在电子信息系统中需要采取一系列的安全保障技术,包括安全技术和密码技术,对涉及到核心业务的网,还要采用物理隔离技术进行保护。这些技术作用在网络层、系统层和应用层,对信息系统起着不同的安全保护作用。在网络层主要应用的技术有防火墙、VPN、SSL、线路加密、安全网关和网络安全监测;系统层则包括操作系统安全、数据库系统安全以及安全的传输协议;应用层安全技术主要涉及认证与访问控制、数据或文件加密和PKI技术。
从网络安全角度上讲,它们属于不同的网络安全域,因此,在各级网络边界以及企业网和Internet边界都应安装防火墙,并实施相应的安全策略。防火墙可以根据既定的安全策略允许特定的用户和数据包穿过,同时将安全策略不允许的用户和数据包隔断,达到保护高安全等级的子网、阻止外部攻击、限制入侵蔓延等目的。防火墙的弱点主要是无法防止来自防火墙内部的攻击。
3.内网和外网隔离技术
企业电子办公网络是由政务核心网(网)。随着各类机构内部网络业务系统(也称内网)和公众互联网(也称外网)的不断发展,许多业务系统正在逐步向互联网转移,使得内外网的数据交换和互联成为必然的趋势。互联网潜在的不安全因素,造成人们对内外网互联的担忧,所以出现了多种方法来解决内外网的数据交换问题而又不影响内网的安全性,如采用内外网的物理隔离方法,将核心网与其他网络之间断开,将专用网和政府公众信息网之间逻辑隔离。隔离技术的发展至今共经历了五代。
3.1隔离技术,双网机系统。
3.2隔离技术,基于双网线的安全隔离卡技术。
3.3隔离技术,数据转播隔离技术。
3.4隔离技术,隔离服务器系统。该技术是通过使用开关,使内外部网络分时访问临时缓存器来完成数据交换的,但存在支持网络应用少、传输速度慢和硬件故障率高等问题,往往成为网络的瓶颈。
3.5隔离技术,安全通道隔离。此技术通过专用通信硬件和专有交换协议等安全机制,来实现网络间的隔离和数据交换,不仅解决了以往隔离技术存在的问题,并且在网络隔离的同时实现高效的内外网数据的安全交换,它透明地支持多种网络应用,成为当前隔离技术的发展方向。
4.密码技术
密码技术是信息交换安全的基础,通过数据加密、消息摘要、数字签名及密钥交换等技术实现了数据机密性、数据完整性、不可否认性和用户身份真实性等安全机制,从而保证了网络环境中信息传输和交换的安全。
加密技术的原理可用下面的公式表示。
加密:Ek1(M)一C
解密:Dk2(C)一M
其中E为加密函数;M为明文;K为密钥;D为解密函数;C为密文。按照密钥的不同形式,密码技术可以分为三类:对称密码算法、非对称密码算法和单向散列函数。
在对称密码算法中,使用单一密钥来加密和解密数据。典型的对称密码算法是DES、IDEA和RC算法。这类算法的特点是计算量小、加密效率高。但加解密双方必须对所用的密钥保守秘密,为保障较高的安全性,需要经常更换密钥。因此,密钥的分发与管理是其最薄弱且风险最大的环节。
在非对称密码算法中,使用两个密钥(公钥和私钥)来加密和解密数据。当两个用户进行加密通信时,发送方使用接收方的公钥加密所发送的数据;接收方则使用自己的私钥来解密所接收的数据。由于私钥不在网上传送,比较容易解决密钥管理问题,消除了在网上交换密钥所带来的安全隐患,所以特别适合在分布式系统中应用。典型的非对称密码算法是RSA算法。非对称密码算法的缺点是计算量大、速度慢,不适合加密长数据。
非对称密码算法还可以用于数字签名。数字签名主要提供信息交换时的不可抵赖性,公钥和私钥的使用方式与数据加密恰好相反。
单向散列函数的特点是加密数据时不需要密钥,并且经过加密的数据无法解密还原,只有使用同样的单向加密算法对同样的数据进行加密,才能得到相同的结果。单向散列函数主要用于提供信息交换时的完整性,以验证数据在传输过程中是否被篡改。
