企业电子商务网站的安全策略

1 概述

目前,网上电子交易已经随着因特网的普及逐渐被人们所接受和应用,网络购物、网上缴费等方式极大的方便了人们的生活,越来越多的人开始利用网络来进行交易。电子商务网站的有效运作,依靠的是完全开放的互联网,而这个网络当中的任何电脑之间、网络之间都是互通的,安全和不安全的数据都可能在传递,各种风险随时对电子商务的安全构成威胁。电子商务正在规模化和全球化,企业的发展在很大程度上都依赖于它,所以,电子商务网站的安全问题必须得到有效的解决,才能保证它的正常运转。

2 电子商务网站的安全策略

电子商务依靠的是互联网,其核心和关键问题就是交易的安全性。正是由于网络本身的开放性给网上交易带来了种种危险,才要更加注重它的安全控制。电子商务网站的安全问题可以从两个方面进行探讨和分析,一是系统安全,二是数据安全,并且可以利用一些先进的技术手段加以解决。

2.1系统安全

信息安全对于企业来说很重要,而信息安全的前提是系统安全。系统安全主要包括网络系统、操作系统和应用系统3个方面。系统安全可以采用的技术手段有网络隔离、访问控制、身份鉴别、数据加密、监控评估等技术。

2.1.1网络系统

网络系统的安全问题主要是由于网络的开放性造成的,解决问题的关键是把网络从开放、自由的环境中分离出来,使其变成可以控制和管理的独立网络,就目前的技术发展来看,可以采用下列方法解决系统安全问题。

1)系统隔离,就是将重要的网络系统与其他系统分离,有物理隔离和逻辑隔离。按照网络安全等级的不同可以将网络合理划分为多个互不连通的网络,使不同安全级别的网络或设备不能相互访问,从而达到安全隔离。也可以采用VLAN等网络技术对业务网络或办公网络实行逻辑上的隔离,划分出不同的应用子网;

2)访问控制,通过设置有效合理的访问策略,对于不同区域的网络资源实行访问控制,防止非法用户访问受保护的资源,其主要解决的问题就是网络边界的安全控制和网络内部资源的访问控制。可以按照一定的原则根据需要对信息的流向进行单向或双向控制。能够设置访问控制的网络设备有很多,比如交换机、路由器,而最重要也是最有效的则是防火墙,它通常被布置在网络的出入口处,对进出网络的数据信息进行有效的检测和过滤,同时按照访问控制列表和安全政策对信息流进行控制,允许合理有效的数据通过,将不安全和不符合要求的数据拒之网外;

3)身份鉴定,对访问网络的用户进行身份识别,通常可以使用三种方式对访问者进行身份验证,一是访问者了解的安全信息,比如账号、密码、密钥等;二是访问者提供的物件,比如访问磁卡、通用Ic卡、动态口令卡等;三是访问者自身的特征信息,比如声音、指纹、视网膜、笔迹等。身份鉴定的目的就是阻止非法用户访问这些被加密的数据,而加密是为了防止网络数据被窃听、泄漏、篡改和破坏;4)安全监测,利用网络设备的高级功能和技术,通过分析来访数据信息,找出未经授权的网络访问和非法行为,包括对网络系统的扫描、跟踪、预警、阻断、记录等,从而将系统遭受的攻击伤害减少到最低。除了网络设备,还可利用一些专业的网络扫描监测系统来对付黑客和非法入侵,这些系统能够主动、实时、有效的识别出非法数据和用户,并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析,包括网络服务、防火墙、路由器、邮件服务器、网站服务器等,从而识别那些可以被入侵者利用并非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告并提供改进方案,使网络管理人员能检测和管理好安全风险。

2.1.2操作系统

操作系统,实际上就是电脑管理控制程序,是管理计算机软硬件资源的核心系统,负责设备的管理、数据的存储、信息的发送和各种系统资源的调度,它是各种应用软件的系统平台,具有通用性和易用性,操作系统的安全直接影响到应用系统和数据的安全,一般分为应用安全和系统扫描。

1)应用安全,面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份;2)系统扫描,基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。

2.1.3应用系统

1)文件的安全存储:利用各种加密手段,结合相应的身份鉴定和密码保护机制,使存储在本地或者网络上的重要文件处于安全存储的状态,即便他人通过非法手段获取到了文件或存储设备,也难以取得文件里的内容;

2)文件的安全传递:对通过网络发送的文件进行安全处理,比如加密、签名、完整性鉴别等,使被传送的文件只有指定的接收者通过相应的安全鉴别机制才能解密并阅读,避免了文件在传送或存储的过程当中被截获、篡改和破坏等;3)业务服务安全:主要面向业务管理和信息服务的安全需求。对于各种通用信息服务,如 WEB信息服务、FrP服务、电子邮件服务等服务,采用相应安全软件系统进行保护,如安全邮件系统、WEB页面保护等;对于各种业务信息可以配合专业管理信息系统软件采取对信息内容的安全保护,防止外部非法侵入和内部信息泄漏。

2.1.2数据安全

信息数据的安全主要包含了数据库的安全和数据本身的安全,这两个方面的安全问题都必须得有相应的安全措施,才能确保数据安全。

1)数据库安全,目前很多企业使用的数据库都是SQL Server或者ORACLE大型数据库,这些数据库系统本身具备一定的安全性,安全级别可以满足日常需求。但是由于数据库十分重要,应在此基础上再采取一些安全措施,增加相应安全组件,改良密码策略,对数据库实施分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取和加密控制。具体方法有安全数据库系统、数据库保密系统、数据库扫描系统等;

2)数据安全,即存储在数据库中的数据本身的安全,相应的保护措施有安装反病毒软件和防火墙软件,建立一套可靠的数据备份与恢复系统,定期对数据进行备份,定期修改数据库密码,必要时可以对重要数据采取多层加密保护。

2.3交易安全

网上交易安全是用户最关心的问题,只有提供稳定的安全保证,在线交易用户才会具有安全感,才会觉得交易平台可靠,电子商务网站才会具有广阔的发展空间。

1)交易安全标准,目前在电子商务中主要的安全标准有两种:

应用层的SET(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包、商场、认证中心的安全标准,SET的关键特征是信息的机密性、数据的可靠性、卡用户账号的鉴别、商人的鉴别,主要用于银行等金融机构。后者由NETSCAPE公司提出的针对数据的机密性、完整性、开放性和身份确认的安全协议,它可以保证数据不被窃取和破坏,此协议已经成为WEB应用安全标准;

2)交易安全基础体系:交易安全的基础是现代密码学技术,主要取决去于加密方法和加密强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点。非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的;

3)交易安全的实现,交易安全的实现主要是指交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的否认等等。具体实现的途径是交易各方具有相关身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。

3 结论

企业电子商务网站的安全,需要一个完整的综合保障体系,要采用综合防范的思路,从技术、管理、法律等多方面加以认识和思考。安全实际上是一种风险管理,任何技术手段都不能够保证百分之百的安全,但是安全技术可以降低系统遭到破坏和攻击的风险,在一定程度上保障数据的安全。电子商务正处于蓬勃发展时期,只有解决了电子商务中出现的各类问题,才能是电子商务系统更加安全。