電子商務(wù)網(wǎng)站的安全防范技術(shù)

1、電子商務(wù)網(wǎng)站的平安防范技術(shù)1電子商務(wù)網(wǎng)站平安的要求影響 電子商務(wù)網(wǎng)站平安的因素是多方面的。 從網(wǎng)站內(nèi)部看， 網(wǎng)站計(jì)算機(jī)硬 件、通信設(shè)備的可靠性、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、數(shù)據(jù)庫系統(tǒng)等自身的 平安漏洞，都會(huì)影響到網(wǎng)站的平安運(yùn)行。從網(wǎng)站外部看，網(wǎng)絡(luò)黑客、 入侵者、計(jì)算機(jī)病毒也是危害電子商務(wù)網(wǎng)站平安的重要因素。 電子商 務(wù)網(wǎng)站的平安包括三個(gè)方面的要求 :1.1 網(wǎng)站硬件的平安要求網(wǎng)站的計(jì) 算機(jī)硬件、 附屬通信設(shè)備及網(wǎng)站傳輸線路穩(wěn)定可靠， 只有經(jīng)過授權(quán)的 用戶才能使用和訪問。 1.2 網(wǎng)站軟件的平安網(wǎng)站的軟件不被非法篡改， 不受計(jì)算機(jī)病毒的侵害 ;網(wǎng)站的數(shù)據(jù)信息不被非法復(fù)制、破壞和喪失。 1.3 網(wǎng)站傳輸信

2、息的平安指信息在傳輸過程中不被他人竊取、篡改或 偷看;能確定客戶的真實(shí)身份。本文主要論述當(dāng)電子商務(wù)網(wǎng)站面對(duì)來 自網(wǎng)站外部的平安威脅時(shí)， 應(yīng)采取哪些有效的平安措施保護(hù)網(wǎng)站的安 全。2 電子商務(wù)網(wǎng)站的平安措施2.1 防火墻技術(shù)防火墻是指一個(gè)由硬件設(shè)備或軟件、或軟硬件組合而 成的，在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造的保護(hù)屏障。 所有的內(nèi)部網(wǎng)和外部 網(wǎng)之間的連接都必須經(jīng)過此保護(hù)層， 并由它進(jìn)行檢查和連接。 只有被 授權(quán)的通信才能通過防火墻， 從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義 下隔離，防止非法入侵、非法使用系統(tǒng)資源、執(zhí)行平安管制措施。防 火墻根本分為兩類 :包過濾和基于代理的防火墻。包過濾防火墻對(duì)數(shù) 據(jù)包進(jìn)行分

3、析、 選擇，依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯來確定是否允 許該數(shù)據(jù)包通過。 代理防火墻能夠?qū)⒕W(wǎng)絡(luò)通信鏈路分為兩段， 使內(nèi)部 網(wǎng)與 Internet 不直接通信，而是使用代理效勞器作為數(shù)據(jù)轉(zhuǎn)發(fā)的中轉(zhuǎn) 站，只有那些被認(rèn)為可信賴的數(shù)據(jù)才允許通過。 這兩種防火墻各有其 優(yōu)缺點(diǎn) :包過濾器只能結(jié)合源地址、目標(biāo)地址和端口號(hào)才能起作用， 如果攻擊者攻破了包過濾防火墻， 整個(gè)網(wǎng)絡(luò)就公開了。 代理防火墻比 包過濾器慢，當(dāng)網(wǎng)站訪問量較大時(shí)會(huì)影響上網(wǎng)速度 ;代理防火墻在設(shè) 立和維護(hù)規(guī)那么集時(shí)比擬復(fù)雜， 有時(shí)會(huì)導(dǎo)致錯(cuò)誤配置和平安漏洞。 由于 這兩種防火墻各有優(yōu)缺點(diǎn)， 因而在實(shí)際應(yīng)用中常將這兩種防火墻組合 使用。目前市場(chǎng)上

