企业如何构建安全的电子商务环境
【 专稿】近年来,随着企业信息化的不断推进,很多企业完成了生产制造信息化(如:CAD、CAPP、CAM、PDM等)、经营管理信息化(如:OA、ERP、CRM、CSM、HRM等)等方面管理系统的建设工作,在整合这些系统的基础上(也称为企业集成),对电子商务(EBS)的需求也越来越强烈。但众所周知,与Intranet内运行的系统相比,电子商务系统的对网络安全的要求更高。由于企业的电子商务系统往往与ERP(企业资源计划)、HRM(客户关系)、SCM(供应链)、HRM(人力资源)等系统相互连接、共享数据,而这些系统中又存储着整个企业生产制造、经营管理等各方面的重要信息,一旦数据泄密,将给企业造成不可估量的损失。
目前,实现网络安全的技术手段有防火墙、加密与数字签名、用户识别和安全认证、安全电子交易(SET)协议与CA认证等,下面将简要介绍这些网络安全技术的特点。
一、防火墙 1、原理:防火墙(FireWall)是一种隔离控制技术,在企业与外网(Internet)之间设置屏障,阻止对企业信息的非法访问,还阻止专利信息从企业的网络上被非法输出。防火墙是一种被动防卫技术,由于它假设了网络的边界和服务。
近年来,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统安全,在企业网和Internet间设立FireWall软件。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
2、防火墙的种类:真正意义下的防火墙有两类:一类被称为标准防火墙;一类叫双家网关。标准防火墙系统包括一个Unix工作站,该工作站的两端各按一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;而另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。而双家网关则是对标准防火墙的扩充,双家网关又称堡垒主机或应用层网关,它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。
3、使用防火墙:防火墙是企业网安全问题的流行方案,即把公共数据和服务置于防火墙外,使其对防火墙内部资源的访问受到限制。一般说来,防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。此外,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。
作为一种网络安全技术,防火墙具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是,如果防火墙系统被攻破,则被保护的网络处于无保护状态。如果一个企业希望在Internet上开展电子商务等商业活动,与众多的客户进行通信,则防火墙不能满足要求。