西南交通大學(xué)峨眉校區(qū)計(jì)算機(jī)與通信工程系 廖革元 鄔芝權(quán)

電子商務(wù)是指在因特網(wǎng)上通過數(shù)字化電子手段進(jìn)行商品交易的商業(yè)活動。電子商務(wù)網(wǎng)站是實(shí)現(xiàn)電子商務(wù)業(yè)務(wù)的基礎(chǔ)，它運(yùn)行在因特網(wǎng)這個(gè)完全開放的網(wǎng)絡(luò)中，而在開放的網(wǎng)絡(luò)上構(gòu)建電子商務(wù)網(wǎng)站，必然受到來自網(wǎng)絡(luò)的木馬、病毒和黑客的侵襲。因此，除了加大對黑客和計(jì)算機(jī)犯罪的打擊力度外，用技術(shù)手段加強(qiáng)對電子商務(wù)網(wǎng)站的安全防護(hù)是非常必要的。

1 電子商務(wù)網(wǎng)站面臨的主要安全威脅

電子商務(wù)網(wǎng)站的安全防范體系包括物理安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等幾個(gè)部分。由于網(wǎng)絡(luò)是承載各種應(yīng)用系統(tǒng)的載體，也是網(wǎng)絡(luò)入侵者攻擊信息系統(tǒng)的渠道和通路，因此網(wǎng)絡(luò)安全是電子商務(wù)網(wǎng)站安全的最重要環(huán)節(jié)，其面臨的主要威脅包括軟件缺陷、系統(tǒng)漏洞、病毒入侵和黑客攻擊等。

1.1 軟件缺陷

軟件缺陷是指計(jì)算機(jī)軟件中存在的某種破壞程序正常運(yùn)行的問題、錯(cuò)誤，或者隱藏的功能缺陷，缺陷的存在將會導(dǎo)致軟件產(chǎn)品在某種程度上不能滿足用戶的需要。比如可能是某種潛在的算法錯(cuò)誤，一般情況下系統(tǒng)不會表現(xiàn)出任何異常，但一旦出現(xiàn)問題可能給用戶帶來巨大損失。如淘寶網(wǎng)第三方軟件“團(tuán)購寶”程序在今年9月初出現(xiàn)異常，導(dǎo)致淘寶商城中大量賣家從幾十元到上千元的商品被以1元包郵的價(jià)格秒殺，如果全部按定單發(fā)貨的話將給部份商家造成上百萬元的損失。

1.2 系統(tǒng)漏洞

系統(tǒng)漏洞是指操作系統(tǒng)軟件或應(yīng)用軟件在邏輯設(shè)計(jì)上的缺陷或在編寫程序時(shí)產(chǎn)生的錯(cuò)誤，也有部分漏洞是軟件開發(fā)者為了某種目的而特意留下的調(diào)試結(jié)構(gòu)。這些漏洞可能被不法分子或者電腦黑客所利用，通過這些漏洞可以越過對方的防護(hù)系統(tǒng)并在對方系統(tǒng)中植入木馬、病毒等。從而攻擊或控制他人電腦，進(jìn)而竊取他人電腦中的重要資料和信息，甚至破壞系統(tǒng)。

系統(tǒng)漏洞廣泛存在，在不同種類的軟、硬件設(shè)備之間，同種設(shè)備的不同版本之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各種不同的安全漏洞問題。電子商務(wù)網(wǎng)站如果存在安全漏洞將是非常危險(xiǎn)的，可能讓不法分子輕易進(jìn)入網(wǎng)站的服務(wù)器系統(tǒng)，隨心所欲地修改和竊取用戶信息資料。甚至在網(wǎng)站的網(wǎng)頁中植入木馬病毒，使之成為帶毒網(wǎng)站，當(dāng)其他網(wǎng)絡(luò)用戶瀏覽帶毒網(wǎng)站時(shí)將會在不知不覺中被安裝上木馬程序，用戶使用帶木馬的電腦進(jìn)行網(wǎng)上交易時(shí)，其交易和網(wǎng)絡(luò)賬戶信息就成為不法者竊取的對象，嚴(yán)重威脅用戶的賬戶安全。

