-
所属地区:-
-
所属行业:-
-
截止时间:2011-09-10
网上招投标中的信息安全问题
信息化带给人们的是方便和快捷,网络缩短了人与人之间距离。随之而来的还有怎样保障网络系统安全可靠的问题。作为一种智能双向的大众媒体,网络从诞生当初就不可避免的伴生着这样那样的安全问题。设备故障,病毒、网络黑客的攻击,甚至是内部人员的破坏,都可能给网上招投标业务带来很大的危害,影响招投标工作的顺利进行。
网上招投标系统也是一种网络信息系统,因此具有其他的信息系统类似的安全隐患和安全问题,但是作为一种实现特殊业务的特有系统,网上招投标也具有一些其自身特点的安全需求,以及满足这些特殊需求的特有的解决方案。
信息的安全保障随着信息技术的发展而发展,计算机诞生之初,人们只能靠机器码和打孔纸带与计算机沟通,那时的安全保障只要把计算机锁在一间结实楼房里,派专人掌管钥匙就可以了。当PC出现并普遍使用磁盘作为计算机之间转储程序的介质后,计算机病毒才开始出现。相应的安全保障发展为经常的要用杀毒软件对硬盘进行杀毒。而计算机联网以后机与机之间的通话变得更加快捷的同时,网络病毒开始泛滥。随着网络上有价值的信息越来越多,而网络黑客也开始利用网络进行大肆的攻击。。
因此发展到现在互联网时代,如图
1‑1所示,信息安全成为涉及物理层安全,主机安全,网络层安全,应用安全,安全审计等组成部分的综合安全体系。
信息安全技术的复杂化,也使得人们不得不整体信息安全模块化,组件化。将具有共同特征的安全技术抽取出来,独立于其他部分而存在,从而让应用开发工作尽量简化,让网络业务的开发尽量简化。
主机安全通过不断强化的操作系统安全,主动监测和解决系统漏洞来防止黑客的入侵,防病毒和漏洞扫描作为专门的一个安全学科加以研究和使用。
在网络层,防火墙技术,入侵监测技术也成为专门的学科而逐渐成熟。
但是在应用层,安全的认证、加密、权限控制、安全存储由于和业务紧密结合,历来是作为应用开发的一部分。但是随着加密技术的不断发展,上述功能的实现变得越来越复杂和艰深了,如果不是像国富安这样的专注在安全认证领域多年的公司,是很难对这项技术有着深刻和全面的认识的。
国富安公司将上述安全功能进行封装,形成产品和模块,应用开发人员只需要调用标准的接口就能实现身份认证、权限控制、安全传输和加密存储等功能,实现专业级的安全保证,大大简化了业务应用的开发工作。
1.4 安全认证技术
由于互联网的兴起是建立在TCP/IP这个开放的网络之上的,开放给互联网带来了勃勃生机的同时,也由于开放的协议架构,明文传输等特点成为黑客攻击的目标。仅仅靠互联网的通用协议无法帮助人们实现以上的安全特征。
多年以来为了保证网络安全,科学家、工程师们想了各种办法来实现安全的认证与传输,技术人员首先想到的是:使用用户名口令方式确认用户的合法身份,虽然口令以“*”显示在屏幕上让人无法偷看,但是对于可以截获网络上传输的数据的黑客来说,在网络上窃取以明文传输的用户名口令易如反掌,一旦用户名口令被黑客窃取,网络黑客就可以利用合法的用户名密码为所欲为。另外不太复杂的用户名口令都可能通过穷举攻击的方法进行解密。
由于复杂的用户名密码难以记忆,人们开始研究复杂的登录机制,首先人们想到通过人体特有的信息进行登录,例如指纹信息、视网膜信息等。这些信息在单机系统的时代是非常有效的认证手段,但是一旦这些信息被数字代码化,放到网络上明文传输,就如同明文传输的用户名密码一样成为黑客唾手可得的点心。
人们转而开始研究利用加密技术保证安全,设想如果网络上传输的信息都是被加密过的信息,计算机上存储的信息也都是被加密的信息,那么即使这些信息被黑客所窃取,黑客也无法确知其内容。但是传统的对称加密方法,如同我们的传统的锁具一样,一把钥匙开一把锁。一方面,我们将信息加密传输给对方,如同送给对方一把上锁的箱子,为了让对方打开箱子,还要将箱子的钥匙(密钥)送达对方,才能让对方读懂信息的内容。这就产生了两方面的问题,一方面,我们的钥匙在传输过程中是否会被黑客所窃取,这样黑客就可能看到我们的信息,或是对我们原有的信息进行修改,从而破坏我们信息的本来面目。另一方面对方在拿到我们的箱子和钥匙之后,怎么识别这个箱子是我送给他的,而不是别有用心的人的恶作剧。这是困扰科学界多年的一个难题。直到非对称加密算法的提出,为加密的历史掀开了新的篇章。
1976年,Diffie和Hellman为解决密钥的分发与管理问题,在他们奠基性的工作“密码学的新方向”一文中,提出一种密钥交换协议,允许在不安全的媒体上通过通讯双方交换信息,安全地传送秘密密钥。在此新思想的基础上,很快出现了非对称密钥密码体制,即公钥密码体制。在公钥体制中,同时产生一对密钥,加密密钥和解密密钥,将加密密钥发送给发送方,谁都可以使用;而解密密钥只有解密人自己知道。由于解密密钥不会在网络上传输,而通过加密密钥又无法推导出解密密钥,因此黑客无法获得解密密钥,也就无法了解经过加密后的信息,从而保证了信息在传输过程中的安全。
迄今为止的所有公钥密码体系中,RSA系统是最著名、使用最广泛的一种。RSA公开密钥密码系统是由R.
