電子商務網站信息安全探究

【摘 要】近年來，隨著通訊技術、網絡技術的迅速發(fā)展促使電子商務技術應運而生。電子商務具有高效率、低成本的特性，為中小型公司提供各種各樣的商機而迅速普及。電子商務主要依托Internet平臺完成交易過程中雙方的身份、資金等信息的傳輸。由于Internet的開放性、共享性、無縫連通性，使得電子商務網站信息安全面臨著威脅。因此，探究對電子商務網站的信息安全管理意義重大。

【關鍵詞】電子商務；網站；安全管理

1.電子商務網站面臨的安全隱患

（1）信息的截獲和竊取。如果采用加密措施不夠，攻擊者通過互聯(lián)網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據，獲取機密信息或通過對信息流量、流向、通信頻度和長度分析，推測出有用信息如消費者的銀行賬號、密碼以及企業(yè)的商業(yè)機密等，從而破壞信息的機密性。

（2）信息的篡改。當攻擊者熟悉網絡信息格式后，通過技術手段對網絡傳輸信息中途修改并發(fā)往目的地，破壞信息完整性。

（3）信息假冒。當攻擊者掌握網絡信息數據規(guī)律或解密商務信息后，假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。如釣魚網站就是指不法分子利用各種手段，假冒真實網站的URL地址以及頁面內容，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。

（4）交易抵賴。交易抵賴包括多方面，如發(fā)信者事后否認曾發(fā)送信息、收信者事后否認曾收到消息、購買者下了訂貨單不承認、商家賣出的商品因價格差而不承認原有的交易等。

2.網站后臺數據庫的安全

在網站運行過程中，最糟糕的就是數據庫文件被下載。一旦這個核心文件被惡意下載，那么網站幾乎就等于將控制權拱手讓人了。常見的數據庫文件安全措施有以下三種：

2.1設置本機中的數據庫安全策略（適合于大網站，自己擁有獨立的WEB服務器）

如果能夠控制服務器（以xp系統(tǒng)為環(huán)境），使用如下方法，能夠徹底避免數據庫文件被下載的方法。

步驟1：首先，依次單擊“開始”一“管理工具”一“Internet信息服務（IIS）管理器”菜單，打開如圖所示的對話框。在這里需要右鍵單擊數據庫文件（cib.mdb），在彈出的菜單中選擇“屬性”。

步驟2：在彈出的對話框中，勾選“重定向到URL”項，并在“重定向”欄中輸入當前網站的網址（或任意網址），如此操作之后，如果再有人試圖用“http：//127.0.0.1/db.mdb”文件，那么將自動訪問重定向的網址，而不會執(zhí)行db.mdb這個數據庫文件的下載操作。

2.2購買空間的安全策略（適合于小網站，WEB服務器是租用的空間）

把數據庫放在Web目錄之外。也就是說，不把數據庫放在可以直接被訪問的Web目錄之內，這可以說是最保險的方法。下面，以某個購買的網站空間為例，講解一下具體實現的方法：

步驟1：首先，使用FTP方式登錄到網站的空間根目錄下。此時，可以看到有多個目錄。

步驟2：在這里，Web目錄用于存儲網站的內容。Db目錄就是空間服務商提供的用于存儲數據庫文件的地方。由于DB這個目錄不能被來訪者通過URL地址訪問到，進而就杜絕了數據庫文件被惡意下載的可能。

步驟3：接著，需要在設計網站時將數據庫連接文件中的路徑指向到db目錄。

步驟4：最后，把cib1.mdb文件復制到db目錄中就可以了。

2.3特殊文件名法（適用于所有網站）

如果購買的網站空間中沒有提供DB、Web等目錄，那么建議使用更改數據庫文件名的方法來實現數據庫的安全。

有一些網站認為把數據庫文件的擴展名修改為.asp（如123.asp），就可以保障數據庫不被下載了，其實這不完全正確，用特殊的下載工具還是可以被下載的。在如圖所示中可以看到這樣的數據庫文件，是無法通過IE瀏覽器瀏覽的。但是，這樣的asp文件用迅雷卻是可以被下載的。在系統(tǒng)下載文件完成后，只需把文件名再改成mdb，就可以正常使用Access對文件進行編輯了。

顯然，我們需要換一種方法。正確的更名做法是在數據庫文件名添加#符號，如“#aa.asp”，這樣無論是舊還是迅雷等下載工具都不會將這個文件下載到本地了。當然，修改數據庫文件名稱后，conn.asp這樣的數據庫路徑設置文件中的文件名也需要做相應的修改。

通過添加特殊的字符，可以讓數據庫文件路徑即使不憤暴露，也能不被惡意下載。通常，數據庫文件名會被修改#aa.asp這樣的類型，這樣既具備了一定的欺騙性，又可以起到很好的防止下載效果。

3.代碼漏洞問題

代碼漏洞有很多形式，如數據庫連接錯誤導致Web服務器錯誤提示，而這些錯誤提示中可能會含有數據庫或表等重要信息。

又例如后臺程序只有主程序驗證了管理員的身份信息，而其他頁面忽視了身份驗證，使得非法用戶可以繞過登錄而直接打開后臺的某個管理頁面。

4.網站數據庫安全管理的措施

網站管理員主要要做兩件事，最重要的一件事，當然是對客戶端提交的變量參數進行仔細地檢測。對客戶端提交的變量進行檢查以防止SQL注入攻擊。二是給用戶密碼加密。比如用MD5加密。MD5是沒有反向算法，不能解密的。人家即使知道經加密后存在數據庫里的像亂碼一樣的密碼，他也沒辦法知道原始密碼了。

網站管理員還應在IIS中為每個網站設置好執(zhí)行權限，可千萬別給人家靜態(tài)網站以“腳本和可執(zhí)行”權限。一般情況下給個“純腳本”權限就夠了，對于那些通過網站后臺管理中心上傳的文件存放的目錄，就更吝嗇一點吧，執(zhí)行權限設為“無”好了，這樣做是為了防止人家上傳ASP木馬，執(zhí)行權限設為“無”，人家上傳ASP木馬也運行不了。

一般情況下，SQL注入漏洞僅是涉及一個網站安全的事，如果人家通過這個漏洞上傳了ASP木馬并運行起來，那整個服務器都失陷了。所以有遠見的、有責任心的服務器管理員應該十分吝嗇的配置IIS的執(zhí)行權限。

5.防止利用SQL注入漏洞進行SQL注入攻擊

SQL注入攻擊是黑客對數據庫進行攻擊的常用手段之一。由于程序員的水平及經驗也參差不齊，相當大一部分程序員在編寫代碼的時候，沒有對用戶輸入數據的合法性進行判斷，使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數據，這就是所謂的SQL Injection，即SQL注入。

網絡交易安全需要一個完整的綜合保障體系，網絡交易安全管理的基本思路，應當跳出單純從技術角度尋求解決辦法的圈子。采用綜合防范的思路，從技術、管理、法律等方面去認識和思考。因此，為進一步促進電子商務體系的完善和行業(yè)的健康快速發(fā)展，必須在實際運用中解決電子商務中出現的各類問題，使電子商務系統(tǒng)相對更安全。相信，通過這些防范手段和技術措施，電子商務以后的發(fā)展會越來越快，成為國際金融貿易中的一個主要經營模式，以此來促進電子商務技術的應用和推廣。

【參考文獻】

[1]閆強.電子商務安全管理.北京：機械工業(yè)出版社，2007，5.

[2]賈偉.網絡和電子商務安全[M].北京：國防工業(yè)出版社，2006.