網上證券安全解決方案_黑龍江省數字證書認證有限公司
<var id="btuik"></var>

  1. <progress id="btuik"><track id="btuik"><video id="btuik"></video></track></progress>

    <em id="btuik"><acronym id="btuik"><u id="btuik"></u></acronym></em>

    <rp id="btuik"></rp>
    <li id="btuik"><acronym id="btuik"></acronym></li><button id="btuik"><acronym id="btuik"></acronym></button><dd id="btuik"></dd><button id="btuik"></button>
    <dd id="btuik"></dd>

    <tbody id="btuik"></tbody>

    歡迎來到黑龍江省數字證書認證有限公司官方網站

    解決方案

    網上證券安全解決方案

    作者:admin 發布時間:2017-12-03
     一、 信息和網絡安全的基本要求
        互連網絡在拉進人們的距離,改變人們的生活、生產和生存的方式。人們從傳統的面對面的交易和作業,變成跨時空互相不見面的網上操作,沒有國界,沒有時間限制。值得注意的是,當人們在盡情享受數字化生活、利用互連網資源和工具時,同時也面臨著被攻擊的危險。其正在作業的系統可能會遭到攻擊者的非法訪問甚至破壞,部門機關的機密資料、個人隱私、交易的敏感信息、支付的信息等可能遭到竊取、盜用或篡改互聯網絡并不太平?;ヂ摼W絡起初階段用戶之間互相信任、可以進行自由開放信息交換的君子風度已經所剩無幾了。社會上能找到的所有欺詐、兇險、卑鄙和投機等種種現象,互聯網絡上已經應有盡有。在這樣的環境里,開放性成了互聯網絡的一把雙刃劍。企圖闖入系統者有之。如果不及時規劃實施安全策略的技術,不制服形形色色的災難,任憑災難發作,信息網絡系統就可能陷入癱瘓,嚴重的可能引起大面積恐慌其至災難性后果。
        對安全的概念有不同的解釋,但從本質上講,互聯網絡的安全性一般包括訪問控制安全和信息傳輸安全。從互聯網絡信息的層次來分,安全性包括網絡層安全性、傳輸層的安全性、應用層的安全性。按照實施安全措施的對象來看,可以分為物理安全、運行管理安全、數據庫資源的安全。信息和網絡的安全雖然有許多不同的需求,從總體上講,可以歸納為以下5項基本要求:
        1、信息的保密性
        在INTERNET上傳送的信息以包的形式轉發的,所有信息就象一張被整齊剪裁了的明信片,只要攻擊者收集到所有的包,那么,發送的信息對于攻擊者來說就無保密可言了。如果傳輸的信息是國家機密、商業秘密或者消費者私人的金融信息,攻擊者就有可能加以利用和破壞,造成損失。傳輸信息的保密性要求信息發送和接收是在安全通道進行,保證通信雙方的信息保密,交易的非參與方不能獲取交易和作業的明文信息。
        2、身份的真實性
        在互不見面的網上,假冒身份是經常發生的。如冒充上級領導發布命令、調閱密件:冒充他人消費、栽贓:冒充主機欺騙合法用戶獲取重要信息;冒充網絡控制程序,套取或修改使用權限、通行字、密鑰等信息;接管合法用戶,欺騙系統,占用合法用戶的資源等等。身份真實性要求交易和作業參與方的身份不能被假冒或偽裝,網上作業時能夠有效地鑒別確定交易的真實身份。
        3、信息的完整性
        信息在傳輸過程中可能被攻擊和截取,攻擊者對其進行篡改,對購買商品的出貸地址、單位發獎金的金額、領導的講話原意進行改變;插入或刪除傳輸消息或信息的某些部分,讓按受方接受錯誤的信息。信息的完整性要求發送和接收的信息應該保持一致,信息接收方可以驗證收到的信息是否是完整,是否被人篡改。
        4、訪問可控性
        授權什么人、可以訪問什么資源、有什么權限等等,涉及到用戶訪問的權限控制,包括分配或終止用戶的訪問、操勞作、接入等權利,就是因為非法用戶窮盡接入訪問資源,使合法用戶不能正常訪問網站為了聚"人氣",吸引訪問量,前臺大多沒有進行訪問可控性的設置,因此比較容易受到拒絕服務的攻擊。
        5、不可抵賴性
