1.什么是信息交换
2.信息交换的安全需求
由于信息交换系统主要是针对各行业企业之间信息集成,信息交换和共享的一个网络系统大平台,但同时也可能是各种不安全因素的大集合,特别是当前各种网络安全威胁越来越严重。在当前的这种网络安全环境下,又由于信息交换系统中的交换的信息主要是行业内或是企业之间与部门之间的内部信息,这些信息有可能是敏感的、重要的、甚至是有可能是关系切身利益的商业机密,因此不希望外部或其竞争对手知道,但又要能保障行业内部、各企业联盟内及企业内部的正常合法用户能及时了解共享交流、发送、接受信息等等,信息交换系统除了保障正常的业务功能外,针对安全方面还要做到:
(1)身份认证:只有那些被认可的合法的用户有权访问使用系统资源,且用户身份的唯一性可防止信息交换过程的抵赖,同时要拒绝系统外用户及防止非法用户通过非法手段伪装成合法用户来欺骗系统达到一些目的。因此只有确认了用户身份的合法性,信息交换才能进行。可以说,身份认证是信息交换系统的安全基础。
(2)权限控制:在用户使用系统时,要对其权限进行判定控制,根据不同级别的权限的角色用户享有访问、使用系统资源服务各有不同,防止用户无意或故意越权占有使用系统资源,保障用户的权益及信息的安全。从功能上划分的主要有发送信息权限、接收信息权限和信息源宿权限:
发送信息权限。具有获取本地数据与发送信息功能,不同级别的用户在发送信息时还具有数据加密、数据签名或是数位签名的功能不同的,如发送信息的数量、种类、目标个数、加密的粒度的限制等;
接收方权限。具有接受信息功能,同样在接受数据时,权限不同,接受用户能接受到的信息的数目、种类也各有不同等;
信息源宿权限。发送信息的目的地(接受方)和能否接受来自源(发送方)的信息的,即解决发送“谁”与“谁”去接受,控制信息的流转,防止信息的广播与泄密。
因此,保障权限的安全性,也可以说是保护用户的权益。
(3)信息安全:信息在发送到信息交换中心与信息交换中心转发到接收端地两个过程都是在网络中进行的,保障在这两个过程的信息不被窃取、篡改、假冒及在发送跟接受时抵赖等信息安全问题,其主要通过加密及签名来实现的,
(4)安全的信息交换中心:由于信息主要是通过这个中心转发并存取的,同时共享数据库存储了大量的数据,因此信息交换中心的安全,就是信息交换系系中枢的安全。
(5)密钥的安全管理:密钥的安全直接关系到交换中的信息安全。
(6)安全的信息传输通道:虽说信息传输在开放的网络中进行,但仍可通过网络安全技术来加强如SSL协议。
(7)安全管理:规范化的安全管理,提高网络安全的意识,可以减少一些安全事件的发生。据公安部2008年全国信息网络安全状况暨计算机病毒疫情调查报告,在12000余家信息网络使用单位和计算机用户中,信息网络安全事件发生比例为62.7%;同时多次发生网络安全事件的比例为50%,多次感染病毒的比例为66.8%;计算机病毒感染率为85.5%,说明我国互联网用户的网络安全意识仍比较薄弱,对发生网络安全事件未给予足够重视。其中攻击或病毒传播源来自内部人员的比例同比增加了21%,说明单位内部的网络安全管理工作还不到位。