5.公共密钥基础设施(PK1)
PKI技术是电子政务安全系统的核心。它通过数字证书的颁发和管理,为上层应用提供了完善的密钥和证书管理机制,具有用户管理、密钥管理、证书管理等功能,可保证各种基于公开密钥密码体制的安全机制在系统中的实现。
PKI提供的证书服务主要有两个功能,即证实用户身份的功能及保证信息机密性和完整性的功能。它最主要的组件就是认证中心(CA)。CA颁发的证书可以作为验证用户身份的标识,可以有效解决网络中的信任问题。它是电子政务网中信任篚基础。
在CA颁发的证书基础上,可以实现数字信封,数字签名、抗否认等功能,提供数据机密性、数据完整性等电子政务系统中所必需的安全服务。
6.入侵检测技术
入侵检测系统(IDS)可以做到对网络边界点雕数据进行检测,对服务器的数据流量进行检测,入侵着的蓄意破坏和篡改,监视内部吊户和系统管运行状况,查找非法用户和合法用户的越权操作,又用户的非正常活动进行统计分析,发现人侵行为自规律,实时对检测到的人侵行为进行报警、阻断,关键正常事件及异常行为记录日志,进行审计跟焉管理。
IDS是对防火墙的非常有必要的附加,而不仅是简单的补充。网络入侵检测系统还可以与防一墙进行联动,一旦发现由外部发起的攻击行为,将一防火墙发送通知报文,由防火墙来阻断连接,实现秀态的安全防护体系。
企业电子办公的安全保障是系统能够真正发挥作用的前提,各种安全保障设施必须和系统建设同步实施,同时要加强各种安全管理制度,增强系统使用和系统管理者的安全意识,才能从根本上保证系安全可靠的运行。■
【参考文献】
[1]朱少民.现代办公自动化系统的架框研究,办公自动化技术.
论文摘要:随着计算机的飞速发展,网络也在不断的发展。相对应的各种攻击网络的手段也随之产生,网络安全已经成为现在人类网络生活的重要要求。
保证网络安全的最主要的方法之一是数据加密,它在计算机网络安全中的应用大大提高了网络信息传输的安全性。
一、网络安全受到威胁的主要因素
㈠计算机操作系统存在隐患
计算机的操作系统是整个电脑的支撑软件,它为电脑中所有程序的运行提供了环境。所以,一旦操作系统存在隐患,网络入侵者能够获得用户口令,进而操作更个计算机的操作系统,获取计算机各个程序中残留的用户信息;如果系统掌管内存,CPU的程序有漏洞,那么网络入侵者就可以利用这些漏洞把计算机或者服务器弄瘫痪;如果系统在网络上传文件、加载和安装程序的地方出现漏洞的话,网络入侵者就能够利用间谍程序对用户的传输过程、使用过程进行监视,这些隐患出现的原因就是因为利用了不安全的程序,所以尽量避免使用不了解的软件。除此之外,系统还有守护进程的程序环节、远程调用功能、后门和漏洞问题,这些都是网络入侵者可以利用的薄弱环节。
(二)网络中存在的不完全隐患
网络允许用户自由和获取各类信息,故而网络面临的威胁也是多方面的。可以是传输线的攻击,也可以使网络协议的攻击,以及对计算机软件的硬件实施攻击。其中协议的不安全性因素最为关键,计算机协议主要包括:TCP/IP协议、FTP、NFS等协议,这些协议中如果存在漏洞网络入侵者就能够根据这些漏洞对用户名进行搜索,可以猜测到机器密码口令,对计算机防火墙进行攻击。
㈢数据库管理系统的不安全隐患
数据库管理系统也具有先天缺陷的一方面,他是基于分级管理的理念而建立,所以,数据库的不安全就会泄漏我们上网看到的所有信息,在网上存储的信息,通过这些用户的帐号,密码都会被泄漏,这样对用户的财产、隐私安全都会造成很大的威胁。
二、计算机数据加密技术的应用
㈠数据加密
