電子商務交易的安全技術淺析

浙江財經學院信息學院 程亞星

近年來，隨著越來越多的商家與企業加入電子商務大軍，2012年天貓、京東、蘇寧易購、騰訊都進行了不斷的收購，騰訊投資10億元到電商業務。據艾瑞咨詢發布的統計數據，截至2012年6月底，中國網民數量達到5.38億，受益于網購市場的高速發展全年網購交易規模突破13000億，電子商務產業已成為我國經濟中的亮麗風景。同時，電子商務交易安全問題日益嚴重，信息安全已成為未來電子商務順利發展的重要保證，確保商務交易中的安全是當前電子商務發展面臨的巨大挑戰。近年來已經逐漸發展成熟的防火墻與入侵檢測技術已頗具成效，成為解決電子商務交易網絡安全的重要手段。其中，防火墻技術因其靜態防御的特性而在策略完善和攻擊的識別上還存在很多不足之處，入侵檢測技術能夠很好地對惡意攻擊網絡行為進行有效的識別，可以對防火墻的不足進行補充。它若與防火墻技術結合使用，便可對電子商務交易安全發揮重要作用。

1 防火墻的關鍵技術

防火墻是利用了IP封包過濾技術，被放置在Internet與被保護的網絡兩者之間的屏障。它可以對過往的信息與數據進行不安全因素監測與分析，對不良數據與惡意信息進行過濾，對各種病毒與木馬入侵進行攔截；防止網絡信息被攻擊和篡改。一般的防火墻系統主要包括Telnet、Email、WWW、FTP等代理服務器，以及用戶登錄、加密、審計、過濾路由、身份審核與驗證、堡壘主機等基本功能模塊組成。各個服務器與各個功能模塊分工明確，經過有效的配合，能夠實現共同抵御不安全網絡攻擊行為的目標。

防火墻具有很多功能，主要體現在：（1）防火墻可以將網絡內部的信息屏蔽起來，避免外界干擾和攻擊。（2）防火墻可以監測、審計和分析進入和流出網絡的數據信息，對惡意信息進行篩選。（3）壁壘主機功能模塊可以有效阻斷外部入侵。（4）防火墻可以阻止所有可疑的對網絡的訪問，攔截所有攜帶病毒攻擊的報文，并且可以預防這些病毒與木馬的傳播和擴散。但是，具有了這些功能網絡也并不是絕對安全的，實踐證明防火墻體系還存在許多漏洞，諸如盡管防火墻可以記錄一切網絡訪問的活動，但是卻也為黑客提供了入侵的端口，也有些黑客也能夠繞過防火墻而進入網絡，這些漏洞需要我們認真對待，及時完善防火墻技術。

1.1 包過濾技術

包過濾技術是防火墻技術中的一種，該技術的主要通過數據包過濾來實現的。其作用是阻塞某些主機及網絡對內部網絡的連接，這種技術主要工作在網絡層。它為危機四伏的網絡提供著過濾路由器的技術。例如，利用這種技術可以限制網絡訪問者去訪問非法、色情站點等。可以通過選擇系統內部的訪問控制表Access Control List，選取恰當的網絡位置，并在這個位置對數據包選擇性的濾取，滿足網絡傳輸要求的數據包被過濾出來，并且可以通過一些網絡安全協議在網絡間進行有序的傳輸，其余不符合網絡傳輸要求的數據包則被過濾出來，并最終在數據流中徹底刪除，避免危害網絡安全。

數據包過濾技術也存在一定漏洞，例如它只能通過數據包的端口號碼、目的地址及協議類型等對數據包進行分析和判斷，是只工作在網絡層的過濾技術。這就決定了該技術不能對網絡應用層的數據進行篩選和分析，對于應用層內的不良網絡入侵不發揮功效。

