时间:2023-09-18 17:32:28
通过制度建设,为网络安全管理提供支持和保障,并逐步使网络安全管理工作制度化、规范化、科学化,是其重要抓手。为此,必须建立健全高校图书馆网络安全管理的各项制度,如运行管理制度、资料管理制度、机房管理制度、专机专用管理制度、技术规程管理制度、病毒防护制度、定期审核制度等,以便为有效地实施网络安全管理创造条件。高校图书馆网络安全管理探析谭世芬(河北医科大学图书馆,河北石家庄050017)
2.夯实网络系统的物理安全基石
网络系统的物理安全是高校图书馆网络运行和信息安全的基石。所以,图书馆网络管理人员应首先保障网络机房环境和检测报警系统符合安全规范要求,注重配套设计及工程质量;其次要认真做好网络硬件设备的维护,确保正常使用。尤其是在布网时要采用双机或集群服务器方案,排除非授权的连接端口,在校园网主干网络与图书馆网络系统间设计备用链路,确保链路的可用性。
3.优化管理系统和操作系统
高校图书馆运用的管理系统软件由于研发水平的差异,存在的安全漏洞也各有不同,时刻威胁着图书馆网络系统的安全。譬如,我馆采用的金盘图书馆集成管理系统在使用中就多次出现运行不稳,数据丢失等状况。所以,网络管理人员必须实时监控管理系统运行情况,发现漏洞及时补救。对于应用服务安全配置,网络管理人员必须详尽研究并熟练掌握应用系统的配置文档,如WebServer程序,FTP服务程序,根据实际应用构建、优化系统配置,关闭不必要的服务和端口,避免应用服务的漏洞,减少系统安全隐患。此外,各图书馆网络系统服务器、工作机使用的操作系统UNIX、Windows2003等,虽然UNIX技术相对水平较高,也无法避免受到一些黑客的攻击,Windows操作系统因安全漏洞较多,则经常成为病毒、黑客攻击的目标。因此,网络管理人员应随时关注浏览微软等官方网站,及时更新升级系统软件,并在网络操作系统安装相关补丁、修补程序,确保操作系统处于最安全状态。
4.安装配置智能防火墙
高校图书馆网络系统不是独立的,而是通过TCP/IP协议与互联网相连。TCP/IP协议设计之初考虑的是该网不会因局部故障而影响信息的传输,基本没有考虑安全问题,故在安全性、方便性和带宽等方面存在着缺陷。这就给图书馆网络信息安全带来了诸多隐患和威胁,安装防火墙是保障系统安全的第一步。防火墙可以分离内网和外网,扫描网络数据,过滤非法数据,从而禁止非授权用户访问数据,保障系统安全。一般的防火墙对网络新病毒防护能力弱,而智能防火墙集中包过滤和技术的优点,能对数据链路层实施全方位的控制,实现TCP/IP协议的微内核,从而在TCP/IP协议层进行各项安全控制。TCP/IP协议的微内核提供透明模式,减轻客户端的配置工作;支持数据加密、解密、虚拟网;隐藏内部信息;增强服务,并与包过滤相融合,再加上智能过滤技术,加大了图书馆网络系统安全性。智能防火墙还具有防欺骗功能和MAC控制功能,可帮助网络管理员发现攻击源及图书馆内部恶意流量,提前预防网络攻击,采取有效的安全措施,有效监控和管理图书馆内部局域网,使高校图书馆网络系统安全得到保障。
5.建立网络病毒防护系统
网络病毒具有传染性、潜伏性,传染快,危害大,不易防范和清除。高校图书馆网络信息系统一旦感染病毒,损失不可估量。为此,我馆采取了以下措施进行网络病毒防护。第一,采用“三无一禁政策”,即网络系统上工作机无光驱、无软驱、无保存、禁用USB,只能通过内网交换机访问图书馆系统的服务器,而不允许进行外网访问。第二,图书馆网络信息系统与互联网外网严格物理隔离,阻断病毒入侵的路径。第三,安装过滤网关在服务器前端,在网络入口实时杀毒,使图书馆内网得到有效保护。第四,将图书馆网络信息系统划分多个虚拟局域网,如采编、流通、期刊、办公等,并通过访问控制列表封掉各病毒端口,把病毒感染的区域限制在最小范围内。防止病毒从一个区域内向全网范围传播。此做法可供借鉴。
6.做好系统数据备份工作
关于优秀文明上网倡议书范文 亲爱的同学们:
随着网络的普及,尤其是互联网+时代的到来,手机互联网已成为当代大学生获取信息、互动交流的新兴媒体,为促使我院学生自觉遵守网络道德,共享网络资源,拒绝不良诱惑,让网络成为我们健康成长的阶梯和平台,特向全院同学发出如下倡议:
一、自觉遵纪守法,不在网上任何有损国家、社会和学校利益的言论;
二、善于上网学习,共享网络资源,不访问不健康网站,不浏览传递淫秽、色情、迷信、暴力的内容;
三、使用网络文明语言,不侮辱欺诈他人,不利用网络进行损害他人利益的行为;
四、维护网络安全,不下载使用来历不明或可能危及他人计算机安全的软件,不制作和散布计算机病毒;
五、增强自我保护意识,拒绝不良诱惑,不随意约会网友,不随意泄露个人信息;
六、控制上网的时间,不沉溺虚拟时空,不影响他人学习和休息。
同学们,让我们用自己的行动营造健康、文明、安全的网络文化环境,文明上网、上文明网,让以上六个方面成为我们每个人的自觉行为。
管理学院分团委
20xx.10.19
关于优秀文明上网倡议书范文 公司全体干部职工:
互联网作为获取信息、生活娱乐、互动交流的新兴媒体,已渗透到经济社会生活的各个方面,改变着大家的生活方式、行为方式和价值观念。但恶意诋毁、诬陷谩骂、造谣传谣、传播低俗不良信息等不文明现象,也对社会造成了不良影响。为加强网络文化建设,倡导文明新风,净化网络环境,促进和谐稳定,公司向广大全体干部职工发出倡议:
一、严格遵守国家法律法规,自觉遵守互联网相关法律法规,拒绝传播违反国家法律、影响国家安全、破坏社会稳定、破坏民族团结和宗教信仰的新闻和信息。
二、自觉践行社会主义价值观,大力营造文明健康、积极向上的网络文化氛围,自觉养成守法上网、文明上网的良好习惯,做到上文明网,做文明人。