4、最新的防火墻產(chǎn)品集成了代理和包過濾技術(shù)， 提供 了管理數(shù)據(jù)段和實(shí)現(xiàn)高吞吐速度的解決方案。 這些混合型的設(shè)備在安 全要求比吞吐速度有更高要求時(shí)， 能實(shí)行代理驗(yàn)證效勞， 在需要高速 度時(shí)，它們能靈活地采用包過濾規(guī)那么作為保護(hù)方法。2.2 入侵檢測(cè)系統(tǒng)防火墻是一種隔離控制技術(shù)，一旦入侵者進(jìn)入了系 統(tǒng)，他們便不受任何阻擋。 它不能主動(dòng)檢測(cè)和分析網(wǎng)絡(luò)內(nèi)外的危險(xiǎn)行 為，捕捉侵入罪證。而入侵檢測(cè)系統(tǒng)能夠監(jiān)視和跟蹤系統(tǒng)、事件、安 全記錄和系統(tǒng)日志， 以及網(wǎng)絡(luò)中的數(shù)據(jù)包， 識(shí)別出任何不希望有的活 動(dòng)，在入侵者對(duì)系統(tǒng)發(fā)生危害前，檢測(cè)到入侵攻擊，并利用報(bào)警與防 護(hù)系統(tǒng)進(jìn)行報(bào)警、阻斷等響應(yīng)。入侵檢測(cè)系統(tǒng)所采用的技術(shù)有

5、: 特征檢測(cè):這一檢測(cè)假設(shè)入侵者活動(dòng)可以用一種模式來表示，系統(tǒng)的目標(biāo) 是檢測(cè)主體活動(dòng)是否符合這些模式。 它可以將已有的入侵方法檢查出 來，但對(duì)新的入侵方法無能為力。 其難點(diǎn)在于如何設(shè)計(jì)模式既能夠表達(dá)“入侵 現(xiàn)象又網(wǎng)絡(luò)時(shí)空不會(huì)將正常的活動(dòng)包含進(jìn)來。異常檢測(cè):假設(shè)入侵者活動(dòng)異于正常主體的活動(dòng)。 根據(jù)這一理念建立主體正?；顒?dòng) 的“活動(dòng)簡檔 ，將當(dāng)前主體的活動(dòng)狀況與 “活動(dòng)簡檔 相比擬，當(dāng)違反 其統(tǒng)計(jì)規(guī)律時(shí)，認(rèn)為該活動(dòng)可能是 “入侵 行為。異常檢測(cè)的難題在于 如何建立 “活動(dòng)簡檔 以及如何設(shè)計(jì)統(tǒng)計(jì)算法， 從而不把正常的操作作 為“入侵 或忽略真正的 “入侵 行為。2.3 網(wǎng)絡(luò)漏洞掃描器沒有絕對(duì)平安的網(wǎng)

6、站，任何平安漏洞都可能導(dǎo)致 風(fēng)險(xiǎn)產(chǎn)生。網(wǎng)絡(luò)漏洞掃描器是一個(gè)漏洞和風(fēng)險(xiǎn)評(píng)估工具，用于發(fā)現(xiàn)、 開掘和報(bào)告平安隱患和可能被黑客利用的網(wǎng)絡(luò)平安漏洞。 網(wǎng)絡(luò)漏洞掃 描器分為內(nèi)部掃描和外部掃描兩種工作方式 :外部掃描 :通過遠(yuǎn)程檢測(cè) 目標(biāo)主機(jī) TCP/IP 不同端口的效勞，記錄目標(biāo)給予的答復(fù)。通過這種 方法，可以搜集到很多目標(biāo)主機(jī)的各種信息，例如 :是否能用匿名登 錄、是否有可寫的 FTP 目錄、是否能用 TELNET 等。然后與漏洞掃 描系統(tǒng)提供的漏洞庫進(jìn)行匹配， 滿足匹配條件那么視為漏洞。 也可通過 模擬黑客的進(jìn)攻手法，對(duì)目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的平安漏洞掃描。 如果模擬攻擊成功， 那么可視為漏洞存在。

