关键词:中小企业;电子信息;安全技术
1 电子信息安全的内涵
对于买方来说电子信息主要优点是方便快捷、操作起来比较简单。电子信息对于卖方来说主要优点是管理比较方便并且成本较低,但是电子信息最大的缺点就是买卖双方不能进行交流,主要是货币与货品的交换,并且交易都是通过网络进行的,之所以交易能够顺利完成,主要的原因是两者之间存在着诚信。关于诚信主要有两个方面的内容:有一种系统软件在买卖的过程中起到安全保障的作用,能将虚拟的货币符号转化成真实的货币,同时也能对交易起到保护作用,其中主要是对货币账户起到安全保障的作用。要想研究电子信息安全,首先要了解信息的内涵。信息主要是指资料、数据以及知识以不同的形式存在,在中小企业中这类信息主要是指买卖双方的有关信息和资料,犯罪分子能通过非法的手段对电子信息中的买卖双方采取诈骗行为,或者是通过网络对进行入侵和盗窃。信息安全管理标准对信息做出了详细的定义,信息也是属于资产,与其他的资产相同,对中小企业的发展有着重要的作用,是需要法律保护的。信息安全管理标准将信息划分为八个部分,主要包括物理资产、文档资产、文字资产、服务资产、软件资产、数据资产以及人力资源资产。
中小企业的电子信息主要是以网络为载体,网络的交流主要通过数据的传输得以实现,网上交易就是交流过程中的主要内容。所以,在信息安全的范畴中电子信息安全技术就成为了重点问题。关于电子信息安全技术的研究大多是关于技术的,但是对于中小企业来说,不仅要对技术进行改进,也要重视管理层,避免信息出现安全问题。
2 电子信息安全的理论
我国关于电子信息安全的研究,仍然较为落后。在国际中的关于信息安全的主要理论为:三观安全理论、信息循环理论以及信息安全模型理论。
三观安全理论。在中小企业的电子信息安全系统中,三观安全理论主要将其分为三个方面的内容,即微观、中观以及宏观。这个理论主要是将宏观层面的安全理念转化成微观层面的管理理念,进而对服务与生产进行指导。
信息安全模型理论。信息安全模型理论是信息安全管理发展过程中的产物,信息安全模型理论主要是将人、软件、操作以及信息系统相结合,并且全面的保护网络信息系统。主要倡导的是一种新的安全观念,并且提出了不能仅靠程序与软件对系统信息安全进行保护,要注重动态保护。此外,关于电子信息安全问题不能只依赖于安全技术,也要重视管理层安全理念的创新。
电子信息的循环理论。在实施网络信息安全的过程中电子信息的循环理论将其划分为四个方面:计划、执行、检查以及改进。这四个方面是一个循环的过程,也是一个周期,在循环的过程中,将这个过程看作是一个整体的信息安全管理体制,而不是将其看成某一管理过程。
3 电子信息安全技术对加强中小企业信息安全的作用
上文所述的三个信息安全理论对中小企业的信息安全管理有着重要的作用,主要有以下几个方面的内容。第一是信息安全领域的建设,第二是中小型企业中加强建设信息安全组织。美国信息安全研究所首次提出了信息安全领域,信息安全领域主要是指根据信息的不同保密程度创建相应的保密级别,网络控件的安装要结合用户信息的不同安全级别,安全信息的选择要适合用户的保密级别。在中小企业中,电子信息与资料的分类系统应该有统一的部门进行管理,然后对信息进行分类,并采取不同程度的加密与保密,这类信息主要包含文档、电子商务的相关资料以及服务等。将这些信息进行分类、保密、归档以及整合,有利于中小企业电子信息的调试。
对于中小企业来说,一直都存在电子信息安全性不够的问题,这主要同企业内部安全管理不足有关,安全管理的工作缺少专业的管理,很多的小型企业并没有统一的信息安全管理部门。企业安全管理部门的主要职能包含这几个方面的内容:同企业人力资源管理部门相互配合共同完成工作内容,要定期的审查一些特殊岗位的员工,一旦发现有违反安全规则的情况,要重新进行审查。同时还要对员工进行保密的培训;组织各个部门的工作,并对各个部门的工作进行协调,使企业的安全目标以及战略得以实现;企业的安全管理部门主要是对安全问题的管理、计划以及决策负责。也是企业的应急部门,要想避免企业信息的泄露,信息安全管理部门就必须加强对信息的管理;多联系各个地区的信息机构以及信息安全管理部门,这样能给企业带来新的信息安全管理观念以及安全技术;采取信息安全报告制,定期的向管理部门汇报信息安全的保护状况,对于一些重要的事件要及时的汇报,取得管理层对信息安全管理工作的支持。
在网络工程发展的同时,电子信息也得到了发展,电子信息在企业的发展中有着重要的作用,企业对其也越发的依赖电子信息。但是这只是一个虚拟的场所,主要通过网络这个载体来完成交易,因此安全技术问题成为了企业普遍关注的问题。
[参考文献]
[1]陈光匡,兴华.信息系统安全风险评估研究[J].网络安全技术与应用,2009(7).
[2]向宏,艾鹏,等.电子政务系统安全域的划分与等级保护[J].重庆工学院学报,2009(2).
[关键词]门限E CC电子商务安全加密签名
证书签发系统:负责证书的发放,如可以通过用户自己,或是通过目录服务。目录服务器可以是一个组织中现有的,也可以是PKI方案中提供的。PKI应用:包括在W eb服务器和浏览器之间的通讯、电子邮件、电子数据交换(E DI)、在Internet上的信用卡交易和虚拟专业网(VPN)等。应用接口系统(API):一个完整的PKI必须提供良好的应用接口系统,让用户能够方便地使用加密、数字签名等安全服务,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保所建立起来的网络环境的可信性,降低管理和维护的成本。
基于PKI的电子商务安全体系电子商务的关键是商务信息电子化,因此,电子商务安全性问题的关键是计算机信息的安全性。如何保障电子商务过程的顺利进行,即实现电子商务的真实性、完整性、机密性和不可否认性等。PKI体系结构采用证书管理公钥,通过第三方的可信机构,把用户的公钥和用户的其他标识信息(如用户身份识别码、用户名、身份证件号、地址等)捆绑在一起,形成数字证书,以便在Internet上验证用户的身份。PKI是建立在公钥理论基础上的,从公钥理论出发,公钥和私钥配合使用来保证数据传输的机密性;通过哈希函数、数字签名技术及消息认证码等技术来保证数据的完整性;通过数字签名技术来进行认证,且通过数字签名,安全时间戳等技术提供不可否认性服务。因此PKI是比较完整的电子商务安全解决方案,能够全面保证信息的真实性、完整性、机密性和不可否认性。通常电子商务的参与方一般包括买方、卖方、银行和作为中介的电子交易市场。首先买方通过浏览器登录到电子交易市场的W eb服务器并寻找卖方。当买方登录服务器时,买卖双方都要在网上验证对方的电子身份证,这被称为双向认证。在双方身份被互相确认以后,建立起安全通道,并进行讨价还价,之后买方向卖方提交订单。订单里有两种信息:一部分是订货信息,包括商品名称和价格;另一部分是提交银行的支付信息,包括金额和支付账号。买方对这两种信息进行双重数字签名,分别用卖方和银行的证书公钥加密上述信息。当卖方收到这些交易信息后,留下订货单信息,而将支付信息转发给银行。卖方只能用自己专有的私钥解开订货单信息并验证签名。同理,银行只能用自己的私钥解开加密的支付信息、验证签名并进行划账。银行在完成划账以后,通知起中介作用的电子交易市场、物流中心和买方,并进行商品配送。整个交易过程都是在PKI所提供的安全服务之下进行,实现了真实性、完整性、机密性和不可否认性。综上所述,PKI技术是解决电子商务安全问题的关键,综合PKI的各种应用,我们可以建立一个可信任和足够安全的网络,能够全面保证电子商务中信息的真实性、完整性、机密性和不可否认性。