三、增强社会责任感和集体荣誉感,认真履行自己应尽的社会责任,保证自己传播的信息健康、合法、客观、有益,坚决同网络违法犯罪活动作斗争,积极维护国家、社会、集体和个人合法权益。
四、公司广大干部职工要以身作则,严格自律,从自身做起,从点滴做起,做文明上网公约的实践者和带头人,带头抵制网络有害信息,带头清扫网络垃圾,带头营造文明健康、积极向上的网络环境。
20XX年x月x日
关于优秀文明上网倡议书范文
随着互联网影响力的不断增强,全社会对网络文明的期望值越来越高,对文明办网、文明上网的要求越来越高,网络文明建设已经成为社会主义精神文明建设的重要内容,建设和谐社会的重要方面,中国特色网络文化健康发展的重要保障。为推动罗田县商务局网络文明建设,营造科学健康、和谐文明的网络环境,抵制庸俗、低俗、媚俗之风,罗田县商务局办公室向全系统领导干部、工作人员及社会各界发出如下倡议:
一、树立正确的网络观,争做文明网民。加强网络文明建设,把互联网建成共建共享的精神家园,需要每位网民更多的关心、支持和呵护。广大网民既是网络文化建设的参与者,又是文明健康网络文化的创造者、传播者。要树立正确的网络观,遵守法律法规,规范网上行为,自觉抵制有损网络文明、有悖网络道德、损害网络和谐的事,积极倡导、自觉实践文明健康的上网方式和行为。
二、传播先进文化,争做网络道德模范。大力弘扬社会主义核心价值体系,传播先进网络文化,为人民群众提供更多更好的优秀文化产品,用优秀的网络文化滋润心灵、陶冶情操、愉悦身心,使积极健康的网络文化产品占据网上主导地位,努力营造积极向上、和谐文明的网络文化氛围。坚持文明上网,坚守道德准则,争做网络道德模范,努力在网上形成“知荣辱、讲正气、树新风、促和谐”的文明风尚。
三、坚持理性自律,争做网络文明使者。充分发挥网民在网络文明传播中的积极性、主
动性,提倡理性思考、文明创作,自觉做到不危害国家安全、危害社会稳定、违反法律法规、违背社会公德的有害信息;不在网上恶意攻击、诋毁、谩骂他人;不散播淫秽色情、诈骗、、暴力、恶搞等不良信息;不传播谣言和虚假信息;不跟风炒作炫富拜金、荒诞猎奇等庸俗行为,大力倡导积极健康有益的网络表达和文明互动。
关键词:数字图书馆;现状;大容量存储技术;安全访问技术
中图分类号:G250文献标识码:A文章编号:1009-3044(2008)21-30397-02
Digital Library and Related Technology
JIANG Yong
(Library,Fujian Medical University,Fuzhou 350004,China)
Abstract: This article has discussed the concept of Digital Library, the status quo of Chinese Digital Libraries, and the relevant technologies.
Key words: digital library; status quo; large-capacity storage technology; security access technology
数字图书馆是21世纪现代化图书馆模型,是现代信息社会中高度数字化信息资源与信息技术应用的极具代表性的信息集合体,代表着未来图书馆的发展方向。
1 数字图书馆的概念
数字图书馆(Digital Library,简称DL)这一概念最早可追溯至1993年开始的美国数字图书馆创新工程(Digital Library Initiative,简称DLI),该工程意图旨在促进网络环境下收集、存储、组织和获取数字化信息的手段和技术的进步。
数字图书馆,就是利用现代信息技术对有高度价值的图像、文本、语音、音响、影像、影视、软件和科学数据库等多媒体信息进行收集、组织、规范性的加工和压缩处理,使其转化为数字信息,然后通过计算机技术进行高质量保存和管理,实施知识增值,并通过网络通信技术进行高效、经济地传播、接收,使用户可以在任何时间、任何地点,都能从网上得到各种服务。同时,数字图书馆工程建设还包括知识产权、存取权限、数据安全管理,加强研究机构、商业机构、政府和教育团体之间的联系与合作等内容。
2 我国数字化图书馆建设的现状
1995年我国把建设“中国实验型数字化图书馆”确定为国家重点科技项目,当前,我国几个主要的数字图书馆概括如下:
2.1 中国数字图书馆
这是以国家巨额财政投入建立的国家数字图书馆工程为基础,充分依托中国国家图书馆丰富的馆藏资源和国家数字图书馆工程资源建设联盟成员的特色资源、借助遍布全国的信息组织与服务网络,建立起来的目前我国规模最大数字图书馆。
2.2 中国期刊网
中国学术期刊网是清华大学和中国学术期刊光盘版电子杂志社主办的一个远程查阅网站,其中收录了国内6 000多种学术期刊1994~2002年的内容,并收录了3万多篇优秀博硕论文。采用有偿服务的方式,为人们提供资料和大量的信息。
2.3 超星数字图书馆
由广东省立中山图书馆与北京时代超星公司共同建立的有偿借阅网站。除以上几个规模比较大的数字图书馆外,我国华东师大、上海图书馆等单位建立的数字图书馆也在不断的完善与发展之中。
3 相关技术
3.1 大容量存储技术
随着图书馆自动化、网络化、信息化以及数字化的不断深入,不断激增的资料数据,以及读者数量大量增加,需要不断扩充存储设备,大容量、安全高效的存储设施就显得尤为重要。为适应未来数字化图书馆的需求,很多图书馆开始增加应用系统,大幅度提高存储设备的容量,海量存储成为数字图书馆建设和发展的必然选择。
行业比较成熟的存储技术最主要的三个分别是:网络连接存储(NAS)、存储区域网络(SAN)以及ISCSI(Internet Small Computer System Interface)存储网络。
