第一篇:进口石油运输安全策略研究论文
积极地进行船队创建工作,确保进口单位和航运单位之间有效的联系
在创建船队的时候,要积极的分析其承受力对于我们国家目前的进出口的规定来讲,体现出来的能力不足。而且要切实的分析到目前的油轮输送水平出现剩余这种现象,防止一哄而起,防止出现重复投资等问题。通过分析我们得知,那些对于石油进口量非常多的国家其通常都拥有一个强有力的组织,其承运数可以达到进口总数的一半还要多。如日本油轮船队可以满足日本进口石油80%以上的运输需求。这些船舶全部以期租方式租给石油进口商使用,合同期最短为5年,最长为18年。引导和促进石油进口企业与国内航运企业建立互利互惠的合作关系,一方面,石油进口企业应该给航运企业长期和稳定的订单支持,而另一方面航运企业也应优先保证石油进口企业的运力供应。这种互利互惠的合作关系是今后国家相关部门需要进行的重要工作之一,有着非常重要的战略意义。
设置综合化的资源供应系统,降低资源出处太单调而导致的问题
只有保证供应出处较多,才可以防止风险。该项资源的进口出处要分布到各个区域之中,以此来保证供应的稳定性。通过分析我们国家目前的能源发展态势我们得知,要积极的强化和中亚等产油国家的协调,提升从此类国家获取资源的水平,进而降低从中东等区域获取资源的比例。确保我们国家的进口方式更加的多样化,降低太过聚集而导致的不利现象。
加强中东和马六甲海峡运输渠道的影响力
目前中东尤其是海湾区域聚集了整个国际的油量的一大部分,其出口总数超过了整个国际的二分之一,如今我们国家超过二分之一的油量都是来自这个区域的。通过分析储量我们得知,如今国际上的别的产油区域的资源开始变少,而海湾石油的可采储量年限要比世界各地平均水平多44年。我们国家虽说设置了进口措施的多样性等发展体系,不过要切实分析的一个事项是,在今后的一段时间之中,中东还是非常关键的来源。要确保中国未来能长期稳定地获得中东的石油,首先要继续在政治上与中东产油国保持良好的关系,这是获得中东石油的基本前提条件。其次中国还应积极参与中东政治、经济事务,维护中国在该地区的利益。目前中国从中东、非洲、挪威、英国进口石油都必须经过马六甲海峡,马六甲海峡是中国85%石油进口的必经通道,而马六甲海峡存在着严重的安全隐患,中国应逐步加强在马六甲海峡信道的影响力。
不断的探究全新的海上运输路线
当前马六甲海峡的局势并不乐观,已经开始干扰到航运的稳定性。如果太依靠它的话,就会使得我们国家的能源稳定受到干扰。我们国家要主动的开展相关的输送线路的规划等活动,保证输送通道的稳定性如泰国在南部克拉地峡地区修建一条长260公里的石油管线,油轮可以不必绕道狭窄的马六甲海峡,直接在克拉地峡西侧港口卸下石油,通过输油管道让石油从印度洋直达太平洋。我国要积极的分析此类项目的发展态势和具体的发展情形,要不断的探索全新的输送路线。
设置资源节约型的体系,积极寻求全新的代替物质
节约资源以及适量的使用是确保其安全的关键措施。由于群众的生活能力得到了显著的提升,此时对于更加的需要资源。不管是从目前的情形亦或是长远的发展来看,该项资源都是严重干扰经济进步的关键要素。要像节省粮食一样来节省该项资源。要将节省放在优先的层次上分析,进而设置出一套合理的经济体系。其不但是处理当前石油短缺的关键措施,同时还是确保安全的关键方法。创建节约型社会是当前国家的关键发展方向,石油本身是不能够再生的,因此要努力的寻求替代物质,同时还要分析最佳的节能措施。当前的社会发展速率非常迅猛,群众对于资源的需求总数也在变多。不管是以远见性的眼光亦或是当下的情形来分析,石油都是一项非常短缺的物质。
由于我们国家在当前的世界市场中的石油分量显著的提升,与之相关的使用供应活动受到整个国际区间之中的政经等领域的干扰性开始显著的提升。为了合理的应对当前由于石油而导致的不利现象,确保供应活动开展顺畅,就要强化相关的运输工作的力度,设置运输风险模式,切实的提升运输工作的稳定性。
第二篇:网络安全策略研究论文
计算机网络是一个开放和自由的网络,它在大大增强了网络信息服务灵活性的同时,也给黑客攻击和入侵敞开了方便之门。不仅传统的病毒借助互联网加快了其传播速度并扩大了其传播范围,而且各种针对网络协议和应用程序漏洞的新型攻击方法层出不穷。这些黑客把先进的计算机网络技术,当成一种新式犯罪工具和手段,不仅影响了网络稳定运行和用户的正常使用,造成重大经济损失,而且会威胁到国家安全。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为影响一个国家的政治、经济、军事和人民生活的重大关键问题。近年来,网络系统的安全性和可靠性开始成为世界各国共同关注的焦点。文章分析了几种常见的网络入侵方法以及在此基础上探讨了网络安全的几点策略。
