整體構建企業電子商務網站安全體系的方法與實現

程龍泉

[摘 要]網絡技術的發展要求企業必須建立企業電子商務網站網絡安全體系，解決企業電子商務網站網絡信息安全問題。文章介紹了網絡安全的目標、當前網絡安全主要面臨的威脅。構建了由十個子系統組成的網絡安全體系，分析了網絡安全體系實施主要采用的網絡安全防范技術。

[關鍵詞]企業電子商務；網絡安全體系；防火墻

[DOI]10.13939/j.cnki.zgsc.2015.41.073

1 概 述

隨著IT技術的飛速發展，企業對網絡越來越依賴，企業的運營方式、組織形式、商品交易的支付手段等正快速走向數字化。當企業的商業化應用與互聯網結合就形成了如今的電子商務形式。由于企業進行商品交易的活動是在互聯網上運行的，其業務的平臺或基礎是建立在互聯網上的網站，商業活動產生的數據需要通過互聯網進行傳輸，企業電子商務網站為客戶提供的商務服務、企業形象展示、品牌推介、產品交易、數據庫內容及客戶賬號信息等數據均需要在相應網站上進行存儲，網站運行在完全開放的網絡上必然會出現安全問題，如病毒入侵、黑客攻擊等，因此網絡安全問題也成了企業商務活動十分關注的問題。

2 企業電子商務網站網絡安全風險

2.1 黑客攻擊

目前黑客對企業電子商務網站的攻擊方式主要有拒絕服務攻擊、網站后門攻擊、惡意腳本攻擊、跨站腳本攻擊、網頁篡改、信息炸彈、密碼破解等。這些攻擊的主要目的是獲取網站服務器的控制權，竊取系統中的數據和密碼，竊取用戶資金，破壞企業電子商務網站系統。

2.2 病毒入侵

目前全球已知病毒已近2億種，新病毒或病毒變體每天都在發現，病毒造成的危害越來越大，病毒入侵造成的破壞已成為企業電子商務活動的重大威脅，目前主要的病毒危害有“木馬病毒”、“網頁病毒”、“蠕蟲病毒”等。

2.3 系統或軟件漏洞

當系統或軟件存在邏輯設計上的錯誤或設計者對安全的忽略時，系統或軟件就會存在安全漏洞。在企業電子商務網站上系統或軟件漏洞因各種原因是可能存在的，這對企業電子商務活動將造成非常大的危害，可能被不法分子惡意攻擊，他們可能輕易進入網站服務器系統，隨意修改和竊取用戶信息。

2.4 缺乏IT管理

企業對其電子商務網站或系統缺乏嚴格的管理，導致遭受攻擊和破壞。

3 企業電子商務網站網絡安全需求

3.1 網絡互聯和通信安全需求

提供靈活且高效的網絡通訊及信息服務的同時，抵御和發現網絡攻擊，并且提供跟蹤攻擊的手段。

3.2 服務器系統安全需求

對網絡和主機設備實行主動的漏洞檢測和安全評估，及時發現操作系統和數據庫系統中存在的安全漏洞；對關鍵的服務器操作系統進行安全加固，通過嚴格的用戶認證、訪問控制和審計，防止黑客利用系統安全管理功能的不足進行非法訪問，同時避免內部用戶的濫用。

3.3 應用系統安全需求

建立好CA認證系統，加強對關鍵應用系統的用戶認證和管理；建立企業級網絡防病毒措施，對病毒傳播的所有可能的入口進行嚴格控制，尤其防范病毒通過互聯網連接侵入內部網絡。

3.4 業務系統的安全需求

訪問控調、數據安全、入侵檢測、來自網絡內部其他系統的破壞。

3.5 安全管理需求

校園網絡需要建立完善的安全管理制度，加強對工作人員的安全知識和安全操作培訓。

4 企業電子商務網站網絡安全體系總體結構設計

4.1 VPN網絡子系統

VPN網絡是在電信公司提供的城域網上實現的。企業電子商務網站網絡采用獨立的VLAN。為了保障各用戶點不同的業務，可采用VLAN、MAC地址綁定、ACL訪問控制列表來實現安全控制。采用IPSEC組建VPN虛擬專用網，IPSecVPN技術建立從網點路由器到中心路由器的VPN隧道，該VPN隧道里主要傳輸的是企業電子商務網站中心主業務系統的數據。VPN網絡子系統實現各用戶點到中心多業務數據的安全可靠傳輸。

