電商企業(yè)網(wǎng)絡安全體系架構的研究與設計

馬銘惠

摘要：近年來，電子商務中的網(wǎng)絡安全問題日益突顯，逐步成為電商企業(yè)長遠發(fā)展面臨的重大難題。該文通過研究目前主流的網(wǎng)絡安全技術，設計一個電商企業(yè)的網(wǎng)絡安全體系架構，探討了電商企業(yè)網(wǎng)絡安全問題的解決方案。

關鍵詞：電商企業(yè)；網(wǎng)絡安全；體系架構

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）29-0299-02

1 背景

近年來，隨著網(wǎng)絡的廣泛運用，電子商務已經(jīng)成為主流的商業(yè)貿(mào)易方式。與此同時，電商企業(yè)的網(wǎng)絡安全隱患也日益嚴峻。各種網(wǎng)絡攻擊事件層出不窮：2015年5月，擁有將近3億活躍用戶的支付寶出現(xiàn)了大面積癱瘓，全國多省市支付寶用戶遇到電腦端和移動端均無法進行轉賬付款、出現(xiàn)余額錯誤等問題；2017年5月，勒索病毒大規(guī)模爆發(fā)，全球范圍內(nèi)有近百個國家遭到攻擊，很多電商企業(yè)內(nèi)部的數(shù)據(jù)資料都遭破壞，這對企業(yè)都是致命的打擊。

電商企業(yè)的網(wǎng)絡安全問題根源就在于計算機系統(tǒng)漏洞、網(wǎng)絡安全協(xié)議不完整、電子商務網(wǎng)站的編碼漏洞以及網(wǎng)絡安全設備存在技術性不足等。因此，如何提高電商企業(yè)的網(wǎng)絡系統(tǒng)安全性，降低黑客攻擊、木馬和病毒侵染等對電子商務造成的危害，成為當?shù)那半娚唐髽I(yè)高度關注的問題。

隨著移動互聯(lián)、云計算和大數(shù)據(jù)等技術的發(fā)展，尤其是移動和無線訪問客戶更多的訪問方式，電子商務涉及的領域越來越多，安全實現(xiàn)難度也越來越復雜。因此，如何改進電商企業(yè)的網(wǎng)絡安全防御體系、進行安全技術升級等已成為電商企業(yè)發(fā)展的重要內(nèi)容之一。

2 電商企業(yè)網(wǎng)絡安全威脅現(xiàn)狀

目前，許多網(wǎng)絡入侵者針對計算機網(wǎng)絡結構的復雜性和規(guī)模龐大性，利用網(wǎng)絡系統(tǒng)漏洞或安全缺陷進行攻擊[1]。電商企業(yè)主要面臨五大類安全問題：局域網(wǎng)網(wǎng)絡安全、Web數(shù)據(jù)安全、Web應用安全、Web服務安全、系統(tǒng)安全，如下圖1所示：

1） 局域網(wǎng)網(wǎng)絡安全：指攻擊者假冒合法身份通過網(wǎng)絡入侵企業(yè)內(nèi)網(wǎng)，竊取或破壞企業(yè)內(nèi)網(wǎng)安全，破壞電商平臺的正常工作。如機密竊聽、假冒身份攻擊等。

2） Web數(shù)據(jù)安全：指電商平臺或企業(yè)內(nèi)網(wǎng)敏感數(shù)據(jù)遭到泄露，如信息在傳輸中丟失或泄露、在存儲介質中丟失或泄露。如敏感信息泄露、內(nèi)容篡改、不良信息內(nèi)容。

3） Web應用安全：指攻擊者通過攻擊Web程序，以非法手段對Web程序進行使用，惡意添加、修改或刪除Web程序，破壞電子商務平臺的正常使用。代碼注入攻擊、XSS攻擊等。

4） Web服務安全：指攻擊者對電子商務系統(tǒng)進行干擾，改變正常作業(yè)流程，執(zhí)行無關程序使系統(tǒng)響應減慢甚至癱瘓，影響正常用戶的使用或不能得到響應的服務。如針對Web服務器軟件的滲透攻擊。