数据加密就是按照确定的密码算法把敏感的明文数据变换成难以识别的密文数据,通过使用不同的密钥,可用同一加密算法把同一明文加密成不同的密文,来实现数据的保护。数据加密的主要方式有三种:链路加密、节点加密、端到端加密。“网上银行”的兴起,使得银行系统的安全问题显得至关重要,安全隐患不得不令人担优,数据加密系统作为一种新一级别的安全措施脱颖而出。各大银行中都采取了数据加密技术与网络交换设备联动。即指交换机或防火墙在运行的过程中,将各种数据流的信息上报给安全设备,数字加密系统可根据上报信息和数据流内容进行检测,在发现网络安全事件的时候,进行有针对性的动作,并将这些对安全事件反应的动作发送到交换机或防火墙上,由交换机或防火墙来实现精确端口的关闭和断开,这样就可以使数据库得到及时充分有效的保护。
(二)密钥密码技术的应用
密钥是对于数据的加密和解密,分为私人密钥和公用密钥。私人密钥是指加密和解密使用相同的密钥,安全性相对较高,因为这种密钥是双方认可。
可是这种密钥也存在缺陷,那就是当由于目的不同所需要不同密钥的时候就会出现麻烦和错误状况,这个时候,公用密钥就能发挥作用。这样一一来传输者可以对所要传输的信息进行公用密钥进行加密,接收方接到文件时用私人密钥解密,这样就避免了传输方要用很多私人密钥的麻烦,也避免私人密钥的泄漏。例如用信用卡购物时,通常情况下商店终端的解密密钥可解开并读取以加密数据形式存储在信用卡中的个人信息。终端将读取的信息传送到发行信用卡的公司认证顾客信息。这种情况下,店铺的终端会留下个人信息的记录,有可能造成个人信息泄露。所以很多人会担心自己的信用卡号被人盗用。密钥密码技术,要求用两个密钥解读加密数据,这两个解密密钥分别掌握在商店和信用卡公司手中。店铺终端密钥读取的信息只够确认持卡人是否是某家信用卡公司的会员,而不能读取其他个人资料。信用卡公司的解密密钥能解开所有信息,进而确认持卡人是否具有使用这张信用卡的权限,提高了信用卡交易的安全性。
㈢数字签名认证技术的应用
认证技术能够保障网络安全,它可以有效的核实用户身份信息,认证技术中比较常用的是数字签名技术。它建立在加密技术的基础上,是对加密解密计算方式来进行核实。在这个认证技术中被最多应用的是私人密钥的数字签名以及公用密钥的数字签名。私人密钥的数字签名是双方认可的认证方式,如上文所述,双方运用相同的密钥进行加密和解密,但是由于双方都知道密钥,就存在着篡改信息的可能性,因此这种认证方式还要引入第三方的控制。而公用密钥就不用这么麻烦,由于不同的计算法则,加密密钥完全可以公开,而接收者只要保存解密密码就可以得到信息。例如在国内税务行业中,网上办理税务业务越来越受到认可。数字签名安全认证系统就成为了网上保税业务的安全门卫,为税务办理系统提供了安全性保障。
三、常用的数据加密工具的运用
硬件加密工具:这种工具是在计算机并行口或者USB接口的加密工具,它可以对软件和数据进行加密,很有效的保护了用户的隐私和信息,对用户的知识产权进行了保护。
光盘加密工具:它是通过对镜像文件进行可视化的修改,隐藏光盘镜像文件,把一般文件放大,把普通目录改为文件目录,从而保护光盘中的机密文件和隐私信息,方便快捷的制作自己的加密光盘,简单易学,安全性也高。
压缩包解压密码:对于打文件的传输,我们往往会用到压缩包,ZIP和RAR是我们最常使用的两种压缩包,这两个压缩包软件都具有设置解压密码的功能,就是说在解压的时候要有密码才能获取压缩包内的信息内容,这样在双方传输的重要信息的时候,就避免了第三方窃取信息的可能性。
有加密工具就会产生解密工具,当自己设置的密码遗忘的时候,这些工具会有很大的帮助,当然这些工具也是泄漏信息的隐患。所以数据信息的安全就如同战争,知己知彼才能久立不败之地。解密软件也有很多种,例如针对以上三种就有相应的关盘解密工具,光盘密码破解器,和ZIP--KEY等工具,我们不仅要知道和应用这些软件,也要防御不法分子运用这些软件破解密码。