Rivest、A. Shamir和L.
Adleman三位教授于1977年提出的。RSA的取名就是来自于这三位发明者的姓的第一个字母。
非对称密钥的出现解决了网络时代的加密问题,同时也解决了网络时代的数字签名问题,因为用一对密钥中私钥签名的信息只有本对密钥中的公钥才能解开。因此可以通过确认公钥的有效性来确认私钥持有者的身份。为了保证签名的可信性需要建立一套完整的认证体系,(例如为了确认公钥的身份需要通过第三方的权威机构对公钥进行签名。)在使用过程中,工程技术人员对公钥技术不断的完善和扩充,最终形成完善的PKI(公钥基础设施)体系,解决了数字签名的相关问题。
网络技术发展以来,PKI(公钥基础设施)体系以其特有的安全性成为目前为止最安全的加密认证体系,为上述在招投标系统中的认证、授权、抗抵赖提供了可靠的保障。国富安公司从1998年以来就开始潜心研究PKI技术,并承担了国家863计划和国家火炬计划等多项重大课题的研究,取得了多项成果,成功运用到包括安全网上招投标平台等许多项目中。
1.5 电子签名法的实施
PKI体系的完善从技术上保证了电子签名的实现,但是从技术到现实的应用还需要跨越法律制度的障碍。
十几年前,人们的商务交易和政务审批还完全依靠纸制界面的传递和签名图章的应用。因此我们的合同法等相关法律是依照手写签名和纸制资料的传递流程制定的。随着互联网的影响越来越大,网上交易技术的越来越成熟,从事网上交易的人也越来越多。而网上交易一旦出现纠纷,由于没有相应的法律规范,无法将纠纷诉诸于法律,形成法律的空白。
2004年8月28日,中华人民共和国第十届全国人民代表大会常务委员会第十一次会议通过了《中华人民共和国电子签名法》,并于2005年4月1日起施行。电子签名法的制定和实施解决了电子商务、电子政务当中最为重要的数据电文原件、电子签名的法律效力等问题。国富安作为业界领先的安全认证企业,在电子签名法的制定过程中也贡献了自己的一份力量。
重要的商务活动要求提供和保存相关原件,在发生纠纷提起仲裁或诉讼时,要求以原件作为证据。而电子商务以数据电文在计算机网络间传递信息,电子数据都记录在计算机内,输入到打印机打印出来的都只能算是“副本”。那么,如何确定数据电文的“原件”,什么样的数据电文可以视为符合法律要求的书面形式,需要明确。
另外,传统商务活动中,交易双方在纸质文件上手书签名或盖章,一是为了证明身份,二是表示对所签名盖章的书面文件的认可,受其约束,不得反悔。鉴于签名盖章对保证交易安全极为重要,有关法律规定,书面合同等重要的商务文件,须经当事人签名盖章始生效力。而在电子商务中,通过计算机网络以数据电文传递交易信息,不可能采用传统的手书签名、盖章方式,为此人们创造了在数据电文中用电子数据“签名”的技术,以其作为保证网上交易安全的重要手段。这种签名的可靠性如何?是否具有与手写签名同等的法律效力?也需要法律予以明确。
电子签名法第十四条规定:“可靠的电子签名与手写签名或者盖章具有同等的法律效力。”
电子签名法第五条规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:(一)能够有效地表现所载内容并可供随时调取查用…
电子签名法没有规定采用哪一种技术的电子签名是可靠的电子签名。但是目前为止能够达到电子签名法要求的技术实现手段只有基于PKI技术的电子签名手段。(下)