有关电子商务网站的安全与措施思索

一、引言

随着互联网的快速发展和普及,人们的生活也随之影响和改变,其中对人们影响巨大的有一个方面就是网上购物。越来越多的人喜欢足不出户就能博览百家甚至千家商品,买到自己满意的商品。这一需求催生了电子商务网站建设专业的发展。互联网上的电子商务网站数不胜数,不仅方便了广大消费者,也给卖家带了了巨大的利益。但是在建设网站时除了重视网页的美观和实用外,有一点是不容忽视的,那就是网络安全问题。网站一旦被病毒和黑客攻击,给企业和客户带来的损失将会是巨大的。

二、电子商务网站安全现状

电子商务网站安全维护主要有两方面:保证网站业务系统的正常运行和保护商务信息的秘密内容。网站安全致命的缺陷有:(1)技术结构的缺陷,这是因为我国主要使用的操作系统、计算机语言、微处理芯片等都需要从国外进口,其安全隐患非常大;(2)产业结构的缺陷,这是因为信息安全产业在整个信息产业中的比重偏低,信息安全产值远远满足不了国家信息安全防范的需求;(3)管理结构的缺陷,在网站及其安全系统的建设方面缺乏相应的标准,容易产生不安全因素。[1]以下是对目前国内电子商务网站普遍存在的几个严重的安全问题的一些分析。

1、非授权闯入

非授权闯入主要是指“黑客”在没有授权的情况下进入网络及个人计算机,然后进行窃取数据、毁坏文件、阻碍用户使用网络等一系列破坏活动,给企业和客户造成了巨大的危害。

2、身份识别

现由于用户名/密码方式的单因素身份认证方式无法应对日益猖獗的在线欺诈犯罪行为,各种强身份认证技术纷纷登场,因为使用双因素或多因素身份认证技术是解决目前网上身份盗窃和在线欺诈的唯一有效手段。

3、信息破坏

首先由于电子商务涉及商业机密,所以交易双方的交易内容容易泄露;其次信息在网络传输中也容易丢失;再者电子商务信息也容易遭到计算机病毒的恶意破坏。

4、数据“监听”

在网络中,当信息进行传播的时候,可以利用工具,将网络接口设置在监听的模式,便可将网络中正在传播的信息截获或者捕获到,从而进行攻击。

5、内部网络安全

为特定文件或应用文件设定密码保护能够将访问限制在授权用户范围内。例如,销售人员不能够浏览企业人事信息等。但是一般企业无法按照这一安全要求操作,员工都是一样的授权级别。这给企业的信息安全带来了很大的隐患。

三、维护电子商务网站安全的对策

分析和研究企业电子商务网站安全策略有利于维护企业和用户的财产安全和提商企业的市场竞争力。下面主要通过设备安全、身份安全、技术安全、管理安全等几个方面来分析一下企业电子商务网站安全策略:

(1)设备的安全对策[2]

在电子商务网站建设中要考虑到网络设备的安全问题。将一些重要的设备,如各种服务器、主干交换机、路由器等尽量实行集中管理。各种通信线路尽量实行深埋、穿线或架空,并设有明显标记,防止无意破坏。对于终端设备,如工作站、小型交换机、集线器和其他转接设备要落实到人,进行严格的管理。

(2)身份的安全对策

身份的安全对策主要是身份认证CA,是英文CertitificateAuthority的简称,通俗地讲,就是电子身份认证的意思。数字证书就是用电子形式来唯一标识企业或者个人在国际互联网上或专用网上的身份,当用数字证书对电子化信息进行签名以后,对这份电子信息的内容就具有不可抵赖性或篡改性。以数字证书为核心的加密传输、数字签名、数字信封等安全技术,可以在网络上实现身份的真实性、信息传输的机密性、完整性以及交易的不可抵赖性,从而保障网络应用的安全性。

(3)技术的安全对策[3]①

运用内容过滤网和防火墙。过滤器技术可以屏蔽不良的网站,对网上色情、暴力等内容有强大的堵截功能。防火墙技术包括了动态的封包过滤、应用服务、用户认证、网络地址转换、IP防假冒、预警模块、日志及计费分析等功能,可以有效地将内部网与外部网隔离开来,保护电子商务网站不受未经授权的第三方侵入。②运用VLAN(虚拟局域网)技术。VLAN(虚拟局域网)技术可以进行端口的分隔。即便在同一个交换机上,处于不同VLAN的端口也是不能通信的。这样一个物理的交换机可以当作多个逻辑的交换机使用。VLAN(虚拟局域网)技术还可以保障网络的安全。不同VLAN不能直接通信,杜绝了广播信息的不安全性。VLAN(局域网)技术还可以灵活的管理网络。更改用户所属的网络不必换端口和连线,只更改软件配置就可以了。③杀毒软件。选择合适的杀毒软件可以有效地防止病毒在电子商务网站上传播。极大的保护了用户计算机和信息的安全。现在的杀毒软件种类很多,选择一款功能强大、易于升级的杀毒软件对网络和计算机的维护工作将起到事半功倍的效果。

(4)管理的安全对策

管理的安全对策主要是指在制度管理上对网络的安全对策。管理的安全除了建立起一套严格的安全管理规章制度外,还必须培养一支具有安全管理意识的网管队伍。网络管理人员通过对所有用户设置资源使用权限与口令,对用户名和口令进行加密存储、传输,提供完整的用户使用记录和分析等方式可以有效地保证系统的安全。四、电子商务网站安全措施[4]企业电子商务网站安全措施有以下几个方面:

(1)采用安全交换机

由于网站的信息传输采用广播技术,数据包在广播域中很容易受到监听和截获,因此需要使用安全交换机,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源,以加强内网的安全性。

(2)操作系统的安全

从终端用户的程序到服务器应用服务,以及网络安全的很多技术,都是运行在操作系统上的,因此,保证操作系统的安全是整个安全系统的根本。除了不断增加安全补丁之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制制度。

(3)对重要资料进行备份

在网站系统中数据对用户的重要性越来越大,实际上引起计算机数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击,用户的一次错误操作,系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。为了维护企业网站的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。

(4)使用网关

使用网关的好处在于,网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过网关,进而才能访问到Internet,这样操作者便可以比较方便地在服务器上对网络内部的计算机访问外部网络进行限制。在服务器两端采用不同协议标准,也可以阻止外界非法访问的侵入。还有,服务的网关可对数据封包进行验证和对密码进行确认等安全管制。

(5)设置防火墙

防火墙的选择应该适当,对于微小型的企业网络,可从NortonInternetSecurity、PCcillin、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。而对于具有内部网络的企业来说,则可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言,都可以通过内置的防火墙防范部分的攻击,而硬件防火墙的应用,可以使安全性得到进一步加强。

(6)信息保密防范

为了保障网站的安全,也可以利用网络操作系统所提供的保密措施。同时,可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性,数据库现已成为网络存储数据的主要形式。电子邮件是企业传递应该进行加密处理。计算机的外部设备和网络部件,也可以采取相应的保密措施。

总之,本文通过系统安全、数据安全和网络交易平台安全等几个方面较为初步地分析了一下企业电子商务网站安全策略。企业电子商务网站安全对于网站建设来说十分重要,希望企业电子商务网站的安全研究越来越深入,技术越来越成熟,这方面的研究越来越深化。