楊柳青

［摘 要］ 本文概述了電子商務(wù)的局域網(wǎng)、廣域網(wǎng)、外部網(wǎng)、Web服務(wù)器的安全及公開密鑰基礎(chǔ)設(shè)施；介紹了構(gòu)建電子商務(wù)系統(tǒng)安全體系的相關(guān)技術(shù)；最后，給出了電子商務(wù)的安全策略，并應(yīng)用于實(shí)際的電子商務(wù)系統(tǒng)中。

［關(guān)鍵詞］ 電子商務(wù)；網(wǎng)絡(luò)；安全；信息

doi:10.3969/j.issn.1673-0194.2009.10.040

［中圖分類號(hào)］F724.6；TP393.08［文獻(xiàn)標(biāo)識(shí)碼］A［文章編號(hào)］1673-0194（2009）10-0119-03

一、 電子商務(wù)局域網(wǎng)安全

電子商務(wù)局域網(wǎng)基本上用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何節(jié)點(diǎn)間的通信數(shù)據(jù)包，為處在同一以太網(wǎng)上的任何節(jié)點(diǎn)的網(wǎng)卡所截取。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽就可捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對其解包分析，竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。

局域網(wǎng)安全的解決辦法有以下幾種:

(一) 網(wǎng)絡(luò)分段

網(wǎng)絡(luò)分段被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的基本手段，其目的是將非法用戶與敏感網(wǎng)絡(luò)資源相互隔離，防止可能的非法偵聽，網(wǎng)絡(luò)分段可分物理分段和邏輯分段兩種。局域網(wǎng)采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪問控制和3層交換功能，綜合應(yīng)用物理與邏輯分段兩種方法，實(shí)現(xiàn)對局域網(wǎng)的安全控制。

(二) 以交換式集線器代替共享式集線器

對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險(xiǎn)仍存在，因?yàn)榫W(wǎng)絡(luò)最終用戶接入是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器間的數(shù)據(jù)包(稱單播包)會(huì)被同一臺(tái)集線器上的其他用戶所偵聽。因此，應(yīng)以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)間傳送，防止非法偵聽。當(dāng)然，交換式集線器只能控制單播包而無法控制廣播包(Broadcast Packet)和多播包(Multicast Packet)。所幸的是，廣播包和多播包內(nèi)的關(guān)鍵信息，要遠(yuǎn)少于單播包。

(三) VLAN的劃分

為克服以太網(wǎng)的廣播問題，還可用VLAN技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。VLAN技術(shù)有3種:基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn) MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN?；诙丝诘腣LAN雖欠靈活，但較成熟，實(shí)際應(yīng)用中效果顯著。基于MAC地址的VLAN為移動(dòng)計(jì)算提供了可能，但同時(shí)也潛藏遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用不成熟。在集中式網(wǎng)絡(luò)環(huán)境下，常將中心所有主機(jī)系統(tǒng)集中到一個(gè)VLAN，在這個(gè)VLAN里不許有任何用戶節(jié)點(diǎn)，較好地保護(hù)了敏感的主機(jī)。在分布式網(wǎng)絡(luò)環(huán)境下，可按機(jī)構(gòu)或部門劃分VLAN。各部門內(nèi)所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN間的連接用路由實(shí)現(xiàn)。大多數(shù)交換機(jī)都支持RIP和OSPF兩種國際標(biāo)準(zhǔn)的路由協(xié)議。如有特殊需要，需使用其他路由協(xié)議，可用外接的多以太網(wǎng)口路由器來代替交換機(jī)，實(shí)現(xiàn)VLAN間的路由功能。當(dāng)然，此時(shí)，路由轉(zhuǎn)發(fā)效率有所下降。

無論是交換式集線器還是VLAN交換機(jī)，都以交換技術(shù)為核心，它們在控制廣播、防止黑客上相當(dāng)有效，但同時(shí)也給一些基于廣播原理的入侵監(jiān)控技術(shù)和協(xié)議分析技術(shù)帶來麻煩。若局域網(wǎng)內(nèi)存在這樣的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備，就需選用特殊的帶有SPAN （ Switch Port Analyzer）功能的交換機(jī)。這種交換機(jī)允許系統(tǒng)管理員將全部或某些交換端口數(shù)據(jù)包映射到指定端口，提供給接在該端口的入侵監(jiān)控設(shè)備或協(xié)議分析設(shè)備。

