企業電子商務網站的安全策略

高 沖

遼寧公安司法管理干部學院，遼寧沈陽 110161

1 概述

目前，網上電子交易已經隨著因特網的普及逐漸被人們所接受和應用，網絡購物、網上繳費等方式極大的方便了人們的生活，越來越多的人開始利用網絡來進行交易。電子商務網站的有效運作，依靠的是完全開放的互聯網，而這個網絡當中的任何電腦之間、網絡之間都是互通的，安全和不安全的數據都可能在傳遞，各種風險隨時對電子商務的安全構成威脅。電子商務正在規模化和全球化，企業的發展在很大程度上都依賴于它，所以，電子商務網站的安全問題必須得到有效的解決，才能保證它的正常運轉。

2 電子商務網站的安全策略

電子商務依靠的是互聯網，其核心和關鍵問題就是交易的安全性。正是由于網絡本身的開放性給網上交易帶來了種種危險，才要更加注重它的安全控制。電子商務網站的安全問題可以從兩個方面進行探討和分析，一是系統安全，二是數據安全，并且可以利用一些先進的技術手段加以解決。

2.1 系統安全

信息安全對于企業來說很重要，而信息安全的前提是系統安全。系統安全主要包括網絡系統、操作系統和應用系統3個方面。系統安全可以采用的技術手段有網絡隔離、訪問控制、身份鑒別、數據加密、監控評估等技術。

2.1.1 網絡系統

網絡系統的安全問題主要是由于網絡的開放性造成的，解決問題的關鍵是把網絡從開放、自由的環境中分離出來，使其變成可以控制和管理的獨立網絡，就目前的技術發展來看，可以采用下列方法解決系統安全問題。

1）系統隔離，就是將重要的網絡系統與其他系統分離，有物理隔離和邏輯隔離。按照網絡安全等級的不同可以將網絡合理劃分為多個互不連通的網絡，使不同安全級別的網絡或設備不能相互訪問，從而達到安全隔離。也可以采用VLAN等網絡技術對業務網絡或辦公網絡實行邏輯上的隔離，劃分出不同的應用子網；2）訪問控制，通過設置有效合理的訪問策略，對于不同區域的網絡資源實行訪問控制，防止非法用戶訪問受保護的資源，其主要解決的問題就是網絡邊界的安全控制和網絡內部資源的訪問控制。可以按照一定的原則根據需要對信息的流向進行單向或雙向控制。能夠設置訪問控制的網絡設備有很多，比如交換機、路由器，而最重要也是最有效的則是防火墻，它通常被布置在網絡的出入口處，對進出網絡的數據信息進行有效的檢測和過濾，同時按照訪問控制列表和安全政策對信息流進行控制，允許合理有效的數據通過，將不安全和不符合要求的數據拒之網外；3）身份鑒定，對訪問網絡的用戶進行身份識別，通常可以使用三種方式對訪問者進行身份驗證，一是訪問者了解的安全信息，比如賬號、密碼、密鑰等；二是訪問者提供的物件，比如訪問磁卡、通用IC卡、動態口令卡等；三是訪問者自身的特征信息，比如聲音、指紋、視網膜、筆跡等。身份鑒定的目的就是阻止非法用戶訪問這些被加密的數據，而加密是為了防止網絡數據被竊聽、泄漏、篡改和破壞；4）安全監測，利用網絡設備的高級功能和技術，通過分析來訪數據信息，找出未經授權的網絡訪問和非法行為，包括對網絡系統的掃描、跟蹤、預警、阻斷、記錄等，從而將系統遭受的攻擊傷害減少到最低。除了網絡設備，還可利用一些專業的網絡掃描監測系統來對付黑客和非法入侵，這些系統能夠主動、實時、有效的識別出非法數據和用戶，并且通過網絡掃描能夠針對網絡設備的安全漏洞進行檢測和分析，包括網絡服務、防火墻、路由器、郵件服務器、網站服務器等，從而識別那些可以被入侵者利用并非法進入的網絡漏洞。網絡掃描系統對檢測到的漏洞信息形成詳細報告并提供改進方案，使網絡管理人員能檢測和管理好安全風險。

2.1.2 操作系統

操作系統，實際上就是電腦管理控制程序，是管理計算機軟硬件資源的核心系統，負責設備的管理、數據的存儲、信息的發送和各種系統資源的調度，它是各種應用軟件的系統平臺，具有通用性和易用性，操作系統的安全直接影響到應用系統和數據的安全，一般分為應用安全和系統掃描。

