“真”知“拙”見

周愛明

摘要：本文分析了電子商務網(wǎng)主要存在的一些安全問題，并從技術(shù)和管理的角度闡述了相應的應對措施。

關(guān)鍵詞：電子商務;安全;應對措施

1.電子商務網(wǎng)站的主要安全問題

1.1網(wǎng)站訪問的安全問題

目前，任何電子商務網(wǎng)站本身和絕大多數(shù)的應用軟件都是有漏洞的，漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)、具體使用或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者能在未授權(quán)的情況下訪問或破壞系統(tǒng)。漏洞已成為攻擊網(wǎng)站的首選目標，使得企業(yè)會造成巨大的損失。

1.2交易數(shù)據(jù)信息的安全問題

在我國，電子商務交易中遭遇信用卡被盜用、信息資料丟失等現(xiàn)象時有發(fā)生。據(jù)不完全統(tǒng)計，有70%以上的企業(yè)和個人表示，出于安全考慮，目前暫不會在網(wǎng)上進行大額購物或交易。可以說，交易信息的安全問題是目前電子商務發(fā)展道路上最大阻礙。在面對面的貿(mào)易過程中，交易都是通過信件或其他可靠的通信渠道來發(fā)送商業(yè)報文，進而達到保守機密的目的。但是電子商務網(wǎng)站上，卻很難保證這一點，主要原因來自網(wǎng)站外部和網(wǎng)站內(nèi)部兩方面的威脅。

1.3來自網(wǎng)站外部的威脅。

網(wǎng)絡黑客、入侵者、計算機病毒在互聯(lián)中的泛濫是危害電子商務網(wǎng)站安全的重要因素。而電子商務網(wǎng)站都建立自己的數(shù)據(jù)庫來存儲和管理各種重要的業(yè)務數(shù)據(jù)信息，如客戶的銀行賬號、密碼、用戶名還有訂單號等;還有商家的協(xié)議、合同、銀行的指令和認證等，這使得用戶交易信息的安全更加得不到保障。一旦攻擊者竊取了電子商務網(wǎng)站的數(shù)據(jù)庫，就可以獲得他們想要的信息，甚至篡改、刪除對網(wǎng)站至關(guān)重要的信息，破壞數(shù)據(jù)的準確性和完整性。

1.4來自于網(wǎng)站內(nèi)部用戶的安全威脅。

近年來，相比網(wǎng)站外部的威脅而言，網(wǎng)站內(nèi)部的安全問題更為嚴峻。網(wǎng)站的員工疏忽或故意泄露信息，使得攻擊者可以毫不費力的篡改、竊取網(wǎng)站用戶的資料等內(nèi)部機密;網(wǎng)站員工私自安裝非法軟件、游戲以及訪問不安全的網(wǎng)站等導致網(wǎng)站被惡意入侵;網(wǎng)站員工對機密數(shù)據(jù)的非法操作。這些都能引發(fā)網(wǎng)站的嚴重安全危機。

1.5交易的安全問題

電子商務網(wǎng)站的交易過程，是借助于虛擬的網(wǎng)絡平臺來實現(xiàn)的。在這個平臺上，交易雙方不需要會面，因此交易雙方的身份具有不確定性，在交易過程中，有可能出現(xiàn)交易抵賴、非同步交易等情況，直接破壞了電子商務網(wǎng)站交易的安全。

2.解決電子商務網(wǎng)站安全問題的應對措施

解決電子商務網(wǎng)站的安全問題需從技術(shù)和管理兩個方面入手，具體的應對措施有：

2.1安全技術(shù)方面

2.1.1防火墻技術(shù)

防火墻是指一個由硬件設備或軟件、或軟硬件組合而成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造的保護屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過此保護層，并由它進行檢查和連接。只有被授權(quán)的通信才能通過防火墻，從而使內(nèi)部網(wǎng)絡與外部網(wǎng)絡在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源、執(zhí)行安全管制措施。

2.1.2防病毒技術(shù)

