电子商务网络安全策略探析
2009-06-19杨柳青
杨柳青
[摘 要] 本文概述了电子商务的局域网、广域网、外部网、Web服务器的安全及公开密钥基础设施;介绍了构建电子商务系统安全体系的相关技术;最后,给出了电子商务的安全策略,并应用于实际的电子商务系统中。
[关键词] 电子商务;网络;安全;信息
doi:10.3969/j.issn.1673-0194.2009.10.040
[中图分类号]F724.6;TP393.08[文献标识码]A[文章编号]1673-0194(2009)10-0119-03
一、 电子商务局域网安全
电子商务局域网基本上用以广播为技术基础的以太网,任何节点间的通信数据包,为处在同一以太网上的任何节点的网卡所截取。因此,黑客只要接入以太网上的任一节点进行侦听就可捕获发生在这个以太网上的所有数据包,对其解包分析,窃取关键信息,这就是以太网所固有的安全隐患。
局域网安全的解决办法有以下几种:
(一) 网络分段
网络分段被认为是控制网络广播风暴的基本手段,其目的是将非法用户与敏感网络资源相互隔离,防止可能的非法侦听,网络分段可分物理分段和逻辑分段两种。局域网采用以交换机为中心、路由器为边界的网络格局,应重点挖掘中心交换机的访问控制和3层交换功能,综合应用物理与逻辑分段两种方法,实现对局域网的安全控制。
(二) 以交换式集线器代替共享式集线器
对局域网的中心交换机进行网络分段后,以太网侦听的危险仍存在,因为网络最终用户接入是通过分支集线器而不是中心交换机,而使用最广泛的分支集线器通常是共享式集线器。这样,当用户与主机进行数据通信时,两台机器间的数据包(称单播包)会被同一台集线器上的其他用户所侦听。因此,应以交换式集线器代替共享式集线器,使单播包仅在两个节点间传送,防止非法侦听。当然,交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是,广播包和多播包内的关键信息,要远少于单播包。
(三) VLAN的划分
为克服以太网的广播问题,还可用VLAN技术,将以太网通信变为点到点通信,防止大部分基于网络侦听的入侵。VLAN技术有3种:基于交换机端口的VLAN、基于节点 MAC地址的VLAN和基于应用协议的VLAN。基于端口的VLAN虽欠灵活,但较成熟,实际应用中效果显著。基于MAC地址的VLAN为移动计算提供了可能,但同时也潜藏遭受MAC欺诈攻击的隐患。而基于协议的VLAN,理论上非常理想,但实际应用不成熟。在集中式网络环境下,常将中心所有主机系统集中到一个VLAN,在这个VLAN里不许有任何用户节点,较好地保护了敏感的主机。在分布式网络环境下,可按机构或部门划分VLAN。各部门内所有服务器和用户节点都在各自的VLAN内,互不侵扰。VLAN内部的连接采用交换实现,而VLAN与VLAN间的连接用路由实现。大多数交换机都支持RIP和OSPF两种国际标准的路由协议。如有特殊需要,需使用其他路由协议,可用外接的多以太网口路由器来代替交换机,实现VLAN间的路由功能。当然,此时,路由转发效率有所下降。
无论是交换式集线器还是VLAN交换机,都以交换技术为核心,它们在控制广播、防止黑客上相当有效,但同时也给一些基于广播原理的入侵监控技术和协议分析技术带来麻烦。若局域网内存在这样的入侵监控设备或协议分析设备,就需选用特殊的带有SPAN ( Switch Port Analyzer)功能的交换机。这种交换机允许系统管理员将全部或某些交换端口数据包映射到指定端口,提供给接在该端口的入侵监控设备或协议分析设备。
二、 广域网安全
广域网多用公网传输数据,信息在广域网传输时被截取和利用的可能性比局域网大。若无专用软件对数据进行控制,只要用互联网上免费下载的“包检测”工具软件,就可截取和破译通信数据。因此,需采取手段,使得在广域网上发送和接收信息时能保证:
(1)除了发送方和接收方,其他人无法知悉(隐私性);
(2)传输过程中不被篡改(真实性);
(3)发送方能确知接收方不是假冒的(非伪装性);
(4)发送方不能否认自己的发送行为(不可抵赖性)。
为达以上安全目的,广域网常用以下安全解决办法:
(一) 加密技术
加密型网络安全技术的思想是不依赖于网络中数据通道安全性来实现网络系统的安全,而是通过对网络数据加密来保障网络安全可靠。数据加密技术可分3类,即对称型加密、不对称型加密和不可逆加密。其中不可逆加密算法不存在密钥保管和分发问题,适用于分布式网络系统,但其加密计算量相当可观,所以用于数据量有限的情形下。计算机系统口令是利用不可逆加密算法加密的。随着计算机系统性能的提高,不可逆加密算法的应用逐渐增加,常用的如RSA公司的MD5。在系统中广泛使用的Cisco路由器,有两种口令加密方式:Enable Secret和Enable Password。其中,Enable Secret采用MD5不可逆加密算法,因而尚未发现破解方法(除非使用字典攻击法)。而Enable Password采用非常脆弱的加密算法(即简单将口令与一个常数进行XOR与或运算),目前至少己有两种破解软件。因此,最好不用Enable Password[1]。
