一种可生存的电子商务安全体系结构介绍

1.建立可生存的电子商务安全体系结构的必要性

针对各种可能的安全威胁，通常采用密码技术、访问控制、防火墙和入侵检测等方法来保障电子商务系统的安全。这些传统的安全机制虽然在实现电子商务安全方面发挥了重要的作用，但是在实现电子商务系统的安全保护方面存在不足，特别是对于诸如DoS之类的攻击并不能有效地发挥作用。其主要原因在于，一方面安全措施自身存在缺陷，其机制以及所采用的技术有待完善；另一方面安全措施侧重于对特定系统组件的保护，却忽视了电子商务系统是有机整体的事实。事实上，对于电子商务系统而言，一个存在缺陷的安全机制是不可能非常有效和可靠地提供安全保护的。更危险的是，这样的系统会给人们造成一个“安全”的错觉。因此，仅仅依靠密码技术和入侵检测方法已经不能满足未来电子商务安全，特别是信息保障与可生存性的要求。

系统可生存性是一个新的研究课题，最早始于20世纪末期。虽然有关可生存性的技术还处于不断完善和研究过程中，但是其思想已经应用到实际系统中，特别是一些关键系统中。电子商务系统安全体系中对可生存性的研究还很少。本书作者认为，将可生存性的思想应用到电子商务安全体系结构中，能够有效地提高电子商务系统的安全性和可靠性。当然要实现电子商务系统的可生存性，传统的安全技术，如密码技术、访问控制和防火墙等必不可少，这些安全技术形成了保护系统的第一层屏障，其主要功能是阻止恶意的入侵行为发生；入侵检测、容忍入侵和容错等技术形成第二层屏障，以实现对故障和入侵的诊断和系统初步的反应；各种动态恢复和自适应技术形成最后一道屏障，从根本上消除故障和入侵带来的不利影响。恶意的攻击者只有突破以上三层屏障，才有可能破坏电子商务系统的可生存性。

2.具有可生存性的电子商务安全体系结构

根据所提出的可生存的电子商务安全策略模型，基于容忍入侵的思想，采用纵深防御策略，将冗余和多样性技术相结合，并利用门限秘密共享方案，给出了如图7-12所示的一种可生存的电子商务安全体系结构。在该结构中，实现容忍入侵的主要策略是：在系统构件中引入一定的冗余度；不同的应用服务器运行于不同的操作系统环境中，应用程序采用多版本程序设计（N-version Programming）；利用门限密码技术将信息分布于多个系统构件上，各个构件通过一定的通信机制建立联系，以实现电子商务系统的可生存性和机密数据的安全性；综合多种安全措施，在容忍入侵的基础上，提高入侵检测系统的性能和学习功能；采用多阶段数据库恢复技术，及时评估数据破坏，恢复系统状态。

图7-12 一种可生存的电子商务安全体系结构

系统主要构件包括：防火墙、主/从认证代理、服务器组、入侵检测系统（IDS）、冗余的数据库存储结点等。

当用户对电子商务的关键数据进行访问时，系统的运行过程如下。(www.xing528.com)

1）首先通过防火墙过滤。

2）进行认证：在认证代理中有一个主认证代理，其他称为从认证代理。主认证代理负责过滤和“净化”客户要求，并将有效的客户请求传给服务器。服务器处理客户请求并将结果返回到主认证代理，主认证代理经过大数裁决后，将结果提交给客户。当主认证代理出现故障时，其中一个从认证代理将成为新的主认证代理继续工作。

3）服务器组由在功能上具有一定冗余的多个COTS（Commercial-of-the-shelf）服务器构成，其主要功能是为客户提供应用服务。这些服务器分别运行于不同的操作系统平台，具有同样的功能，所运行的软件采用多版本程序设计技术。这样做的目的是为了避免同一种攻击造成整个系统瘫痪。

4）IDS采用Multi-agent技术。IDS由多个agent组成，即在每个服务器上分布一个或多个agent，负责监视服务器的运行状态以及其中关键数据的机密性和完整性。IDS将agent从所在主机接收到的信息、认证代理所反馈的信息和存储结点收集的信息进行分析汇总，进行入侵检测。特别是数据库系统中的IDS，将基于数据库的存储特征，如数据和属性的修改、修改模式、内容完整性变化、对可疑内容的操作等，进一步提高入侵检测的性能。

IDS根据所保存的历史日志来确定恶意事务，破坏评估确定恶意事务所引起的破坏，破坏修复通过UNDO（撤销）事务来修复所确定的破坏，破坏限制管理器限制对已经由破坏评估所确定的破坏的数据项的访问，而不限制已经清除的数据项，策略管理器一方面作为正常用户事务和UNDO事务的代理，另一方面负责系统容忍入侵的策略。

5）可生存的数据库存储结构。将电子商务系统中的重要数据库数据根据其安全级别可以分为一般数据G和机密数据S，每个存储结点存储着一般数据的全备份和机密数据的一个份额。采用（t，n）门限秘密共享方案，将数据库中的机密数据S分成n份：S₁，S₂，…，S_n（n是存储结点的个数），分别存储于n个存储结点中。只有t个以上的机密数据份额才能重构数据，攻击者只有入侵t个以上的存储结点才有可能重构机密数据S，从而使数据库数据具有更高的安全性。

这种体系结构可以作为电子商务建设的整体框架，在具体应用时要根据系统的安全要求、安全政策和安全评估的情况进行适当的取舍。总之，在电子商务建设过程中，安全意识应该贯彻始终。