四、结束语
随着经济的发展、社会的发展、网络的普及化、信息时代的更新迅速,网络中恶意的攻击,流氓软件木马软件的横行,使得网络安全被高度重视。然而只注重防护体系是不行的,操作系统技术再提高,也还是会被漏洞破坏;防火墙技术再高,也会有黑客攻破。病毒防范技术再高,也是建立在经验的基础上,免不了被新生病毒侵害,所以,在完善的防护体系的建立下,还要注重网络安全应用的管理,只有管理的技术并用才能有效的保护用户的信息安全。总而言之,对于网络不断发展,我们要总结以往教训,吸取经验,取长补短,才能更好的保护信息安全。
参考文献
随着互联网的不断发展,电子商务正在越来越多地受到人们的青睐,而在为人们带来无限商机的同时,也使世界各地面临着一个共同的障碍——电子商务网络支付的安全问题。
为了提高网上交易的安全,便出现了CA认证中心。CA虽然不直接参加买卖双方的交易,但由于它是买卖双方共同信任的机构,在交易中起着不可替代的作用,成为整个电子商务中最为关键的组成部分。
一、CA认证的概念
二、CA认证技术的作用
在传统商务活动中,交易双方可以现场确认对方身份,由于有交易开具的发票和客户支付的资金证明,无须担心发生纠纷。但网上交易,买卖双方无法现场确认对方的合法身份,一旦发生纠纷,必须要能够提供仲裁凭证,CA认证就起着重要的作用。
(一)验证交易双方身份的真实性
电子商务不是面对面的交易,交易对象的真实性很难辨析,因而验证交易双方身份的真实性显得尤为重要。而借助于CA认证中心的口令、公开密钥和电子签名技术,经过一种能支持多种国际标准协议的证书服务系统认证后,取得的个人客户端数字证书和服务器数字证书是交易用户在互联网上的电子身份证,它能有效鉴别特定用户的登记情况、资信情况和经营情况,从而建立起交易当事人相互间的信任。
(二)维护交易数据的保密性
防止非法用户进入系统及合法用户对系统资源的非法使用。而借助CA认证机构签发的数字认证证书,运用包含哈希函数加密法、私人密钥加密法、公开密钥加密法及数字信封技术等在内的一系列技术手段,对一些敏感的数据文件进行加密,使加密数据在发送过程中不会被第三方窃取,即便被他人获取文件,内容也无法得到破译,从而保证传递的交换数据的安全性。
(三)保证交易信息的完整性
防止在交易结束后,交易当事人出于某种目的而否认自己所做过的交易,从而给对方造成损失。信息的完整性辨析通过CA认证散列函数(Hash函数)的电子签名技术和数字证书技术即可以实现。由于CA机构所签发的数字证书只被证书上所标识的当事人唯一拥有,故利用其数字证书在传送前对交易信息进行电子签名,即能证明交易信息是最初信息发送人发送的,发送者无法否认发送过该交易信息或进行过该项交易活动。
三、CA认证技术在电子商务安全支付中的应用
CA认证中心为建立身份认证过程的权威性框架奠定了基础,保证了信息的完整性、真实性和不可抵赖性。
(一)CA认证技术保证网络安全支付
证书认证中心(CA中心)是公正的第三方,是保证电子商务安全的关键,CA中心对含有公钥的证书进行数字签名,使证书无法伪造,每个用户可以获得CA中心的公开密钥(CA根证书),验证任何一张数字证书的数字签名,从而确定证书是否是CA中心签发。
1、身份认证技术
在实际的应用中,发送方先用自己的私钥对信息进行加密,再发给对方。接收方接收到信息后,利用发送方的公开密钥进行解密,如能还原出明文来,就可证明接收到的信息是经过发送方签名了的。接收者和第三者不能伪造签名的文件,因为只有发送方才知道自己的私钥,这就符合签名的惟一性、不可仿冒、不可否认三大特征和要求。
2、信息加密
只有身份认证技术是不够的,如果其他人通过一些方式获得了发送方发送的密文,他也可以利用发送方的公钥进行解密,从而得到发送方的信息,这样就不能保证信息的安全性和完整性了。因此,我们还需要利用CA认证技术来实现信息的加密过程。
