西南交通大學峨眉校區(qū)計算機與通信工程系 廖革元 鄔芝權(quán)

電子商務(wù)是指在因特網(wǎng)上通過數(shù)字化電子手段進行商品交易的商業(yè)活動。電子商務(wù)網(wǎng)站是實現(xiàn)電子商務(wù)業(yè)務(wù)的基礎(chǔ)，它運行在因特網(wǎng)這個完全開放的網(wǎng)絡(luò)中，而在開放的網(wǎng)絡(luò)上構(gòu)建電子商務(wù)網(wǎng)站，必然受到來自網(wǎng)絡(luò)的木馬、病毒和黑客的侵襲。因此，除了加大對黑客和計算機犯罪的打擊力度外，用技術(shù)手段加強對電子商務(wù)網(wǎng)站的安全防護是非常必要的。

1 電子商務(wù)網(wǎng)站面臨的主要安全威脅

電子商務(wù)網(wǎng)站的安全防范體系包括物理安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全等幾個部分。由于網(wǎng)絡(luò)是承載各種應用系統(tǒng)的載體，也是網(wǎng)絡(luò)入侵者攻擊信息系統(tǒng)的渠道和通路，因此網(wǎng)絡(luò)安全是電子商務(wù)網(wǎng)站安全的最重要環(huán)節(jié)，其面臨的主要威脅包括軟件缺陷、系統(tǒng)漏洞、病毒入侵和黑客攻擊等。

1.1 軟件缺陷

軟件缺陷是指計算機軟件中存在的某種破壞程序正常運行的問題、錯誤，或者隱藏的功能缺陷，缺陷的存在將會導致軟件產(chǎn)品在某種程度上不能滿足用戶的需要。比如可能是某種潛在的算法錯誤，一般情況下系統(tǒng)不會表現(xiàn)出任何異常，但一旦出現(xiàn)問題可能給用戶帶來巨大損失。如淘寶網(wǎng)第三方軟件“團購寶”程序在今年9月初出現(xiàn)異常，導致淘寶商城中大量賣家從幾十元到上千元的商品被以1元包郵的價格秒殺，如果全部按定單發(fā)貨的話將給部份商家造成上百萬元的損失。

1.2 系統(tǒng)漏洞

系統(tǒng)漏洞是指操作系統(tǒng)軟件或應用軟件在邏輯設(shè)計上的缺陷或在編寫程序時產(chǎn)生的錯誤，也有部分漏洞是軟件開發(fā)者為了某種目的而特意留下的調(diào)試結(jié)構(gòu)。這些漏洞可能被不法分子或者電腦黑客所利用，通過這些漏洞可以越過對方的防護系統(tǒng)并在對方系統(tǒng)中植入木馬、病毒等。從而攻擊或控制他人電腦，進而竊取他人電腦中的重要資料和信息，甚至破壞系統(tǒng)。

系統(tǒng)漏洞廣泛存在，在不同種類的軟、硬件設(shè)備之間，同種設(shè)備的不同版本之間，以及同種系統(tǒng)在不同的設(shè)置條件下，都會存在各種不同的安全漏洞問題。電子商務(wù)網(wǎng)站如果存在安全漏洞將是非常危險的，可能讓不法分子輕易進入網(wǎng)站的服務(wù)器系統(tǒng)，隨心所欲地修改和竊取用戶信息資料。甚至在網(wǎng)站的網(wǎng)頁中植入木馬病毒，使之成為帶毒網(wǎng)站，當其他網(wǎng)絡(luò)用戶瀏覽帶毒網(wǎng)站時將會在不知不覺中被安裝上木馬程序，用戶使用帶木馬的電腦進行網(wǎng)上交易時，其交易和網(wǎng)絡(luò)賬戶信息就成為不法者竊取的對象，嚴重威脅用戶的賬戶安全。

