電子商務站如何保護伺服器
❶ 如何解決電子商務的安全問題
電子商務是互聯網應用的重要趨勢之一,也是國際金融貿易中越來越重要的經營模式之一,以後會逐漸地成為我們經濟生活中一個重要的部分,安全是保證電子商務健康有序發展的關鍵因素,也是目前大家十分關注的話題,下面將就電子商務發展中的幾個熱點問題,談談個人的看法。
一、怎麼看待安全與發展的關系
談到安全與發展兩者之間的關系時,許多人都會認為安全更重要,而實際上在信息化發展的過程中,發展自始至終都應是放在第一位的,因為沒有發展安全就無從談起,沒有發展就是最大的不安全。
從國內外的情況來看,電子商務發展的速度太快,致使其安全技術和安全管理跟不上,這是一個越來越突出的問題。電子商務的快速發展需要業界,特別是信息安全業快速地作出反應,否則安全方面的問題將會制約它的發展。現在不僅僅是發展中國家,就連美國這樣的發達國家,電子商務在很多領域還是沒有像其它傳統的商務那樣發達,一個重要的原因就是安全問題。這就需要信息安全業的同行作出不懈的努力,不要因為安全問題而制約了電子商務的發展。
二、如何看待電子商務的安全問題
在正確看待電子商務的安全問題時,有幾個觀念值得注意:
其一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,不僅僅只涉及到技術,更重要的還有管理,而且它還與社會道德、行業管理以及人們的行為模式都緊密地聯系在一起了。
其二,安全是相對的。房子的窗戶上只有一塊玻璃,一般說來這已經很安全,但是如果非要用石頭去砸,那就不安全了。我們不會因為石頭能砸碎玻璃而去懷疑它的安全性,因為大家都有一個普遍的認識:玻璃是不能砸的,有了窗玻璃就可以保證房子的安全。同樣,不要追求一個永遠也攻不破的安全技術,安全與管理始終是聯系在一起的。也就是說安全是相對的,而不是絕對的,如果要想以後的網站永遠不受攻擊,不出安全問題是很難的,我們要正確認識這個問題。
其三,安全是有成本和代價的。無論是現在國外的B-to-B還是B-to-C,都要考慮到安全的代價和成本的問題。如果只注重速度就必定要以犧牲安全來作為代價,如果能考慮到安全速度就得慢一點,把安全性保障得更好一些,當然這與電子商務的具體應用有關。如果不直接牽涉到支付等敏感問題,對安全的要求就低一些;如果牽涉到支付問題對安全的要求就要高一些,所以安全是有成本和代價的。作為一個經營者,應該綜合考慮這些因素;作為安全技術的提供者,在研發技術時也要考慮到這些因素。
其四,安全是發展的、動態的。今天安全明天就不一定很安全,因為網路的攻防是此消彼長、道高一尺、魔高一丈的事情,尤其是安全技術,它的敏感性、競爭性以及對抗性都是很強的,這就需要不斷地檢查、評估和調整相應的安全策略。沒有一勞永逸的安全,也沒有一蹴而就的安全。
三、社會上對電子商務的需求有哪些
電子商務是用電子化的方式實現傳統商務的模式或者說對傳統商務的革命,它的發展需要以下幾個必備的條件。
其一,對電子商務的發展要有廣泛的認同。無論是現在的銀行、證券也好還是傳統的物物交換,社會認同是交易得以實現的基礎。對電子商務的發展也必須有廣泛的認同。
其二,電子商務的交易模式不能被假冒。也就是說必須要有足夠的安全保障。
其三,能真正節省開支。人類從最原始的物物交換到一般等價物、到信用體制等等都是在不斷地降低交易成本,如果我們引進電子商務不但不能減少成本,反而會使成本增加,就不會得到社會的認同。
其四,要求方便易用,這一點十分重要。目前我國電子商務發展的發展過程中最致命就是使用不方便。
其五,要能滿足社會大眾的商業心態。它可以是「實名制」也可以是「隱名」的(當然現在也正討論怎麼使存款「實名制」),原來的金融體系或經濟體系的優勢就在於既可以是「實名」的也可以是「隱名」的,所以發展電子商務時也要考慮這個問題,否則用戶就沒有選擇,其發展就會受到阻礙。
社會對電子商務安全的需求簡單歸納起來主要有以下幾點:
1.信息要求真實和完整。因為無論中國人還是外國人,都會覺得「隔山買牛」是一件心裡沒底的事情,因此都希望電子商務上的信息是真實的、完整的。
2.所有交易不能夠抵賴,否則,生意就沒法做了。這不但需要用道德和法律進行約束,更需要相關技術進行保障。如果總是發生扯皮或糾紛,再好的電子商務也會因此而黃掉。
3.支付和交易必須是安全而可靠的。目前,如何保障支付和交易的安全可靠是一個全球性問題,電子商務要有大的發展,就必須管好這些瓶頸。
4.用戶或商家的身份在網路上能夠被准確地識別。如果不能准確識別交易雙方的身份,發生糾紛時就無法進行有效的仲裁。
5.能夠保護個人隱私。對個人隱私的保護現在越來越受到重視,以前我們可能不太看重這個問題。越是開放,越是信息化,個人隱私越重要。
四、對電子商務現狀的看法
現在,電子商務網站的經營很熱鬧,但其實也很艱難。根據我們了解的情況,我國的電子商務雖然收益不佳的現狀有望改觀,但技術和管理方面的問題還依然存在,安全隱患仍令人擔憂。
