马铭惠

    摘要：近年来，电子商务中的网络安全问题日益突显，逐步成为电商企业长远发展面临的重大难题。该文通过研究目前主流的网络安全技术，设计一个电商企业的网络安全体系架构，探讨了电商企业网络安全问题的解决方案。

    关键词：电商企业；网络安全；体系架构

    中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）29-0299-02

    1 背景

    近年来，随着网络的广泛运用，电子商务已经成为主流的商业贸易方式。与此同时，电商企业的网络安全隐患也日益严峻。各种网络攻击事件层出不穷：2015年5月，拥有将近3亿活跃用户的支付宝出现了大面积瘫痪，全国多省市支付宝用户遇到电脑端和移动端均无法进行转账付款、出现余额错误等问题；2017年5月，勒索病毒大规模爆发，全球范围内有近百个国家遭到攻击，很多电商企业内部的数据资料都遭破坏，这对企业都是致命的打击。

    电商企业的网络安全问题根源就在于计算机系统漏洞、网络安全协议不完整、电子商务网站的编码漏洞以及网络安全设备存在技术性不足等。因此，如何提高电商企业的网络系统安全性，降低黑客攻击、木马和病毒侵染等对电子商务造成的危害，成为当的前电商企业高度关注的问题。

    随着移动互联、云计算和大数据等技术的发展，尤其是移动和无线访问客户更多的访问方式，电子商务涉及的领域越来越多，安全实现难度也越来越复杂。因此，如何改进电商企业的网络安全防御体系、进行安全技术升级等已成为电商企业发展的重要内容之一。

    2 电商企业网络安全威胁现状

    目前，许多网络入侵者针对计算机网络结构的复杂性和规模庞大性，利用网络系统漏洞或安全缺陷进行攻击[1]。电商企业主要面临五大类安全问题：局域网网络安全、Web数据安全、Web应用安全、Web服务安全、系统安全，如下图1所示：

    1） 局域网网络安全：指攻击者假冒合法身份通过网络入侵企业内网，窃取或破坏企业内网安全，破坏电商平台的正常工作。如机密窃听、假冒身份攻击等。

    2） Web数据安全：指电商平台或企业内网敏感数据遭到泄露，如信息在传输中丢失或泄露、在存储介质中丢失或泄露。如敏感信息泄露、内容篡改、不良信息内容。

    3） Web应用安全：指攻击者通过攻击Web程序，以非法手段对Web程序进行使用，恶意添加、修改或删除Web程序，破坏电子商务平台的正常使用。代码注入攻击、XSS攻击等。

    4） Web服务安全：指攻击者对电子商务系统进行干扰，改变正常作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用或不能得到响应的服务。如针对Web服务器软件的渗透攻击。

    5） 系统安全：指攻击者通过非法方式访问内网及获取内网资源，越权访问信息。如远程和本地渗透攻击。

    3 网络安全体系架构的设计

    根据电商企业目前遇到五大网络安全及威胁，本文采用了P2DR2（Policy Protection Detection Response Recovery）模型，即“網络安全=风险分析+执行策略+系统实施+漏洞监测+实时响应+安全恢复”的安全理念[2]。通过该安全模型将静态的网络安全技术和动态安全技术相结合，建立一个多层次、全方位、立体的电商企业网络安全体系架构，简化的网络拓扑图如下图2所示。

    1） 采用多种网络安全设备维护内网的安全，包括防火墙、入侵检测、流量整形、日志检测、Web防火墙等网络安全技术。

    2） 对外提供两条Internet链路的负载均衡，对内提供防火墙的负载均衡，既保障了电子商务中大量的网络流量，也提高了受到攻击时的容灾能力。防火墙直接连接外部网络，是企业网络安全的第一道安全闸门，抵御一些三层的网络入侵。

    3） 在Web服务器前架设Web防火墙和入侵监测系统：Web防火墙能够根据一套完整的特征查找Web漏洞和攻击而实施保护，而且还可以检测恶意的文件上传。除了可以在第四层到第七层强化访问控制策略，防止攻击者在没有得到适当的授权时访问数据，Web防火墙还应当提供外发数据泄露的检查（例如，非法的文件下载）、过滤敏感信息（例如，信用卡号），与其他安全标准结合，这有助于防御应用层的DDoS攻击。Web防火墙还可以给易受攻击的Web应用程序实施虚拟补丁。入侵检测系统在不影响网络性能的情况下能对网络进行监测，在发现可疑传输时发出警报或者采取主动反应措施。两者配合作为防火墙之后的第二道安全闸门。