一、常见的几种网络入侵方法
由于计算机网络的设计初衷是资源共享、分散控制、分组交换,这决定了互联网具有大跨度、分布式、无边界的特征。这种开放性使黑客可以轻而易举地进入各级网络,并将破坏行为迅速地在网络中传播。同时,计算机网络还有着自然社会中所不具有的隐蔽性:无法有效识别网络用户的真实身份;由于互联网上信息以二进制数码,即数字化的形式存在,所以操作者能比较容易地在数据传播过程中改变信息内容。计算机网络的传输协议及操作系统也存在设计上的缺陷和漏洞,从而导致各种被攻击的潜在危险层出不穷,这使网络安全问题与传统的各种安全问题相比面临着更加严峻的挑战,黑客们也正是利用这样的特征研发出了各种各样的攻击和入侵方法:
1.通过伪装发动攻击
利用软件伪造Ip包,把自己伪装成被信任主机的地址,与目标主机进行会话,一旦攻击者冒充成功,就可以在目标主机并不知晓的情况下成功实施欺骗或入侵;或者,通过伪造Ip地址、路由条目、DNS解析地址,使受攻击服务器无法辨别这些请求或无法正常响应这些请求,从而造成缓冲区阻塞或死机;或者,通过将局域网中的某台机器Ip地址设置为网关地址,导致网络中数据包无法正常转发而使某一网段瘫痪。
2.利用开放端口漏洞发动攻击
利用操作系统中某些服务开放的端口发动缓冲区溢出攻击。这主要是由于软件中边界条件、函数指针等方面设计不当或缺乏限制,因而造成地址空间错误的一种漏洞。利用软件系统中对某种特定类型的报文或请求没有处理,导致软件遇到这种类型的报文时运行出现异常,从而导致软件崩溃甚至系统崩溃。
3.通过木马程序进行入侵或发动攻击
木马是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点,一旦被成功植入到目标主机中,计算机就成为黑客控制的傀儡主机,黑客成了超级用户。木马程序可以被用来收集系统中的重要信息,如口令、账号、密码等。此外,黑客可以远程控制傀儡主机对别的主机发动攻击,如DDoS攻击就是大量傀儡主机接到攻击命令后,同时向被攻击目标发送大量的服务请求数据包。
4.嗅探器和扫描攻击
嗅探器是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。网络嗅探器通过被动地监听网络通信、分析数据来非法获得用户名、口令等重要信息,它对网络安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。扫描,是指针对系统漏洞,对系统和网络的遍历搜寻行为。由于漏洞普遍存在,扫描手段往往会被恶意使用和隐蔽使用,探测他人主机的有用信息,作为实施下一步攻击的前奏。
为了应对不断更新的网络攻击手段,网络安全技术也经历了从被动防护到主动检测的发展过程。主要的网络安全技术包括:防火墙、VpN、防毒墙、入侵检测、入侵防御、漏洞扫描。其中防病毒、防火墙和VpN属早期的被动防护技术,入侵检测、入侵防
御和漏洞扫描属主动检测技术,这些技术领域的研究成果已经成为众多信息安全产品的基础。
二、网络的安全策略分析
早期的网络防护技术的出发点是首先划分出明确的网络边界,然后通过在网络边界处对流经的信息利用各种控制方法进行检查,只有符合规定的信息才可以通过网络边界,从而达到阻止对网络攻击、入侵的目的。主要的网络防护技术包括:
1.防火墙
防火墙是一种隔离控制技术,通过预定义的安全策略,对内外网通信强制实施访问控制,常用的防火墙技术有包过滤技术、状态检测技术、应用网关技术。包过滤技术是在网络层中对数据包实施有选择的通过,依据系统事先设定好的过滤逻辑,检查数据据流中的每个数据包,根据数据包的源地址、目标地址、以及包所使用的端口确定是否允许该类数据包通过;状态检测技术采用的是一种基于连接的状态检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别,与传统包过滤防火墙的静态过滤规则表相比,它具有更好的灵活性和安全性;应用网关技术在应用层实现,它使用一个运行特殊的“通信数据安全检查”软件的工作站来连接被保护网络和其他网络,其目的在于隐蔽被保护网络的具体细节,保护其中的主机及其数据。
2.VpN
