浅谈电子商务网站的安全及应对措施
[摘要]近年来,由于电子商务网站提供在线销售、在线支付等功能因而它对网站的安全性要求非常高。
基于此,本文探讨了网站安全存在的一些隐患,以及对影响网站安全方面的原因进行了简单的阐述,并论述了在构建电子商务网站时应采取的安全措施。
[关键词]电子商务,网站安全,防范技术
引言
随着电子商务网站影响力的不断扩大和人们需求的不断提升,商品的网络交易日益旺盛。
电子商务网站发展成为企业展现自我、宣传产品的重要窗口,也成为商家与客户联系的网络平台。
同时企业依靠电子商务网站提供在线销售、在线支付等功能。
因此电子商务网站的安全性对企业及客户显得非常重要,尤其是实时交易网站其安全性更加重要。
那么如何建设一个安全的电子商务网站,防范网络病毒和木马,保护商家、客户信息是企业面临的首要问题。
一、电子商务网站的安全隐患
电子商务网站主要存在物理和软件两个方面的安全隐患。
物理方面的安全隐患主要是设备的硬件损坏,如:硬件设备的功能失常、电源故障、自然灾害、受到外力的攻击造成硬件设备的损坏。
软件方面的安全隐患可分为两种:一种是服务器内部存在的隐患;另一种是在信息传输过程中存在的安全隐患。
服务器内部存在的安全隐患,主要在于操作系统的漏洞和企业内部管理的漏洞。
操作系统的安全隐患主要表现在:一是操作系统本身的缺陷包括身份认证、访问控制、系统漏洞等。
二是对操作系统的安全配置问题,一般用户都采用系统的默认设置,这个是比较危险的。
三是病毒和黑客对操作系统的威胁。
四是操作系统中运行的大量应用软件存在安全问题。
电子商务企业内部管理疏漏、管理不严也会使网站存在安全隐患,如系统管理员设置的口令过短或过于简单,导致很容易破解;员工管理不严,非系统管理人员随意进入机房;防盗和屏蔽工作不到位等等。
信息传输过程中的安全隐患主要表现在:一是互联网上传递的大多数信息没有被加密因而传输中的信息容易被窃取和篡改,而且目前网络上提供免费实现这些功能的软件。
二是TCP/IP协议缺乏安全策略。
三是网站系统的访问控制配置过于复杂,可能出现配置错误或配置不全面有漏洞。
四是网络应用服务本身存在缺陷。
二、影响电子商务网站安全的主要因素
(一)在网站设计上安全理念不到位
大多数网站设计,一般只考虑实现用户所需求的功能,界面符合用户的要求,很少考虑到安全问题。
由于大多数网站设计开发者、网站维护人员对网站攻防技术并不了解或了解的较少,一般只侧重于实现用户所需求的功能,写出的代码他们自认为比较好因为他们对网站攻防技术了解不多因而很难发现漏洞,即使开发出的网站存在安全漏洞,用户使用时也察觉不到。
而这些漏洞就成为黑客进入系统的机会。
(二)网站缺乏有效的安全防护措施
只有少数的网站会投入资金到网站安全上,如购置防篡改系统等。
大多数的网站为了节
省开支不会在网站安全方面投入资金。
还有一些网站管理员对网站的安全价值认识不到位,一般只有当网站遭受攻击后,并给网站造成了较大的损失,这些管理员或负责单位才会意识到网站安全价值的重要性。
(三)对发现的安全问题不能彻底解决
网站安全受多方面因素的影响,如操作系统安全、代码设计安全、网站系统的访问控制配置、入侵报警措施等,由于与之相关的技术发展很快,但是设计人员的安全知识没有达到一定水平不懂得这些技术,使得对于出现问题的网站,只能进行简单的修复,难以彻底解决问题,使得这些网站继续存在安全隐患。
三、电子商务网站的安全措施
(一)防火墙技术
防火墙是设置在内部网与外部网之间的一道屏障。
它可能是硬件也可能是软件,用以保护内部网络中的资源、信息等不会受到来自外部网络中的非法用户的侵犯,控制网络访问,保护内部网络的安全。
防火墙是由路由器、堡垒主机等设备组成,通常位于级别较高的网关或网络与外部网络连接处,用作网络防护安全系统。
所有的内部网和外部网之间的连接都必须经过防火墙,并由它进行检查和连接。
只有被授权的通信才能通过防火墙,从而在一定意义先隔离内部网与外部网,防止非法入侵、非法使用系统资源、控制网络访问。
防火墙基本分为两类:包过滤型和代理防火墙。
包过滤防火墙对数据包进行分析、选择,依据系统内事先设定的过滤逻辑来确定是否允许该数据包通过。