(二) VPN技术
VPN技术的核心是隧道技术,将企业专网的数据加密封装后,透过虚拟的公网隧道传输,防止敏感数据被窃。VPN可在互联网、服务提供商的IP、帧中继或ATM网上建立。企业通过公网建立VPN,如同通过自己的专用网建立内网,有较高安全性、优先性、可靠性和可管理性,其建立周期、投入资金和维护费用却大大降低,还为移动计算提供了可能。但应指出, VPN技术的许多核心协议,如L2TP, IPSec,未形成通用标准,使得不同的VPN服务提供商间、VPN设备间的互操作性成为问题。因此,企业在VPN建网选型时,要慎选VPN服务提供商和VPN设备。
(三) 身份认证技术
对从外部拨号访问总部内网的用户,由于使用公网传输数据所带来的风险,需严格控制其安全性。常见做法是用身份认证技术,对拨号用户身份进行验证并记录完备的登录日志。常用身份认证技术有Cisco提出的TACACS +业界标准的RADIUS。
三、 外网安全
外网建设,指与Internet互联及与外部企业互联,采用基于TCP/IP的Internet协议族。Internet协议族自身的开放性方便了各种计算机组网和互联,推动了网络技术的发展。但早期网络协议设计上对安全问题的忽视及互联网在使用和管理上的无政府状态,使互联网自身安全受到威胁,黑客事件频发。对外网安全威胁表现在:非授权访问、冒充合法用户、破坏数据完整性、干扰系统正常运行、利用网络传播病毒、线路窃听等。外网安全解决办法依靠防火墙、入侵检测和网络防病毒技术。实际的外网安全设计中,采取上述3种技术的结合。
四、 Web服务器的安全
(一) 安全漏洞
Web服务器存在漏洞,使得黑客能侵入主机,破坏重要数据,甚至造成系统瘫痪。
CGI安全方面的漏洞有:
(1)有意或无意在主机系统中遗漏Bugs给非法黑客创造条件;
(2)用CGI脚本编写程序当涉及远程用户从浏览器中输入表格(Form),并检索(Search index),或form-mail之类在主机上直接操作命令,或许会给Web主机系统造成危险。
网上下载的Web服务器,没考虑安全因素,不能用作电子商务系统应用。因此,不管是配置服务器,还是编写CGI程序都要注意系统安全性,堵住存在的漏洞。
(二) 提高系统安全性和稳定性
Web服务器安全预防措施:
(1)限制在Web服务器开账户,定期删除断进程的用户。
(2)对在Web服务器上开的账户,在口令长度及定期更改方面作出要求,防止被盗用。
(3)使FTP, MAIL等服务器分开,去掉ftp,sendmail,tftp, NIS, NFS, finger, netstat等无关应用。
(4)在Web服务器上去掉绝对不用的如SHELL之类的解释器,即当在CGI程序中没用到PERL时,就把PERL在系统解释器中删除。
(5)定期查看服务器日志logs文件,分析可疑事件。在errorlog中出现rm, login, /bin/perl, /bin/sh记录时,服务器可能已遭非法用户入侵。
(6)设置好Web服务器上系统文件的权限和属性,对可让人访问的文档分配一个公用组,如WWW,并分配它只读的权利。把所有HTML文件归属WWW组,由Web管理员管理WWW组。对于Web配置文件只有Web管理员有写的权利。
(7)Web服务器把Web文档目录与FTP目录指在同一目录时,不要把FTP目录与CGI-BIN指定在一个目录;防止用户通过FTP上载如PERL或SH之类程序,用Web的CGI-BIN去执行,造成不良后果。
(8)通过限制许可访问用户IP或DNS[2]。
五、 公开密钥基础设施PKI
(一) PKI概述
PKI通过使用公开密钥技术和数字证书确保系统信息安全并负责验证数字证书持有者身份[3]。PKI通过数字证书的方式管理用户的公开密钥,并通过可信任的第三方认证中心CA ( Certification Authority)对证书进行数字签名,具有灵活的伸缩性和可扩展性,是主要的Internet安全架构。PKI通过CA和数字证书管理用户的密钥对,让用户可在多种应用环境使用加密或数字签名,实现数据传输安全。PKI利用密码学公钥密码技术,并在Internet网络环境中提供数据加密及数字签名服务,统一技术框架,是电子商务安全问题的关键和基础技术;能有效解决电子商务中机密性、真实性、完整性、不可否认性和存取控制安全。应用PKI,可建立一个可信任和安全的系统。