從技術上看:首先是數據傳輸的速度太慢;第二是沒有安全、可靠的結賬方式,這嚴重製約著電子商務的發展;第三是IT技術的發展速度太快,商務模式的形成和人們使用習慣的養成都需要一定的時間,雖然技術不斷發展,但社會對技術的認同是有階段的,這使得用戶和經營者都難以消化,難以跟上這種快速發展的步伐;第四是難以及時處理用戶的有關問題,開通一個網站,如果一段時間以後用戶的反饋多了,網路的速度就會慢下來,這也許是線路本身的問題,但也存在技術處理的問題,目前尚沒有解決的良策。第五是在安全保障上,難以防範現在的網路犯罪,特別是黑客的攻擊。
從管理上看,存在的主要問題有:1)國內電子商務網站的數目太少、瀏覽電子商務網站的用戶數量沒有期望的那麼多;2)電子商務網站的經營收益遠低於預期,使有網路泡沫之虞;3)缺乏能適應中國國情的市場技巧。現在的電子商務網站動作的市場方式基本上是照搬美國的,在造勢上不無奢華,但在收效上卻無殷實,不充分考慮中國人的商業行為和方式,恐怕是難以成功的。4)網站運營成本太高。由於運行成本居高不下,再好的商業模式也不堪重負。5)收費困難。除BtoB稍好一點外,BtoC電子商務一直沒有找到方便可行的收費方式。
從安全上看,電子商務的隱患,令人擔憂,主要表現在:
1.網路信息安全在全球還沒有形成一個完整的體系,我國也不例外。雖然有關電子商務安全的產品數量不少,但真正通過認證的卻相當少。近兩年,有將近20家有關電子商務安全的產品申請認證,但最後通過的非常少,這主要是因為不少安全措施是從網上「down」下來的,另外,不少電子商務安全技術的廠商對網路技術很熟悉,但是對安全技術普通了解得較少,因而他們很難開發出真正實用的、安全性足用的安全技術和產品。
2.安全技術的強度普遍不夠。國外有關電子商務的安全技術,雖然其結構或加密技術等都不錯,但這種演算法(無論是對稱的還是非對稱的)受到了外國密碼政策的限制,因此強度普遍不夠。這種技術用在B-to-C方面還勉強可行,但用在B-to-B上就顯然不夠。
3.電子商務網站的安全管理存在很大隱患,普遍難以經受黑客的攻擊。這個問題應當引起高度重視,國內電子商務網站被攻擊的事件較少並不表示是牢不可破,而是網站本身很小,沒有多少可攻的價值。
4.電子商務僅僅局限於商務信息領域而沒有深入真正的電子商務領域,這些因素的存在必將影響我國電子商務進一步的發展。
五、關於面向社會服務的CA中心
現在大家都在關注CA中心,從國外的發展看,認證應該是第三方的,政府幹預最好少一些,只需作些必要的引導。在我國,最大的問題是多人過早地把CA認證看作是一種產業,把它當作生意來做,而過少地考慮到應該擔負的責任。其實,面向社會服務的CA中心必須達到一定的要求。首先要看建設單位是否具備管理能力,以及責任和義務是否很明確,一旦證書出了問題,各方的責任是否清楚;其次是看技術能力和運行條件,CA要為社會服務,能否保證安全可信,運轉有效;這需要專門的技術能力和安全完整的網上認證技術體系。比如在炒股票時,如果認證的周期太長,別人已經成交了,你這里還堵著,那肯定不行。第三是看是否有足夠的財力支持。沒有數千萬乃至上億的投入,是無法面向社會提供可信賴的CA服務。第四是看整個CA系統和設施是否安全。總之,CA中心能否提供安全可靠的服務,不能僅憑自身的宣傳,而是要通過「國家信息安全認證」。到目前為止已經通過認證的只有一家,還有其它幾家也正在審查之中。主要的問題不在於能否發出證書,而在於能否保障證書的使用者的利益。
六、如何看待電子商務網站受到的攻擊
剛才我們提到過黑客的問題,黑客的威力到底有多大?
目前,我國網站所受到黑客的攻擊,還不能與美國的相提並論,因為我們的用戶數、規模和級別還是處在很初級的階段。如果遇到類似於DDOS的攻擊時應該引起注意,但不必很驚慌,因為在目前的情況下,一個電子商務網站停一兩天所受的損失不是很大,畢竟業務量和交易額都還不大。從以往遭遇過的攻擊中我們可以得到以下幾點啟示:
1.純技術難以防範原始攻擊方式。如果我們按照西方人的思維方式去思考,不斷的追求和更新安全技術,防火牆可以做得非常強,但如果黑客不去竊取信息或數據,而只是去阻塞網站,這種非常野蠻的攻擊方式用單純的技術是很難解決的,而要靠管理或其它的方法去防範。美國電子商務網站遭受那麼大規模的攻擊,雖然有技術方面的原因,但總的看來還是一個管理的問題,這里的管理包括網站的經營者要如何防止自己的網站被攻擊,上網的用戶如何保證自己的機器不會無辜地被別人利用,現在網上的安全補丁很多,但很少有人真正用它或不知道怎麼去用。所以,在信息化發展的初期,管理比技術顯得更為重要。
2.病毒比一般攻擊更可怕。現在的病毒(包括惡性代碼)破壞性越來越大。現在電子商務上的交易都是非時間敏感性的項目,所以時效性並不太突出,可怕的是病毒對數據的破壞。
3.從目前的情況看,危及電子商務的首先是病毒或惡意代碼;然後是內部人員濫用計算資源,對此國外強調的比較多,國內強調的比較少,隨著技術人員流動性增大,道德也有待提高;第三是黑客攻擊;第四是用戶數據的泄漏;第五是假冒的交易。
七、關於電子商務需要的安全技術與產品