代理防火墙能够检查进出的数据包,通过防火墙复制传递数据,防止受信任服务器和客户端与不受信任的主机之间建立联系,将网络通信链路分为两段,使内部网与外部网不能直接通信,保护内部网络的安全。
这两种防火墙各有其优缺点:包过滤器只能结合源地址和目的地址及每口IP包的端口号才能起作用,如果攻击者攻破了包过滤防火墙,整个网络就公开了。
代理防火墙效率不如包过滤防火墙,当网站访问量较大时会影响上网速度,代理防火墙在设立和维护规则集时比较复杂,有时会导致错误配置和安全漏洞。
由于这两种防火墙各有优缺点,因而在实际应用中常将这两种防火墙组合使用。
目前市场上最新的防火墙产品集成了代理和包过滤技术,在安全方面有高要求时,能实行代理验证服务;在需要高速度时,能灵活地采用包过滤规则作为保护方法。
(二)入侵检测技术
防火墙是一种隔离控制技术,一旦入侵者进入了系统,防火墙就不起作用了。
它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。
而入侵检测系统能够通过计算机系统进行监视,提供实时的入侵检测,在入侵者对系统发生危害前,检测到入侵攻击,并采取相应的防护手段,包括切断网络连接、记录事件和利用防护系统进行报警等。
入侵检测技术是一种主动保护系统免受黑客攻击的网络安全技术,被称为防火墙之后的第二道安全闸门。
(三)病毒防护
病毒在网络中存储、传播、感染的途径多,时常导致计算机系统瘫痪,使得程序无法正确运行,数据遭受严重破坏,给网站造成很大的危害,给企业及用户造成损失。
因此,应利用全
方位防病毒产品,实施“集中控制、预防为主、防治结合”的防病毒策略,构建全面的防病毒体系。
常用的防病毒技术有:
⒈完整性检查:通过识别文件和系统的改变来发现病毒。
⒉反病毒扫描:通过对病毒代码的分析找出能成为病毒的特征。
然后运用扫描软件搜索这些特征,从而发现病毒的所在,给予恰当的清理。
⒊行为封锁:行为封锁的目的是防止病毒的破坏。
每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。
(四)安全认证技术
企业电子商务网站除了本身硬件设备和软件的安全之外,还包括信息传输过程中的安全。
对一些重要的传输信息,应保证信息在传输过程中不被他人窃取和篡改。
因此,应在网站服务器中启用安全认证系统。
安全认证系统对重要的信息进行加密,使之成为密文,密文经过网络传输到达接收方,接受方再对它进行解密,使之成为明文。
目前,在电子商务中普遍采用SSL安全协议。
除了上面介绍的安全防范技术外,还应加强企业内部管理,分工明确,责任到人,建立健全有效的管理机制和经费保障机制,需要对网站安全人员进行定期的培训以提高网站的安全知识及掌握相应的攻防技术。
同时,针对本企业员工关于网站安全知识有限,该企业可以引入网站检测体制,目前市场上有许多第三方安全服务公司可以为电子商务网站提供远程安全检测,由于其专业性,通常能够发现网站安全人员发现不了的漏洞并就发现的漏洞提出相应对策,增强网站的安全。
除此而外,管理员可以定期抽查日志,对于长度异常大的日志文件重点检查。
结论
随着电子商务的影响力不断扩大,电子交易日益频繁,电子商务网站对其安全性特别重视。
电子商务网站安全隐患主要有:硬件设备的损坏,服务器内部存在隐患,信息传输过程中存在隐患。
影响网站安全的因素有很多,如:网站设计缺乏安全理念,网站缺乏安全防护措施等等。
那么在构建电子商务网站是应采取防火墙技术、入侵检测技术、病毒防护、启用安全认证系统等,同时应加强企业内部管理,建立健全有效的管理机制,增强网站的安全性。
参考文献:
[1]李红心,杨莉,刘继山,电子商务网站建设[M],北京:机械工业出版社,2008.9
[2]徐超汉,计算机网络安全与数据完整性技术[M],北京:电子工业出版社
[3] 田俊华,网络信息系统安全策略[J],西安工程科技学院学报,2003
[4]陈波,于冷,肖军模,计算机系统安全原理与技术[M],北京:机械工业出版社,2009.1 [5]覃琴,Intranet安全技术分析[J],陕西工学院学报,2002。