会展网站的网络与Internet相连,构成开放性网络,也就必然存在着安全问题。网络的安全性及信息的真实性和准确性,使得很多企业不敢涉足的隐忧。但即使是面对面的交易活动,照样有信誉失衡或被人欺诈的风险。尽管电子商务、网络虚拟空间尚有诸多的不完善,但这些问题都是技术性的,通过技术保密,以及多渠道地了解对方的信用信息,也完全可以避免不该发生的失误。必须剖析网上会展的安全需求,寻求展会网站建设的安全对策。
1、网上会展的安全威胁
网上会展的实施依赖于现代计算机信息技术,由于计算机网络信息的全球性、开放性、扩散性、共享性和动态性等特性,它在存储、处理、使用和传输上存在严重脆弱性,易于受计算机病毒的感染,数据被干扰、遗漏、丢失,甚至被人为泄露、篡改、窃取、冒充、滥用和破坏,从而受到多种安全威胁。
会展网站信息系统的安全风险来源于其社会环境的威胁、技术坏境的脆弱和物理自然环境的恶化。社会环境指各种社会组织机构和人员。技术环境指会展网站信息系统的技术因素,包括:硬件设施、软件设施、网络结构、局域网、信息采集、信息处理、信息传输、信息存储、安全人员管理和技术安全管理等。物理自然环境是指来自物理基础支持能力和自然环境的变化。
(1)社会环境的威胁
社会环境的威胁方主体可能是个人,也可能是竞争对手组织,具体攻击手段主要有:内部窃密和破坏、非法访问、删改、伪造、重演、抵赖、中断与摧毁等。
(2)技术环境的脆弱性
技术环境的脆弱性来源于会展信息系统技术上和管理上的缺陷。包括:网络设备的安全性、操作系统的安全性、协议软件的安全性、系统安全监视乏力、对病毒和黑客侵袭的抵抗不足、应用服务的安全性等。
(3)物理自然环境恶化
物理自然环境恶化是指网上会展信息系统物理基础的支持能力下降或消失,包括电力供应不足或中断、电压波动、静电或强磁场的影响,以及自然灾害的发生等。
2、网上会展的安全对策
会展网站信息网络安全防范包含以下内容:访问控制、识别和鉴别、完整性控制、防火墙系统、密码技术、审计和恢复、计算机病毒防护、操作系统安全、数据库系统安全和抗抵赖协议等等。
(1)访问控制
对用户访问会展网站信息系统的权限或能力的限制,包括限制进入物理区域(出入控制)和限制使用会展网站信息系统资源(存取控制)。
(2)识别和鉴别
针对攻击,网上会展电子商务安全系统至少应提供识别与鉴别机制。识别指分配给每个用户一个ID来代表用户和进程。鉴别是系统根据用户的私有信息来确定用户的真实性,防止欺骗。识别的方法如PID、UID。鉴别最常用的简单方法如口令机制,利用生物技术,根据人的指纹、视网膜等生物信息来提高鉴别强度。现在经常使用的还有数字签名的鉴别方法。
口令机制:口令有时可能被攻破,对抗口令攻击可采取加密、签名和令牌等办法,但最重要的是口令管理。
数字签名:数字签名机制提供了一种鉴别方法,以解决伪造、篡改、冒充和抵赖等问题。数字签名采用一定的数据交换协议,使信息发送方不能否认他发送过数据这一事实,接收方能够鉴别发送方所宣称的身份。数字签名一般采用非对称加密技术,发送者通过对整个明文进行某种变换,得到一个值,作为核实签名。接收者使用发送者的公开密钥对签名进行解密运算,如其结果为明文,则签名有效,证明对方的身份是真实的。数字签名不同于手写签字,手写签字反映某人的个性特征,它是不变的,而数字签名随文本的变化而变化;手写签字是附加在文本之后的,与文本信息是分离的,而数字签名与文本信息是不可分割的。数字签名技术涉及到密钥问题。根据对密钥的管理方式不同,数字签名可分为公开密钥加密的数字签名和常规加密技术的数字签名。
(3)完整性控制
必须采取数据完整性控制技术来识别会展网络信息有效数据的一部分或全部信息是否被篡改,根据数据完整性控制范围的不同,可采用两类技术,即报文认证和通信完整性控制。
(4)防火墙系统
会展信息网络中的防火墙能够保护内部网络免受外界攻击。
防火墙的技术核心是防火墙控制网路传输的技术,如包过滤、链路级网关、应用层网关、状态监控包封过滤。
(5)密码技术
密码算法是一些公式、法则或程序,算法中的可变参数是密钥。密码算法相对稳定,视为常量,而密钥是变量。现代密码学的一个基本原则是"一切秘密寓于密钥之中"。
(6)审计和恢复
审计是指对用户和程序使用会展网络信息资源的情况进行记录和审查,以保证会展网站信息系统的安全,帮助查清事故原因。恢复是指当会展网站信息系统受到损害时,将系统恢复到可接受状态的安全机制,如建立备份系统等。
(7)计算机病毒防护
反病毒技术包括预防病毒、检测病毒和消毒三种技术。反病毒技术的实施对象包括文件型病毒、引导型病毒和网络病毒。网络反病毒技术的具体实现方法包括对网络服务器中的文件频繁地进行扫描和检测,设置功能强大的反病毒防火墙,对网络目录及文件设置访问权限等。
(8)操作系统安全
操作系统安全是指从系统设计、实现和使用等各个阶段都遵循一套完整的安全策略。包括存储器寻址保护、访问控制、认证机制。
(9)数据库系统安全
网上会展电子商务数据库系统的安全需求应包括:物理完整性,政务信息数据能够免于遭受物理破坏(如火灾、水灾、电压波动、掉电等);逻辑完整性,能够保持会展信息数据库的结构完整,比如对某字段的修改不至于影响其他字段;元素完整性,包含在每个元素中的数据是准确的;可用性,指用户通常情况下,可访问会展信息数据库和所有授权访问的数据;用户认证,保证每个用户能够被正确地识别,免遭非法用户的入侵;可审计性,能够追踪到谁访问过会展网站信息数据库。
