24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.41 蘋果版本:8.7.40

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

電子商務(wù)中網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全方案

來源: 高倩 李明亮 編輯: 2009/03/26 09:55:18  字體:

  摘 要 企業(yè)發(fā)展電子商務(wù)的最大顧慮是安全問題,網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全在很大程度上決定了整個系統(tǒng)的安全,本文先提出計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu),然后從系統(tǒng)平臺選擇、客戶機配置、訪問控制策略設(shè)計、程序設(shè)計、數(shù)據(jù)庫冗余備份及用戶資格認證等方面給出安全解決方案。此方案的實施提高了電子商務(wù)系統(tǒng)的安全性。

  關(guān)鍵詞 電子商務(wù) 訪問控制 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)配置

  基于Internet的電子商務(wù)己成為商務(wù)活動的新模式,但電子商務(wù)的安全問題越來越突出,如何建立一個安全、便捷的電子商務(wù)環(huán)境,保證整個商務(wù)活動中信息的安全已成為新的研究熱點。

  電子商務(wù)的安全包括計算機網(wǎng)絡(luò)安全和商務(wù)交易安全。計算機網(wǎng)絡(luò)安全是針對網(wǎng)絡(luò)本身可能存在的安全問題,實施網(wǎng)絡(luò)安全增強方案,以保證自身的安全性。沒有網(wǎng)絡(luò)安全做基礎(chǔ),電子商務(wù)安全就猶如空中樓閣。本文重點研究在企業(yè)電子商務(wù)系統(tǒng)中,網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全解決方案。

  一、電子商務(wù)的安全體系結(jié)構(gòu)考慮企業(yè)電子商務(wù)系統(tǒng)的具體情況,網(wǎng)絡(luò)安全體系結(jié)構(gòu)由內(nèi)到外為:用戶、操作系統(tǒng)、入侵檢測、防火墻和路由器/網(wǎng)關(guān)。該體系結(jié)構(gòu)包含了網(wǎng)絡(luò)的物理安全、訪問控制安全、系統(tǒng)安全、用戶安全、信息加密等。充分利用各種先進的主機安全、身份認證、訪問控制、防火墻等技術(shù),在攻擊者和受保護的資源間建立了多道嚴密的安全防線,增加了惡意攻擊的難度,保障了企業(yè)電子商務(wù)系統(tǒng)的安全。

  二、系統(tǒng)操作平臺的安全基礎(chǔ)設(shè)施是企業(yè)用于實現(xiàn)電子商務(wù)的完整IT基礎(chǔ)架構(gòu),為用戶提供了一個整合環(huán)境,是企業(yè)構(gòu)筑電子商務(wù)成敗的關(guān)鍵。成功的電子商務(wù)要求基礎(chǔ)設(shè)施安全可靠、可擴展及靈活性強。

  1.操作系統(tǒng)及硬件選擇。服務(wù)器操作系統(tǒng)應(yīng)選擇高安全性的Unix/Linux.內(nèi)存及硬盤等應(yīng)支持熱插拔,對單個服務(wù)器的網(wǎng)絡(luò)和存儲器的I/O設(shè)備準備兩個系統(tǒng)路徑。為保證處理能力的余量和可擴展性,大中型服務(wù)器可以考慮選擇多路Pentium Xeon或AMD的高端Opteron處理器。

  客戶機完成數(shù)據(jù)的錄入和輸出工作,配置原則上只要能運行操作系統(tǒng)和常用軟件即可。操作系統(tǒng)選擇windows server2003,其采用基于對象的安全模式,由本地安全性授權(quán)、安全性賬號管理器、安全性引用監(jiān)視器和用戶安全接口組成,能夠保護服務(wù)器中的文件。

  2.支持多平臺的商務(wù)系統(tǒng)構(gòu)筑。企業(yè)可能存在異構(gòu)平臺并存,而用戶希望各設(shè)備間能協(xié)同工作。因此在企業(yè)電子商務(wù)系統(tǒng)中,應(yīng)該向客戶、應(yīng)用程序服務(wù)器、網(wǎng)絡(luò)和數(shù)據(jù)開放標準,使客戶無論處于網(wǎng)絡(luò)何處都能訪問這些服務(wù)。系統(tǒng)開發(fā)人員能在所選平臺上編寫應(yīng)用程序,對跨國公司而言能夠全球部署且無需重新編碼。用戶可在Windows server2003服務(wù)器建立系統(tǒng),無需編碼轉(zhuǎn)換即可升級或移植到任何Unix或其他主機系統(tǒng)。

