一、问题的提出和意义
随着互联网的发展和普及,信息化的时代已经来临。互联网深刻地影响和改变着人们生活的方方面面,电子商务无疑是网络时代的新生事物之一。网上购物、网上支付等众多电子交 易方式为人们创造了便利高效的生活方式,越来越多的人开始使用电子商务网站来传递各种信息,并进行各种交易。各个企业已经敏锐地意识到电子商务的重要性,书店、商店以及各类营销型企业纷纷建立电子商务网站,将电子商务作为了主要的营销手段之一。然而事物的发展往往带有两面性,网络是一柄双刃剑,网络给人们的生活带来了前所没有的便利性,但是同时也带来了许多不安全的因素。病毒、黑客攻击等问题然人们倍感头痛。这一点在电子商务中表现得尤为明显,在电子商务中,不安全因素常常会给企业和用户带来巨大的损失。
因此,分析和研究企业电子商务网站安全策略是非常重要的。一般的讲,分析和研究企业电子商务网站安全策略具有如下意义:
第一,维护企业和用户的财产安全。具备一套完善的电子商务网站安全措施可以有效地保护企业乃至用户的财产安全。
第二,提高企业的市场竞争力。有没有一套完善的电子商务网站安全措施已经成了影响企业商誉甚至是综合竞争力的一个重要因素,具备了完善电子商务安全措施的企业才会在市场 竞争中立于不败之地。
二、企业电子商务网站安全策略分析
下面主要通过系统安全、数据安全和网络交易平台安全等几个方面来分析一下企业电子商务网站安全策略:
(一)系统安全
系统安全主要包括网络系统、操作系统和应用系统三个层次。系统安全采用的技术和手段有冗余技术、网络隔离技术、访问控制技术、身份鉴别技术、加密技术、监控审计技术、安全评估技术等。
(1)网络系统
网络系统安全是网络的开放性、无边界性、自由性造成,安全解决的关键是把被保护的网络从开放、无边界、自由的环境中独立出来,使网络成为可控制、管理的内部系统,由于网络系统是应用系统的基础,网络安全便成为首要问题。解决网络安全主要方式有:
第一,网络冗余。它是解决网络系统单点故障的重要措施。对关键性的网络线路、设备,通常采用双备份或多备份的方式。网络运行时双方对运营状态相互实时监控并自动调整,当网络的一段或一点发生故障或网络信息流量突变时能在有效时间内进行切换分配,保证网络正常的运行。
第二,系统隔离。它分为物理隔离和逻辑隔离,主要从网络安全等级考虑划分合理的网络安全边界,使不同安全级别的网络或信息媒介不能相互访问,从而达到安全目的。对业务网络或办公网络采用VLAN技术和通信协议实行逻辑隔离划分不同的应用子网。
第三,访问控制。它是指对于网络不同信任域实现双向控制或有限访问原则,使受控的子网或主机访问权限和信息流向能得到有效控制。具体相对网络对象而言需要解决网络的边界的控制和网络内部的控制,对于网络资源来说保持有限访问的原则,信息流向则可根据安全需求实现单向或双向控制。访问控制最重要的设备就是防火墙,它一般安置在不同安全域出入口处,对进出网络的信息包进行过滤并按企业安全政策进行信息流控制,同时实现网络地址转换、实时信息审计警告等功能,高级防火墙还可实现基于用户的细粒度的访问控制。
第四,身份鉴别。它是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的秘密,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC卡、动态口令卡和令牌卡等;三是主体特征或能力,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和破坏,保证信息传输安全,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个层次来实现,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源和信宿,它对网络高层主体是透明的。网络层加密采用IPSEC核心协议,具有加密、认证双重功能,是在层实现的安全标准。通过网络加密可以构造企业内部的虚拟专网(Ⅵ),使企业在较少投资下得到安全较大的回报,并保证用户的应用安全。
第五,安全监测。它是采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的扫描、预警、阻断、记录、跟踪等,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付电脑黑客最有效的技术手段,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。网络扫描是针对网络设备的安全漏洞进行检测和分析,包括网络通信服务、路由器、防火墙、邮件、WEB服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告,包括位置、详细描述和建议的改进方案, 使网管能检测和管理安全风险信息。
(2)操作系统
