程龍泉

[摘 要]網(wǎng)絡(luò)技術(shù)的發(fā)展要求企業(yè)必須建立企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全體系，解決企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)信息安全問題。文章介紹了網(wǎng)絡(luò)安全的目標(biāo)、當(dāng)前網(wǎng)絡(luò)安全主要面臨的威脅。構(gòu)建了由十個子系統(tǒng)組成的網(wǎng)絡(luò)安全體系，分析了網(wǎng)絡(luò)安全體系實(shí)施主要采用的網(wǎng)絡(luò)安全防范技術(shù)。

[關(guān)鍵詞]企業(yè)電子商務(wù)；網(wǎng)絡(luò)安全體系；防火墻

[DOI]10.13939/j.cnki.zgsc.2015.41.073

1 概 述

隨著IT技術(shù)的飛速發(fā)展，企業(yè)對網(wǎng)絡(luò)越來越依賴，企業(yè)的運(yùn)營方式、組織形式、商品交易的支付手段等正快速走向數(shù)字化。當(dāng)企業(yè)的商業(yè)化應(yīng)用與互聯(lián)網(wǎng)結(jié)合就形成了如今的電子商務(wù)形式。由于企業(yè)進(jìn)行商品交易的活動是在互聯(lián)網(wǎng)上運(yùn)行的，其業(yè)務(wù)的平臺或基礎(chǔ)是建立在互聯(lián)網(wǎng)上的網(wǎng)站，商業(yè)活動產(chǎn)生的數(shù)據(jù)需要通過互聯(lián)網(wǎng)進(jìn)行傳輸，企業(yè)電子商務(wù)網(wǎng)站為客戶提供的商務(wù)服務(wù)、企業(yè)形象展示、品牌推介、產(chǎn)品交易、數(shù)據(jù)庫內(nèi)容及客戶賬號信息等數(shù)據(jù)均需要在相應(yīng)網(wǎng)站上進(jìn)行存儲，網(wǎng)站運(yùn)行在完全開放的網(wǎng)絡(luò)上必然會出現(xiàn)安全問題，如病毒入侵、黑客攻擊等，因此網(wǎng)絡(luò)安全問題也成了企業(yè)商務(wù)活動十分關(guān)注的問題。

2 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

2.1 黑客攻擊

目前黑客對企業(yè)電子商務(wù)網(wǎng)站的攻擊方式主要有拒絕服務(wù)攻擊、網(wǎng)站后門攻擊、惡意腳本攻擊、跨站腳本攻擊、網(wǎng)頁篡改、信息炸彈、密碼破解等。這些攻擊的主要目的是獲取網(wǎng)站服務(wù)器的控制權(quán)，竊取系統(tǒng)中的數(shù)據(jù)和密碼，竊取用戶資金，破壞企業(yè)電子商務(wù)網(wǎng)站系統(tǒng)。

2.2 病毒入侵

目前全球已知病毒已近2億種，新病毒或病毒變體每天都在發(fā)現(xiàn)，病毒造成的危害越來越大，病毒入侵造成的破壞已成為企業(yè)電子商務(wù)活動的重大威脅，目前主要的病毒危害有“木馬病毒”、“網(wǎng)頁病毒”、“蠕蟲病毒”等。

2.3 系統(tǒng)或軟件漏洞

當(dāng)系統(tǒng)或軟件存在邏輯設(shè)計(jì)上的錯誤或設(shè)計(jì)者對安全的忽略時(shí)，系統(tǒng)或軟件就會存在安全漏洞。在企業(yè)電子商務(wù)網(wǎng)站上系統(tǒng)或軟件漏洞因各種原因是可能存在的，這對企業(yè)電子商務(wù)活動將造成非常大的危害，可能被不法分子惡意攻擊，他們可能輕易進(jìn)入網(wǎng)站服務(wù)器系統(tǒng)，隨意修改和竊取用戶信息。

2.4 缺乏IT管理

企業(yè)對其電子商務(wù)網(wǎng)站或系統(tǒng)缺乏嚴(yán)格的管理，導(dǎo)致遭受攻擊和破壞。

3 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全需求

3.1 網(wǎng)絡(luò)互聯(lián)和通信安全需求

提供靈活且高效的網(wǎng)絡(luò)通訊及信息服務(wù)的同時(shí)，抵御和發(fā)現(xiàn)網(wǎng)絡(luò)攻擊，并且提供跟蹤攻擊的手段。

