【淺析電子商務網站的安全性保障策略6500字（論文）】

淺析電子商務網站的安全性保障策略摘要隨著電子信息技術的迅速普及和廣泛應用，電子商務以其快捷、便利等優(yōu)點越來越受到社會的認可。電子商務的出現(xiàn)不僅為互聯(lián)網的發(fā)展提供了一個新的發(fā)展契機，也給社會經濟注入了巨大能量。但電商以網絡為主要載體的，大量的重要信息，比如說身份信息、交易信息都需要通過網絡進行傳輸，電子商務的出現(xiàn)改變了傳統(tǒng)商務活動的運作方式，作為信息化、網絡化發(fā)展的一種新的商品交易模式，通過人與電子通信方式的結合，極地提高商務活動效率，減少冗余的中間環(huán)節(jié)，降低了交易成本。但是，由于因特網本身的開放性，電子商務的安全問題日益突出，如何搭建一個安全、便捷的電子商務應用環(huán)境，成為電子商務發(fā)展的關鍵。

本文根據目前電子商務網站安全方面存在的問題進行分析，提出其安全性保障的策略，以保證網站安全穩(wěn)定、持續(xù)的運行。關鍵詞：電子商務；網站；安全性；保障策略目錄TOC\o"1-3"\h\u16059引言 引言近年來，商務網站的興起，它們最大限度的利用信息技術和網絡技術，使得傳統(tǒng)的中小型企業(yè)擺脫了自身規(guī)模和地域的限制，從而使得自己在激烈的商務市場有一席之地。例如，我們熟知的淘寶的網購，無數小企業(yè)、個體成功的案例已經說明了這一點，同時崛起的電商包括：京東商城，當當，蘇寧易購等，從早些年的網絡購書到網絡超市，網絡商務提供了所有的商品信息。商務站點作為電子商務的基石，其作為一種薪新的商務運作模式，已經顯現(xiàn)出巨大的商業(yè)價值，為我們的生活帶來了巨大的便利，企業(yè)發(fā)展自己的電子商務，首先建立自己的電子商務網站已是勢在必行。第一章電子商務網站安全性概述1.1網站安全的概念及特點網站安全包括物理安全和邏輯安全。物理安全是指系統(tǒng)機器及其外設的安全，保證其不遭受各種物理破壞，如被盜、火災等等。邏輯安全是指系統(tǒng)及其數據的完整性、保密性和可用性，這三點是計算機安全中的重要特性，也是網站安全構建的重要原則。網站安全包括以下幾方面特性：1.完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。2.保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性[2]。3.可用性：保護可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環(huán)境下拒絕服務、破壞網絡和干擾系統(tǒng)正常運行等都屬于對可用性的攻擊。4.可控性：對信息的傳播及內容具有控制能力。5.可靠性：指信息以用戶認可的質量連續(xù)服務于用戶的特性(包括信息的迅速、準確、連續(xù)的轉移等)1.2網站安全現(xiàn)狀隨著時代的發(fā)展，網絡應用的不斷深入，互聯(lián)網上網站數量以驚人的速度增加。無論是政府部門、企業(yè)還是各種管理機構，都通過網站來建立各種信息平臺進行各種業(yè)務應用。網站是信息的發(fā)布中心，其數據庫中存放有大量的供用戶共享的重要信息和資料。因此，要保證網站的正常運行，網站的安全是網站建設和運行過程中應該充分考慮的重要問題。盡管互聯(lián)網的應用規(guī)模呈爆炸式的發(fā)展，但網絡環(huán)境的復雜性、多變性，以及信息系統(tǒng)的脆弱性，決定了現(xiàn)有的計算機系統(tǒng)還不具備與自身的應用發(fā)展規(guī)模相對應的安全防護能力，大量的網絡威脅采用各種隱蔽的方式不斷地沖擊著網絡應用平臺。1.非授權訪問Internet是一個開放的、無控制機構的網絡，基于TCP/IP協(xié)議的Internet協(xié)議族自身的開放性極大地方便了各種計算機的組網和互聯(lián)，并直接推動了網絡技術的迅猛發(fā)展。