引言:易發表網憑借豐富的文秘實踐�����,為您精心挑選了九篇信息安全技術論文范例�。如需獲取更多原創內容,可隨時聯系我們的客服老師�����。
第1篇
屆時���,大會將設立 “信息系統整體安全保護的有效途徑”和“電子認證服務的解決之道” 兩個分論壇�,并集納各界經典名篇、學術成果�����、研究課題�、應用經驗,編輯出版《2012中國信息安全技術展望學術論文集》��,其中優秀論文將擇優在《信息安全與技術》雜志(國家級刊物)上刊登���,并全文收錄于《中國學術期刊網絡出版總庫》及CNKI系列數據庫�、《中文核心期刊(遴選)數據庫》、《中文科技期刊數據庫》�。
征文內容如下:
1.計算機安全、下一代網絡安全技術�;
2.網絡安全與網絡管理�、密碼學���、軟件安全�����;
3.信息系統等級安全保護����、重要信息系統安全;
4.云計算與云安全�����、物聯網的安全��;
5.移動互聯網的安全信息安全保障體系�����、移動計算平臺安全性研究;
6.信息內容安全����、通信安全��、網絡攻防滲透測試技術;
7.可信計算��;
8.關鍵基礎設施安全�����;
9.系統與網絡協議安全分析;
10.系統架構安全分析;
11.面向業務應用的整體安全保護方案;
12.信息安全漏洞態勢研究���;
13.新技術新應用信息安全態勢研究;
14.Web應用安全;
15.計算機系統安全等級保護標準的實施與發展現狀�����;
16.國內外電子認證服務相關政策與標準研究�����;
17.電子認證服務最新技術和產品���;
18.電子認證服務應用創新����;
19.電子認證服務行業研究和熱點事件解析���;
20.可靠電子簽名與數據電文的認定程序/技術規范/應用規范/應用案例分析��;
21.數字證書交叉認證技術規范/應用規范/應用案例分析��;
第2篇
關鍵詞:電子商務;信息安全技術
一、電子商務發展存在的風險
第三方的電子交易平臺在網絡上對于信息進行儲存、記錄、處理、和傳遞,以此來協助一次網絡消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私�。但是�,現在的網絡環境比較惡劣�����,有很多網絡陷阱以及刻意挖掘用戶信息的“黑客”����,從而導致基本信息出現失真����、泄露和刪除的危機���,不利于正常電子商務交易的完成���。對于電子商務信息大致上可以分為以下幾類:第一��,信息的真實性�����;第二����,信息的實時性���;第三��,信息的安全性��。首先,是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑,應該絕對真實。一旦出現虛假信息���,則屬于欺騙消費者,是危害消費者權益的不法行為。其次��,是信息的實時性��。信息的實時性主要是指信息的保質期����。因為很多信息只在一段時間內有效�����,具有時效性,一旦錯過這段關鍵時期����,那么該信息則失去自身的價值��,變得一文不值。最后�,就是信息的安全性�����,這也是消費者最為關心的問題。電子商務出現的安全性問題主要表現為客戶的信息被刪除����、篡改從而失真�����,同時也表現為用戶的信息被竊取從而達成其他目的,使得用戶的隱私被侵犯����,正常的生活受到打擾��。
二、電子商務的信息安全技術的內容
2.1 備份技術�����。相信備份技術對于大眾來說不是很陌生���。但是很多人卻錯誤的將備份理解為拷貝�,從而片面的看待這個問題��。電子商務對于網絡環境有很大的依賴性�����,網絡環境自身卻存在極大的不穩定性,這就導致電子商務的發展存在不可避免的風險��,如果沒有一個數據庫對于基本信息進行存儲����,那么一旦出現系統故障或者誤刪的情況則信息永遠消失,這對于商家來說是極其可怕的����,因此�,電子商務的第三方有一個信息儲存庫�����,旨在在必要的時刻段時間內將客戶的信息及時恢復�����。這種恢復不是簡單的�、傳統意義上的恢復�����,而是通過備份介質得以完成的��。這樣的話,在系統故障或者其他原因導致信息在短時間內無法正?����;謴蜁r���,可以借助儲存在備份介質中的信息將信息還原到原來的備份狀態���。2.2 認證技術�。所謂認證技術其實一個專業術語���,道理實際上很簡單���,就是我們常說的登錄口令���。認證技術的目的主要在于阻止不具有系統授權的用戶進行非法的破壞計算機機密數據����,是數據庫系統為減少和避免各種破壞電子商務安全的重要策略。登陸口令是我們正常用戶進行電子商務平臺登錄的方式,是大眾在網絡環境下的身份證�����。我們每一個用戶在使用某一個電子商務平臺之前都被要求進行注冊����,從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨一無二的����,是我們進行網上交易的身份認證和識別���。因為電子商務平臺往往具有開放性��,一旦沒有身份認證后果將不堪設想�����。人們的信息安全更是沒有任何保障�。2.3 訪問控制技術����。訪問控制技術也可以理解為訪問等級制度,電子商務的系統會根據用戶的不同等級對于用戶對于系統數據的訪問進行一定的控制�。等級較低時����,則用戶的訪問權限有限����,一些重要的關鍵的信息則被系統禁止訪問,只要當等級較高時才能獲得相關權限��,這就保證了一些重要信息不會被竊取�����。關于用戶的訪問權限也有兩層含義���,首先是用戶能夠獲得數據庫中的信息種類和數量����,另一層含義則是指用戶對于獲取的數據庫信息進行怎樣的操作。
第3篇
關鍵詞:稅收信息化;信息狀態安全���;信息轉移安全;信息安全技術
從三個方面來考慮:首先是信息狀態安全,即稅務系統安全��,要防止稅務系統中心的數據被攻擊者破壞��。稅務系統要通過Internet對納稅人提供納稅便利,必須以一定的方式將它的數據中心開放�,這對稅務系統本身帶來了很大的風險�。其次是信息轉移安全��,即服務安全�,如納稅人識別號����、口令、納稅金額等在傳輸中不被冒用���、泄露和篡改。再次是安全管理制度�����,即使用安全��,保證稅務人員正確�、安全的使用����。本文主要針對以上前兩個方面也就是信息安全技術進行研究。
一��、信息狀態安全技術
信息狀態安全主要包括系統主機服務器安全�����、操作系統安全和數據庫安全三個方面���。
(一)系統主機服務器安全(ServerSecurity)
服務器是存儲數據����、處理請求的核心����,因此服務器的安全性尤為重要�����。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護���,對非法接觸服務器配件具有一定的保護措施�����,比如加鎖或密碼開關設置等;同時,服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性,不會因為大量的訪問導致服務器崩潰�;服務器要能夠支持基于硬件的磁盤陣列功能�����,支持磁盤及磁帶的系統、數據備份功能���,使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復,保證服務器的不間斷運行�����;服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面�,這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率。