1.3 病毒入侵

目前全世界已發(fā)現(xiàn)的計(jì)算機(jī)病毒有數(shù)萬種，并且每天都會發(fā)現(xiàn)新病毒或病毒變體。隨著接入互聯(lián)網(wǎng)的用戶越來越多，聯(lián)網(wǎng)的主機(jī)節(jié)點(diǎn)也在不斷增加，這為計(jì)算機(jī)病毒的滋生和傳播提供了有利的網(wǎng)絡(luò)環(huán)境，造成的危害也越來越大，病毒破壞已成為企業(yè)開展電子商務(wù)所面臨的重大威脅。目前，對電子商務(wù)網(wǎng)站造成威脅的病毒主要有以下幾類：

(1)蠕蟲病毒。包括尼姆達(dá)、沖擊波、熊貓燒香等。這類病毒具有兩大特點(diǎn)，一是利用系統(tǒng)漏洞進(jìn)行攻擊，二是通過網(wǎng)絡(luò)迅速傳播。并且只要系統(tǒng)存在類似漏洞就會多次受到蠕蟲病毒的攻擊，只能通過安裝相應(yīng)的補(bǔ)丁程序才能進(jìn)行有效保護(hù)。

(2)木馬病毒。包括灰鴿子、冰河等。主要通過帶毒電子郵件或帶毒的免費(fèi)軟件來傳播。其目的是為了非法獲取用戶賬戶、密碼等信息，并遠(yuǎn)程控制用戶的計(jì)算機(jī)。根據(jù)CNCERT(國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心)的年度報(bào)道，木馬引起的安全事件長期位居各類網(wǎng)絡(luò)安全威脅之首。

(3)網(wǎng)頁惡意代碼。又稱網(wǎng)頁病毒，主要是利用軟件或系統(tǒng)操作平臺等的安全漏洞，當(dāng)用戶瀏覽帶毒網(wǎng)頁時(shí)通過執(zhí)行嵌入在網(wǎng)頁中的Java Script、Applet、ActiveX編輯的惡意腳本程序修改IE瀏覽器或操作系統(tǒng)的設(shè)置，甚至在用戶電腦上安裝木馬病毒。

1.4 黑客攻擊

黑客專指非法入侵他人計(jì)算機(jī)系統(tǒng)的人。由于互聯(lián)網(wǎng)所采用的TPC/IP協(xié)議并非專為安全通訊而設(shè)計(jì)，所以在國際互聯(lián)網(wǎng)系統(tǒng)中存在大量安全隱患和威脅。目前，黑客對網(wǎng)絡(luò)的入侵方式主要有后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽和密碼破解等，這些攻擊手段大多都是致命的。其入侵目標(biāo)主要是獲取網(wǎng)站服務(wù)器的控制權(quán)，從而竊取系統(tǒng)中的數(shù)據(jù)和密碼，偷竊用戶網(wǎng)上銀行或使用網(wǎng)上電子支付用戶的資金，甚至直接破壞網(wǎng)站系統(tǒng)，使其癱瘓。

2 電子商務(wù)網(wǎng)站的安全對策

上述各種電子商務(wù)網(wǎng)站的安全威脅，可以從以下幾方面建立一套有針對性的防范措施，抵御和防范相應(yīng)的網(wǎng)絡(luò)威脅，保證電子商務(wù)網(wǎng)站安全、穩(wěn)定、可靠地運(yùn)行。

2.1 物理安全

電子商務(wù)網(wǎng)站服務(wù)器機(jī)房安全必須符合國家規(guī)定的防范等級和相關(guān)技術(shù)規(guī)范，從機(jī)房布局上要將各類設(shè)備分開，尤其是密碼系統(tǒng)與其它系統(tǒng)要有明確的隔離墻，實(shí)行分區(qū)控制、區(qū)域防護(hù)。機(jī)房要設(shè)置安全防盜報(bào)警裝置和監(jiān)控系統(tǒng)。按照數(shù)據(jù)的重要程度，對數(shù)據(jù)進(jìn)行分類備份，用于存放備份數(shù)據(jù)的房間必須具備防火、防盜、防水、防震能力。對一些關(guān)鍵設(shè)備和系統(tǒng)，應(yīng)設(shè)置本地或異地備份系統(tǒng)。對于核心網(wǎng)絡(luò)和重要涉密設(shè)備，必須采用屏蔽布線，并加裝輻射干擾器等措施，防止因電磁輻射引起的漏密。

