偽造:接收者偽造一份文件,聲稱該文件發(fā)自原發(fā)送者�����。
冒充:網(wǎng)上的某個(gè)用戶冒充另一個(gè)用戶接收或發(fā)送信息���。
篡改:接收者對(duì)收到的信息進(jìn)行部分篡改��。
訪問控制機(jī)制
訪問控制是按事先確定的規(guī)則決定主體對(duì)客體的訪問是否合法�。可以保護(hù)系統(tǒng)資源(信息���、計(jì)算機(jī)和通信資源)不被未經(jīng)授權(quán)人或以未授權(quán)方式接入�����、使用����、修改�����、毀壞和發(fā)出指令等����。訪問控制是對(duì)認(rèn)證的強(qiáng)化。
當(dāng)一個(gè)主體試圖非法使用一個(gè)未經(jīng)授權(quán)使用的客體時(shí)���,該機(jī)制將拒絕這一企圖�,并附帶向?qū)徲?jì)跟蹤系統(tǒng)報(bào)告這一事件��。審計(jì)跟蹤系統(tǒng)將產(chǎn)生報(bào)警信號(hào)或形成部分追蹤審計(jì)信息。
數(shù)據(jù)完整性機(jī)制
數(shù)據(jù)完整性包括兩種形式�����,一種是數(shù)據(jù)單元的完整性���,另一種是數(shù)據(jù)單元序列的完整性��。數(shù)據(jù)單元完整性包括兩個(gè)過程�,一個(gè)過程發(fā)生在發(fā)送實(shí)體��,另一個(gè)過程發(fā)生在接收實(shí)體��。保證數(shù)據(jù)完整性的一般方法是:發(fā)送實(shí)體在一個(gè)數(shù)據(jù)單元上加一個(gè)標(biāo)記���,這個(gè)標(biāo)記是數(shù)據(jù)本身的函數(shù),如一個(gè)分組校驗(yàn)�����,或密碼校驗(yàn)函數(shù)��,它本身是經(jīng)過加密的�����。接收實(shí)體是一個(gè)對(duì)應(yīng)的標(biāo)記,并將所產(chǎn)生的標(biāo)記與接收的標(biāo)記相比較��,以確定在傳輸過程中數(shù)據(jù)是否被修改過�����。
數(shù)據(jù)單元序列的完整性是要求數(shù)據(jù)編號(hào)的連續(xù)性和時(shí)間標(biāo)記的正確性��,以保護(hù)數(shù)據(jù)不被未授權(quán)者建立��、嵌入�����、刪除��、篡改��、重放����。如果數(shù)據(jù)被破壞將會(huì)給經(jīng)濟(jì)帶來毀滅性的打擊。
交換鑒別機(jī)制
交換鑒別是以交換信息的方式來確認(rèn)實(shí)體身份的機(jī)制����。用于交換鑒別的技術(shù)有:
口令:由發(fā)送方實(shí)體提供����,接收方實(shí)體檢測(cè)�����。
密碼技術(shù):將交換的數(shù)據(jù)加密��,只有合法用戶才能解密��,得出有意義的明文�����。在許多情況下�,這種技術(shù)與下列技術(shù)一起使用:時(shí)間標(biāo)記和同步時(shí)鐘;雙方或三方"握手"����;數(shù)字簽名和公證機(jī)構(gòu)����。
利用實(shí)體的特征或所有權(quán)���,常采用的技術(shù)是指紋識(shí)別和身份卡等。
業(yè)務(wù)流量填充機(jī)制
這種機(jī)制主要是對(duì)抗非法者在線路中監(jiān)聽數(shù)據(jù)并對(duì)其進(jìn)行流量和流向分析�。采用的方法一般由保密裝置在無信息傳輸時(shí),連續(xù)發(fā)出偽隨機(jī)序列���,使得非法者不知哪些是有用信息���、哪些是無用信息。
路由控制機(jī)制
在一個(gè)大型網(wǎng)絡(luò)中�����,從源節(jié)點(diǎn)到目的節(jié)點(diǎn)可能有多條線路��,有些線路可能是安全的��,而另一些線路是不安全的��。路由控制機(jī)制可使信息發(fā)送者選擇特殊的路由�,以保證數(shù)據(jù)安全。
公證機(jī)制