计算机通信技术的蓬勃发展推动电子商务的日益发展,电子商务将成为人类信息世界的核心,也是网络应用的发展方向,与此同时,信息安全问题也日益突出,安全问题是当前电子商务的最大障碍,如何堵住网络的安全漏洞和消除安全隐患已成为人们关注的焦点,有效保障电子商务信息安全也成为推动电子商务发展的关键问题之一。电子商务安全关键技术当前电子商务普遍存在着假冒、篡改信息、窃取信息、恶意破坏等多种安全隐患,为此,电子商务安全交易中主要保证以下四个方面:信息保密性、交易者身份的确定性、不可否认性、不可修改性。保证电子商务安全的关键技术是密码技术。密码学为解决电子商务信息安全问题提供了许多有用的技术,它可用来对信息提供保密性,对身份进行认证,保证数据的完整性和不可否认性。广泛应用的核心技术有:1.信息加密算法,如DE S、RSA、E CC、M DS等,主要用来保护在公开通信信道上传输的敏感信息,以防被非法窃取。2.数字签名技术,用来对网上传输的信息进行签名,保证数据的完整性和交易的不可否认性。数字签名技术具有可信性、不可伪造性和不可重用性,签名的文件不可更改,且数字签名是不可抵赖的。3.身份认证技术,安全的身份认证方式采用公钥密码体制来进行身份识别。E CC与RSA、DSA算法相比,其抗攻击性具有绝对的优势,如160位E CC与1024位RSA、DSA有相同的安全强度。而210位E CC则是与2048比特RSA、DSA具有相同的安全强度。虽然在RSA中可以通过选取较小的公钥(可以小到3)的方法提高公钥处理速度,使其在加密和签名验证速度上与E CC有可比性,但在私钥的处理速度上(解密和签名),E CC远比RSA、DSA快得多。通过对三类公钥密码体制的对比,E CC是当今最有发展前景的一种公钥密码体制。
椭圆曲线密码系统E CC密码安全体制椭圆曲线密码系统(E lliptic Curve Cry ptosy stem,E CC)是建立在椭圆曲线离散对数问题上的密码系统,是1985年由Koblitz(美国华盛顿大学)和Miller(IBM公司)两人分别提出的,是基于有限域上椭圆曲线的离散对数计算困难性。近年来,E CC被广泛应用于商用密码领域,如ANSI(American National Standards Institute)、IE E E、基于门限E C C的《商场现代化》2008年11月(上旬刊)总第556期84少t个接收者联合才能解密出消息。最后,密钥分配中心通过安全信道发送给,并将销毁。2.加密签名阶段:(1)选择一个随机数k,,并计算,。(2)如果r=O则回到步骤(1)。(3)计算,如果s=O则回到步骤(1)。(4)对消息m的加密签名为,最后Alice将发送给接收者。3.解密验证阶段:当方案解密时,接收者P收到密文后,P中的任意t个接收者能够对密文进行解密。设联合进行解密,认证和解密算法描述如下:(1)检查r,要求,并计算,。(2)如果X=O表示签名无效;否则,并且B中各成员计算,由这t个接收者联合恢复出群体密钥的影子。(3)计算,验证如果相等,则表示签名有效;否则表示签名无效。基于门限椭圆曲线的加密签名方案具有较强的安全性,在发送端接收者组P由签名消息及无法获得Alice的私钥,因为k是未知的,欲从及a中求得k等价于求解E CDL P问题。同理,攻击者即使监听到也无法获得Alice的私钥及k;在接收端,接收者无法进行合谋攻击,任意t-1或少于t-1个解密者无法重构t-1次多项式f(x),也就不能合谋得到接收者组p中各成员的私钥及组的私钥。
结束语为了保证电子商务信息安全顺利实现,在电子商务中使用了各种信息安全技术,如加密技术、密钥管理技术、数字签名等来满足信息安全的所有目标。论文对E CDSA方案进行改进,提出了一种门限椭圆曲线加密签名方案,该方案在对消息进行加密的过程中,同时实现数字签名,大大提高了原有方案单独加密和单独签名的效率和安全性。
参考文献:
[1]Koblitz N.Elliptic Curve Cryprosystems.Mathematicsof Computation,1987,48:203~209
[2]IEEE P 1363:Standard of Public-Key Cryptography,WorkingDraft,1998~08
[3]杨波:现代密码学,北京:清华大学出版社,2003
关键词:轨迹交叉理论;信息安全事故;高校;事件链
在信息社会中,信息是高校生存和发展的重要战略资源,保障关键信息的安全对组织的发展是至关重要的。信息安全是对信息、系统以及使用、存储和传输信息的硬件的保护,即保持信息的保密性、完整性和可用性①。作为人才培养、科技与文化创新、服务社会的基地,高校对各种信息资源的保密性要求很高,但近年来,高校的各种信息安全事故不断见诸报端,信息安全隐患不容忽视,因此有必要系统分析高校信息安全事故发生的机理和途径,找出事故发生的根本原因,并据此采取有效措施预防信息安全事故的发生。
一、高校信息安全事故发生机理分析
轨迹交叉理论认为:事故是许多相互联系的事件顺序发展的结果,这些事件概括起来不外乎人和物(包括环境)。当人的不安全行为和物的不安全状态在各自发展过程中(轨迹),在一定时间或空间发生接触(交叉),能量发生意外转移时,事故就会发生。而人的不安全行为和物的不安全状态的产生和发展是多种因素作用的结果。
多数情况下,往往由于组织管理不善,使所属人员缺乏必要的安全防范知识和意识,相关的仪器设备缺少安全保护设施,由此导致人的不安全行为和物的不安全状态。同时,人的不安全行为和物的不安全状态又互为因果,仪器设备的不安全状态会导致人的不安全行为,而人的不安全行为又会促使仪器设备出现不安全状态。因此,为有效防范高校信息安全事故的发生,有必要分析高校信息安全事故中人的不安全行为和物的不安全状态事件链,以此揭示事故的发生机理和发展过程。
(一)高校信息安全事故中人的不安全行为事件链分析
由于受主、客观各种因素的制约和影响,人的不安全行为发生的偶然性很大。运用轨迹交叉理论综合分析各高校发生的信息安全事故,由此可归纳出人的不安全行为事件链的主要表现:
1.受家庭及社会的不良影响,所属人员存在心理缺陷或心理不健康现象;
2.组织对所属人员的教育不够,规章制度不明确,致使所属人员安全意识淡薄;
3.平时放松对自己的要求,面对诱惑把握不住自己的立场,价值取向发生变化;
4.违反保密规定进行操作,心存侥幸心理,思想麻痹大意;
5.私自传播资料。
(二)高校信息安全事故中物的不安全状态事件链分析
基于轨迹交叉理论,客观分析各高校发生的信息安全事故,由此可总结出物的不安全状态事件链主要表现:
1.信息存储设备设计上存在安全隐患,包括存储环境及存储介质;
2.安全产品落后,升级不及时;
3.设备更新速度慢、设备老化、维修保养不当等导致设备的保密性能降低;
4.使用管理上的不当导致设备安全性能下降;
5.工作场所保密性差,如人员往来频繁、无物理隔绝措施、无屏蔽装置等。
信息安全事故发生的过程示意图如图1所示。当人的不安全行为与物的不安全状态发生交叉时,便会发生异常现象,即事故苗头。如果此时没有有效的事故控制措施、操作者没有及时发现处理,信息安全事故就会发生,造成无法挽回的损失。
(三)高校信息安全事故机理分析的启示
通过以上分析,我们可以得到以下启示:
1.如果所属人员遵章守纪,设备在安全状态下正常运行,工作环境保密性能良好,管理措施科学有效,那么,信息安全事故就不会发生。反之,人的不安全行为、物的不安全状态、不良的环境以及管理不到位都会成为引起信息安全事故的直接原因。
2.当人的不安全行为与物的不安全状态发生交叉时,便会出现异常现象,如能及时发现,就可避免事故的发生。所以,事故预警机制和事故控制措施对于预防信息安全事故的发生是必不可少的。
3.科学合理的安全管理机制和安全技术措施能有效地“砍断”人的不安全行为和物的不安全状态两事件链的交叉关系,阻止信息安全事故的发生。
4.工作场所的安全系数也是影响信息安全事故的重要因素。
二、防范信息安全事故的对策
预防高校信息安全事故的发生,从根本上讲就是要采取有效措施防止人的不安全行为、物的不安全状态以及两事件链在时空上的交叉现象。
(一)强化信息安全管理,杜绝人的不安全行为
1.严格相关人员选拔条件。对接触和处理敏感信息的人员,选拔时要严把政审观,确保所录用的人员政治思想觉悟高,心理健康向上,力求从源头上杜绝事故苗头。
2.建立学习教育机制。定期对所属人员进行世界观、人生观教育,并形成制度,由此引导所属人员树立正确的价值观和人生观,自觉抵制各种诱惑,避免因利益驱使而引发的信息安全事故。