目前,國內市場需要較大的網路安全產品還是防火牆,從國內外采購的數量來看,防火牆均居於首位的;其次是通信保密設備;第三是現在電子商務裡面應用最多的客戶機伺服器中的安全模式;第四是區域網或廣域網上的安全技術;第五是web安全技術;第六是災難恢復技術,從銀行和金融界的一些情況看,大家對這方面的重視還不夠,普遍的電子商務網站對災難恢復考慮得都不是很好,這也是迫切需要的。
八、制約我國電子商務發展的主要因素
制約我國電子商務的因素主要有:其一是商業信息化程度太低;其二是交易過程不規范;其三是信用制度不健全;其四是技術發展太快,沒有一定的穩定過程;其五是出現問題後客戶去找誰負責。由於有關電子商務的立法和管理剛剛開始,有人開玩笑說「電子商務目前是個『三無』行業:無法可依、無安全可言、無規可循」,當然這只有一定的道理,我國政府對電子商務的管理已經報上議事日程,各個部門都在抓緊制定推進電子商務的政策。
九、加快電子商務發展的建議
對電子商務發展的建議簡單地講是「兩高一低」,即:1)不斷提高服務的安全性,否則會制約電子商務的發展;成為發展的瓶頸;2)提高通訊的速度,否則電子商務就成了純粹的電子廣告而無法將商場搬到裡面,許多東西我們無法看到,也更談不上交易;3)降低成本,這不僅僅是降低硬體成本,特別是要降低通訊成本。因為電子商務發展的目的本來就是為了降低交易成本,交易成本反而高了就不正常。許多人都認為花那麼大的投入去搞電子商務還不如去面對面地談生意,打個電話許多貨就發過來了,用不著去識別身份什麼的。
電子商務安全管理的基本趨勢似乎可用:「誰經營、誰負責」六個字來概括,也可以說是誰管理誰負責。這就強調業界要自律,要對安全問題承擔責任。
❷ 電子商務常用的安全措施
就整個系統而言,安全性可以分為四個層次
1.網路節點的安全
2.通訊的安全性
3.程序的安全性
4.用戶的認證管理
其中2、3、4層是通過操作系統和Web伺服器軟體實現,網路節點的安全性依靠防火牆保證,我們應該首先保證網路節點的安全性。
一、網路節點的安全
1.防火牆
防火牆是在連接Internet和Intranet保證安全最為有效的,防火牆能夠有效地監視網路的通信信息,並記憶通信狀態,從而作出允許/拒絕等正確的判斷。通過靈活有效地運用這些功能,制定正確的安全策略,將能提供一個安全、高效的Intranet系統。
2.防火牆安全策略
應給予特別注意的是,防火牆不僅僅是路由器、堡壘主機或任何提供網路安全的設備的組合,它是安全策略的一個部分。安全策略建立了全方位的防禦體系來保護機構的信息資源,這種安全策略應包括:規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施,以及管理制度等。所有有可能受到網路攻擊的地方都必須以同樣安全級別加以保護。僅設立防火牆系統,而沒有全面的安全策略,那麼防火牆就形同虛設。
3.安全操作系統
防火牆是基於操作系統的。如果信息通過操作系統的後門繞過防火牆進入內部網,則防火牆失效。所以,要保證防火牆發揮作用,必須保證操作系統的安全。只有在安全操作系統的基礎上,才能充分發揮防火牆的功能。在條件許可的情況下,應考慮將防火牆單獨安裝在硬體設備上。
二、通訊的安全
1.數據通訊
通訊的安全主要依靠對通信數據的加密來保證。在通訊鏈路上的數據安全,一定程度上取決於加密的演算法和加密的強度。 電子商務系統的數據通信主要存在於:
(1)客戶瀏覽器端與電子商務WEB伺服器端的通訊;
(2)電子商務WEB伺服器與電子商務資料庫伺服器的通訊;
(3)銀行內部網與業務網之間的數據通訊。其中(3)不在本系統的安全策略范圍內考慮。
2.安全鏈路
在客戶端瀏覽器和商務WEB伺服器之間採用SSL協議建立安全鏈接,所傳遞的重要信息都是經過加密的,這在一定程度上保證了數據在傳輸過程中的安全。採用的是瀏覽器預設的4O位加密強度,也可以考慮將加密強度增加到128位。 為在瀏覽器和伺服器之間建立安全機制,SSL首先要求伺服器向瀏覽器出示它的證書,證書包括一個公鑰,由一家可信證書授權機構(CA中心)簽發。瀏覽器要驗征伺服器證書的正確性,必須事先安裝簽發機構提供的基礎公共密鑰(PKI)。建立SSL鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時)。驗證此證書是合法的伺服器證書通過後利用該證書對稱加密演算法(RSA)與伺服器協商一個對稱演算法及密鑰,然後用此對稱演算法加密傳輸的明文。此時瀏覽器也會出進入安全狀態的提示。
三、程序的安全性
即使正確地配置了訪問控制規則,要滿足機系統的安全性也是不充分的,因為編程錯誤也可能引致攻擊。程序錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字元串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運 行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個預設的許可是正確的。
