電子商務(wù)系統(tǒng)安全解決方案實(shí)戰(zhàn)

1、下面以安盟電子信息公司提供的電子商務(wù)身份認(rèn)證解決方案為例，介紹電子商務(wù)系統(tǒng)安全解決方案實(shí)戰(zhàn)技巧。1.方案特點(diǎn)在Web電子商務(wù)中的身份認(rèn)證是由服務(wù)器、客戶端和中間代理軟件協(xié)同完成的。安盟電子信息公司()提供高性能、高可擴(kuò)展性及低成本的Web電子商務(wù)雙因素身份認(rèn)證解決方案，只允許能夠提供無法猜測或復(fù)制的令牌代碼與PIN的用戶訪問企業(yè)Web站點(diǎn)，在極大程度上保證了通過互聯(lián)網(wǎng)訪問企業(yè)Web站點(diǎn)的用戶確實(shí)為授權(quán)的個體，大大降低了攻擊和非法訪問的風(fēng)險。而且，安盟ACE/Agent支持多種Web服務(wù)器，因此具有極強(qiáng)的互操作性與可擴(kuò)展性;還可以控制用戶權(quán)限，決定用戶被授權(quán)后，能夠訪問和不能夠訪問哪些資源;既可

2、對整個站點(diǎn)進(jìn)行保護(hù)，也可對某個網(wǎng)頁進(jìn)行保護(hù)，提供了不同層次的安全性;與加密套接字協(xié)議(SSL)層協(xié)同工作，當(dāng)信息在網(wǎng)絡(luò)中傳輸時，可以保證其安全性。同時，除了具有強(qiáng)大的認(rèn)證能力外，認(rèn)證過程與配置過程都比較簡單，不會給用戶造成任何負(fù)擔(dān)。此外，此方案還具有極強(qiáng)的不可否認(rèn)性，能夠加強(qiáng)用戶的責(zé)任意識，提升企業(yè)Web資源保護(hù)的安全級別。2.解決方案電子商務(wù)系統(tǒng)安全解決方案示意圖如圖1所示。 圖1 電子商務(wù)系統(tǒng)安全解決方案示意圖3.安盟SecurID Agents是Web站點(diǎn)的安全解決技術(shù)電子商務(wù)安全為保護(hù)網(wǎng)站和資源，避免惡意侵入，提供了強(qiáng)有力的支持。根據(jù)不同信息所需保密的程度不同，而設(shè)立了不同層次的安全保

3、護(hù)方法。(1)身份認(rèn)證通常，商業(yè)上依靠靜態(tài)口令來對用戶進(jìn)行身份認(rèn)證，其實(shí)這是不夠的。因為口令很容易被偷或被破譯，為了保證電子商務(wù)系統(tǒng)業(yè)務(wù)的安全，雙因素身份認(rèn)證才是電子商務(wù)安全的基礎(chǔ)。所謂雙因素是結(jié)合了兩種確認(rèn)身份的方式，首先是用戶已知PIN碼和用戶擁有的令牌，兩者缺一不可。(2)授權(quán)身份認(rèn)證之后，就需要控制用戶能夠訪問哪些信息。為了管理復(fù)雜的電子商務(wù)網(wǎng)站，就必須在網(wǎng)站上對每種應(yīng)用進(jìn)行區(qū)分，從而使組織內(nèi)部網(wǎng)站建設(shè)更靈活、更豐富。(3)保密性加密可確保信息的保密性。采用加密技術(shù)，信息被提前拼湊，接收后被復(fù)原，這使信息如果被截獲后能確保其安全。對于Web應(yīng)用，SSL最大的意義在于加密信息。事實(shí)上，大

4、多數(shù)瀏覽器都具備SSL的功能，以便于服務(wù)器端的SSL證書溝通，所以，在Web應(yīng)用中已經(jīng)有了一些某種級別的加密。Web應(yīng)用中SSL協(xié)議是最主要的信息加密手段。(4)不可否認(rèn)性與用戶責(zé)任在使用電子商務(wù)時，同時需要審計。這就使得用戶必須對他們的行為負(fù)責(zé)，也為法律上提供了一種可信的證據(jù)。必須部署這種增強(qiáng)的安全基礎(chǔ)設(shè)施。在此情況下，通過公鑰基礎(chǔ)設(shè)施(PKI)，利用數(shù)字證書與電子簽名將用戶的數(shù)字身份綁定到一個交易中。要實(shí)現(xiàn)完全的不可否認(rèn)性，數(shù)字證書與電子簽名必須與雙因素身份認(rèn)證相結(jié)合才能得到加強(qiáng)，它可以將數(shù)字身份綁定到用戶的物理身份上。(5)雙因素身份認(rèn)證是PKI的一個組件雙因素身份認(rèn)證對于任何安全環(huán)境都

