1、浅析电子商务网站的安全问题及应对措施摘 要 随着 Internet 的飞速发展,电子商务已经成了企业网络营销的主要手段,它的高效率为企业带来了巨大的方便,越来越多的企业投入巨大的人力、物力进行电子商务网站建设,运用电子商务网站与供应商或客户建立关系,以最快的速度相互沟通,从而提高企业在市场中的竞争力。而电子商务网站的安全是电子商务网站可靠运行并有效开展电子商务活动的基础和保证,安全问题不容忽视。本文分析了电子商务网站主要存在的一些安全问题,并从技术和管理的角度阐述了相应的应对措施。 关键字电子商务;网站;安全技术;安全管理随着互联网的不断普及与发展,企业在互联网上建立自己的网站,不仅可以向世界
2、展示自己的企业风采,使企业能够在公众知名度上有一定的提升,更能通过网站进行企业的内部管理和开展电子商务活动。因此,如何提高网站的安全,抵抗黑客非法入侵,避免企业信息泄漏给企业带来的损失是目前电子商务网站建设与管理中的重要一环,值得重视。2、电子商务网站的主要安全问题(1)网站访问的安全问题网站要实现其电子商务的功能,前提是具有可访问性。因此,网站的访问安全是要最先考虑的问题。互联网的开放性提供了企业一个良好的经营平台,但也给病毒提供了很好的传播平台。互联网上病毒无处不在,计算机病毒是具有破坏功能的可以自我复制的程序,它利用自身的隐蔽性和传播性,在互联网上横行肆意,悄无声息的窃取电子商务活动中的
3、信息,或者是破坏系统或数据,造成网站瘫痪。目前,任何电子商务网站本身和绝大多是的应用软件都是有漏洞的,漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷,可以使攻击者能在未授权的情况下访问或破坏系统。漏洞已成为攻击网站的首选目标,使得企业会造成巨大的损失。(2)交易数据信息的安全问题在我国,电子商务交易中遭遇信用卡被盗用、信息资料丢失等现象时有发生。据不完全统计,有 70%以上的企业和个人表示,出于安全考虑,目前暂不会在网上进行购物或交易。可以说,交易信息的安全问题是目前电子商务发展道路上最大阻碍。在面对面的贸易过程中,交易都是通过信件或其他可靠的通信渠道来发送商业报文,进
4、而达到保守机密的目的。但是电子商务网站上,却很难保证这一点,主要原因来自网站外部和网站内部两方面的威胁。1来自网站外部的威胁。网络黑客、入侵者、计算机病毒在互联中的泛滥是危害电子商务网站安全的重要因素。而电子商务网站都建立自己的数据库来存储和管理各种重要的业务数据信息,如客户的银行账号、密码、用户名还有订单号等;还有商家的协议、合同、银行的指令和认证等,这使得用户交易信息的安全更加得不到保障。一旦攻击者窃取了电子商务网站的数据库,就可以获得他们想要的信息,甚至篡改、删除对网站至关重要的信息,破坏数据的准确性和完整性。2来自于网站内部用户的安全威胁。近年来,相比网站外部的威胁而言,网站内部的安全
5、问题更为严峻。网站的员工疏忽或故意泄露信息,使得攻击者可以毫不费力的篡改、窃取网站用户的资料等内部机密;网站员工私自安装非法软件、游戏以及访问不安全的网站等导致网站被恶意入侵;网站员工对机密数据的非法操作。这些都能引发网站的严重安全危机。(三)交易的安全问题电子商务网站的交易过程,是借助于虚拟的网络平台来实现的。在这个平台上,交易双方不需要会面,因此交易双方的身份具有不确定性,在交易过程中,有可能出现交易抵赖、非同步交易等情况,直接破坏了电子商务网站交易的安全。3、解决电子商务网站安全问题的应对措施任何的安全应对措施都不能保证网站百分百的安全,但是企业树立自身的安全意识,充分利用各种安全技术,
6、在攻击者和受保护对象间建立起多道安全防线可以降低网站的安全风险。因此解决电子商务网站的安全问题需从技术和管理两个方面入手,具体的应对措施有:(1)安全技术方面1防火墙技术防火墙是指一个由硬件设备或软件、或软硬件组合而成的,在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层,并由它进行检查和连接。只有被授权的通信才能通过防火墙,从而使内部网络与外部网络在一定意义下隔离,防止非法入侵、非法使用系统资源、执行安全管制措施。防火墙技术是目前电子商务网站安全防范技术中发展较为成熟的一种,对于已知的攻击模式有很好的防御作用,它为网站建立起一道安全屏障,强化了网络安全策略,