(二)操作系統安全(OperatingSystemSecurity)
設置操作系統就像為構筑安全防范體系打好“地基”���。
1.自主訪問控制(DiscretionaryAccessControl,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問���。為實現完備的自主訪問控制�����,由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中��。訪問控制矩陣中的每行表示一個主體�,每列表示一個受保護的客體���,矩陣中的元素表示主體可對客體的訪問模式���。以基于行的自主訪問控制方法為例����。它是在每個主體上都附加一個該主體可訪問的客體的明細表,根據表中信息的不同可分為三種形式:(1)權力表(CapabilitiesList)���,它決定是否可對客體進行訪問以及可進行何種模式的訪問。(2)前綴表(PrefixList)�,它包括受保護客體名以及主體對客體的訪問權�����。(3)口令(Password),主體對客體進行訪問前,必須向稅務操作系統提供該客體的口令��。對于口令的使用���,建議實行相互制約式的雙人共管系統口令���。
2.強制訪問控制(MandatoryAccessControl�����,MAC)。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊��,這就需要利用強制訪問控制來采取更強有力的訪問控制手段����。在強制訪問控制中,稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性����,系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體�����。稅務系統一般可采取兩種強制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用��,該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息��。在確信用戶自己不會泄露文件的前提下����,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅����。(2)限制編程。鑒于稅務系統僅需要進行事務處理�����,不需要任何編程的能力��,可將用于應用開發的計算機系統分離出去�,完全消除用戶的編程能力�����。
3.安全核技術(SecurityKernelTechnology)。安全核是構造高度安全的操作系統最常用的技術��。該技術的理論基礎是:將與安全有關的軟件隔離在操作系統的一個可信核內�,而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則:(1)完備性(Completeness),要求使主體必須通過引進監控器才能對客體進行訪問操作��,并使硬件支持基于安全核的系統。(2)隔離性(Isolation)�����,要求將安全核與外部系統很好的隔離起來���,以防止進程對安全核的非法修改����。(3)可驗證性(Verifiability),要求無論采用什么方法構造安全核���,都必須保證對它的正確性可以進行某種驗證。
其他常見措施還有:信息加密�、數字簽名�、審計等�,這些技術方法在數據庫安全等方面也可廣泛應用,我們將在下面介紹���。
(三)數據庫安全(DatabaseSecurity)
數據庫是信息化及很多應用系統的核心,其安全在整個信息系統中是最為關鍵的一環�,所有的安全措施都是為了最終的數據庫上的數據的安全性����。另外����,根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求�����,數據庫需要提供安全性控制的層次結構和有效的安全性控制策略��。
數據庫的安全性主要是依靠分層解決的,它的安全措施也是一級一級層層設置的����,真正做到了層層設防���。第一層應該是注冊和用戶許可�����,保護對服務器的基本存取����;第二層是存取控制����,對不同用戶設定不同的權限����,使數據庫得到最大限度的保護;第三層是增加限制數據存取的視圖和存儲過程,在數據庫與用戶之間建立一道屏障?���;谏鲜鰯祿鞂哟谓Y構的安全體系�,稅務網絡信息系統需要設置對機密和非機密數據的訪問控制:(1)驗證(Authentication)����,保證只有授權的合法用戶才能注冊和訪問;(2)授權(Authorization),對不同的用戶訪問數據庫授予不同的權限����;(3)審計(Auditing),對涉及數據庫安全的操作做一個完整的記錄,以備有違反數據庫安全規則的事件發生后能夠有效追查����,再結合以報警(Alert)功能�����,將達到更好的效果。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定�����,這樣用戶只能取得對視圖和存儲過程的授權,而無法訪問底層表。視圖可以限制底層表的可見列��,從而限制用戶能查詢的數據列的種類�。二、信息轉移安全技術
信息轉移安全即網絡安全。為了達到保證網絡系統安全性的目的�,安全系統應具有身份認證(IdentificationandAuthentication)�����;訪問控制(AccessControl);可記賬性(Accountability);對象重用(ObjectReuse)����;精確性(Accuracy)���;服務可用性(AvailabilityofServices)等功能���。
1.防火墻技術(FirewallTechnology)
為保證信息安全���,防止稅務系統數據受到破壞����,常用防火墻來阻擋外界對稅務局數據中心的非法入侵����。所謂防火墻����,是一類防范措施的總稱,是指在受保護的企業內聯網與對公眾開放的網絡(如Internet)之間設立一道屏障����,對所有要進入內聯網的信息進行分析或對訪問用戶進行認證���,防止有害信息和來自外部的非法入侵進入受保護網���,并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散����,從而保護內部系統的安全����。防火墻的實質是實施過濾技術的軟件防范措施。防火墻可以分為不同類型��,最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻����。兩種防火墻各有千秋,IP層防火墻對用戶透明性好���,應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可��,常常將兩種防火墻結合使用��,以互相補充,確保網絡的安全�����。另外��,還有專門用于過濾病毒的病毒防火墻����,隨時為用戶查殺病毒�����,保護系統�。