5、是必需的前提，包括PKI(公鑰基礎(chǔ)設(shè)施)。身份認(rèn)證與安盟SecurID Web安全職能是使用PKI的第一步。數(shù)字證書及電子簽名為使用PKI提供了數(shù)字化身份證明，確保使用者的唯一性。然而，PKI的完整性依賴于用戶確保只有合法數(shù)字證書持有者才有權(quán)使用私鑰的能力。在這種情況下，只有雙因素身份認(rèn)證才能確保用戶的合法身份，這就為用戶創(chuàng)造了可信任的應(yīng)用環(huán)境。4.安盟Web安全職能確保電子商務(wù)系統(tǒng)的安全安盟為企業(yè)在Web應(yīng)用中提供了領(lǐng)先的安全保證，即安盟Web安全職能。采用安盟SecurID產(chǎn)品，就能確保只有授權(quán)的用戶才能進(jìn)入企業(yè)的內(nèi)網(wǎng)和外網(wǎng)。同時，安盟SecurID產(chǎn)品也可用于SSL加密功能，確保在網(wǎng)絡(luò)傳

6、輸中的安全。最后，安盟SecurID也可確保數(shù)字證書的合法性。結(jié)合以上技術(shù)，安盟SecurID已經(jīng)發(fā)展成為一個綜合的Web安全解決方案的先驅(qū)。簡單來說，安盟安全服務(wù)包括了對整個企業(yè)Web上的各種應(yīng)用。如果企業(yè)已擁有電子商務(wù)的應(yīng)用，那么安盟SecurID能使其立刻變得安全，拒絕沒有合法身份的進(jìn)入、惡意攻擊和黑客。安盟SecurID由5種主要產(chǎn)品和服務(wù)組成，為企業(yè)發(fā)展電子商務(wù)提供安全的保障?；镜慕M件描述如下：(1)安盟SecurID身份認(rèn)證設(shè)備安盟SecurID身份認(rèn)證是一種手持設(shè)備，產(chǎn)生唯一的、一次性數(shù)字碼。當(dāng)?shù)卿浭鼙Ｗo(hù)的Web資源時，同時使用PIN碼和一次性數(shù)字碼(One-time Code

7、)。身份認(rèn)證設(shè)備包括硬件令牌、軟件令牌(存儲在PC、PDA和無線電話中)和智能卡等多種形式。使用簡單，不需要任何最終用戶培訓(xùn)。(2)安盟ACE/Server安盟ACE/Server是身份認(rèn)證的關(guān)鍵，它關(guān)系到企業(yè)的安全策略，包括誰能進(jìn)入網(wǎng)站和獲取何種資源。當(dāng)ACE/Server接收到用戶認(rèn)證請求后，便會將數(shù)據(jù)與中央數(shù)據(jù)庫進(jìn)行對比，如果符合其要求，系統(tǒng)便同意被訪人訪問受保護(hù)的資源，否則，安盟ACE/Server便拒絕訪問。(3)用于Web平臺的安盟ACE/Agent代理軟件安盟ACE/Agents的功能就像一位安全衛(wèi)士，它實(shí)施在安盟ACE/Server中建立的安全策略，作為URL過濾器，Agent

8、攔截訪問請求，并要求指定的用戶或組(本地或遠(yuǎn)程)在獲準(zhǔn)訪問Web站點(diǎn)上受保護(hù)的資源前，通過安盟SecurID認(rèn)證設(shè)備向安盟ACE/Server證明其身份。(4)安盟SecurID選擇安盟SecurID提供一個合作的機(jī)會，使得用戶的公司能將用戶認(rèn)證設(shè)備的安盟SecurID品牌加入到用戶的產(chǎn)品中。(5)配置服務(wù)安盟提供很多種服務(wù)來幫助部署與執(zhí)行Web安全解決方案，比如，安盟SecurID Express允許用戶的組織將整個配置過程交給安盟來完成，基于Web的用戶注冊服務(wù)使得安盟SecurID立刻就可用。從基本的客戶支持到專業(yè)服務(wù)，安盟都有許多成功經(jīng)驗可以借簽。5.用于Web保護(hù)的安盟ACE/Age

