建构安全电子商环境的基础建设.doc

Technical Overview 建构安全电子商务环境的基础建设 您必须知道的基本知识 目录 前言 2 简介 3 电子环境的安全性：重要观念 4 常见的安全威胁 4 一般的防护措施 5 密码技术 5 公开金钥/私密金钥系统 ____ 6 数字签章 6 数字证书在鉴别身份时的应用 7 数字证书概观 9 证书的流通 9 证书废止 9 证书管理的维护机制 9 鉴别通讯协议 10 因特网上的讯息安全性 11 MIME 与 S/MIME 11 SSL技术 11 S-HTTP协定 12 电子商务环境应用的安全性 12 电子数据交换 (EDI) 的安全性概观 12 安全电子交易 (SET) 通讯协议 12 总结 13 更多信息 14 前言 本文件专供负责建构电子商务环境、安全讯息交换及共享商务情报所需的安全环境，正着手进行或正在评估现有技术方案者阅读。本文件的目的在于以概观的角度提供现有电子安全技术面的信息。 本文件讲述常见的电子安全解决方案，同时探讨金钥的观念及其倚赖的技术核心。重点将放在公开/私密金钥机制所产生的加密技术，因为该技术已是现今最完善，且最有效率的电子安全技术。另外，本文件亦指出在着手进行任何特定安全基础建设之前所应纳入考量的相关问题。 有关本文件中所叙述的任何技术细节之来源取材很广泛。我们建议您阅读由 Warwick Ford 与 Michael S. Baum 所著，Prentice Hall PTR 1997年发行之安全电子商务 (Secure Electronic Commerce) 一书，该书完整涵盖了所有与技术面，及法务层次相关的问题论述。（该书二名作者目前皆任职于VeriSign，分别担任技术和法务方面之高阶主管） 简介 电子商务 (EC) 为现今竞争激烈之企业组织所必须执行的策略性方向。电子商务提供了企业创造营收的一个新管道，并可延伸商务触角、降低营运成本，进而建立起全新的商务经营策略。 然而，伴随电子商务而来的各种危险性却有时却超过电子商务所赋予企业的美丽远景。这是因为一套运作电子商务的基础建设很容易遭受滥用、误用及故障所致，这些不稳定的因素常是直接导致各种电子商务无法顺利推动的问题。诸如因诈欺而产生的经济损失，或因服务不佳造成客户不满而对企业失去信心等诸多的问题。 计算机网络上的入侵事件不胜枚举，诸如1995年花旗银行现金管理系统的入侵事件，同年逮捕到计算机骇客Kevin Milnick，以至于一连串发生在美国军方研究机构的攻击事件。 另外，根据其它独立研究的结果指出，电子诈欺的层面早已亮起红灯。请看下面的例子： ? 在线信息遭窃取：根据统计，每年在美国因盗版软件、窃取信用卡卡号、非法存取企业机密等所造成的经济损失超过美金一百亿元。 ? 过去两年中，将近一半的企业皆曾因发生信息安全相关问题而蒙受经济损失。 ? 利用信用卡进行诈欺的损失约为每年美金50亿元。 无庸置疑地，想进军电子商务领域的企业一定要有保护自身的方法。然而，如何才是一套适切，且有效的解决方案，的确是许许多多企业亟于想探知的。 VeriSign, Inc.公司不但是全球最顶尖的认证中心，在数字证书技术上亦有绝对的技术领先地位。这份文件的目的就在于辅助您评估现今可用来建构一个安全电子商务环境之基础建设的各式解决方案。您将可在本文中获得现有重要安全技术的信息，并了解这些技术背后所仰赖的基础。 电子环境安全性的重要观念 一般而言，电子环境的安全性应以是否能达到以下四个基本目标为评估标准： ? 确保唯有被授权者方能存取信息。 ? 预防未经授权而建立、修改或破坏数据的行为。 ? 保障合法使用者在存取信息时不会遭到拒绝。 ? 确保资源系以合法的方式来使用。 要达成上述目标的主要方式是维护通讯安全，即当信息由一系统被传送至另一系统时的保护过程；以及计算机安全，即储存于计算机系统内之数据的安全。这些方法必须与其它安全措施共同配合运作，包括： ? 实体安全措施，例如：门锁、通行证件和生化扫瞄仪器。 ? 人员安全措施，例如：员工的身家背景查核。 ? 管理机制的安全措施，例如：对安全危害的预防管理措施。 ? 信息/数据的安全措施，例如：对高敏感度数据的复制管制。 ? 在线安全措施，或在线数据的存取管制。 在设计一套适当的电子商务环境之基础建设时，除了单纯考量通讯及计算机设备之安全性外，上述的安全措施是不应忽略的。 常见的安全威胁 在电子世界中，会对安全性造成威胁的情形