VpN(Virtual private Network)即虚拟专用网络,它是将物理分布在不同地点的网络通过公用骨干网连接而成的逻辑上的虚拟子网。它可以帮助异地用户、公司分支机构、商业伙伴及供应商与内部网建立可信的安全连接,并保证数据的安全传输。为了保障信息的安全,VpN技术采用了鉴别、访问控制、保密性和完整性等措施,以防止信息被泄露、篡改和复制。VpN技术可以在不同的传输协议层实现,如在应用层有SSL协议,它广泛应用于Web浏览程序和Web服务器程序,提供对等的身份认证和应用数据的加密;在会话层有Socks协议,在该协议中,客户程序通过Socks客户端的1080端口透过防火墙发起连接,建立到Socks服务器的VpN隧道;在网络层有IpSec协议,它是一种由IETF设计的端到端的确保Ip层通信安全的机制,对Ip包进行的IpSec处理有AH(Authentication Header)和ESp(Encapsulating Security payload)两种方式。
3.防毒墙
防毒墙是指位于网络入口处,用于对网络传输中的病毒进行过滤的网络安全设备。防火墙能够对网络数据流连接的合法性进行分析,但它对从允许连接的电脑上发送过来的病毒数据流却是无能为力的,因为它无法识别合法数据包中是否存在病毒这一情况;防毒墙则是为了解决防火墙这种防毒缺陷而产生的一种安全设备。防毒墙使用签名技术在网关处进行查毒工作,阻止网络蠕虫(Worm)和僵尸网络(BOT)的扩散。此外,管理人员能够定义分组的安全策略,以过滤网络流量并阻止特定文件传输、文件类型扩展名、即时通信信道、批量或单独的Ip/MAC地址,以及TCp/UDp端口和协议。
三、网络检测技术分析
人们意识到仅仅依靠防护技术是无法挡住所有攻击,于是以检测为主要标志的安全技术应运而生。这类技术的基本思想是通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击。包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。主要的网络安全检测技术有:
1.入侵检测
入侵检测系统(Intrusion Detection System,IDS)是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。它通过监视受保护系统的状态和活动来识别针对计算机系统和网络系统,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法活动。作为防火墙的有效补充,入侵检测技术能够帮助系统对付已知和未知网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。
2.入侵防御
入侵防御系统(Intrusion prevention System,IpS)则是一种主动的、积极的入侵防范、阻止系统。IpS是基于IDS的、建立在IDS发展的基础上的新生网络安全技术,IpS的检测功能类似于IDS,防御功能类似于防火墙。IDS是一种并联在网络上的设备,它只能被动地检测网络遭到了何种攻击,它的阻断攻击能力非常有限;而IpS部署在网络的进出口处,当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。可以认为IpS就是防火墙加上入侵检测系统,但并不是说IpS可以代替防火墙或入侵检测系统。防火墙是粒度比较粗的访问控制产品,它在基于TCp/Ip协议的过滤方面表现出色,同时具备网络地址转换、服务代理、流量统计、VpN等功能。
3.漏洞扫描
漏洞扫描技术是一项重要的主动防范安全技术,它主要通过以下两种方法来检查目标主机是否存在漏洞:在端口扫描后得知目标主机开启的端口以及端口上的网络服务,将这些相关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查看是否有满足匹配条件的漏洞存在;通过模拟黑客的攻击手法,对目标主机系统进行攻击性的安全漏洞扫描,如测试弱势口令等,若模拟攻击成功,则表明目标主机系统存在安全漏洞。发现系统漏洞的一种重要技术是蜜罐(Honeypot)系统,它是故意让人攻击的目标,引诱黑客前来攻击。通过对蜜罐系统记录的攻击行为进行分析,来发现攻击者的攻击方法及系统存在的漏洞。
四、结语
尽管传统的安全技术在保障网络安全方面发挥了重要作用,但在一个巨大、开放、动态和复杂的互联网中技术都存在着各种各样的局限性。安全厂商在疲于奔命的升级产品的检测数据库,系统厂商在疲于奔命的修补产品漏洞,而用户也在疲于奔命的检查自己到底还有多少破绽暴露在攻击者的面前。传统的防病毒软件只能用于防范计算机病毒,防火墙只能对非法访问通信进行过滤,而入侵检测系统只能被用来识别特定的恶意攻击行为。在一个没有得到全面防护的计算机设施中,安全问题的炸弹随时都有爆炸的可能。用户必须针对每种安全威胁部署相应的防御手段,这样使信息安全工作的复杂度和风险性都难以下降。为了有效地解决日益突出的网络安全问题,网络安全研究人员和网络安全企业也不断推出新的网络安全技术和安全产品。