這些缺點都被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一 些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字元串來實現的。程序不檢查輸入字元串長度。假的輸入字元串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶並賦予這個用戶特權。 訪問控制系統中沒有什麼可以檢測到這些。只有通過監視系統並尋找違反安全策略的行為,才能發現象這些問題一樣的錯誤。
四、用戶的認證管理
1.身份認證
電子商務用戶身份認證可以通過伺服器CA證書與IC卡相結合實現的。CA證書用來認證伺服器的身份,IC卡用來認證企業用戶的身份。個人用戶由於沒有提供交易功能,所以只採用ID號和密碼口令的身份確認機制。
2.CA證書
要在網上確認交易各方的身份以及保證交易的不可否認性,需要一份數字證書進行驗證,這份數字證書就是CA證書,它由認證授權中心(CA中心)發行。CA中心一般是公認的可靠組織,它對個人、組織進行審核後,為其發放數字證書,證書分為伺服器證書和個人證書。建立SSL安全鏈接不需要一定有個人證書,實際上不驗證客戶的個人證書情況是很多的。驗證個人證書是為了驗證來訪者的合法身份。而單純的想建立SSL鏈接時客戶只需用戶下載該站點的伺服器證書(下載可以在訪問之前或訪問時進行)。
五、安全管理
為了確保系統的安全性,除了採用上述技術手段外,還必須建立嚴格的內部安全機制。
對於所有接觸系統的人員,按其職責設定其訪問系統的最小許可權。
按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法佔用、冒用合法用戶帳號和密碼。
建立安全維護日誌,記錄與安全性相關的信息及事件,有情況出現時便於跟蹤查詢。定期檢查日誌,以便及時發現潛在的安全威脅。
對於重要數據要及時進行備份,且對資料庫中存放的數據,資料庫系統應視其重要性提供不同級別的數據加密。
安全實際上就是一種風險管理。任何技術手段都不能保證1OO%的安全。但是,安全技術可以降低系統遭到破壞、攻擊的風險。決定採用什麼安全策略取決於系統的風險要控制在什麼程度范圍內。
❸ 如何保障Web伺服器安全
不但企業的門戶網站被篡改、資料被竊取,而且還成為了病毒與木馬的傳播者。有些Web管理員採取了一些措施,雖然可以保證門戶網站的主頁不被篡改,但是卻很難避免自己的網站被當作肉雞,來傳播病毒、惡意插件、木馬等等。筆者認為,這很大一部分原因是管理員在Web安全防護上太被動。他們只是被動的防禦。為了徹底提高Web伺服器的安全,筆者認為,Web安全要主動出擊。具體的來說,需要做到如下幾點。 一、在代碼編寫時就要進行漏洞測試 現在的企業網站做的越來越復雜、功能越來越強。不過這些都不是憑空而來的,是通過代碼堆積起來的。如果這個代碼只供企業內部使用,那麼不會帶來多大的安全隱患。但是如果放在互聯網上使用的話,則這些為實現特定功能的代碼就有可能成為攻擊者的目標。筆者舉一個簡單的例子。在網頁中可以嵌入SQL代碼。而攻擊者就可以利用這些SQL代碼來發動攻擊,來獲取管理員的密碼等等破壞性的動作。有時候訪問某些網站還需要有某些特定的控制項。用戶在安裝這些控制項時,其實就有可能在安裝一個木馬(這可能訪問者與被訪問者都沒有意識到)。 為此在為網站某個特定功能編寫代碼時,就要主動出擊。從編碼的設計到編寫、到測試,都需要認識到是否存在著安全的漏洞。筆者在日常過程中,在這方面對於員工提出了很高的要求。各個員工必須對自己所開發的功能負責。至少現在已知的病毒、木馬不能夠在你所開發的插件中有機可乘。通過這層層把關,就可以提高代碼編寫的安全性。 二、對Web伺服器進行持續的監控 冰凍三尺、非一日之寒。這就好像人生病一樣,都有一個過程。病毒、木馬等等在攻擊Web伺服器時,也需要一個過程。或者說,在攻擊取得成功之前,他們會有一些試探性的動作。如對於一個採取了一定安全措施的Web伺服器,從攻擊開始到取得成果,至少要有半天的時間。如果Web管理員對伺服器進行了全天候的監控。在發現有異常行為時,及早的採取措施,將病毒與木馬阻擋在門戶之外。這種主動出擊的方式,就可以大大的提高Web伺服器的安全性。 筆者現在維護的Web伺服器有好幾十個。現在專門有一個小組,來全天候的監控伺服器的訪問。平均每分鍾都可以監測到一些試探性的攻擊行為。其中99%以上的攻擊行為,由於伺服器已經採取了對應的安全措施,都無功而返。不過每天仍然會遇到一些攻擊行為。這些攻擊行為可能是針對新的漏洞,或者採取了新的攻擊方式。在伺服器上原先沒有採取對應的安全措施。如果沒有及時的發現這種行為,那麼他們就很有可能最終實現他們的非法目的。相反,現在及早的發現了他們的攻擊手段,那麼我們就可以在他們採取進一步行動之前,就在伺服器上關掉這扇門,補上這個漏洞。 筆者在這里也建議,企業用戶在選擇互聯網Web伺服器提供商的時候,除了考慮性能等因素之外,還要評估服務提供商能否提供全天候的監控機制。在Web安全上主動出擊,及時發現攻擊者的攻擊行為。在他們採取進一步攻擊措施之前,就他們消除在萌芽狀態。 