防火墻技術(shù)、入侵檢測系統(tǒng)����、網(wǎng)絡(luò)漏洞掃描器����、防病毒系統(tǒng)和安全認(rèn)證系統(tǒng)�,以及它們之間的相互配合��。關(guān)鍵詞:網(wǎng)站���;安全����;電子商務(wù)前言由于電子商務(wù)網(wǎng)站是在Internet這個完全開放的網(wǎng)絡(luò)中運(yùn)行�����,大量的支付信息����、訂貨信息、談判信息�����、商業(yè)機(jī)密文件等在計算機(jī)系統(tǒng)中存放、傳輸和處理�,而網(wǎng)絡(luò)黑客、入侵者�����、計算機(jī)病毒在網(wǎng)上隨處可見��,它們竊取���、篡改和破壞商務(wù)信息�。
為了確保電子商務(wù)活動的健康發(fā)展和正常進(jìn)行����,除了應(yīng)加大對黑客和計算機(jī)犯罪的打擊力度外,加強(qiáng)電子商務(wù)網(wǎng)站自身的安全防護(hù)也是非常重要的����。因此,當(dāng)一個企業(yè)架設(shè)電子商務(wù)網(wǎng)站時���,應(yīng)選擇有效的安全措施���。
1電子商務(wù)網(wǎng)站安全的要求影響
電子商務(wù)網(wǎng)站安全的因素是多方面的����。從網(wǎng)站內(nèi)部看����,網(wǎng)站計算機(jī)硬件、通信設(shè)備的可靠性�、操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議�、數(shù)據(jù)庫系統(tǒng)等自身的安全漏洞����,都會影響到網(wǎng)站的安全運(yùn)行。從網(wǎng)站外部看����,網(wǎng)絡(luò)黑客、入侵者���、計算機(jī)病毒也是危害電子商務(wù)網(wǎng)站安全的重要因素����。電子商務(wù)網(wǎng)站的安全包括三個方面的要求:
1.1網(wǎng)站硬件的安全要求網(wǎng)站的計算機(jī)硬件���、附屬通信設(shè)備及網(wǎng)站傳輸線路穩(wěn)定可靠�,只有經(jīng)過授權(quán)的用戶才能使用和訪問。
1.2網(wǎng)站軟件的安全網(wǎng)站的軟件不被非法篡改���,不受計算機(jī)病毒的侵害����;網(wǎng)站的數(shù)據(jù)信息不被非法復(fù)制����、破壞和丟失。
1.3網(wǎng)站傳輸信息的安全指信息在傳輸過程中不被他人竊取�����、篡改或偷看���;能確定客戶的真實(shí)身份�。本文主要論述當(dāng)電子商務(wù)網(wǎng)站面對來自網(wǎng)站外部的安全威脅時����,應(yīng)采取哪些有效的安全措施保護(hù)網(wǎng)站的安全。
2電子商務(wù)網(wǎng)站的安全措施
2.1防火墻技術(shù)防火墻是指一個由硬件設(shè)備或軟件、或軟硬件組合而成的�,在內(nèi)部網(wǎng)與外部網(wǎng)之間構(gòu)造的保護(hù)屏障。所有的內(nèi)部網(wǎng)和外部網(wǎng)之間的連接都必須經(jīng)過此保護(hù)層����,并由它進(jìn)行檢查和連接。只有被授權(quán)的通信才能通過防火墻��,從而使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定意義下隔離�,防止非法入侵、非法使用系統(tǒng)資源�����、執(zhí)行安全管制措施����。防火墻基本分為兩類:包過濾和基于代理的防火墻���。包過濾防火墻對數(shù)據(jù)包進(jìn)行分析��、選擇���,依據(jù)系統(tǒng)內(nèi)事先設(shè)定的過濾邏輯來確定是否允許該數(shù)據(jù)包通過。