(二) PKI的结构
PKI含CA、RA ( Registration Authority)注册机构、证书库、策略管理、撤销系统。
1. CA是一个确保信任的权威实体
CA作为受信任的第三方,具有权威性,承担PKI公钥体系中公钥的合法性检验;职责是颁发证书、验证用户身份的真实性;CA签发用户数字证书,任何相信该CA的人,按照第三方信任原则,也应相信持有该证书的用户。用户在获得自己的数字证书后,就可使用证书来表明身份,接收方只需使用签发证书的公钥验证用户证书,若验证成功,就可信任该证书描述的用户身份。证书的签发/验证利用公开密钥算法的数字签名和验证功能,杜绝了身份冒充。
2. 证书库是CA颁发和撤销证书的集中存放地和网上公共信息库,供公众开放式查询
查询目的有两个:一是得到与之通信实体的公钥;二是验证通信对方的证书是否已进入“黑名单”。证书库支持分布式存放,即用数据库镜像技术,将CA签发的证书与本组织的证书和证书撤销列表存放到本地,提高证书查询效率,减小向总目录查询的瓶颈。
3.RA是用户和CA的接口,所获得的用户标识的准确性是CA颁发证书的基础
用户向RA注册登录,提供个人信息资料,获得RA认可后由RA生成此用户的标识符,提供给CA生成唯一标识此用户的数字证书。RA支持面对面的注册,也支持远程注册。要确保整个PKI系统安全、灵活,就需设计和实现网络化、安全的且易操作的RA。
4. 策略管理在PKI系统中非常重要
管理员根据不同用户,选择不同安全策略给用户不同安全级别数字证书。安全策略需适应不同需求并通过CA和RA技术融入到CA和RA系统。同时,策略应符合密码学和系统安全要求,应用密码学与网络安全理论,有良好的可扩展性和互用性。
5. PKI系统需要构建一个安全有效的撤销系统
证书是用来证明证书持有者身份的电子介质,用来绑定证书持有者身份和其相应公钥,该绑定在已颁发证书的整个生命周期里有效。证书有效期有限,该规定在理论上基于当前非对称算法和密钥长度的可破译性;在实际应用中长期使用同一个密钥有被破译的危险,为保证安全,证书和密钥需有一定的更换频度。为此,PKI对已发的证书需有更换措施,该过程称“密钥或证书更新”。证书更新由PKI系统自动完成。即在用户使用证书过程中,PKI会自动到目录服务器中检查证书有效期,当有效期结束前,PKI/CA会自动启动更新程序,生成新证书代替旧证书。但也会出现已颁发证书不再有效的情况,若该证书还没到期,就需进行证书撤销。因此,需采取有效和可信的方法,能在证书自然过期前撤销它。
六、电子商务安全策略
电子商务的安全保障是一个动态的、复杂的过程,贯穿信息传输及信息系统的整个生命周期,要全方位和多层次地解决系统安全,不仅要解决网络层的安全,同时也要解决系统层和应用层的安全[5]。
(1)链路安全:采用链路备份技术,通过承载链路的备份,从物理层面保证安全;
(2)数据传输安全:采用VPN技术,支持多种安全加密算法;
(3)网络访问控制:采用防火墙技术,路由器内置防火墙功能,实现网络节点安全;
(4)认证授权:具有AAA认证、CA认证,支持网络层面的ACL控制,结合AAA和数字证书,实现用户身份的标识和权限管理;
(5)管理控制安全:网管分级分权特性;
(6)节点设备安全:采用安全路由器设计,具有内置防火墙和流量监控能力,与网管结合实现安全管理。
七、结束语
电子商务系统安全构建在网络基础层上,包括CA、安全认证体系和基本的安全技术。利用安全技术,提供各种安全服务,保障电子商务活动安全、顺利进行,是电子商务安全体系提供的功能。
主要参考文献
[1] 赵一鸣,朱海林,孟魁.计算机安全[M]. 北京:电子工业出版社,2003:119-122.
[2] 翁贤明. 电子商务信息安全 [M]. 杭州:浙江大学出版社,2003:203-269.
[3] 肖凌,李之棠.公开密钥基础设施(PKI)结构[J].计算机工程与应用,2002(10): 137-140.
[4] S Santesson, R Housley. Internet X.509 Public Key Infrastructure Logotypes in X.509certificates[EB/OL]. http://www.ietf.org/internet-drafts/ draft-ietf -pkix-logotypes -O1.txt,2002.
[5] 徐天宇.电子商务系统规划与设计 [M]. 北京:清华大学出版社,2005:253-267.
