【文章內(nèi)容簡介】 ness Center Class B CA（河北）HBCA證書2 證書3證書4（北京）BJCA證書1圖31認證體系結(jié)構(gòu)圖（二）密碼技術(shù)。所謂密碼技術(shù)，就是保護重要的信息，不讓別人讀懂的一種手段。密碼技術(shù)包括加密和解密兩個方面。加密是將原始信息進行數(shù)學變換成不可讀懂信息的過程。解密是加密的逆過程。密碼技術(shù)有兩個要素：算法和密鑰。密碼技術(shù)分為對稱密碼和非對稱密碼技術(shù)。 對稱密碼技術(shù)即發(fā)送方與接受方使用同一個密鑰取加密和解密報文。此密鑰必須為發(fā)送者和接收者所共享，且不允許公開。因此發(fā)送和接收地位是對稱的。對稱密鑰加密技術(shù)具有效率高的特點，即可用較短的密鑰長度，較簡單的算法，較少的系統(tǒng)投入完成較好的加密效果。非對稱密碼技術(shù)即信息的加密和解密采用不同的密鑰，一把密鑰用來加密信息，而另外一把密鑰則用以將信息還原。在網(wǎng)絡上的通訊者每人都擁有兩把密鑰：一把公開讓所有人知道公鑰，一把自己秘密保存密鑰。非對稱加密體制：密文對稱密鑰密文明文密文發(fā)送者公有密鑰對稱密鑰被加密的密鑰加密過程接收者私有密鑰被加密的密鑰對稱密鑰密文明文解密過程對稱密鑰接收者圖32 非對稱密碼技術(shù)流程示意圖（三）數(shù)字簽名技術(shù)。數(shù)字簽名是由非對稱密碼技術(shù)研發(fā)得來，用以證明一個信息的來源和內(nèi)容的真實性。在網(wǎng)絡上，通訊者之間無法彼此確認對方的身份，數(shù)字簽名可被用來驗證傳送者的身份。接收者可確保某一信息確實是由傳送者所送出，沒有被更改過，而傳送者也無法否認。（四）數(shù)字水印技術(shù)：是將一些標識信息(即數(shù)字水印)直接嵌入數(shù)字載體(包括多媒體、文檔、軟件等)當中，但不影響原載體的使用價值，也不容易被人的知覺系統(tǒng)(如視覺或聽覺系統(tǒng))覺察或注意到。通過這些隱藏在載體中的信息，可以達到確認內(nèi)容創(chuàng)建者、購買者、傳送隱秘信息或者判斷載體是否被篡改等目的。（五）防火墻技術(shù)：防火墻指的是一個有軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。防火墻最初是針對 Internet 網(wǎng)絡不安全因素所采取的一種保護措施。防火墻就是用來阻擋外部不安全因素影響的內(nèi)部網(wǎng)絡屏障，其目的就是防止外部網(wǎng)絡用戶未經(jīng)授權(quán)的訪問。它是一種計算機硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問政策、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。防火墻技術(shù)主要分以下幾個種類：包過濾防火墻、狀態(tài)/動態(tài)檢測防火墻、應用程序代理防火墻、NAT、個人防火墻。 信息安全技術(shù)應用實例分析隨著銀行業(yè)務及網(wǎng)絡規(guī)模的不斷擴大，重要時期信息安全面臨著嚴峻的考驗。而中國銀行在信息安全技術(shù)的成功運用下，從整體信息流的流通過程入手，從基本上實現(xiàn)了及時發(fā)現(xiàn)銀行網(wǎng)上銀行業(yè)務系統(tǒng)的安全隱患，防止來自內(nèi)部和外部的惡意攻擊事件。并及時進行應急響應與安全事件處理，為銀行業(yè)務提供才、全程保護，增強了中國銀行網(wǎng)上銀行系統(tǒng)的抗風險能力，防止系統(tǒng)發(fā)生重大事件。