電子商務交易的安全技術淺析

浙江財經(jīng)學院信息學院 程亞星

近年來，隨著越來越多的商家與企業(yè)加入電子商務大軍，2012年天貓、京東、蘇寧易購、騰訊都進行了不斷的收購，騰訊投資10億元到電商業(yè)務。據(jù)艾瑞咨詢發(fā)布的統(tǒng)計數(shù)據(jù)，截至2012年6月底，中國網(wǎng)民數(shù)量達到5.38億，受益于網(wǎng)購市場的高速發(fā)展全年網(wǎng)購交易規(guī)模突破13000億，電子商務產(chǎn)業(yè)已成為我國經(jīng)濟中的亮麗風景。同時，電子商務交易安全問題日益嚴重，信息安全已成為未來電子商務順利發(fā)展的重要保證，確保商務交易中的安全是當前電子商務發(fā)展面臨的巨大挑戰(zhàn)。近年來已經(jīng)逐漸發(fā)展成熟的防火墻與入侵檢測技術已頗具成效，成為解決電子商務交易網(wǎng)絡安全的重要手段。其中，防火墻技術因其靜態(tài)防御的特性而在策略完善和攻擊的識別上還存在很多不足之處，入侵檢測技術能夠很好地對惡意攻擊網(wǎng)絡行為進行有效的識別，可以對防火墻的不足進行補充。它若與防火墻技術結合使用，便可對電子商務交易安全發(fā)揮重要作用。

1 防火墻的關鍵技術

防火墻是利用了IP封包過濾技術，被放置在Internet與被保護的網(wǎng)絡兩者之間的屏障。它可以對過往的信息與數(shù)據(jù)進行不安全因素監(jiān)測與分析，對不良數(shù)據(jù)與惡意信息進行過濾，對各種病毒與木馬入侵進行攔截；防止網(wǎng)絡信息被攻擊和篡改。一般的防火墻系統(tǒng)主要包括Telnet、Email、WWW、FTP等代理服務器，以及用戶登錄、加密、審計、過濾路由、身份審核與驗證、堡壘主機等基本功能模塊組成。各個服務器與各個功能模塊分工明確，經(jīng)過有效的配合，能夠實現(xiàn)共同抵御不安全網(wǎng)絡攻擊行為的目標。

防火墻具有很多功能，主要體現(xiàn)在：（1）防火墻可以將網(wǎng)絡內部的信息屏蔽起來，避免外界干擾和攻擊。（2）防火墻可以監(jiān)測、審計和分析進入和流出網(wǎng)絡的數(shù)據(jù)信息，對惡意信息進行篩選。（3）壁壘主機功能模塊可以有效阻斷外部入侵。（4）防火墻可以阻止所有可疑的對網(wǎng)絡的訪問，攔截所有攜帶病毒攻擊的報文，并且可以預防這些病毒與木馬的傳播和擴散。但是，具有了這些功能網(wǎng)絡也并不是絕對安全的，實踐證明防火墻體系還存在許多漏洞，諸如盡管防火墻可以記錄一切網(wǎng)絡訪問的活動，但是卻也為黑客提供了入侵的端口，也有些黑客也能夠繞過防火墻而進入網(wǎng)絡，這些漏洞需要我們認真對待，及時完善防火墻技術。

1.1 包過濾技術

包過濾技術是防火墻技術中的一種，該技術的主要通過數(shù)據(jù)包過濾來實現(xiàn)的。其作用是阻塞某些主機及網(wǎng)絡對內部網(wǎng)絡的連接，這種技術主要工作在網(wǎng)絡層。它為危機四伏的網(wǎng)絡提供著過濾路由器的技術。例如，利用這種技術可以限制網(wǎng)絡訪問者去訪問非法、色情站點等?？梢酝ㄟ^選擇系統(tǒng)內部的訪問控制表Access Control List，選取恰當?shù)木W(wǎng)絡位置，并在這個位置對數(shù)據(jù)包選擇性的濾取，滿足網(wǎng)絡傳輸要求的數(shù)據(jù)包被過濾出來，并且可以通過一些網(wǎng)絡安全協(xié)議在網(wǎng)絡間進行有序的傳輸，其余不符合網(wǎng)絡傳輸要求的數(shù)據(jù)包則被過濾出來，并最終在數(shù)據(jù)流中徹底刪除，避免危害網(wǎng)絡安全。

數(shù)據(jù)包過濾技術也存在一定漏洞，例如它只能通過數(shù)據(jù)包的端口號碼、目的地址及協(xié)議類型等對數(shù)據(jù)包進行分析和判斷，是只工作在網(wǎng)絡層的過濾技術。這就決定了該技術不能對網(wǎng)絡應用層的數(shù)據(jù)進行篩選和分析，對于應用層內的不良網(wǎng)絡入侵不發(fā)揮功效。