3.完善信息安全管理规章制度。根据安全的等级要求,建立健全各类实用有效的安全管理规章制度,对信息安全管理各方面加以规范,使管理工作有法可依、有章可循;建立并严格落实安全事故责任追究制度,切实提高所属人员的安全意识;建立事故预警机制,制订事故控制措施,及时发现并有效防止信息安全事故的发生。
4.培育校园安全文化。高校要根据自身的特点,结合和谐校园建设,积极开展能够促进安全文化的活动,加强信息安全知识与意识的教育,努力营造一种人人关心信息安全、维护信息安全的良好氛围,从而形成一种可以改变所属人员安全工作态度和方式的安全文化。
(二)改善信息安全基础设施,确保物的安全状态
1.对相关仪器设备进行加密处理。对计算机安装信息安全保密系统,对移动存储介质进行保密注册,使没有经过注册的移动存储介质无法在安装了信息安全保密系统的计算机上使用,而没有安装信息安全保密系统的计算机也无法识别经过注册的移动存储介质,从而有效地控制信息的随意流通。
2.集中采购信息处理设备,及时升级网络安全产品。由于我国缺少自主研发的安全技术设备和产品,在技术源头上受制于人,故应在加强自主研发新产品的同时,严把采购质量关,对安全产品及时升级、随时更新②。
3.合理设置工作场所环境。对诸如办公楼、科研楼等重要工作场所,应严格控制人员进出;对资料室、档案馆、会议室、学术报告厅等场所应安装屏蔽装置,防止信息被盗取。
三、结语
通过运用轨迹交叉理论,对高校信息安全事故发生机理的分析,可得出以下结论:当人的不安全行为与物的不安全状态发生轨迹交叉时,便会出现安全事故异常现象,如果此时没有有效的预警机制和事故控制措施,信息安全事故在所难免。所以,为避免信息安全事故的发生,必须要强化信息安全管理,加强信息安全意识教育,防止人的不安全行为的出现与物的不安全状态的发生,尤其是两者在时空上的交叉。
注释:
r> 中图分类号:G642 文献标志码:B 文章编号:1674-9324(2012)09-0114-02
信息安全专业是一门新兴的交叉学科,涉及计算机及网络安全的各个方面,是一个直接面向工程、面向应用的专业领域。该专业的培养目标是掌握信息安全领域的专业知识及专业技能,具有良好专业素养,能够理论联系实际,可以从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。自2001年武汉大学计算机学院新开设了信息安全专业开始,信息安全专业已经发展了十年。经过近些年来的发展,已具有一定的规模。但是由于信息安全专业发展的时间较短,教学体系尚不成熟,许多问题,诸如专业建设、师资队伍建设、教材和课程建设等,尚在研究、摸索阶段。而且,由于各个高校的特色专业各不相同,因此在进行信息安全专业建设时侧重点会有所不同。因此,研究主要从学科设置、专业课程设置、实践教学环节和教学方法改革等几个方面进行。
一、信息安全专业特点
信息安全是一个涉及面相当广泛的领域,而且其内涵在随着信息应用的范围不断扩大。归纳起来,信息安全专业具有如下几方面的特点:多学科交叉。涉及到计算机、通信、电子、数学、生物、法律、管理等多个学科;理论联系实际。能够把掌握的理论知识熟练、灵活地应用到实际问题中;专业素养高。信息安全专业的学生不仅要有专业知识,而且要有法律法规等方面的素养。这样才可能到一些很重要的部门承担信息安全工作;系统工程。鉴于“七分管理,三分技术”的木桶原则,绝不可忽视法律、管理、教育的作用;整体性和底层性的特点。从整体、底层硬件方面系统采取措施才能比较有效地解决信息安全问题。
二、教学体系建设
1.学科设置。信息安全的内涵随着信息技术的发展在不断的延伸,从最初的仅对信息进行保密(保密性)发展到防止信息被篡改(完整性)、可用性和抗抵赖性,从而涉及到攻、防、测、控、管、评等多方面的基础理论和实施技术。所以,信息安全专业的学科设置也随着其研究重点和应用领域的不同而不同。目前,在学科设置方面,信息安全仅仅是高校自设的二级学科。大多数高校根据自身的特点将信息安全设置在计算机科学与技术或者信息与通信工程的二级学科。设置在计算机科学与技术学科之下的,以计算机和网络知识为重点;而设在信息与通信工程学科之下的,一般是以通信和密码学作为教学的重点。也有一些高校将信息安全作为数学学科下的二级学科,以数学、物理等基础知识为其侧重点;有的高校把信息安全专业办在安全工程系,以安全为教学内容的重点。例如,西安电子科技大学将信息安全专业设在了信息与通信工程一级学科下,充分利用西安电子科技大学的特色专业发展信息安全专业,培养通信保密方面的专业人才。
2.专业课程设置。在专业课程设置方面,考虑信息安全专业的交叉学科特点,提出信息安全专业课程体系设置要求覆盖的领域知识面宽。美英等国在课程设置方面比较有层次性。有的院校将课程分为两类课程,即基础课程和特色课程。基础课程开设了密码学、操作系统安全、网络安全、系统安全管理与评估、数据库安全、网络攻防技术;特色课程开设了安全编程技术、信息犯罪、网络协议安全性分析、计算机/网络取证、无线网络安全等。而有些院校将课程分为技术、管理、安全三大核心或者是技术、策略、健康和管理四大核心。而在国内,由于信息安全专业作为二级学科开设在不同的一级学科之间,因此课程设置差别很大。如“数字信号处理”“编码理论基础”“随机信号分析”“通信原理”“信息网络基础”等科目则使得信息安全专业培养更倾向于密码学和通信安全;而“计算机网络”“软件工程”“操作系统”“数据库原理”“嵌入式系统”“Windows分析与应用”等科目使信息安全专业培养定位在计算机科学与技术专业之上。许多高校根据自身的传统优势学科,发展相应的信息安全专业。例如,西安电子科技大学将课程设置为基础课程、计算机课程和专业课程。基础课程保持了如数字信号处理、通信原理、随机信号分析、信息论基础等通信专业的基础课程,而专业课程设置了信息安全数学基础、密码学和网络安全技术,同时还在计算机操作系统、计算机网络和数据库等方面设立了一些计算机方面的 课程。这种三类课程体系的设置保证了学生可以从事信息安全、通信、计算机方面的工作,从而更好的适应社会需求,满足学生未来的发展和就业,规避就业风险。中国科学技术大学计算机系由于具有良好的数学和算法分析基础,因此信息安全专业课程包括了“算法设计与分析”“组合数学”“网络计算和高效算法”“计算数论”和“计算机数学”等基
础性的课程。这些课程很好地促进了学生学习密码学、入侵检测、信息论等专业课程,而且对学生的进一步深造奠定了很好的基础。上海电力学院结合自己特色明显的电力专业,在设置课程体系时以计算机科学技术为主,同时兼顾电力信息技术、电子、通信、数学、物理、电力信息网等课程。
3.实践教学环节。在信息安全本科专业人才培养中,一定要强调理论与实践的结合。因此不仅要有合理完备的理论课程体系,还需要建立良好的实践教学环节,帮助学生在实践中真正掌握理论知识,掌握基本信息安全技能。在实践教学环节方面,由于信息安全实验大多比较复杂,所需要的计算机设备也较多,而目前的教学条件通常很难满足大量学生并发进行实验。因此,有的高校采用虚拟实验。虚拟实验可以有效减少实验过程中安全事故的发生,这一点对于要频繁进行恶意代码实验的信息安全实验来说至关重要;而有的高效积极建设校外实践教学基地、工程实训项目和毕业实习基地。加强与企事业单位和政府部门的合作,采取共建联合实验室、工程技术研究中心等方式,积极与相关单位建立固定的合作关系;有的高校将信息安全专业实践教学体系按人文社会科学实践、自然科学实践、工程技术实践及综合实践四类规划;有的研究针对信息安全的专业实验设置了基础验证性实验、综合性试验和研究创新型实验。基础验证实验约占总学时的40%,内容与理论课内容相衔接,且相对固定;综合性设计实验要求学生综合运用一门或多门课程的知识,针对特定问题进行设计,提高综合设计能力。 4.教学方法。在教学方法方面,研究针对信息安全专业知识更新快、教材知识相对滞后等特点,改变传统的“注入式”教学方法,提出“参与式”的教学手段。首先提出具体问题,然后推荐一系列参考资料,教师从研究思路和关键问题上给予引导,最后请学生将自己理解和掌握的知识在课堂上进行阐述。这种互动式教学促进了学生学习的主动性,培养了学生分析问题解决问题的能力。例如针对实践性很强的入侵检测技术课程,如果按通常的注入式模式进行教学,学生还是不能建立网络攻防的完整体系。但是参与式教学模式可以让学生在兴趣的驱使下,学到更多他感兴趣的攻防内容,从而在理解和掌握入侵检测系统知识和技术后自主搭建入侵检测系统、进行扫描攻击实验,查看和分析“入侵检测系统”的数据。而针对密码学这种理论性较强的课程,除了基础理论知识的讲解,重点是结合实际应用来进行阐述。例如RSA算法在网上银行,数字证书等方面的应用。还可以通过举例子来吸引学生的注意力。研究者还提出将工程化思想融入课堂教学。教师给出一个需求,并对需求进行分析,引导学生和知识点进行联系;然后结合知识点进行问题设计,最后要求学生选用一种仿真工具进行实现。这个过程可以让学生体会软件工程中的一些系统开发思想,也可以提高学生的综合能力和素质。另外,一些研究者比较强调的是无论使用哪种教学方法都需要通过网络教学平台和学生进行互动交流,只有这样才能更好地做> 文秘站:本科生工作之后从事了信息安全领域的工作,这些工作人员具备计算机和通信方面的专业技能,但是对信息安全缺乏系统全面的认识,进一步的教育有利于他们更好地胜任本职工作。