参考文献:
[1]周碧英:浅析计算机网络安全技术[J].甘肃科技,2008,24(3):18~19
[2]潘号良:面向基础设施的网络安全措施探讨[J].软件导刊, 2008,(3):74~75
[3]刘爱国李志梅谈:电子商务中的网络安全管理[J].商场现代化,2007,(499):76~77
[4]孙晓南:防火墙技术与网络安全[J].科技信息,2008,(3): 199~120
[5]赵立志林伟:浅析网络安全技术[J].民营科技,2008,(3):193
第三篇:浅谈管理信息系统安全策略研究
浅谈管理信息系统安全策略研究
本文重点探讨信息系统的安全措施,及影响计算机网络安全的主要因素,增强防范意思,确保计算机网络信息安全性、保密性、完整性和可靠性。
关键词: 管理系统 系统安全 信息科学 加密技术 防火墙
随着信息时代的发展,计算机网络得到了广泛应用,网络的安全性已成为不同使用层次的用户共同关心的问题。人们都希望自己的网络系统能更加安全可靠地运行。但随着网络信息传输量的急剧增长,一些机构和部门上网的数据也会遭到不同程度的破坏。攻击者可以窃取网络上的信息,窃用口令、篡改数据库内容,释放计算机病毒等。这致使数据的安全性和自身的利益受到了严重的威胁,所以解决好网络的安全性、可靠性问题,是确保网络正常运行的前提和保障,更好地为企事业单位提供信息咨询、信息检索、信息存取等服务。
一、管理信息系统的发展历史
管理信息系统的概念起源很早。早在20世纪初,随着科学技术和社会经济的迅速发展,人们迫切要求文献信息管理工作的发展速度与之相互适应。20世纪30年代,柏德就强调了决策在组织管理中的作用。50年代,西蒙提出了管理依赖于信息和决策的概念。同一时代维纳发表了控制论与管理,他把管理过程当成一个控制过程,此时计算机已用于会计工作。
管理信息系统已经逐步成为一个独立的学科分支,它继承了其他众多学科的理论及其应用技术,它与信息科学、系统科学、计算机科学、控制理论、统计学、会计学、经济学、管理科学有着十分密切的联系。同时,它又广泛地应用于工业、农业、交通、运输、文化、教育、卫生、体育以及各种社会经济活动的信息管理之中,并起着极其重要的作用,显示出强大的生命力。
随着社会的不断进步、科学技术快速发展,管理工作越来越重要。在现代管理科学体系中,管理信息系统正不断发展、逐步完善,它已被公认为是一门不可替代的崭新学科。计算机作为现代化的工具与手段,已成为信息处理的重要工具。计算机的应用范围越来越广,最终导致了管理信息系统的产生。
管理信息系统依赖于管理和科学技术的发展而形成、依赖于电子计算机的发展而发展的,管理信息系统是与电子计算机同步发展的,它是现代化管理的标志。
二、国内信息系统发展现状、存在问题
企业是国民经济的基础,而企业信息系统建设是企业走向现代化的必由之路。我国目前各类企业在近20年来,不同程度上都遇到了企业信息系统建设的问题。80年代以来,国家有关部门就一直非常重视企业信息化的推进。90年代以后,随着微型计算机、互连网等迅速普及,计算机技术对企业的影响越来越大,企业信息化进一步为人们所重视。
在信息化快速发展的时代,我们在充分肯定这些已经取得的成果同时也不能忽视一些普遍存在的问题。在过去10年左右,我国企业信息系统建设虽然轰轰烈烈地发展,但其成功率并不是很理想。一些企业已经投入使用的模块,实际中并未发挥作用,它只是针对一些局部系统,或特定类型的产品处于试运行阶段。一些企业中的计算机的97%是用来做文字处理工作,有1/5的计算机是经常用来玩游戏的。这些调查、结果分析都说明:我国企业目前虽然使用计算机已经比较普遍,但许多信息系统的应用情况却并没有达到预想的效果。
三、信息系统开发的紧迫性
随着企业规模的扩大和市场竞争的更加激烈,各行各业都愈来愈认识到人力资源管理的重要性及提升企业自身人力资源管理水平的迫切性,而人力资源管理水平的提升不仅需要高素质的管理人员,而且也需要信息化工具进行辅助。随着中国企业管理水平的提高,人才的争夺与管理已成为中国所面临的严重问题。要面对高强度的竞争无疑是需要优秀的管理人才,而科学管理的实施是离不开数字化的工具做辅助。特别在组织规模不断扩大的今天,做为管理人员和单位领导者要想对单位进行有效的管理和正确的决策就必须借助于数字化管理工具。
