信息安全是指信息网络的硬件、软件及其系统中数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
信息安全包括计算机操作系统安全、各种安全协议、安全机制(数字签名、信息认证、数据加密等)。主要涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、信息论等多种学科。信息安全主要指数据安全与设备安全两个方面。
信息安全的含义主要是指信息的完整性、可用性、保密性和可靠性。
传输信息的方式:①局域计算机网②互联网③分布式数据库④蜂窝式无线⑤分组交换式⑥无线卫星电视会议⑦电子邮件及其各种传输技术
一、实现目标
◆真实性:对信息的来源进行判断,能对伪造来源的信息进行鉴别。
◆保密性:保证机密信息不被窃听,或者窃听者不能了解信息的真实含义。
◆完整性:保证数据的一致性,防止数据被非法用户篡改。
◆可用性:保证合法用户对信息和资源的使用不会被不正当的拒绝。
◆不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中极其重要。
◆可控制性:对信息的传播及内容具有控制能力。
◆可审查性:对出现的网络安全问题提供调查的依据和手段。
二、安全威胁
◆信息泄露:信息被泄露或透露给某个非授权的实体。
◆破坏信息完整性:数据被非法授权的进行增删、修改或破坏而受到损失。
◆拒绝服务:对信息或者其他资源的合法访问被无条件拒绝。
◆非法使用(非授权访问):某一资源被某个非授权的人或以非授权的方式使用。
◆窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。
◆假冒:通过欺骗通信系统或用户达到非法用户冒充成为合法用户。
◆旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。
◆特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。
◆抵赖:这是一种来自用户的攻击。
◆计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。
◆陷阱门:在某个系统或部件中设置“机关”。
三、主要来源
自然灾害、意外事故。
计算机犯罪。
黑客行为。
内部泄露。
外部泄露。
信息丢失。
电子谍报。
信息战。
网络协议自身缺陷。例如TCP/IP协议的安全问题
嗅探sniff。嗅探器可以窃听网络上流经的数据包。
四、技术
用户身份验证:静态密码,动态密码(短信密码、动态口令牌、手机令牌)、数字证书、指纹虹膜等。
防火墙:一种访问控制产品。在内部网络与外部不安全网络之间设置障碍,阻止外界对内部资源的非法访问。主要技术有:包过滤,应用网关代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
虚拟专用网VPN:虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。
五、安全对策
电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。
各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。
一、 加密技术
加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。
对称加密:对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
DES(数据加密标准)AES(高级加密标准)RC2、RC5等
非对称加密:非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。
RSA、DSA、DH
信息摘要算法:MD2、MD5、MDC2、SHA和RIPENMD。
二、 认证技术
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。
数字签名:数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。
数字证书:数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