1.3 病毒入侵

目前全世界已發(fā)現(xiàn)的計算機病毒有數(shù)萬種，并且每天都會發(fā)現(xiàn)新病毒或病毒變體。隨著接入互聯(lián)網(wǎng)的用戶越來越多，聯(lián)網(wǎng)的主機節(jié)點也在不斷增加，這為計算機病毒的滋生和傳播提供了有利的網(wǎng)絡(luò)環(huán)境，造成的危害也越來越大，病毒破壞已成為企業(yè)開展電子商務(wù)所面臨的重大威脅。目前，對電子商務(wù)網(wǎng)站造成威脅的病毒主要有以下幾類：

(1)蠕蟲病毒。包括尼姆達、沖擊波、熊貓燒香等。這類病毒具有兩大特點，一是利用系統(tǒng)漏洞進行攻擊，二是通過網(wǎng)絡(luò)迅速傳播。并且只要系統(tǒng)存在類似漏洞就會多次受到蠕蟲病毒的攻擊，只能通過安裝相應的補丁程序才能進行有效保護。

(2)木馬病毒。包括灰鴿子、冰河等。主要通過帶毒電子郵件或帶毒的免費軟件來傳播。其目的是為了非法獲取用戶賬戶、密碼等信息，并遠程控制用戶的計算機。根據(jù)CNCERT(國家計算機網(wǎng)絡(luò)應急技術(shù)處理協(xié)調(diào)中心)的年度報道，木馬引起的安全事件長期位居各類網(wǎng)絡(luò)安全威脅之首。

(3)網(wǎng)頁惡意代碼。又稱網(wǎng)頁病毒，主要是利用軟件或系統(tǒng)操作平臺等的安全漏洞，當用戶瀏覽帶毒網(wǎng)頁時通過執(zhí)行嵌入在網(wǎng)頁中的Java Script、Applet、ActiveX編輯的惡意腳本程序修改IE瀏覽器或操作系統(tǒng)的設(shè)置，甚至在用戶電腦上安裝木馬病毒。

1.4 黑客攻擊

黑客專指非法入侵他人計算機系統(tǒng)的人。由于互聯(lián)網(wǎng)所采用的TPC/IP協(xié)議并非專為安全通訊而設(shè)計，所以在國際互聯(lián)網(wǎng)系統(tǒng)中存在大量安全隱患和威脅。目前，黑客對網(wǎng)絡(luò)的入侵方式主要有后門程序、信息炸彈、拒絕服務(wù)、網(wǎng)絡(luò)監(jiān)聽和密碼破解等，這些攻擊手段大多都是致命的。其入侵目標主要是獲取網(wǎng)站服務(wù)器的控制權(quán)，從而竊取系統(tǒng)中的數(shù)據(jù)和密碼，偷竊用戶網(wǎng)上銀行或使用網(wǎng)上電子支付用戶的資金，甚至直接破壞網(wǎng)站系統(tǒng)，使其癱瘓。

2 電子商務(wù)網(wǎng)站的安全對策

上述各種電子商務(wù)網(wǎng)站的安全威脅，可以從以下幾方面建立一套有針對性的防范措施，抵御和防范相應的網(wǎng)絡(luò)威脅，保證電子商務(wù)網(wǎng)站安全、穩(wěn)定、可靠地運行。

2.1 物理安全

電子商務(wù)網(wǎng)站服務(wù)器機房安全必須符合國家規(guī)定的防范等級和相關(guān)技術(shù)規(guī)范，從機房布局上要將各類設(shè)備分開，尤其是密碼系統(tǒng)與其它系統(tǒng)要有明確的隔離墻，實行分區(qū)控制、區(qū)域防護。機房要設(shè)置安全防盜報警裝置和監(jiān)控系統(tǒng)。按照數(shù)據(jù)的重要程度，對數(shù)據(jù)進行分類備份，用于存放備份數(shù)據(jù)的房間必須具備防火、防盜、防水、防震能力。對一些關(guān)鍵設(shè)備和系統(tǒng)，應設(shè)置本地或異地備份系統(tǒng)。對于核心網(wǎng)絡(luò)和重要涉密設(shè)備，必須采用屏蔽布線，并加裝輻射干擾器等措施，防止因電磁輻射引起的漏密。

