电子商务网站的安全防范策略
2014-07-23赵明宇
赵明宇
(黑龙江省科学院 自动化研究所,黑龙江 哈尔滨150090)
随着互联网的普及日渐迅速,电子交易开始融入人们的日常生活中,网上订货、网上缴费等众多电子交易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。由于互联网是一个完全开放的网络,任何一台计算机都可以和之相连,因此,网络风险构成了对电子商务的严重威胁。这就对相应的安全控制提出了更高的要求。
1 电子商务网站
电子商务是基于因特网的发展,通过使用数字化的电子技术手段而进行商品的交易的一种商业活动。要实现电子商务,首先就要建立电子商务网站。目前,电子商务的网站需要有买方和卖方的在线交流、在线下单以及网银支付等商务活动并通过因特网来进行这些活动数据的传输。它可以为客户提供产品介绍、商品交易、商品形象展示等多种页面信息,这些信息的传播无可避免的要运用到涵盖范围最广的互联网,但是因为互联网是一个公开度高且存在安全漏洞的网络,通过其传输的数据和资料很有可能遭到内外部的攻击和篡改,因此,如何保障电子商务过程中网站传输数据和信息的安全性和保密性,如何保证交易数据和信息的可用性和完整性以及交易的不可否认性是电子商务行业需要长期进行的挑战。
2 安全风险
日益严重的信息安全问题,不仅使电子商务网站蒙受了巨大经济损失,而且使国家的安全与主权面临严重威胁。要避免类似信息安全问题,必须定位可能引起安全事件的原因和潜在风险,主要有以下几个方面原因:
2.1 黑客攻击
由于缺乏针对网络犯罪卓有成效的反击和跟踪手段,因此黑客的攻击不仅破坏力强,且隐蔽性好。据统计,目前全球约有20多万个黑客网站,其攻击方法达几千种之多。这些网站可以任意获得黑客攻击方法和免费工具,使得成为黑客变得非常简单。
2.2 病毒威胁
当前全球已知病毒约为2亿种,并且每天新增病毒约为1O多万种。并且其中2/3是木马程序-即能够盗取计算机账号信息、隐私数据、网银账号和网游账号等虚拟资产,成为全球恶意软件中最主要的安全威胁。
2.3 缺乏IT管理
网站或系统的严格管理是企业免受攻击和破坏的重要措施。事实上,很多企业网站或系统都疏于这方面的管理。有的电子商务网站总是在受到攻击后才会想到加强网站安全,有些是盲目崇拜各类安全产品,以为只要安装了防火墙、IDS系统等安全产品,就能完全保障其网站的安全。这些都是安全管理方面的漏洞和不足。
2.4 软件的漏洞
软件都是开发人员设计编写的,开发人员设计在代码编写中不可避免存在漏洞,并且开发人员对安全性了解欠缺,导致开发出来的程序只考虑到功能实现,而忽略了软件自身的安全性。
2.5 政治军事因素
当前全球普遍存在的军事冲突,政治分歧都表现在国家之间的信息战和对他国监控和破坏方面,个别国家或组织有意识发起网络信息站,引发国际间的网络安全事件。
3 电子商务网站的安全防范策略
3.1 数字签0415财产保险公司成本管理名
在书面的文件上签名是传统商务活动中对文件进行确认的主要手段,在电子商务网站中采用数字签名的技术,可以保证信息在传输过程中的完整性和完整性,同时,因为签名是对发送者进行身份认证的方式,发送的信息在发送者发送后都没有进行过修改,所以利用数字签名可以方便购买者的在线支付,解决电子商务网站中存在的如身份验证和确定交易者身份等问题。
3.2 防火墙的设置
防火墙是可以对网络进行隔离控制的一种技术,它可以通过控制内外部网络之间的信息交流和访问尺度,防止黑客对重要的信息进行更改和损坏。防火可能是专门的硬件也可能是专门的软件,管理者通过设定防火墙的过滤原则,对内外部网络或者是电脑和网络之间进行的数据传递进行允许或限制,只有被授权的数据传递才能顺利地通过防火墙,保证了内外部网络的安全。
3.3 对恶意软件进行防护
目前,恶意软件在全球范围以每天增加超过1O万种的速度增长,他们中的三分之二都是木马程序,一旦木马程序植入到电子商务网站,该网站的信息和数据就有可能丢失,因此,针对类似恶意软件的攻击,应该要在主机和网络的边界对电子商务网站的安全防范进行加固,减少恶意软件的攻击次数和程度。
3.4 加密技术的应用
同秘要进行加密的技术一样,对数据进行加密的密码体制由对称加密与非对称加密两部分组成。在电子商务过程中,远程通信和网内通信所传输的信息和数据都应该被严密保护,根据管理的级别,其对应的信息和数据也应该进行相信的部分加密或全程加密。
3.5 系统容灾备份技术
在电子商务活动中,如何保证数据的安全是最为重要的,因此,除了上述所说的防范措施外,在发生如天灾人祸等意外事故时,网站必须要能容灾和恢复系统。容灾包括数据和应用两方面的容灾,数据容灾方面,可以通过使用两个异地的存储器,通过建立两者问的复制关系,将备份的重要数据和资料存储在不同的地方;应用容灾方面则是指在异地建立一套备份的应用系统,该系统应该和本地的系统相同,两套系统的交互则通过运用网络心跳包来实现,通过设置,在当地系统遭到灾难时,可以由备用系统直接并迅速地接受该系统的应用,其业务运行也由备用系统全权承担。
3.6 提高从业人员的技术水平和整体素质,提升企业的管理水平
首先,加强宣传,使得各个电子商务企业重视对现有从业人员的培训,提高现有人员的技术水平,提高其安全意识及其应对安全问题的能力。其次,要加强电子商务人才的培养。充分利用各种途径和手段培养具有专业素养的网络、计算机及管理等方面的专业人才,以及复合型人才。最后,要提高企业电子商务管理水平。安全问题不仅有技术的原因,相关管理制度不健全也是一个重要方面,企业要建立适应电子商务发展的管理体系,进行制度化建设,提升整体管理水平。
4 总结
电子商务是以互联网为活动平台的电子交易,它是继电子贸易(EDT)之后的新一代电子数据交换形式。计算机网络的发展和普及,直接带动电子商务的发展。因此计算机网络安全的要求更高,涉及面更广,不但要求防治病毒,还要提高系统反抗外来非法黑客人侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取,以保证系统本身安全性,如服务器自身稳定性,增强自身反抗能力,杜绝一切可能让黑客入侵的渠道。
[1]刘琳.电子商务网站评价的指标体系与模型研究[J].黑龙江科技信息,2011(4).
[2]张小栓,高明,张健,赵明,傅泽田.电子商务网站评价方法研究综述[J].情报杂志,2012(6).
[3]张东生.计算机网络安全技术与防范策略探析[J].电脑编程技巧与维护,201 1(2):103-105.
[4]王凤领.计算机网络安全技术与防范策略探析[J].计算机安全,2010(3):93-95.