7、 內(nèi)部掃描 :漏洞掃描器以 root 身份登錄目標(biāo)主機(jī)， 記錄系統(tǒng)配置的各項(xiàng)主要參數(shù)， 將之與平安配置 標(biāo)準(zhǔn)庫進(jìn)行比擬和匹配，凡不滿足者即視為漏洞。 2.4 防病毒系統(tǒng)病 毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的途徑多、速度快、方式各異，對(duì)網(wǎng)站 的危害較大。因此，應(yīng)利用全方位防病毒產(chǎn)品，實(shí)施 “層層設(shè)防、集 中控制、以防為主、防殺結(jié)合 的防病毒策略，構(gòu)建全面的防病毒體 系。常用的防病毒技術(shù)有 : 反病毒掃描 : 通過對(duì)病毒代碼的分析找出能成為病毒結(jié)構(gòu)線索的唯一特征。 病毒掃描軟件可搜索這些特征或其它 能表示有某種病毒存在的代碼段。完整性檢查 :通過識(shí)別文件和系統(tǒng) 的改變來發(fā)現(xiàn)病毒。 完整性檢查程序只有當(dāng)病

8、毒正在工作并做些什么 事情時(shí)才能起作用， 而網(wǎng)站可能在完整性檢查程序開始檢測(cè)病毒之前 已感染了病毒，潛伏的病毒也可以避開檢查。行為封鎖 : 行為封鎖的 目的是防止病毒的破壞。 這種技術(shù)試圖在病毒馬上就要開始工作時(shí)阻 止它。每當(dāng)某一反常的事情將要發(fā)生時(shí)， 行為封鎖軟件就會(huì)檢測(cè)到并 警告用戶。2.5 啟用平安認(rèn)證系統(tǒng)企業(yè)電子商務(wù)網(wǎng)站的平安除網(wǎng)站本身硬件和軟 件的平安外，還應(yīng)包括傳輸信息的平安。對(duì)一些重要的的傳輸信息， 應(yīng)保證信息在傳輸過程中不被他人竊取、偷看或修改。因此，應(yīng)在網(wǎng) 站效勞器中啟用平安認(rèn)證系統(tǒng)。 平安認(rèn)證系統(tǒng)對(duì)重要的信息采用密碼 技術(shù)進(jìn)行加密， 使它成為一種不可理解的密文。 接收方收到

9、密文后再 對(duì)它進(jìn)行解密，將密文復(fù)原成原來可理解的形式。目前，在電子商務(wù) 中普遍采用 SSL 平安協(xié)議。 SSL 平安協(xié)議主要提供三方面的效勞 :認(rèn) 證用戶和效勞器， 使得它們能夠確信數(shù)據(jù)將被發(fā)送到正確的客戶機(jī)和 效勞器上。加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)。維護(hù)數(shù)據(jù)的完整性，確保 數(shù)據(jù)在傳輸過程中不被改變。3 結(jié)束語任何一種平安措施都有其局限性， 企業(yè)電子商務(wù)網(wǎng)站的設(shè)計(jì)人員必須 在精心的平安分析、 風(fēng)險(xiǎn)評(píng)估、 商業(yè)需求分析和網(wǎng)站運(yùn)行效率分析的 根底上，制定出整體的平安解決方案。 為保證整體平安解決方案的效 率，各平安產(chǎn)品之間應(yīng)該實(shí)現(xiàn)一種聯(lián)動(dòng)機(jī)制。 當(dāng)漏洞掃描器覺察平安 問題時(shí)，就會(huì)通知系統(tǒng)管理員，及時(shí)采取補(bǔ)漏措施 ;當(dāng)入侵檢測(cè)系統(tǒng) 檢測(cè)到攻擊行為時(shí)，就會(huì)利用防火墻進(jìn)行實(shí)時(shí)阻斷 ;當(dāng)防病