代理防火墻能夠?qū)⒕W(wǎng)絡(luò)通信鏈路分為兩段,使內(nèi)部網(wǎng)與Internet不直接通信���,而是使用代理服務(wù)器作為數(shù)據(jù)轉(zhuǎn)發(fā)的中轉(zhuǎn)站����,只有那些被認(rèn)為可信賴的數(shù)據(jù)才允許通過���。這兩種防火墻各有其優(yōu)缺點(diǎn):包過濾器只能結(jié)合源地址����、目標(biāo)地址和端口號才能起作用����,如果攻擊者攻破了包過濾防火墻,整個網(wǎng)絡(luò)就公開了���。代理防火墻比包過濾器慢��,當(dāng)網(wǎng)站訪問量較大時會影響上網(wǎng)速度��;代理防火墻在設(shè)立和維護(hù)規(guī)則集時比較復(fù)雜�����,有時會導(dǎo)致錯誤配置和安全漏洞�����。
由于這兩種防火墻各有優(yōu)缺點(diǎn)��,因而在實(shí)際應(yīng)用中常將這兩種防火墻組合使用�����。目前市場上最新的防火墻產(chǎn)品集成了代理和包過濾技術(shù)��,提供了管理數(shù)據(jù)段和實(shí)現(xiàn)高吞吐速度的解決方案�����。這些混合型的設(shè)備在安全要求比吞吐速度有更高要求時����,能實(shí)行代理驗(yàn)證服務(wù)���,在需要高速度時�,它們能靈活地采用包過濾規(guī)則作為保護(hù)方法��。
2.2入侵檢測系統(tǒng)防火墻是一種隔離控制技術(shù),一旦入侵者進(jìn)入了系統(tǒng)���,他們便不受任何阻擋��。它不能主動檢測和分析網(wǎng)絡(luò)內(nèi)外的危險行為�����,捕捉侵入罪證��。而入侵檢測系統(tǒng)能夠監(jiān)視和跟蹤系統(tǒng)����、事件���、安全記錄和系統(tǒng)日志���,以及網(wǎng)絡(luò)中的數(shù)據(jù)包,識別出任何不希望有的活動�,在入侵者對系統(tǒng)發(fā)危害前,檢測到入侵攻擊�,并利用報警與防護(hù)系統(tǒng)進(jìn)行報警、阻斷等響應(yīng)��。
入侵檢測系統(tǒng)所采用的技術(shù)有:
(1)特征檢測:這一檢測假設(shè)入侵者活動可以用一種模式來表示,系統(tǒng)的目標(biāo)是檢測主體活動是否符合這些模式����。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力��。其難點(diǎn)在于如何設(shè)計模式既能夠表達(dá)“入侵”現(xiàn)象又網(wǎng)絡(luò)時空不會將正常的活動包含進(jìn)來�。
(2)異常檢測:假設(shè)入侵者活動異于正常主體的活動。根據(jù)這一理念建立主體正?�;顒拥?ldquo;活動簡檔”�,將當(dāng)前主體的活動狀況與“活動簡檔”相比較,當(dāng)違反其統(tǒng)計規(guī)律時�����,認(rèn)為該活動可能是“入侵”行為�����。異常檢測的難題在于如何建立“活動簡檔”以及如何設(shè)計統(tǒng)計算法�,從而不把正常的操作作為“入侵”或忽略真正的“入侵”行為。
2.3網(wǎng)絡(luò)漏洞掃描器沒有絕對安全的網(wǎng)站���,任何安全漏洞都可能導(dǎo)致風(fēng)險產(chǎn)生��。網(wǎng)絡(luò)漏洞掃描器是一個漏洞和風(fēng)險評估工具�,用于發(fā)現(xiàn)�����、發(fā)掘和報告安全隱患和可能被黑客利用的網(wǎng)絡(luò)安全漏洞���。網(wǎng)絡(luò)漏洞掃描器分為內(nèi)部掃描和外部掃描兩種工作方式:
(1)外部掃描:通過遠(yuǎn)程檢測目標(biāo)主機(jī)TCP/IP不同端口的服務(wù)��,記錄目標(biāo)給予的回答����。通過這種方法���,可以搜集到很多目標(biāo)主機(jī)的各種信息���,例如:是否能用匿名登錄、是否有可寫的FTP目錄�、是否能用TELNET等。然后與漏洞掃描系統(tǒng)提供的漏洞庫進(jìn)行匹配�����,滿足匹配條件則視為漏洞。也可通過模擬黑客的進(jìn)攻手法���,對目標(biāo)主機(jī)系統(tǒng)進(jìn)行攻擊性的安全漏洞掃描�。如果模擬攻擊成功���,則可視為漏洞存在�。