2.2 漏洞掃描并及時(shí)安裝系統(tǒng)安全補(bǔ)丁

網(wǎng)絡(luò)掃描技術(shù)是基于TCP/IP協(xié)議，自動檢測遠(yuǎn)端或本地主機(jī)安全的技術(shù)。通過查詢TCP/IP各種服務(wù)端口，并記錄目標(biāo)主機(jī)的響應(yīng)，收集關(guān)于某些特定項(xiàng)目的有用信息。通過安全掃描程序可以在很短的時(shí)間內(nèi)查出網(wǎng)絡(luò)系統(tǒng)存在的安全薄弱點(diǎn)，并將掃描得到的信息以統(tǒng)計(jì)方式輸出，為網(wǎng)絡(luò)管理者提供分析和參考。常見的掃描器有端口掃描器，漏洞掃描器，Web應(yīng)用掃描器等。其中Web應(yīng)用掃描器主要用于評估網(wǎng)站的安全性，關(guān)注的焦點(diǎn)是網(wǎng)站的Web應(yīng)用，主要檢測Web應(yīng)用數(shù)據(jù)提交、信息泄露等可能存在的問題。

漏洞掃描還可以確認(rèn)各種配置的正確性，避免網(wǎng)站和網(wǎng)絡(luò)遭受不必要的攻擊。例如，防火墻軟件的配置如果不正確，那么它就根本不起作用。在網(wǎng)站的維護(hù)過程中，一方面可以通過各種掃描器及時(shí)發(fā)現(xiàn)網(wǎng)站存在的安全漏洞，關(guān)閉不需要或不安全的服務(wù)和端口；另一方面要及時(shí)打上各種系統(tǒng)安全補(bǔ)丁程序，提高系統(tǒng)的安全性，這一點(diǎn)對預(yù)防蠕蟲病毒尤為重要。

2.3 構(gòu)建安全的防火墻

防火墻是一種網(wǎng)絡(luò)隔離控制技術(shù)，它是在內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)之間起著隔離和信息過濾作用的一種網(wǎng)絡(luò)安全設(shè)備。防火墻可以是一臺專用的硬件設(shè)備也可以是一套軟件。它依照管理者設(shè)定的過濾規(guī)則，允許或是限制著內(nèi)外網(wǎng)之間，或計(jì)算機(jī)與網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞，只有那些被授權(quán)的通信才能通過防火墻。

防火墻又分為包過濾型防火墻，雙宿網(wǎng)關(guān)防火墻，屏蔽主機(jī)防火墻，屏蔽子網(wǎng)防火墻等多種類型。其中屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個(gè)包過濾路由器和一個(gè)堡壘主機(jī)，采用的結(jié)構(gòu)是Internet→外部過濾路由器→堡壘主機(jī)→內(nèi)部過濾路由器→內(nèi)部網(wǎng)絡(luò)。這是一種包含DMZ(非軍事區(qū))的防火墻系統(tǒng)，支持網(wǎng)絡(luò)層和應(yīng)用層的安全功能。網(wǎng)絡(luò)管理員將堡壘主機(jī)，信息服務(wù)器，以及其它公用服務(wù)器放在“非軍事區(qū)”網(wǎng)絡(luò)中，這樣可以同時(shí)防止來自外部互聯(lián)網(wǎng)和內(nèi)部局域網(wǎng)兩方面的安全威脅。

2.4 部署統(tǒng)一的網(wǎng)絡(luò)防病毒系統(tǒng)

目前常用的防病毒技術(shù)主要有反病毒掃描、完整性檢查和行為封鎖等。針對計(jì)算機(jī)病毒在網(wǎng)絡(luò)中傳播速度快，影響范圍大等特點(diǎn)，網(wǎng)絡(luò)防病毒工作已不再是簡單的單臺計(jì)算機(jī)或服務(wù)器病毒的檢測及清除。必須建立多層次的、立體的病毒防護(hù)體系，實(shí)施“層層設(shè)防、集中控管、以防為主、防殺結(jié)合”的防病毒策略，構(gòu)建全面統(tǒng)一的防病毒體系，才能有效提高系統(tǒng)的防病毒能力。多層次病毒防護(hù)體系是指在相關(guān)部門的每臺客戶端計(jì)算機(jī)上安裝指定的防病毒系統(tǒng)，在服務(wù)器上安裝指定的基于服務(wù)器的防病毒系統(tǒng)，在Internet網(wǎng)關(guān)安裝基于Internet網(wǎng)關(guān)的防病毒系統(tǒng)，并設(shè)置集中控制系統(tǒng)以加快對計(jì)算機(jī)病毒的快速反應(yīng)能力。整個(gè)系統(tǒng)是對從客戶端計(jì)算機(jī)到服務(wù)器到網(wǎng)關(guān)以至于每臺不同業(yè)務(wù)應(yīng)用服務(wù)器的全面保護(hù)，只有這樣才能保證整個(gè)網(wǎng)絡(luò)免受計(jì)算機(jī)病毒的侵害。