发送方在发送文件时,首先要用接收方的公钥对信息进行加密,生成加密文件,然后用自己的私钥进行数字签名,再将密文发送给接收方。接收方接受到密文后,先用发送方的公钥对数字签名进行解密,验证对方身份,得到加密文件,再用自己的私钥对加密文件进行解密,得到原文件。(二)利用CA认证技术解决网络安全支付问题的流程目前,电子商务系统的安全体系结构主要是通过构建认证中心(CA)证书的信任过程来实现的
。
在电子商务应用中主要有以下五个交易参与方:买家、服务商、供货商、银行和认证中心(CA)。电子商务的交易流程主要有以下三个阶段:
第一阶段:注册申请认证中心(CA)证书。交易各方获取各自的数字安全证书。
第二阶段:银行的支付中心对买家的数字安全证书进行验证后,将买家的所付款冻结在银行中。买卖双方相互通过数字安全证书的验证后,履行交易内容进行发货。
第三阶段:银行验证服务商和供货商的数字安全证书后,将买家冻结在银行中的货款转到服务商和供货商的户头上,完成了此项电子交易。
具体的实施步骤如图3-1所示。
四、CA认证技术的发展趋势
中国的CA认证体系的建设应以政府部门的名义建立国家级根CA,再通过桥CA链接金融CA,省级CA,和行业核心CA;再由这些核心CA链接各个子CA认证系统。在这种架构下,统一制定各级CA的管理标准,允许民间资本介入,组建行业协会,建立现代企业制度,完善行业内的准入制度及市场竞争体系等一系列措施。根据推断,中国的CA认证中心主要应有以下几种发展趋势。(一)国际化趋势
随着电子商务的深入发展,中国经济与世界经济的联系将越来越紧密,为满足电子商务的国际化需求,必然要求国内的CA中心与国际性的CA公司接轨。在证书结构、申请流程、认证方式、使用流程上都应该提出全球性的统一标准,方便各国之间进行交叉认证以及使用证书。
(二)商业化趋势
网络并不是一个可信的交易环境,人与人之间不能建立信任,同样政府也不能出面证明,所以CA认证既不同于管理,也不同于法律,而更接近于一种契约,显然这种契约形式的关系更适应于商业化运作。而且可以预计,目前具有浓厚政府色彩的CA中心也将逐步从政府中剥离出来,采取商业化运作。
(三)集中化趋势
现在已经建设的多个CA中心几乎都有明显的局部特征和探索性质,规模较小而且简单重复,难以满足社会化服务的要求。由于CA中心自身的权威性,必然需要运作规范,技术、资金实力雄厚,并能适应国际化趋势的大型CA中心来为社会服务。在行业,地区以及第三方独立运营的几个方面的CA认证中心,在未来的发展过程中,应该是不断地进行横向或竖向地合并,实现集中化管理。
(四)综合化趋势
随着各行各业信息化的发展,在人们周边的各种生活用品都会被信息化所覆盖。以后的CA认证完全可以做到电子身份证里。人们只要带上自己的电子身份证,就可以随时随地地享受电子商务带来的便捷。另外,电子借书证,电子社会保障卡都完全可以统一起来,以CA认证为基础,使人们真正生活在一个信息化的高效社会里。
五、结束语
CA认证技术是网络安全支付的关键,随着CA认证技术的不断发展,数字证书之间的信任模型、使用的加/解密算法、密钥管理的方案等也在不断的变化。网络,特别是Internet网络的安全应用己经离不开CA认证技术的支持。中国作为一个网络发展大国,发展自己的CA认证技术是很有必要而且是非常迫切的。因此,研究和开发我国自主的、完整的CA认证系统,以支持政府、银行和企业安全地使用信息资源和国家信息基础设施已是刻不容缓。
[1]杨坚争.电子商务基础与应用.第4版.西安:西安电子科技大学出版社,2004.
[2]夏露.电子商务与CA认证.黑龙江社会科学,2004年,第6期.
