電子商務網站安全分析與防范對策

西南交通大學峨眉校區計算機與通信工程系 廖革元 鄔芝權

電子商務是指在因特網上通過數字化電子手段進行商品交易的商業活動。電子商務網站是實現電子商務業務的基礎，它運行在因特網這個完全開放的網絡中，而在開放的網絡上構建電子商務網站，必然受到來自網絡的木馬、病毒和黑客的侵襲。因此，除了加大對黑客和計算機犯罪的打擊力度外，用技術手段加強對電子商務網站的安全防護是非常必要的。

1 電子商務網站面臨的主要安全威脅

電子商務網站的安全防范體系包括物理安全、網絡安全和數據安全等幾個部分。由于網絡是承載各種應用系統的載體，也是網絡入侵者攻擊信息系統的渠道和通路，因此網絡安全是電子商務網站安全的最重要環節，其面臨的主要威脅包括軟件缺陷、系統漏洞、病毒入侵和黑客攻擊等。

1.1 軟件缺陷

軟件缺陷是指計算機軟件中存在的某種破壞程序正常運行的問題、錯誤，或者隱藏的功能缺陷，缺陷的存在將會導致軟件產品在某種程度上不能滿足用戶的需要。比如可能是某種潛在的算法錯誤，一般情況下系統不會表現出任何異常，但一旦出現問題可能給用戶帶來巨大損失。如淘寶網第三方軟件“團購寶”程序在今年9月初出現異常，導致淘寶商城中大量賣家從幾十元到上千元的商品被以1元包郵的價格秒殺，如果全部按定單發貨的話將給部份商家造成上百萬元的損失。

1.2 系統漏洞

系統漏洞是指操作系統軟件或應用軟件在邏輯設計上的缺陷或在編寫程序時產生的錯誤，也有部分漏洞是軟件開發者為了某種目的而特意留下的調試結構。這些漏洞可能被不法分子或者電腦黑客所利用，通過這些漏洞可以越過對方的防護系統并在對方系統中植入木馬、病毒等。從而攻擊或控制他人電腦，進而竊取他人電腦中的重要資料和信息，甚至破壞系統。

系統漏洞廣泛存在，在不同種類的軟、硬件設備之間，同種設備的不同版本之間，以及同種系統在不同的設置條件下，都會存在各種不同的安全漏洞問題。電子商務網站如果存在安全漏洞將是非常危險的，可能讓不法分子輕易進入網站的服務器系統，隨心所欲地修改和竊取用戶信息資料。甚至在網站的網頁中植入木馬病毒，使之成為帶毒網站，當其他網絡用戶瀏覽帶毒網站時將會在不知不覺中被安裝上木馬程序，用戶使用帶木馬的電腦進行網上交易時，其交易和網絡賬戶信息就成為不法者竊取的對象，嚴重威脅用戶的賬戶安全。

1.3 病毒入侵

目前全世界已發現的計算機病毒有數萬種，并且每天都會發現新病毒或病毒變體。隨著接入互聯網的用戶越來越多，聯網的主機節點也在不斷增加，這為計算機病毒的滋生和傳播提供了有利的網絡環境，造成的危害也越來越大，病毒破壞已成為企業開展電子商務所面臨的重大威脅。目前，對電子商務網站造成威脅的病毒主要有以下幾類：

(1)蠕蟲病毒。包括尼姆達、沖擊波、熊貓燒香等。這類病毒具有兩大特點，一是利用系統漏洞進行攻擊，二是通過網絡迅速傳播。并且只要系統存在類似漏洞就會多次受到蠕蟲病毒的攻擊，只能通過安裝相應的補丁程序才能進行有效保護。

(2)木馬病毒。包括灰鴿子、冰河等。主要通過帶毒電子郵件或帶毒的免費軟件來傳播。其目的是為了非法獲取用戶賬戶、密碼等信息，并遠程控制用戶的計算機。根據CNCERT(國家計算機網絡應急技術處理協調中心)的年度報道，木馬引起的安全事件長期位居各類網絡安全威脅之首。

(3)網頁惡意代碼。又稱網頁病毒，主要是利用軟件或系統操作平臺等的安全漏洞，當用戶瀏覽帶毒網頁時通過執行嵌入在網頁中的Java Script、Applet、ActiveX編輯的惡意腳本程序修改IE瀏覽器或操作系統的設置，甚至在用戶電腦上安裝木馬病毒。

1.4 黑客攻擊

黑客專指非法入侵他人計算機系統的人。由于互聯網所采用的TPC/IP協議并非專為安全通訊而設計，所以在國際互聯網系統中存在大量安全隱患和威脅。目前，黑客對網絡的入侵方式主要有后門程序、信息炸彈、拒絕服務、網絡監聽和密碼破解等，這些攻擊手段大多都是致命的。其入侵目標主要是獲取網站服務器的控制權，從而竊取系統中的數據和密碼，偷竊用戶網上銀行或使用網上電子支付用戶的資金，甚至直接破壞網站系統，使其癱瘓。

2 電子商務網站的安全對策

上述各種電子商務網站的安全威脅，可以從以下幾方面建立一套有針對性的防范措施，抵御和防范相應的網絡威脅，保證電子商務網站安全、穩定、可靠地運行。

2.1 物理安全

電子商務網站服務器機房安全必須符合國家規定的防范等級和相關技術規范，從機房布局上要將各類設備分開，尤其是密碼系統與其它系統要有明確的隔離墻，實行分區控制、區域防護。機房要設置安全防盜報警裝置和監控系統。按照數據的重要程度，對數據進行分類備份，用于存放備份數據的房間必須具備防火、防盜、防水、防震能力。對一些關鍵設備和系統，應設置本地或異地備份系統。對于核心網絡和重要涉密設備，必須采用屏蔽布線，并加裝輻射干擾器等措施，防止因電磁輻射引起的漏密。