四、网络安全应具备的功能及影响信息系统安全的主要因素
1、计算机网络应用系统必须具备以下功能:
(1)访问控制(2)检查安全漏洞(3)攻击监控(4)加密通讯(5)认证(6)备份和恢复(7)多层防御(8)?设立安全监控中心
2、影响信息系统安全的主要因素
(1)信息系统在稳定性和可扩充性方面存在。由于设计系统的不规范、不合理以及缺乏安全性考虑,因而使其受到影响。
(2)网络硬件的配置不协调。主要是文件服务器,它是网络的中枢,其运行稳定性、功能完善性直接影响信息系统的质量。设计和选型考虑欠周密,影响网络的可靠性、扩充性和升级换代。
(3)缺乏安全策略。许多站点在防火墙配置上无意识地扩大了访问权限,忽视了这些权限可能会被其他人员滥用。
(4)管理制度不健全,网络管理、维护不力。
五、?网络安全应具备的防范措施
1.信息系统结构设计合理与否是网络安全运行的关键。全面分析信息系统设计的每个环节是企事业单位建立安全可靠的信息工程的首要任务。在总体设计方面要注意以下几个问题:对接入以太网上任一节点进行侦听,捕获发生在这个以太网上的所有数据包,对其进行解包分析,窃取关键信息。为了解除这个信息系统固有的安全隐患,可采取以下措施:(1)网络分段技术的应用从源头杜绝网络的安全隐患问题。局域网采取物理分段与逻辑分段,来实现对局域网的安全控制,目的就是将非法用户与敏感的网络资源相互隔离,防止非法侦听,保证信息的安全畅通。(2)解除隐患的另一方法是交换式集线器代替共享式集线器。
2.强化计算机管理是信息系统安全的保证
(1)加强设施管理,确保计算机网络系统实体安全。健全安全管理制度,防止非法用户进入计算机控制室和其它各种非法行为的发生。在保护计算机系统、打印机、网络服务器等外部设备和能信链路上下大功夫,并不定期的对运行温度、湿度、清洁度、供电接头、三防措施、志线、设备等进行检查、测试和维护。着力改善抑制、防止电磁泄漏的能力,确保计算机系统有一个良好的电磁兼容的工作环境。
(2)强化访问控制,力求计算机网络系统正常运行。
第一,建立入网访问功能模块。通过对特定网段、服务建立的访问控制体系,将绝大多数攻击阻止在到达攻击目标之前。入网访问控制为网络提供了第一层访问控制。它允许哪些用户可以登录到网络服务器并获取网络资源,控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为3个过程:用户名的识别与验证;用户口令的识别与验证;用户账号的检查。在3个过程中如果其中一个不能成立,系统就视为非法用户,则不能访问。
第二,建立网络的权限控制模块。网络的权限控制是针对网络非法操作所提
出的一种安全保护措施。可以根据访问权限将用户分为3种类型:特殊用户、一般用户、审计用户。
第三,建立属性安全服务模块。属性安全控制可以将给定的属性与网络服务器的文件、目录和网络设备联系起来。网络属性可以控制以下几个方面的权限:向某个文件写数据、拷贝一个文件、删除目录、文件的查看、执行、隐含、共享及系统属性等,还可以保护重要的目录和文件,防止用户对目录和文件的误删除、执行修改、显示等。
第四,建立档案信息加密制度。主动地加密通讯,可使攻击者不能了解、修改敏感信息。良好的认证体系可防止攻击者假冒合法用户,防止数据非法泄漏。第五,建立完善的备份及恢复机制。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。
第六,建立网络服务器安全设置模块。网络服务器的安全控制包括设置口令锁定服务器控制台;设置服务器登录时间限制、非法访问者检测和关闭的时间间隔;安装防火墙。
第七、建立安全监控设施。为信息系统提供安全体系管理、监控、保护及紧急情况服务。
综上所述,对于计算机网络传输的安全问题,我们必须要做到以下几点。第一,应严格限制上网用户所访问的系统信息和资源,这一功能可通过在访问服务器上防火墙来实现。第二,应加强对上网用户的身份认证,使用RADIUS等专用身份验证服务器。可以实现对上网用户帐号的统一管理;在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三,在数据传输过程中采用加密技术,防止数据被非法窃取。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。
参考文献
[1]??计算机网络技术.西安电子科技大学出版社,?2001
[2]??计算机网络与通信.北京大学出版社,?1999.[3]??计算机学报.?2001-2006.[4]?电脑报.?2000-2002.??
