周愛(ài)明

摘要：本文分析了電子商務(wù)網(wǎng)主要存在的一些安全問(wèn)題，并從技術(shù)和管理的角度闡述了相應(yīng)的應(yīng)對(duì)措施。

關(guān)鍵詞：電子商務(wù);安全;應(yīng)對(duì)措施

1.電子商務(wù)網(wǎng)站的主要安全問(wèn)題

1.1網(wǎng)站訪(fǎng)問(wèn)的安全問(wèn)題

目前，任何電子商務(wù)網(wǎng)站本身和絕大多數(shù)的應(yīng)用軟件都是有漏洞的，漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)、具體使用或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者能在未授權(quán)的情況下訪(fǎng)問(wèn)或破壞系統(tǒng)。漏洞已成為攻擊網(wǎng)站的首選目標(biāo)，使得企業(yè)會(huì)造成巨大的損失。

1.2交易數(shù)據(jù)信息的安全問(wèn)題

在我國(guó)，電子商務(wù)交易中遭遇信用卡被盜用、信息資料丟失等現(xiàn)象時(shí)有發(fā)生。據(jù)不完全統(tǒng)計(jì)，有70%以上的企業(yè)和個(gè)人表示，出于安全考慮，目前暫不會(huì)在網(wǎng)上進(jìn)行大額購(gòu)物或交易?？梢哉f(shuō)，交易信息的安全問(wèn)題是目前電子商務(wù)發(fā)展道路上最大阻礙。在面對(duì)面的貿(mào)易過(guò)程中，交易都是通過(guò)信件或其他可靠的通信渠道來(lái)發(fā)送商業(yè)報(bào)文，進(jìn)而達(dá)到保守機(jī)密的目的。但是電子商務(wù)網(wǎng)站上，卻很難保證這一點(diǎn)，主要原因來(lái)自網(wǎng)站外部和網(wǎng)站內(nèi)部?jī)煞矫娴耐{。

1.3來(lái)自網(wǎng)站外部的威脅。

網(wǎng)絡(luò)黑客、入侵者、計(jì)算機(jī)病毒在互聯(lián)中的泛濫是危害電子商務(wù)網(wǎng)站安全的重要因素。而電子商務(wù)網(wǎng)站都建立自己的數(shù)據(jù)庫(kù)來(lái)存儲(chǔ)和管理各種重要的業(yè)務(wù)數(shù)據(jù)信息，如客戶(hù)的銀行賬號(hào)、密碼、用戶(hù)名還有訂單號(hào)等;還有商家的協(xié)議、合同、銀行的指令和認(rèn)證等，這使得用戶(hù)交易信息的安全更加得不到保障。一旦攻擊者竊取了電子商務(wù)網(wǎng)站的數(shù)據(jù)庫(kù)，就可以獲得他們想要的信息，甚至篡改、刪除對(duì)網(wǎng)站至關(guān)重要的信息，破壞數(shù)據(jù)的準(zhǔn)確性和完整性。

1.4來(lái)自于網(wǎng)站內(nèi)部用戶(hù)的安全威脅。

近年來(lái)，相比網(wǎng)站外部的威脅而言，網(wǎng)站內(nèi)部的安全問(wèn)題更為嚴(yán)峻。網(wǎng)站的員工疏忽或故意泄露信息，使得攻擊者可以毫不費(fèi)力的篡改、竊取網(wǎng)站用戶(hù)的資料等內(nèi)部機(jī)密;網(wǎng)站員工私自安裝非法軟件、游戲以及訪(fǎng)問(wèn)不安全的網(wǎng)站等導(dǎo)致網(wǎng)站被惡意入侵;網(wǎng)站員工對(duì)機(jī)密數(shù)據(jù)的非法操作。這些都能引發(fā)網(wǎng)站的嚴(yán)重安全危機(jī)。

1.5交易的安全問(wèn)題

電子商務(wù)網(wǎng)站的交易過(guò)程，是借助于虛擬的網(wǎng)絡(luò)平臺(tái)來(lái)實(shí)現(xiàn)的。在這個(gè)平臺(tái)上，交易雙方不需要會(huì)面，因此交易雙方的身份具有不確定性，在交易過(guò)程中，有可能出現(xiàn)交易抵賴(lài)、非同步交易等情況，直接破壞了電子商務(wù)網(wǎng)站交易的安全。

2.解決電子商務(wù)網(wǎng)站安全問(wèn)題的應(yīng)對(duì)措施

解決電子商務(wù)網(wǎng)站的安全問(wèn)題需從技術(shù)和管理兩個(gè)方面入手，具體的應(yīng)對(duì)措施有：

2.1安全技術(shù)方面

2.1.1防火墻技術(shù)

防火墻是指一個(gè)由硬件設(shè)備或軟件、或軟硬件組合而成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造的保護(hù)屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過(guò)此保護(hù)層，并由它進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過(guò)防火墻，從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源、執(zhí)行安全管制措施。

2.1.2防病毒技術(shù)

計(jì)算機(jī)病毒是具有自我復(fù)制和傳播能力的可以引起計(jì)算機(jī)和網(wǎng)絡(luò)故障的程序。而計(jì)算機(jī)病毒的防范是建立網(wǎng)站安全的重要一環(huán)。常用的防病毒技術(shù)有： （1）反病毒掃描特征（2）完整性檢查 （3）行為封鎖