但是由于在早期網絡協(xié)議設計上對安全性的忽視，致使Internet在使用和管理上的無政府狀態(tài)，逐漸使Internet自身的安全受到威脅。黑客（Hacker）經常會得到機會非法侵入網絡中的計算機系統(tǒng)，或竊取機密數據和盜用特權，或破壞重要數據，或使系統(tǒng)功能得不到充分發(fā)揮直至癱瘓。網站的非授權訪問對網站安全來講是致命的，其危害程度最大。系統(tǒng)密碼簡單而短小、操作系統(tǒng)的繁多的漏洞、各種應用軟件的缺陷、默認的共享文件夾、大量的非必須服務的開啟、過低的安全級別設置等都會為黑客的非法入侵提供方便之門。2、信息的安全管理信息的安全管理包括物理防護和應用防護。物理防護指涉及信息的物理設備在網絡的物理環(huán)境中設置屏障，防止來自物理線路的電磁信號竊聽。在網管中心、重要的數據交換和數據存儲場所，要按照保密施工要求，建立規(guī)范、相對獨立的網絡交換中心和重要交換節(jié)點，采取防靜電接地、物理屏蔽或防電磁干擾等措施，抑制數據交換信號的電磁擴散和輻射，從而達到防止信息被非法物理竊聽。應用防護指系統(tǒng)中的電子信息在應用中的各個環(huán)節(jié)進行防護。目前在網站服務器上電子信息大部分是以數據庫的形式保存在計算機中，在響應各種Web應用要求時，在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統(tǒng)的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協(xié)議中是憑著君子協(xié)定來維系的。3、網絡病毒的泛濫隨著網絡規(guī)模的擴大，計算機網絡病毒對網站的威脅作用越來越大。網絡病毒在網絡上傳播速度極快，危害巨大。4、安全系統(tǒng)的管理體制很多風險不僅僅來自于技術層面，更可能來自于安全系統(tǒng)自身的管理方面。如果在安全敏感的計算機信息系統(tǒng)中大量采用商業(yè)產品，而這些商業(yè)產品是面向一般計算環(huán)境的，其設計的出發(fā)點是勝任功能的多樣化和保證盈利的低投入，不可能把安全問題擺在足夠高的位置上。要想真正地將風險降到最低，只有把技術手段和管理體制緊密結合起來，提高人們的防范意識，才有可能從根本上保護網絡系統(tǒng)的安全運行。系統(tǒng)安全不僅要在技術方面進行強化，更要在管理上積極主動，將各種隱藏的安全隱患消滅在萌芽狀態(tài)，防患于未然。第二章電子商務網站的安全問題2.1網站訪問的安全問題網站要實現(xiàn)其電子商務的功能，前提是具有可訪問性。因此，網站的訪問安全是要最先考慮的問題?；ヂ?lián)網的開放性提供了企業(yè)一個良好的經營平臺，但也給病毒提供了很好的傳播平臺。互聯(lián)網上病毒無處不在，計算機病毒是具有破壞功能的可以自我復制的程序，它利用自身的隱蔽性和傳播性，在互聯(lián)網上橫行肆意，悄無聲息的竊取電子商務活動中的信息，或者是破壞系統(tǒng)或數據，造成網站癱瘓。目前，任何電子商務網站本身和絕大多是的應用軟件都是有漏洞的，漏洞是在硬件、軟件、協(xié)議的具體實現(xiàn)、具體使用或系統(tǒng)安全策略上存在的缺陷，可以使攻擊者能在未授權的情況下訪問或破壞系統(tǒng)。漏洞已成為攻擊網站的首選目標，使得企業(yè)會造成巨大的損失。2.2交易數據信息的安全問題在我國，電子商務交易中遭遇信用卡被盜用、信息資料丟失等現(xiàn)象時有發(fā)生。據不完全統(tǒng)計，有70%以上的企業(yè)和個人表示，出于安全考慮，目前暫不會在網上進行購物或交易?？梢哉f，交易信息的安全問題是目前電子商務發(fā)展道路上最大阻礙。在面對面的貿易過程中，交易都是通過信件或其他可靠的通信渠道來發(fā)送商業(yè)報文，進而達到保守機密的目的。但是電子商務網站上，卻很難保證這一點，主要原因來自網站外部和網站內部兩方面的威脅。來自網站外部的威脅。網絡黑客、入侵者、計算機病毒在互聯(lián)中的泛濫是危害電子商務網站安全的重要因素。