2.信息加密技術(InformationEncryptionTechnology)
信息加密包括密碼設計、密碼分析�����、密鑰管理�、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式���,經過線路傳送,到達目的端用戶再把密文還原成明文����。對數據進行加密是防止信息泄露的有效手段���。適當的增加密鑰的長度和更先進的密鑰算法���,可以使破譯的難度大大增加����。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography)����,即加密與解密時使用相同的密碼��。私鑰加密體制包括分組密碼和序列密碼兩種���。分組密碼把明文符號按固定大小進行分組��,然后逐組加密。而序列密碼把明文符號立即轉換為密文符號,運算速度更快,安全性更高�����。(2)公鑰加密體制(Public-keyCryptography)�����,其加密密鑰與解密密鑰分為兩個不同的密鑰�,一個用于對信息的加密�,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰����。
在傳輸過程中�,只有稅務系統和認證中心(AuthenticationCenter��,AC)才有稅務系統的公開密鑰�����,只有納稅人和認證中心才有納稅人的公開密鑰,在這種情況下,即使其他人得到了經過加密后雙方的私有密鑰���,也因為無法進行解密而保證了私有密鑰的重要性��,從而保證了傳輸文件的安全性�。
3.信息認證技術(InformationAuthenticationTechnology)
數字簽名技術(DigitalSignatureTechnology)��。數字簽名可以證實信息發送者的身份以及信息的真實性���,它具備不可偽造性�����、真實性、不可更改性和不可重復性四大特征�����。數字簽名是通過密碼算法對數據進行加密����、解密交換實現的,其主要方式是:信息發送方首先通過運行散列函數�,生成一個欲發送報文的信息摘要��,然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名�,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方��。接收方在接收到信息后��,首先運行和發送方相同的散列函數生成接收報文的信息摘要,然后再用發送方的公開密鑰對報文所附的數字簽名進行解密,產生原始報文的信息摘要�,通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性���。
完整性認證(IntegrityAuthentication)�。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實����。常用的方法是:信息發送者在信息中加入一個認證碼��,經加密后發送給接收者檢驗��,接收者利用約定的算法對解密后的信息進行運算,將得到的認證碼與收到的認證碼進行比較����,若兩者相等�����,則接收,否則拒絕接收�����。
4.防病毒技術(Anti-virusTechnology)
病毒防范是計算機安全中最常見也是最容易被忽視的一環�。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施,來最大限度地加強網絡端到端的防病毒架構�����,再加上防病毒制度與措施���,就構成了一套完整的防病毒體系����。
參考文獻:
[1]楊懷則.稅收信息化建設存在的問題及建議[J].草原稅務,2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至陽.現代操作系統教程[M].北京:高等教育出版社,2000.
[4]陸楠.現代網絡技術[M].西安:西安電子科技大學出版社,2003.
第4篇
氣象信息的采集:氣象信息對道路通信安全具有直接的影響,風向�、風力大小等對行車阻力��、抗滑能力、能量損耗等都具有直接的關系�����。另外���,能見度是直接影響道路行車安全的因素之一���,同時也是高速公路行車速度限制條件之一��。當能見度較低是,往往容易出現追尾等交通事故,因此,在霧霾天氣中�,需要對高速公路行車速度進行一定的限制�。雨雪天氣以及酷暑�、嚴寒等天氣狀況會對道路表面發生作用,影響道路的通行能力。因此,在道路安全管理過程中,可以利用氣象信息采集技術�����,及時掌握當地的氣象條件����,氣象信息采集設備包括濕度計、溫度計�、雨量計�����、能見度儀、自動氣象站等���,需要根據具體的需要選擇針對性的設備。交通信息的采集:交通信息主要包括車輛占有率、道路交通量、車頭時距�����、車長、車速�����、交通密度等�。通過對這些交通信息的采集�����,能夠為道路使用情況分析提供有力的依據�,這些信息在很大程度上決定了道路交通運行的情況��。同時�����,利用這些交通數據信息,能夠為交通管理系統�����、事件預測等提供有用的信息����。交通信息往往是動態的信息,有的直接能夠通過測量得到,有的必須通過幾個測量參數的結合計算才能分析出來。現階段���,交通信息采集技術主要包括磁力計測量技術、感應線圈檢測技術、紅外線�、超聲波檢測技術��、視頻圖像處理技術等。緊急信息的采集:道路交通運行過程中,有時會遇見緊急情況,主要包括交通事故、自然災害等等���。這些緊急事故發生后,肯定造成交通堵塞、擁擠�,影響道路交通正常運行�����,對此類緊急信息的采集�,還需要包括對交通違章監測,為交通執法以及預防事故發生提供有力的依據��。目前對緊急信息的采集技術主要包括自動檢測技術與非自動檢測技術兩種����,非自動檢測技術容易受到天氣、自然環境等因素的影響��,并且運行成本較高�,因此一般采用自動事件檢測技術。通過在道路沿線安裝攝像頭等設備�,實現對道路運行的設施監控���,并根據具體的情況��,做好事件預測和預防工作,提高道路安全管理的質量���。
2信息技術在道路安全管理中的應用
如果說對氣象、交通���、緊急事件信息的采集是實施道路安全管理的基礎,那么對這些信息的高效及時就是道路安全管理的重中之重�����。在道路交通運營過程中��,交通狀況處于不斷的變化中�����,不良的天氣氣候因素(大風、雨雪���、霧霾等)會對道路運行安全造成很大的影響,容易引發車輛拋錨��、追尾等突發緊急事故,從而降低道路交通的通行能力�。所以,道路運行網絡系統�,需要將相關的信息及時準確的出來�����,為駕駛員行車路線的選擇提供有力的依據。為了能夠保證信息系統能夠發揮對道路安全管理的作用���,要求道路網絡信息系統具備一定的功能,具體的功能要求體現在以下幾個方面:
(1)能夠及時準確的氣象信息���;
(2)能夠為用戶提供有關道路中路面、隧道�����、橋涵等狀態信息�,還包括各種設備的檢修情況;
(3)具備道路使用信息的功能��,能夠提供道路運行狀態���,包括堵塞�、關閉、事故�����、施工或通暢�����,為駕駛員線路選擇提供依據��;
(4)具備道路限速信息功能;
(5)具備警告信息的能力�����,包括違章警告�����、擁擠警告、排隊警告����、施工警告��、事故警告、環境警告等����;
(6)對限速原因�、限速值等信息的供功能��。信息技術主要包括圖形式可變信息板�����、移動通訊、文字式可變信息板、交通廣播���、車載系統、路旁無線電等。各種信息方式都具有各自的優缺點,如車載系統具有信息量大�����、針對性強�����、信息及時等優點����,但同時也具有投資大��、技術要求高等缺陷。再如可變限速標志能夠加強駕駛員對限速的重視�,并了解限速原因�,但缺點在于其的信息較為單一。在道路交通安全管理過程中,需要根據不同信息對象�,選擇不同的信息技術����。信息對象主要包括駕駛員���、交通救援部門���、交通管理部門等�。
3道路安全管理總信息技術發展方向
隨著科技水平的進步,越來越多先進的信息技術應用到道路安全管理中,同時信息通信技術���、傳感技術、人工智能技術等也得到了長足的進步。基于此,道路安全管理工作中信息技術發展前景主要表現在以下幾個方面:
(1)信息技術整體性能提升�����。特別是傳感器技術的發展����,強化了檢測器各項功能。一方面,根據電磁場變化原理�,開發功能更加強大的車輛檢測器���,改進信號處理裝置以及探頭��,提高檢測器的使用壽命;另一方面,基于超聲波�、微波等電磁感應原理��,提高檢測器的抗干擾能力���,提高檢測器的安裝����、維護簡單性。
(2)系統化����、機電一體化發展前景����。以信息技術為基礎��,充分利用科學計算方法以及人工智能技術���,使道路安全管理信息化技術向著更加智能化�、系統化的方向發展����。如感應線圈智能交通流量檢測儀、遙感微波檢測器��、紅外線定位攝像系統等的開發與研究��。
(3)在現有的信息技術基礎上��,加強對新技術的開發,包括用新的計算機圖像處理技術��,代替傳統的視頻監測技術��,實現對更多車輛運行參數的在線監測�,提高交通監控圖像識別的準確性與實時性���。
4結語
第5篇
當前�,網絡信息安全形勢嚴峻���,國內有關評估工作還處于起步階段�����,云南電信在這方面作了積極的探索��。云南電信2013年成立信息安全評估專家項目組,項目組經過研究工業和信息化部以及集團總部相關文件,一致認為要在集團規范指導下抓細節�、治痛點�����,不能流于形式���,應通過創新��,完善評估流程和方法,真正使信息安全評估為新技術新業務的運營保駕護航��,所做工作要對800多萬云南電信用戶負責�����,要能有效地防范用戶隱私泄露和惡意扣費的風險����。
2云南電信的創新實踐
云南電信公司新技術新業務信息安全評估的創新性實踐�����,主要從機制�����、管理和技術手段方面進行執行細化��,具體創新點如下���。
2.1基于二加一多層次的信息安全評估模式創新
項目依據新技術信息安全評估的總體原則��,從解決業務運營中可能出現的安全技術風險和安全管理風險出發,采用機制設計、管理控制和技術監測建立一套新型多維度的信息安全評估模式��。該模式包含兩個內部評估機制��,即輸出新業務項目組自評估報告和信息安全專家評估報告���;一個外部技術測評��,即輸出第三方安全測評系列報告,故稱為二加一評估模式。新業務項目組自評估報告重點要求開發方承諾在產品中沒有無關后門程序存在,同時要求電信業務管理部門��、維護支撐部門及開發方組成的項目組對產品按模板條款進行全面梳理����,保證產品上線和運營營銷后,其信息安全從技術�、管理措施方面按模板要求合法合規�����,且項目組所有成員應達成共識,簽字確認。由業務管理和建設維護、IT支撐部門組成的專家組對新技術新業務的自評估報告���、新業務的安全管理措施和第三方安全測評報告共同進行審查,各方面達標則出具信息安全評估報告,不達標則對項目組提出整改要求�。此外��,本評估模式還包括年度業務評估計劃統計、已評估檔案管理和評估數據積累機制,以確保評估工作的嚴謹和權威性����。
2.2基于新業務平臺測評手段的評估技術集成創新
通過具有安全服務能力評定資質的第三方機構對新技術新業務進行平臺安全脆弱性掃描,出具第三方安全測評系列報告�����,報告新業務的平臺漏洞狀態���、賬戶弱口令狀態�、主機安全危險狀態等信息。如果新產品有移動APP客戶端��,則通過國家信息產業通信軟件測評中心的移動互聯網應用測試服務平臺和手機應用安全測試儀����,對業務加測移動惡意代碼程序和手機病毒進行掃描,出具相應的測評報告����。有安全隱患的發回整改���,復查達標才算報告完結����。同時,業務上線運營后還將定期對業務進行跟蹤復測,出現安全漏洞或病毒的出具復測通知書����,限期整改���。項目在技術手段方面的集成創新���,充分保障了新技術新業務運營的可靠性和安全性,為電信運營商業務的長期應用和持續發展提供了重要的技術支撐��。
3推廣效果
本項目實施從2013年第四季度正式啟動���,選定了涵蓋前后端的專家組成員���,初步確定了評估流程和方式���,開始進行評估實踐���。2014年3月��,根據實踐���,在評估工作中細分出項目組自評估報告和專家評估報告�,重點要求產品開發方簽字承諾在產品中沒有無關后門和惡意程序存在����,并要求所有省級新技術新業務必須進行信息安全評估,通過評估后方能上線運營�。2014年7月��,隨著手機惡意吸費、用戶隱私泄露等移動互聯網安全事件的增多�����,為了更加嚴謹評估移動類新業務的安全狀況�����,引入了技術量化測評����,云南電信開始針對新業務移動APP客戶端��,委托具有安全評定資質的第三方單位進行移動惡意程序和手機病毒的掃描測評,不達標的要求整改復測。從2015年1月開始,云南電信開始委托具有安全資質的第三方單位進行新業務平臺安全掃描測評,同樣���,不達標的要求整改加固,完成后再次復測,達標后專家組才簽字通過�。至此�,完善而成體系化的云南電信評估流程基本建成�,新技術新業務信息安全評估的創新實踐對云南電信新技術新業務運營管理起到了質的提升作用。自2014年以來,信息安全評估工作已覆蓋云南電信所有部門和單位的新技術新業務����,業務類型包括信息服務類�、視頻監控類�����、娛樂類���、移動即時通信類����,產品形式包括Web���、WAP、APP�、iTV等類型�����。在評估過程中通過安全測評確實發現多起安全漏洞,甚至是高危漏洞����,有些業務管理賬號存在弱口令設置,有些信息功能審查缺失等。通過嚴格評估后�����,上線運營的新技術新業務目前均工作穩定正常��,未出現過任何信息安全事故�����,這無形中為企業和用戶挽回了潛在的經濟損失。因此�,云南電信的評估工作也得到了集團總部和政府管理部門的肯定��。今后本項目提供的評估流程將繼續嚴格實施,并有望在中國電信全國體系中推廣。