5.师资队伍建设。信息安全专业虽然与传统计算机、通信、电子有相通之处,但也有其独特的特点和具体要求。所以,信息安全专业的教师要涉及到信息学科的多个领域及物理等基础学科,同时还要了解最新的信息安全技术,关注最新安全动态,当然较强的动手能力也是必备的。因此,信息安全专业教师的在职培训、出国研修是很好的进修途径。另外,可以考虑以区域为纽带,建立信息安全交流平台,实现共享机制,请信息安全方面的大家、名家做一些讲座,培养优秀的信息安全教师。
6.教材建设。目前信息安全方面的教材很多,但是参差不齐。有的教材写的过于专业,重理论、轻实践。和实际结合紧密的典型案例很少,甚至几乎没有。信息安全事件一旦发生,学生无法运用现有知识完整解释安全现象;有的教材操作性很强,但是理论性不够通俗,这样学生还是不能将理论和实践结合起来;另外,由于没有系统、完整的信息安全领域 教材,课程标准之间、教材内容之间重叠现象非常严重。不但与传统课程内容有重叠现象,而且专业课程之间也有明显的重叠现象。例如,网络安全课程中涉及到了入侵检测和病毒方面的介绍,与入侵检测和病毒原理课程相互重叠。又比如在信息系统安全管理与评估中有关于标准的介绍,而在信息安全法律法规中又涵盖了相关内容等。因此,迫切需要有
组织地编写一套系统、完整的信息安全专业教材。教材既有通俗的理论基础,又有操作性,同时包含一些信息安全典型事故分析,这样才能辅助学生掌握专业知识的同时,更好地提高动手能力,促进学生分析问题、解决问题能力的提高。
信息安全专业是一个刚刚起步的新专业,对该专业的教学与实践正处于探索阶段。也正因为如此,各个高校采取的教学方式和方法也不尽相同,体现出了不同的办学思路。他们依照其自身的学科优势和办学格局,对信息安全学科初期发展进行了有益的探索和尝试。本文探讨了信息安全专业的教学体系设置,探讨了设置中应该注意的一些事项及要避免的问题。
参考文献:
[1]杨广明,高晓兴,朱志良,等.高校信息安全专业人才培养的思考[J].北京电子科技学院学报,2006,(1):55-57.
[2]李晖,马建峰.结合学校特色加强信息安全专业建设的几点体会[J].北京电子科技学院学报,2006,(1):3-4.
[3]董理君,宋军,王茂才.信息安全专业实验教学中的若干问题研究[J].计算机教育,2010,(22):142-144.
[4]谭云松,王海晖,伍庆华等.信息安全专业实践教学体系研究[J].高教论坛,2006,(5):82-84.
关键词电子商务信息信息安全
1电子商务信息安全现状
当前,电子商务所面临的信息安全现状不容乐观。所据美国网络界权威杂志《信息安全杂志》披露,从事电子商务的企业比一般企业承担着更大的信息风险。其中,前者遭黑客攻击的比例高出一倍,感染病毒、恶意代码的可能性高出9%,被非法入侵的频率高出10%,而被诈骗的可能性更是比一般企业高出2.2倍。
调查显示,近年来,我国发生的通过网络进行的电子商务金融犯罪多达200起,造成上亿元的经济损失。中国网民对网上交易的最大担心莫过于支付信息的安全问题,超过八成的网民对网上交易的安全性表示担忧。信息安全问题成为困扰网上交易的一大难题。
目前,我国的信息安全研究已经历了通信保密、计算机数据保护两个发展阶段,现正处于网络信息安全研究阶段。通过学习、吸收、消化等手段,已逐步掌握了部分网络安全和电子商务安全技术,进行了安全操作系统、多级安全数据库的研制探索,但由于没有掌握系统核心技术,使得要开发出有自主知识产权的信息产品困难重重,而基于国外具体产品开发出的安全系统则难以完全杜绝安全漏洞或“后门”。在借鉴国外先进技术的基础上,国内一些企业也研制开发出一些安全产品,如防火墙、黑客入侵检测系统、电子商务安全交易系统、安全路由器等。但这些产品安全技术的规范性、完善性、实用性还存在许多不足,理论基础和自主的技术手段需要发展和强化。
此外,国内不少电子商务企业对网络信息安全意识不强。无论在建网立项、规划设计上,还是在网络运行管理和使用中,更多的是考虑效益、方便、快捷,而把安全、保密、抗攻击放在了次要地位,出现了诸如对网络实用性要求多,对系统安全性论证少;对网络设备投资多,对安全设施投入少;在操作技能培训上用时多,在安全防范知识的普及与提高上用时少的短期行为。
2电子商务信息安全面临的威胁
2.1电子商务信息存储安全隐患
信息存储安全是指电子商务信息在静态存放中的安全。其信息安全隐患主要包括:非授权调用信息和篡改信息内容。企业的Intranet与Internet联接后,电子商务的信息存储安全面临着内部和外部两方面的隐患:
(1)内部隐患。主要是企业的用户故意或无意的非授权调用电子商务信息或未经许可随意增加、删除、修改电子商务信息。
(2)外部隐患。主要是外部人员私自闯入企业Intranet,对电子商务信息故意或无意的非授权调用或增加、删除、修改。隐患的主要来源有:竞争对手的恶意闯入、信息间谍的非法闯入以及黑客的骚扰闯入。
2.2电子商务信息传输安全隐患
信息传输安全是指电子商务运行过程中,物流、资金流汇成信息流后动态传输过程中的安全。其安全隐患主要包括:
(1)窃取商业秘密;
(2)攻击网站;
(3)网上诈骗;
(4)否认发出信息。
2.3电子商务交易双方的信息安全隐患
传统商务活动是面对面进行的,交易双方能较容易地建立信任感并产生安全感。而电子商务是买卖双方通过Internet的信息流动来实现商品交换的,信息技术手段使不法之徒有机可乘,这就使得电子商务的交易双方在安全感和信任程度等方面都存在疑虑。电子商务的交易双方都面临着信息安全的威胁。
(1)卖方面临的信息安全威胁。例如,假冒合法用户名义改变商务信息内容,致使电子商务活动中断,造成商家名誉和用户利益等方面的受损;恶意竞争者冒名订购商品或侵入网络内部以获取营销信息和客户信息;信息间谍通过技术手段窃取商业秘密;黑客入侵并攻击服务器,产生大量虚假订单挤占系统资源,令其无法响应正常的业务操作。
(2)买方面临的信息安全威胁。如用户身份证明信息被拦截窃用,以致被要求付帐或返还商品;域名信息被监听和扩散,被迫接收许多无用信息甚至个人隐私被泄露;发送的商务信息不完整或被篡改,用户无法收到商品;受虚假广告信息误导购买假冒伪劣商品或被骗钱财;遭黑客破坏,计算机设备发生故障导致信息丢失。
3电子商务对信息安全的需求
(1)信息的保密性。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务则建立在一个开放的网络环境(Internet)上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。保密性一般通过密码技术对传输的信息进行加密处理来实现。
(2)信息的完整性。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。数据输入时的意外差错或欺诈行为,可能会导致贸易各方信息的差异。另外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。因此,贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。一般可通过提取信息摘要的方式来保持信息的完整性。
