欢迎来到天天文库
浏览记录
ID:30795942
大小:287.50 KB
页数:11页
时间:2019-01-03
《建构安全电子商务环境的基础建设》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、.TechnicalOverview建构安全电子商务环境的基础建设您必须知道的基本知识目录前言2简介3电子环境的安全性:重要观念4常见的安全威胁4一般的防护措施5密码技术5公开金钥/私密金钥系统____6数字签章6数字证书在鉴别身份时的应用7数字证书概观9证书的流通9证书废止9证书管理的维护机制9鉴别通讯协议10因特网上的讯息安全性11MIME与S/MIME11SSL技术11S-HTTP协定12电子商务环境应用的安全性12电子数据交换(EDI)的安全性概观12安全电子交易(SET)通讯协议12总结13更多信息14...前言本文件专供负责建构电子商务环境、安全讯息
2、交换及共享商务情报所需的安全环境,正着手进行或正在评估现有技术方案者阅读。本文件的目的在于以概观的角度提供现有电子安全技术面的信息。本文件讲述常见的电子安全解决方案,同时探讨金钥的观念及其倚赖的技术核心。重点将放在公开/私密金钥机制所产生的加密技术,因为该技术已是现今最完善,且最有效率的电子安全技术。另外,本文件亦指出在着手进行任何特定安全基础建设之前所应纳入考量的相关问题。有关本文件中所叙述的任何技术细节之来源取材很广泛。我们建议您阅读由WarwickFord与MichaelS.Baum所著,PrenticeHallPTR1997年发行之安全电子商务(Secu
3、reElectronicCommerce)一书,该书完整涵盖了所有与技术面,及法务层次相关的问题论述。(该书二名作者目前皆任职于VeriSign,分别担任技术和法务方面之高阶主管)简介电子商务(EC)为现今竞争激烈之企业组织所必须执行的策略性方向。电子商务提供了企业创造营收的一个新管道,并可延伸商务触角、降低营运成本,进而建立起全新的商务经营策略。然而,伴随电子商务而来的各种危险性却有时却超过电子商务所赋予企业的美丽远景。这是因为一套运作电子商务的基础建设很容易遭受滥用、误用及故障所致,这些不稳定的因素常是直接导致各种电子商务无法顺利推动的问题。诸如因诈欺而产生
4、的经济损失,或因服务不佳造成客户不满而对企业失去信心等诸多的问题。计算机网络上的入侵事件不胜枚举,诸如1995年花旗银行现金管理系统的入侵事件,同年逮捕到计算机骇客KevinMilnick,以至于一连串发生在美国军方研究机构的攻击事件。另外,根据其它独立研究的结果指出,电子诈欺的层面早已亮起红灯。请看下面的例子:•在线信息遭窃取:根据统计,每年在美国因盗版软件、窃取信用卡卡号、非法存取企业机密等所造成的经济损失超过美金一百亿元。•过去两年中,将近一半的企业皆曾因发生信息安全相关问题而蒙受经济损失。•利用信用卡进行诈欺的损失约为每年美金50亿元。无庸置疑地,想进军
5、电子商务领域的企业一定要有保护自身的方法。然而,如何才是一套适切,且有效的解决方案,的确是许许多多企业亟于想探知的。VeriSign,Inc.公司不但是全球最顶尖的认证中心,在数字证书技术上亦有绝对的技术领先地位。这份文件的目的就在于辅助您评估现今可用来建构一个安全电子商务环境之基础建设的各式解决方案。您将可在本文中获得现有重要安全技术的信息,并了解这些技术背后所仰赖的基础。...电子环境安全性的重要观念一般而言,电子环境的安全性应以是否能达到以下四个基本目标为评估标准:•确保唯有被授权者方能存取信息。•预防未经授权而建立、修改或破坏数据的行为。•保障合法使用者
6、在存取信息时不会遭到拒绝。•确保资源系以合法的方式来使用。要达成上述目标的主要方式是维护通讯安全,即当信息由一系统被传送至另一系统时的保护过程;以及计算机安全,即储存于计算机系统内之数据的安全。这些方法必须与其它安全措施共同配合运作,包括:•实体安全措施,例如:门锁、通行证件和生化扫瞄仪器。•人员安全措施,例如:员工的身家背景查核。•管理机制的安全措施,例如:对安全危害的预防管理措施。•信息/数据的安全措施,例如:对高敏感度数据的复制管制。•在线安全措施,或在线数据的存取管制。在设计一套适当的电子商务环境之基础建设时,除了单纯考量通讯及计算机设备之安全性外,上述
7、的安全措施是不应忽略的。常见的安全威胁在电子世界中,会对安全性造成威胁的情形包括下列各项:•非法存取(UnauthorizedAccess):指未经授权者进入计算机系统中,存取数据的情形;或合法授权者另有目的地使用系统。•侵入(Planting):攻击者在入侵系统后离去,并为日后的攻击行为预留管道。如:特洛伊马病毒。•通讯监听(CommunicationMonitoring):攻击者无须入侵系统即可窃取到机密讯息。•诈欺(Spoofing):攻击者伪造数据或通信程序以窃取机密信息。例如,安装伪造的服务器系统以欺骗使用者主动泄漏机密。•拒绝服务(ServiceDe
8、nial):攻击者造成合
此文档下载收益归作者所有