《从电子商务认识信息安全方面分析》由会员分享,可在线阅读,更多相关《从电子商务认识信息安全方面分析(7页珍藏版)》请在金锄头文库上搜索。
1、从电子商务认识信息安全方面分析从电子商务认识信息安全方面分析从电子商务认识信息安全方面分析 http:/ 2010 年02 月 12 日 11:16 中国电子商务研究中心 发表评论 联系我们 (中国电子商务研究中心讯)摘要:本文通过归类各家的信息安全定义,从电子商务中认识信息安全,并理清信息安全的层次体系,最后得出信息安全的定义。一、引言随着 Internet 的发展,越来越多的人通过 Inter-net 进行商务活动。电子商务的发展前景十分诱人,因而其安全问题也变得越来越突出,如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,已经成为商家和用户都十分关心的话题。什么是信息安全?
2、二、信息安全的各种定义国内学者:信息安全保密内容分为实体安全、运行安全、数据安全和管理安全四个方面。我国相关法规:保障计算机及其相关的和配套的设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全。这里面涉及了物理安全、运行安全与信息安全三个层面。国家信息安全重点实验室:信息安全涉及到信息的机密性、完整性、可用性、可控性,即是要保障电子信息的有效性。英国 BS7799 信息安全管理标准:信息安全是使信息避免一系列威胁,保障商务的连续性,最大限度地减少商务的损失,最大限度地获取投资和商务的回报,涉及的是机密性、完整性、可用性。美国国家安全局信
3、息保障主任:因为术语“信息安全”一直仅表示信息的机密性,在国防部我们用“信息保障”来描述信息安全,也叫“IA” 。它包含 5 种安全服务,包括机密性、完整性、可用性、真实性和不可抵赖性。国际标准化委员会给出的定义是:为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。上面的定义从两种层面进行定义的,一种是从信息安全所涉及层面的角度进行描述,大体上涉及了实体(物理)安全、运行安全、数据(信息)安全;一种是从信息安全所涉及的安全属性的角度进行描述,大体上涉及了机密性、完整性、可用性。三、电子商务的信息安全再来看看电子商务的信息安全。
4、电子商务的一个重要技术特征是利用 IT 技术来传输和处理商业信息。因此,电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全。计算机网络安全的内容包括:计算机网络设备安全、计算机网络系统安全、数据库安全等。其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。计算机网络安全与商务交易安全实际上是密不可分的,两者相辅相成,缺一不可。没有计算机网络
5、安全作为基础,商务交易安全就犹如空中楼阁,无从谈起。没有商务交易安全保障,即使计算机网络本身再安全,仍然无法达到电子商务所特有的安全要求。未来的网络安全技术将会涉及到计算机网络的各个层次中,但围绕电子商务安全的防护技术将在未来几年中成为重点,如身份认证、授权检查、数据安全、通信安全等将对电子商务安全产生决定性影响。当许多传统的商务方式应用在 Internet 上时,便会带来许多源于安全方面的问题,如传统的贷款和借款卡支付/保证方案及数据保护方法、电子数据交换系统、对日常信息安全的管理等。电子商务的大规模使用虽然只有几年时间,但不少公司都已经推出了相应的软、硬件产品。由于电子商务的形式多种多样,
6、涉及的安全问题各不相同,但在 Inter-net 上的电子商务交易过程中,最核心和最关键的问题就是交易的安全性。一般来说,商务安全中普遍存在着以下几种安全隐患。(一)窃取信息。由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。(二)篡改信息。当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。(三)假冒。由于掌握了数据的格式,并可以篡改通过
7、的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。(四)恶意破坏。由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。因此,电子商务的安全交易主要保证以下四个方面。1.信息保密性。交易中的商务信息均有保密的要求。如信用卡的账号和用户名等在信息传播中一般均有加密的要求。2.交易者身份的确定性。网上交易的双方很可能素昧平生,相隔千里。要使交易成功,首先要能确认对方的身份。因此,能方便而可靠地确认对方身份是交易的前提。3.不可否认性。由于商情的千变万化,交易一旦达成是不能被否认的,否则,必然会损害一方