1)网络连接存储(NAS)
NAS是在硬盘技术、RAID技术、网络通讯协议和轻量文件系统固化等成熟的技术基础上开发出来的,因此并不是一项全新的技术。它是一种基于LAN (局域网)的、脱离服务器的网络智能存储设备,按照TCPAP协议进行通信,并以文件的I/o形式进行数据传输。NAS将存储设备从服务器的后端移到通信网络上来,具有成本低、易安装、易使用、易管理、易扩展、可靠性好等特点,能够快速地解决较大规模数据跨平台共享的问题。
2)存储区域网络(SAN)
SAN是一种基于光纤通道的、独立于LAN的、以块形式传输的、由服务器和存储设备组成的高速专用存储子网。其管理软件可以从传统的网管软件和存储管理软件中吸取很多的技术和思路,但所涉及的FC (光纤通道)硬盘技术、协议实现、FC交换机、集线器和网桥都是新的技术,这也意味着SAN的成本高昂,包括购买软硬件的成本和安装维护的成本。除此之外,由于SAN目前在业内还没有统一的标准,在互操作性、兼容性方面还有一些问题。但是,SAN以它高速的数据传输速度、很好的扩展性和灵活性、高可靠性、集中式管理,以及在大规模数据访问、不占用LAN带宽的备份(LAN-FreeBackup)、远程镜像和容灾等方面具有NAS不可比拟的优势,占据着网络存储的高端市场。
3)ISCSI存储网络
ISCSI协议(也可称为IPSAN)将存储和fP网络相结合,使得用户可以在IP网络上传输块级的存储流量负载。ISCSI的协议、ISCSI适配器是新的技术,它用于连接的IP交换机、集线器以及网络管理都是成熟的。它建立在两个被广泛使用的技术之上:用于存储的SCSI命令和用于网络的JP协议。ISCSI是一种端到端的协议。该协议应用于服务器(发起者)、存储设备(目标)和协议转换的网关设备上。ISCSI具有SAN的大部分优点,但是它在性能上和SAN还有一些差距。
网络、数据存储与访问同时基于lPI使得计算、网络和存储可以结为一体。同时,Internet范围内数据访问、备份、归档,可在设备之间直接传输,减少服务器负担。这将为实现数据密集型的(dataintensive)网格计算提供良好的基础。
3.2 安全访问技术
通过对SAML安全描述语言的介绍,提出了基于SAMI 安全技术的控制信息访问模型,为异构图书馆安全系统间的安全信息互操作带来可能,使得信息访问者可以方便地访问异构图书馆系统中的受保护资源。
SAML是一种基于XML的安全描述语言。它是一种面向Web服务的架构,具有XML跨平台数据表述的特性。SAML利用XML对认证和授权信息进行编码,实现在Inter.net环境中异构安全系统间信息的交换和处理,从而为系统间的应用提供协同的安全服务。SAML主要由声明和请求/响应协议两部分构成。
声明是SAML的基本数据对象,是对主体(信息访问者)的安全信息(身份、权限等)的XML描述形式。SAML声明能够传递三种信息:主体完成认证行为的信息、主体的属性信息以及关于主体是否允许访问特定资源的授权决议信息。因此对应SAML声明包括三种形式:认证声明(Authentication Assertion)、属性声明(Aafibute Assertion)和授权决议声明(Authorization Assertion)。其中认证声明描述与认证成功事件相关的信息(如认证的机构、方式和有效期等);授权决议声明描述许可权查询和检查的结果,此结果可以是接收或拒绝主体(信息访问者)对图书馆资源的访问请求;属性声明描述与主体(信息访问者)的认证和授权决汉相关的信息(如主体的标志、所属用户组、角色、可访问的资源及权限等)。声明就是一组由签发者提供的包含认证、属性和授权决议信息的集合。
请求/响应协议规定了两点间共享SAML数据所需交换的消息种类和格式,而两点间的消息传输通过与具体传输协汉的绑定实现。因可与多种业界标准的传输协议或XML消息交换架构相绑定,使得SAML具有良好的开放性。SAML标准建议消息的传递绑定S0AP协议实现。它包括认管理(Authentication Authorities)、属性管理(Aaribute Au.tll )、策略决策点(PolicyDecision Points)。其中认证管理负责验证信息访问者提供的信任书,确定信息访问者身份,并生成认证声明;属性管理负责保存信息访问者属,并生成属性声明;策略决策点将根据相应的安全策, 对信息访问者身份、请求操作及所要访问的资源进行评测,作出授权决议。SAML管理在签发SAML声明的过程中,可以参考多种信息源来作决策,譬如外部的决策策略、作为声明请求一部分的SAML声明等。
进行数字图书馆建设是21世纪图书馆迎接网络时代的重要战略,这项工作关系着图书馆的生存与发展。它的研究与建设水平将直接关系到我国图书馆在未来信息时代的地位和作用。由此我们应充分利用这一有利时机,认真研究在新世纪数字图书建设这一重要课题。
参考文献:
[1] 李洁.浅谈高校图书馆馆员服务理念的创新[J].鞍山师范学院学报,2006(4):100-102.
[2] 许维琴.高校图书馆读者服务的新变化[J].六盘水师范高等专科学校学报,2005(5):58-59.
[3] 周玉坤.网络环境与新经济关系下读者服务的转变及策略[J].长春师范学院学报,2004(07):144-146.
[4] 吴鹏.基于SAML的安全服务系统的设计[J].计算机应用研究,2004(11).
[5] 飞.基于SAML的授权和访问控制研究[J].电力系统通信,2006(11).
[6] 郭卫真.数字化图书馆的建设[J].辽宁工程技术大学学报:社会科学版,2001(4):68-69.
[7] 杜宝娟.试论图书馆的数字化建设[J].天津职业技术师范学院学报,2001(4):52-53.