操作系统是管理计算机资源的核心系统,负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。第一,应用安全是指面向应用选择可靠的操作系统,这可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份。第二,系统扫描是指基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
(3)应用系统
这方面的安全措施主要包括:第一,办公系统文件(邮件)的安全存储。主要指利用加密手段,配合相应的身份鉴别和密钥保护机制(Ic卡、安全PC卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于安全存储的状态,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获得相关文件的内容。第二,文件(邮件)的安全传送。主要是指对通过网络(远程或近程)传送给他人的文件进行安全处理(加密、签名、完整性鉴别等),使得被传送的文件只有指定的收件者通过相应的安全鉴别机制(IC卡、PC卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改等,主要用于信息网中的报表传送、公文下发等。第三,业务系统的安全。主要指主要面向业务管理和信息服务的安全需求。对通用信息服务系统(电子邮件系统、WEB信息服务系统、EP服务系统等)采用基于应用开发安全软件,如安全邮件系统、WEB页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非法信息侵入和内部敏感信息泄漏。 (二)数据安全
数据安全牵涉到数据库的安全和数据本身安全,针对两者应有相应的安全措施。第一,数据库安全。大中型企业一般采用具有一定安全级别的SYBASE或ORACLE大型分布式数据库,基于数据库的重要性,应在此基础上开发一些安全措施,增加相应控件,对数据库分级管理并提供可靠的故障恢复机制,实现数据库的访问、存取、加密控制。具体实现方法有安全数据库 系统、数据库保密系统、数据库扫描系统等。第二,数据安全。这是指存储在数据库数据本身的安全,相应的保护措施有安装反病毒软件,建立可靠的数据备份与恢复系统,某些重要数据甚至可以采取加密保护。
(三)网络交易平台的安全
网上交易安全位于系统安全风险之上,在数据安全风险之下。只有提供一定的安全保证,在线交易的网民才会具有安全感,电子商务网站才会具有发展的空间。建立这方面的安全措 施要考虑这些因素:第一,交易安全标准。目前在电子商务中主企管理要的安全标准有两种:应用层(安全电子交易)和会话层SSL(安全套层)协议。前者由信用卡机构VISA及MasterCard提出的针对电子钱包/商场/认证中心的安全标准,主要用于银等金融机构;后者由APE公司提出针对数据的机密性/完整性/身份确认/开放性的安全协议,事实上已成为WWW应用 安全标准。第二,交易安全基础体系。交易安全基础是现代密码技术,依赖于加密方法和强度。加密分为单密钥的对称加密体系和双密钥的非对称加密体系。两者各有所长,对称密钥具有加密效率高,但存在密钥分发困难、管理不便的弱点;非对称密钥加密速度慢,但便于密钥分发管理。通常把两者结合使用,以达到高效安全的目的。第三,交易安全的实现。交易安全的实现主要有交易双方身份确认、交易指令及数据加密传输、数据的完整性、防止双方对交易结果的抵赖等等。具体实现的途径是交易各方具有相关 身份证明,同时在SSL协议体系下完成交易过程中电子证书验证、数字签名、指令数据的加密传输、交易结果确认审计等。第四,随着电子商务的发展,网上交易越来越频繁,调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份。而保障身份安全的最有效的技术就是PKI技术。PKI的应用在我国还处于起步阶段,目前我国大多数企业只是在应用它的CA认证技术。CA(Certification Author)是一个确保信任度的权威实体,主要职责是颁发证书、验证用户身份的真实性。
由CA签发的网络用户电子身份证明一证书,任何相信该CA的人,按照第三方信任原则,都应当相信持有证明的该用户。CA也要采取一系列相应的措施来防止电子证书被伪造或篡改。构 建一个具有较强安全性的CA是至关重要的,这不仅与密码学有关系,而且与整个PKI系统的构架和模型有关。此外,灵活也是CA能否得到市场认同的一个关键,它不需支持各种通用的 国际标准,并能很好地和其他厂家的CA产品兼容。在不久的将来,PKI技术会在电子商务和网络安全中得到更广泛的应用,从而真正保障用户和商家的身份安全。
总之,本文通过系统安全、数据安全和网络交易平台安全等几个方面较为初步地分析了一下企业电子商务网站安全策略。企业电子商务网站安全策略分析具有十分重要的意义,这方面 的研究有待于进一步深化。
|
