電子商務(wù)網(wǎng)站的安全防范策略

趙明宇

（黑龍江省科學(xué)院 自動化研究所，黑龍江 哈爾濱150090）

隨著互聯(lián)網(wǎng)的普及日漸迅速，電子交易開始融入人們的日常生活中，網(wǎng)上訂貨、網(wǎng)上繳費等眾多電子交易方式為人們創(chuàng)造了便利高效的生活方式，越來越多的人開始使用電子商務(wù)網(wǎng)站來傳遞各種信息，并進行各種交易。由于互聯(lián)網(wǎng)是一個完全開放的網(wǎng)絡(luò)，任何一臺計算機都可以和之相連，因此，網(wǎng)絡(luò)風(fēng)險構(gòu)成了對電子商務(wù)的嚴(yán)重威脅。這就對相應(yīng)的安全控制提出了更高的要求。

1 電子商務(wù)網(wǎng)站

電子商務(wù)是基于因特網(wǎng)的發(fā)展，通過使用數(shù)字化的電子技術(shù)手段而進行商品的交易的一種商業(yè)活動。要實現(xiàn)電子商務(wù)，首先就要建立電子商務(wù)網(wǎng)站。目前，電子商務(wù)的網(wǎng)站需要有買方和賣方的在線交流、在線下單以及網(wǎng)銀支付等商務(wù)活動并通過因特網(wǎng)來進行這些活動數(shù)據(jù)的傳輸。它可以為客戶提供產(chǎn)品介紹、商品交易、商品形象展示等多種頁面信息，這些信息的傳播無可避免的要運用到涵蓋范圍最廣的互聯(lián)網(wǎng)，但是因為互聯(lián)網(wǎng)是一個公開度高且存在安全漏洞的網(wǎng)絡(luò)，通過其傳輸?shù)臄?shù)據(jù)和資料很有可能遭到內(nèi)外部的攻擊和篡改，因此，如何保障電子商務(wù)過程中網(wǎng)站傳輸數(shù)據(jù)和信息的安全性和保密性，如何保證交易數(shù)據(jù)和信息的可用性和完整性以及交易的不可否認(rèn)性是電子商務(wù)行業(yè)需要長期進行的挑戰(zhàn)。

2 安全風(fēng)險

日益嚴(yán)重的信息安全問題，不僅使電子商務(wù)網(wǎng)站蒙受了巨大經(jīng)濟損失，而且使國家的安全與主權(quán)面臨嚴(yán)重威脅。要避免類似信息安全問題，必須定位可能引起安全事件的原因和潛在風(fēng)險，主要有以下幾個方面原因：

2.1 黑客攻擊

由于缺乏針對網(wǎng)絡(luò)犯罪卓有成效的反擊和跟蹤手段，因此黑客的攻擊不僅破壞力強，且隱蔽性好。據(jù)統(tǒng)計，目前全球約有20多萬個黑客網(wǎng)站，其攻擊方法達(dá)幾千種之多。這些網(wǎng)站可以任意獲得黑客攻擊方法和免費工具，使得成為黑客變得非常簡單。

2.2 病毒威脅

當(dāng)前全球已知病毒約為2億種，并且每天新增病毒約為1O多萬種。并且其中2/3是木馬程序-即能夠盜取計算機賬號信息、隱私數(shù)據(jù)、網(wǎng)銀賬號和網(wǎng)游賬號等虛擬資產(chǎn)，成為全球惡意軟件中最主要的安全威脅。

2.3 缺乏IT管理

網(wǎng)站或系統(tǒng)的嚴(yán)格管理是企業(yè)免受攻擊和破壞的重要措施。事實上，很多企業(yè)網(wǎng)站或系統(tǒng)都疏于這方面的管理。有的電子商務(wù)網(wǎng)站總是在受到攻擊后才會想到加強網(wǎng)站安全，有些是盲目崇拜各類安全產(chǎn)品，以為只要安裝了防火墻、IDS系統(tǒng)等安全產(chǎn)品，就能完全保障其網(wǎng)站的安全。這些都是安全管理方面的漏洞和不足。

2.4 軟件的漏洞

軟件都是開發(fā)人員設(shè)計編寫的，開發(fā)人員設(shè)計在代碼編寫中不可避免存在漏洞，并且開發(fā)人員對安全性了解欠缺，導(dǎo)致開發(fā)出來的程序只考慮到功能實現(xiàn)，而忽略了軟件自身的安全性。

2.5 政治軍事因素

當(dāng)前全球普遍存在的軍事沖突，政治分歧都表現(xiàn)在國家之間的信息戰(zhàn)和對他國監(jiān)控和破壞方面，個別國家或組織有意識發(fā)起網(wǎng)絡(luò)信息站，引發(fā)國際間的網(wǎng)絡(luò)安全事件。

3 電子商務(wù)網(wǎng)站的安全防范策略

3.1 數(shù)字簽0415財產(chǎn)保險公司成本管理名

在書面的文件上簽名是傳統(tǒng)商務(wù)活動中對文件進行確認(rèn)的主要手段，在電子商務(wù)網(wǎng)站中采用數(shù)字簽名的技術(shù)，可以保證信息在傳輸過程中的完整性和完整性，同時，因為簽名是對發(fā)送者進行身份認(rèn)證的方式，發(fā)送的信息在發(fā)送者發(fā)送后都沒有進行過修改，所以利用數(shù)字簽名可以方便購買者的在線支付，解決電子商務(wù)網(wǎng)站中存在的如身份驗證和確定交易者身份等問題。