2.2 漏洞掃描并及時安裝系統安全補丁

網絡掃描技術是基于TCP/IP協議，自動檢測遠端或本地主機安全的技術。通過查詢TCP/IP各種服務端口，并記錄目標主機的響應，收集關于某些特定項目的有用信息。通過安全掃描程序可以在很短的時間內查出網絡系統存在的安全薄弱點，并將掃描得到的信息以統計方式輸出，為網絡管理者提供分析和參考。常見的掃描器有端口掃描器，漏洞掃描器，Web應用掃描器等。其中Web應用掃描器主要用于評估網站的安全性，關注的焦點是網站的Web應用，主要檢測Web應用數據提交、信息泄露等可能存在的問題。

漏洞掃描還可以確認各種配置的正確性，避免網站和網絡遭受不必要的攻擊。例如，防火墻軟件的配置如果不正確，那么它就根本不起作用。在網站的維護過程中，一方面可以通過各種掃描器及時發現網站存在的安全漏洞，關閉不需要或不安全的服務和端口；另一方面要及時打上各種系統安全補丁程序，提高系統的安全性，這一點對預防蠕蟲病毒尤為重要。

2.3 構建安全的防火墻

防火墻是一種網絡隔離控制技術，它是在內部局域網和外部互聯網之間起著隔離和信息過濾作用的一種網絡安全設備。防火墻可以是一臺專用的硬件設備也可以是一套軟件。它依照管理者設定的過濾規則，允許或是限制著內外網之間，或計算機與網絡之間的數據傳遞，只有那些被授權的通信才能通過防火墻。

防火墻又分為包過濾型防火墻，雙宿網關防火墻，屏蔽主機防火墻，屏蔽子網防火墻等多種類型。其中屏蔽子網防火墻系統用了兩個包過濾路由器和一個堡壘主機，采用的結構是Internet→外部過濾路由器→堡壘主機→內部過濾路由器→內部網絡。這是一種包含DMZ(非軍事區)的防火墻系統，支持網絡層和應用層的安全功能。網絡管理員將堡壘主機，信息服務器，以及其它公用服務器放在“非軍事區”網絡中，這樣可以同時防止來自外部互聯網和內部局域網兩方面的安全威脅。

2.4 部署統一的網絡防病毒系統

目前常用的防病毒技術主要有反病毒掃描、完整性檢查和行為封鎖等。針對計算機病毒在網絡中傳播速度快，影響范圍大等特點，網絡防病毒工作已不再是簡單的單臺計算機或服務器病毒的檢測及清除。必須建立多層次的、立體的病毒防護體系，實施“層層設防、集中控管、以防為主、防殺結合”的防病毒策略，構建全面統一的防病毒體系，才能有效提高系統的防病毒能力。多層次病毒防護體系是指在相關部門的每臺客戶端計算機上安裝指定的防病毒系統，在服務器上安裝指定的基于服務器的防病毒系統，在Internet網關安裝基于Internet網關的防病毒系統，并設置集中控制系統以加快對計算機病毒的快速反應能力。整個系統是對從客戶端計算機到服務器到網關以至于每臺不同業務應用服務器的全面保護，只有這樣才能保證整個網絡免受計算機病毒的侵害。

2.5 入侵檢測

入侵檢測技術是主動保護網站免受攻擊的一種網絡安全技術。防火墻相當于大樓的門衛，主要判斷訪問者的合法性，而入侵檢測系統相當于大樓中的監控系統，是對所有進入系統的用戶的操作過程進行監控。入侵檢測技術作為一種用于檢測在計算機網絡系統中是否存在違反安全策略行為的技術，對非法用戶入侵和合法用戶濫用都會給予限制以保護系統安全。合理布置入侵檢測系統，使得當有入侵發生時能及時檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊。在入侵攻擊過程中，能減少入侵攻擊所造成的損失。在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加到入檢測軟件知識庫內，以增強系統的防范能力。

2.6 系統容災備份技術

對于電子商務網站來說，數據安全是最重要的。要構建一個完整的網絡安全體系，只有防范和檢測措施是不夠的，還必須具有容災和系統恢復能力。因為任何一種網絡安全設施都不可能做到萬無一失，漏防漏檢、天災人禍、不可抗力等所導致的安全事故都會對系統數據造成毀滅性的破壞，因此必須有一套數據備份和容災機制在安全事故發生時可以盡快恢復系統的正常使用。

容災又可分成數據容災和應用容災，數據容災系統使用兩個存儲器，并在兩者之間建立復制關系，一個在本地，另一個在異地，異地容災備份存儲器實時復制本地備份存儲器的關鍵數據。應用容災則是在異地建立一套與本地系統相當的備份應用系統，兩者之間通過網絡心跳包進行交互。在主系統發生災難后，可自動將應用迅速切換到備用系統，由備用系統承擔系統的業務運行。

3 結語

電子商務網站是以互聯網為活動平臺的電子交易系統，隨著互聯網的發展與普及，直接帶動了電子商務的迅猛發展，與此同時，也為電子商務網站帶來了許多來自網絡的威脅。只有認真分析影響網站安全的各種因素，并建立一套完整的應對措施，才能防患于未然，保證網站系統本身的安全性和穩定性，為電子商務中的信息安全打好基礎，除此之外，還要采用數據加密、身份認證等技術以進一步提高電子交易的安全性。

[1]田園.網絡安全教程[M].北京:人民郵電出版社,2009.

[2]陳孟建,徐金華,鄒玉金.電子商務網絡安全與防火墻技術[M].北京:清華大學出版社,2011.

[3]李洪心,楊莉,劉繼山.電子商務網站建設[M].北京:機械工業出版社,2009.