二、 廣域網(wǎng)安全

廣域網(wǎng)多用公網(wǎng)傳輸數(shù)據(jù)，信息在廣域網(wǎng)傳輸時(shí)被截取和利用的可能性比局域網(wǎng)大。若無專用軟件對數(shù)據(jù)進(jìn)行控制，只要用互聯(lián)網(wǎng)上免費(fèi)下載的“包檢測”工具軟件，就可截取和破譯通信數(shù)據(jù)。因此，需采取手段，使得在廣域網(wǎng)上發(fā)送和接收信息時(shí)能保證:

（1）除了發(fā)送方和接收方，其他人無法知悉(隱私性)；

（2）傳輸過程中不被篡改(真實(shí)性)；

（3）發(fā)送方能確知接收方不是假冒的(非偽裝性)；

（4）發(fā)送方不能否認(rèn)自己的發(fā)送行為(不可抵賴性)。

為達(dá)以上安全目的，廣域網(wǎng)常用以下安全解決辦法:

(一) 加密技術(shù)

加密型網(wǎng)絡(luò)安全技術(shù)的思想是不依賴于網(wǎng)絡(luò)中數(shù)據(jù)通道安全性來實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的安全，而是通過對網(wǎng)絡(luò)數(shù)據(jù)加密來保障網(wǎng)絡(luò)安全可靠。數(shù)據(jù)加密技術(shù)可分3類，即對稱型加密、不對稱型加密和不可逆加密。其中不可逆加密算法不存在密鑰保管和分發(fā)問題，適用于分布式網(wǎng)絡(luò)系統(tǒng)，但其加密計(jì)算量相當(dāng)可觀，所以用于數(shù)據(jù)量有限的情形下。計(jì)算機(jī)系統(tǒng)口令是利用不可逆加密算法加密的。隨著計(jì)算機(jī)系統(tǒng)性能的提高，不可逆加密算法的應(yīng)用逐漸增加，常用的如RSA公司的MD5。在系統(tǒng)中廣泛使用的Cisco路由器，有兩種口令加密方式:Enable Secret和Enable Password。其中，Enable Secret采用MD5不可逆加密算法，因而尚未發(fā)現(xiàn)破解方法(除非使用字典攻擊法)。而Enable Password采用非常脆弱的加密算法(即簡單將口令與一個(gè)常數(shù)進(jìn)行XOR與或運(yùn)算)，目前至少己有兩種破解軟件。因此，最好不用Enable Password［１］。

(二) VPN技術(shù)

VPN技術(shù)的核心是隧道技術(shù)，將企業(yè)專網(wǎng)的數(shù)據(jù)加密封裝后，透過虛擬的公網(wǎng)隧道傳輸，防止敏感數(shù)據(jù)被竊。VPN可在互聯(lián)網(wǎng)、服務(wù)提供商的IP、幀中繼或ATM網(wǎng)上建立。企業(yè)通過公網(wǎng)建立VPN，如同通過自己的專用網(wǎng)建立內(nèi)網(wǎng)，有較高安全性、優(yōu)先性、可靠性和可管理性，其建立周期、投入資金和維護(hù)費(fèi)用卻大大降低，還為移動(dòng)計(jì)算提供了可能。但應(yīng)指出， VPN技術(shù)的許多核心協(xié)議，如L2TP, IPSec，未形成通用標(biāo)準(zhǔn)，使得不同的VPN服務(wù)提供商間、VPN設(shè)備間的互操作性成為問題。因此，企業(yè)在VPN建網(wǎng)選型時(shí)，要慎選VPN服務(wù)提供商和VPN設(shè)備。

(三) 身份認(rèn)證技術(shù)