(3)信息的真实性。只有信息流、资金流、物流的有效转换,才能保证电子商务的顺利实现,而这一切是以信息的真实性为基础。信息的真实性一方面是指网上交易双方提供信息内容的真实性;另一方面是指网上交易双方身份信息的真实性,即对人或实体的身份进行鉴别,为身份的真实性提供保证,使交易的双方能够在相互不见面的情况下确认对方的身份。这意味着当某人或实体声称具有某个特定身份时,鉴别服务将验证其声明的正确性。一般可通过认证机构和证书来实现。
(4)信息的不可抵赖性。对进行电子商务交易的贸易双方来说,一个很关键问题就是如何确定进行交易的贸易方正是交易所期望的贸易方。在无纸化的电子商务方式下,通过手写签名和印章进行贸易方的鉴别已经不可能。因此,要在交易信息的传输过程中为参与交易的个人、企业或国家提供可靠的标识,使原发方对已发送的数据、接收方对已接收的数据都不能否认。通常可通过对发送的消息进行数字签名来实现信息的不可抵赖性。
(5)信息的有效性。电子商务以电子形式取代了纸张,那么如何保证这种电子形式贸易信息的有效性则是开展电子商务的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。因此,要对网络故障、操作错误、应用程序错误、硬件故障、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防,这对于保证贸易数据在确定的时刻、确定的地点是有效的。
4电子商务的信息安全技术
电子商务的应用是以Internet的基础设施和标准为基础,涉及从通信协议到应用集成的广泛领域,套用国际标准化组织ISO的开放系统互联OSI七层协议模型,相应地将各安全措施映射到对应层次中,可以较好地描述电子商务安全技术体系。
4.1网络层技术
网络安全是电子商务系统安全的基础,涉及的方面较广,如防火墙技术、网络监控、网络隐患扫描及各种反黑客技术等,其中最重要的就是防火墙技术。防火墙的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络侵入内部网络(被保护网络)。它对两个或多个网络之间传输的数据包和链接方式按照一定的安全策略对其进行检查,来决定网络之间的通信是否被允许,并监视网络运行状态。简单防火墙技术可以在路由器上实现,而专用防火墙提供更加可靠的网络安全控制方法。
4.2加密层技术
数据加密被认为是电子商务最基本的安全保障形式,可以从根本上满足信息完整性的要求,它是通过一定的加密算法,利用密钥(secretkeys)来对敏感信息进行加密,然后把加密好的数据和密钥通过安全方式发送给接收者,接收者可利用同样的算法和传递过来的密钥对数据进行解密,从而获取敏感信息并保证网络数据的机密性。
4.3认证层技术
安全认证技术是为了保证电子商务活动中的交易双方身份及其所用文件真实性的必要手段。包括:
数字摘要、数字签名、数字时间戳、数字证书、认证、智能卡。
4.4协议层技术
电子商务的在线支付是通过Internet完成的,必须使用安全协议来保证支付信息传输的安全、交易方的合法身份的确认及支付过程的完整。不同交易协议的复杂性、开销、安全性各不相同。同时,不同的应用环境对协议目标的要求也不尽相同。目前,比较成熟的协议有SET、SSL、iKP等基于信用卡的交易协议,Net?鄄Bill,NetCheque等基于支票的交易协议,Digicash、Netcash等基于现金的交易协议,匿名原子交易协议,防止软件侵权和非法拷贝的基于PKC的安全电子软件分销协议等。随着电子商务的发展,电子交易手段的多样化,信息安全问题将会变得更加重要和突出。由于电子商务的实现是一项复杂的系统工程,其信息安全问题的解决有赖于各相关技术的发展,如:公钥基础设施(PKI)技术的研究与应用;电子商务采购协议、支付协议及物流配送协议的进一步完善;XML的研究和标准化等。同时,除技术问题外,电子商务的信息安全还有赖于电子商务发展所需的政策和相应的法律、法规的建设等社会环境的完善。这些课题的研究不仅具有重要的理论价值和实用价值,而且对于推动电子商务的发展具有重要的现实意义。
参考文献
1徐雪梅.浅谈保障电子商务活动中的信息安全[J].科技情报开发与经济,2003(5)
2曾强.电子商务的理论与实战———全球“大局观”下的中国电子商务[M].北京:中国经济出版社,2000
关键词:网络安全 防火墙 PKI技术
1.概述
网络防火墙技术的作为内部网络与外部网络之间的第一道安全屏障,是最先受到人们重视的网络安全技术,就其产品的主流趋势而言,大多数服务器(也称应用网关)也集成了包滤技术,这两种技术的混合应用显然比单独使用更具有大的优势。那么我们究竟应该在哪些地方部署防火墙呢?首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处,以阻挡来自外部网络的入侵;其次,如果公司内部网络规模较大,并且设置有虚拟局域网(VLAN),则应该在各个VLAN之间设置防火墙;第三,通过公网连接的总部与各分支机构之间也应该设置防火墙,如果有条件,还应该同时将总部与各分支机构组成虚拟专用网(VPN)。
安装防火墙的基本原则是:只要有恶意侵入的可能,无论是内部网络还是与外部公网的连接处,都应该安装防火墙。
2.防火墙的选择
选择防火墙的标准有很多,但最重要的是以下几条:
2.1.总拥有成本防火墙产品作为网络系统的安全屏障,其总拥有成本(TCO)不应该超过受保护网络系统可能遭受最大损失的成本。以一个非关键部门的网络系统为例,假如其系统中的所有信息及所支持应用的总价值为10万元,则该部门所配备防火墙的总成本也不应该超过10万元。当然,对于关键部门来说,其所造成的负面影响和连带损失也应考虑在内。如果仅做粗略估算,非关键部门的防火墙购置成本不应该超过网络系统的建设总成本,关键部门则应另当别论。
2.2.防火墙本身是安全的
作为信息系统安全产品,防火墙本身也应该保证安全,不给外部侵入者以可乘之机。如果像马其顿防线一样,正面虽然牢不可破,但进攻者能够轻易地绕过防线进入系统内部,网络系统也就没有任何安全性可言了。
通常,防火墙的安全性问题来自两个方面:其一是防火墙本身的设计是否合理,这类问题一般用户根本无从入手,只有通过权威认证机构的全面测试才能确定。所以对用户来说,保守的方法是选择一个通过多家权威认证机构测试的产品。其二是使用不当。一般来说,防火墙的许多配置需要系统管理员手工修改,如果系统管理员对防火墙不十分熟悉,就有可能在配置过程中遗留大量的安全漏洞。
2.3.管理与培训
管理和培训是评价一个防火墙好坏的重要方面。我们已经谈到,在计算防火墙的成本时,不能只简单地计算购置成本,还必须考虑其总拥有成本。人员的培训和日常维护费用通常会在TCO中占据较大的比例。一家优秀秀的安全产品供应商必须为其用户提供良好的培训和售后服务。
2.4.可扩充性
在网络系统建设的初期,由于内部信息系统的规模较小,遭受攻击造成的损失也较小,因此没有必要购置过于复杂和昂贵的防火墙产品。但随着网络的扩容和网络应用的增加,网络的风险成本也会急剧上升,此时便需要增加具有更高安全性的防火墙产品。如果早期购置的防火墙没有可扩充性,或扩充成本极高,这便是对投资的浪费。好的产品应该留给用户足够的弹性空间,在安全水平要求不高的情况下,可以只选购基本系统,而随着要求的提高,用户仍然有进一步增加选件的余地。这样不仅能够保护用户的投资,对提供防火墙产品的厂商来说,也扩大了产品覆盖面。
2.5.防火墙的安全性
防火墙产品最难评估的方面是防火墙的安全性能,即防火墙是否能够有效地阻挡外部入侵。这一点同防火墙自身的安全性一样,普通用户通常无法判断。即使安装好了防火墙,如果没有实际的外部入侵,也无从得知产品性能的优劣。但在实际应用中检测安全产品的性能是极为危险的,所以用户在选择防火墙产品时,应该尽量选择占市场份额较大同时又通过了权威认证机构认证测试的产品。
3.加密技术