接下來就以中國銀行為例，分析其在信息安全技術(shù)的成功運用：密碼技 術(shù)用戶身份證書確認登陸在線支付/轉(zhuǎn)賬表單簽名數(shù)字簽名數(shù)字簽 名 認證技 術(shù)銀行業(yè)務賬單傳遞安全電子郵件件網(wǎng)站防偽造可信站點網(wǎng)上銀行軟件更新代碼簽名機要文件發(fā)放文檔簽名加密水 印技 術(shù)防火墻圖35電子銀行信息安全技術(shù)應用分析實例圖由上圖可見，中國銀行的網(wǎng)上銀行在開展電子業(yè)務的過程中，利用密碼技術(shù)和認證技術(shù)來確認用戶的身份，阻止非法者的進入，同時為用戶解決仿造站點問題；采用水印技術(shù)確保機要文件和內(nèi)部信息的安全；在傳遞電子郵件和在線支付/轉(zhuǎn)賬時利用數(shù)字簽名技術(shù)對信息進行加密，防止信息偽造，篡改；另外，采用防火墻技術(shù)，為網(wǎng)上銀行的內(nèi)部網(wǎng)絡提供安全保障。中國銀行網(wǎng)上銀行從業(yè)務開始到服務結(jié)束，都有信息安全技術(shù)的參與，在每個環(huán)節(jié)利用不同的信息安全技術(shù)，充分發(fā)揮了各個信息安全技術(shù)的特點，成功的為信息的流通實現(xiàn)了保駕護航。3．3 信息安全技術(shù)在電子商務領域的應用中存在的問題眾所周知，我國各大銀行的信息安全體系是比較先進和完善的，但是這并沒能完全的保證其用戶的信息安全。2004年12月08日，中國銀行發(fā)布聲明，7日下午有不法分子制作了該行的假網(wǎng)站，外觀與真網(wǎng)站非常相似。而在此前，已有一個與中國工商銀行網(wǎng)站十分相似的網(wǎng)站開始運行。12月11日網(wǎng)上又發(fā)現(xiàn)了一個假銀聯(lián)網(wǎng)站。假的銀聯(lián)網(wǎng)站主頁上有著與中國銀聯(lián)一模一樣的標志和相關的動畫，同時網(wǎng)頁的底欄還有各商業(yè)銀行的信用卡標志。這些假網(wǎng)站都有自己的服務器，同時仿照銀行的驗證系統(tǒng)要求用戶輸入驗證信息，而用戶的驗證信息發(fā)送錯誤信息到銀行真正的服務器，再返回錯誤的信息給用戶。而假網(wǎng)站的服務器將盜取的姓名、賬號、密碼和持卡銀行等信息據(jù)為己有，盜取用戶的錢財。中國反釣魚網(wǎng)站聯(lián)盟正式發(fā)布的2011年9月月報。月報顯示：9月1日至9月30日期間，聯(lián)盟秘書處(中國互聯(lián)網(wǎng)絡信息中心)共認定并停止域名解析的釣魚網(wǎng)站數(shù)量達971個。截至9月30日，聯(lián)盟秘書處累計收到反釣魚網(wǎng)站投訴近8700例，其中共認定并處理了7301個涉嫌網(wǎng)絡釣魚的網(wǎng)站。月報指出，9月份仿冒淘寶網(wǎng)騙取用戶錢財?shù)尼烎~網(wǎng)站比例大幅上揚，分別較%%，而假冒中獎和仿冒騰訊官方網(wǎng)站騙取用戶信息的釣魚網(wǎng)站比例基本沒有下降。各種事實表明，我國的電子商務信息安全體系仍然存在漏洞，信息安全技術(shù)應用仍有待加強。目前我國電子商務中主要存在的信息安全問題，如下圖所示:交易雙方抵賴問題系統(tǒng)內(nèi)部安全問題信息安全問題網(wǎng)絡中信息安全問題拒絕服務問題身份冒充問題圖36電子商務中存在的信息安全問題通過對我國電子商務中主要存在的信息安全問題進行分析，并針對我國電子商務中主要用到的信息安全技術(shù)研究，主要發(fā)現(xiàn)現(xiàn)有技術(shù)有一下缺陷：(一)、密碼技術(shù)密碼技術(shù)有著自己較為狹窄的適用領域：私鑰的使用位置固定、使用環(huán)境相對安全；信任結(jié)構(gòu)簡單、穩(wěn)定；對認證速度要求較高（如VPN應用）；有明顯的離線認證要求（如“代碼簽名”）。不適用領域：信任關系復雜，有明顯的變動性；私鑰使用環(huán)境不安全（比如在單位的公用機，網(wǎng)吧等）；需要高級的安全功能（比如匿名簽名，團體簽名，長期可驗證的簽名等）。