【摘要题】信息法学
【关键词】电子商务/网络/信息安全/信息安全技术/数字认证/信息安全协议/信息安全对策
美国著名未来学家阿尔温·托夫勒说:“电脑网络的建立和普及将彻底改变人类生存及生活的模式,控制与掌握网络的人就是未来命运的主宰。谁掌握了信息,控制了网络,谁就拥有整个世界。”的确,网络的国际化、社会化、开放化、个人化诱发出无限的商机,电子商务的迅速崛起,使网络成为国际竞争的新战场。然而,由于网络技术本身的缺陷,使得网络社会的脆性大大增加,一旦计算机网络受到攻击不能正常运作时,整个社会就会陷入危机。所以,构筑安全的电子商务信息环境,就成为了网络时展到一定阶段而不可逾越的“瓶颈”性问题,愈来愈受到国际社会的高度关注。
电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、网络隐患扫描技术、系统安全监测报警与审计技术等。
1.防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
防火墙的安全策略有两条。一是“凡是未被准许的就是禁止的”。防火墙先是封闭所有信息流,然后审查要求通过的信息,符合条件的就让通过;二是“凡是未被禁止的就是允许的”,防火墙先是转发所有的信息,然后再逐项剔除有害的内容,被禁止的内容越多,防火墙的作用就越大。网络是动态发展的,安全策略的制定不应建立在静态的基础之上。在制定防火墙安全规则时,应符合“可适应性的安全管理”模型的原则,即:安全=风险分析+执行策略+系统实施+漏洞监测+实时响应。防火墙技术主要有以下三类:
包过滤技术(PackctFiltering)。它一般用在网络层,主要根据防火墙系统所收到的每个数据包的源IP地址、目的IP地址、TCP/UDP源端口号、TCP/UDP目的端口号及数据包中的各种标志位来进行判定,根据系统设定的安全策略来决定是否让数据包通过,其核心就是安全策略,即过滤算法的设计。
(Proxy)服务技术。它用来提供应用层服务的控制,起到外部网络向内部网络申请服务时的中间转接作用。内部网络只接受提出的服务请求,拒绝外部网络其它节点的直接请求。运行服务的主机被称为应用机关。服务还可以用于实施较强的数据流监控、过滤、记录等功能。
状态监控(StatcInnspection)技术。它是一种新的防火墙技术。在网络层完成所有必要的防火墙功能——包过滤与网络服务。目前最有效的实现方法是采用CheckPoint)提出的虚拟机方式(InspectVirtualMachine)。
防火墙技术的优点很多,一是通过过滤不安全的服务,极大地提高网络安全和减少子网中主机的风险;二是可以提供对系统的访问控制;三是可以阻击攻击者获取攻击网络系统的有用信息;四是防火墙还可以记录与统计通过它的网络通信,提供关于网络使用的统计数据,根据统计数据来判断可能的攻击和探测;五是防火墙提供制定与执行网络安全策略的手段,它可以对企业内部网实现集中的安全管理。
防火墙技术的不足有三。一是防火墙不能防止绕过防火墙的攻击;二是防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点控制,因此可能受到黑客的攻击;三是防火墙不能保证数据的秘密性,不能对数据进行鉴别,也不能保证网络不受病毒的攻击。
2.加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密就是按照确定的密码算法将敏感的明文数据变换成难以识别的密文数据。通过使用不同的密钥,可用同一加密算法,将同一明文加密成不同的密文。当需要时可使用密钥将密文数据还原成明文数据,称为解密。
密钥加密技术分为对称密钥加密和非对称密钥加密两类。对称加密技术是在加密与解密过程中使用相同的密钥加以控制,它的保密度主要取决于对密钥的保密。它的特点是数字运算量小,加密速度快,弱点是密钥管理困难,一旦密钥泄露,将直接影响到信息的安全。非对称密钥加密法是在加密和解密过程中使用不同的密钥加以控制,加密密钥是公开的,解密密钥是保密的。它的保密度依赖于从公开的加密密钥或密文与明文的对照推算解密密钥在计算上的不可能性。算法的核心是运用一种特殊的数学函数——单向陷门函数,即从一个方向求值是容易的,但其逆向计算却很困难,从而在实际上成为不可能。
除了密钥加密技术外,还有数据加密技术。一是链路加密技术。链路加密是对通信线路加密;二是节点加密技术。节点加密是指对存储在节点内的文件和数据库信息进行的加密保护。
3.数字签名技术。数字签名(DigitalSignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中都要用到数字签名技术。
在书面文件上签名是确认文件的一种手段,其作用有两点,一是因为自己的签名难以否认,从而确认文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。数字签名与书面签名有相同相通之处,也能确认两点,一是信息是由签名者发送的,二是信息自签发后到收到为止未曾做过任何修改。这样,数字签名就可用来防止:电子信息因易于修改而有人作伪;冒用别人名义发送信息;发出(收到)信件后又加以否认。
广泛应用的数字签名方法有RSA签名、DSS签名和Hash签名三种。RSA的最大方便是没有密钥分配问题。公开密钥加密使用两个不同的密钥,其中一个是公开的,另一个是保密的。公开密钥可以保存在系统目录内、未加密的电子邮件信息中、电话黄页上或公告牌里,网上的任何用户都可获得公开密钥。保密密钥是用户专用的,由用户本身持有,它可以对公开密钥加密的信息解密。DSS数字签名是由美国政府颁布实施的,主要用于跟美国做生意的公司。它只是一个签名系统,而且美国不提倡使用任何削弱政府窃听能力的加密软件。Hash签名是最主要的数字签名方法,跟单独签名的RSA数字签名不同,它是将数字签名和要发送的信息捆在一起,所以更适合电子商务。
4.数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(DigitaTimestamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
时间戳(Time-Stamp)是一个经加密后形成的凭证文档,包括三个部分。一是需加时间戳的文件的摘要(Digest),二是DTS收到文件的日期与时间,三是DIS数字签名。
时间戳产生的过程是:用户首先将需要加时间的文件用HASH编码加密形成摘要,然后将该摘要发送到DTS,DTS在加入了收到文件摘要的日期和时间信息后再对该文件加密(数字签名),然后送回用户。书面签署文件的时间是由签署人自己写上的,数字时间则不然,它是由认证单位DIS来加的,以DIS收到文件的时间为依据。