3.2 服務(wù)器系統(tǒng)安全需求

對網(wǎng)絡(luò)和主機(jī)設(shè)備實(shí)行主動的漏洞檢測和安全評估，及時(shí)發(fā)現(xiàn)操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)中存在的安全漏洞；對關(guān)鍵的服務(wù)器操作系統(tǒng)進(jìn)行安全加固，通過嚴(yán)格的用戶認(rèn)證、訪問控制和審計(jì)，防止黑客利用系統(tǒng)安全管理功能的不足進(jìn)行非法訪問，同時(shí)避免內(nèi)部用戶的濫用。

3.3 應(yīng)用系統(tǒng)安全需求

建立好CA認(rèn)證系統(tǒng)，加強(qiáng)對關(guān)鍵應(yīng)用系統(tǒng)的用戶認(rèn)證和管理；建立企業(yè)級網(wǎng)絡(luò)防病毒措施，對病毒傳播的所有可能的入口進(jìn)行嚴(yán)格控制，尤其防范病毒通過互聯(lián)網(wǎng)連接侵入內(nèi)部網(wǎng)絡(luò)。

3.4 業(yè)務(wù)系統(tǒng)的安全需求

訪問控調(diào)、數(shù)據(jù)安全、入侵檢測、來自網(wǎng)絡(luò)內(nèi)部其他系統(tǒng)的破壞。

3.5 安全管理需求

校園網(wǎng)絡(luò)需要建立完善的安全管理制度，加強(qiáng)對工作人員的安全知識和安全操作培訓(xùn)。

4 企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全體系總體結(jié)構(gòu)設(shè)計(jì)

4.1 VPN網(wǎng)絡(luò)子系統(tǒng)

VPN網(wǎng)絡(luò)是在電信公司提供的城域網(wǎng)上實(shí)現(xiàn)的。企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)采用獨(dú)立的VLAN。為了保障各用戶點(diǎn)不同的業(yè)務(wù)，可采用VLAN、MAC地址綁定、ACL訪問控制列表來實(shí)現(xiàn)安全控制。采用IPSEC組建VPN虛擬專用網(wǎng)，IPSecVPN技術(shù)建立從網(wǎng)點(diǎn)路由器到中心路由器的VPN隧道，該VPN隧道里主要傳輸?shù)氖瞧髽I(yè)電子商務(wù)網(wǎng)站中心主業(yè)務(wù)系統(tǒng)的數(shù)據(jù)。VPN網(wǎng)絡(luò)子系統(tǒng)實(shí)現(xiàn)各用戶點(diǎn)到中心多業(yè)務(wù)數(shù)據(jù)的安全可靠傳輸。

4.2 安全檢測子系統(tǒng)

在網(wǎng)絡(luò)的WWW服務(wù)器、Email服務(wù)器等各種服務(wù)器中使用網(wǎng)絡(luò)安全檢測子系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)視網(wǎng)絡(luò)，截獲互聯(lián)網(wǎng)上傳輸?shù)膬?nèi)容，并將其還原成完整的WWW、Email、FTP、Telnet應(yīng)用的內(nèi)容，建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時(shí)發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容，及時(shí)向上級安全網(wǎng)絡(luò)中心報(bào)告，采取措施。利用專門的日志分析工具對保存在數(shù)據(jù)庫中的訪問日志進(jìn)行統(tǒng)計(jì)并繪制統(tǒng)計(jì)圖，可以對訪問地址和流量進(jìn)行分析，對于明顯的攻擊便可一目了然。

4.3 防火墻子系統(tǒng)

防火墻是一種網(wǎng)絡(luò)隔離控制技術(shù)，在企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)上安裝防火墻可將內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，同時(shí)對傳輸信息進(jìn)行過濾。防火墻可按照網(wǎng)絡(luò)管理者設(shè)定的過濾規(guī)則允許或限制內(nèi)外網(wǎng)之間、計(jì)算機(jī)與網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸，只有經(jīng)授權(quán)的通信才能通過防火墻。

防火墻是企業(yè)電子商務(wù)網(wǎng)站整個安全系統(tǒng)的基礎(chǔ)和基本防護(hù)措施，通過防火墻的部署，解決全網(wǎng)的安全基礎(chǔ)問題。核心防火墻采用雙機(jī)設(shè)備方式工作。

4.4 入侵檢測子系統(tǒng)

