浅析石化企业电子商务安全

摘要:该文介绍了石化企业在电子商务安全上所采取的措施,包括计算机网络安全技术、认证技术、电子交易协议、管理措施。

关键词:石化企业;电子商务;计算机网络安全;认证技术;电子交易协议;数字签名

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)18-5080-02

Priliminary Analysis of the Security about E-commerce in the Petrochemical Enterprises

ZHANG Hong-nv

(PetroChina Fushun Petrochemical Company Detergent Chemical Plant, Fushun 113001, China)

Abstract: This article describes e-commerce security measures in the petrochemical enterprises, Including computer network security, authentication technologies, electronic transaction protocol, management measures.

Key words: petrochemical enterprises; e-commerce; computer network security; authentication technologies; electronic transaction protocol; digital signature

电子商务(EC)是以信息技术为基础而架构的跨时域跨地域的电子化世界(E-world)。它为企业之间的密切合作、为企业的拓展提供了更多机会。电子商务以企业信息化为基础,强调要使系统的软件和硬件,参加交易的买方和卖方,银行或金融机构等合作伙伴都要在Intranet,Extranet和Internet中密切结合起来,共同从事在网络计算机环境下的商业电子化应用。 2001年8月,中石化电子商务网站正式开通。该系统包含石化物资采购和石化产品销售两个子系统。 2001年7月,中石油“能源一号网”开通,该系统主要包括三大子系统,电子采购系统、电子销售系统和电子市场系统,买方和供应商都可通过这三个子系统进行交易。

1 为解决电子商务安全问题所采取的技术措施

电子商务作为一种全新的经济模式,发展愈迅速,其安全问题也愈突出。如何建立一个安全、便捷的电子商务应用环境,对信息提供足够的保护,是石化企业和用户都十分关注的话题。 电子商务安全问题可归结为网络安全和商务交易安全这两个方面。这两者相辅相成、缺一不可。没有计算机网络作为基础,商务交易安全无从谈起;没有商务交易安全,即使计算机网络本身再怎么安全,也无法满足电子商务所特有的安全要求,电子商务安全也无法实现。为避免电子商务在交易过程中存在计算机网络安全和商务交易安全问题,可采用多种网络安全技术和多种商务交易协议,下面以石化企业为例作如下介绍。

1.1 计算机网络的安全方面

1.1.1 防火墙的部署

在应用网络安全技术方面,防火墙技术是主要技术。防火墙就是在网络边界上建立相应的网络通信监控系统,用来保障计算机网络的安全,它是一种控制技术,既可以是一种软件产品,又可以制作或嵌入到某种硬件产品中。 网络防火墙部署在被保护的企业内部网与不安全的非信任网络之间,用来保护企业计算机网络免受非授权人员的骚扰、黑客的入侵和病毒的攻击。防火墙的基本原理是监测并过滤所有内部网和外部之间的信息交换,保护内部网络敏感数据不被偷窃和破坏,并记录内外通信的有关状态信息日志。

下面以NetScreen204防火墙为例简要介绍其在企业网中的部署

1.1.2 操作系统和应用程序的安全性

石化企业大部分服务器和客户端几乎全部采用Microsoft的Windows操作系统,而Microsoft所的系统补丁多,而且多为“重要”和“严重”级别的补丁,及时更新系统补丁不仅对客户端非常重要,而且对网络的运行也同样重要。要求用户自己下载补丁并更新系统是不现实的,因此,搭建系统补丁服务器,强制并自动更新用户系统,就成为保障企业网络正常运行的一种必要的手段。中国石油桌面管理系统采用微软System Management Server 2003服务器以实现桌面及应用系统的补丁分发和管理,提高Windows、Office以及相关软件的安全性,控制网络病毒的传播。SMS桌面管理系统同时能收集资产信息,统计软件使用情况,分发各类软件,帮助达到企业级的IT资产管理要求。主要目标是补丁管理,安全管理。主要功能是硬件/软件资产收集、软件分发、软件使用计数、远程工具、软件更新管理。

1.1.3 病毒防护

病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析,结合石化企业办公地点分散,客户端数量多等网络特点,在网络安全的病毒防护方面应该采用“多级防范、集中管理、以防为主、防治结合”的动态防毒策略。面以Norton AntiVirus10.0为例介绍其在企业网络系统中的安装部署(见图1)。

由图2可以看出,在企业安装网络版Norton AntiVirus10.0杀毒软件时,每台客户端和应用服务器都安装SymantecAntiVirus客户端软件,并接收防病毒服务器管理。 企业防病毒服务器和各分厂防病毒服务器强制并自动为客户端和应用服务器升级病毒库,从而达到防患于未然的目的。

1.2 电子商务交易安全方面

交易安全是针对传统商务在因特网上运用时产生的各种安全问题而设计的一套安全技术。目的是在计算机网络安全的基础上确保电子商务过程的顺利进行,即实现电子商务的保密性、完整性、可靠性、匿名性、原子性和抗否认性等。加密技术层、安全认证层和交易协议层一起构成电子商务安全。交易协议层是加密技术层和安全认证层的安全控制技术的综合运用与完善。

1.2.1 网络安全认证技术

认证技术是信息安全领域的一项重要技术。认证是保证在公共的网络环境下通信信息真实性的一个手段,包括对通信对象的认证以及通信内容的验证。

1) 身份认证。企业电子商务用户身份认证可以通过服务器CA证书与IC卡相结合实现。CA证书用来认证服务器的身份, IC卡用来认证企业用户的身份。个人用户由于没有提供交易功能,所以只采用ID号和密码口令的身份确认机制。