  選擇可跨平臺的架構(gòu)組件特別是服務(wù)器軟件,使用HTML開放式標準,采用Jvaa多平臺技術(shù),按照普遍適用的電子商務(wù)應(yīng)用程序框架進行開發(fā),使企業(yè)電子商務(wù)系統(tǒng)具備多平臺支持能力。

  三、客戶機的安全配置

  1.Windows server2003的設(shè)置。多數(shù)管理員執(zhí)行默認安裝時不對系統(tǒng)賬號administrator進行設(shè)置,而Guest則會被系統(tǒng)自動設(shè)置。攻擊者通過利用這些賬號來猜測密碼進入系統(tǒng)。為了安全,要求把這些賬號重新命名或刪除。進入“管理工具”—“系統(tǒng)策略編輯器”,然后選擇“文件”—“打開注冊表”,并選擇“本地計算機”進行配置:取消“遠程更新”及“創(chuàng)建隱藏的驅(qū)動器共享”:“登錄”設(shè)置為不允許從“身份驗證對話框”關(guān)機,不顯示上次登錄的用戶名;不允許使用遠程管理軟件。在離開服務(wù)器時,必須按“Ctrl+Del+Alt”,并選擇“鎖定工作站”。

  2.采用安全的NTFS.NTFS分區(qū)中的文件有任意訪問控制的能力,可保證電子商務(wù)系統(tǒng)簡單的拒絕非法文件訪問,先進的容錯能力保證其不易受到病毒和系統(tǒng)崩潰的侵襲。權(quán)限定義了一個或一組用戶訪問文件和目錄的不同級別。當(dāng)擁有Windows server2003有效賬號的用戶試圖訪問有權(quán)限限制的文件時,計算機將檢查文件的訪問控制表。因此,訪問該應(yīng)用程序的公共用戶應(yīng)僅授予“只讀”權(quán)限。而Web服務(wù)器上應(yīng)用程序的所有者擁有“更改”權(quán)限來查看、更改和刪除相應(yīng)的應(yīng)用程序。

  3.Web服務(wù)器權(quán)限及協(xié)議選擇??梢酝ㄟ^配置Web服務(wù)器的權(quán)限來限制所有用戶查看、運行和操作Web頁的方式。Web服務(wù)器權(quán)限應(yīng)用于所有用戶,且不區(qū)分用戶賬號類型,所以要對目錄設(shè)置屬性。對于要運行Web頁面的用戶,在設(shè)置Web服務(wù)器權(quán)限時遵循的原則為:對包含。jsp文件的虛擬目錄允許“讀”或“腳本”權(quán)限;對。jsp文件和其他包含腳本的文件所在的虛目錄允許“讀”和“腳本”權(quán)限;對包含。jsp文件和其他需要“執(zhí)行”權(quán)限才能運行的文件的虛目錄允許“讀”和“執(zhí)行”權(quán)限。

  開啟某個服務(wù)就要面對相應(yīng)的漏洞,因此要安裝最少的服務(wù)和協(xié)議。最好少用或禁用NetBIOS和UDP.

  四、數(shù)據(jù)庫的冗余備份備份可在系統(tǒng)硬件故障、人為失誤、入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊破壞數(shù)據(jù)完整時起保護作用,分為全盤備份和增量備份??筛鶕?jù)企業(yè)的業(yè)務(wù),在相鄰的幾個地區(qū)之間設(shè)立一個分支總控機構(gòu),通過Internet與企業(yè)的總部聯(lián)系。每個分支總控機構(gòu)每隔一定時間進行“在線”的增量備份,休息時通過Internet實行“不在線”的全盤備份,并將相關(guān)信息傳送到企業(yè)總部。這樣,即保證各個分支總控部門有一定時間間隔內(nèi)的業(yè)務(wù)資料,又可以保證企業(yè)總部完全掌握各地的銷售情況,以便企業(yè)為將來的發(fā)展規(guī)劃做出更加合理的決策。

