馬銘惠

摘要：近年來(lái)，電子商務(wù)中的網(wǎng)絡(luò)安全問(wèn)題日益突顯，逐步成為電商企業(yè)長(zhǎng)遠(yuǎn)發(fā)展面臨的重大難題。該文通過(guò)研究目前主流的網(wǎng)絡(luò)安全技術(shù)，設(shè)計(jì)一個(gè)電商企業(yè)的網(wǎng)絡(luò)安全體系架構(gòu)，探討了電商企業(yè)網(wǎng)絡(luò)安全問(wèn)題的解決方案。

關(guān)鍵詞：電商企業(yè)；網(wǎng)絡(luò)安全；體系架構(gòu)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）29-0299-02

1 背景

近年來(lái)，隨著網(wǎng)絡(luò)的廣泛運(yùn)用，電子商務(wù)已經(jīng)成為主流的商業(yè)貿(mào)易方式。與此同時(shí)，電商企業(yè)的網(wǎng)絡(luò)安全隱患也日益嚴(yán)峻。各種網(wǎng)絡(luò)攻擊事件層出不窮：2015年5月，擁有將近3億活躍用戶的支付寶出現(xiàn)了大面積癱瘓，全國(guó)多省市支付寶用戶遇到電腦端和移動(dòng)端均無(wú)法進(jìn)行轉(zhuǎn)賬付款、出現(xiàn)余額錯(cuò)誤等問(wèn)題；2017年5月，勒索病毒大規(guī)模爆發(fā)，全球范圍內(nèi)有近百個(gè)國(guó)家遭到攻擊，很多電商企業(yè)內(nèi)部的數(shù)據(jù)資料都遭破壞，這對(duì)企業(yè)都是致命的打擊。

電商企業(yè)的網(wǎng)絡(luò)安全問(wèn)題根源就在于計(jì)算機(jī)系統(tǒng)漏洞、網(wǎng)絡(luò)安全協(xié)議不完整、電子商務(wù)網(wǎng)站的編碼漏洞以及網(wǎng)絡(luò)安全設(shè)備存在技術(shù)性不足等。因此，如何提高電商企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全性，降低黑客攻擊、木馬和病毒侵染等對(duì)電子商務(wù)造成的危害，成為當(dāng)?shù)那半娚唐髽I(yè)高度關(guān)注的問(wèn)題。

隨著移動(dòng)互聯(lián)、云計(jì)算和大數(shù)據(jù)等技術(shù)的發(fā)展，尤其是移動(dòng)和無(wú)線訪問(wèn)客戶更多的訪問(wèn)方式，電子商務(wù)涉及的領(lǐng)域越來(lái)越多，安全實(shí)現(xiàn)難度也越來(lái)越復(fù)雜。因此，如何改進(jìn)電商企業(yè)的網(wǎng)絡(luò)安全防御體系、進(jìn)行安全技術(shù)升級(jí)等已成為電商企業(yè)發(fā)展的重要內(nèi)容之一。

2 電商企業(yè)網(wǎng)絡(luò)安全威脅現(xiàn)狀

目前，許多網(wǎng)絡(luò)入侵者針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性和規(guī)模龐大性，利用網(wǎng)絡(luò)系統(tǒng)漏洞或安全缺陷進(jìn)行攻擊[1]。電商企業(yè)主要面臨五大類安全問(wèn)題：局域網(wǎng)網(wǎng)絡(luò)安全、Web數(shù)據(jù)安全、Web應(yīng)用安全、Web服務(wù)安全、系統(tǒng)安全，如下圖1所示：

1） 局域網(wǎng)網(wǎng)絡(luò)安全：指攻擊者假冒合法身份通過(guò)網(wǎng)絡(luò)入侵企業(yè)內(nèi)網(wǎng)，竊取或破壞企業(yè)內(nèi)網(wǎng)安全，破壞電商平臺(tái)的正常工作。如機(jī)密竊聽(tīng)、假冒身份攻擊等。

2） Web數(shù)據(jù)安全：指電商平臺(tái)或企業(yè)內(nèi)網(wǎng)敏感數(shù)據(jù)遭到泄露，如信息在傳輸中丟失或泄露、在存儲(chǔ)介質(zhì)中丟失或泄露。如敏感信息泄露、內(nèi)容篡改、不良信息內(nèi)容。

3） Web應(yīng)用安全：指攻擊者通過(guò)攻擊Web程序，以非法手段對(duì)Web程序進(jìn)行使用，惡意添加、修改或刪除Web程序，破壞電子商務(wù)平臺(tái)的正常使用。代碼注入攻擊、XSS攻擊等。

4） Web服務(wù)安全：指攻擊者對(duì)電子商務(wù)系統(tǒng)進(jìn)行干擾，改變正常作業(yè)流程，執(zhí)行無(wú)關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正常用戶的使用或不能得到響應(yīng)的服務(wù)。如針對(duì)Web服務(wù)器軟件的滲透攻擊。

5） 系統(tǒng)安全：指攻擊者通過(guò)非法方式訪問(wèn)內(nèi)網(wǎng)及獲取內(nèi)網(wǎng)資源，越權(quán)訪問(wèn)信息。如遠(yuǎn)程和本地滲透攻擊。

3 網(wǎng)絡(luò)安全體系架構(gòu)的設(shè)計(jì)