2.2 漏洞掃描并及時安裝系統(tǒng)安全補丁

網(wǎng)絡(luò)掃描技術(shù)是基于TCP/IP協(xié)議，自動檢測遠端或本地主機安全的技術(shù)。通過查詢TCP/IP各種服務(wù)端口，并記錄目標主機的響應，收集關(guān)于某些特定項目的有用信息。通過安全掃描程序可以在很短的時間內(nèi)查出網(wǎng)絡(luò)系統(tǒng)存在的安全薄弱點，并將掃描得到的信息以統(tǒng)計方式輸出，為網(wǎng)絡(luò)管理者提供分析和參考。常見的掃描器有端口掃描器，漏洞掃描器，Web應用掃描器等。其中Web應用掃描器主要用于評估網(wǎng)站的安全性，關(guān)注的焦點是網(wǎng)站的Web應用，主要檢測Web應用數(shù)據(jù)提交、信息泄露等可能存在的問題。

漏洞掃描還可以確認各種配置的正確性，避免網(wǎng)站和網(wǎng)絡(luò)遭受不必要的攻擊。例如，防火墻軟件的配置如果不正確，那么它就根本不起作用。在網(wǎng)站的維護過程中，一方面可以通過各種掃描器及時發(fā)現(xiàn)網(wǎng)站存在的安全漏洞，關(guān)閉不需要或不安全的服務(wù)和端口；另一方面要及時打上各種系統(tǒng)安全補丁程序，提高系統(tǒng)的安全性，這一點對預防蠕蟲病毒尤為重要。

2.3 構(gòu)建安全的防火墻

防火墻是一種網(wǎng)絡(luò)隔離控制技術(shù)，它是在內(nèi)部局域網(wǎng)和外部互聯(lián)網(wǎng)之間起著隔離和信息過濾作用的一種網(wǎng)絡(luò)安全設(shè)備。防火墻可以是一臺專用的硬件設(shè)備也可以是一套軟件。它依照管理者設(shè)定的過濾規(guī)則，允許或是限制著內(nèi)外網(wǎng)之間，或計算機與網(wǎng)絡(luò)之間的數(shù)據(jù)傳遞，只有那些被授權(quán)的通信才能通過防火墻。

防火墻又分為包過濾型防火墻，雙宿網(wǎng)關(guān)防火墻，屏蔽主機防火墻，屏蔽子網(wǎng)防火墻等多種類型。其中屏蔽子網(wǎng)防火墻系統(tǒng)用了兩個包過濾路由器和一個堡壘主機，采用的結(jié)構(gòu)是Internet→外部過濾路由器→堡壘主機→內(nèi)部過濾路由器→內(nèi)部網(wǎng)絡(luò)。這是一種包含DMZ(非軍事區(qū))的防火墻系統(tǒng)，支持網(wǎng)絡(luò)層和應用層的安全功能。網(wǎng)絡(luò)管理員將堡壘主機，信息服務(wù)器，以及其它公用服務(wù)器放在“非軍事區(qū)”網(wǎng)絡(luò)中，這樣可以同時防止來自外部互聯(lián)網(wǎng)和內(nèi)部局域網(wǎng)兩方面的安全威脅。

2.4 部署統(tǒng)一的網(wǎng)絡(luò)防病毒系統(tǒng)

目前常用的防病毒技術(shù)主要有反病毒掃描、完整性檢查和行為封鎖等。針對計算機病毒在網(wǎng)絡(luò)中傳播速度快，影響范圍大等特點，網(wǎng)絡(luò)防病毒工作已不再是簡單的單臺計算機或服務(wù)器病毒的檢測及清除。必須建立多層次的、立體的病毒防護體系，實施“層層設(shè)防、集中控管、以防為主、防殺結(jié)合”的防病毒策略，構(gòu)建全面統(tǒng)一的防病毒體系，才能有效提高系統(tǒng)的防病毒能力。多層次病毒防護體系是指在相關(guān)部門的每臺客戶端計算機上安裝指定的防病毒系統(tǒng)，在服務(wù)器上安裝指定的基于服務(wù)器的防病毒系統(tǒng)，在Internet網(wǎng)關(guān)安裝基于Internet網(wǎng)關(guān)的防病毒系統(tǒng)，并設(shè)置集中控制系統(tǒng)以加快對計算機病毒的快速反應能力。整個系統(tǒng)是對從客戶端計算機到服務(wù)器到網(wǎng)關(guān)以至于每臺不同業(yè)務(wù)應用服務(wù)器的全面保護，只有這樣才能保證整個網(wǎng)絡(luò)免受計算機病毒的侵害。