4信息安全評估創造性工作的思考
在信息安全評估創造性工作過程中���,有以下幾點思考。第一,今后的評估工作應分級分類,根據不同的等級和風險程度����,執行不同的評估措施����。如對于涉及視頻監控��、位置服務和用戶自媒體發送功能的技術業務��,應提升測評審查等級。第二,應加大對評估測評技術的研究和應用,黑客的技術手段在不斷翻新發展��,因此��,安全評估測評的技術和方式也應與時俱進�����。同時��,信息安全評估過程并不代表一勞永逸����,定期業務抽查復測也非常必要�。第三,應加大對安全評估和安全技術人員的培養�����。人才是信息時代的第一要素���,不僅要培養通信和互聯網人才�����,還要重視信息安全專業人才的培養�����;同時,信息安全人員的穩定性也不容忽視����。第四�,對信息安全評估的建立檔案管理和評估數據積累機制也至關重要�,這既是為新技術新業務安全建檔,也是信息安全工作管理和經驗的積累過程����。第五�����,信息安全評估是對業務運營的事前進行安全防范,與此同時�,事中安全監控和技術攔截���、事后的應急處置能力也是電信運營商必須同等重視的環節��。
5結束語
第6篇
【關鍵詞】電力自動化;通信技術�;信息安全
電力行業在國民經濟中占主導地位��,近幾年,憑借科技不斷發展���,電力行業正日益向自動化方向邁進。通信技術在電力自動化中起到了舉足輕重的作用�,但其涉及到的信息安全問題卻關系到供電穩定性與安全性����。因此���,強化對信息安全方面的探究�,找出現階段存在的問題,采取有效防護措施予以處理和加強��,是具有重要作用與現實意義的����。
1信息安全防護范圍與重點
某城區通信網的主要任務為對市區內22座變電所提供縱向通信,所有通信網均采用光纖通信電路��,根據方向的不同��,可分成東部與西部兩部分��。其中,東部采用ATM網絡����,設備選擇為Passport6400���;西部采用IP+SDH交換機網絡,設備選擇為Accelar1100與150ASDH��。該市區通信網負責縣級調度與少數樞紐變電所通信����,主要采用自帶兩類適配端口的設備。在通信網中�,信息安全防護范圍為整個信息通信網�,主要防御對象為黑客或病毒等經過調度數據網絡與實時監控系統等主動發起的攻擊與破壞����,確保傳輸層上的調度數據網絡與實時監控系統可靠、穩定、安全運行����。
2安全防護原則分析
電力調度數據網絡與實時監控系統在實際運行過程中各個變電所和調度通信中心之間存在若干條縱向通信�����,根據相關規定,在系統總體技術層面上主要提出以兩個隔離為核心的安全防護基本原則。其中,涉及通信隔離的基本原則可總結為以下幾點:(1)為確保調度數據網運行安全��,網絡需要在通道上借助專用網絡的設備組網���,并采取同步數字序列或準同步數字序列�����,完成公用信息網絡及物理層面上的有效安全隔離�;(2)根據電力系統信息安全防護技術路線明確的有關安全防護區涉及的幾項基本原則����,為所有安全防護區當中的局域網均提供一個經過ATM配置的虛擬通信電路或者是經過同步數字序列配置的通信電路,采取這樣的方式為各個安全等級提供有效的隔離保護[1]�。
3通信網絡的安全分析
根據上述目標要求與基本原則,通信網必須向不同的應用層提供具有良好安全性的傳輸電路���,即VirtualPrivateNet-work�����,虛擬專用網絡,其原理如圖1所示。該市區已經完成了各項初步設計工作,具備充足的條件嚴格按照目標要求與基本原則開展后續工作����。在現有通信網的ATM系統中�,根據實時要求或非實時要求��,已完成對四個安全區的有效劃分����,每一個安全區都可以配置虛電路��,因虛電路的端口主要適配于ATM系統的適配層�����,借助ATM系統的信元完成信息傳輸,各個虛電路的內部連接屬于典型的端與端物理式連接,不同虛電路之間不涉及橫向上的通信�,并且與外界也不存在通信聯系����。因此�����,對于通信網絡的ATM系統而言��,其在虛擬專用網絡方面的虛電路之間主要為物理隔離,不同區的虛擬專用網絡傳輸具備良好的安全性。對1100IP交換機系統而言����,它需要承擔不少于四個區的實時業務通信,因為這些業務通信區在所有站上都采用交換機完成傳輸與匯接��,不同區之間僅僅是根據IP地址方面的差異而進行劃分����,形成各自的VLAN(VirtualLocalAreaNetwork,虛擬局域網)����,區之間并未完成原則上要求的物理隔離�,作為虛擬專用網絡主要傳輸鏈路����,無法滿足其在專用局域網方面的基本要求[2]。根據上述分析結果可以看出���,該城區通信網絡將ATM視作虛擬專用網絡的信息傳輸鏈路基本滿足安全性要求,但交換機實際傳輸與匯接卻存在不同程度的安全隱患���,違背了安全防護方面提出的各項基本要求,為了從本質上確保通信網絡安全�,必須對此予以有效改造���,可采取如下改造方案:充分利用西部系統現有電路����,增設2M/10M適配設備����,借助同步數字體系為所有安全區構建透傳電路,在中心站集中交換機�����,每個安全區都配置一個交換機��,以此達到“一區一網”的根本目標,即一個安全區配置一個虛擬專用網絡��。
4安全防護技術手段
該城區設置的電力信息通信網本質上屬于專門為電力系統提供服務的通信網絡����,其自身作用較為單一�����,僅為信息中心和調度通信中心與各個變電所間的通信,根據安全防護提出的各項基本原則��,充分考慮現階段網絡基本狀況�,可實施采取以下技術手段:(1)切斷與外界之間的直接通信,確保系統和外界不存在直接通信關系��;(2)采用同步數字體系向所有安全防護區提供專用電路��,同時采用速率適配裝置等實現和業務端之間的連接��;而不同業務端之間則可以使用點與點的方式進行通信,以此滿足安全防護區以內通信業務方面的縱向通信要求����。由同步數字體系設置的專用電路通常不會產生橫向通信[3]�����;(3)由ATM系統向所有安全防護區提供虛電路,以此構成一個完整的虛擬專用網絡����,并確保不同虛擬專用網絡間沒有產生橫向通信的可能��;(4)城區整體電力信息通信網與市縣級通信網在完全相同的安全防護網中構成相同的虛擬專用網絡。
5總結
(1)根據電力系統信息安全防護明確的防護范圍與各項圖1虛擬專用網絡基本原理低碳技術基本原則�,對某城區所用通信網潛在的各類安全問題進行深入分析,并結合現階段實際發展要求,提出一系列技術手段,為制定合理����、有效的處理方案提供依據��。(2)該城區電力信息通信網本質上屬于一個具有封閉性特點的單一用途通信網絡,可實現與外部間的完全隔離以及系統內部電路之間的相互隔離,其具備的安全防護能力可以很好的滿足系統安全運行要求�����。然而��,考慮到系統安全防護水平的提高必然會引起相關要求的改變�,因此以上結論僅限當前水平�。
作者:周建新 單位:國網湖南省電力公司沅江供電分公司
參考文獻
[1]程雪.電力自動化通信技術中的信息安全及應用[J].網絡安全技術與應用,2014(12):46+48.