計算機病毒是具有自我復制和傳播能力的可以引起計算機和網(wǎng)絡故障的程序。而計算機病毒的防范是建立網(wǎng)站安全的重要一環(huán)。常用的防病毒技術(shù)有： （1）反病毒掃描特征（2）完整性檢查 （3）行為封鎖

2.1.3漏洞掃描技術(shù)

最典型的網(wǎng)絡漏洞掃描器，它是一個漏洞和風險評估工具，用于發(fā)現(xiàn)、發(fā)掘和報告安全隱患和可能被黑客利用的網(wǎng)絡安全漏洞。網(wǎng)絡漏洞掃描器分為內(nèi)部掃描和外部掃描兩種工作方式： （1）外部掃描：通過遠程檢測目標主機TCP/IP 不同端口的服務，記錄目標給予的回答。通過這種方法，可以搜集到很多目標主機的各種信息，例如：是否能用匿名登錄、是否有可寫的FTP 目錄、是否能用TELNET等。然后與漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，滿足匹配條件則視為漏洞。也可通過模擬黑客的進攻手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描。如果模擬攻擊成功，則可視為漏洞存在。（2）內(nèi)部掃描：漏洞掃描器以root身份登錄目標主機，記錄系統(tǒng)配置的各項主要參數(shù)，將之與安全配置標準庫進行比較和匹配，凡不滿足者即視為漏洞。

2.1.4入侵檢測技術(shù)

防火墻只是一種隔離控制技術(shù)，一旦入侵者進入了系統(tǒng)，他們便不受任何阻擋。它不能主動檢測和分析網(wǎng)絡內(nèi)外的危險行為，捕捉侵入罪證。而入侵檢測技術(shù)是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全技術(shù)。它是網(wǎng)站的第二道安全門。為了保護電子商務網(wǎng)站的安全，以防火墻為主的靜態(tài)防護已經(jīng)不能滿足現(xiàn)在網(wǎng)站的需求，在防火墻之上加入入侵檢測系統(tǒng)，可以增強網(wǎng)站安全。

2.1.5安全認證技術(shù)

安全認證技術(shù)，可以確認交易方不是冒名，確認得到的信息是來自聲稱方，保證信息的完整和真實性未被人篡改。它對重要的信息采用密碼技術(shù)進行加密，使它成為一種不可理解的密文。接收方收到密文后再對它進行解密，將密文還原成原來可理解的形式。目前，普遍采用的技術(shù)有：SSL安全協(xié)議、數(shù)字摘要、數(shù)字時間戳、數(shù)字證書等。

2.1.6數(shù)據(jù)備份與恢復技術(shù)

任何的安全防御技術(shù)都不是百分百的安全，對于重要的數(shù)據(jù)要做到及時備份，這樣才能在發(fā)生系統(tǒng)硬件故障、軟件錯誤、人為失誤、計算機病毒或自然災害等破壞數(shù)據(jù)完整時起到數(shù)據(jù)的保護和恢復作用，將損失降到最低。

2.2管理措施方面

網(wǎng)站安全問題不僅是技術(shù)性問題，還是管理方面的問題。電子商務網(wǎng)站的安全無論采用多么高級的安全技術(shù)，網(wǎng)站安全問題仍時常會發(fā)生，因此還需加強電子商務網(wǎng)站安全管理。它包括網(wǎng)站員工的管理、設備管理、應急措施以及網(wǎng)站的日常維護和管理。保證員工不泄露密碼或是將網(wǎng)站的機密隨意發(fā)布，不訪問非法網(wǎng)站，不輕易下載和安裝程序，對員工進行業(yè)務培訓，提高操作水平;對于網(wǎng)站的設備能做到防火、防盜、防磁、防水以及故障排除，并能實時的進行數(shù)據(jù)備份與恢復，保證電子商務網(wǎng)站的繼續(xù)運行或緊急恢復。

參考文獻：

[1]唐四薪.《電子商務安全》.清華大學出版社

[2]張波 朱艷娜.《電子商務安全》.機械工業(yè)出版社