电子商务网站安全分析与防范对策

2012-08-15 00:49西南交通大学峨眉校区计算机与通信工程系廖革元邬芝权
中国商论 2012年6期
关键词:防病毒容灾防火墙

西南交通大学峨眉校区计算机与通信工程系 廖革元 邬芝权

电子商务是指在因特网上通过数字化电子手段进行商品交易的商业活动。电子商务网站是实现电子商务业务的基础,它运行在因特网这个完全开放的网络中,而在开放的网络上构建电子商务网站,必然受到来自网络的木马、病毒和黑客的侵袭。因此,除了加大对黑客和计算机犯罪的打击力度外,用技术手段加强对电子商务网站的安全防护是非常必要的。

1 电子商务网站面临的主要安全威胁

电子商务网站的安全防范体系包括物理安全、网络安全和数据安全等几个部分。由于网络是承载各种应用系统的载体,也是网络入侵者攻击信息系统的渠道和通路,因此网络安全是电子商务网站安全的最重要环节,其面临的主要威胁包括软件缺陷、系统漏洞、病毒入侵和黑客攻击等。

1.1 软件缺陷

软件缺陷是指计算机软件中存在的某种破坏程序正常运行的问题、错误,或者隐藏的功能缺陷,缺陷的存在将会导致软件产品在某种程度上不能满足用户的需要。比如可能是某种潜在的算法错误,一般情况下系统不会表现出任何异常,但一旦出现问题可能给用户带来巨大损失。如淘宝网第三方软件“团购宝”程序在今年9月初出现异常,导致淘宝商城中大量卖家从几十元到上千元的商品被以1元包邮的价格秒杀,如果全部按定单发货的话将给部份商家造成上百万元的损失。

1.2 系统漏洞

系统漏洞是指操作系统软件或应用软件在逻辑设计上的缺陷或在编写程序时产生的错误,也有部分漏洞是软件开发者为了某种目的而特意留下的调试结构。这些漏洞可能被不法分子或者电脑黑客所利用,通过这些漏洞可以越过对方的防护系统并在对方系统中植入木马、病毒等。从而攻击或控制他人电脑,进而窃取他人电脑中的重要资料和信息,甚至破坏系统。

系统漏洞广泛存在,在不同种类的软、硬件设备之间,同种设备的不同版本之间,以及同种系统在不同的设置条件下,都会存在各种不同的安全漏洞问题。电子商务网站如果存在安全漏洞将是非常危险的,可能让不法分子轻易进入网站的服务器系统,随心所欲地修改和窃取用户信息资料。甚至在网站的网页中植入木马病毒,使之成为带毒网站,当其他网络用户浏览带毒网站时将会在不知不觉中被安装上木马程序,用户使用带木马的电脑进行网上交易时,其交易和网络账户信息就成为不法者窃取的对象,严重威胁用户的账户安全。

1.3 病毒入侵

目前全世界已发现的计算机病毒有数万种,并且每天都会发现新病毒或病毒变体。随着接入互联网的用户越来越多,联网的主机节点也在不断增加,这为计算机病毒的滋生和传播提供了有利的网络环境,造成的危害也越来越大,病毒破坏已成为企业开展电子商务所面临的重大威胁。目前,对电子商务网站造成威胁的病毒主要有以下几类:

(1)蠕虫病毒。包括尼姆达、冲击波、熊猫烧香等。这类病毒具有两大特点,一是利用系统漏洞进行攻击,二是通过网络迅速传播。并且只要系统存在类似漏洞就会多次受到蠕虫病毒的攻击,只能通过安装相应的补丁程序才能进行有效保护。

(2)木马病毒。包括灰鸽子、冰河等。主要通过带毒电子邮件或带毒的免费软件来传播。其目的是为了非法获取用户账户、密码等信息,并远程控制用户的计算机。根据CNCERT(国家计算机网络应急技术处理协调中心)的年度报道,木马引起的安全事件长期位居各类网络安全威胁之首。

(3)网页恶意代码。又称网页病毒,主要是利用软件或系统操作平台等的安全漏洞,当用户浏览带毒网页时通过执行嵌入在网页中的Java Script、Applet、ActiveX编辑的恶意脚本程序修改IE浏览器或操作系统的设置,甚至在用户电脑上安装木马病毒。

1.4 黑客攻击

黑客专指非法入侵他人计算机系统的人。由于互联网所采用的TPC/IP协议并非专为安全通讯而设计,所以在国际互联网系统中存在大量安全隐患和威胁。目前,黑客对网络的入侵方式主要有后门程序、信息炸弹、拒绝服务、网络监听和密码破解等,这些攻击手段大多都是致命的。其入侵目标主要是获取网站服务器的控制权,从而窃取系统中的数据和密码,偷窃用户网上银行或使用网上电子支付用户的资金,甚至直接破坏网站系统,使其瘫痪。

2 电子商务网站的安全对策

上述各种电子商务网站的安全威胁,可以从以下几方面建立一套有针对性的防范措施,抵御和防范相应的网络威胁,保证电子商务网站安全、稳定、可靠地运行。

2.1 物理安全

电子商务网站服务器机房安全必须符合国家规定的防范等级和相关技术规范,从机房布局上要将各类设备分开,尤其是密码系统与其它系统要有明确的隔离墙,实行分区控制、区域防护。机房要设置安全防盗报警装置和监控系统。按照数据的重要程度,对数据进行分类备份,用于存放备份数据的房间必须具备防火、防盗、防水、防震能力。对一些关键设备和系统,应设置本地或异地备份系统。对于核心网络和重要涉密设备,必须采用屏蔽布线,并加装辐射干扰器等措施,防止因电磁辐射引起的漏密。