在一個(gè)大型網(wǎng)絡(luò)中�����,有許多節(jié)點(diǎn)或端節(jié)點(diǎn)。在使用這個(gè)網(wǎng)絡(luò)時(shí)���,并不是所有用戶都是誠(chéng)實(shí)的�����、可信的�,同時(shí)也可能由于系統(tǒng)故障等原因使信息丟失�、遲到等,這很可能引起責(zé)任問題��。為了解決這個(gè)問題��,就需要有一個(gè)各方都信任的實(shí)體�����,也就是公證機(jī)構(gòu)����,如同一個(gè)國(guó)家設(shè)立的公證機(jī)構(gòu)一樣,提供公證服務(wù)�,仲裁出現(xiàn)的問題�。
一旦引入公證機(jī)制�����,通信雙方進(jìn)行數(shù)據(jù)通信時(shí)必須經(jīng)過這個(gè)機(jī)構(gòu)來轉(zhuǎn)換�,以確保公證機(jī)構(gòu)能得到必要的信息�����,供以后仲裁�。
除上述安全機(jī)制外,目前比較流行的技術(shù)XML(extensible Markup Lan?鄄guage���,可擴(kuò)展標(biāo)記語(yǔ)言)在世界范圍內(nèi)正受到廣泛關(guān)注�����,它在很大程度上是因?yàn)槟芙鉀Q電子商務(wù)的技術(shù)問題���。但如何在XML中注入安全機(jī)制,使之更加有效地服務(wù)于電子商務(wù)���,也正在引起人們的重視���。
3 電子商務(wù)中值得關(guān)注的問題
為使電子商務(wù)順利實(shí)施�,除了需要建立一個(gè)完整的安全保障體系外���,還有幾個(gè)認(rèn)識(shí)上的問題值得注意�����。
首先���,對(duì)于任何一個(gè)系統(tǒng)來說,安全都是相對(duì)的�,而不是絕對(duì)的,我們不能追求一個(gè)永遠(yuǎn)也攻不破的安全技術(shù)����。如果要使以后的網(wǎng)站永遠(yuǎn)不受攻擊,不出安全問題是很難的���,所以作為網(wǎng)站的管理者要始終保持清醒的頭腦�,針對(duì)出現(xiàn)的隱患和問題不斷研究新的安全措施�����。
其次,安全問題不僅僅是個(gè)技術(shù)性的問題�����,更重要的還有管理��,而且它還與社會(huì)道德����、行業(yè)管理以及人們的行為模式都緊密地聯(lián)系在一起�。根據(jù)FBI在2001年所做的一份統(tǒng)計(jì)報(bào)告顯示,來自企業(yè)內(nèi)部的信息安全事件的比例驚人���,高達(dá)70%���,其中主要的問題有:?jiǎn)T工濫用Internet、來自內(nèi)部的未授權(quán)存取資料�����、專利信息被竊取�����、內(nèi)部人員的財(cái)務(wù)欺騙和資料或網(wǎng)絡(luò)被破壞等。因此要保證電子商務(wù)的安全�,就要加強(qiáng)企業(yè)內(nèi)部管理,制定相應(yīng)的規(guī)章制度��。
總之�����,用經(jīng)濟(jì)學(xué)的觀點(diǎn)來看網(wǎng)絡(luò)安全問題���,安全是發(fā)展的��、動(dòng)態(tài)的�����,今天安全明天就不一定很安全�。因?yàn)榫W(wǎng)絡(luò)的攻防是此消彼長(zhǎng)��,道高一尺�、魔高一丈的事情,尤其是安全技術(shù)����,它的敏感性�、競(jìng)爭(zhēng)性以及對(duì)抗性都是很強(qiáng)的��,這就需要不斷地檢查��、評(píng)估和調(diào)整相應(yīng)的安全策略�。
沒有一勞永逸的安全,也沒有一蹴而就的安全�,要在實(shí)踐中不斷研究探索��、逐步完善電子商務(wù)的各種安全機(jī)制��。隨著我國(guó)經(jīng)濟(jì)在世界經(jīng)濟(jì)發(fā)展中地位的不斷提高����,保證電子商務(wù)正常、健康地發(fā)展���,是網(wǎng)絡(luò)工作者的責(zé)任和義務(wù)��。保證電子商務(wù)的安全性����,保證經(jīng)濟(jì)信息安全����、快捷的傳送��,一定能加快我國(guó)經(jīng)濟(jì)的發(fā)展�,進(jìn)而提高我國(guó)經(jīng)濟(jì)的科學(xué)技術(shù)水平���。