        在網上容易因抵賴行為產生糾紛。如購買飛機票后不承認,否認曾經發送過某條信息或內容;收信者事后否認曾經收到地某條消息或內容;購買者估了定貨單不承認;商家賣出的商品因價格差而不承認原有的交易等等。不可抵賴性就是信息的發送方不能抵賴曾經發送的信息,不能否認自己的行為。
    二、 數字證書認證體系的架構和功能
        如何應用最有效的安全技術,建立互連網絡的安全體系結構,成為建設數字化信息化社會首先需要解決的問題。防火墻技術是針對訪問控制方面的安全性提出來的。防火墻如今已經是網絡安全中用的最普遍的產品,導致一些人把網絡安全和防火墻劃等號。應該指出,防火墻并不是解決所有網絡安全問題的萬能藥方,只是網絡安全策略中的一個組成部分。其作用是防止未經授權的訪問。統計表明,70%以上的攻擊是來自內部,這是基于隔離的防火墻防范措施無能為力的。同樣,防火墻也不能解決進入防火墻的數據帶來的所有安全問題。從信息和網絡安全的全局出發,經過研究和實踐,國際上提出了基于公開密鑰體制(Public Key Infrastructure,簡稱PKI)的CA認證體系,可以滿足上述信息和網絡安全的5項基本要求,現已被普遍認可。鑒于CA建設的重要性,多數國家都在建立自己的CA認證體系。由于政治上的原因,目前還沒有國際統一的認證機構。
        CA認證體系的核心是證書認證中心(Certificate Authority,簡稱CA中心)。CA中心是公正的第三方,它為建立身份認證過程的權威性框架奠定了基礎,為交易和作業的參與方提供了安全保障。為網上交易構筑了一個互相信任的環境,同時解決了網上身份認證、公鑰分發及信息完整性檢驗、不可抵賴驗證控制訪問等一系列問題。第三方的概念是從信任關系中得出的。茫茫網海,不可能認識網上作業的所有參與方,互不見面的情況下如何信任對方?只好求助認識的或有責任義務關系的中間人來保證雙方的身份,交易和作業雙方信任的第三方,由第三方保證參與方的真實身份。
        CA認證的主要工具是CA中心為網上作業主體頒發的數字證書。CA架構包括PKI結構、高強度抗攻擊的公開加解密算法、數字簽名技術、運行安全管理技術、可靠的信任責任體系等等。從業務流程涉及的腳色看,包括認證機構、數字證書庫和黑名單庫、密鑰托管處理系統、證書目錄服務、證書下級中心(子CA)、證書審批中心(RA中心)、證書審批受理點(RAT)等。CA中心一般要發布認證體系聲明書(SDCA白皮書),向服務的對象鄭重聲明CA的政策、保證安全的措施、服務的范圍、服務的質量、承擔的責任、操作流程等條款。
        根據的PKI結構,身份人證的實體需要有一對密鑰,分別為私鑰和公鑰。其中私鑰是保密的,公鑰是公開的。從原理上講,不能從公鑰推導出私鑰,窮舉法來求私鑰則由于目前的技術、運算工具和時間的限制而不可能。每個實體的密鑰總是成對出現,即一個公鑰必定對應一個私鑰。公鑰加密的信息必須由對應的私鑰才能解密,同樣,私鑰做出的簽名,也只有配對的公鑰才能解密。公鑰有時傳送對稱密鑰,這就是數字信封技術。密鑰的管理政策是把公鑰和實體綁定,由CA中心把實體的信息和實體的公鑰制作成數字證書,證書的尾部必須有CA中心的數字簽名。由于CA中心的數字簽名是不可偽造的,因此實體的數字證書不可偽造。CA中心對實體的物理身份資格審查通過后,才對申請者頒發數字證書,將實體的身份與數字證書對應起來。由于實體都信任提供第三方服務的CA中心,因此,實體可以信任由CA中心頒發證書的其他實體,放心地在網上進行作業和交易。
        數字證書主要內容包含一個公開密鑰、名稱以及CA中心的數字簽名、密鑰的有效時間,發證機關的名稱,證書的序列號等等,證書格式遵循ITU-T X.509標準。這里要說明兩個問題。其一是數字簽名,假設A做數字簽名,A要做什么事,表達在信息原文里。A首先將信息原文進行摘要處理(即HASH算法),得到一定長度(通常為128-160BITS)的數字指紋(一堆雜亂碼),再用A的私鑰對數字指紋進行加密。信息原文和加密后的數字指紋一起形成數字簽名??梢姅底趾灻欢ㄒ托畔⒃囊黄鸫嬖?。由于簽名私鑰只有A有,因此別人不可能A偽造的數字簽名。驗證數字簽名則相反。接收方B得到信息原文后,再做摘要處理,得到數字指紋B,然后用A證書的公鑰將加密過的數字指紋解密,得到數字指紋A,只要對照兩份數字指紋,便可以驗證數字簽名。如果不一致,可以肯定發送的信息是假的。


    暖暖日本电影大全_久久频这里精品97香蕉_欧美特级特黄一级一级aaA片_中国肥胖老太和老头