1.2 代理(Proxy)技術

代理（Proxy）技術是完全不同于數(shù)據(jù)包過濾技術的應用網(wǎng)關技術——Application Gateway。它主要攔截一切信息流，工作在網(wǎng)絡層，不同的應用配有不同的程序實現(xiàn)防護功能。代理技術以狀態(tài)性為主要特征，目標是在網(wǎng)絡應用層實現(xiàn)不安全訪問的防范。代理技術能夠展現(xiàn)與應用和傳輸相關聯(lián)的所有信息與數(shù)據(jù)的狀態(tài)，并且能夠規(guī)范管理甚至及時處理這些傳輸應用信息。

代理是內外網(wǎng)間的網(wǎng)關，是工作在網(wǎng)絡應用層上的特殊服務，且網(wǎng)絡應用服務與應用代理具有一對一的關系。這讓通信的網(wǎng)絡服務器與客戶之間不會進行直接的聯(lián)系，而是通過代理進行轉接與中繼。代理服務器主要分為服務器代理和客戶代理兩大分支，前者負責完成與服務器間的通訊，后者負責完成與客戶的對接通訊。隨之而來的是代理服務器與服務器方面以及地理服務器和客戶方面的兩大類連接，這些連接都需要代理技術來進行維持。對服務器方面而言，代理是客戶端，負責訪問服務。對客戶方面，代理是服務器，負責目的服務器與客戶的對接。

1.3 狀態(tài)檢測技術

狀態(tài)檢測技術是采用對網(wǎng)絡通信各層的數(shù)據(jù)傳輸進行檢測的手段，是利用檢測模塊對動態(tài)數(shù)據(jù)包過濾技術的完善。狀態(tài)檢測技術可以提取一些數(shù)據(jù)的狀態(tài)信息，并能夠將這些信息進行動態(tài)保存，目的是方便以后做出安全決策。這種技術本質上講采用的還是以會話為基本原色的一種連接檢測機制，將屬于同一連接性質的數(shù)據(jù)包同一成一個數(shù)據(jù)流整體后形成連接狀態(tài)表。通過這些表的相互協(xié)作達成對表中各個連接元素的分析和甄別，為提高傳輸效率可隨意排列這些表中的記錄。用戶的訪問到達網(wǎng)關以前，檢測設備要對數(shù)據(jù)進行分析和提取，根據(jù)網(wǎng)絡協(xié)議與傳輸要素，對這些用戶數(shù)據(jù)進行分析、鑒定、識別和過濾。這樣，提高了網(wǎng)絡的安全級別。

如果有的訪問不符合安全規(guī)范，或者有的數(shù)據(jù)不符合傳輸協(xié)議，防火墻中的安全警報器就會及時提醒系統(tǒng)拒絕這些訪問，及時地記錄這些活動，以備查詢分析。狀態(tài)檢測技術還能根據(jù)更高層網(wǎng)絡安全協(xié)議對數(shù)據(jù)會話狀態(tài)與上下報文進行監(jiān)測，能夠及時并準確地對規(guī)則進行過濾性的調整以適應協(xié)議需求，保障網(wǎng)絡安全。

2 入侵檢測技術

入侵檢測技術主要是為識別并處理對惡意使用計算機和網(wǎng)絡資源的活動提供的一種檢測技術，它主要囊括了內部用戶的非法活動和外部用戶的惡意入侵。入侵檢測技術是利用主機系統(tǒng)與計算機網(wǎng)絡里對網(wǎng)絡內部的關鍵信息實施識別、分析和采集。然后將識別出來的合法用戶資源濫用以及非法用戶入侵的惡意行為進行記錄，必要時作出響應。這種技術實現(xiàn)了主動預防，比傳統(tǒng)的安全防范技術多了響應和檢測步驟。傳統(tǒng)的技術防范是對不安全行為事后報警，入侵檢測技術已經(jīng)進化到可以事前提醒，及時處理不安全活動。這種技術對于網(wǎng)絡攻擊的非法行為也提供了準確的記錄和有力的證據(jù)?？梢?，入侵檢測技術已經(jīng)逐步在發(fā)展和完善。入侵檢測系統(tǒng)主要包含了響應單元、事件分析器和產(chǎn)生器、報警器等四個主要組件。各個組件只有通力配合，各盡其責，才能達成維護網(wǎng)絡安全的一致目標。

2.1 事件產(chǎn)生器(Event Generators)

Event Generators——事件產(chǎn)生器，是入侵檢測系統(tǒng)的一個組件，事件產(chǎn)生器可以對網(wǎng)絡訪問日志、數(shù)據(jù)流等進行監(jiān)測與追蹤，對原始信息例如用戶活動、數(shù)據(jù)、網(wǎng)絡等等信息進行采集，并將采集到的所有信息以事件的形式供應給系統(tǒng)的其它部分。需要注意的是，事件產(chǎn)生器可以在計算機網(wǎng)絡中，例如不同主機、不同網(wǎng)段這類不同關鍵點進行信息的采集與收錄。

2.2 事件分析器(Event Analyzers)