信息交换加密技术分为两类:即对称加密和非对称加密。
3.1.对称加密技术
在对称加密技术中,对信息的加密和解密都使用相同的钥,也就是说一把钥匙开一把锁。这种加密方法可简化加密处理过程,信息交换双方都不必彼此研究和交换专用的加密算法。如果在交换阶段私有密钥未曾泄露,那么机密性和报文完整性就可以得以保证。对称加密技术也存在一些不足,如果交换一方有N个交换对象,那么他就要维护N个私有密钥,对称加密存在的另一个问题是双方共享一把私有密钥,交换双方的任何信息都是通过这把密钥加密后传送给对方的。如三重DES是DES(数据加密标准)的一种变形,这种方法使用两个独立的56为密钥对信息进行3次加密,从而使有效密钥长度达到112位。
3.2.非对称加密/公开密钥加密
在非对称加密体系中,密钥被分解为一对(即公开密钥和私有密钥)。这对密钥中任何一把都可以作为公开密钥(加密密钥)通过非保密方式向他人公开,而另一把作为私有密钥(解密密钥)加以保存。公开密钥用于加密,私有密钥用于解密,私有密钥只能有生成密钥的交换方掌握,公开密钥可广泛公布,但它只对应于生成密钥的交换方。非对称加密方式可以使通信双方无须事先交换密钥就可以建立安全通信,广泛应用于身份认证、数字签名等信息交换领域。非对称加密体系一般是建立在某些已知的数学难题之上,是计算机复杂性理论发展的必然结果。最具有代表性是RSA公钥密码体制。
3.3.RSA算法
RSA算法是Rivest、Shamir和Adleman于1977年提出的第一个完善的公钥密码体制,其安全性是基于分解大整数的困难性。在RSA体制中使用了这样一个基本事实:到目前为止,无法找到一个有效的算法来分解两大素数之积。RSA算法的描述如下:
公开密钥:n=pq(p、q分别为两个互异的大素数,p、q必须保密)
e与(p-1)(q-1)互素
私有密钥:d=e-1 {mod(p-1)(q-1)}
加密:c=me(mod n),其中m为明文,c为密文。
解密:m=cd(mod n)
利用目前已经掌握的知识和理论,分解2048bit的大整数已经超过了64位计算机的运算能力,因此在目前和预见的将来,它是足够安全的。
4.PKI技术
PKI(Publie Key Infrastucture)技术就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。由于通过网络进行的电子商务、电子政务、电子事务等活动缺少物理接触,因此使得用电子方式验证信任关系变得至关重要。而PKI技术恰好是一种适合电子商务、电子政务、电子事务的密码技术,他能够有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。一个实用的PKI体系应该是安全的易用的、灵活的和经济的。它必须充分考虑互操作性和可扩展性。它是认证机构(CA)、注册机构(RA)、策略管理、密钥(Key)与证书(Certificate)管理、密钥备份与恢复、撤消系统等功能模块的有机结合。
4.1.认证机构
CA(Certification Authorty)就是这样一个确保信任度的权威实体,它的主要职责是颁发证书、验证用户身份的真实性。由CA签发的网络用户电子身份证明—证书,任何相信该CA的人,按照第三方信任原则,也都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的国际标准,能够很好地和其他厂家的CA产品兼容。
4.2.注册机构
RA(Registration Authorty)是用户和CA的接口,它所获得的用户标识的准确性是CA颁发证书的基础。RA不仅要支持面对面的登记,也必须支持远程登记。要确保整个PKI系统的安全、灵活,就必须设计和实现网络化、安全的且易于操作的RA系统。
4.3.策略管理
在PKI系统中,制定并实现科学的安全策略管理是非常重要的这些安全策略必须适应不同的需求,并且能通过CA和RA技术融入到CA 和RA的系统实现中。同时,这些策略应该符合密码学和系统安全的要求,科学地应用密码学与网络安全的理论,并且具有良好的扩展性和互用性。
4.4.密钥备份和恢复
为了保证数据的安全性,应定期更新密钥和恢复意外损坏的密钥是非常重要的,设计和实现健全的密钥管理方案,保证安全的密钥备份、更新、恢复,也是关系到整个PKI系统强健性、安全性、可用性的重要因素。
4.5.证书管理与撤消系统
证书是用来证明证书持有者身份的电子介质,它是用来绑定证书持有者身份和其相应公钥的。通常,这种绑定在已颁发证书的整个生命周期里是有效的。但是,有时也会出现一个已颁发证书不再有效的情况这就需要进行证书撤消,证书撤消的理由是各种各样的,可能包括工作变动到对密钥怀疑等一系列原因。证书撤消系统的实现是利用周期性的机制撤消证书或采用在线查询机制,随时查询被撤消的证书。
5.安全技术的研究现状和动向
关键词:认识论 信息安全 理论基础 方法论 课程体系
中图分类号:TP393.03 文献标识码:A 文章编号:1007-3973(2012)012-153-03
1引言
2011年9月20日,国务院《关于加快培育和发展战略性新兴产业的决定》,明确将新一代信息技术产业列为“十二五”规划的新兴产业首位,未来发展空间值得期待。信息安全是国家安全战略的重要组成部分,设置面向市场需求的新兴技术和保障政府、军队、银行、电网、信息服务平台的网络安全技术必修课程,符合高新产业技术的市场需求和教育法规,以其为高新产业迅速发展和控制网络空间安全培养更多的高素质技能型人才。
信息安全学科是数学、物理、生物、通信、电子、计算机、法律、教育和管理等学科交叉融合而形成的一门新型学科。它与这些学科既有紧密的联系,又有本质的不同。信息安全学科已经形成了自己的内涵、理论、技术和应用,并服务于信息社会,从而构成一个独立的学科。本文从认识论的角度,探索信息安全学科的一个重要分支网络安全的课程体系内涵。
认识论,认识是实践基础上主体对客体的能动反映;人作为认识的主体,首先在于人是实践的主体;知识、技术作为认识的客体,首先在于它们是主体能动的实践活动的客体,应该从主体的感性的实践活动去理解,从主体的主观能动方面去理解;实践是认识的直接来源,认识只有在实践的基础上才能发展。人类认识事物的一般规律是从简单到复杂、从具体到抽象、从特殊到一般。
认识信息安全学科,必须遵循认识规律、专业规律。到目前为止,有关信息安全的学科体系和人才培养缤纷凌乱。在此,笔者以武汉大学空天信息安全与可信计算教育部重点实验室研究体系为基础,探讨网络安全的课程体系,以其为课程建设抛砖引玉。
2信息安全的学科体系
信息安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴学科。
2.1信息安全的理论基础
信息安全学科所涉及的主要研究内容包括:新型密码体制研究、密码编码与密码分析、信息安全风险评估、信息安全管理、入侵检测、灾难备份和应急响应、操作系统安全、数据库安全、身份认证与访问控制、协议安全、可信网络连接、信息隐藏与检测、内容识别与过滤、信息对抗理论、信息对抗技术,以及信息安全工程等。
网络安全以控制论和系统论为其理论基础,通过入侵检测、数据加密等技术实现安全威胁的识别和数据的安全传输,防止非法篡改和泄露保密信息。网络安全的基本思想是在网络的各个范围和层次内采取防护措施,以便检测和发现各种网络攻击威胁,并采取相应的响应措施,确保网络环境的数据安全。网络安全研究网络攻击威胁、网络防御理论、网络安全理论和网络安全工程等。
2.2信息安全的方法论基础
信息安全学科有自己的方法论,既包含分而治之的传统方法论,又包含综合治理的系统工程方法论,而且将这两者有机地融合为一体。具体概括为,理论分析、实验验证、技术实现、逆向分析四个核心内容,这四者既可以独立运用,也可以相互结合,指导解决信息安全问题,推动信息安全学科发展。其中的逆向分析是信息安全学科所特有的方法论。
3现代通信网的技术体系
现代通信网是一个多种异构网络技术融合的综合体系,本文只讨论计算机网络、移动互联网、射频识别网络、无线传感器网络。
3.1计算机网络
