电子商务系统安全需求分析.docx
《电子商务系统安全需求分析.docx》由会员分享,可在线阅读,更多相关《电子商务系统安全需求分析.docx(10页珍藏版)》请在冰点文库上搜索。
电子商务系统安全需求分析
电子商务系统安全需求分析
一、电子商务面临各种攻击和风险
由于网络的复杂性和脆弱性,以因特网为主要平台的电子
商务的发展面临着严峻的安全问题。
一般来说,电子商务普遍
存在着以下几个安全风险:
1.信息的截获和窃取
这是指电子商务相关用户或外来者XX通过各种技术
手段截获和窃取他人的文电内容以获取商业机密。
2.信息的篡改
网络攻击者依靠各种技术方法和手段对传输的信息进行中
途的篡改、删除或插入,并发往目的地,从而达到破坏信息完
整性的目的。
3.拒绝服务
拒绝服务是指在一定时间内,网络系统或服务器服务系统
的作用完全失效。
其主要原因来自黑客和病毒的攻击以及计算
机硬件的认为破坏。
4.系统资源失窃问题
在网络系统环境中,系统资源失窃是常见的安全威胁。
5.信息的假冒
信息的假冒是指当攻击者掌握了网络信息数据规律或解密
了商务信息后,可以假冒合法用户或假冒信息来欺骗其它用户。
主要表现形式有假冒客户进行非法交易,伪造电子邮件等。
6.交易的抵赖
交易抵赖包括发信者事后否认曾经发送过某条信息;买家
做了定单后不承认;卖家卖出的商品因价格差而不承认原先的
交易等。
7.病毒攻击
随着互联网的出现,为病毒的传播提供了最好的媒介,
不少新病毒直接利用网络作为自己的传播途径,动辄造成数百
亿美元的经济损失。
8.黑客问题
现如今,黑客已经大众化,不像过去那样非计算机高手
不能成为黑客。
二、明确电子商务安全策略
由于电子商务安全的重要性,所以部署一个完整有效的电
子商务安全风险管理对策显得十分迫切。
制定电子商务安全风
险管理对策目的在于消除潜在的威胁和安全漏洞,从而降低电
子商务系统环境所面临的风险。
下面就各层的主要防御内容从外层到里层进行简要的说明:
1.物理安全
物理安全是整个电子商务系统安全的前提。
制定电子商务
物理安全策略的目的在于保护计算机系统、电子商务服务器等
各电子商务系统硬件实体和通信链路免受自然灾害和人为破坏
造成的安全风险。
2.周边防御
对网络周边的保护能够起到抵御外界攻击的作用。
电子商务
系统应尽可能安装某种类型的安全设备来保护网络的每个访问
节点。
在技术上来说,防火墙是网络周边防御的最主要的手段,
电子商务系统应当安装一道或多道防火墙,以确保最大限度地
降低外界攻击的风险,并利用入侵检测功能来及时发现外界的
非法访问和攻击。
3.网络防御
网络防御是对网络系统环境进行评估,采取一定措施来抵御
黑客的攻击,以确保它们得到适当的保护。
就目前来说,网络
安全防御行为是一种被动式的反应行为,而且,防御技术的发
展速度也没有攻击技术发展得那么快。
为了提高网络安全防御
能力,使网络安全防护系统在攻击与防护的对抗中占据主动地
位,在网络安全防护系统中,除了使用被动型安全工具(防火
墙、漏洞扫描等)外,也需要采用主动型安全防护措施(如:
网络陷阱、入侵取证、入侵检测、自动恢复等)。
4.主机防御
主机防御是对系统中的每一台主机进行安全评估,然后根据
评估结果制定相应的对策以限制服务器执行的任务。
在主机及
其环境中,安全保护对象包括用户应用环境中的服务器、客户
机以及其上安装的操作系统和应用系统。
这些应用能够提供包
括信息访问、存储、传输、录入等在内的服务。
根据信息保障
技术框架,对主机及其环境的安全保护首先是为了建立防止有
恶意的内部人员攻击的首道防线,其次是为了防止外部人员穿
越系统保护边界并进行攻击的最后防线。
5.应用程序防御
作为一个防御层,应用程序的加固是任何一种安全模型中都
不可缺少的一部分。
加强保护操作系统安全只能提供一定程度
的保护。
因此,电子商务系统的开发人员有责任将安全保护融
入到应用程序中,以便对体系结构中应用程序可访问到的区域
提供专门的保护。
应用程序存在于系统的环境中。
6.数据防御
对许多电子商务企业来说,数据就是企业的资产,一旦落入
竞争者手中或损坏将造成不可挽回的损失。
因此,加强对电子
商务交易及相关数据的防护,对电子商务系统的安全和电子商
务项目的正常运行具有重要的现实意义
三、建立安全模型
1 .基于安全电子交易(SET)模型