数字认证及数字认证授权机构
1.数字证书。数字证书也叫数字凭证、数字标识,它含有证书持有者的有关信息,以标识他的身份。数字证书克服了密码在安全性和方便性方面的局限性,可以控制哪些数据库能够被查看,因此提高了总体的保密性。
数字证书的内容格式是CCTTTX.509国际标准规定的,通常包括以下内容:证书所有者的姓名;证书所有者的公共密钥;公共密钥(证书)的有效期;颁发数字证书单位名称;数字证书的序列号;颁发数字证书单位的数字签名。
数字证书通常分为三种类型,即个人证书、企业证书、软件证书。个人证书(PersonalDigital)为某一个用户提供证书,帮助个人在网上安全操作电子交易。个人数字证书是向浏览器申请获得的,认证中心对申请者的电子邮件地址、个人身份及信用卡号等核实后,就发给个人数字证书,并安置在用户所用的浏览器或电子邮件的应用系统中,同时也给申请者发一个通知。企业证书,就是服务器证书(ServerID),是对网上服务器提供的一个证书,拥有Web服务器的企业可以用具有证书的Internet网站(WebSite)来做安全的电子交易。软件证书通常是为网上下载的软件提供证书,证明该软件的合法性。
2.电子商务数字认证授权机构。电子商务交易需要电子商务证书,而电子商务认证中心(CA)就承担着网上安全电子交易认证服务、签发数字证书并确认用户身份的功能。
CA主要提供下列服务:有效实行安全管理的设施;可靠的风险管理以及得到确认和充分理解。接受该系统服务的电子商务用户也应充分信任该系统的可信度。CA具有证书发放、证书更新、证书撤销、证书验证等四大职能。
若未建立独立的注册机构,认证中心则在完成注册机构的功能以外还要完成下列功能:接收、处理证书申请,确立是否接受或拒绝证书申请,向申请者颁发或拒绝颁发证书,证书延期,管理证书吊销目录,提供证书的在线状况,证书归档;提供支持服务,提供电话支持,帮助用户解决与证书有关的问题;审核记录所有同安全有关的活动;提供灵活的结构,使用户可以用自己的名字对服务命名;为认证中心系统提供可靠的安全支持;为认证中心的可靠运营提供一套政策、程序及操作指南。
电子商务信息安全协议
1.安全套接层协议。安全套接层协议(SecureSocketsLayer,SSL)是由NetscapeCommunication公司1994年设计开发的,主要用于提高应用程序之间的数据的安全系数。SSL协议的整个概念可以被总结为:一个保证任何安装了安全套接层的客户和服务器之间事务安全的协议,该协议向基于TCP/IP的客户/服务器应用程序提供了客户端与服务的鉴别、数据完整性及信息机密性等安全措施。
SSL安全协议主要提供三方面的服务。一是用户和服务器的合法性保证,使得用户与服务器能够确信数据将被发送到正确的客户机和服务器上。客户机与服务器都有各自的识别号,由公开密钥编排。为了验证用户,安全套接层协议要求在握手交换数据中作数字认证,以此来确保用户的合法性;二是加密数据以隐藏被传递的数据。安全套接层协议采用的加密技术既有对称密钥,也有公开密钥,在客户机和服务器交换数据之前,先交换SSL初始握手信息。在SSL握手信息中采用了各种加密技术,以保证其机密性与数据的完整性,并且经数字证书鉴别;三是维护数据的完整性。安全套接层协议采用Hash函数和机密共享的方法来提供完整的信息服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务能全部准确无误地到达目的地。
2.安全电子交易公告。安全电子交易公告(SET:SecureElectronicTransactions)是为在线交易设立的一个开放的、以电子货币为基础的电子付款系统规范。SET在保留对客户信用卡认证的前提下,又增加了对商家身份的认证。SET已成为全球网络的工业标准。
SET安全协议的主要对象包括:消费者(包括个人和团体),按照在线商店的要求填写定货单,用发卡银行的信用卡付款;在线商店,提供商品或服务,具备使用相应电子货币的条件;收单银行,通过支付网关处理消费者与在线商店之间的交易付款;电子货币发行公司以及某些兼有电子货币发行的银行。负责处理智能卡的审核和支付;认证中心,负责确认交易对方的身份和信誉度,以及对消费者的支付手段认证。
SET协议规范的技术范围包括:加密算法的应用,证书信息与对象格式,购买信息和对象格式,认可信息与对象格式。
SET协议要达到五个目标:保证电子商务参与者信息的相应隔离;保证信息在互联网上安全传输,防止数据被黑客或被内部人员窃取;解决多方认证问题;保证网上交易的实时性,使所有的支付过程都是在线的;效仿BDZ贸易的形式,规范协议和消息格式,促使不同厂家开发的软件具有兼容性与交互操作功能,并且可以运行在不同的硬件和操作系统平台上。
3.安全超文本传输协议(S-HTTP)。依靠密钥的加密,保证Web站点间的交换信息传输的安全性。SHTTP对HT-TP的安全性进行了扩充,增加了报文的安全性,是基于SSL技术的。该协议向互联网的应用提供完整性、可鉴别性、不可抵赖性及机密性等安全措施。
4.安全交易技术协议(STT)。STT将认证与解密在浏览器中分离开,以提高安全控制能力。
5.UN/EDIFACT标准。UN/EDIFACT报文是唯一的国际通用的电子商务标准。在ISO的IS09735(即UN/EDI-FACT语法规则)新版本中,包括描述UN/EDIFACT中实施安全措施的五个新部分,即:第五部分——批式电子商务(可靠性、完整性和不可抵赖性)的安全规则;第六部分——安全鉴别与确认报文(AUTACK);第七部分——批式电子商务(机密性)的安全规则;第九部分——安全密钥和证书管理报告(KEYMAN);第十部分——交互式电子商务的安全规则。
UN/EDIFACT的安全措施通过集成式与分离式两种途径来实现。集成式的途径是通过在UN/EDIFACT报文结构中使用可选择的安全头段和安全尾段来保证报文内容的完整性、报文来源的不可抵赖性;分离式途径是通过发送三种特殊的UN/EDIFACT报文(即AUTCK、KEYMAN和CI-PHER)来达到安全目的。
6.《电子交换贸易数据统一行为守则》(UNCID)。UNCID由国际商会制定,该守则第六条、第七条、第九条分别就数据的保密性、完整性及贸易双方签订协议等问题做了规定。
电子商务中的信息安全对策