关键词:PKI;安全传输;云计算
云计算源自于商业概念,它利用服务器集群的分布式运算为用户提供计算、数据存储及应用程序服务,将整合后的计算资源、数据资源、应用资源商品化,使用户可以按需付费的方式访问云服务器和数据中心。云服务提供商将成千上万台计算机相互连接形成协同工作的网络,对用户提供统一的使用接口,用户可以不再像以前那样自己购买硬件设备、构建基础设施、开发或维护应用软件,借助“云”处理和存储数据的功能,所有这些服务都可以付费的方式从“云”中获得,用户所需的只是任何可以上Internet的设备。
1系统框架设计
本系统框架是基于“云”中大规模认证和安全传输的需求设计的,在保留PKI系统和云计算平台基本架构的基础上,将两个相对独立的系统进行有机组合,实现方式是把云计算平台的服务目录和PKI的RA整合到一台服务器中。这样做的目的是:
①既可以响应用户的云服务请求和操作,又方便在用户使用云服务之前对其进行身份信息的审核与认证;
②存储和管理云用户委派的证书,通过该证书代表用户访问和使用云服务;
③CA可以离线操作,避免了直接面对云中的威胁,一定程度上保护了CA的安全;
④RA分担原来由CA完成的对证书申请进行身份审核的工作,减轻了CA负担;
⑤进一步强化云服务提供商的优势地位,提高其声誉和用户对它的信任。
下面对系统主要部分的功能进行简介:
1)根CA是PKI系统最权威的认证中心,是CA与用户建立信任关系的基础和信任的起点,负责管理子CA、制定根策略等。依靠根CA之间的交叉认证实现了信任的传递,扩大了PKI安全域范围,有效满足了分布式系统的安全需求。
2)子CA负责管理RA,定期CRL,向用户和云服务提供商签发、撤销和更新证书。
3)RA对提交证书申请的用户身份进行审核,审核通过后,向子CA提交证书申请;充当安全。
4)LDAP/OCSP服务器向外界提供用户身份和证书状态信息查询功能。
PKI在选定服务目录作为其RA之前,必须对云服务提供商进行严格审查,要注意的问题有:
①对服务商进行安全性测试;
②PKI策略与云服务商规章有无冲突之处;
③PKI和云服务商的权限与职责划分是否科学明确,这一点非常重要;
④服务商是否能长期平稳发展。完成审查后,PKI向云服务商颁发CA签发的证书。
2身份认证协议
在一个PKI系统中,用户和云服务商的证书均由一个具有公信力、申请者都信任的CA签发,因此两者可实现相互识别和信任。用户使用云服务之前应相互认证身份,流程如下:
1)云服务本地生成一随机数R1,将R1发送给用户,本地保留R1;
2)用户R1后用私钥签名,然后在本地生成随机数R2,并保留R2,之后将对R1的签名值、自己的证书ID和R2一起发给云服务端;
3)云服务收到用户发送的签名值、证书ID和R2后,访问PKI系统获取用户证书,并检查该ID证书的签名、有效期,若证书有效则用得到的证书对R1签名值进行验证;
4)云服务端用私钥对R2签名,然后将R2签名值和自己的证书ID发送用户;
5)用户收到云服务端发送来的R2签名值和证书ID后,根据证书ID到PKI服务器查询证书。若该证书有效则对R2签名值进行验证;
3访问控制管理
PKI系统以制定证书策略的方式,实现对用户的访问控制管理。证书策略被标记在数字证书中,是用户安全等级和应用范围的一个说明,用于体现证书所能满足的安全要求,根据应用安全级别的不同,对不同的应用提供相应级别的安全保障。CA可以通过编写和证书策略文档的形式,描述其在证书管理中所采取的访问控制措施,帮助应用程序开发者和证书用户识别证书等级,以便正确使用证书。
可以将证书策略应用于对云用户的访问控制中。对某一特定资源而言,不同级别的用户可以设置不同的安全防护和访问权限。通过对用户证书策略进行设置,可以将用户分成不同的访问等级,等级高的用户权限大、安全级别高:
1)普通用户其私钥加密保存在本地,访问云服务时无需口令认证,证书审查合格即可,个人信息可以非实名,权限为只读;
2)高级用户除了普通用户拥有的证书认证外,高级用户将私钥保存在硬件设备(如USBKey)中,从硬件中读取证书和私钥;当使用云服务时,还要利用认证设备获取口令代码,代码正确才能访问,私钥以硬件保护;证书审查严格,个人信息须实名;权限是可读可写可列出。