對從外部撥號(hào)訪問總部內(nèi)網(wǎng)的用戶，由于使用公網(wǎng)傳輸數(shù)據(jù)所帶來的風(fēng)險(xiǎn)，需嚴(yán)格控制其安全性。常見做法是用身份認(rèn)證技術(shù)，對撥號(hào)用戶身份進(jìn)行驗(yàn)證并記錄完備的登錄日志。常用身份認(rèn)證技術(shù)有Cisco提出的TACACS +業(yè)界標(biāo)準(zhǔn)的RADIUS。

三、 外網(wǎng)安全

外網(wǎng)建設(shè)，指與Internet互聯(lián)及與外部企業(yè)互聯(lián)，采用基于TCP/IP的Internet協(xié)議族。Internet協(xié)議族自身的開放性方便了各種計(jì)算機(jī)組網(wǎng)和互聯(lián)，推動(dòng)了網(wǎng)絡(luò)技術(shù)的發(fā)展。但早期網(wǎng)絡(luò)協(xié)議設(shè)計(jì)上對安全問題的忽視及互聯(lián)網(wǎng)在使用和管理上的無政府狀態(tài)，使互聯(lián)網(wǎng)自身安全受到威脅，黑客事件頻發(fā)。對外網(wǎng)安全威脅表現(xiàn)在：非授權(quán)訪問、冒充合法用戶、破壞數(shù)據(jù)完整性、干擾系統(tǒng)正常運(yùn)行、利用網(wǎng)絡(luò)傳播病毒、線路竊聽等。外網(wǎng)安全解決辦法依靠防火墻、入侵檢測和網(wǎng)絡(luò)防病毒技術(shù)。實(shí)際的外網(wǎng)安全設(shè)計(jì)中，采取上述3種技術(shù)的結(jié)合。

四、 Web服務(wù)器的安全

(一) 安全漏洞

Web服務(wù)器存在漏洞，使得黑客能侵入主機(jī)，破壞重要數(shù)據(jù)，甚至造成系統(tǒng)癱瘓。

CGI安全方面的漏洞有：

(1)有意或無意在主機(jī)系統(tǒng)中遺漏Bugs給非法黑客創(chuàng)造條件；

(2)用CGI腳本編寫程序當(dāng)涉及遠(yuǎn)程用戶從瀏覽器中輸入表格(Form)，并檢索(Search index)，或form-mail之類在主機(jī)上直接操作命令，或許會(huì)給Web主機(jī)系統(tǒng)造成危險(xiǎn)。

網(wǎng)上下載的Web服務(wù)器，沒考慮安全因素，不能用作電子商務(wù)系統(tǒng)應(yīng)用。因此，不管是配置服務(wù)器，還是編寫CGI程序都要注意系統(tǒng)安全性，堵住存在的漏洞。

(二) 提高系統(tǒng)安全性和穩(wěn)定性

Web服務(wù)器安全預(yù)防措施：

（１）限制在Web服務(wù)器開賬戶，定期刪除斷進(jìn)程的用戶。

（２）對在Web服務(wù)器上開的賬戶，在口令長度及定期更改方面作出要求，防止被盜用。

（３）使FTP, MAIL等服務(wù)器分開，去掉ftp，sendmail,tftp, NIS, NFS, finger, netstat等無關(guān)應(yīng)用。

（４）在Web服務(wù)器上去掉絕對不用的如SHELL之類的解釋器，即當(dāng)在CGI程序中沒用到PERL時(shí)，就把PERL在系統(tǒng)解釋器中刪除。

（５）定期查看服務(wù)器日志logs文件，分析可疑事件。在errorlog中出現(xiàn)rm, login, /bin/perl, /bin/sh記錄時(shí)，服務(wù)器可能已遭非法用戶入侵。

（６）設(shè)置好Web服務(wù)器上系統(tǒng)文件的權(quán)限和屬性，對可讓人訪問的文檔分配一個(gè)公用組，如WWW，并分配它只讀的權(quán)利。把所有HTML文件歸屬WWW組，由Web管理員管理WWW組。對于Web配置文件只有Web管理員有寫的權(quán)利。

（７）Web服務(wù)器把Web文檔目錄與FTP目錄指在同一目錄時(shí)，不要把FTP目錄與CGI-BIN指定在一個(gè)目錄；防止用戶通過FTP上載如PERL或SH之類程序，用Web的CGI-BIN去執(zhí)行，造成不良后果。