而電子商務網站都建立自己的數據庫來存儲和管理各種重要的業(yè)務數據信息，如客戶的銀行賬號、密碼、用戶名還有訂單號等；還有商家的協(xié)議、合同、銀行的指令和認證等，這使得用戶交易信息的安全更加得不到保障。一旦攻擊者竊取了電子商務網站的數據庫，就可以獲得他們想要的信息，甚至篡改、刪除對網站至關重要的信息，破壞數據的準確性和完整性。來自于網站內部用戶的安全威脅。近年來，相比網站外部的威脅而言，網站內部的安全問題更為嚴峻。網站的員工疏忽或故意泄露信息，使得攻擊者可以毫不費力的篡改、竊取網站用戶的資料等內部機密；網站員工私自安裝非法軟件、游戲以及訪問不安全的網站等導致網站被惡意入侵；網站員工對機密數據的非法操作。這些都能引發(fā)網站的嚴重安全危機。2.3操作的安全電子商務網站操作的安全是指電子商務企業(yè)員工在進行商品信息發(fā)布、訂單錄入審核及數據庫維護等操作過程中的安全保障。主要是指被授權的員工對其允許的項目進行操作，非授權的員工只能讀取，不能進行操作；任何操作都會有詳細的記錄以備日后審查；特定人員對特定的操作審核，發(fā)現(xiàn)錯誤，及時加以糾正。個別人員的操作不能影響網站的穩(wěn)定運行，也不能造成數據庫的混亂或系統(tǒng)的癱瘓。當有人員離職后，也不會因其惡意操作造成網站的運行困難。第三章電子商務網站安全的保障策略分析3.1安全技術方面防火墻技術防火墻是指一個由硬件設備或軟件、或軟硬件組合而成的，在內部網與外部網之間構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層，并由它進行檢查和連接。只有被授權的通信才能通過防火墻，從而使內部網絡與外部網絡在一定意義下隔離，防止非法入侵、非法使用系統(tǒng)資源、執(zhí)行安全管制措施。防火墻技術是目前電子商務網站安全防范技術中發(fā)展較為成熟的一種，對于已知的攻擊模式有很好的防御作用，它為網站建立起一道安全屏障，強化了網絡安全策略，加強了網絡存取和訪問的監(jiān)控審計，有效的防止了內部信息外泄。2．防病毒技術計算機病毒是具有自我復制和傳播能力的可以引起計算機和網絡故障的程序。而計算機病毒的防范是建立網站安全的重要一環(huán)。常用的防病毒技術有:(1)反病毒掃描:通過對病毒代碼的分析找出能成為病毒結構線索的唯一特征。病毒掃描軟件可搜索這些特征或其它能表示有某種病毒存在的代碼段。(2)完整性檢查:通過識別文件和系統(tǒng)的改變來發(fā)現(xiàn)病毒。完整性檢查程序只有當病毒正在工作并做些什么事情時才能起作用，而網站可能在完整性檢查程序開始檢測病毒之前已感染了病毒，潛伏的病毒也可以避開檢查。(3)行為封鎖:行為封鎖的目的是防止病毒的破壞。這種技術試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發(fā)生時，行為封鎖軟件就會檢測到并警告用戶。漏洞掃描技術漏洞掃描技術最典型的網絡漏洞掃描器。它是一個漏洞和風險評估工具，用于發(fā)現(xiàn)、發(fā)掘和報告安全隱患和可能被黑客利用的網絡安全漏洞。網絡漏洞掃描器分為內部掃描和外部掃描兩種工作方式:(1)外部掃描:通過遠程檢測目標主機TCP/IP不同端口的服務，記錄目標給予的回答。通過這種方法，可以搜集到很多目標主機的各種信息，例如:是否能用匿名登錄、是否有可寫的FTP目錄、是否能用TELNET等。然后與漏洞掃描系統(tǒng)提供的漏洞庫進行匹配，滿足匹配條件則視為漏洞。也可通過模擬黑客的進攻手法，對目標主機系統(tǒng)進行攻擊性的安全漏洞掃描。如果模擬攻擊成功，則可視為漏洞存在。(2)內部掃描:漏洞掃描器以root身份登錄目標主機，記錄系統(tǒng)配置的各項主要參數，將之與安全配置標準庫進行比較和匹配，凡不滿足者即視為漏洞。3.2配置與技術文檔的管理策略1.配置管理配置管理是網絡管理的最基本的功能之一，就是對網絡的各種配置參數進行確定、設置、修改、存儲和統(tǒng)計等操作所組成的集合。