1電子商務網站安全的要求影響
電子商務網站安全的因素是多方面的。從網站內部看,網站計算機硬件、通信設備的可靠性、操作系統、網絡協議、數據庫系統等自身的安全漏洞,都會影響到網站的安全運行。從網站外部看,網絡黑客、入侵者、計算機病毒也是危害電子商務網站安全的重要因素。電子商務網站的安全包括三個方面的要求:
1.1網站硬件的安全要求網站的計算機硬件、附屬通信設備及網站傳輸線路穩定可靠,只有經過授權的用戶才能使用和訪問。
1.2網站軟件的安全網站的軟件不被非法篡改,不受計算機病毒的侵害;網站的數據信息不被非法複製、破壞和丟失。
1.3網站傳輸信息的安全指信息在傳輸過程中不被他人竊取、篡改或偷看;能確定客戶的真實身份。本文主要論述當電子商務網站面對來自網站外部的安全威脅時,應採取哪些有效的安全措施保護網站的安全。
2電子商務網站的安全措施
2.1防火牆技術防火牆是指一個由硬件設備或軟件、或軟硬件組合而成的,在內部網與外部網之間構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層,並由它進行檢查和連接。只有被授權的通信才能通過防火牆,從而使內部網絡與外部網絡在一定意義下隔離,防止非法入侵、非法使用系統資源、執行安全管制措施。防火牆基本分爲兩類:包過濾和基於代理的防火牆。包過濾防火牆對數據包進行分析、選擇,依據系統內事先設定的過濾邏輯來確定是否允許該數據包通過。
代理防火牆能夠將網絡通信鏈路分爲兩段,使內部網與Internet不直接通信,而是使用代理服務器作爲數據轉發的中轉站,只有那些被認爲可信賴的數據才允許通過。這兩種防火牆各有其優缺點:包過濾器只能結合源地址、目標地址和端口號才能起作用,如果攻擊者攻破了包過濾防火牆,整個網絡就公開了。代理防火牆比包過濾器慢,當網站訪問量較大時會影響上網速度;代理防火牆在設立和維護規則集時比較複雜,有時會導致錯誤配置和安全漏洞。
由於這兩種防火牆各有優缺點,因而在實際應用中常將這兩種防火牆組合使用。目前市場上最新的防火牆產品集成了代理和包過濾技術,提供了管理數據段和實現高吞吐速度的解決方案。這些混合型的設備在安全要求比吞吐速度有更高要求時,能實行代理驗證服務,在需要高速度時,它們能靈活地採用包過濾規則作爲保護方法。
2.2入侵檢測系統防火牆是一種隔離控制技術,一旦入侵者進入了系統,他們便不受任何阻擋。它不能主動檢測和分析網絡內外的危險行爲,捕捉侵入罪證。而入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日誌,以及網絡中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統進行報警、阻斷等響應。
入侵檢測系統所採用的技術有: (1)特徵檢測:這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能爲力。其難點在於如何設計模式既能夠表達“入侵”現象又網絡時空不會將正常的活動包含進來。
(2)異常檢測:假設入侵者活動異於正常主體的活動。根據這一理念建立主體正常活動的“活動簡檔”,將當前主體的活動狀況與“活動簡檔”相比較,當違反其統計規律時,認爲該活動可能是“入侵”行爲。異常檢測的難題在於如何建立“活動簡檔”以及如何設計統計算法,從而不把正常的操作作爲“入侵”或忽略真正的“入侵”行爲。
2.3網絡漏洞掃描器沒有絕對安全的網站,任何安全漏洞都可能導致風險產生。網絡漏洞掃描器是一個漏洞和風險評估工具,用於發現、發掘和報告安全隱患和可能被黑客利用的網絡安全漏洞。網絡漏洞掃描器分爲內部掃描和外部掃描兩種工作方式:
(1)外部掃描:通過遠程檢測目標主機TCP/IP不同端口的服務,記錄目標給予的回答。通過這種方法,可以蒐集到很多目標主機的各種信息,例如:是否能用匿名登錄、是否有可寫的FTP目錄、是否能用TELNET等。然後與漏洞掃描系統提供的漏洞庫進行匹配,滿足匹配條件則視爲漏洞。也可通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描。如果模擬攻擊成功,則可視爲漏洞存在。
(2)內部掃描:漏洞掃描器以root身份登錄目標主機,記錄系統配置的各項主要參數,將之與安全配置標準庫進行比較和匹配,凡不滿足者即視爲漏洞。
2.4防病毒系統病毒在網絡中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品,實施“層層設防、集中控制、以防爲主、防殺結合”的防病毒策略,構建全面的防病毒體系。常用的防病毒技術有:
(1)反病毒掃描:通過對病毒代碼的分析找出能成爲病毒結構線索的唯一特徵。病毒掃描軟件可搜索這些特徵或其它能表示有某種病毒存在的代碼段。
(2)完整性檢查:通過識別文件和系統的改變來發現病毒。完整性檢查程序只有當病毒正在工作並做些什麼事情時才能起作用,而網站可能在完整性檢查程序開始檢測病毒之前已感染了病毒,潛伏的病毒也可以避開檢查。
(3)行爲封鎖:行爲封鎖的目的是防止病毒的破壞。這種技術試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發生時,行爲封鎖軟件就會檢測到並警告用戶。
2.5啓用安全認證系統企業電子商務網站的安全除網站本身硬件和軟件的安全外,還應包括傳輸信息的安全。對一些重要的的傳輸信息,應保證信息在傳輸過程中不被他人竊取、偷看或修改。因此,應在網站服務器中啓用安全認證系統。安全認證系統對重要的信息採用密碼技術進行加密,使它成爲一種不可理解的密文。接收方收到密文後再對它進行解密,將密文還原成原來可理解的形式。目前,在電子商務中普遍採用SSL安全協議。
SSL安全協議主要提供三方面的服務: (1)認證用戶和服務器,使得它們能夠確信數據將被髮送到正確的客戶機和服務器上。(2)加密數據以隱藏被傳送的數據。(3)維護數據的完整性,確保數據在傳輸過程中不被改變。
3結束語
任何一種安全措施都有其侷限性,企業電子商務網站的設計人員必須在精心的安全分析、風險評估、商業需求分析和網站運行效率分析的基礎上,制定出整體的安全解決方案。爲保證整體安全解決方案的效率,各安全產品之間應該實現一種聯動機制。當漏洞掃描器發覺安全問題時,就會通知系統管理員,及時採取補漏措施;當入侵檢測系統檢測到攻擊行爲時,就會利用防火牆進行實時阻斷;當防病毒系統發現新病毒時,也會及時更新入侵檢測系統的病毒攻擊庫,以提高入侵檢測系統的檢測效率;由於安全產品和服務器、安全產品與安全產品之間都需要進行必要的數據通信,爲了保證這些通信的保密性和完整性,可以採用安全認證手段。只有當各種安全產品真正實現聯動時,網絡安全才能得到保障。
該文章轉自上海網管聯盟/網管網/CMIIS.CN/網管首選閱讀/交流平臺!:http://www.cmiis.cn/Html/?2124.html
