电子商务安全体系结构的安全层

为了提供端到端安全解决方案，上一小节中描述的安全维必须应用于网络设备和设施分类的层次结构，称作安全层。这个参考体系结构定义3个安全层，即基础设施安全层、服务安全层和应用安全层，它们相互依赖以提供基于网络的解决方案。

安全层是一系列安全网络解决方案的激活器：基础设施安全层激活服务安全层，服务安全层激活应用安全层。这个参考体系结构提出每一层都有不同的安全脆弱性的事实，并提供以最适合特定安全层的方式来对抗潜在威胁的灵活性。

安全层通过提供网络安全的连续视角来识别安全必须被置于产品和解决方案中的何处。例如，首先安全脆弱性为基础设施安全层处理，然后为服务安全层处理，最后为应用安全层处理。安全维识别必须在每个安全层中处理的域。图7-7描述每个安全维的机制如何应用于安全层，以降低存在于每层的脆弱性，从而缓解安全攻击。

图7-7 电子商务的网络安全体系结构

1.基础设施安全层(www.xing528.com)

基础设施安全层由通过安全维实现的机制所保护的网络传输设施和单个的网络元素组成。基础设施安全层表示网络、网络服务及应用的基本构建块。属于基础设施安全层的组件实例有单个路由器、交换机和服务器，以及单个路由器、交换机和服务器之间的通信链路。

2.服务安全层

服务安全层保证服务提供商提供给客户的服务的安全。这些服务的范围从基本传输和连通性到提供互联网访问（如鉴别、授权和账户服务、动态主机配置服务、域名服务等）所必需的服务激活，再到免费电话服务、QoS、VPN、定位服务、即时消息等增值服务。服务安全层用于保护服务提供商及其客户，这两者均为潜在的安全威胁目标。例如，攻击者可能试图否认服务提供商提供服务的能力，或者他们可能试图中断服务提供商（如公司）对某个客户的服务。

3.应用安全层

应用安全层集中研究被服务提供商的客户访问的基于网络应用的安全问题。这些应用由网络服务激活且包括基本的文件传输（如FTP）和Web浏览应用、目录、基于网络的语音消息和电子邮件之类的基本应用，以及客户关系管理、电子/移动商务、基于网络的培训、视频协作之类的高端应用。基于网络的应用可能由第三方应用服务提供商（ASP）、充当ASP的服务提供商或由在自己的（或租用的）数据中心运营它们的企业来提供。在这一层中有4个潜在的安全攻击目标：应用用户、应用提供商、由第三方集成者提供的中间件（如Web代管服务）以及服务提供商。