三、設置蜜罐,將攻擊者引向錯誤的方向 在軍隊中,有時候會給軍人一些偽裝,讓敵人分不清真偽。其實在跟病毒、木馬打交道時,本身就是一場無硝煙的戰爭。為此對於Web伺服器採取一些偽裝,也能夠將攻擊者引向錯誤的方向。等到供給者發現自己的目標錯誤時,管理員已經鎖定了攻擊者,從而可以及早的採取相應的措施。筆者有時候將這種主動出擊的行為叫做蜜罐效應。簡單的說,就是設置兩個伺服器。其中一個是真正的伺服器,另外一個是蜜罐。現在需要做的是,如何將真正的伺服器偽裝起來,而將蜜罐推向公眾。讓攻擊者認為蜜罐伺服器才是真正的伺服器。要做到這一點的話,可能需要從如下幾個方面出發。 一是有真有假,難以區分。如果要瞞過攻擊者的眼睛,那麼蜜罐伺服器就不能夠做的太假。筆者在做蜜罐伺服器的時候,80%以上的內容都是跟真的伺服器相同的。只有一些比較機密的信息沒有防治在蜜罐伺服器上。而且蜜罐伺服器所採取的安全措施跟真的伺服器事完全相同的。這不但可以提高蜜罐伺服器的真實性,而且也可以用來評估真實伺服器的安全性。一舉兩得。 二是需要有意無意的將攻擊者引向蜜罐伺服器。攻擊者在判斷一個Web伺服器是否值得攻擊時,會進行評估。如評估這個網站的流量是否比較高。如果網站的流量不高,那麼即使被攻破了,也沒有多大的實用價值。攻擊者如果沒有有利可圖的話,不會花這么大的精力在這個網站伺服器上面。如果要將攻擊者引向這個蜜罐伺服器的話,那麼就需要提高這個蜜罐伺服器的訪問量。其實要做到這一點也非常的容易。現在有很多用來交互流量的團隊。只要花一點比較小的投資就可以做到這一點。 三是可以故意開一些後門讓攻擊者來鑽。作為Web伺服器的管理者,不僅關心自己的伺服器是否安全,還要知道自己的伺服器有沒有被人家盯上。或者說,有沒有被攻擊的價值。此時管理者就需要知道,自己的伺服器一天被攻擊了多少次。如果攻擊的頻率比較高,管理者就高興、又憂慮。高興的是自己的伺服器價值還蠻大的,被這么多人惦記著。憂慮的是自己的伺服器成為了眾人攻擊的目標。就應該抽取更多的力量來關注伺服器的安全。 四、專人對Web伺服器的安全性進行測試 俗話說,靠人不如靠自己。在Web伺服器的攻防戰上,這一個原則也適用。筆者建議,如果企業對於Web服務的安全比較高,如網站伺服器上有電子商務交易平台,此時最好設置一個專業的團隊。他們充當攻擊者的角色,對伺服器進行安全性的測試。這個專業團隊主要執行如下幾個任務。 一是測試Web管理團隊對攻擊行為的反應速度。如可以採用一些現在比較流行的攻擊手段,對自己的Web伺服器發動攻擊。當然這個時間是隨機的。預先Web管理團隊並不知道。現在要評估的是,Web管理團隊在多少時間之內能夠發現這種攻擊的行為。這也是考驗管理團隊全天候跟蹤的能力。一般來說,這個時間越短越好。應該將這個時間控制在可控的范圍之內。即使攻擊最後沒有成功,Web管理團隊也應該及早的發現攻擊的行為。畢竟有沒有發現、與最終有沒有取得成功,是兩個不同的概念。 二是要測試伺服器的漏洞是否有補上。畢竟大部分的攻擊行為,都是針對伺服器現有的漏洞所產生的。現在這個專業團隊要做的就是,這些已發現的漏洞是否都已經打上了安全補丁或者採取了對應的安全措施。有時候我們都沒有發現的漏洞是無能為力,但是對於這些已經存在的漏洞不能夠放過。否則的話,也太便宜那些攻擊者了。
❹ 怎樣保護伺服器不受停電影響
保護伺服器不受停電影響,應用最廣泛的方法就是給電源和伺服器之間接UPS,這樣在斷電後的十幾分鍾甚至幾十分鍾內,UPS都可以為伺服器提供穩定電流,直到外部備用電源被接入伺服器,可以保證伺服器不會中斷服務,或者不會因為頻繁的斷電而受到損壞。
UPS,即不間斷電源,是將蓄電池(多為鉛酸免維護蓄電池)與主機相連接,通過主機逆變器等模塊電路將直流電轉換成市電的系統設備。主要用於給單台計算機、計算機網路系統或其它電力電子設備如電磁閥、壓力變送器等提供穩定、不間斷的電力供應。
❺ .電子商務網站的安全防範技術
電子商務網站的安全措施
2.1 防火牆技術防火牆是指一個由硬體設備或軟體、或軟硬體組合而成的,在內部網與外部網之間構造的保護屏障。所有的內部網和外部網之間的連接都必須經過此保護層,並由它進行檢查和連接。只有被授權的通信才能通過防火牆,從而使內部網路與外部網路在一定意義下隔離,防止非法入侵、非法使用系統資源、執行安全管制措施。防火牆基本分為兩類:包過濾和基於代理的防火牆。包過濾防火牆對數據包進行分析、選擇,依據系統內事先設定的過濾邏輯來確定是否允許該數據包通過。代理防火牆能夠將網路通信鏈路分為兩段,使內部網與Internet不直接通信,而是使用代理伺服器作為數據轉發的中轉站,只有那些被認為可信賴的數據才允許通過。這兩種防火牆各有其優缺點:包過濾器只能結合源地址、目標地址和埠號才能起作用,如果攻擊者攻破了包過濾防火牆,整個網路就公開了。代理防火牆比包過濾器慢, 當網站訪問量較大時會影響上網速度;代理防火牆在設立和維護規則集時比較復雜,有時會導致錯誤配置和安全漏洞。由於這兩種防火牆各有優缺點,因而在實際應用中常將這兩種防火牆組合使用。目前市場上最新的防火牆產品集成了代理和包過濾技術,提供了管理數據段和實現高吞吐速度的解決方案。這些混合型的設備在安全要求比吞吐速度有更高要求時,能實行代理驗證服務,在需要高速度時,它們能靈活地採用包過濾規則作為保護方法。