1.提高对网络信息安全重要性的认识。信息技术的发展,使网络逐渐渗透到社会的各个领域,在未来的军事和经济竞争与对抗中,因网络的崩溃而促成全部或局部的失败,决非不可能。我们在思想上要把信息资源共享与信息安全防护有机统一起来,树立维护信息安全就是保生存、促发展的观念。我国公民中的大多数人还是“机盲”、“网盲”,另有许多人仅知道一些关于网络的肤浅知识,或仅会进行简单的计算机操作,对网络安全没有深刻认识。应该以有效方式、途径在全社会普及网络安全知识,提高公民的网络安全意识与自觉性,学会维护网络安全的基本技能。
2.加强网络安全管理。我国网络安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构。只有在中央建立起这样一个组织,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。对于计算机网络使用单位,要严格执行《中华人民共和国计算机信息系统安全保护条例》与《计算机信息网络安全保护管理办法》,建立本单位、本部门、本系统的组织领导管理机构,明确领导及工作人员责任,制定管理岗位责任制及有关措施,严格内部安全管理机制。具体的安全措施如:把好用户入网关、严格设置目录和文件访问的权限,建立对应的属性措施,采用控制台加密封锁,使文件服务器安全可靠;用先进的材料技术,如低阻材料或梯性材料将隔离设备屏蔽起来,降低或杜绝重要信息的泄露,防止病毒信息的入侵;运用现代密码技术,对数据库与重要信息加密;采用防火墙技术,在内部网和外部网的界面上构造保护层。
3.加快网络安全专业人才的培养。我国需要大批信息安全人才来适应新的网络安全保护形势。高素质的人才只有在高水平的研究教育环境中迅速成长,只有在高素质的队伍保障中不断提高。应该加大对有良好基础的科研教育基地的支持和投入,多出人才,多出成果。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。要加强对内部人员的网络安全培训,防止堡垒从内部攻破。
4.开展网络安全立法和执法。一是要加快立法进程,健全法律体系。自1973年世界上第一部保护计算机安全法问世以来,各国与有关国际组织相继制定了一系列的网络安全法规。我国政府也十分重视网络安全立法问题,1996年成立的国务院信息化工作领导小组曾设立政策法规组、安全工作专家组,并和国家保密局、安全部、公安部等职能部门进一步加强了信息安全法制建设的组织领导与分工协调。我国已经颁布的网络法规如:《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国信息网络国际联网安全管理暂行规定》、《计算机信息网络国际联网管理办法》、《计算机信息系统国际联网保密管理规定》等。1997年10月1日起生效的新《刑法》增加了专门针对信息系统安全的计算机犯罪的规定:违犯国家规定,侵入国家事务、国防建设、尖端科学领域的计算机系统,处三年以下有期徒刑或拘役;违犯国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机系统不能正常运行,后果严重的处五年以下有期徒刑,后果特别严重的处五年以上有期徒刑;违犯国家规定,对计算机信息系统存储、处理或者传输的数据与应用程序进行删除、修改、增加操作,后果严重的应负刑事责任。这些法规对维护网络安全发挥了重要作用,但不健全之处还有许多。一是应该结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善;二是要执法必严,违法必纠。要建立有利于信息安全案件诉讼与公、检、法机关办案的制度,提高执法的效率和质量。
5.抓紧网络安全基础设施建设。一个网络信息系统,不管其设置有多少道防火墙,加了多少级保护或密码,只要其芯片、中央处理器等计算机的核心部件以及所使用的软件是别人设计生产的,就没有安全可言;这正是我国网络信息安全的致命弱点。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
6.把好网络建设立项关。我国网络建设立项时的安全评估工作没有得到应有重视,这给出现网络安全问题埋下了伏笔。在对网络的开放性、适应性、成熟性、先进性、灵活性、易操作性、可扩充性综合把关的同时,在立项时更应注重对网络的可靠性、安全性评估,力争将安全隐患杜绝于立项、决策阶段。
7.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使网络经营陷于困境,这就必须建立网络风险防范机制。为网络安全而产生的防止和规避风险的方法有多种,但总的来讲不外乎危险产生前的预防、危险发生中的抑制和危险发生后的补救。有学者建议,网络经营者可以在保险标的范围内允许标保的财产进行标保,并在出险后进行理赔。
8.强化网络技术创新。如果在基础硬件、芯片方面不能自主,将严重影响我们对信息安全的监控。为了建立起我国自主的信息安全技术体系,利用好国内外两个资源,需要以我为主,统一组织进行信息安全关键技术攻关,以创新的思想,超越固有的约束,构筑具有中国特色的信息安全体系。特别要重点研究关键芯片与内核编程技术和安全基础理论。
9.注重网络建设的规范化。没有统一的技术规范,局部性的网络就不能互连、互通、互动,没有技术规范也难以形成网络安全产业规模。目前,国际上出现许多关于网络安全的技术规范、技术标准,目的就是要在统一的网络环境中保证信息的绝对安全。我们应从这种趋势中得到启示,在同国际接轨的同时,拿出既符合国情又顺应国际潮流的技术规范。
10.建设网络安全研究基地。应该把我国现有的从事信息安全研究、应用的人才很好地组织起来,为他们创造更优良的工作学习环境,调动他们在信息安全创新中的积极性。一是要落实相关政策,在收入、福利、住房、职称等方面采取优惠政策;二是在他们的科研立项、科研经费方面采取倾斜措施;三是创造有利于研究的硬环境,如仪器、设备等;四是提供学习交流的机会。
11.促进网络安全产业的发展。扶持具有中国特色的信息安全产业的发展是振兴民族信息产业的一个切入点,也是维护网络安全的必要对策。为了加速发展我国的信息安全产业,需要尽快解决资金投入、对外合作、产品开发、安全评测、销售管理、采购政策、利益分配等方面存在的问题。
【参考文献】
[1]屈云波.电子商务[M].北京:企业管理出版社,1999.
[2]赵立平.电子商务概论[M].上海:复旦大学出版社,2000.
[3]赵战生.我国信息安全及其技术研究[J].中国信息导报,1999,(8):5-7.
[4]郭晓苗.Internet上的信息安全保护技术[J].现代图书情报技术,2000,(3):50-51.
[5]吉俊虎.网络和网络安全刍议[J].中国信息导报,1989,(9):23-24.