2.5 入侵檢測

入侵檢測技術(shù)是主動保護(hù)網(wǎng)站免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。防火墻相當(dāng)于大樓的門衛(wèi)，主要判斷訪問者的合法性，而入侵檢測系統(tǒng)相當(dāng)于大樓中的監(jiān)控系統(tǒng)，是對所有進(jìn)入系統(tǒng)的用戶的操作過程進(jìn)行監(jiān)控。入侵檢測技術(shù)作為一種用于檢測在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中是否存在違反安全策略行為的技術(shù)，對非法用戶入侵和合法用戶濫用都會給予限制以保護(hù)系統(tǒng)安全。合理布置入侵檢測系統(tǒng)，使得當(dāng)有入侵發(fā)生時(shí)能及時(shí)檢測到入侵攻擊，并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加到入檢測軟件知識庫內(nèi)，以增強(qiáng)系統(tǒng)的防范能力。

2.6 系統(tǒng)容災(zāi)備份技術(shù)

對于電子商務(wù)網(wǎng)站來說，數(shù)據(jù)安全是最重要的。要構(gòu)建一個(gè)完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有容災(zāi)和系統(tǒng)恢復(fù)能力。因?yàn)槿魏我环N網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，漏防漏檢、天災(zāi)人禍、不可抗力等所導(dǎo)致的安全事故都會對系統(tǒng)數(shù)據(jù)造成毀滅性的破壞，因此必須有一套數(shù)據(jù)備份和容災(zāi)機(jī)制在安全事故發(fā)生時(shí)可以盡快恢復(fù)系統(tǒng)的正常使用。

容災(zāi)又可分成數(shù)據(jù)容災(zāi)和應(yīng)用容災(zāi)，數(shù)據(jù)容災(zāi)系統(tǒng)使用兩個(gè)存儲器，并在兩者之間建立復(fù)制關(guān)系，一個(gè)在本地，另一個(gè)在異地，異地容災(zāi)備份存儲器實(shí)時(shí)復(fù)制本地備份存儲器的關(guān)鍵數(shù)據(jù)。應(yīng)用容災(zāi)則是在異地建立一套與本地系統(tǒng)相當(dāng)?shù)膫浞輵?yīng)用系統(tǒng)，兩者之間通過網(wǎng)絡(luò)心跳包進(jìn)行交互。在主系統(tǒng)發(fā)生災(zāi)難后，可自動將應(yīng)用迅速切換到備用系統(tǒng)，由備用系統(tǒng)承擔(dān)系統(tǒng)的業(yè)務(wù)運(yùn)行。

3 結(jié)語

電子商務(wù)網(wǎng)站是以互聯(lián)網(wǎng)為活動平臺的電子交易系統(tǒng)，隨著互聯(lián)網(wǎng)的發(fā)展與普及，直接帶動了電子商務(wù)的迅猛發(fā)展，與此同時(shí)，也為電子商務(wù)網(wǎng)站帶來了許多來自網(wǎng)絡(luò)的威脅。只有認(rèn)真分析影響網(wǎng)站安全的各種因素，并建立一套完整的應(yīng)對措施，才能防患于未然，保證網(wǎng)站系統(tǒng)本身的安全性和穩(wěn)定性，為電子商務(wù)中的信息安全打好基礎(chǔ)，除此之外，還要采用數(shù)據(jù)加密、身份認(rèn)證等技術(shù)以進(jìn)一步提高電子交易的安全性。

[1]田園.網(wǎng)絡(luò)安全教程[M].北京:人民郵電出版社,2009.

[2]陳孟建,徐金華,鄒玉金.電子商務(wù)網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京:清華大學(xué)出版社,2011.

[3]李洪心,楊莉,劉繼山.電子商務(wù)網(wǎng)站建設(shè)[M].北京:機(jī)械工業(yè)出版社,2009.