2.2 入侵檢測系統防火牆是一種隔離控制技術,一旦入侵者進入了系統,他們便不受任何阻擋。它不能主動檢測和分析網路內外的危險行為,捕捉侵入罪證。而入侵檢測系統能夠監視和跟蹤系統、事件、安全記錄和系統日誌,以及網路中的數據包,識別出任何不希望有的活動,在入侵者對系統發生危害前,檢測到入侵攻擊,並利用報警與防護系統進行報警、阻斷等響應。入侵檢測系統所採用的技術有: (1)特徵檢測:這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又網路時空不會將正常的活動包含進來。 (2)異常檢測:假設入侵者活動異於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
2.3 網路漏洞掃描器沒有絕對安全的網站,任何安全漏洞都可能導致風險產生。網路漏洞掃描器是一個漏洞和風險評估工具,用於發現、發掘和報告安全隱患和可能被黑客利用的網路安全漏洞。網路漏洞掃描器分為內部掃描和外部掃描兩種工作方式: (1)外部掃描:通過遠程檢測目標主機TCP/IP不同埠的服務,記錄目標給予的回答。通過這種方法,可以搜集到很多目標主機的各種信息,例如:是否能用匿名登錄、是否有可寫的FTP目錄、是否能用TELNET等。然後與漏洞掃描系統提供的漏洞庫進行匹配,滿足匹配條件則視為漏洞。也可通過模擬黑客的進攻手法,對目標主機系統進行攻擊性的安全漏洞掃描。如果模擬攻擊成功,則可視為漏洞存在。 (2)內部掃描:漏洞掃描器以root身份登錄目標主機, 記錄系統配置的各項主要參數,將之與安全配置標准庫進行比較和匹配,凡不滿足者即視為漏洞。
2.4 防病毒系統病毒在網路中存儲、傳播、感染的途徑多、速度快、方式各異,對網站的危害較大。因此,應利用全方位防病毒產品, 實施「層層設防、集中控制、以防為主、防殺結合」的防病毒策略,構建全面的防病毒體系。常用的防病毒技術有: (1)反病毒掃描:通過對病毒代碼的分析找出能成為病毒結構線索的唯一特徵。病毒掃描軟體可搜索這些特徵或其它能表示有某種病毒存在的代碼段。 (2)完整性檢查:通過識別文件和系統的改變來發現病毒。完整性檢查程序只有當病毒正在工作並做些什麼事情時才能起作用,而網站可能在完整性檢查程序開始檢測病毒之前已感染了病毒,潛伏的病毒也可以避開檢查。 (3)行為封鎖:行為封鎖的目的是防止病毒的破壞。這種技術試圖在病毒馬上就要開始工作時阻止它。每當某一反常的事情將要發生時,行為封鎖軟體就會檢測到並警告用戶。
2.5 啟用安全認證系統企業電子商務網站的安全除網站本身硬體和軟體的安全外,還應包括傳輸信息的安全。對一些重要的的傳輸信息,應保證信息在傳輸過程中不被他人竊取、偷看或修改。因此,應在網站伺服器中啟用安全認證系統。安全認證系統對重要的信息採用密碼技術進行加密,使它成為一種不可理解的密文。接收方收到密文後再對它進行解密,將密文還原成原來可理解的形式。目前,在電子商務中普遍採用SSL安全協議。SSL安全協議主要提供三方面的服務: (1)認證用戶和伺服器,使得它們能夠確信數據將被發送到正確的客戶機和伺服器上。 (2)加密數據以隱藏被傳送的數據。 (3)維護數據的完整性,確保數據在傳輸過程中不被改變。
3 結束語
任何一種安全措施都有其局限性,企業電子商務網站的設計人員必須在精心的安全分析、風險評估、商業需求分析和網站運行效率分析的基礎上,制定出整體的安全解決方案。為保證整體安全解決方案的效率,各安全產品之間應該實現一種聯動機制。當漏洞掃描器發覺安全問題時,就會通知系統管理員,及時採取補漏措施;當入侵檢測系統檢測到攻擊行為時,就會利用防火牆進行實時阻斷;當防病毒系統發現新病毒時,也會及時更新入侵檢測系統的病毒攻擊庫,以提高入侵檢測系統的檢測效率;由於安全產品和伺服器、安全產品與安全產品之間都需要進行必要的數據通信,為了保證這些通信的保密性和完整性,可以採用安全認證手段。只有當各種安全產品真正實現聯動時,網路安全才能得到保障。
❻ 電子商務安全方面的措施有哪些
適當設置防護措施可以降低或防止來自現實的威脅。在通信安全、計算機安全、物理安全、人事安全、管理安全和媒體安全方面均可採取一定的措施,整個系統的安全取決於系統中最薄弱環節的安全水平,這就需要從系統設計上進行全面的考慮,折中選取。
電子商務中的安全措施包括有下述幾類:
(1)保證交易雙方身份的真實性:常用的處理技術是身份認證,依賴某個可信賴的機構(CA認證中心)發放證書,並以此識別對方。目的是保證身份的精確性,分辨參與者身份的真偽,防止偽裝攻擊。
(2)保證信息的保密性:保護信息不被泄露或被披露給未經授權的人或組織,常用的處理技術是數據加密和解密,其安全性依賴於使用的演算法和密鑰長度。常見的加密方法有對稱式密鑰加密技術(如DES演算法)和公開密鑰加密技術(如RSA演算法)。