入侵監(jiān)測子系統(tǒng)解決各個安全區(qū)域的“安全守衛(wèi)”工作。在企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)中采用入侵檢測技術(shù)，最好采用混合入侵檢測，從基于網(wǎng)絡(luò)的入侵檢測和基于主機(jī)的入侵檢測兩方面著手。

4.5 網(wǎng)絡(luò)防毒子系統(tǒng)

采用多層次的立體防護(hù)體系，對客戶端計(jì)算機(jī)、服務(wù)器、網(wǎng)關(guān)等均安裝相對應(yīng)的防病毒系統(tǒng)。在網(wǎng)站中心部署一臺防病毒服務(wù)器，設(shè)置集中控制系統(tǒng)。實(shí)現(xiàn)全網(wǎng)各個不同安全區(qū)域防病毒，做到統(tǒng)一升級，集中監(jiān)控查殺病毒以及客戶端PC機(jī)器的安全控制。采用“集中管控、層層防護(hù)、防殺結(jié)合”的策略。

4.6 漏洞掃描子系統(tǒng)

解決網(wǎng)絡(luò)安全問題，首先要清楚網(wǎng)絡(luò)中存在什么安全隱患。漏洞掃描技術(shù)可自動掃描遠(yuǎn)端或本地主機(jī)的安全薄弱點(diǎn)，并將掃描得到的信息以統(tǒng)計(jì)方式輸出，為網(wǎng)絡(luò)管理員提供分析和參考。漏洞掃描還可以確認(rèn)各種配置的正確性，避免網(wǎng)站遭受不必要的攻擊。

4.7 WSUS子系統(tǒng)

在內(nèi)網(wǎng)配置一臺WSUS服務(wù)器，用來做內(nèi)網(wǎng)的升級服務(wù)器和控制臺。在獨(dú)立的外網(wǎng)的WSUS服務(wù)器升級后，導(dǎo)出升級數(shù)據(jù)，將數(shù)據(jù)文件通過存儲介質(zhì)導(dǎo)入內(nèi)網(wǎng)的WSUS服務(wù)器上完成服務(wù)器的升級。

4.8 監(jiān)聽維護(hù)子系統(tǒng)

對網(wǎng)絡(luò)內(nèi)部的侵襲，可采用為網(wǎng)絡(luò)內(nèi)部的各個子網(wǎng)做一個具有一定功能的審計(jì)文件，為管理人員分析內(nèi)部網(wǎng)絡(luò)的運(yùn)作狀態(tài)提供依據(jù)。

4.9 管理制度子系統(tǒng)

為保證各項(xiàng)安全措施的實(shí)施并真正發(fā)揮作用，針對每個安全層次，分別制訂相應(yīng)的可實(shí)施的規(guī)章制度。

4.10 備份恢復(fù)子系統(tǒng)

建立網(wǎng)絡(luò)系統(tǒng)良好的備份和恢復(fù)機(jī)制，可在設(shè)備出現(xiàn)故障或是網(wǎng)絡(luò)遭受攻擊時(shí)，能盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。數(shù)據(jù)容災(zāi)系統(tǒng)使用兩個存儲器，一個放置在本地，另一個放置在異地，在兩個存儲器之間建立復(fù)制關(guān)系。異地存儲器實(shí)時(shí)復(fù)制本地存儲器的關(guān)鍵數(shù)據(jù)。

4.11 數(shù)據(jù)加密技術(shù)

對內(nèi)外網(wǎng)之間交互的信息采用加密技術(shù)。

5 結(jié) 論

通過整體構(gòu)建、分層設(shè)計(jì)的方法，實(shí)現(xiàn)了企業(yè)電子商務(wù)網(wǎng)站網(wǎng)絡(luò)安全體系的設(shè)計(jì)。通過種種安全技術(shù)手段，為網(wǎng)絡(luò)提供了一個完整的網(wǎng)絡(luò)安全防御體系的解決方案；與此同時(shí)，還應(yīng)加強(qiáng)網(wǎng)絡(luò)的管理，建立有效、健全的管理體系，最終達(dá)到保護(hù)網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

參考文獻(xiàn)：

[1]Carlton R.Davis IPSee VPN的安全實(shí)施[M].北京：清華大學(xué)出版社.

[2]周明全，呂林濤，李軍懷.網(wǎng)絡(luò)信息安全技術(shù)[M]西安：西安電子科技大學(xué)出版社.