3.2 防火墻的設(shè)置

防火墻是可以對網(wǎng)絡(luò)進行隔離控制的一種技術(shù)，它可以通過控制內(nèi)外部網(wǎng)絡(luò)之間的信息交流和訪問尺度，防止黑客對重要的信息進行更改和損壞。防火可能是專門的硬件也可能是專門的軟件，管理者通過設(shè)定防火墻的過濾原則，對內(nèi)外部網(wǎng)絡(luò)或者是電腦和網(wǎng)絡(luò)之間進行的數(shù)據(jù)傳遞進行允許或限制，只有被授權(quán)的數(shù)據(jù)傳遞才能順利地通過防火墻，保證了內(nèi)外部網(wǎng)絡(luò)的安全。

3.3 對惡意軟件進行防護

目前，惡意軟件在全球范圍以每天增加超過1O萬種的速度增長，他們中的三分之二都是木馬程序，一旦木馬程序植入到電子商務(wù)網(wǎng)站，該網(wǎng)站的信息和數(shù)據(jù)就有可能丟失，因此，針對類似惡意軟件的攻擊，應(yīng)該要在主機和網(wǎng)絡(luò)的邊界對電子商務(wù)網(wǎng)站的安全防范進行加固，減少惡意軟件的攻擊次數(shù)和程度。

3.4 加密技術(shù)的應(yīng)用

同秘要進行加密的技術(shù)一樣，對數(shù)據(jù)進行加密的密碼體制由對稱加密與非對稱加密兩部分組成。在電子商務(wù)過程中，遠(yuǎn)程通信和網(wǎng)內(nèi)通信所傳輸?shù)男畔⒑蛿?shù)據(jù)都應(yīng)該被嚴(yán)密保護，根據(jù)管理的級別，其對應(yīng)的信息和數(shù)據(jù)也應(yīng)該進行相信的部分加密或全程加密。

3.5 系統(tǒng)容災(zāi)備份技術(shù)

在電子商務(wù)活動中，如何保證數(shù)據(jù)的安全是最為重要的，因此，除了上述所說的防范措施外，在發(fā)生如天災(zāi)人禍等意外事故時，網(wǎng)站必須要能容災(zāi)和恢復(fù)系統(tǒng)。容災(zāi)包括數(shù)據(jù)和應(yīng)用兩方面的容災(zāi)，數(shù)據(jù)容災(zāi)方面，可以通過使用兩個異地的存儲器，通過建立兩者問的復(fù)制關(guān)系，將備份的重要數(shù)據(jù)和資料存儲在不同的地方；應(yīng)用容災(zāi)方面則是指在異地建立一套備份的應(yīng)用系統(tǒng)，該系統(tǒng)應(yīng)該和本地的系統(tǒng)相同，兩套系統(tǒng)的交互則通過運用網(wǎng)絡(luò)心跳包來實現(xiàn)，通過設(shè)置，在當(dāng)?shù)叵到y(tǒng)遭到災(zāi)難時，可以由備用系統(tǒng)直接并迅速地接受該系統(tǒng)的應(yīng)用，其業(yè)務(wù)運行也由備用系統(tǒng)全權(quán)承擔(dān)。

3.6 提高從業(yè)人員的技術(shù)水平和整體素質(zhì)，提升企業(yè)的管理水平

首先，加強宣傳，使得各個電子商務(wù)企業(yè)重視對現(xiàn)有從業(yè)人員的培訓(xùn)，提高現(xiàn)有人員的技術(shù)水平，提高其安全意識及其應(yīng)對安全問題的能力。其次，要加強電子商務(wù)人才的培養(yǎng)。充分利用各種途徑和手段培養(yǎng)具有專業(yè)素養(yǎng)的網(wǎng)絡(luò)、計算機及管理等方面的專業(yè)人才，以及復(fù)合型人才。最后，要提高企業(yè)電子商務(wù)管理水平。安全問題不僅有技術(shù)的原因，相關(guān)管理制度不健全也是一個重要方面，企業(yè)要建立適應(yīng)電子商務(wù)發(fā)展的管理體系，進行制度化建設(shè)，提升整體管理水平。

4 總結(jié)

電子商務(wù)是以互聯(lián)網(wǎng)為活動平臺的電子交易，它是繼電子貿(mào)易(EDT)之后的新一代電子數(shù)據(jù)交換形式。計算機網(wǎng)絡(luò)的發(fā)展和普及，直接帶動電子商務(wù)的發(fā)展。因此計算機網(wǎng)絡(luò)安全的要求更高，涉及面更廣，不但要求防治病毒，還要提高系統(tǒng)反抗外來非法黑客人侵的能力，還要提高對遠(yuǎn)程數(shù)據(jù)傳輸?shù)谋Ｃ苄?，避免在傳輸途中遭受非法竊取，以保證系統(tǒng)本身安全性，如服務(wù)器自身穩(wěn)定性，增強自身反抗能力，杜絕一切可能讓黑客入侵的渠道。

［1］劉琳．電子商務(wù)網(wǎng)站評價的指標(biāo)體系與模型研究[J]．黑龍江科技信息,2011(4)．

［2］張小栓，高明，張健，趙明，傅澤田．電子商務(wù)網(wǎng)站評價方法研究綜述[J]．情報雜志,2012(6).

［3］張東生．計算機網(wǎng)絡(luò)安全技術(shù)與防范策略探析[J]．電腦編程技巧與維護，201 1(2)：103-105．

［4］王鳳領(lǐng)．計算機網(wǎng)絡(luò)安全技術(shù)與防范策略探析[J]．計算機安全，2010(3)：93-95．