(3)保證信息的完整性:常用數據雜湊等技術來實現。通過散列演算法來保護數據不被未授權者(非法用戶)建立、嵌入、刪除、篡改、重放。典型的散列演算法為美國國家安全局開發的單向散列演算法之一。
(4)保證信息的真實性:常用的處理手段是數字簽名技術。目的是為了解決通信雙方相互之間可能的欺詐,如發送用戶對他所發送信息的否認、接收用戶對他已收到信息的否認等,而不是對付未知的攻擊者,其基礎是公開密鑰加密技術。目前,可用的數字簽名演算法較多,如RSA數字簽名、ELGamal數字簽名等。
(5)保證信息的不可否認性:通常要求引入認證中心(CA)進行管理,由CA發放密鑰,傳輸的單證及其簽名的備份發至CA保存,作為可能爭議的仲裁依據。
(6)保證存儲信息的安全性:規范內部管理,使用訪問控制許可權和日誌,以及敏感信息的加密存儲等。當使用WWW伺服器支持電子商務活動時,應注意數據的備份和恢復,並採用防火牆技術保護內部網路的安全性。
❼ 如何做好伺服器安全維護
近期接到很多站長的求助,伺服器被黑,網站被掛馬,快照被劫持等等。
在這里,我們(南昌壹基比)給大家講下加強伺服器和網站安全的方法。
一、關閉不常用的伺服器埠
1、我們網站用戶常用的埠一般有:FTP(21)、SSH(22)、遠程桌面(3389)、http(80)、https(443),以及部分管理面板需要使用到的特殊埠。如:寶塔(8888)等等 在這里,如果是網站用戶除了http(80)是必須常開的,其他的埠都可以在需要使用的時候再打開,使用完畢後立即關閉。
2、如果你使用了伺服器管理面板(linux),比如wdcp,wdcp默認的埠是8080,強烈建議你在wdcp後台修改默認的埠。(防止被惡意連接)
3、如果你使用的是windows系統的伺服器,我也強烈建議你修改windows系統默認的遠程連接埠。
4、FTP(21)是用來上傳網站源碼使用的,在不使用的情況下最好關閉掉,避免暴力破解等操作。
二、謹慎安裝不明來源的程序、插件
從互聯網下載的程序、插件,我們不敢保證100%的可信,所以請不要隨意安裝不明來源的程序和插件。一旦這些程序、插件帶有後門,那麼你的伺服器可能就GG了。
作為使用discuz的站長,插件、模板等盡量從discuz官方應用中心下載安裝,畢竟這些應用都是經過discuz應用中心審核過的,安全性有一定的保證。
使用wordpress的站長,安裝模板和插件時,先搜下wordpress後台的插件中心中是否有你需要的插件,如果沒有,再考慮從值得信賴的第三方網站下載插件。其他程序同理!
三、有條件的站長們可以考慮站庫分離(網站程序和資料庫分開來放置)
四、web伺服器磁碟許可權要做好。
刪除不必要的用戶,如:everyone(所有人,危險程度5星~)可以只保留administrator、system以及網站用戶即可
五、市面上有很多網站加固安全軟體可以適當安裝。
但是優化過程中要慎重,避免優化過度導致網站打開出問題。
六、定期對網站以及資料庫做備份。
(有條件的話異地備份最好)避免伺服器硬碟掛掉導致所有的辛苦付之一炬~
七、保存好伺服器的密碼和網站、資料庫密碼。
密碼要定期修改,盡可能的復雜一些
八、伺服器漏洞補丁修復。
有很多站長可能對補丁會有所忽略,補丁其實是重中之重,很多入侵者都是針對系統漏洞進行入侵
❽ 作為一個電子商務的網站擁有者,如何實現網路安全
中小型企業電子商務網站的安全實現方案
什麼是網路安全。
「網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。」i相對於中小型企業的電子商務網站來說,網路安全就是指網站上的數據能夠安全的不間斷地提供穩定的服務。我將從硬體安全、網路安全、系統安全、代碼安全四個方面來闡述對中小型企業的電子商務網站的安全實現方案。 2.硬體安全。
2.1 給伺服器加把鎖
物質是基礎,硬體就是電子商務的基礎。但是硬體的安全往往是最容易被網路管理人員所忽視的。其中比較棘手的一個問題就是,在你的電腦上沒有任何的防護措施來防止進入你辦公室的同事使用你的電腦。如果作為工作站,還沒有太大的問題,但是如果作為伺服器任何非專業的操作都有可能導致系統不穩定。所以,伺服器必須加上物理鎖,以防止其他人的使用。使用密碼當然也可以,但是遠遠不如物理鎖來的直接和實在。而且您還可以有絕佳的借口可以絕對的禁止其他人員對您電腦的使用。(鑰匙在經理那裡,要不,您管他要去?) 2.2 UPS以及發電機
電子商務優勝於傳統商務模式的一個顯著特點就是它可以24小時不間斷地提供服務。但是,前提是您的伺服器同樣能夠24小時來服務。經過了2004年拉閘限電的夏天,沒有人認為一台UPS的投入會是多餘的。對於伺服器來說,UPS的好處還在於它能夠將電流過濾穩定地輸出,以保證伺服器在一個良好的環境里運行。如果公司的伺服器不止一台,而且公司處於像大連這樣的能源消耗大城市,一台發電機還是必要的。好好的維護它,每周運行一次來檢查他是否能夠正常工作。不要覺得麻煩,麻痹是安全最大的敵人 2.3 對付災難的方法——備份!
