“真”知“拙”见

周爱明

摘要：本文分析了电子商务网主要存在的一些安全问题，并从技术和管理的角度阐述了相应的应对措施。

关键词：电子商务;安全;应对措施

1.电子商务网站的主要安全问题

1.1网站访问的安全问题

目前，任何电子商务网站本身和绝大多数的应用软件都是有漏洞的，漏洞是在硬件、软件、协议的具体实现、具体使用或系统安全策略上存在的缺陷，可以使攻击者能在未授权的情况下访问或破坏系统。漏洞已成为攻击网站的首选目标，使得企业会造成巨大的损失。

1.2交易数据信息的安全问题

在我国，电子商务交易中遭遇信用卡被盗用、信息资料丢失等现象时有发生。据不完全统计，有70%以上的企业和个人表示，出于安全考虑，目前暂不会在网上进行大额购物或交易。可以说，交易信息的安全问题是目前电子商务发展道路上最大阻碍。在面对面的贸易过程中，交易都是通过信件或其他可靠的通信渠道来发送商业报文，进而达到保守机密的目的。但是电子商务网站上，却很难保证这一点，主要原因来自网站外部和网站内部两方面的威胁。

1.3来自网站外部的威胁。

网络黑客、入侵者、计算机病毒在互联中的泛滥是危害电子商务网站安全的重要因素。而电子商务网站都建立自己的数据库来存储和管理各种重要的业务数据信息，如客户的银行账号、密码、用户名还有订单号等;还有商家的协议、合同、银行的指令和认证等，这使得用户交易信息的安全更加得不到保障。一旦攻击者窃取了电子商务网站的数据库，就可以获得他们想要的信息，甚至篡改、删除对网站至关重要的信息，破坏数据的准确性和完整性。

1.4来自于网站内部用户的安全威胁。

近年来，相比网站外部的威胁而言，网站内部的安全问题更为严峻。网站的员工疏忽或故意泄露信息，使得攻击者可以毫不费力的篡改、窃取网站用户的资料等内部机密;网站员工私自安装非法软件、游戏以及访问不安全的网站等导致网站被恶意入侵;网站员工对机密数据的非法操作。这些都能引发网站的严重安全危机。

1.5交易的安全问题

电子商务网站的交易过程，是借助于虚拟的网络平台来实现的。在这个平台上，交易双方不需要会面，因此交易双方的身份具有不确定性，在交易过程中，有可能出现交易抵赖、非同步交易等情况，直接破坏了电子商务网站交易的安全。

2.解决电子商务网站安全问题的应对措施

解决电子商务网站的安全问题需从技术和管理两个方面入手，具体的应对措施有：

2.1安全技术方面

2.1.1防火墙技术

防火墙是指一个由硬件设备或软件、或软硬件组合而成的，在内部网与外部网之间构造的保护屏障。所有的内部网和外部网之间的连接都必须经过此保护层，并由它进行检查和连接。只有被授权的通信才能通过防火墙，从而使内部网络与外部网络在一定意义下隔离，防止非法入侵、非法使用系统资源、执行安全管制措施。

2.1.2防病毒技术

计算机病毒是具有自我复制和传播能力的可以引起计算机和网络故障的程序。而计算机病毒的防范是建立网站安全的重要一环。常用的防病毒技术有： （1）反病毒扫描特征（2）完整性检查 （3）行为封锁

2.1.3漏洞扫描技术

最典型的网络漏洞扫描器，它是一个漏洞和风险评估工具，用于发现、发掘和报告安全隐患和可能被黑客利用的网络安全漏洞。网络漏洞扫描器分为内部扫描和外部扫描两种工作方式： （1）外部扫描：通过远程检测目标主机TCP/IP 不同端口的服务，记录目标给予的回答。通过这种方法，可以搜集到很多目标主机的各种信息，例如：是否能用匿名登录、是否有可写的FTP 目录、是否能用TELNET等。然后与漏洞扫描系统提供的漏洞库进行匹配，满足匹配条件则视为漏洞。也可通过模拟黑客的进攻手法，对目标主机系统进行攻击性的安全漏洞扫描。如果模拟攻击成功，则可视为漏洞存在。（2）内部扫描：漏洞扫描器以root身份登录目标主机，记录系统配置的各项主要参数，将之与安全配置标准库进行比较和匹配，凡不满足者即视为漏洞。

2.1.4入侵检测技术

防火墙只是一种隔离控制技术，一旦入侵者进入了系统，他们便不受任何阻挡。它不能主动检测和分析网络内外的危险行为，捕捉侵入罪证。而入侵检测技术是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全技术。它是网站的第二道安全门。为了保护电子商务网站的安全，以防火墙为主的静态防护已经不能满足现在网站的需求，在防火墙之上加入入侵检测系统，可以增强网站安全。

2.1.5安全认证技术

安全认证技术，可以确认交易方不是冒名，确认得到的信息是来自声称方，保证信息的完整和真实性未被人篡改。它对重要的信息采用密码技术进行加密，使它成為一种不可理解的密文。接收方收到密文后再对它进行解密，将密文还原成原来可理解的形式。目前，普遍采用的技术有：SSL安全协议、数字摘要、数字时间戳、数字证书等。

2.1.6数据备份与恢复技术

任何的安全防御技术都不是百分百的安全，对于重要的数据要做到及时备份，这样才能在发生系统硬件故障、软件错误、人为失误、计算机病毒或自然灾害等破坏数据完整时起到数据的保护和恢复作用，将损失降到最低。

2.2管理措施方面

网站安全问题不仅是技术性问题，还是管理方面的问题。电子商务网站的安全无论采用多么高级的安全技术，网站安全问题仍时常会发生，因此还需加强电子商务网站安全管理。它包括网站员工的管理、设备管理、应急措施以及网站的日常维护和管理。保证员工不泄露密码或是将网站的机密随意发布，不访问非法网站，不轻易下载和安装程序，对员工进行业务培训，提高操作水平;对于网站的设备能做到防火、防盗、防磁、防水以及故障排除，并能实时的进行数据备份与恢复，保证电子商务网站的继续运行或紧急恢复。

参考文献：

[1]唐四薪.《电子商务安全》.清华大学出版社

[2]张波 朱艳娜.《电子商务安全》.机械工业出版社