最新关于文明上网倡议书范文 随着互联网影响力的不断增强,全社会对网络文明的期望值越来越高,对文明办网、文明上网的要求越来越高,网络文明建设已经成为社会主义精神文明建设的重要内容,建设和谐社会的重要方面,中国特色网络文化健康发展的重要保障。为推动网络文明建设,营造科学健康、和谐文明的网络环境,抵制庸俗、低俗、媚俗之风,德城区城管执法局全体工作人员发出如下倡议:
一、树立正确的网络观,争做文明网民。
加强网络文明建设,把互联网建成共建共享的精神家园,需要每位网民更多的关心、支持和呵护。广大网民既是网络文化建设的参与者,又是文明健康网络文化的创造者、传播者。要树立正确的网络观,遵守法律法规,规范网上行为,自觉抵制有损网络文明、有悖网络道德、损害网络和谐的事,积极倡导、自觉实践文明健康的上网方式和行为。
二、传播先进文化,争做网络道德模范。
大力弘扬社会主义核心价值体系,传播先进网络文化,为人民群众提供更多更好的优秀文化产品,用优秀的网络文化滋润心灵、陶冶情操、愉悦身心,使积极健康的网络文化产品占据网上主导地位,努力营造积极向上、和谐文明的网络文化氛围。坚持文明上网,坚守道德准则,争做网络道德模范,努力在网上形成知荣辱、讲正气、树新风、促和谐的文明风尚。
三、坚持理性自律,争做网络文明使者。
充分发挥网民在网络文明传播中的积极性、主动性,提倡理性思考、文明创作,自觉做到不危害国家安全、危害社会稳定、违反法律法规、违背社会公德的有害信息;不在网上恶意攻击、诋毁、谩骂他人;不散播淫秽色情、诈骗、、暴力、恶搞等不良信息;不传播谣言和虚假信息;不跟风炒作炫富拜金、荒诞猎奇等庸俗行为,大力倡导积极健康有益的网络表达和文明互动。
四、增强安全意识,争当网络安全卫士。
践行网络文明公约,维护网络安全,不破坏网络秩序,筑牢网络安全防线。充分认识网络安全的重要性,合法、合理地使用网络的资源,增强网络安全意识,积极监督和主动防范不安全隐患,维护正常的网络运行秩序,促进网络的健康发展。
xx学校
20xx年9月24日
最新关于文明上网倡议书范文
亲爱的同学们:
大家好!
随着互联网的迅速发展,网络已成为我们学习知识、交流思想、休闲娱乐的重要平台,它为我们提供展现自我的个性空间。但我们也看到,网络是一把“双刃剑”,网络在极大地方便我们交流和获取信息的的同时,个别网站也存在着传播不健康信息、提供不文明服务等严重危害社会的问题,尤其危害我们小学生的身心健康。所有这些,令人痛心,令人警醒。
为了使我校校园保持清新、健康的舆论氛围,现在向全体同学发出“文明上网、健康上网”的倡议:
1.规范自身行为,自觉抵制诱惑,远离网吧。不沉迷网络游戏,正确把握上网时间和上网时段。
2.明确上网目的,利用网络充实、提高、完善自我。
3.文明健康上网,访问文明网站,做文明上网的模范和榜样。
4.宣传文明上网,倡导文明上网,做绿色上网的宣传员。
5.关心身边同学,奉劝远离网吧,帮助同学充分认识不良网站的危害。
让我们全体同学信守倡议、自尊自爱、自强不息、严格要求自己,让文明、健康的网络文化在我校蔚然成风,共同促进我校校园文化的健康发展!
最新关于文明上网倡议书范文
随着以信息技术为代表的科学技术迅猛发展,随之掀起了网络热潮。
网络改变了我们生活。但我们也清楚的看到,互联网负面影响也有显现,尤其是对学生的影响尤甚。
网上的腐朽文化,对部分学生的人生观、价值观、道德观进行侵略;
网上的黄色流毒,对部分学生的身心进行摧残;
网上的暴力文化,对部分学生的行为进行误导。
对少数学生造成了极大的危害,让我们感到非常痛心。
对我们的身心健康和正常的教学秩序造成很大影响。
为了在全校倡导文明上网,健康上网,学习上网,远离低俗。
营造校园网络文明、健康的环境。
特向全体同学发出如下倡议:
1、遵守《全国青少年网络文明公约》,争做网络道德规范榜样。我们要学习网络道德规范,增强网络道德意识,分清网上善恶美丑的界限;要认识网络文明的内涵,懂得崇尚科学、追求真知的道理;要了解网络安全的重要性,合法、合理地使用网络的资源,增强网络安全意识,形成良好的网络道德行为规范。
2、养成在校不上网、双休日合理上网的好习惯,不沉迷于网络,不登陆、浏览不健康的网站、视频、图片等,不在网络上、传播谣言和反动不健康的言论。
3、学会正确对待使用网络资源,了解对我们大学生有益的网站。倡议文明合理上网。
网络在我们面前展示了一幅全新的生活画面, 同时, 美好的网络生活也需要我们用自己的美德和文明共同去创造。让我们积极响应《全国青少年网络文明公约》的号召,从我做起,从现在做起,自尊、自律,上文明网,文明上网。
《全国青少年网络文明公约 》
要善于网上学习
不浏览不良信息
要诚实友好交流
不侮辱欺诈他人
要增强自护意识
不随意约会网友
要维护网络安全
不破坏网络秩序
要有益身心健康
1电子商务的主要安全要素
目前电子商务(ElectronicCommerce:是利用计算机技术、网络技术和远程通信技术,实现整个商务(买卖)过程中的电子化、数字化和网络化。人们不再是面对面的、看着实实在在的货物、靠纸介质单据(包括现金)进行买卖交易。而是通过网络,通过网上琳琅满目的商品信息、完善的物流配送系统和方便安全的资金结算系统进行交易。)工程正在全国迅速发展。实现电子商务的关键是要保证商务活动过程中系统的安全性,即应保证在基于Internet的电子交易转变的过程中与传统交易的方式一样安全可靠。从安全和信任的角度来看,传统的买卖双方是面对面的,因此较容易保证交易过程的安全性和建立起信任关系。但在电子商务过程中,买卖双方是通过网络来联系,由于距离的限制,因而建立交易双方的安全和信任关系相当困难。电子商务交易双方(销售者和消费者)都面临安全威胁。电子商务的安全要素主要体现在以下几个方面:
信息有效性、真实性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可否认要求即是能建立有效的责任机制,防止实体否认其行为;可控性要求即是能控制使用资源的人或实体的使用方式。在传统的纸面贸易中,贸易双方通过在交易合同、契约或贸易单据等书面文件上手写签名或印章来鉴别贸易伙伴,确定合同、契约、单据的可靠性并预防抵赖行为的发生。
在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已是不可能的。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识。在1nternet上每个人都是匿名的。原发方在发送数据后不能抵赖;接收方在接收数据后也不能抵赖。
2电子商务的安全技术讨论
2.1电子商务的安全技术之一-----数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。
面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。
面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用kerberos服务的telnet、nfs、rlogion等,以及用作电子邮件加密的pem(privacyenhancedmail)和pgp(prettygoodprivacy)。这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
1)常用的加密技术分类:
对称密钥密码算法
对称(传统)密码体制是从传统的简单换位代替密码发展而来的,自1977年美国颁布des密码算法作为美国数据加密标准以来,对称密钥密码体制得到了迅猛发展,得到了世界各国关注和使用。对称密钥密码体制从加密模式上可分为序列密码和分组密码两大类。
不对称型加密算法
也称公用密钥算法,其特点是有二个密钥即公用密钥和私有密钥,只有二者配合使用才能完成加密和解密的全过程。
由于不对称算法拥有二个密钥,因此它特别适用于分布式系统中的数据加密,在Internet中得到了广泛应用。其中公用密钥在网上公布,为数据源对数据加密使用,而用于解密的相应私有密钥则由数据的收信方妥善保管。
不可逆加密算法
其特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量大,所以通常用于数据量有限的情形的加密,例如计算机系统中的口令的加密。
2)电子商务领域常用的加密技术
数字摘要(digitaldigest)