以Internet为代表的计算机网络实现了物理世界与信息世界的互联,指明了下一代网络应用的发展趋势。Cisco研究表明,下一代网络(Next Generation Network)基于IP,支持语音、数据、视频和多媒体的统一通信,充分整合面向行业的垂直应用,亦称为IP-NGN。具体地说,就是把社区、企业、机关、医院、交通、航空等元素互联起来,形成一个休闲、工作、学习、娱乐的虚拟社区。计算机网络是一种由多种异构平台组成的多样化技术结构体系,在这个平台中,设备构成主要体现在感知网络、交换路由、服务提供和信息安全等四个方面。
3.2移动互联网
移动互联网是将移动通信和互联网结合起来,以宽带IP为技术核心的,可同时提供话音、传真、数据、图像、多媒体等高品质电信服务的新一代开放的电信基础网络,短消息是移动互联网最早提供的服务。第三代移动通信技术简称3G,是指支持高速数据传输的蜂窝移动通信技术;3G能够在全球范围内更好地实现无线漫游,提供网页浏览、电话会议、电子商务、音乐、视频等多种信息服务,3G必须支持不同的数据传输速度,可根据室内、室外和移动环境中不同应用的需求,分别支持不同的速率。
3.3射频识别网络
RFID系统包括三部分:标签(RFID tags)、阅读器(tag reader)和企业系统。标签是一个微芯片附属于天线系统,芯片包含存储器和逻辑电路,接受和发送阅读器的数据;天线接受和回射阅读器的同频信号;标签作为专用鉴别器,可以应用到一定区域内任何对象(人、动物和物体等),代表对象的电子身份。阅读器发送同频信号触发标签通信,标签发送身份信息给阅读器,完成一次查询操作。企业系统是阅读器连接的计算机信息系统,阅读器提交身份信息由企业系统存储。RFID系统通常用于实时监控对象,可以实现物理世界到虚拟世界的映像。
3.4无线传感器网络
无线传感器网络是由大量静止或移动的传感器节点,以多跳路由和自组织方式构成的无线感知通信网络,其目的是同步地感知、采集、处理和传输网络覆盖地理区域内感知对象的监测信息,并报告给用户。每一个节点具有感知、计算、路由三种功能,某节点感知监测对象的数据,通过其它节点路由到汇聚节点,经其它网络发送给用户。RFID系统和无线传感器网络合作,可以很好的记录物体的状态(位置、温度、位移),加深对环境的认知,扮演物理世界与数字世界的桥梁。
4网络安全的课程体系
4.1计算机网络安全
计算机网络安全主要依靠防火墙技术、虚拟专用网(VPN)技术和公钥基础设施(PKI)。
(1)防火墙技术。防火墙技术原型采用了包过滤技术,通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态或它们的组合来确定是否允许该数据包通过。在网络层上,防火墙根据IP地址和端口号过滤进出的数据包;在应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则,并且允许受信任的客户机和不受信任的主机建立直接连接,依靠某种算法来识别进出的应用层数据。
(2)虚拟专用网。虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。VPN是一种以可靠加密方法来保证传输安全的技术。在智能电网中使用VPN技术,可以在不可信网络上提供一条安全、专用的通道或隧道。各种隧道协议,包括网络协议安全(IPSec)、点对点隧道协议(PPTP)和二层隧道协议(L2TP)都可以与认证协议一起使用。
(3)公钥基础设施。公钥基础设施能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI可以为不同的用户按不同安全需求提供多种安全服务,主要包括认证、数据完整性、数据保密性、不可否认性、公正和时间戳等服务。
4.2移动互联网安全
在移动互联网环境下,由TCP/IP协议族脆弱性、终端操作系统安全漏洞、攻击技术普及等缺陷所导致的传统互联网环境中的安全问题依然存在。
(1)手机病毒。手机病毒是具有攻击性、破坏性的恶意软件代码,一般利用短信、微博、微信、@mail、WAP网站等方式在无线通信网络内传播;同时可利用蓝牙、wifi等方式在智能手机间传播。随着移动智能终端的普及和统一的操作系统平台,手机病毒的传播和爆发会泄露用户空间隐私、时间隐私等危害,并对移动通信网络的安全运行、维护管理和支撑业务造成一定威胁。
(2)隐私信息泄露。移动设备的隐私信息防泄露主要包括三类技术:控制类技术,设置用户的管理权限,集中控制和管理数据中心,实现对关键数据的加密保护和保密传输,并定期审计和检查权限日志,防止隐私数据的非法外泄。加密类技术,操作系统的文件系统加密技术,磁盘设备加密技术,安全芯片加密技术和通信网络的密钥预分发管理技术。过滤类技术,在内网和外网的边界出口,安装协议数据包过滤设备,可以分析通信网络协议HTTP、POP3、FTP、即时通讯的数据包,并对数据包内容分析和过滤隐私信息。
(3)无线局域网安全。无线局域网安全标准主要是IEEE制定的802.11n标准和西安电子科技大学制定的WAPI标准。802.11n采用基于密钥共享的双向身份认证,定义了WPA2/TKIP加密算法;WAPI采用基于数字证书的双向身份认证,定义了我国的首个商用SMS4加密算法。两项标准都要解决用户到AP无线接入的认证和加密问题,中国电信无线局域网是在用户接入AP后进行Web认证,验证用户实体身份。两项标准已在现有的无线局域网和移动智能互联网终端得到实施,并且应用广泛。
4.3射频识别网络安全
由于RFID的成本有严格的限制,因此对安全算法运行的效率要求比较高。目前有效的RFID的认证方式之一是由Hopper和Blum提出的HB协议以及与其相关的一系列改进的协议。HB协议需要RFID和标签进行多轮挑战——应答交互,最终以正确概率判断RFID的合法性,所以这一协议还不能商用。
4.4无线传感器网络安全
无线传感器网络中最常用到的是ZigBee技术。ZigBee技术的物理层和媒体访问控制层(MAC)基于IEEE 802.15.4,网络层和应用层则由ZigBee联盟定义。ZigBee协议在MAC层、网络层和应用层都有安全措施。MAC层使用ABE算法和完整性验证码确保单跳帧的机密性和完整性;而网络层使用帧计数器防止重放攻击,并处理多跳帧;应用层则负责建立安全连接和密钥管理。ZigBee协议在密钥预分发管理中有3种基本密钥,分别是主密钥、链接密钥和网络密钥。主密钥在设备出厂时由公司缺省安装。链接密钥在个域网络(PAN)中被两个设备直接共享,可以通过主密钥建立,也可以在出厂时由公司缺省安装。网络密钥通过CA信任中心配置,也可以在出厂时缺省安装。链接密钥、网络密钥需要循环更新。
5结束语
网络安全技术是一个与时代科技发展同步的新兴领域,这就决定了其课程体系必须嵌入一些无线局域网安全、无线传感器网络安全、射频标签网络安全、云计算安全等新兴技术。因此,在规划其教学内容时,要以学生掌握网络安全技能目标为基础,以当代大学生的认识规律为起点,以现代多媒体教学方法为手段,设计出符合市场需求的、青少年认识规律的、与时代同步的课程体系,才能培养出面向新兴产业发展所需的高素质技能型专门人才。
参考文献:
[1] 陈先达.马克思哲学原理[M].北京:中国人民大学出版社,2010.
[2] 张焕国,赵波,等.可信计算[M].武汉:武汉大学出版社,2011.
[3] Luigi Atzori,Antonio Iera,Giacomo Morabito.The Internet of Things:A survey[J].Computer Networks 54 (2010):2787-2805.
[4] Debasis Bandyopadhyay,Jaydip Sen.Internet of Things:Applications and Challenges in Technology and Standardization[J].Wireless Pers Commun(2011)58:49-69.
[5] 沈昌祥,张焕国,冯登国.等.信息安全综述[J].中国科学(E辑),2007,37(2):129-150.