2) CA证书。要在网上确认交易各方的身份以及保证交易的不可否认性,需要一份数字证书进行验证,这份数字证书就是CA证书,它由认证授权中心(CA中心)发行。认证中心(CA)就是承担网上安全交易认证服务,能签发数字证书,并能确认用户身份的服务机构。认证中心通常是企业性的服务机构,主要任务是受理数字证书的申请、签发及对数字证书的管理。CA中心一般是社会公认的可靠组织,它对个人、组织进行审核后,为其发放数字证书,证书分为服务器证书和个人证书。

3) 数字签名。通俗点讲,数字签名是指信息的发送者通过某种签名方法产生的别人无法伪造的一段“特殊报文”,该“特殊报文”就是签名,表名信息是由声称的发送方所发送的,且具有唯一性,他人不可仿造。数字签名与手工签名一样,签名主要起到论证、核准和生效的作用。数字签名在电子商务中的功能是接收方能够确认报文的来源真实,即能够验证报文的确是由声称的发送方的发送;发送方对自己发送的报文不能否认;验证报文在传输过程中是否保持完整性,完整性表示报文在传输时未被破坏或者篡改,验证数字签名是否正确的同时,能够验证报文在传输过程中是否保持了完整性。电子商务交易中,鉴别交易伙伴身份、确定合同、契约和订单的可靠性都可以通过数字签名技术来实现。

当今,任何电子商务系统的运行都要使用数字签名技术,并且随着电子商务应用的逐渐扩大,数字签名的应用与地位越来越规范化、法律化。2004年8月28日,第十次全国人大常委会第十一次会议审议并通过了《中华人民共和国电子签名法》,从立法的角度为电子商务安全提供法律保障。2005年4月1日,正式实施《电子签名》及《电子认证服务管理办法》,表明数字签名与书面文件签名一样具有同等的法律效力。

1.2.2 安全电子交易协议

电子商务的运行需要一套完整的安全协议。目前常用的协议有SSL协议(Secure sokets Layer)和SET协议(Secure Electronic Transaction)。

1) SSL协议是由网景公司推出的一种安全通信协议,主要是在因特网环境下为交易的过程中所提供的最基本的点对点(End-End)通信安全协议,以避免交易信息在通信的过程中被拦截、窃取、伪造及破坏。它能够对信用卡和个人信息提供较强的保护。SSL是对计算机之间整个会话进行加密的协议。它已成为事实上的工业标准,独立于应用层,可加载任何高层应用协议,适合为各类C/S模式产品提供安全传输服务。它提供一种加密的握手会话,使客户端和服务器端实现身份验证、协商加密算法和压缩算法、交换密钥信息。这种握手会话通过数字签名和数字证书来实现客户端和服务器端双方的身份验证,采用DES、MD5等加密技术实现数据的保密性和完整性。在用数字证书对双方的身份验证后,双方就可以用密钥进行安全会话。

2) SET安全电子交易协议。SET安全电子交易协议是一种基于消息流的协议,用以保证在开放网络环境下电子商务中的电子支付交易的安全性。SET安全电子交易协议是一种应用于因特网环境,以信用卡为基础的电子支付协议,用来实现开放网络上持卡交易的安全性。SET主要是为了解决用户、商家和银行之间通过信用卡支付的交易而设计的,以保证支付信息的机密、支付过程的完整、商户及持卡人的合法身份、以及可操作性。SET安全电子交易协议中使用了公开密钥RSA(Rivest Shamir & Adleman)、对称密钥DES(Data Encryption Standard)、数据签名、数字信封、双重签名、数字证书等安全技术,以提供开放环境下电子商务交易的一种安全机制。 在SET系统中,符合SET协议的相关软件安装在持卡人的个人计算机和网络商店与收单银行的网络服务器主机与认证中心服务器上中,这些相关的软件负责提供符合SET规范的信息处理,以及确认彼此之间由认证中心所核发的数字证书(Digital Certificate)是否合法。

2 为解决电子商务安全问题所采取的管理措施

电子商务作为一项全新的业务,为确保实现规范运作,石化企业从一开始就重视加强制度与规范建设,以避免在运营管理中出现新的漏洞。为此,中石油先后印发了《开展电子商务实施意见》、《物资采购与电子商务管理办法》、《电子商务系统管理办法》、《能源一号网交易服务费率》、《能源一号网收费管理办法》等一套基本规章制度。

3 结束语

计算机技术、网络技术及相关技术和设施已经成熟,电子商务已是势在必行的全球经济发展模式。电子商务以低廉的交易成本、简化的贸易流程、超越时空限制的经营方式和由此带来的巨大利润,正是石化企业追逐的热点,显示出了极强的生命力。电子商务的安全运行,仅仅从技术角度防范是远远不够的,还需要完善电子商务立法和更新员工观念等诸多问题,而这些不是企业所能解决的问题,而是整个社会的一个观念更新、法制健全、技术发展的漫长过程。

参考文献:

[1] 管有庆,王晓军,董小燕,等.电子商务安全技术[M].北京:北京邮电大学出版社,2009.

[2] 刘玉峰.构建安全的企业网络[J].当代化工,2005,34:315-317.