这一加密方法亦称安全Hash编码法,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文"摘要"成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是"真身"的"指纹"了。
数字签名(digitalsignature)
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。在书面文件上签名是确认文件的一种手段,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字时间戳(digitaltime-stamp)
交易文件中,时间是十分重要的信息。在书面合同中,文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容。在电子交易中,同样需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。
数字时间戳服务(DTS)是网上安全服务项目,由专门的机构提供。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:1)需加时间戳的文件的摘要(digest),2)DTS收到文件的日期和时间,3)DTS的数字签名。
数字证书(digitalcertificate,digitalID)
数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。
数字凭证有三种类型:
·个人凭证(PersonalDigitalID)
·企业(服务器)凭证(ServerID)
·软件(开发者)凭证(DeveloperID)
上述三类凭证中前二类是常用的凭证,第三类则用于较特殊的场合,大部分认证中心提供前两类凭证。
3)与电子商务安全有关的协议技术讨论:
SSL协议(SecureSocketsLayer)安全套接层协议
------面向连接的协议,当初不是为电子商务而设计
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。
SSL协议在应用层收发数据前,协商加密算法、连接密钥并认证通信双方,从而为应用层提供了安全的传输通道;在该通道上可透明加载任何高层应用协议(如HTTP、FTP、TELNET等)以保证应用层数据传输的安全性。SSL协议独立于应用层协议,因此,在电子交易中被用来安全传送信用卡号码。
SSL的应用及局限:中国目前多家银行均采用SSL协议,从目前实际使用的情况来看,SSL还是人们最信赖的协议。但是SSL当初并不是为支持电子商务而设计的,所以在电子商务系统的应用中还存在很多弊端。它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系;还有,购货时用户要输入通信地址,这样将可能使得用户收到大量垃圾信件。
SET协议(SecureElectronicTransaction)安全电子交易
------专门为电子商务而设计的协议,但仍然不能解决电子商务所遇到全部问题
电子商务在提供机遇和便利的同时,也面临着一个最大的挑战,即交易的安全问题。在网上购物的环境中,持卡人希望在交易中保密自己的帐户信息,使之不被人盗用;商家则希望客户的定单不可抵赖,并且,在交易过程中,交易各方都希望验明其他方的身份,以防止被欺骗。针对这种情况,由美国Vi sa和MasterCard两大信用卡组织联合国际上多家科技机构,共同制定了应用于Internet上的以银行卡为基础进行在线交易的安全标准,这就是"安全电子交易"(SET)。它采用公钥密码体制和X.509数字证书标准,主要应用于保障网上购物信息的安全性。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。
SET的局限性:SET是专门为电子商务而设计的协议,虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
2.2电子商务的安全技术之二------身份认证技术
为解决Internet的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet安全解决方案,即目前被广泛采用的PKI(PublicKeyInfrastructure公钥基础设施)体系结构。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
在电子交易中,无论是数字时间戳服务(DTS)还是数字证书(DigitalID)的发放,都不是靠交易的自己能完成的,而需要有一个具有权威性和公正性的第三方(thirdparty)来完成。认证中心(CertificateAuthority)就是承担网上安全电子交易认证服务、能签发数字证书、并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字凭证的申请、签发及对数字凭证的管理。认证中心依据认证操作规定(CertificationPracticeStatement)来实施服务操作。
1)认证系统的基本原理
利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间(比如网银服务器和某客户之间)利用证书来保证信息安全性和双方身份的合法性。
2)认证系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和WebPublisher。
核心系统根CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。一般的个人证书发放过程都是自动进行,无须人工干预。
证书的登记机构RegisterAuthority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。RA与CA双方的通信报文也通过RSA进行加密,确保安全。系统的分布式结构适于新业务网点的开设,具有较好的扩充性。通信协议为TCP/IP。
证书的公布系统WebPublisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。
证书链服务(有时也称"交叉认证")是一个CA扩展其信任范围或被认可范围的一种实现机制。如果企业或机构已经建立了自己的CA系统,通过第三方认证中心对该机构或企业的CA签发CA证书,能够使得该企业或机构的CA发放的证书被所有信任第三方认证中心的浏览器、邮件客户所信任。
3)中国金融认证中心CFCA的建设情况
中国对电子商务的发展也给予了应有的重视。中国金融认证中心CFCA(ChinaFinancialCertificateAuthority)。已于2000年6月29日开始对社会各界提供证书服务,系统进入运行状态。中国金融认证中心作为一个权威的、可信赖的、公正的第三方信任机构,为参与电子商务各方的各种认证需求提供证书服务,建立彼此的信任机制,为全国范围内的电子商务及网上银行等网上支付业务提供多种模式的认证服务,在不远的将来实现与国外CA的交叉认证。
2.3电子商务的安全技术之三网上支付平台及支付网关
网上支付平台分为CTEC支付体系(基于CTCA/GDCS)和SET支付体系(基于CTCA/SET)。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。
目前,在国内可以提供网上支付功能服务或者网上支付网关接口的银行有:
中国工商银行牡丹卡中国银行长城借记卡
中国银行长城信用卡招商银行一网通卡
中国建设银行龙卡MASTER/VISA/JCB卡(适用全球)
上述除中国银行长城借记卡则采用了SET1.2的加密方式外,其余全部采用SSL-128加密方式。
支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。即支付网关主要完成通信、协议转换和数据加解密功能,并且可以保护银行内部网络。此外,支付网关还具有密钥保护和证书管理等其它功能。
免责声明:以上文章内容均来源于本站老师原创或网友上传,不代表本站观点,与本站立场无关,仅供学习和参考。本站不是任何杂志的官方网站,直投稿件和出版请联系出版社。