7、加强了网络存取和访问的监控审计,有效的防止了内部信息外泄。2防病毒技术计算机病毒是具有自我复制和传播能力的可以引起计算机和网络故障的程序。而计算机病毒的防范是建立网站安全的重要一环。常用的防病毒技术有: (1)反病毒扫描:通过对病毒代码的分析找出能成为病毒结构线索的唯一特征。病毒扫描软件可搜索这些特征或其它能表示有某种病毒存在的代码段。(2)完整性检查:通过识别文件和系统的改变来发现病毒。完整性检查程序只有当病毒正在工作并做些什么事情时才能起作用,而网站可能在完整性检查程序开始检测病毒之前已感染了病毒,潜伏的病毒也可以避开检查。(3)行为封锁:行为封锁的目的是防止病毒的破坏。这种技术试图在病毒
8、马上就要开始工作时阻止它。每当某一反常的事情将要发生时,行为封锁软件就会检测到并警告用户。3漏洞扫描技术漏洞扫描技术最典型的网络漏洞扫描器。它是一个漏洞和风险评估工具,用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式: (1)外部扫描:通过远程检测目标主机 TCP/IP 不同端口的服务,记录目标给予的回答。通过这种方法,可以搜集到很多目标主机的各种信息,例如:是否能用匿名登录、是否有可写的 FTP 目录、是否能用 TELNET 等。然后与漏洞扫描系统提供的漏洞库进行匹配,满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法,对目标主机系
9、统进行攻击性的安全漏洞扫描。如果模拟攻击成功,则可视为漏洞存在。(2)内部扫描:漏洞扫描器以 root 身份登录目标主机,记录系统配置的各项主要参数,将之与安全配置标准库进行比较和匹配,凡不满足者即视为漏洞。4入侵检测技术防火墙只是一种隔离控制技术,一旦入侵者进入了系统,他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为,捕捉侵入罪证。而入侵检测技术是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全技术。它是网站的第二道安全门。为了保护电子商务网站的安全,以防火墙为主的静态防护已经不能满足现在网站的需求,在防火墙之上加入入侵检测系统,可以增强网站安全。
10、5安全认证技术安全认证技术,可以确认交易方不是冒名,确认得到的信息是来自声称方,保证信息的完整和真实性未被人篡改。它对重要的信息采用密码技术进行加密,使它成为一种不可理解的密文。接收方收到密文后再对它进行解密,将密文还原成原来可理解的形式。目前,普遍采用的技术有:SSL 安全协议、数字摘要、数字时间戳、数字证书等。6数据备份与恢复技术任何的安全防御技术都不是百分百的安全,对于重要的数据要做到及时备份,这样才能在发生系统硬件故障、软件错误、人为失误、计算机病毒或自然灾害等破坏数据完整时起到数据的保护和恢复作用,将损失降到最低。(2)管理措施方面网站安全问题不仅是技术性问题,还是管理方面的问题。电
11、子商务网站的安全无论采用多么高级的安全技术,网站安全问题仍时常会发生,因此还需加强电子商务网站安全管理。它包括网站员工的管理、设备管理、应急措施以及网站的日常维护和管理。保证员工不泄露密码或是将网站的机密随意发布,不访问非法网站,不轻易下载和安装程序,对员工进行业务培训,提高操作水平;对于网站的设备能做到防火、防盗、防磁、防水以及故障排除,并能实时的进行数据备份与恢复,保证电子商务网站的继续运行或紧急恢复。四、结束语计算机技术与网络技术的发展,使得电子商务不断进步,电子交易的手段更加多样化,安全问题就更加突出和重要。电子商务网站的安全是一个复杂的工程,不仅安全技术需要提高,还要加强网站安全管理,所以必须综合运用这些安全措施。随着我国对电子商务重视程度的加深,电子商务网站必将会逐步走上健康、安全、有保障的发展道路。参考文献:1 陈兵,网络安全与电子商务M ,北京:北京大学出版社, 2006。2 李大军,电子商务M,北京:清华大学出版社, 2002。3 孙博,电子商务网站管理与维护M ,北京:北京邮电大学出版社, 2008。4 管有庆,王晓军,电子商务安全技术M ,北京:北京邮电大学出版社, 2006。5 刘晓宇,电子商务网站的安全分析J,天津职业院校联合学报, 2008(2):12-15 。