1.2 代理(Proxy)技術

代理（Proxy）技術是完全不同于數據包過濾技術的應用網關技術——Application Gateway。它主要攔截一切信息流，工作在網絡層，不同的應用配有不同的程序實現防護功能。代理技術以狀態性為主要特征，目標是在網絡應用層實現不安全訪問的防范。代理技術能夠展現與應用和傳輸相關聯的所有信息與數據的狀態，并且能夠規范管理甚至及時處理這些傳輸應用信息。

代理是內外網間的網關，是工作在網絡應用層上的特殊服務，且網絡應用服務與應用代理具有一對一的關系。這讓通信的網絡服務器與客戶之間不會進行直接的聯系，而是通過代理進行轉接與中繼。代理服務器主要分為服務器代理和客戶代理兩大分支，前者負責完成與服務器間的通訊，后者負責完成與客戶的對接通訊。隨之而來的是代理服務器與服務器方面以及地理服務器和客戶方面的兩大類連接，這些連接都需要代理技術來進行維持。對服務器方面而言，代理是客戶端，負責訪問服務。對客戶方面，代理是服務器，負責目的服務器與客戶的對接。

1.3 狀態檢測技術

狀態檢測技術是采用對網絡通信各層的數據傳輸進行檢測的手段，是利用檢測模塊對動態數據包過濾技術的完善。狀態檢測技術可以提取一些數據的狀態信息，并能夠將這些信息進行動態保存，目的是方便以后做出安全決策。這種技術本質上講采用的還是以會話為基本原色的一種連接檢測機制，將屬于同一連接性質的數據包同一成一個數據流整體后形成連接狀態表。通過這些表的相互協作達成對表中各個連接元素的分析和甄別，為提高傳輸效率可隨意排列這些表中的記錄。用戶的訪問到達網關以前，檢測設備要對數據進行分析和提取，根據網絡協議與傳輸要素，對這些用戶數據進行分析、鑒定、識別和過濾。這樣，提高了網絡的安全級別。

如果有的訪問不符合安全規范，或者有的數據不符合傳輸協議，防火墻中的安全警報器就會及時提醒系統拒絕這些訪問，及時地記錄這些活動，以備查詢分析。狀態檢測技術還能根據更高層網絡安全協議對數據會話狀態與上下報文進行監測，能夠及時并準確地對規則進行過濾性的調整以適應協議需求，保障網絡安全。

2 入侵檢測技術

入侵檢測技術主要是為識別并處理對惡意使用計算機和網絡資源的活動提供的一種檢測技術，它主要囊括了內部用戶的非法活動和外部用戶的惡意入侵。入侵檢測技術是利用主機系統與計算機網絡里對網絡內部的關鍵信息實施識別、分析和采集。然后將識別出來的合法用戶資源濫用以及非法用戶入侵的惡意行為進行記錄，必要時作出響應。這種技術實現了主動預防，比傳統的安全防范技術多了響應和檢測步驟。傳統的技術防范是對不安全行為事后報警，入侵檢測技術已經進化到可以事前提醒，及時處理不安全活動。這種技術對于網絡攻擊的非法行為也提供了準確的記錄和有力的證據。可見，入侵檢測技術已經逐步在發展和完善。入侵檢測系統主要包含了響應單元、事件分析器和產生器、報警器等四個主要組件。各個組件只有通力配合，各盡其責，才能達成維護網絡安全的一致目標。

2.1 事件產生器(Event Generators)

Event Generators——事件產生器，是入侵檢測系統的一個組件，事件產生器可以對網絡訪問日志、數據流等進行監測與追蹤，對原始信息例如用戶活動、數據、網絡等等信息進行采集，并將采集到的所有信息以事件的形式供應給系統的其它部分。需要注意的是，事件產生器可以在計算機網絡中，例如不同主機、不同網段這類不同關鍵點進行信息的采集與收錄。

2.2 事件分析器(Event Analyzers)

