培训课件CDSA与应用安全.pdfVIP

CDSA与应用安全 谭安芬姜建国王周发 (中国工程物理研究院信息安全技术中心四川绵阳621900) 摘要：本文讨论了目前同络的安全威胁和对策，详细描述了为解决Internet和 Intranet应用中日益突出的通讯和数据安全问题而提出的分级安全服务构架～一通用 数据安全体系结构(CDSA)的原理、基本商业模型和对电子商务的影响． 关键词：CI)SA、网络安全、电子商务 ． 一、概述 随着计算机技术和通信鄹络技术的飞速发展，Internet的不断普及，电子商务、 · 电子政务的推出．越来越多的企业在网上开展业务，越来越多的网络与Internet联网， 在网上设置提供公众服务的主机系统也在不断增加，如：W口Server、既^IL、Ⅳ研 上的信息量迅速增长。与此同时．数据的安全性受到日益普遍的关注．众所周知． Control TcP／IP(TransmissionProtocol／Internet Protoc01)协议在提供开放性和灵 活性的同时几乎没有在网络层采取任何安全保证措施．而且自TcP／IP被接受为Arpanet 传输坍议之日起．它就一直没有什么变化．所以Internet本身是不安全的．但是TcP／IP 的灵活性和开放性，尤其是它的分层结构，也使得开发者可以在其他层次，通常是应 用层来加入安全措施，保证数据的安全． 目前，Internet应用受到的安全或胁主要有三种： 首先是对有偿信息为了商业用途的非法窃取、复制和篡改(如图l所示)，比如， 用户在艺术家网站上购买艺术作品后．艺术作品在网上传输过程中．如果没有采用加 密措施或加密强度不够．攻击者可能非法复制或篡改信息作为商业用途．用以应对的 安全技术手段包括访问控制(Access Contr01)、数字指纹(DigitalFingerprinting) 等。 其次是窃取信用卡号和口令(如图2所示)，比如在网上进行电子交易过程中，盗 窃者通过对信息流量和流向、通信频度和长度等参数的分析窃取信用卡号和口令．与 之相应的安全技术手段包括收发双方的身份鉴定和交易过程的保密． 最后是对机密信息的截取和修改(如图3所示)，在信息传递过程中，攻击者通过 各种技术方法和手段对网络传输的信息进行截取和修改．并发往目的地，使得接收端 最终收到错误的信息．从而破坏信息的完整性．在这种情况下，必要的安全技术手段 ’ 包括收发双方的身份鉴别、数据完整性保证和事务的完整性保证。 鸭买艺术作品 叵7—t圃 臣塑P用作其他商蝴途 图l非法复制或篡改信息示意图 圈2信息窃取示意圈 204 酌藏取信息谓 匝茧一拟—叫奎 因此，一个安全的网络环境必须提供各种有效安全机制来防止潜在的安全藏胁。 无论我们采取什么措施，一个安全的网络环境的都应该具备以下特征： 1、唯一的标识(Identity)，即对每个对象的身份标识是惟一的； 2、完备的认证(Authentication)，即能够根据每个对象的惟一身份标识对其进 行身份鉴别： 3、访问控制(Access Contr01)，即能够防止非法入侵； 4、保密性Confidentiality)．卸阿络能够防止非法入侵和信息窃取： 5、数据完整性(Integrity)，即能够保证数据不被非法修改{ 得单方面退出．并且所有的行为具有可解释性． 。 目前有很多关于网络安全的产品．但几乎都采用垂直的解决方案．从最底层傲起， 代码不能够重复使用，造成了大量重