第四篇:2013年上半年石油进口数据统计
2013年上半年石油进口数据统计
中国海关总署7月10日发布的统计数据显示,2013年上半年,中国进口原油1.38亿吨,同比下滑1.4%;进口额达到1078.71亿美元,同比降8.9%;进口均价为每吨780.7美元,下跌7.6%。
同期,中国进口成品油2160万吨,同比增6.8%;进口额169亿美元,下滑1.6%。中国出口成品油1470万吨,同比增23.9%;完成出口额128.31亿美元,增长20.2%。
第五篇:电子商务安全策略分析论文
摘要:本文针对电子商务中的安全性需求和安全威胁,详细探讨了电子商务的安全策略,包括加密、数字签名、电子证书等。
关键词:电子商务安全策略信息安全认证
电子商务是在Internet开放的网络环境下,实现消费者的网上购物、企业之间的网上交易和在线电子支付的一种新型的交易方式。由于电子商务具有高效益、低成本、高效率、范围全球性等特点很快遍及全世界。电子商务已成为全球经济最具活力的增长点,它的应用和推广将给社会和经济发展带来巨大的变革和收益。然而,目前全球通过电子商务渠道完成的贸易额仍只是同期全球贸易额中的一小部分。究其原因,电子商务是一个复杂的系统工程,它的实施还依赖于相应的社会问题和技术问题的逐步解决与完善。其中,电子商务的安全是制约电子商务发展的一个关键问题。
一、电子商务的安全性需求
有效性:电子商务以电子形式取代了纸张,那么如何保证这种电子形式的贸易信息的有效性则是开展电子商务的前提。因此,要对网络过障、操作错误、应用程序错误等所产生的潜在威胁加以控制和预防,以保证贸易数据在确定的时刻、确定的地点是有效的。
1.机密性:电子商务作为贸易的一种手段,其信息直接代表着个人、企业或者国家的商业机密。因此,能否维护好商业机密成为了电子商务全面推广应用的前提条件。电子商务系统应能够对公众网络上传输的信息进行加密处理,防止交易中信息被非法截获或读取。
2.完整性:电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、同意问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,在数据传输过程中信息丢失、信息重复或者信息传送的次序差异也会导致贸易各方信息不同。贸易各方信息的完整性将影响贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息丢失和重复,并保证信息传送次序的统一。
3.可靠性:由于网上通信双方互不见面,所以在交易前必须首先确认对方的真实身份;支付时还要确认对方帐号等信息是否真实有效。电子商务系统应提供通信双方进行身份鉴别的机制,确保交易双方身份信息的可靠和合法。应实现系统对用户身份的有效确认,对私有密钥和口令的有效保护,对非法攻击能够防范,防止假冒身份在网上进行交易。
4.法律性:电子商务系统应有效防止商业欺诈行为的发生。最新《合同法》已确认双方同意电子贸易的电子档案为有效书面合同,为产生贸易纠纷双方提供法律凭证。网上交易的各方在进行数据传输时必须携有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证,以保证商业信任和行为的不可否认性,保证交易各方对已做的交易无法抵赖,为法律举证提高有效数据。
审查能力:根据机密性和完整性的要求,应对数据审查的结果进行记录。
二、电子商务面临的安全威胁
1.信息在网络的传输中被截获:攻击者可能通过互联网、公共电话网或在电磁波辐射范围内安装装置等方式,截获机密信息,或通过对信息流量和流向、通信频度和长度等参数的分析,获取有用信息,如消费者的账号、密码等。
2.传输的文件可能被篡改:改变信息流的次序,更改信息的内容,如购买商品的出货地址;删除某个信息或信息的某些部分;在信息中插入一些信息,让收方读不懂或接受错误的信息。