Event Analyzers事件分析器，是通過IDS的知識庫中的安全規范對接收到的一切事件信息進行識別和分析，按照庫中已經有的安全規范判定訪問與入侵的異常活動。IDS在接收到事件信息以后會對事件與知識庫內安全策略對比，知識庫有哪些報文屬于攻擊性質的定義，系統發現異常立即處理和記錄。檢測技術報文中是否有攻擊性是最常用的定義知識庫的手段。事件分析器這種處理模式也是由簡單到復雜，簡單的處理即將報文數據與攻擊定義進行字符串比對，發現異常系統即刻報警提示。缺點是降低了工作效率與準確度。這樣，技術人員后續的工作就會很繁瑣，還要進行TCP重組、檢查、解碼、IP碎片重組、校驗等工作，增加了人力工作量。

3 防火墻與入侵檢測技術的聯動

入侵檢測技術作為通過收集關鍵信息進行分析的一種主動防御的安全技術手段，也面臨著很多困難，如：檢測系統會提供很多誤報信息，大量的漏報信息也很難追蹤到；檢測數據的數量不斷增多，需要警報的信息也逐漸增多，無疑加重了系統負擔，降低了系統工作效率；入侵檢測技術對硬件配置要求較高；入侵檢測技術無法檢測諸如IPv6數據包以及未知攻擊的加密數據。以上這些問題是入侵檢測技術亟待解決的重要課題。防火墻與入侵檢測技術的有效結合，協調聯動就可以解決上述問題，因為入侵檢測技術可以檢測到防火墻檢測之外的侵犯活動，防火墻可以根據入侵檢測系統檢測到的不良活動及時調整防范策略，二者的有機結合，積極聯動是保障網絡安全的最有效手段。

3.1 檢測器設置的位置選擇分析

入侵檢測器是在防火墻以外的非軍事區域，該區域是在最外端防火墻與ISP間可以看到對Internet攻擊的檢測設備。當遇到TCP攻擊時，過濾路由器和防火墻都能夠對其進行封鎖，導致檢測漏檢現象出現。檢測過程大多需要對字符串進行對比，而字符傳送前提是TCP三次握手。盡管防火墻外的檢測器檢測不到入侵，檢測位置卻已經是最佳的，對站點有能見到防火墻暴露在多少種攻擊下。因為防火墻內部被攻擊次數明顯低于外部，將檢測器放在防火墻內部可以減少誤報幾率，降低檢測干擾。

3.2 IDS與防火墻的接口

開放接口和防火墻與入侵技術形成一個系統，這樣兩種方式是防火墻與入侵檢測技術聯動的體現。前者是入侵系統或者是防火墻開放個接口按照通訊協議，供對方使用，完成網絡傳輸。后者是入侵檢測系統與防火墻形成一個統一的系統對流經防火墻的數據流進行實時監督與檢測。

要實現入侵檢測與防火墻模塊的統一，就要將入侵檢測系統嵌入式分布在主機與網絡邊界的防火墻中。第一道防線可以是防火墻過濾模塊，第二道防線可以設置成入侵檢測模塊。訪問與入侵的數據包要得到防火墻的檢驗合格，才能繼續傳輸。

4 結語

電子商務交易改變了市場結構的同時也提高了企業的效率，給企業帶來了無限商機，但是不可避免的是新型電子商務交易安全和保密問題，而如何保障其安全性和保密性，正是新型電子商務發展應該解決的問題。電子商務交易安全離不開先進的信息安全技術和科學的信息安全管理手段，融合防火墻和入侵檢測技術的網絡安全防護必將促進電子商務的發展。

[1] 胡平,李臻,彭紀奎.基于入侵檢測的分布式防火墻的應研究[J].微電子學與計算機,2011,28(6).

[2] 鄭麗生,陳金聰.基于入侵防護系統的網絡安全研究[J].軟件導刊,2011(07).

[3] 張沛強.防火墻與入侵檢測協同方案分析[J].華章,2009(06).

[4] 韓彬.防火墻技術在網絡安全中的實際應用[J].科技資訊,2010(01).

[5] 余志高,周國祥.入侵檢測與防火墻協同應用模型的研究與設計[J].網絡安全技術與應用,2010(03).