  五、用戶訪問安全控制系統(tǒng)中每個用戶所能訪問的信息或進行的操作應(yīng)是受限的。用戶安全認證系統(tǒng)的目的在于實現(xiàn)用戶的身份驗證與權(quán)限控制,達到限制用戶的越權(quán)操作與防止非法用戶對系統(tǒng)的入侵。

  1.用戶權(quán)限控制。用戶要進入系統(tǒng),必須輸入自己的用戶編號和密碼進行身份證。通過驗證后,將此用戶的信息放入服務(wù)器端相應(yīng)變量中,然后調(diào)用相應(yīng)的函數(shù)對其進行權(quán)限控制。使用JSP技術(shù)將用戶的權(quán)限控制分為兩層:

 ?。?)在頁面顯示鏈接前先判斷用戶的權(quán)限,如果用戶沒有權(quán)限訪問此鏈接對應(yīng)的頁面(資源),頁面就不顯示此鏈接。

 ?。?)在用戶對某個頁面發(fā)出請求時,再次判斷用戶的權(quán)限,只有當(dāng)此用戶擁有進入此頁面的權(quán)限時,服務(wù)器才將此頁面發(fā)送到瀏覽器,否則返回錯誤信息。

  通過兩層控制可防止用戶進入沒有權(quán)限的頁面(資源),從而防止用戶查看或修改其并沒有控制權(quán)限的信息。當(dāng)用戶試圖訪問被限制內(nèi)容時,web服務(wù)器進行身份驗證,以檢查用戶是否擁有有效賬號。web服務(wù)器支持基本身份驗證和請求/響應(yīng)式身份驗證。

  2.源數(shù)據(jù)庫保護及客戶資格認證。源數(shù)據(jù)庫中保存著企業(yè)的機密信息和相關(guān)客戶信息。需要訪問源數(shù)據(jù)庫的JSP腳本的人員,要有Web服務(wù)器所運行的計算機管理員權(quán)限。在從遠程計算機上運行這些腳本時,對使用請求/響應(yīng)驗證方式進行連接的用戶,必須己經(jīng)通過身份驗證。

  控制對JSP應(yīng)用程序訪問的方法是要求客戶在委托的第三方獲得客戶資格,第三方在發(fā)放資格證之前確認客戶的身份信息。每當(dāng)客戶試圖登錄到需要資格驗證的應(yīng)用程序時,客戶的Web瀏覽器會自動向服務(wù)器發(fā)送客戶資格。如果Web服務(wù)器的SSL資格映射特性配置正確,那么服務(wù)器就可以在許可客戶對JSP應(yīng)用程序訪問之前對其身份進行確認。

  六、程序設(shè)計安全開發(fā)工具或多或少都存在安全漏洞。程序開發(fā)人員應(yīng)注意:

  1.密碼及物理路徑的處理:應(yīng)將密碼和用戶名通過使用虛擬路徑,保存在數(shù)據(jù)庫中。

  2.用戶詳細信息的記錄:為更好的跟蹤用戶,需記錄用戶的詳細信息。其中記錄IP最有用,可通過IP來查詢用戶的具體地點。這樣就可以完全控制用戶的使用,跟蹤用戶對資源的訪問情況,及時了解用戶進行的越權(quán)訪問。

  3.傳輸信息安全:JSP腳本采用明文編寫,可采用文件加密的方法保護開發(fā)的JSP腳本源代碼。

  電子商務(wù)系統(tǒng)安全涉及諸多方面,是一項復(fù)雜的系統(tǒng)工程。盡管目前提出了很多技術(shù)解決方案,但離真正的安全電子商務(wù)還有一段距離。優(yōu)秀的系統(tǒng)管理人員往往可以在很大程度上保障系統(tǒng)的安全運行,無形中提高了企業(yè)的競爭力,降低了企業(yè)進行電子商務(wù)的成本。

  參考文獻:

  [1]韓茂盛:淺析電子商務(wù)時代網(wǎng)絡(luò)安全技術(shù)[J].商場現(xiàn)代化(學(xué)術(shù)版),2005(2):103

  [2]劉愛國 李志梅:談電子商務(wù)中的網(wǎng)絡(luò)安全管理[J].商場現(xiàn)代化,2007(499):76~77

  [3]張貴榮:電子商務(wù)的信息安全[J].情報科學(xué),20(6):633~635

責(zé)任編輯:三皮

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號