Event Analyzers事件分析器，是通過IDS的知識庫中的安全規(guī)范對接收到的一切事件信息進行識別和分析，按照庫中已經(jīng)有的安全規(guī)范判定訪問與入侵的異常活動。IDS在接收到事件信息以后會對事件與知識庫內安全策略對比，知識庫有哪些報文屬于攻擊性質的定義，系統(tǒng)發(fā)現(xiàn)異常立即處理和記錄。檢測技術報文中是否有攻擊性是最常用的定義知識庫的手段。事件分析器這種處理模式也是由簡單到復雜，簡單的處理即將報文數(shù)據(jù)與攻擊定義進行字符串比對，發(fā)現(xiàn)異常系統(tǒng)即刻報警提示。缺點是降低了工作效率與準確度。這樣，技術人員后續(xù)的工作就會很繁瑣，還要進行TCP重組、檢查、解碼、IP碎片重組、校驗等工作，增加了人力工作量。

3 防火墻與入侵檢測技術的聯(lián)動

入侵檢測技術作為通過收集關鍵信息進行分析的一種主動防御的安全技術手段，也面臨著很多困難，如：檢測系統(tǒng)會提供很多誤報信息，大量的漏報信息也很難追蹤到；檢測數(shù)據(jù)的數(shù)量不斷增多，需要警報的信息也逐漸增多，無疑加重了系統(tǒng)負擔，降低了系統(tǒng)工作效率；入侵檢測技術對硬件配置要求較高；入侵檢測技術無法檢測諸如IPv6數(shù)據(jù)包以及未知攻擊的加密數(shù)據(jù)。以上這些問題是入侵檢測技術亟待解決的重要課題。防火墻與入侵檢測技術的有效結合，協(xié)調聯(lián)動就可以解決上述問題，因為入侵檢測技術可以檢測到防火墻檢測之外的侵犯活動，防火墻可以根據(jù)入侵檢測系統(tǒng)檢測到的不良活動及時調整防范策略，二者的有機結合，積極聯(lián)動是保障網(wǎng)絡安全的最有效手段。

3.1 檢測器設置的位置選擇分析

入侵檢測器是在防火墻以外的非軍事區(qū)域，該區(qū)域是在最外端防火墻與ISP間可以看到對Internet攻擊的檢測設備。當遇到TCP攻擊時，過濾路由器和防火墻都能夠對其進行封鎖，導致檢測漏檢現(xiàn)象出現(xiàn)。檢測過程大多需要對字符串進行對比，而字符傳送前提是TCP三次握手。盡管防火墻外的檢測器檢測不到入侵，檢測位置卻已經(jīng)是最佳的，對站點有能見到防火墻暴露在多少種攻擊下。因為防火墻內部被攻擊次數(shù)明顯低于外部，將檢測器放在防火墻內部可以減少誤報幾率，降低檢測干擾。

3.2 IDS與防火墻的接口

開放接口和防火墻與入侵技術形成一個系統(tǒng)，這樣兩種方式是防火墻與入侵檢測技術聯(lián)動的體現(xiàn)。前者是入侵系統(tǒng)或者是防火墻開放個接口按照通訊協(xié)議，供對方使用，完成網(wǎng)絡傳輸。后者是入侵檢測系統(tǒng)與防火墻形成一個統(tǒng)一的系統(tǒng)對流經(jīng)防火墻的數(shù)據(jù)流進行實時監(jiān)督與檢測。

要實現(xiàn)入侵檢測與防火墻模塊的統(tǒng)一，就要將入侵檢測系統(tǒng)嵌入式分布在主機與網(wǎng)絡邊界的防火墻中。第一道防線可以是防火墻過濾模塊，第二道防線可以設置成入侵檢測模塊。訪問與入侵的數(shù)據(jù)包要得到防火墻的檢驗合格，才能繼續(xù)傳輸。

4 結語

電子商務交易改變了市場結構的同時也提高了企業(yè)的效率，給企業(yè)帶來了無限商機，但是不可避免的是新型電子商務交易安全和保密問題，而如何保障其安全性和保密性，正是新型電子商務發(fā)展應該解決的問題。電子商務交易安全離不開先進的信息安全技術和科學的信息安全管理手段，融合防火墻和入侵檢測技術的網(wǎng)絡安全防護必將促進電子商務的發(fā)展。

[1] 胡平,李臻,彭紀奎.基于入侵檢測的分布式防火墻的應研究[J].微電子學與計算機,2011,28(6).

[2] 鄭麗生,陳金聰.基于入侵防護系統(tǒng)的網(wǎng)絡安全研究[J].軟件導刊,2011(07).

[3] 張沛強.防火墻與入侵檢測協(xié)同方案分析[J].華章,2009(06).

[4] 韓彬.防火墻技術在網(wǎng)絡安全中的實際應用[J].科技資訊,2010(01).

[5] 余志高,周國祥.入侵檢測與防火墻協(xié)同應用模型的研究與設計[J].網(wǎng)絡安全技術與應用,2010(03).