8、的利益。因此电子交易通信过程的各个环节都必须是不可否认的。4.不可修改性:电子交易文件也要能做到不可修改,以保障商务交易的严肃和公正。四、信息安全的层次体系从信息安全的作用层面来看,人们最关心的是计算机与网络的设备硬件自身的安全,就是信息系统硬件的稳定性运行状态,因而称之为“物理安全” ;其次人们关心的是计算机与网络设备运行过程中的系统安全,就是信息系统软件的稳定性运行状态,因而称之为“运行安全” ;当讨论信息自身的安全问题时,涉及的就是狭义的“信息安全”问题,包括对信息系统中所加工存储、网络中所传递的数据的泄漏、仿冒、篡改以及抵赖过程所涉及的安全问题,称之为“数据安全” 。但是,还有两个层面
9、,一个是关于信息内容的安全问题,一个是关于信息对抗的问题。从信息安全的基本属性来看,机密性、真实性、可控性、可用性属于基本属性,相互不能蕴涵。其中机密性反映了信息与信息系统的不可被非授权者所利用;真实性反映了信息与信息系统的行为不被伪造、篡改、冒充;可控性反映了信息的流动与信息系统可被控制者所监控;可用性反映了信息与信息系统可被授权者所正常使用。而其它属性,包括实用性、完整性、合法性、唯一性、不可否认性、特殊性、占有性、可追溯性、生存性、稳定性、可靠性等,则属于上述四个基本属性的某个侧面的突出反映,可以归结为这四个基本属性之中。基于信息安全的作用点,从信息系统、信息、及信息熵的角度,可以将信息
10、安全看作是由三个层次、五个层面所构成的层次框架体系,并且在每个层面中各自反映了在该层面中所涉及的信息安全的属性。每个层面所涉及的信息安全属性,对应于该层面信息安全的外部特征,也具有相应的处置方法。(一)物理安全:是指对网络与信息系统的物理装备的保护。主要涉及网络与信息系统的机密性、可用性、完整性、生存性、稳定性、可靠性等基本属性。所面对的威胁主要包括电磁泄露、通信干扰、信号注入、人为破坏、自然灾害、设备故障等;主要的保护方式有加扰处理、电磁屏蔽、数据校验、容错、冗余、系统备份等。(二)运行安全:是指对网络与信息系统的运行过程和运行状态的保护。主要涉及网络与信息系统的真实性、可控性、可用性、合法
11、性、唯一性、可追溯性、占有性、生存性、稳定性、可靠性等;所面对的威胁包括非法使用资源、系统安全漏洞利用、网络阻塞、网络病毒、越权访问、非法控制系统、黑客攻击、拒绝服务攻击、软件质量差、系统崩溃等;主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用、数据备份等。(三)数据安全:是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖。主要涉及信息的机密性、真实性、实用性、完整性、唯一性、不可否认性、生存性等;所面对的威胁包括窃取、伪
12、造、密钥截获、篡改、冒充、抵赖、攻击密钥等;主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名、秘密共享等。(四)内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。在此,被阻断的对象可以是通过内容便判断出来的可对系统造成威胁的脚本病毒;因无限制扩散而导致消耗用户资源的垃圾类邮件;导致社会不稳定的有害信息等。主要涉及信息的机密性、真实性、可控性、可用性、完整性、可靠性等;所面对的难题包括信息不可识别(因加密)、信息不可更改、信息不可阻断、信息不可替换、信息不可选择、系统不可控等;主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信
13、息的过滤、系统的控制等。(五)信息对抗:是指在信息的利用过程中,对信息熵的真实性的隐藏与保护,或者攻击与分析。主要涉及信息熵的机密性、完整性、特殊性等;所面对的主要问题包括多角度综合分析、攻击或压制信息的传递、利用无用信息来干扰信息熵的本质;主要的处置手段是消隐重要的局部信息、加大信息获取能力、消除信息的不确定性等。五、结语假定在信息系统、信息与信息的利用中存在一种“序” ,并且这种“序”反映了信息系统、信息与信息的利用的正常运行状态,则针对信息系统、信息与信息的利用的“序”的保持与攻击则可以看作是信息安全的问题。 (编选:中国 B2B 研究中心 勇全) 本文转载自中国电子商务研究中心:http:/