在協(xié)調(diào)產(chǎn)生密鑰的過程中，任何有關密鑰產(chǎn)生的信息都必須保證不會被竊聽，一旦密鑰被第三者取得或算出，則會引起泄密。1較好的解決了“身份”問題，難以解決“角色”問題。2簽名/加密等關鍵操作的安全性過分依賴私鑰的安全性。3過分追求信息真實化，缺乏匿名支持。4對私人信息的保護與共享仍然是空白。(二)、認證技術(shù)驗證身份的基本方法是用戶賬號，還可以采用人體的生理特征，如指紋、眼底紋等。1賬號驗證： 容易受到中間人病毒攻擊。登陸或者交易驗證時，服務器會提示需要驗證器的密碼，病毒將此信息發(fā)布給另一個服務器，同時發(fā)送一個與用戶輸入的信息不匹配的消息給供應商服務器，那么用戶的界面就會顯示錯誤，同時病毒服務器就把剛盜取的密碼更改為一個新的密碼，以此來盜取用戶的信息和財產(chǎn)。2生理特征驗證：訪問自己權(quán)限范圍內(nèi)的文件，只需要按下手指，掃描眼底紋等，方便快捷，免除口令的記憶；防止竊取，不會遺失；不受地理位置限制；與傳統(tǒng)技術(shù)相比，提高了密鑰的安全性。缺點：上傳數(shù)據(jù)量較大，增大網(wǎng)絡負載；為Web服務器增加負擔，需要大量的三層結(jié)構(gòu)（表現(xiàn)層，業(yè)務邏輯層，數(shù)據(jù)訪問層）設計同時為數(shù)據(jù)的存儲開辟大量的空間。(三)、數(shù)字簽名技術(shù)驗證模式依賴于發(fā)送方的保密密鑰：1發(fā)送方要抵賴發(fā)送某一消息時，可能會聲稱其私有密鑰丟失或被竊取，從而他人偽造簽名。如A的密鑰確實在時間T被竊取，那么盜竊者就可以偽造A的簽名并且附上早于或者等于時間T的時間戳來騙取客戶的資料或者財產(chǎn)。2仲裁者與盜竊者聯(lián)手否認簽名信息，聯(lián)手偽造發(fā)送方簽名。(四)、水印技術(shù)1從現(xiàn)實的角度看，水印系統(tǒng)必然要在算法的魯棒性、水印的嵌入信息量以及不可覺察性之間達到一個平衡，這涉及魯棒性算法的原理性設計、水印的構(gòu)造模型、水印能量和容量的理論估計、水印嵌入算法和檢測算法的理論研究等方面。如何確定平衡點仍是一個難題，目前大多數(shù)水印算法均利用經(jīng)驗而不是從理論上解決此問題；2所有權(quán)的證明問題還沒有完全解決，就目前已經(jīng)出現(xiàn)的很多算法而言，攻擊者完全可以破壞掉圖像中的水印，或復制出一個理論上存在的“原始圖像”，這導致文件所有者不能令人信服地提供版權(quán)歸屬的有效證據(jù)。因此一個好的水印算法應該能夠提供完全沒有爭議的版權(quán)證明，在這方面還需要做很多工作。目前將水印作為版權(quán)保護的法律證據(jù)還不可能；3現(xiàn)有水印算法中在原理上有許多雷同之處，但目前國內(nèi)外的工作尚未能對這些有內(nèi)在聯(lián)系的不同算法中的共性問題進行高度提煉和深入的理論研究，因而缺乏對數(shù)字水印作進一步研究具有指導意義的理論結(jié)果。 (五)、防火墻技術(shù)防火墻技術(shù)種類繁多，在不同的企業(yè)，不同的商業(yè)模式下需要使用不要同的防火墻技術(shù)。不同的防火墻功能有差異，同時也存在著各自的優(yōu)缺點。1包過濾防火墻配置困難，容易在防火墻上留下漏洞。為特定服務開放的端口存在著危險，可能會被用于其他傳輸。2狀態(tài)/動態(tài)檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網(wǎng)絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網(wǎng)絡通信的規(guī)則存在時。3應用程序代理防火墻必須在一定范圍內(nèi)定制用戶的系統(tǒng)，這取決于所用的應用