1）應用安全，面向應用選擇可靠的操作系統，可以杜絕使用來歷不明的軟件。用戶可安裝操作系統保護與恢復軟件，并作相應的備份；2）系統掃描，基于主機的安全評估系統是對系統的安全風險級別進行劃分，并提供完整的安全漏洞檢查列表，通過不同版本的操作系統進行掃描分析，對掃描漏洞自動修補形成報告，保護應用程序、數據免受盜用、破壞。

2.1.3 應用系統

1）文件的安全存儲：利用各種加密手段，結合相應的身份鑒定和密碼保護機制，使存儲在本地或者網絡上的重要文件處于安全存儲的狀態，即便他人通過非法手段獲取到了文件或存儲設備，也難以取得文件里的內容；2）文件的安全傳遞：對通過網絡發送的文件進行安全處理，比如加密、簽名、完整性鑒別等，使被傳送的文件只有指定的接收者通過相應的安全鑒別機制才能解密并閱讀，避免了文件在傳送或存儲的過程當中被截獲、篡改和破壞等；3）業務服務安全：主要面向業務管理和信息服務的安全需求。對于各種通用信息服務，如WEB信息服務、FTP服務、電子郵件服務等服務，采用相應安全軟件系統進行保護，如安全郵件系統、WEB頁面保護等；對于各種業務信息可以配合專業管理信息系統軟件采取對信息內容的安全保護，防止外部非法侵入和內部信息泄漏。

2.2 數據安全

信息數據的安全主要包含了數據庫的安全和數據本身的安全，這兩個方面的安全問題都必須得有相應的安全措施，才能確保數據安全。

1）數據庫安全，目前很多企業使用的數據庫都是SQL Server或者ORACLE大型數據庫，這些數據庫系統本身具備一定的安全性，安全級別可以滿足日常需求。但是由于數據庫十分重要，應在此基礎上再采取一些安全措施，增加相應安全組件，改良密碼策略，對數據庫實施分級管理并提供可靠的故障恢復機制，實現數據庫的訪問、存取和加密控制。具體方法有安全數據庫系統、數據庫保密系統、數據庫掃描系統等；2）數據安全，即存儲在數據庫中的數據本身的安全，相應的保護措施有安裝反病毒軟件和防火墻軟件，建立一套可靠的數據備份與恢復系統，定期對數據進行備份，定期修改數據庫密碼，必要時可以對重要數據采取多層加密保護。

2.3 交易安全

網上交易安全是用戶最關心的問題，只有提供穩定的安全保證，在線交易用戶才會具有安全感，才會覺得交易平臺可靠，電子商務網站才會具有廣闊的發展空間。

1）交易安全標準，目前在電子商務中主要的安全標準有兩種：應用層的SET（安全電子交易）和會話層SSL（安全套層）協議。前者由信用卡機構VISA及MasterCard提出的針對電子錢包、商場、認證中心的安全標準，SET的關鍵特征是信息的機密性、數據的可靠性、卡用戶賬號的鑒別、商人的鑒別，主要用于銀行等金融機構。后者由NETSCAPE公司提出的針對數據的機密性、完整性、開放性和身份確認的安全協議，它可以保證數據不被竊取和破壞，此協議已經成為WEB應用安全標準；2）交易安全基礎體系，交易安全的基礎是現代密碼學技術，主要取決去于加密方法和加密強度。加密分為單密鑰的對稱加密體系和雙密鑰的非對稱加密體系。兩者各有所長，對稱密鑰具有加密效率高，但存在密鑰分發困難、管理不便的弱點。非對稱密鑰加密速度慢，但便于密鑰分發管理。通常把兩者結合使用，以達到高效安全的目的；3）交易安全的實現，交易安全的實現主要是指交易雙方身份確認、交易指令及數據加密傳輸、數據的完整性、防止雙方對交易結果的否認等等。具體實現的途徑是交易各方具有相關身份證明，同時在SSL協議體系下完成交易過程中電子證書驗證、數字簽名、指令數據的加密傳輸、交易結果確認審計等。

3 結論

企業電子商務網站的安全，需要一個完整的綜合保障體系，要采用綜合防范的思路，從技術、管理、法律等多方面加以認識和思考。安全實際上是一種風險管理，任何技術手段都不能夠保證百分之百的安全，但是安全技術可以降低系統遭到破壞和攻擊的風險，在一定程度上保障數據的安全。電子商務正處于蓬勃發展時期，只有解決了電子商務中出現的各類問題，才能是電子商務系統更加安全。

[1]洪國彬.電子商務安全與管理[M].北京：電子工業出版社，2006.

[2]賈偉.網絡與電子商務安全[M].北京：國防工業出版社，2006.

[3]張福德.電子商務安全認證實用技術[M].北京：中國對外經濟貿易出版社，2003.