2.1.3漏洞掃描技術(shù)

最典型的網(wǎng)絡(luò)漏洞掃描器，它是一個(gè)漏洞和風(fēng)險(xiǎn)評(píng)估工具，用于發(fā)現(xiàn)、發(fā)掘和報(bào)告安全隱患和可能被黑客利用的網(wǎng)絡(luò)安全漏洞。網(wǎng)絡(luò)漏洞掃描器分為內(nèi)部掃描和外部掃描兩種工作方式： （1）外部掃描：通過(guò)遠(yuǎn)程檢測(cè)目標(biāo)主機(jī)TCP/IP 不同端口的服務(wù)，記錄目標(biāo)給予的回答。通過(guò)這種方法，可以搜集到很多目標(biāo)主機(jī)的各種信息，例如：是否能用匿名登錄、是否有可寫(xiě)的FTP 目錄、是否能用TELNET等。然后與漏洞掃描系統(tǒng)提供的漏洞庫(kù)進(jìn)行匹配，滿(mǎn)足匹配條件則視為漏洞。也可通過(guò)模擬黑客的進(jìn)攻手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描。如果模擬攻擊成功，則可視為漏洞存在。（2）內(nèi)部掃描：漏洞掃描器以root身份登錄目標(biāo)主機(jī)，記錄系統(tǒng)配置的各項(xiàng)主要參數(shù)，將之與安全配置標(biāo)準(zhǔn)庫(kù)進(jìn)行比較和匹配，凡不滿(mǎn)足者即視為漏洞。

2.1.4入侵檢測(cè)技術(shù)

防火墻只是一種隔離控制技術(shù)，一旦入侵者進(jìn)入了系統(tǒng)，他們便不受任何阻擋。它不能主動(dòng)檢測(cè)和分析網(wǎng)絡(luò)內(nèi)外的危險(xiǎn)行為，捕捉侵入罪證。而入侵檢測(cè)技術(shù)是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全技術(shù)。它是網(wǎng)站的第二道安全門(mén)。為了保護(hù)電子商務(wù)網(wǎng)站的安全，以防火墻為主的靜態(tài)防護(hù)已經(jīng)不能滿(mǎn)足現(xiàn)在網(wǎng)站的需求，在防火墻之上加入入侵檢測(cè)系統(tǒng)，可以增強(qiáng)網(wǎng)站安全。

2.1.5安全認(rèn)證技術(shù)

安全認(rèn)證技術(shù)，可以確認(rèn)交易方不是冒名，確認(rèn)得到的信息是來(lái)自聲稱(chēng)方，保證信息的完整和真實(shí)性未被人篡改。它對(duì)重要的信息采用密碼技術(shù)進(jìn)行加密，使它成為一種不可理解的密文。接收方收到密文后再對(duì)它進(jìn)行解密，將密文還原成原來(lái)可理解的形式。目前，普遍采用的技術(shù)有：SSL安全協(xié)議、數(shù)字摘要、數(shù)字時(shí)間戳、數(shù)字證書(shū)等。

2.1.6數(shù)據(jù)備份與恢復(fù)技術(shù)

任何的安全防御技術(shù)都不是百分百的安全，對(duì)于重要的數(shù)據(jù)要做到及時(shí)備份，這樣才能在發(fā)生系統(tǒng)硬件故障、軟件錯(cuò)誤、人為失誤、計(jì)算機(jī)病毒或自然災(zāi)害等破壞數(shù)據(jù)完整時(shí)起到數(shù)據(jù)的保護(hù)和恢復(fù)作用，將損失降到最低。

2.2管理措施方面

網(wǎng)站安全問(wèn)題不僅是技術(shù)性問(wèn)題，還是管理方面的問(wèn)題。電子商務(wù)網(wǎng)站的安全無(wú)論采用多么高級(jí)的安全技術(shù)，網(wǎng)站安全問(wèn)題仍時(shí)常會(huì)發(fā)生，因此還需加強(qiáng)電子商務(wù)網(wǎng)站安全管理。它包括網(wǎng)站員工的管理、設(shè)備管理、應(yīng)急措施以及網(wǎng)站的日常維護(hù)和管理。保證員工不泄露密碼或是將網(wǎng)站的機(jī)密隨意發(fā)布，不訪(fǎng)問(wèn)非法網(wǎng)站，不輕易下載和安裝程序，對(duì)員工進(jìn)行業(yè)務(wù)培訓(xùn)，提高操作水平;對(duì)于網(wǎng)站的設(shè)備能做到防火、防盜、防磁、防水以及故障排除，并能實(shí)時(shí)的進(jìn)行數(shù)據(jù)備份與恢復(fù)，保證電子商務(wù)網(wǎng)站的繼續(xù)運(yùn)行或緊急恢復(fù)。

參考文獻(xiàn)：

[1]唐四薪.《電子商務(wù)安全》.清華大學(xué)出版社

[2]張波 朱艷娜.《電子商務(wù)安全》.機(jī)械工業(yè)出版社