2.2 漏洞扫描并及时安装系统安全补丁

网络扫描技术是基于TCP/IP协议,自动检测远端或本地主机安全的技术。通过查询TCP/IP各种服务端口,并记录目标主机的响应,收集关于某些特定项目的有用信息。通过安全扫描程序可以在很短的时间内查出网络系统存在的安全薄弱点,并将扫描得到的信息以统计方式输出,为网络管理者提供分析和参考。常见的扫描器有端口扫描器,漏洞扫描器,Web应用扫描器等。其中Web应用扫描器主要用于评估网站的安全性,关注的焦点是网站的Web应用,主要检测Web应用数据提交、信息泄露等可能存在的问题。

漏洞扫描还可以确认各种配置的正确性,避免网站和网络遭受不必要的攻击。例如,防火墙软件的配置如果不正确,那么它就根本不起作用。在网站的维护过程中,一方面可以通过各种扫描器及时发现网站存在的安全漏洞,关闭不需要或不安全的服务和端口;另一方面要及时打上各种系统安全补丁程序,提高系统的安全性,这一点对预防蠕虫病毒尤为重要。

2.3 构建安全的防火墙

防火墙是一种网络隔离控制技术,它是在内部局域网和外部互联网之间起着隔离和信息过滤作用的一种网络安全设备。防火墙可以是一台专用的硬件设备也可以是一套软件。它依照管理者设定的过滤规则,允许或是限制着内外网之间,或计算机与网络之间的数据传递,只有那些被授权的通信才能通过防火墙。

防火墙又分为包过滤型防火墙,双宿网关防火墙,屏蔽主机防火墙,屏蔽子网防火墙等多种类型。其中屏蔽子网防火墙系统用了两个包过滤路由器和一个堡垒主机,采用的结构是Internet→外部过滤路由器→堡垒主机→内部过滤路由器→内部网络。这是一种包含DMZ(非军事区)的防火墙系统,支持网络层和应用层的安全功能。网络管理员将堡垒主机,信息服务器,以及其它公用服务器放在“非军事区”网络中,这样可以同时防止来自外部互联网和内部局域网两方面的安全威胁。

2.4 部署统一的网络防病毒系统

目前常用的防病毒技术主要有反病毒扫描、完整性检查和行为封锁等。针对计算机病毒在网络中传播速度快,影响范围大等特点,网络防病毒工作已不再是简单的单台计算机或服务器病毒的检测及清除。必须建立多层次的、立体的病毒防护体系,实施“层层设防、集中控管、以防为主、防杀结合”的防病毒策略,构建全面统一的防病毒体系,才能有效提高系统的防病毒能力。多层次病毒防护体系是指在相关部门的每台客户端计算机上安装指定的防病毒系统,在服务器上安装指定的基于服务器的防病毒系统,在Internet网关安装基于Internet网关的防病毒系统,并设置集中控制系统以加快对计算机病毒的快速反应能力。整个系统是对从客户端计算机到服务器到网关以至于每台不同业务应用服务器的全面保护,只有这样才能保证整个网络免受计算机病毒的侵害。

2.5 入侵检测

入侵检测技术是主动保护网站免受攻击的一种网络安全技术。防火墙相当于大楼的门卫,主要判断访问者的合法性,而入侵检测系统相当于大楼中的监控系统,是对所有进入系统的用户的操作过程进行监控。入侵检测技术作为一种用于检测在计算机网络系统中是否存在违反安全策略行为的技术,对非法用户入侵和合法用户滥用都会给予限制以保护系统安全。合理布置入侵检测系统,使得当有入侵发生时能及时检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加到入检测软件知识库内,以增强系统的防范能力。

2.6 系统容灾备份技术

对于电子商务网站来说,数据安全是最重要的。要构建一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有容灾和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,漏防漏检、天灾人祸、不可抗力等所导致的安全事故都会对系统数据造成毁灭性的破坏,因此必须有一套数据备份和容灾机制在安全事故发生时可以尽快恢复系统的正常使用。

容灾又可分成数据容灾和应用容灾,数据容灾系统使用两个存储器,并在两者之间建立复制关系,一个在本地,另一个在异地,异地容灾备份存储器实时复制本地备份存储器的关键数据。应用容灾则是在异地建立一套与本地系统相当的备份应用系统,两者之间通过网络心跳包进行交互。在主系统发生灾难后,可自动将应用迅速切换到备用系统,由备用系统承担系统的业务运行。

3 结语

电子商务网站是以互联网为活动平台的电子交易系统,随着互联网的发展与普及,直接带动了电子商务的迅猛发展,与此同时,也为电子商务网站带来了许多来自网络的威胁。只有认真分析影响网站安全的各种因素,并建立一套完整的应对措施,才能防患于未然,保证网站系统本身的安全性和稳定性,为电子商务中的信息安全打好基础,除此之外,还要采用数据加密、身份认证等技术以进一步提高电子交易的安全性。

[1]田园.网络安全教程[M].北京:人民邮电出版社,2009.

[2]陈孟建,徐金华,邹玉金.电子商务网络安全与防火墙技术[M].北京:清华大学出版社,2011.

[3]李洪心,杨莉,刘继山.电子商务网站建设[M].北京:机械工业出版社,2009.

猜你喜欢
防病毒容灾防火墙
防病毒肺炎
构建防控金融风险“防火墙”
高速公路收费中心容灾备份系统建设方案分析
高速公路信息安全系统防病毒和终端管理技术应用
浅谈计算机防病毒软件的作用机制
关于建筑企业容灾备份系统方案的探讨
基于数据容灾技术在企业信息系统中的应用研究
在舌尖上筑牢抵御“僵尸肉”的防火墙
一种一次性防病毒输液装置
下一代防火墙要做的十件事