配置管理包括：獲得關于當前網絡配置的信息；提供遠程修改設備配置的手段；存儲數據，維護一個最新的設備清單。2.技術文檔技術文檔是指對系統(tǒng)設計研制、開發(fā)、運行和維護所有技術問題的文字描述。它反映系統(tǒng)的構造原理，表示系統(tǒng)的實現(xiàn)方法，為系統(tǒng)維護、修改和進一步開發(fā)提供依據。技術文檔記錄系統(tǒng)各階段的技術信息。借閱、復制技術文檔需要履行申請、審批、登記和歸檔等必要環(huán)節(jié)，并且明確各環(huán)節(jié)經辦人的責任和義務。重要的技術文檔需要進行異地備份。3.3應急與恢復管理策略應急與恢復的管理主要是對偶然的、緊急的事件的預防。其中，下列情況應被視為緊急事件，需要采取緊急措施。(l)當硬件受到破壞性攻擊不能正常發(fā)揮全部或部分功能。(2)當軟件受到破壞性攻擊不能正常發(fā)揮全部或部分功能。(3)當軟件受到計算機病毒的侵害，局部或全部數據和功能受到損壞，使系統(tǒng)不能工作或工作效率急劇下降。(4)當物理設備被人為毀壞，無法正常工作。(5)當受到自然災害的破壞，使系統(tǒng)部分或全部不能正常運行。(6)當出現(xiàn)意外停電而后備供電系統(tǒng)不能正常運行。(7)當重要的關鍵崗位人員不能上崗。2、災難恢復對付災難的解決方案：維護和恢復服務；保護和恢復信息。(l)災難恢復策略做最壞的打算；充分利用現(xiàn)有資源；既重視災后恢復，也注意災前預防。(2)災難恢復計劃災難恢復計劃要求：可操作性強；多種備用方案；職責明確：便于培訓和演習；便于迅速執(zhí)行。災難恢復計劃包括：緊急措施、資源備用、恢復過程、演習和災難恢復計劃關鍵信息。3.4網絡或分布式策略可信度策略：所有的網絡策略或者分布式的策略都應該首先通過文檔的方式加以確定。鑒別和認證策略：能夠對內部網絡中的任何資源進行鑒別和認證；理工學院使用身份認證系統(tǒng)對網絡用戶的身份進行鑒別，如果可以的話，應該盡量避免使同一個用戶使用多個用戶名或者口令。責任與審計策略：網絡中的用戶應該對其所有行為負責，因此用戶需要了解相關的網絡的基本規(guī)定，如安全級別、相關的規(guī)定等等，信息中心在其中應起到指導作用；重要的網絡節(jié)點應該通過網絡日志的方法對用戶的行為進行記錄，并根據實際情況，最多每半年進行一次分析；重要的訪問控制列表應該根據具體的情況，最多每半年審計一次。訪問控制策略：對于敏感的網絡節(jié)點應該關閉所有沒有必要的網絡服務，對于需要開設的網絡服務需嚴格進行配置；對于需要進行限制訪問的網絡，線路的鋪設不應通過公共區(qū)域，而相關的連接點也只有授權用戶才能夠使用。準確性策略：對于重要的網絡節(jié)點應該定期的檢查數據的完整性。數據交換策略：私有信息應該通過批準了的傳輸機制進行傳輸；登陸的用戶及口令信息不應該通過明文的方式在網絡中進行傳輸，包括身份認證及其他的網絡服務的用戶及口令信息；內部的主機間提供網絡服務的時候，應該進行彼此間的認證；應該注意防止網絡中的信息偷竊行為，整個學院的網絡應該根據不同的功能或者安全級別劃分子網，屏蔽無用的網絡連接點[19]。行政部門的子網劃分由信息中心統(tǒng)一制定，各系部可根據需要在內部進行子網的劃分；屬于需要保密的信息，在傳輸之前應該進行加密；在有條件的狀況下，應該防止電磁導致的信息丟失；數據不應該發(fā)送給未授權的低級別的網絡或者用戶，用戶級別由數據的直接管理部門來確定，信息中心在技術方面給予配合。3.5撥入訪問策略所有進入內部網絡的連接，不論使用什么技術，都應該經過嚴格的認證機制的審核，撥入訪問內網，應該是只允許特定的用戶甚至只允許在特定的地方。因此撥入訪問可參考如下策略：可信度策略：對于可信度的確認應該納入每年的安全審核計劃，包括撥號服務器的配置都應該通過文檔的方式加以確定。鑒別和認證策略：所有撥入的連接應該使用嚴格的認證機制審核，包括用戶、口令及雙向認證等等；管理員應該以密文的方式發(fā)送口令等信息。三、責任與審計策略：用戶需要對其所有的行為負責；撥號服務器應該有詳細的