（８）通過限制許可訪問用戶IP或DNS［２］。

五、 公開密鑰基礎(chǔ)設(shè)施PKI

(一) PKI概述

PKI通過使用公開密鑰技術(shù)和數(shù)字證書確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份［３］。PKI通過數(shù)字證書的方式管理用戶的公開密鑰，并通過可信任的第三方認(rèn)證中心CA ( Certification Authority)對證書進(jìn)行數(shù)字簽名，具有靈活的伸縮性和可擴(kuò)展性，是主要的Internet安全架構(gòu)。PKI通過CA和數(shù)字證書管理用戶的密鑰對，讓用戶可在多種應(yīng)用環(huán)境使用加密或數(shù)字簽名，實(shí)現(xiàn)數(shù)據(jù)傳輸安全。PKI利用密碼學(xué)公鑰密碼技術(shù)，并在Internet網(wǎng)絡(luò)環(huán)境中提供數(shù)據(jù)加密及數(shù)字簽名服務(wù)，統(tǒng)一技術(shù)框架，是電子商務(wù)安全問題的關(guān)鍵和基礎(chǔ)技術(shù)；能有效解決電子商務(wù)中機(jī)密性、真實(shí)性、完整性、不可否認(rèn)性和存取控制安全。應(yīng)用PKI，可建立一個(gè)可信任和安全的系統(tǒng)。

(二) PKI的結(jié)構(gòu)

PKI含CA、RA ( Registration Authority)注冊機(jī)構(gòu)、證書庫、策略管理、撤銷系統(tǒng)。

1. CA是一個(gè)確保信任的權(quán)威實(shí)體

CA作為受信任的第三方，具有權(quán)威性，承擔(dān)PKI公鑰體系中公鑰的合法性檢驗(yàn)；職責(zé)是頒發(fā)證書、驗(yàn)證用戶身份的真實(shí)性；CA簽發(fā)用戶數(shù)字證書，任何相信該CA的人，按照第三方信任原則，也應(yīng)相信持有該證書的用戶。用戶在獲得自己的數(shù)字證書后，就可使用證書來表明身份，接收方只需使用簽發(fā)證書的公鑰驗(yàn)證用戶證書，若驗(yàn)證成功，就可信任該證書描述的用戶身份。證書的簽發(fā)/驗(yàn)證利用公開密鑰算法的數(shù)字簽名和驗(yàn)證功能，杜絕了身份冒充。

2. 證書庫是CA頒發(fā)和撤銷證書的集中存放地和網(wǎng)上公共信息庫，供公眾開放式查詢

查詢目的有兩個(gè)：一是得到與之通信實(shí)體的公鑰；二是驗(yàn)證通信對方的證書是否已進(jìn)入“黑名單”。證書庫支持分布式存放，即用數(shù)據(jù)庫鏡像技術(shù)，將CA簽發(fā)的證書與本組織的證書和證書撤銷列表存放到本地，提高證書查詢效率，減小向總目錄查詢的瓶頸。

3.RA是用戶和CA的接口，所獲得的用戶標(biāo)識(shí)的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)

用戶向RA注冊登錄，提供個(gè)人信息資料，獲得RA認(rèn)可后由RA生成此用戶的標(biāo)識(shí)符，提供給CA生成唯一標(biāo)識(shí)此用戶的數(shù)字證書。RA支持面對面的注冊，也支持遠(yuǎn)程注冊。要確保整個(gè)PKI系統(tǒng)安全、靈活，就需設(shè)計(jì)和實(shí)現(xiàn)網(wǎng)絡(luò)化、安全的且易操作的RA。

4. 策略管理在PKI系統(tǒng)中非常重要

管理員根據(jù)不同用戶，選擇不同安全策略給用戶不同安全級(jí)別數(shù)字證書。安全策略需適應(yīng)不同需求并通過CA和RA技術(shù)融入到CA和RA系統(tǒng)。同時(shí)，策略應(yīng)符合密碼學(xué)和系統(tǒng)安全要求，應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全理論，有良好的可擴(kuò)展性和互用性。