1商务主要的信息安全要素
1.1有效性
有效性是指信息发送方发送给信息接收方的信息是未经外人加工、改变的信息。贸易数据都具有特定型性,是指贸易信息只有在特定的时刻和确定的地点才是有效的。电子商务改变了过去纸质的方式,以电子的形式传递信息,如何确保电子信息在传送过程中的未经加工是确保信息有效的前提。电子商务中信息的有效性对企业、个人、甚至国家的经济利益有着重大的影响,所以,要及时对网络故障、应用程序错误、系统软件错误或者计算机病毒引起的信息安全隐患进行防范,以确保数据的有效性。
1.2保密性
保密性是指贸易信息在存储或传递过程中未经他人窃取或泄露。传统的纸质贸易信息一般是通过邮寄的信件及其他可靠的传递渠道来互送商业贸易文件以确保信息的安全。现代电子网络是一个开放的传递平台,维护商业贸易信息显得更加重要,确保商业机密的保密性是电子商务全面推广应用的基本保障。所以,必须确保贸易信息在传递过程中的保密性,防止非法窃取及泄露。
1.3完整性
完整性是指电子贸易信息在传递的过程中没有没被修改、歪曲和重复,信息的接受者接收到的信息与信息发送方发送的信息完全相同。贸易信息的完整性会对贸易各方经济利润、营销策略和贸易合同产生巨大影响。确保贸易信息的完整性是电子商务实际应用的重要基础。所以,在信息传递过程中要防范信息被随意生成、修改和删除,防止信息的丢失与重复,同时信息的传递次序要保证统一。
1.4可靠性
电子商务信息直接关系到贸易双方的商业交易,在交易过程中如何确保进行交易的对方与交易所期望的贸易方是同一者,这就需要电子商务信息必须确保本身的可靠性。在传统的商业交易中,双放当事人可以通过手写签名或印章等形式确保双方的身份,但是电子商业贸易利用网络这一形式,无法采取传统的身份认定形式,就必须确保贸易信息的可靠性,从而为贸易双方进行商业交易奠定重要基础。
2电子商务安全的技术要求
2.1物理安全
要根据国家标准、信息安全等级、信息技术情况,制定切实可行、符合实际情况的的物理安全标准体系。本体系可以防范设备功能失常、电源事故、电磁泄漏等引起的信息失密等。
2.2网络安全
为了保证电子商务交易的安全可靠,电子商务平台须稳定可靠,能够全天候正常运行。系统在运行的任何中断,如病毒入侵、网络故障或硬件软件错误等都会对正在进行电子商务交易的双方造成重大损失,尤其是丢失或失密的贸易信息,将是不可恢复性的。
2.3商务安全
商务安全是指商务交易中的安全问题,商务安全的不同方面需要通过不同的网络安全技术和安全交易标准来确保实现。确保电子商务安全的技术主要有安全电子交易SET协议、在线支付协议、文件加密技术、数字签名技术等。
2.4系统安全
系统安全主要是指主机的操作系统和数据库系统的安全情况。对系统安全的防范和保护,要通过安全技术升级,加强安全保护设施的投资建设,提高系统的安全防护能力。
3目前我国电子商务存在的问题
就我国电子商务而言,我国的科学技术水平目前还处于较低层次,技术含量不高,资金投入又不足,在安全保密方面存在较大的隐患,网络安全性较低,主要表现在我国的网络信息易扰、欺骗等,再加上我国人民对于网络安全这方面的安全意识不高,网络安全处于十分薄弱的环境中。
3.1电子商务安全存在的隐患
(1)网络协议方面的安全问题。在电子商务中,交易双方在交易中是通过传送数据包的形式来交换数据,传送过程中,不法恶意攻击者会拦截数据包,甚至在一定程度上破坏,这使得接收方接收的信息是不正确的。
(2)用户信息的安全问题。用户和商家是在B/S结构的电子商务网站使用浏览器登录进行交易,在登陆浏览器时势必会使用电脑,有的用户在使用电脑时,如果计算机中存在木马,那么登陆者的信息存在泄露的危险,有的用户在不方便使用自己电脑的情况下使用公共计算机,有些不法分子会通过电脑技术窃取交易信息。
(3)商家商务网的安全问题。有些企业在制作自己的商务网站时由于技术不过硬,本身的商务网站就存在隐患,服务器安全性低,不法分子利用电脑技术攻击商务网站,窃取用户信息和交易信息。
3.2电子商务安全问题的具体表现
(1)交易信息被窃取、毁坏。电子商务交易在数据包的传送过程中,可能会被一些不法分子运用电脑技术非法篡改交易信息,使得交易信息失去真实性和可靠性。无论是在网络硬件还是软件方面,都存在导致传送过程中信息的误传的可能性。
(2)假冒身份问题。电子商务交易是通过浏览器登录进行交易,交易双方没有机会面对面洽谈,这就给了第三人一个假冒交易某一方破坏交易、骗取交易成果,甚至败坏交易某一方的声誉等的机会。
(3)交易抵赖问题。例如,在电子商务交易中,买家收到货之后,不确认收货。
(4)计算机病毒感染问题。电子商务交易势必会使用计算机,交易者在使用计算机时,存在选中有病毒的计算机的可能性,这样给商务交易带来了问题。另外,我国网上的蠕虫病毒等在网络流域的传播极易发生,传播过程中会产生巨大的攻击流量,会导致访问速度滞停的问题。
4电子商务安全防范技术
为确保电子商务贸易的有效进行,一方面要保证电子商务平台的运行可靠稳定,能够全天候持续不断地提供网络服务;另一方面,电子商务系统还必须不断更新和采用最新安全技术来保证电子商务的整个交易过程的安全,防止交易抵赖行为。在现实生活中,电子商务安全防范技术主要有以下几种:
4.1数据加密技术
数据加密技术分为常规密钥密码体系和公开密钥密码体系两大类。在交易双方可以保证密钥在交换阶段未曾发生丢失或泄露的情况下,通常采用常规密钥密码技术为机密信息加密。在公开密钥密码体系中,加密密钥是公开的信息,加密算法和解密算法也是公开的信息,而解密密钥是机密的。重要的公开密钥密码体系有:基于NP完全理论的Merkel-Hellman背包体系、基于数论中大数分解的RSA体系、基于编码理论的McEliece体系。以上两种加密体系各有优缺点:常规密钥密码体系的优点是加密速度快、效率高,主要用于大量数据的加密,但是常规密钥密码体系中密钥在传递过程中容易被窃取,对于大量密钥的管理存在缺陷;公开密钥体系在大范围密钥的安全方面很好的解决了常规密钥密码体系存在的问题,保密性能比常规密钥密码体系高,但是公开密钥密码体系项目复杂,加密速度较慢。实践中通常将常规密钥密码体系和公开密钥密码体系结合起来使用。
4.2防火墙技术
防火墙技术分为两类:服务技术和数据包过滤技术。其中,数据包过滤技术较为简单,也最常用,它通过检查接收到的每个数据包的头,来分析该数据包是否已经发送到目的地。防火墙技术通过对数据进行分析并有选择的过滤,从而有效地避免外来因素对数据包进行的破坏,保证网络的安全。实践中,也常常将数据包过滤防火墙与服务器结合使用,可以更加有效地保护网络安全。
4.3虚拟专网技术VPN
VPN具有适应性强、投资小、易管理等优点,通过使用信息加密技术、安全隧道技术、用户认证技术、访问控制技术等实现对网络信息的保护。VPN可以使商业伙伴、公司、供应商、远程用户的内部网之间建立可靠稳定的安全连接,确保贸易信息的安全传输,从而保证在公共的Internet或企业局域网之间安全进行电子交易。
4.4安全认证技术
安全认证技术包括以下几种:
(1)数字签名技术。数字签名技术可以确保原始报文的不可否认性以及鉴别,并且可以防止虚假签名。
(2)数字摘要技术。数字摘要技术通过验证网络传输的明文,鉴别其是否经过篡改,进而确保数据的有效性和完整性。
(3)数字凭证技术。数字凭证技术通过运用电子手段来鉴别用户身份以及管理用户对网络资源访问的权限。
(4)认证中心。认证中心专门负责审核网络用户的真实身份并提供相应的证明,且只管理每个用户的一个公开密钥,在一定程度上大大降低了密钥管理的复杂性。
(5)智能卡技术。智能卡具有存储数据和读写数据的能力,可以对数据进行简单地处理,能够对数据进行加密和解密,其特点是存储器部分具有外部不可读性,可以使用户身份鉴别更加安全。
5电子商务中的信息安全对策
5.1不断完善网络安全管理体系
我国应在现有网络安全管理部门之外建立一个具有权威的信息安全领导机构。该部门应宏观地、有效统一地协调各部门的职能,对市场网络信息安全现状进行及时的分析,制定科学的政策。对于使用计算机网络的单位及个人,必须严格遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络安全保护管理办法》,建立完善的责任问责制度。
5.2大力培养网络安全专业人才
面对现代网络应用高速普及的情况,网络安全专业人才显得捉襟见肘,我国需要大量的网络安全人才维护网络的安全。我国应加大对培养网络安全人才的科研教育机构的投入力度,同时积极组织人才及组织与国外的相关部门进行技术经验交流,不断引进国外先进网络安全保护技术,并及时对我国专业人员进行技术培训。
5.3建立网络风险防范机制
现阶段我国的网络安全技术较滞后、相关法律法规不是很健全,网络安全面临很多威胁因素,这就要求电子贸易用户建立网络风险防范机制,为存在的安全因素建立补救措施。电子商务交易用户可以根据交易具体情况为标的物进行投保,通过这些措施,可在很大程度上减少网络安全事故造成的经济损失。