    4） 采用日志系统：对访问Web站点的访问进行带宽管和审计管理，结合前面的安全设备，是企业电子商务的第三道安全闸门。

    5） 定期地对Web服务器进行维护和安全升级：删除不必要的网路服务、合理分配管理权限、删除不必要的模块和应用扩展、及时进行漏洞补丁更新。

    6） 定期地对电子商务网站进行维护和安全升级：主页尽量使用静态页面代替动态页面、对用户输入的数据进行严格验证、对代码进行安全监测。操作后台数据库时，尽量采用视图、存储过程等技术。

    7） 定期地对电子商务的数据库进行维护和安全升级：改变数据库文件的存储位置、采用非常规的命名方式、加强对数据库管理。

    当然，在电子商务网络中，一个绝对安全的系统是不存在的，一个安全系统的核心通常是寻求风险和可用性之间的平衡。

    4 结束语

    电子商务安全是一个整体，不是只依靠一些安全技术或者某些安全产品的架构就能从根本上有效控制网络安全，也不能限定网络安全风险的产生和传播。网络安全不是静态的，必须建立在组织策略、组织结构、信息系统和操作流程的基础之上，根据其变化而变化。本文通过对电商企业网络面临的安全威胁进行研究，构建了一个动静结合的网络安全体系架构，希望能对电商企业网络安全的探索起到抛砖引玉的作用。

    参考文献：

    [1] Raynus J. Software process improvement with CMM[M]. Norwood： Manning Publications， 2009.

    [2] 施峰. 信息安全保密基础教程[M]. 北京： 北京理工大学出版社， 2007： 30-40.

    [3] 胡劲松. 新时期计算机电子商务的安全策略[J]. 黑龙江科技信息， 2016（32）.

    [4] 牛红. 浅析电子商务中的信息安全策略[J]. 现代工业经济和信息化， 2015（3）.

• PLC+触摸屏在起重设备中的运用
• 基于LabVIEW的三相异步电机的空载实验系统设计
• 科学施肥与作物优质高产关系
• 三维点云数据快速拼接软件的二次开发
• 作物平衡施肥与无公害农产品生产对策与建议
• 基于深度学习的三维人脸识别方法研究
• 农业机械零件鉴定、检验的方法
• 一种汽车充电系统状态及故障检测显示系统和方法
• 计算机网络安全建设方法及安全技术
• 基于有限差分法的高温作业服热传递研究
• 浅论网络侦听与常见防范措施
• 大棚温湿度控制系统的设计
• 浅谈展会立项前的信息收集工作
• 基于SMA材料驱动的软体机器人研究
• 数据挖掘技术在Ｗｅｂ中的应用问题探讨
• 浅谈节能电机新发展
• 浅谈中国广播电视数字化时代
• 浅析机电一体化技术的应用及发展趋势
• ＧＰＳ误差分析和精度控制
• 基于PLC的自动化电气控制措施分析
• 智能化技术在电气工程自动化控制中的应用
• 浅析会计的本质和职能
• 浅淡Skyline三维可视化在洪水风险图中的应用
• 浅谈药品价格对药品管理效益的影响
• 人工智能在工业自动化控制系统的应用分析
• barterers
• bartering
• barters
• barytones
• bar²
• bar³
• bar¹
• ba's
• bas
• basalt
• basaltic
• basaltiform
• basaltine
• basalts
• base
• baseball
• baseball cap
• baseball caps
• base ball-caps
• baseballer
• baseballs
• base / be based
• baseboard
• baseboards
• based
• 躁狂症
• 躁狷
• 躁猛
• 躁猾
• 躁率
• 躁疾
• 躁竞
• 躁薄
• 躁言丑句
• 躁越
• 躁足
• 躁蹙
• 躁轻
• 躁辞
• 躁进
• 躁迫
• 躁速
• 躁遽
• 躁释矜平
• 躁锐
• 躁露
• 躂
• 躃
• 躃步
• 躃足