根據(jù)電商企業(yè)目前遇到五大網(wǎng)絡(luò)安全及威脅，本文采用了P2DR2（Policy Protection Detection Response Recovery）模型，即“網(wǎng)絡(luò)安全=風(fēng)險(xiǎn)分析+執(zhí)行策略+系統(tǒng)實(shí)施+漏洞監(jiān)測(cè)+實(shí)時(shí)響應(yīng)+安全恢復(fù)”的安全理念[2]。通過(guò)該安全模型將靜態(tài)的網(wǎng)絡(luò)安全技術(shù)和動(dòng)態(tài)安全技術(shù)相結(jié)合，建立一個(gè)多層次、全方位、立體的電商企業(yè)網(wǎng)絡(luò)安全體系架構(gòu)，簡(jiǎn)化的網(wǎng)絡(luò)拓?fù)鋱D如下圖2所示。

1） 采用多種網(wǎng)絡(luò)安全設(shè)備維護(hù)內(nèi)網(wǎng)的安全，包括防火墻、入侵檢測(cè)、流量整形、日志檢測(cè)、Web防火墻等網(wǎng)絡(luò)安全技術(shù)。

2） 對(duì)外提供兩條Internet鏈路的負(fù)載均衡，對(duì)內(nèi)提供防火墻的負(fù)載均衡，既保障了電子商務(wù)中大量的網(wǎng)絡(luò)流量，也提高了受到攻擊時(shí)的容災(zāi)能力。防火墻直接連接外部網(wǎng)絡(luò)，是企業(yè)網(wǎng)絡(luò)安全的第一道安全閘門，抵御一些三層的網(wǎng)絡(luò)入侵。

3） 在Web服務(wù)器前架設(shè)Web防火墻和入侵監(jiān)測(cè)系統(tǒng)：Web防火墻能夠根據(jù)一套完整的特征查找Web漏洞和攻擊而實(shí)施保護(hù)，而且還可以檢測(cè)惡意的文件上傳。除了可以在第四層到第七層強(qiáng)化訪問(wèn)控制策略，防止攻擊者在沒(méi)有得到適當(dāng)?shù)氖跈?quán)時(shí)訪問(wèn)數(shù)據(jù)，Web防火墻還應(yīng)當(dāng)提供外發(fā)數(shù)據(jù)泄露的檢查（例如，非法的文件下載）、過(guò)濾敏感信息（例如，信用卡號(hào)），與其他安全標(biāo)準(zhǔn)結(jié)合，這有助于防御應(yīng)用層的DDoS攻擊。Web防火墻還可以給易受攻擊的Web應(yīng)用程序?qū)嵤┨摂M補(bǔ)丁。入侵檢測(cè)系統(tǒng)在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施。兩者配合作為防火墻之后的第二道安全閘門。

4） 采用日志系統(tǒng)：對(duì)訪問(wèn)Web站點(diǎn)的訪問(wèn)進(jìn)行帶寬管和審計(jì)管理，結(jié)合前面的安全設(shè)備，是企業(yè)電子商務(wù)的第三道安全閘門。

5） 定期地對(duì)Web服務(wù)器進(jìn)行維護(hù)和安全升級(jí)：刪除不必要的網(wǎng)路服務(wù)、合理分配管理權(quán)限、刪除不必要的模塊和應(yīng)用擴(kuò)展、及時(shí)進(jìn)行漏洞補(bǔ)丁更新。

6） 定期地對(duì)電子商務(wù)網(wǎng)站進(jìn)行維護(hù)和安全升級(jí)：主頁(yè)盡量使用靜態(tài)頁(yè)面代替動(dòng)態(tài)頁(yè)面、對(duì)用戶輸入的數(shù)據(jù)進(jìn)行嚴(yán)格驗(yàn)證、對(duì)代碼進(jìn)行安全監(jiān)測(cè)。操作后臺(tái)數(shù)據(jù)庫(kù)時(shí)，盡量采用視圖、存儲(chǔ)過(guò)程等技術(shù)。

7） 定期地對(duì)電子商務(wù)的數(shù)據(jù)庫(kù)進(jìn)行維護(hù)和安全升級(jí)：改變數(shù)據(jù)庫(kù)文件的存儲(chǔ)位置、采用非常規(guī)的命名方式、加強(qiáng)對(duì)數(shù)據(jù)庫(kù)管理。

當(dāng)然，在電子商務(wù)網(wǎng)絡(luò)中，一個(gè)絕對(duì)安全的系統(tǒng)是不存在的，一個(gè)安全系統(tǒng)的核心通常是尋求風(fēng)險(xiǎn)和可用性之間的平衡。

4 結(jié)束語(yǔ)

電子商務(wù)安全是一個(gè)整體，不是只依靠一些安全技術(shù)或者某些安全產(chǎn)品的架構(gòu)就能從根本上有效控制網(wǎng)絡(luò)安全，也不能限定網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的產(chǎn)生和傳播。網(wǎng)絡(luò)安全不是靜態(tài)的，必須建立在組織策略、組織結(jié)構(gòu)、信息系統(tǒng)和操作流程的基礎(chǔ)之上，根據(jù)其變化而變化。本文通過(guò)對(duì)電商企業(yè)網(wǎng)絡(luò)面臨的安全威脅進(jìn)行研究，構(gòu)建了一個(gè)動(dòng)靜結(jié)合的網(wǎng)絡(luò)安全體系架構(gòu)，希望能對(duì)電商企業(yè)網(wǎng)絡(luò)安全的探索起到拋磚引玉的作用。

參考文獻(xiàn)：

[1] Raynus J. Software process improvement with CMM[M]. Norwood： Manning Publications， 2009.

[2] 施峰. 信息安全保密基礎(chǔ)教程[M]. 北京： 北京理工大學(xué)出版社， 2007： 30-40.

[3] 胡勁松. 新時(shí)期計(jì)算機(jī)電子商務(wù)的安全策略[J]. 黑龍江科技信息， 2016（32）.

[4] 牛紅. 淺析電子商務(wù)中的信息安全策略[J]. 現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化， 2015（3）.endprint