【 摘 要 】 文章針對網際網路及移動網際網路電子商務平臺建設、維護過程中經常遇到的各類安全問題,從基礎設施、協議、應用、資訊保安管理體系等角度出發,討論了平臺安全架構中各個層級的特點和安全隱患,介紹了目前市場主流的安全技術和手段,為各企業組織電子商務平臺的建設者、管理者提供一些參考建議。安全問題一直是網際網路發展面臨的主要問題,希望通過討論和建議,起到拋磚引玉的作用,促進電子商務平臺安全架構的持續改進,保障電子商務行業的蓬勃健康發展。
【 關鍵詞 】 資訊保安;網際網路;電子商務平臺;安全架構
【 中圖分類號 】 TP393 【 文獻標識碼 】 A
【 Abstract 】 In this paper, pointing at all kinds of security problems often encountered in the process of e-commerce platform maintenance and building, discusses the safety of platform security architecture that including the infrastructure, protocols, applications, information security management system, introduces the security technology and means of the mainstream market, provides some suggestions for the platform builders and managers. The security problem has been a major problem of the Internet, hopes to promote the continuous improvement of the security of e-commerce platform and the development of the e-commerce industry through this discussion and suggestions.
【 Keywords 】 information security; internet; e-commerce platform; security architecture
1 引言
比爾·蓋茨曾說過:“21世紀要麼電子商務,要麼無商可務” 。隨著全球經濟與資訊科技的不斷髮展,電子商務已經進入到了飛速擴張的階段,越來越多的企業和個人加入到電子商務的行列,尋求新的經濟增長點和長遠發展規劃。電子商務已經成為網際網路和移動網際網路的主流應用,成為引導全球經濟市場、拉動消費需求、促進產業升級的重要引擎。
隨著大批商家、企業的湧入,各類綜合型、垂直型電子商務平臺迅猛增長。在功能日益完善、使用者日益增加、服務要求越來越高的情況下,資訊保安保障將在電子商務平臺的發展中扮演著非常關鍵的角色。資訊保安保障將保護著商家和使用者的重要機密,維護著電商平臺的信譽和財產,同時為服務方和被服務方提供極大的方便。因此,在電子商務平臺競爭日益激烈的今天,加強平臺的安全性,保障電商服務的持續性,將對平臺的持續發展和壯大起著至關重要的作用。
從電子商務平臺的業務角度分析,日常執行主要面臨著資訊竊取和篡改、交易抵賴和偽造、服務中斷和資料丟失等安全威脅,如何解決平臺可用性、機密性、完整性和不可抵賴性等安全問題,保障平臺服務的可持續性,成為電子商務平臺管理、維護人員的重要研究課題之一。本文將從基礎設施層、協議層、應用層、資訊保安管理體系等幾個方面來闡述電子商務平臺的安全架構和麵臨的問題,並根據當前主流的資訊科技提出相應的安全建設建議供電子商務平臺建設、維護、管理人員參考。
2 電子商務平臺安全架構分析
電子商務平臺作為一個功能完整、資料豐富、要求高穩定性服務的`系統,安全架構涉及從承載平臺的軟硬體設施到開發的應用軟體到使用者操作的響應等多個方面,我們從邏輯結構上將它分為幾個層級,如表1所示,將一一分析各層級面臨的問題和常見技術措施。
2.1 基礎設施層
本文所述的基礎設施層主要是指支撐電子商務平臺執行的網路、伺服器、主機作業系統等。電子商務平臺是依託網際網路實現的線上交易系統,作為平臺執行和資訊交換的承載體,基礎設施層成為安全架構的最底層。
我們常遇見的安全問題包括:破壞者通過網路進行攻擊,造成平臺數據洩漏或服務中斷;破壞者利用作業系統漏洞攻擊伺服器造成資料丟失、篡改或服務中斷等;由於人為操作、環境因素、軟體Bug或平臺效能問題造成平臺伺服器訪問緩慢或宕機,影響使用者使用;由於資料伺服器宕機或損壞造成重要資料丟失、平臺信譽受損等。
為了保障電子商務平臺的安全性,我們在基礎設施層可採用的安全技術和手段有:(1)採用最新多功能的防火牆作為平臺出口的基本防護設施,通過防DDOS攻擊、入侵防禦、防病毒木馬、內容識別和訪問控制等手段,保障平臺的穩定執行、資料安全;(2)定期採用漏洞掃描工具對網路、伺服器及作業系統進行檢測,及時發現安全漏洞及隱患並進行補丁更新,防範於未然;(3)採用負載均衡技術,分散平臺訪問壓力,並形成冗餘系統,即便某臺伺服器宕機也不影響平臺的執行;(4)採用本地及異地災備手段,對平臺的各類資料進行備份,保障平臺出現問題後可在短時間內進行資料恢復,不影響使用者使用。
2.2 協議層
本文所述的協議層包括資料加密、安全認證等多方面。資料加密是資訊保安體系中重要的一環,是電子商務交易過程中保障資料儲存機密性、資料傳輸安全性和防止資料竊取的主要手段。安全認證則是採用多種技術來確認交易雙方的資訊,防止假冒、篡改和抵賴,保障交易的安全性和不可抵賴性。
資料加密技術主要分為資料儲存加密和資料傳輸加密。資料儲存加密技術主要是對儲存在伺服器上的資料進行加密,常用的有資料庫加密和文件透明加密等方式,資料傳輸加密技術主要是對網路傳輸的資料流進行加密,常用的有鏈路加密、節點加密和端對端加密等方式。資料加密的演算法也有很多種,目前比較常用的加密演算法包括:對稱加密和非對稱加密演算法。
安全認證技術比較常用的包括數字身份認證、動態口令認證、電子簽名和數字時間戳等技術。(1)數字身份認證:通過數字證書來標識使用者的身份,證書可以儲存在個人電腦上也可以儲存在USB載體中,結合使用者口令進行身份識別。(2)動態口令認證:通過動態口令牌隨機生成的數字與伺服器進行校對,或者通過動態傳送口令到繫結的手機上,來實現身份的安全認證。(3)電子簽名:通過在資訊發起方的資料上附加一些認證資料,在資訊接收方進行資料拆分校對,保證資料傳送不被篡改或假冒。