第7篇
在利益的驅使下,部分不法分子企圖通過不合法的網絡系統攻擊方式對網絡通信進行人為的攻擊從而獲取大量的網絡資源。這些“黑客”的攻擊不僅出現在商業管理終端等能夠獲取大量經濟利益的領域��,甚至還可能出現在個人的計算機中獲取個體用戶的信息���,給用戶的信息安全造成重大隱患���。應該客觀認識的是����,我國網絡通信在人們生活水平不斷提升及通信方式變革的背景下發展速度一日千里,但是作為保障的信息安全維護工作卻與網絡通信的發展現狀存在較大差距。再加上網絡通信管理部門對于網絡通信信息安全認識不足、網絡通信管理制度不健全等問題也加劇了網絡通信信息安全隱患,甚至給整個互聯網通信系統帶來安全隱患�����,給不法分子以利用的機會���。正是基于當前我國網絡通信中信息安全的嚴峻現狀及在這一過程中所出現問題的原因�,筆者認為,不斷加強網絡通信技術革新與網絡通信制度建設,充分保障網絡通信信息安全是時展的必然要求���。
2保障網絡通信信息安全的途徑
2.1充分保障用戶IP地址
由于黑客對用戶網絡通信的侵入與攻擊大都是以獲取用戶IP地址為目的的�,因此,充分保障用戶的IP地址安全是保護用戶網絡通信安全的重要途徑�。用戶在使用互聯網時也要特別注意對自身IP地址的保護��,通過對網絡交換機的嚴格控制,切斷用戶IP地址通過交換機信息樹狀網絡結構傳遞被透露的路徑���;通過對路由器進行有效的隔離控制,經常關注路由器中的訪問地址�����,對非法訪問進行有效切斷��。
2.2完善信息傳遞與儲存的秘密性
信息傳遞與信息儲存的兩個過程是當前給網絡通信信息安全造成隱患的兩個主要途徑��,在網絡信息的存儲與傳遞過程中�,黑客可能會對信息進行監聽����、盜用、惡意篡改、攔截等活動以達到其不可告人目的的需求。這就要求用戶在使用網絡通信技術時要對網絡信息的傳遞與儲存環節盡量進行加密處理�,保證密碼的多元化與復雜性能夠有效甚至從根本上解決信息在傳遞與儲存環節被黑客攻擊利用的威脅�。當前在網絡通信過程中用戶可以選擇自身合適的加密方式對自身的信息進行加密處理�,而網絡維護工作者也要根據實際情況加強對信息的加密設置。
2.3完善用戶身份驗證
對用戶的身份進行有效的驗證是保障網絡通信信息安全的另一條重要途徑。在進行網絡通信之前對用戶身份進行嚴格驗證���,確保是本人操作從而對用戶的私人信息進行充分有效的保護。當前,用戶的身份驗證主要是通過用戶名與密碼的“一對一”配對實現的,只有二者配對成功才能獲得通信權限���,這種傳統的驗證方法能夠滿意一般的通信安全需求,但是在網絡通信技術發展速度不斷加快的背景下,傳統的身份驗證方法需要新的變化���,諸如借助安全令牌、指紋檢測、視網膜檢測等具有較高安全性的方法進一步提升網絡通信信息安全水平�����。此外��,在保障網絡通信信息安全的過程中還可以通過完善防火墻設置,增強對數據源及訪問地址惡意更改的監測與控制����,從源頭上屏蔽來自外部網絡對用戶個人信息的竊取以及對計算機的攻擊�。加強對殺毒軟件的學習與使用�,定期對電腦進行安全監測,從而確保用戶自身的信息安全�。
3結語
第8篇
1.1非人為安全隱患
因為信息數據是通過計算機進行存儲與傳輸的����,所以數據安全隱患產生的第一步就是計算機中存在的安全風險�����,包括硬件與軟件的安全問題:第一�、操作系統出現漏洞���,內部含有竊取信息的程序或者木馬����,其數據信息被盜取與修改都是在使用者毫無察覺的情況下發生的;第二�����、計算機病毒����,如果計算機沒有安裝殺毒軟件,則會讓電腦處于危險狀態��,很多病毒會隨著數據的傳輸或者程序的安裝而進入計算機���,從而實現竊取與篡改計算機內信息數據的目的���;第三��、硬件不穩定,計算機硬件的不穩定如磁盤受損、缺少恢復程序等�,會造成傳輸或存儲的數據丟失或錯誤����,從而對信息數據造成危害����。還有就是網絡安全隱患,主要是網絡的傳播不穩定和網絡存在安全漏洞����,這也是存在安全隱患最多的一環�����,不過這一般和人為安全因素有很大的聯系��,人們會利用網絡安全的漏洞進行數據的竊取與篡改。
1.2人為安全隱患
因為利益驅使��,為了盜取或者篡改重要信息�����,出現了很多非法入侵他人電腦或者網絡系統的行為��,如黑客、傳播病毒���、電子詐騙、搭線竊聽����、掛木馬等,這些人為的破壞行為其目的性就比較強,往往攻擊力強�、危害度比較大���,一般是涉及竊取重要的經濟情報���、軍事情報�、企業重要信息或者是進行國家網絡系統的惡意攻擊等���,給個人����、單位,甚至是國家都帶來難以彌補的損失,也是必須加以防范的安全隱患�����。
2計算機信息數據的加密技術
2.1存儲加密法
存儲加密是用來保護在存儲過程當中信息數據的完整性與保密性�����,包括密文存儲與存取控制�����。而密文存儲是通過加密算法的轉換、附加密碼進行加密、加密模塊的設置等技術實現其保密作用;存取控制是通過審查用戶資料來辨別用戶的合法性����,從而通過限制用戶權限來保護信息數據不被其他用戶盜取或修改���,包括阻止合法用戶的越權行為和非法用戶的入侵行為�。
2.2傳輸加密法