5） 系統(tǒng)安全：指攻擊者通過非法方式訪問內(nèi)網(wǎng)及獲取內(nèi)網(wǎng)資源，越權訪問信息。如遠程和本地滲透攻擊。

3 網(wǎng)絡安全體系架構的設計

根據(jù)電商企業(yè)目前遇到五大網(wǎng)絡安全及威脅，本文采用了P2DR2（Policy Protection Detection Response Recovery）模型，即“網(wǎng)絡安全=風險分析+執(zhí)行策略+系統(tǒng)實施+漏洞監(jiān)測+實時響應+安全恢復”的安全理念[2]。通過該安全模型將靜態(tài)的網(wǎng)絡安全技術和動態(tài)安全技術相結合，建立一個多層次、全方位、立體的電商企業(yè)網(wǎng)絡安全體系架構，簡化的網(wǎng)絡拓撲圖如下圖2所示。

1） 采用多種網(wǎng)絡安全設備維護內(nèi)網(wǎng)的安全，包括防火墻、入侵檢測、流量整形、日志檢測、Web防火墻等網(wǎng)絡安全技術。

2） 對外提供兩條Internet鏈路的負載均衡，對內(nèi)提供防火墻的負載均衡，既保障了電子商務中大量的網(wǎng)絡流量，也提高了受到攻擊時的容災能力。防火墻直接連接外部網(wǎng)絡，是企業(yè)網(wǎng)絡安全的第一道安全閘門，抵御一些三層的網(wǎng)絡入侵。

3） 在Web服務器前架設Web防火墻和入侵監(jiān)測系統(tǒng)：Web防火墻能夠根據(jù)一套完整的特征查找Web漏洞和攻擊而實施保護，而且還可以檢測惡意的文件上傳。除了可以在第四層到第七層強化訪問控制策略，防止攻擊者在沒有得到適當?shù)氖跈鄷r訪問數(shù)據(jù)，Web防火墻還應當提供外發(fā)數(shù)據(jù)泄露的檢查（例如，非法的文件下載）、過濾敏感信息（例如，信用卡號），與其他安全標準結合，這有助于防御應用層的DDoS攻擊。Web防火墻還可以給易受攻擊的Web應用程序實施虛擬補丁。入侵檢測系統(tǒng)在不影響網(wǎng)絡性能的情況下能對網(wǎng)絡進行監(jiān)測，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施。兩者配合作為防火墻之后的第二道安全閘門。

4） 采用日志系統(tǒng)：對訪問Web站點的訪問進行帶寬管和審計管理，結合前面的安全設備，是企業(yè)電子商務的第三道安全閘門。

5） 定期地對Web服務器進行維護和安全升級：刪除不必要的網(wǎng)路服務、合理分配管理權限、刪除不必要的模塊和應用擴展、及時進行漏洞補丁更新。

6） 定期地對電子商務網(wǎng)站進行維護和安全升級：主頁盡量使用靜態(tài)頁面代替動態(tài)頁面、對用戶輸入的數(shù)據(jù)進行嚴格驗證、對代碼進行安全監(jiān)測。操作后臺數(shù)據(jù)庫時，盡量采用視圖、存儲過程等技術。

7） 定期地對電子商務的數(shù)據(jù)庫進行維護和安全升級：改變數(shù)據(jù)庫文件的存儲位置、采用非常規(guī)的命名方式、加強對數(shù)據(jù)庫管理。

當然，在電子商務網(wǎng)絡中，一個絕對安全的系統(tǒng)是不存在的，一個安全系統(tǒng)的核心通常是尋求風險和可用性之間的平衡。

4 結束語

電子商務安全是一個整體，不是只依靠一些安全技術或者某些安全產(chǎn)品的架構就能從根本上有效控制網(wǎng)絡安全，也不能限定網(wǎng)絡安全風險的產(chǎn)生和傳播。網(wǎng)絡安全不是靜態(tài)的，必須建立在組織策略、組織結構、信息系統(tǒng)和操作流程的基礎之上，根據(jù)其變化而變化。本文通過對電商企業(yè)網(wǎng)絡面臨的安全威脅進行研究，構建了一個動靜結合的網(wǎng)絡安全體系架構，希望能對電商企業(yè)網(wǎng)絡安全的探索起到拋磚引玉的作用。

參考文獻：

[1] Raynus J. Software process improvement with CMM[M]. Norwood： Manning Publications， 2009.

[2] 施峰. 信息安全保密基礎教程[M]. 北京： 北京理工大學出版社， 2007： 30-40.

[3] 胡勁松. 新時期計算機電子商務的安全策略[J]. 黑龍江科技信息， 2016（32）.

[4] 牛紅. 淺析電子商務中的信息安全策略[J]. 現(xiàn)代工業(yè)經(jīng)濟和信息化， 2015（3）.endprint