2.5 入侵檢測

入侵檢測技術(shù)是主動保護網(wǎng)站免受攻擊的一種網(wǎng)絡(luò)安全技術(shù)。防火墻相當于大樓的門衛(wèi)，主要判斷訪問者的合法性，而入侵檢測系統(tǒng)相當于大樓中的監(jiān)控系統(tǒng)，是對所有進入系統(tǒng)的用戶的操作過程進行監(jiān)控。入侵檢測技術(shù)作為一種用于檢測在計算機網(wǎng)絡(luò)系統(tǒng)中是否存在違反安全策略行為的技術(shù)，對非法用戶入侵和合法用戶濫用都會給予限制以保護系統(tǒng)安全。合理布置入侵檢測系統(tǒng)，使得當有入侵發(fā)生時能及時檢測到入侵攻擊，并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關(guān)信息，作為防范系統(tǒng)的知識，添加到入檢測軟件知識庫內(nèi)，以增強系統(tǒng)的防范能力。

2.6 系統(tǒng)容災備份技術(shù)

對于電子商務(wù)網(wǎng)站來說，數(shù)據(jù)安全是最重要的。要構(gòu)建一個完整的網(wǎng)絡(luò)安全體系，只有防范和檢測措施是不夠的，還必須具有容災和系統(tǒng)恢復能力。因為任何一種網(wǎng)絡(luò)安全設(shè)施都不可能做到萬無一失，漏防漏檢、天災人禍、不可抗力等所導致的安全事故都會對系統(tǒng)數(shù)據(jù)造成毀滅性的破壞，因此必須有一套數(shù)據(jù)備份和容災機制在安全事故發(fā)生時可以盡快恢復系統(tǒng)的正常使用。

容災又可分成數(shù)據(jù)容災和應用容災，數(shù)據(jù)容災系統(tǒng)使用兩個存儲器，并在兩者之間建立復制關(guān)系，一個在本地，另一個在異地，異地容災備份存儲器實時復制本地備份存儲器的關(guān)鍵數(shù)據(jù)。應用容災則是在異地建立一套與本地系統(tǒng)相當?shù)膫浞輵孟到y(tǒng)，兩者之間通過網(wǎng)絡(luò)心跳包進行交互。在主系統(tǒng)發(fā)生災難后，可自動將應用迅速切換到備用系統(tǒng)，由備用系統(tǒng)承擔系統(tǒng)的業(yè)務(wù)運行。

3 結(jié)語

電子商務(wù)網(wǎng)站是以互聯(lián)網(wǎng)為活動平臺的電子交易系統(tǒng)，隨著互聯(lián)網(wǎng)的發(fā)展與普及，直接帶動了電子商務(wù)的迅猛發(fā)展，與此同時，也為電子商務(wù)網(wǎng)站帶來了許多來自網(wǎng)絡(luò)的威脅。只有認真分析影響網(wǎng)站安全的各種因素，并建立一套完整的應對措施，才能防患于未然，保證網(wǎng)站系統(tǒng)本身的安全性和穩(wěn)定性，為電子商務(wù)中的信息安全打好基礎(chǔ)，除此之外，還要采用數(shù)據(jù)加密、身份認證等技術(shù)以進一步提高電子交易的安全性。

[1]田園.網(wǎng)絡(luò)安全教程[M].北京:人民郵電出版社,2009.

[2]陳孟建,徐金華,鄒玉金.電子商務(wù)網(wǎng)絡(luò)安全與防火墻技術(shù)[M].北京:清華大學出版社,2011.

[3]李洪心,楊莉,劉繼山.電子商務(wù)網(wǎng)站建設(shè)[M].北京:機械工業(yè)出版社,2009.