傳輸加密是通過加密來保護傳輸中信息數據流的安全性����,實現的是過程的動態性加密�����,分為端—端加密與線路加密兩種����。端—端是一種從信息數據發出者的端口處制定加密信息���,只要是從此端口發出的數據都會自動加密��,加密后變成了不可閱讀與不可識別的某些信息數據��,并通過TCP/IP數據包后,最終到達傳輸目的地�����,當到達最終端口時����,這些信息數據會自動進行重組與解密,轉化為可以閱讀與識別的信息數據����,以供數據接收者安全的使用��;線路加密則有所不同���,它是完全不需對信源和信宿進行加密保護��,而是運用對信息數據傳輸的不同路線采用不同加密密鑰的手段�����,達到對線路的保護目的�����。
2.3密鑰管理法
很多的數據信息進行加密都是通過設置密鑰進行安全防護,所以密鑰是能否保護好信息數據的關鍵��,如果密鑰被破解�����,則信息數據就無保密性可言��,故對密鑰的保護非常關鍵,這也就是我們所說的密鑰管理法�,它在密鑰形成的各個環節(產生����、保存�����、分配���、更換�����、銷毀等階段)進行管理控制,確保密鑰的安全性��。
2.4確認加密法
確認加密法是通過對信息數據的共享范圍進行嚴格控制�����,來防止這些數據被非法篡改與偽造。按照不同的目的,確認加密法可分為:信息確認�、數字簽名與身份確認三種����。數字簽名是根據公開密鑰與私人密鑰兩者存在一定的數學關系而建立的�����,使用其中任一密鑰進行加密的信息數據�����,只能用另一密鑰進行解密,從而確保數據的真實性,如發送者用個人的私人密鑰對傳輸信息數據進行加密之后�,傳送到接收者那里��,接收者必須用其公開密鑰對數據進行解密,這樣可以準確的知道該信息的發送源是那里,避免信息的錯誤。
2.5信息摘要法
信息摘要法是通過一個單向的Hash加密函數來對信息數據進行處理�,而產生出與數據對應的唯一文本值或消息值��,即信息的摘要,來保證數據的完整性,它是在信息數據發送者那里進行加密后產生出一個摘要��,接收者通過密鑰進行解密后會產生另一個摘要���,接收者對兩個摘要進行對比�����,如果兩個有差別�����,就表面數據在傳輸途中被修改。
2.6完整性鑒別法
完整性鑒別法是將事先設定的某些參數(如口令、各相關人員的身份、密鑰��、信息數據等)錄入系統��,在數據信息傳輸中���,通過讓驗證對象輸入相應的特征值�,判斷輸入的特征值是否符合要求��,來對信息數據進行保護的技術��。
3結束語
第9篇
論文摘要:網絡安全的根本目的是防止通過計算機網絡傳輸的信息被非法使用。信息和數據安全的范圍要比計算機安全和網絡安全更為廣泛,它包括了信息系統中從信息的產生直到信息的應用這一全部過程�。密碼技術是保護計算機信息安全的主要手段之一����,使用密碼技術可以保證信息的機密性���,還可以保證信息的完整性和確定性���,防止信息被篡改�、偽造和假冒。
論文關鍵詞:網絡;信息安全���;密碼技術
計算機網絡信息安全的兩個基本需求是保密性和完整性。密碼技術是網絡安全通信的基礎,通過對通信內容進行加密變換,使未授權者不能理解其真實含義,以防止竊聽等被動性攻擊,保證信息的保密性����;應用密碼體制的認證機制���,可以防止篡改���、意外破壞等對傳輸信息的主動性攻擊,以維護數據的完整性�����。保密和認證是信息系統安全的兩個重要方面���,但是認證不能自動提供保密性����,而保密也不能提供認證機制。密碼設計的基本思想是偽裝信息����,使未授權者不能理解它的真正含義�����,未隱藏的信息稱為明文(Plaintext),偽裝后的信息稱為密文(Ciphetrext)�。構成一個密碼體制的兩個基本要素是密碼算法和密鑰(Key)����。在設計密碼系統時���,總是假定密碼算法是公開的���,真正需要保密的是密鑰��。
基于密碼技術的訪問控制是防止數據傳輸泄密的主要防護手段���。訪問控制的類型可分為兩類:初始保護和持續保護����。初始保護只在入口處檢查存取控制權限����,一旦被獲準,則此后的一切操作都不在安全機制控制之下��。防火墻提供的就是初如保護�����。連續保護指在網絡中的入口及數據傳輸過程中都受到存取權限的檢查�,這是為了防止監聽���、重發和篡改鏈路上的數據來竊取對主機的存取控制�。由于網絡是一個開放式系統,使得加密變得不僅對于E—mail����,而且對于網絡通信都很重要���。
l電子郵件安全與PGP
PGP是由美國的PhilpZimmermann設計的一種電子郵件安全軟件��,目前已在網絡上廣泛傳播,擁有眾多的用戶��。PGP是一個免費軟件�����,并且其設計思想和程序源代碼都公開�����,經過不斷的改進�,其安全性逐漸為人們所依賴。
PGP在電子郵件發送之前對郵件文本進行加密,由于一般是離線工作���,所以也可以對文件等其他信息進行加密。PGP中采用了公鑰和對稱密碼技術和單向Hash函數,它實現的安全機制有:數字簽名�、密鑰管理�����、加密和完整性,它主要為電子郵件提供以下安全服務:保密性;信息來源證明;信息完整性;信息來源的無法否認���。
PGP采用密文反饋(CFB)模式的IDEA對信息進行加密,每次加密都產生一個臨時128比特的隨機加密密鑰,用這個隨機密鑰和IDEA算法加密信息����,然后PGP還要利用RSA算法和收信人的公開密鑰對該隨機加密密鑰進行加密保護��。收信人在收到加密過的電子郵件后,首先用自己的RSA私有密鑰解密出IDEA隨機加密密鑰,再用這個IDEA密鑰對電子郵件的內容進行解密�����。密鑰長度為128位的IDEA算法在加密速度和保密強度方面都比56位密鑰的DES算法要好�,而且PGP采用的CFB模式的IDEA,更增強了它的抗密碼分析能力。另外由于每次加密郵件內容的密鑰是臨時隨機產生的即使破譯了一個郵件��,也不會對其他郵件造成威脅�����。PGP的基本操作模式是用IDEA作為信息加密算法���,它可以提高加密、解密速度和增強保密性,同時對較短的隨機密鑰用較慢的RSA算法進行保護,以方便密鑰管理。
