企业电子商务网站的安全方案

    1 概述

    目前，网上电子交易已经随着因特网的普及逐渐被人们所接受和应用，网络购物、网上缴费等方式极大的方便了人们的生活，越来越多的人开始利用网络来进行交易。电子商务网站的有效运作，依靠的是完全开放的互联网，而这个网络当中的任何电脑之间、网络之间都是互通的，安全和不安全的数据都可能在传递，各种风险随时对电子商务的安全构成威胁。电子商务正在规模化和全球化，企业的发展在很大程度上都依赖于它，所以，电子商务网站的安全问题必须得到有效的解决，才能保证它的正常运转。

    2 电子商务网站的安全策略

    电子商务依靠的是互联网，其核心和关键问题就是交易的安全性。正是由于网络本身的开放性给网上交易带来了种种危险，才要更加注重它的安全控制。电子商务网站的安全问题可以从两个方面进行探讨和分析，一是系统安全，二是数据安全，并且可以利用一些先进的技术手段加以解决。

    2.1系统安全

    信息安全对于企业来说很重要，而信息安全的前提是系统安全。系统安全主要包括网络系统、操作系统和应用系统3个方面。系统安全可以采用的技术手段有网络隔离、访问控制、身份鉴别、数据加密、监控评估等技术。

    2.1.1网络系统

    网络系统的安全问题主要是由于网络的开放性造成的，解决问题的关键是把网络从开放、自由的环境中分离出来，使其变成可以控制和管理的独立网络，就目前的技术发展来看，可以采用下列方法解决系统安全问题。

    1）系统隔离，就是将重要的网络系统与其他系统分离，有物理隔离和逻辑隔离。按照网络安全等级的不同可以将网络合理划分为多个互不连通的网络，使不同安全级别的网络或设备不能相互访问，从而达到安全隔离。也可以采用VLAN等网络技术对业务网络或办公网络实行逻辑上的隔离，划分出不同的应用子网；

    2）访问控制，通过设置有效合理的访问策略，对于不同区域的网络资源实行访问控制，防止非法用户访问受保护的资源，其主要解决的问题就是网络边界的安全控制和网络内部资源的访问控制。可以按照一定的原则根据需要对信息的流向进行单向或双向控制。能够设置访问控制的网络设备有很多，比如交换机、路由器，而最重要也是最有效的则是防火墙，它通常被布置在网络的出入口处，对进出网络的数据信息进行有效的检测和过滤，同时按照访问控制列表和安全政策对信息流进行控制，允许合理有效的数据通过，将不安全和不符合要求的数据拒之网外；

    3）身份鉴定，对访问网络的用户进行身份识别，通常可以使用三种方式对访问者进行身份验证，一是访问者了解的安全信息，比如账号、密码、密钥等；二是访问者提供的物件，比如访问磁卡、通用Ic卡、动态口令卡等；三是访问者自身的特征信息，比如声音、指纹、视网膜、笔迹等。身份鉴定的目的就是阻止非法用户访问这些被加密的数据，而加密是为了防止网络数据被窃听、泄漏、篡改和破坏；4）安全监测，利用网络设备的高级功能和技术，通过分析来访数据信息，找出未经授权的网络访问和非法行为，包括对网络系统的扫描、跟踪、预警、阻断、记录等，从而将系统遭受的攻击伤害减少到最低。除了网络设备，还可利用一些专业的网络扫描监测系统来对付黑客和非法入侵，这些系统能够主动、实时、有效的识别出非法数据和用户，并且通过网络扫描能够针对网络设备的安全漏洞进行检测和分析，包括网络服务、防火墙、路由器、邮件服务器、网站服务器等，从而识别那些可以被入侵者利用并非法进入的网络漏洞。网络扫描系统对检测到的漏洞信息形成详细报告并提供改进方案，使网络管理人员能检测和管理好安全风险。

    2.1.2操作系统

    操作系统，实际上就是电脑管理控制程序，是管理计算机软硬件资源的核心系统，负责设备的管理、数据的存储、信息的发送和各种系统资源的调度，它是各种应用软件的系统平台，具有通用性和易用性，操作系统的安全直接影响到应用系统和数据的安全，一般分为应用安全和系统扫描。

[page]    1）应用安全，面向应用选择可靠的操作系统，可以杜绝使用来历不明的软件。用户可安装操作系统保护与恢复软件，并作相应的备份；2）系统扫描，基于主机的安全评估系统是对系统的安全风险级别进行划分，并提供完整的安全漏洞检查列表，通过不同版本的操作系统进行扫描分析，对扫描漏洞自动修补形成报告，保护应用程序、数据免受盗用、破坏。

    2.1.3应用系统

    1）文件的安全存储：利用各种加密手段，结合相应的身份鉴定和密码保护机制，使存储在本地或者网络上的重要文件处于安全存储的状态，即便他人通过非法手段获取到了文件或存储设备，也难以取得文件里的内容；

    2）文件的安全传递：对通过网络发送的文件进行安全处理，比如加密、签名、完整性鉴别等，使被传送的文件只有指定的接收者通过相应的安全鉴别机制才能解密并阅读，避免了文件在传送或存储的过程当中被截获、篡改和破坏等；3）业务服务安全：主要面向业务管理和信息服务的安全需求。对于各种通用信息服务，如WEB信息服务、FrP服务、电子邮件服务等服务，采用相应安全软件系统进行保护，如安全邮件系统、WEB页面保护等；对于各种业务信息可以配合专业管理信息系统软件采取对信息内容的安全保护，防止外部非法侵入和内部信息泄漏。

    2.1.2数据安全

    信息数据的安全主要包含了数据库的安全和数据本身的安全，这两个方面的安全问题都必须得有相应的安全措施，才能确保数据安全。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!