SET 是一个通过开放网络进行安全资金支付的技术标准,由
VISA 和 MasterCard 组织共同制定,1997 年 5 月联合推出。
SET 向基于信用卡进行电子化交易的应用提供了实现安全措
施的规则。
SET 主要由三个文件组成,分别是 SET 业务描述、
SET 程序员指南和 SET 协议描述。
SET 主要目标是:
(1)信息在 internet 上安全传输,保证网
上传输的数据不被黑客窃取;
(2)订单信息和账号信息的隔离,
当包含持卡人账号信息的订单送到商家时,商家你只能看到订
货信息,而看不到持卡人的账号信息;(3)持卡人和商家相互
认证,以确定通信双方的身份,一般由第三方机构负责为在线
通信双方提供信用担保;(4)要求软件遵循相同协议和报文格
式,使不同厂家开发的软件具有兼容和互相操作的功能,并且
可以运行在不同的硬件和操作系统的平台上。
2.1 根据安全电子商务的目标和要求,有 SET 一般模型。
(1)持卡人:
是发行者发行的支付卡的授权持有者。
(2)商家:
是有货物或服务出售给持卡人的个人或组织。
通常,这些货物或服务可以通过 Web 站点或电子邮件提供账。
(3)支付者:
建立商家的账户并实现支付卡授权和支付
的金融组织。
支付者为商家验证给定的信用卡账户是能用的;
支付者也对商家账户提供了支付的电子转账。
(4)支付网关:
这是由支付者或者指定的第三方完成的功
能。
为了实现授权或支付功能,支付网关在 SET 和现有的银行
卡支付的网络系统作为接口。
在 internet 上,商家与支付网关交
换 SET 信息,而支付网关与支付者的财务处理系统具有一定直
接连接或网络连接。
(5)证书权威机构:
这是为持卡人、商家和支付网关发行
X.509v3 公共密码证书的可信实体。
2.2 SET 的购物流程
(1)持卡人使用浏览器在商家的 WEB 主页上查看在线的商
品目录,浏览商品。
(2)持卡人选择要购买的商品。
(3)持卡人填写订单,包括项目列表、价格、总价、运费、
搬运费、税费。
(4)持卡人选择付款的方式,此时 SET 开始介入。
(5)持卡人发送给商家一个完整的订单及要求付款的指令。
(6)商家收到订单后,向持卡人的金融机构请求支付认可。
通过支付网关到银行,再到发卡机构确认,批准交易。
然后返
回确认信息给商家。
(7)商家发送订单确认信息给顾客。
顾客端软件可以记录交
易日志,以备捡来查询。
(8)商家给顾客装运货物,或完成订单的服务。
到此为止,
一个购买的过程已经结束。
商家可以立即请求银行将钱从购物
者的账户转移到商家账号,也可以等到某一时间,请求成批划
账处理。
(9)商家从持卡人的金融机构请求支付。
在认证操作和支付
操作中间一般会有时间间隔,例如在每天得钱请求银行结算一
天的账目。
2.3 SET 的认证
(1)证书
SET 中主要的证书是持卡人证书和商家证书。
(2)CA
持卡人可从公开媒体上获得商家的公开密钥,但是持卡人无
法确定商家不是冒充的,于是持卡人请求 CA 对商家认证。
CA 的主要功能包括:
接受注册请求,处理、批准(拒绝请
求),办法证书。
2. P2DR 安全模型
如下图所示:
该模型是在整体的安全策略的控制和指导下在综合运用防护工
具的同时,利用检测工具了解和评估系统的安全状态,通过适
当的反应将系统调整到相对最安全和风险最低的状态。
P2DR 强
调在监控、检测、响应、防护等环节的循环过程,通过这种循
环达到保持安全水平的目的。
P2DR 安全模型是整体的动态的安
全模型,所以称为可适应安全模型。
模型的基本描述为:
安全=风险分析+执行策略+系统实施+漏洞监测+实时响应
(1)策略
安全策略是 P2DR 安全模型的核心,所有的防护、检测、响
应都是依据安全策略实施的,安全策略为 安全管理提供管理方
向和支持手段。
策略体系的建立包括安全策略的制订、评估、
执行等。
制订可行的安全策略取决于对网络信息系统的了解程
度。
(2)保护
保护就是采用一切手段保护信息系统的保密性、完整性、
可用性、可控性和不可否认性。
应该依据不同等级的系统安全
要求来完善系统的安全功能、安全机制。
通常采用传统的静态
安全技术及方法来实现,主要有防火墙、加密、认证等方法。
保护主要在边界提高抵御能力。
界定网络信息系统的边界
通常是困难的。
