电子商务正在规模化和全球化,企业的发展在很大程度上都依赖于它,所以,电子商务网站的安全问题必须得到有效的解决,才能保证它的正常运转。
电子商务依靠的是互联网,其核心和关键问题就是交易的安全性。正是由于网络本身的开放性给网上交易带来了种种危险,才要更加注重它的安全控制。电子商务网站的安全问题可以从两个方面进行探讨和分析,一是系统安全,二是数据安全,并且可以利用一些先进的技术手段加以解决。
1.系统安全
信息安全对于企业来说很重要,而信息安全的前提是系统安全。系统安全主要包括网络系统、操作系统和应用系统3个方面。系统安全可以采用的技术手段有网络隔离、访问控制、身份鉴别、数据加密、监控评估等技术。
2.网络系统
网络系统的安全问题主要是由于网络的开放性造成的,解决问题的关键是把网络从开放、自由的环境中分离出来,使其变成可以控制和管理的独立网络,就技术发展来看,可以采用下列方法解决系统安全问题。
系统隔离,就是将重要的网络系统与其他系统分离,有物理隔离和逻辑隔离。按照网络安全等级的不同可以将网络合理划分为多个互不连通的网络,使不同安全级别的网络或设备不能相互访问,从而达到安全隔离。也可以采用VLAN等网络技术对业务网络或办公网络实行逻辑上的隔离,划分出不同的应用子网;
访问控制,通过设置有效合理的访问策略,对于不同区域的网络资源实行访问控制,防止非法用户访问受保护的资源,其主要解决的问题就是网络边界的安全控制和网络内部资源的访问控制。
可以按照一定的原则根据需要对信息的流向进行单向或双向控制。能够设置访问控制的网络设备有很多,比如交换机、路由器,而最重要也是最有效的则是防火墙,它通常被布置在网络的出入口处,对进出网络的数据信息进行有效的检测和过滤,同时按照访问控制列表和安全政策对信息流进行控制,允许合理有效的数据通过,将不安全和不符合要求的数据拒之网外;
身份鉴定,对访问网络的用户进行身份识别,通常可以使用三种方式对访问者进行身份验证:
一是访问者了解的安全信息,比如账号、密码、密钥等;
二是访问者提供的物件,比如访问磁卡、通用Ic卡、动态口令卡等;
三是访问者自身的特征信息,比如声音、指纹、视网膜、笔迹等。身份鉴定的目的就是阻止非法用户访问这些被加密的数据,而加密是为了防止网络数据被窃听、泄漏、篡改和破坏;
安全监测,利用网络设备的高级功能和技术,通过分析来访数据信息,找出未经授权的网络访问和非法行为,包括对网络系统的扫描、跟踪、预警、阻断、记录等,从而将系统遭受的攻击伤害减少到最低。
除了网络设备,还可利用一些专业的网络扫描监测系统来对付黑客和非法入侵,这些系统能够主动、实时、有效的识别出非法数据和用户,并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析,包括网络服务、防火墙、路由器、邮件服务器、网站服务器等,从而识别那些可以被入侵者利用并非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告并提供改进方案,使网络管理人员能检测和管理好安全风险。
操作系统,实际上就是电脑管理控制程序,是管理计算机软硬件资源的核心系统,负责设备的管理、数据的存储、信息的发送和各种系统资源的调度,它是各种应用软件的系统平台,具有通用性和易用性,操作系统的安全直接影响到应用系统和数据的安全,
一般分为应用安全和系统扫描:
1)应用安全,面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件,并作相应的备份;
2)系统扫描,基于主机的安全评估系统是对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