5. PKI系統(tǒng)需要構(gòu)建一個(gè)安全有效的撤銷系統(tǒng)

證書是用來證明證書持有者身份的電子介質(zhì)，用來綁定證書持有者身份和其相應(yīng)公鑰，該綁定在已頒發(fā)證書的整個(gè)生命周期里有效。證書有效期有限，該規(guī)定在理論上基于當(dāng)前非對稱算法和密鑰長度的可破譯性；在實(shí)際應(yīng)用中長期使用同一個(gè)密鑰有被破譯的危險(xiǎn)，為保證安全，證書和密鑰需有一定的更換頻度。為此，PKI對已發(fā)的證書需有更換措施，該過程稱“密鑰或證書更新”。證書更新由PKI系統(tǒng)自動(dòng)完成。即在用戶使用證書過程中，PKI會(huì)自動(dòng)到目錄服務(wù)器中檢查證書有效期，當(dāng)有效期結(jié)束前，PKI/CA會(huì)自動(dòng)啟動(dòng)更新程序，生成新證書代替舊證書。但也會(huì)出現(xiàn)已頒發(fā)證書不再有效的情況，若該證書還沒到期，就需進(jìn)行證書撤銷。因此，需采取有效和可信的方法，能在證書自然過期前撤銷它。

六、電子商務(wù)安全策略

電子商務(wù)的安全保障是一個(gè)動(dòng)態(tài)的、復(fù)雜的過程，貫穿信息傳輸及信息系統(tǒng)的整個(gè)生命周期，要全方位和多層次地解決系統(tǒng)安全，不僅要解決網(wǎng)絡(luò)層的安全，同時(shí)也要解決系統(tǒng)層和應(yīng)用層的安全［５］。

（１）鏈路安全：采用鏈路備份技術(shù)，通過承載鏈路的備份，從物理層面保證安全；

（２）數(shù)據(jù)傳輸安全：采用VPN技術(shù)，支持多種安全加密算法；

（３）網(wǎng)絡(luò)訪問控制：采用防火墻技術(shù)，路由器內(nèi)置防火墻功能，實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)安全；

（４）認(rèn)證授權(quán)：具有AAA認(rèn)證、CA認(rèn)證，支持網(wǎng)絡(luò)層面的ACL控制，結(jié)合AAA和數(shù)字證書，實(shí)現(xiàn)用戶身份的標(biāo)識(shí)和權(quán)限管理；

（５）管理控制安全：網(wǎng)管分級(jí)分權(quán)特性；

（６）節(jié)點(diǎn)設(shè)備安全：采用安全路由器設(shè)計(jì)，具有內(nèi)置防火墻和流量監(jiān)控能力，與網(wǎng)管結(jié)合實(shí)現(xiàn)安全管理。

七、結(jié)束語

電子商務(wù)系統(tǒng)安全構(gòu)建在網(wǎng)絡(luò)基礎(chǔ)層上，包括CA、安全認(rèn)證體系和基本的安全技術(shù)。利用安全技術(shù)，提供各種安全服務(wù)，保障電子商務(wù)活動(dòng)安全、順利進(jìn)行，是電子商務(wù)安全體系提供的功能。

主要參考文獻(xiàn)

［1］ 趙一鳴，朱海林，孟魁.計(jì)算機(jī)安全［M］. 北京：電子工業(yè)出版社，2003：119-122.

［2］ 翁賢明. 電子商務(wù)信息安全 ［M］. 杭州：浙江大學(xué)出版社，2003：203-269.

［3］ 肖凌，李之棠.公開密鑰基礎(chǔ)設(shè)施(PKI)結(jié)構(gòu)［Ｊ］.計(jì)算機(jī)工程與應(yīng)用，2002(10): 137-140.

［4］ S Santesson, R Housley. Internet X.509 Public Key Infrastructure Logotypes in X.509certificates［ＥＢ／OL］. http://www.ietf.org/internet-drafts/ draft-ietf -pkix-logotypes -O1.txt,2002.

［5］ 徐天宇.電子商務(wù)系統(tǒng)規(guī)劃與設(shè)計(jì) ［M］. 北京：清華大學(xué)出版社，2005:253-267.