PGP數字簽名采用了MD5單向Hash函數和RSA公鑰密碼算法��。要創建一個數字簽名���,首先要用MD5算法生成信息的認證碼(MAC),再用發信人的RSA私有密鑰對此MAC進行加密�,最后將加密過的MAC附在信息后面�����。MAC值的產生和檢查就是PGP的完整性保護機制���。
PGP采用分散的認證管理�����,每個用戶的ID�、RSA公開密鑰和此公開密鑰生成的時戳構成了這個用戶的身份證書�����。如果一個用戶獲得了一份被他所信任的朋友或機構簽名過的證書�,他就可以信任這個證書并使用其中的公開密鑰與此證書的主人進行加密通信���。如果愿意��,他也可以對這份證書簽名使信任他的朋友也能信任和使用這份證書�。PGP就是采用這種分散模式的公證機構傳遞對證書的信任���,以實現信息來源的不可否認服務�。
PGP的密鑰管理也是分散的,每個人產生自己的RSA公開密鑰和私有密鑰對。目前PGP的RSA密鑰和長度有3種普通級(384位)�、商用級(512位)�、軍用級(1024位)�。長度越長,保密性越強,但加懈密速度也就越慢。
2WWW安全中的密碼技術
采用超文本鏈接和超文本傳輸協議(HTrP)技術的www是因特網上發展最為迅速的網絡信息服務技術���,各種實際的因特網應用,如電子商務等大多數是以WWW技術為平臺�����,但是www上的安全問題也是非常嚴重的��。目前,解決www安全的技術主要有兩種:安全套接字層SSL和安全HTYP協議�����。
2.1SSL
SSL是Netscape公司提出的建立在TCP/IP協議之上的提供客戶機和服務器雙方網絡應用通信的開放協議�����,它由SSL記錄協議和SSL握手協議組成�,建立在應用層和傳輸層之間且獨立于應用層協議��。和確定性���。
SSL握手協議在SSL記錄協議發送數據之前建立安全機制���,包括認證����、數據加密和數據完整性���。SSL握手協議開始的起點是客戶機知道服務器的公鑰��,它通過服務器的公鑰加密向服務器傳送一個主密鑰���,公鑰加密算法可以是RSA�����、Difife—Hellman或Fortezza—KEA�����?����?蛻魴C和服務器分別根據這個主密鑰計算出它們之間進行數據加密通信的一次性會話密鑰這樣會話密鑰就永遠不需要在通信信道上傳輸?����?蛻魴C和服務器使用這對會話密鑰在一個連接中按DES�、RC2/RC4或IDEA算法進行數據加密,此連接用CONNECTION—ID和與此相關的會話密鑰作廢。所以每個連接都有不同的CONNECTION—ID和會話密鑰��。由于主密鑰不直接參與加密數據,只在客戶機與服務器建立第一次連接時傳送(同時產生一個SESSION—ID)���,它的生存期與SESSION—ID有關。推薦的SESSION—ID在通信雙方的Cache(高速緩沖區)中保存的時間不大于100秒�,這樣主密鑰被泄漏的機會很小����。
SSL握手協議規定每次連接必須進行服務器認證�����,方法是客戶機向服務器發送一個挑戰數據��,而服務器用本次連接雙方所共享的會話密鑰加密這個挑戰數據后送回客戶機。服務器也可以請求客戶機的認證��,方法與服務器認證一樣�����。SSL記錄協議定義了SSL握手協議和應用層協議數據傳送的格式,并用MD2/MD5算法產生被封裝數據的MAC����,以保證數據的完整性��。
總之,SSL協議針對網絡連接的安全性,利用數據加密��、完整換認證�����、公證機構等機制����,實現了對等實體認證���、連接的保密性���、數據完整性����、數據源點認證等安全服務。
2.2SHTTP
SHTTP是有EIT公司提出的增強GTTP安全的一種新協議,SHTTP定義了一個新方法secure和幾個新報文頭如Con—tent—Privacy—Domain���、Content—Transfer—Encoding、Prearranged-Key—Info、Content—Type、Mac—info等�����。HTTP報文貝0以PKCS一7或PEM報文格式成為SHTI’P的報文體��,從而獲得了這兩種安全增強型報文標準在數據加密、數字簽名����、完整性等方面的保護���。SHTrP還定義了新的I-I,TI’P報文頭�、可重試的服務器狀態錯誤報告�����、新的HTML元素和Anchor屬性�����,使客戶機和服務器能夠通過對等的協商,在報文格式���、認證方式、密鑰管理�����、簽名算法、加密算法和模式等方面達成一致���,從而保證一次安全事務通信。
SHTIP所保護的是一次HTrP請求/應答協議的報文���,而H,ITI’P連接是一種無狀態的連接,所以SHTI’P采用PKCS一7或PEM作為增強報文安全的主要手段���。在數據加密方面,
SHTTP支持的對稱加密算法有DES、DESX���、CDMF、IDEA和RC2。數字簽名算法有RSA和NIST的數字簽名標準(DSS),數據完整性保護采用RSA的MD2/MD5和NIST的安全Hash標準(SHS)。支持的認證類型為X.509�����,從而為H1TP的安全提供了對等實體認證\選擇字段的保密性�、數據完整性��、數據來源認證和防止否認等服務�����。