除此之外,在云计算环境中,由于各个云应用属于不同的安全域,每个域都管理着本地的资源和用户,均有自已的访问控制策略。当用户跨域访问资源进行资源共享和保护时,必须对共享资源制定一个公共的、双方都认同的访问控制策略,因此,需要支持策略的合成。PKI证书中的“策略映射”扩展项允许证书CA指明自己域内的某些策略能够被看作与另一CA域中某些其他的策略等同,通过PKI此项功能,可以支持不同云安全域的策略合成,实现不同域之间的鉴别与互操作。
4数据安全传输
在云计算中,用户是信息的拥有者,当认证完成、用户与云服务提供商通信时,必须建立一个安全的通道以保护信息的保密性、完整性、可用性,维护用户与云服务商间的数据安全传输。
以用户向云服务端发送数据为例,基于PKI的常见数据安全传输方案是:
①用户将发送原文用SHA或MD5函数编码,产生一段固定长度的数字摘要;
②用户用自己的私钥对摘要加密,形成数字签名,附在发送信息原文后面;
③用户产生通信密钥(对称密钥),用它对带有数字签名的原文进行加密,传送到云服务端;
④用户用云服务端的公钥对通信密钥进行加密后,传到云服务端;
⑤云服务端收到加密后的通信密钥,用自己的私钥对其解密,得到通信密钥;
⑥云服务端用得到的通信密钥对收到的经加密的签名原文解密,得到数字签名和原文;
⑦云服务端用用户公钥对数字签名解密,得到数字摘要;同时将原文用SHA或MD5函数编码,产生另一个摘要;
⑧云服务端将两个摘要进行比较,若一致,说明信息没有被破坏或篡改;否则丢弃该文档。
在云存储中,由于用户上传数据时已加密数据,因此传输此类数据时可以适当简化,由文献可以将云存储数据传输方案设计如下:
①设用户数据原文为D,利用密钥Ku加密后形成密文C=Eku(D),并将密文上传云存储服务器;
②收到用户传输数据的请求后,云服务端生成对称密钥密钥Ks,用Ks将密文C加密,即C'=EKs(C)=EKs(EKu(D)),然后用用户公钥Kp加密对称密钥Ks,即CKs=EKp(Ks),上述过程完成后将CKs和C'发送给用户;
③用户收到CKs和C'后用私钥解密CKs得到Ks,然后用Ks和Ku解密得到原文。
5小结
PKI为云计算平台提供身份认证、数据安全传输及访问控制管理等安全机制,可以较好的解决云计算面临的安全问题。PKI签发的数字证书,利用数字签名技术,使云平台用户之间相互认证,既能确认对方身份,防止冒名顶替,也能保护用户避免登陆钓鱼网站。同时,通过对称和非对称加密技术,PKI在用户和云平台之间建立起安全保密的通信通道,最大限度地保障用户数据的机密性、完整性和不可否认性。针对云计算中密钥管理问题,借助证书的这一密钥管理的有效形载体,PKI/CA提供了密钥管理机制,对密钥的生成、存储、分发、使用、备份/恢复、更新、撤销及销毁等过程做出了详细规定,解决了密钥安全管理问题。此外,云计算平台搭建成功可相应减少PKI基础设施建设费用,提高了硬件设备的利用率。
一个声誉良好的云服务商会提供各种措施保证用户数据的安全,引入PKI的目的也是为了解决身份认证和安全传输问题,两个系统的合作应取得“1+1>2”的效果,从更大范围、更大程度上保证用户数据安全。在安全问题发生后,要避免两个系统相互推卸责任,损害用户的利益。
[1]李健、张笈,基于PKI的安全传输平台研究[J].计算机光盘软件与应用,2011(03):15-16.
[2]庞淑英等,网络信息安全技术基础与应用[M].北京:冶金工业出版社,2011.3.12.
[3]陈敬佳,基于PKI技术的网络安全平台设计与实现[D].武汉:武汉理工大学硕士学位论文,2011.
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:
1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。
3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。
4.电子商务网络安全的立法保障。结合我国实际,借鉴国外先进网络信息安全立法、执法经验,完善现行的网络安全法律体系。