9、nt軟件如何工作安盟ACE/Agent代理軟件在系統(tǒng)中就像一個“安全哨兵”。安盟ACE/Agent代理軟件是安盟SecurID Web職能關(guān)鍵之處，因為ACE/Agent直接被安裝在Web Server層上，并且強(qiáng)制執(zhí)行在ACE Server上建立的安全策略。安盟ACE/Agent代理軟件保護(hù)Web Server所選定的頁面和目錄。在Web Server的目錄和文件啟動代理軟件后，所有試圖訪問這些被保護(hù)的Web頁面的用戶，需出示SecurID令牌碼。只有這些Server數(shù)據(jù)庫中注冊了的用戶才能訪問受安盟SecurID保護(hù)的頁面。因此，既可以把網(wǎng)站作為公共資源提供給所有用戶，也可以把它作為高機(jī)密

10、網(wǎng)站來給可信任用戶發(fā)送保密信息。如圖12.12所示為安盟ACE/Agent軟件工作原理。對Web提供保護(hù)的每一個安盟ACE/Agent都能夠根據(jù)組織的實(shí)際情況來進(jìn)行設(shè)置，從而為Web站點(diǎn)和電子商務(wù)結(jié)構(gòu)提供不同層次的保護(hù)。以下是關(guān)于這些設(shè)置的一些詳細(xì)描述。(1)利用Cookie保持會話狀態(tài)安盟SecurID用戶每次鍵入其有效的身份認(rèn)證碼和PIN碼后，服務(wù)器便給該用戶一個cookie。此cookie存儲在用戶的Web瀏覽器中，當(dāng)用戶瀏覽一個Web服務(wù)器上的受保護(hù)資源時，它將用戶的認(rèn)證信息傳到ACE/Server中。只要“cookie”未過期，在一次會話中該用戶就只會被提示一次輸入安盟SecurID

11、令牌碼和PIN碼。每一個cookie都只在被創(chuàng)建的本次瀏覽會話期間才有效。如果用戶退出了Web瀏覽器，該cookie就過期了，在下一次認(rèn)證會話期間用戶必須得到一個新的cookie。管理員可以決定分發(fā)給安盟SecurID用戶的cookie的失效期。 圖2 安盟ACE/Agent軟件工作原理(2)Web一次性登錄當(dāng)在一個混合的Web服務(wù)器環(huán)境(IIS、Netscape/iPlanet和/或domino)使用安盟SecurID時，安盟ACE/Agent可以被配置為相互通信。使用安盟SecurID只需一次與Web連接即可訪問任何一個網(wǎng)站，而無須再進(jìn)行身份認(rèn)證。為達(dá)到此目的，cookie被分發(fā)為在同一個

12、Web域或跨多域的多個服務(wù)器上有效。6.安盟ACE/Agent for Web結(jié)構(gòu)每一個保護(hù)Web的安盟ACE/Agent都由3個主要部件構(gòu)成：(1)URL過濾器URL過濾器與Web服務(wù)器的API過濾器(ISAPI、NSAPI和DSAPI)相結(jié)合來提供安盟ACE/Agent服務(wù)的前端支持。URL過濾器控制Web服務(wù)器的URL映射過程，從而用安盟SecurID有選擇地保護(hù)頁面與目錄。Agent只需要安裝在Web服務(wù)器上，對最終用戶是透明的。(2)認(rèn)證代理認(rèn)證代理為最終用戶提供接口功能，以通過安盟ACE/Server API允許用戶認(rèn)證。認(rèn)證代理為最終用戶提供HTML模板，如登錄頁面或錯誤頁面，并支持所有的安盟SecurID認(rèn)證設(shè)備，包括硬件令牌、軟件令牌、PDA及智能卡。(3)管理實(shí)用程序通過一個非常直觀、易于使用的圖形用戶界面可以進(jìn)行廣泛的管理。簡單的鼠標(biāo)點(diǎn)擊接口使管理員非常方便、快捷地選擇他們想要用安盟SecurID來保護(hù)的Web服務(wù)器目錄或文件。管理實(shí)用程序也控制著Agent特定的設(shè)置，比如cookie的失效期、域cookie密文、確保安全連接和禁止受保護(hù)頁面的緩存等。Agent管理實(shí)用程序既可以在