4.2 安全檢測子系統

在網絡的WWW服務器、Email服務器等各種服務器中使用網絡安全檢測子系統，實時跟蹤、監視網絡，截獲互聯網上傳輸的內容，并將其還原成完整的WWW、Email、FTP、Telnet應用的內容，建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容，及時向上級安全網絡中心報告，采取措施。利用專門的日志分析工具對保存在數據庫中的訪問日志進行統計并繪制統計圖，可以對訪問地址和流量進行分析，對于明顯的攻擊便可一目了然。

4.3 防火墻子系統

防火墻是一種網絡隔離控制技術，在企業電子商務網站網絡上安裝防火墻可將內部網絡與外部網絡進行隔離，同時對傳輸信息進行過濾。防火墻可按照網絡管理者設定的過濾規則允許或限制內外網之間、計算機與網絡之間的數據傳輸，只有經授權的通信才能通過防火墻。

防火墻是企業電子商務網站整個安全系統的基礎和基本防護措施，通過防火墻的部署，解決全網的安全基礎問題。核心防火墻采用雙機設備方式工作。

4.4 入侵檢測子系統

入侵監測子系統解決各個安全區域的“安全守衛”工作。在企業電子商務網站網絡中采用入侵檢測技術，最好采用混合入侵檢測，從基于網絡的入侵檢測和基于主機的入侵檢測兩方面著手。

4.5 網絡防毒子系統

采用多層次的立體防護體系，對客戶端計算機、服務器、網關等均安裝相對應的防病毒系統。在網站中心部署一臺防病毒服務器，設置集中控制系統。實現全網各個不同安全區域防病毒，做到統一升級，集中監控查殺病毒以及客戶端PC機器的安全控制。采用“集中管控、層層防護、防殺結合”的策略。

4.6 漏洞掃描子系統

解決網絡安全問題，首先要清楚網絡中存在什么安全隱患。漏洞掃描技術可自動掃描遠端或本地主機的安全薄弱點，并將掃描得到的信息以統計方式輸出，為網絡管理員提供分析和參考。漏洞掃描還可以確認各種配置的正確性，避免網站遭受不必要的攻擊。

4.7 WSUS子系統

在內網配置一臺WSUS服務器，用來做內網的升級服務器和控制臺。在獨立的外網的WSUS服務器升級后，導出升級數據，將數據文件通過存儲介質導入內網的WSUS服務器上完成服務器的升級。

4.8 監聽維護子系統

對網絡內部的侵襲，可采用為網絡內部的各個子網做一個具有一定功能的審計文件，為管理人員分析內部網絡的運作狀態提供依據。

4.9 管理制度子系統

為保證各項安全措施的實施并真正發揮作用，針對每個安全層次，分別制訂相應的可實施的規章制度。

4.10 備份恢復子系統

建立網絡系統良好的備份和恢復機制，可在設備出現故障或是網絡遭受攻擊時，能盡快地恢復數據和系統服務。數據容災系統使用兩個存儲器，一個放置在本地，另一個放置在異地，在兩個存儲器之間建立復制關系。異地存儲器實時復制本地存儲器的關鍵數據。

4.11 數據加密技術

對內外網之間交互的信息采用加密技術。

5 結 論

通過整體構建、分層設計的方法，實現了企業電子商務網站網絡安全體系的設計。通過種種安全技術手段，為網絡提供了一個完整的網絡安全防御體系的解決方案；與此同時，還應加強網絡的管理，建立有效、健全的管理體系，最終達到保護網絡信息系統安全性的目的。

參考文獻：

[1]Carlton R.Davis IPSee VPN的安全實施[M].北京：清華大學出版社.

[2]周明全，呂林濤，李軍懷.網絡信息安全技術[M]西安：西安電子科技大學出版社.