3.伪造电子邮件:虚开网站和商店,给用户发电子邮件,收定货单;伪造大量用户,发电子邮件,穷尽商家资源,使合法用户不能正常访问网络资源,使有严格时间要求的服务不能及时得到响应;伪造用户,发大量的电子邮件,窃取商家的商品信息和用户等信息。
4.假冒他人身份:冒充他人身份,如冒充领导发布命令、调阅文件;冒充他人消费、栽赃;冒充网络控制程序,套取或修改使用权限、密钥等信息。
5.否认已经做过的交易:发布者事后否认曾经发送过某条信息或内容;收信者事后否认曾经收到过某条信息或内容;购买者做了订货单不承认;商家卖出的商品质量差,但不承认原有的交易。
三、电子商务活动的安全保证
为了满足电子商务在安全服务方面的要求,除了网络本身运行的安全外,电子商务系统还必须利用各种安全控制技术保证整个电子商务过程的安全与完整,并实现交易的防抵赖性等。具体实现有以下几种技术。
1.加密技术是电子商务的最基本的安全措施。在目前技术条件下,加密技术通常分为对称加密和非对称加密两类。
(1)对称密钥加密:采用相同的加密算法,并只交换共享的专用密钥(加密和解密都使用相同的密钥)。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未曾发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性。密钥安全交换是关系到对称加密有效性的核心环节。目前常用的对称加密算法有DES、pCR、IDEA、3DES等。其DES使用最普遍,被ISO采用作为数据加密的标准。
(2)非对称密钥加密:非对称加密不同于对称加密,其密钥被分解为公开密钥和私有密钥。密钥对生成后,公开密钥以非保密方式对外公开,只对应于生成该密钥的发布者,私有密钥则保存在密钥发布方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的发布者,而发布者得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。目前,常用的非对称加密算法有RSA算法。该算法已被ISO/TC的数据加密技术分委员会SC20推荐为非对称密钥数据加密标准。
在对称和非对称两类加密方法中,对称加密的突出特点是加密速度快(通常比非对称加密快10倍以上)、效率高,被广泛用于大量数据的加密。但该方法的致命缺点是密钥的传输与交换也面临着安全问题,密钥易被截获,而且,若和大量用户通信,难以安全管理大量的密钥,因此大范围应用存在一定问题。而非对称密钥则相反,很好地解决了对称加密中密钥数量过多难管理及费用高的不足,也无需担心传输中私有密钥的泄露,保密性能优于对称加密技术。但非对称加密算法复杂,加密速度不很理想。目前.电子商务实际运用中常常是两者结合使用。
2.防火墙技术是确保基础设施完整性一种常用方法。它通过在网络边界上建立起来的相应网络通信监控系统来隔离内部和外部网络,控制进/出两个方向的通信流。它制定一系列规则来准许或拒绝不同类型的通信,并执行所做的路由决策,以阻挡外部的侵入。目前,防火墙技术主要有分组过滤和代理服务两种类型。
(1)分组过滤:这是一种基于路由器的防火墙。它是在网间的路由器按网络安全策略设置一张访问表或黑名单,即借助数据分组中的49 地址确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过。防火墙的职责就是根据防问表(或黑名单)对进出路由器的分组进行检查和过滤,凡符合要求的放行,不符合的拒之门外。这种防火墙简单易行,但不能完全有效地防范非法攻击。
(2)代理服务:是一种基于代理服务防火墙,它的安全性高,增加了身份认证与审计跟踪,发现可能的非法行为并提供有力的证据,然后以秘密的方式向网上的防火墙发出有关信息如黑名单等。
3.安全认证技术。目前,仅有加密技术不足以保证电子商务中的交易安全,身份认证技术是保证电子商务安全的又一重要技术手段。认证的实现包括数字摘要技术、数字签名技术、数字证书技术和智能卡技术等。
点击咨询 