一方面,系统是随着业务的发展不断扩张或变
化的;另一方面,要保护无处不在的网络基础设施成本是很高
的。
边界防卫通常将安全边界设在需要保护的信息周边,例如
存储和处理信息的计算机系统的外围,重点阻止诸如冒名顶替、
线路窃听等试图“越界”的行为,相关的技术包括数据加密、
数据完整性、数字签名、主体认证、访问控制和公证仲裁等。
这些技术都与密码技术密切相关。
边界保护技术可分为物理实体的保护技术和信息保护(防
泄露、防破坏)技术。
物理实体的保护技术。
这类技术主要是对有形的信息载体
实施保护,使之不被窃取、复制或丢失。
如磁盘信息消除技术,
室内防盗报警技术,密码锁、指纹锁、眼底锁等。
信息载体的
传输、使用、保管、销毁等各个环节都可应用这类技术。
信息保护技术。
这类技术主要是对信息的处理过程和传输过
程实施保护,使之不被非法入侵、外传、窃听、干扰、破坏、
拷贝。
对信息处理的保护主要有二种技术:
一种是计算机软、硬
件的加密和保护技术,如计算机口令字验证、数据库存取控制
技术、审计跟踪技术、密码技术、防病毒技术等;另一种是计
算机网络保密技术,主要指用于防止内部网秘密信息非法外传
的保密网关、安全路由器、防火墙等。
对信息传输的保护也有两种技术:
一种是对信息传输信道
采取措施,如专网通信技术、跳频通信技术(扩展频谱通信技
术)、光纤通信技术、辐射屏蔽和干扰技术等,以增加窃听的
难度;另一种是对传递的信息使用密码技术进行加密,使窃听
者即使截获信息也无法知悉其真实内容。
常用的加密设备有电
话保密机、传真保密机、IP 密码机、线路密码机、电子邮件密
码系统等。
(3)检测
检测是动态响应和加强防护的依据,是强制落实安全策略
的工具,通过不断地检测和监控网络和系统,来发现新的威胁
和弱点,通过循环反馈来及时作出有效的响应。
网络的安全风
险是实时存在的,检测的对象主要针对系统自身的脆弱性及外
部威胁。
利用检测工具了解和评估系统的安全状态。
检测包括:
检查系统存在的脆弱性;在计算机系统运行过
程中,检查、测试信息是否发生泄漏、系统是否遭到入侵,并
找出泄漏的原因和攻击的来源。
如计算机网络入侵检测、信息
传输检查、电子邮件监视、电磁泄漏辐射检测、屏蔽效果测试、
磁介质消磁效果验证等。
入侵检测是发现渗透企图和入侵行为。
在近年发生的网络
攻击事件中,突破边界防卫系统的案例并不多见,攻击者的攻
击行动主要是利用各种漏洞。
人们通过入侵检测尽早发现入侵
行为,并予以防范。
入侵检测基于入侵者的攻击行为与合法用
户的正常行为有着明显的不同,实现对入侵行为的检测和告警,
以及对入侵者的跟踪定位和行为取证。
(4)响应
在检测到安全漏洞之后必须及时做出正确的响应,从而把
系统调整到安全状态;对于危及安全的事件、行为、过程,及
时做出处理,杜绝危害进一步扩大,使系统力求提供正常的服
务。
例如关闭受到攻击的服务器。
四、选择并实现安全服务及配置
安全服务( security service)是指提供数据处理和数据传
输安全性的方法 。
主要表现在以下几个方面:
1.机密性服务
机密性服务的目的是保护信息不泄露或不暴露给那些为授
权的实体。
其原理如下所示:
即:
在客户端增加数据加 / 解密模块,实现客户端数据的加
解密,服务器端增加数据加/ 解密模块,实现服务器端数
据的加解密。
数据加 / 解密模块以插件或动态库的方式提
供,主要功能是实现数据的加解密。
加密时,首先产生一
个 128 的 对 称 密 钥 , 对 数 据 进 行 加 密 , 然 后 用 对 方 的 证 书
的公钥,对对称密钥进行加密。
解密方首先使用证书的私
钥解开对称密钥,然后用户对称密钥解密数据。
2. 访 问 控 制 服 务
(1) 访问控制的功能 主要有以下:
一. 防止非法的主体进入受保护的网络资源。
二. 允许合法用户访问受保护的网络资源。
三. 防止合法的用户对受保护的网络资源进行非授权的访
问。
(2)访问控制与其他安全机制的关系
•身分认证
– 身份认证是访问控制的前提
•保密性
– 限制用户对数据的访问(读取操作)可以实现
数据保密服务
•完整性
– 限制用户对数据的修改,实现数据完整性保护
•可用性
– 限制用户对资源的使用量,保证系统的可用性
•安全管理相关的活动
– 访问控制功能通常和审计、入侵检测联系在一
起
升级会员 