就如這個世界上沒有不會被攻破的城市一樣同樣不存在絕對安全的伺服器,操作系統的漏洞,代碼的不安全,管理人員的疏忽都有可能造成具有寶貴數據伺服器的崩潰。崩潰不是DOOM,但是前提是您必需有伺服器中數據的備份。一提到備份,對於某些人來講,不過是將網站的所有數據刻錄到光碟上的過程而已。但是,對於電子商務網站,如果處理的數據過多,是不可能通過這樣的手段來實現的。經過培訓的人員或許會想到磁帶機以及實時備份的技術,這的確是一個解決方案。但是,簡單的通過設備來備份並不能夠在最危機的時刻顯示它的作用。在911事件發生後,原來世貿大廈中60%以上的企業都倒閉了,原因就是缺乏足夠的資料以及數據能夠讓他們恢復被襲擊之前的業務。所以,如果您想讓您的數據真正的備份那麼最好的辦法就是在遠離公司的異地辦事處設定一個備份中心。威力再大的核彈也不可能摧毀整個中國,這是最安全的備份方案。對於數據比較少的情況下,可以選擇在萬維網上建立vpn連接異地雙機熱備份的方法。當然,對於實施電子商務這種數據比較多地中小型企業來說,這樣也比較奢侈,而且不太可能實現。我個人認為最優的方案仍然是通過設備——磁帶機,或者其他設備,但是,請將保存資料的東西放進保險櫃。保險櫃是每個企業都有的設備,而且現在的保險櫃都是防水,防火,防砸的。這樣,即使發生了自然災害也能夠很好的保證數據的完整性。
3.網路安全
3.1 拓撲安全
一般來說,我國的中小型企業所採用的網路拓撲大多為簡單的樹型結構。只有一級路由設備來實現工作組的支持和寬頻網路的共享。
這樣的拓撲結構優點非常明顯,可以將投資降到最小。但是,同時它的危險性也非常明顯。因為所有的客戶端都同電子商務伺服器在同一個網段,(for example: 192.168.1.1——192.168.1.254)當電子商務伺服器被入侵後,企業內部網路的所有客戶端都將暴露在黑客的視線內,內部的網路通訊以及計算機上面的文檔都將有可能被黑客所得到。
為了避免這樣的「慘劇」發生。我建議對網路進行多重路由的部署,即將電子商務伺服器部署成「非軍事化區」(DMZ),佔用獨立的網段。將企業內部網路同電子商務伺服器的網段分開。因為不同的網段如果沒有中繼是無法進行通訊的,即便黑客入侵了電子商務伺服器,也無法獲取企業內部的信息。
就是可以隨意的設置每個網段的相關屬性,比如路由A所控制的網段A,由於電子商務伺服器在他的網段中運行,存在著一定的危險性,可以設置成不允許他訪問其他的內網網段。而路由B所控制的網段,假設為保密部門,可以設定他只能訪問內部網路卻無法訪問互聯網。
多層拓撲的另外一個好處就是可以部署多層次防火牆。打個比方,多層次防火牆的功能就好比戰場上的多重防線,如果只被攻破了一層防火牆,後面還有另外的防火牆來阻止「敵人」的進一步進攻。
3.2防火牆
3.2.1 軟體防火牆,或者硬體防火牆的選擇。
圖1所涉及到的拓撲還有一個非常明顯的問題就是,沒有防火牆。我個人認為不安裝防火牆就連接到互聯網的行為無異於赤身裸體的出現在硝煙彌漫的戰場,結果當然只有一個。
同個人使用的終端電腦所不同的是電子商務伺服器必須開放相應的服務埠,來允許對方的訪問。正如您所知道的,多開放一個埠,您的伺服器危險性就相應的增加一些。還有,很讓人無奈的DDOS攻擊,很無聊的做法,但是往往有很多無聊的人願意這么無聊的做。如果沒有防火牆,安全穩定的運行往往就是一句空話。
對於網路資金預算比較充裕的企業往往在防火牆的選擇上會偏好於硬體防火牆。但是對於網路安全這樣一個並不能夠直接產生利潤的部門,資金預算充裕的恐怕是寥寥無幾。還有一點值得注意的就是我對有些硬體防火牆的性能表示懷疑。有些廠商所生產的硬體防火牆,幾乎就是台式機+linux+防火牆的組合體。而使用軟體防火牆,我們有可能比它做得更好。所以我建議您選擇軟體防火牆。 3.2.2 軟體防火牆ISA server 2004
涉及到防火牆我們就必須提一下防火牆的原理。大家都知道,網路通信的概念性標准框架是國際標准化組織(ISO)提出的OSI 開放式系統互聯模型。
太多了太長,下面這里是鏈接,樓主有空了就自己點擊進去看看吧,
希望可以對你有所幫助。。
❾ 如何保證Web伺服器安全
一、在代碼編寫時就要進行漏洞測試。
二、對Web伺服器進行持續的監控。
三、設置蜜罐,將攻擊者引向錯誤的方向。
四、專人對Web伺服器的安全性進行測試。
❿ 電子商務平台如何維護
電子商務網站維護包含以下幾部分:
網站維護是為了讓您的網站能夠長期穩定地運行在Internet上,及時地調整和更新您的網站內容,在瞬息萬變的信息社會中抓住更多的網路商機; 對網站的內容更新頻率進行分析,幫助企業尋找最適合的更新頻率,更新越快的網站,用戶黏貼度越高,網站價值發揮越大; 網站維護的項目伺服器的軟硬體維護;
包括伺服器、操作系統、和Internet聯接線路等等,以確保網站的24小時不間斷正常運行。網站內容的更新一個好的網站需要定期或不定期地更新內容,才能不斷地吸引更多的瀏覽者,增加訪問量; 伺服器軟硬體維護;
計算機硬體在使用中常會出現一些問題,同樣,網路設備也同樣影響企業網站的工作效率,網路設備管理屬於技術操作,非專業人員的誤操作有可能導致整個企業網站癱瘓。 沒有任何操作系統是絕對安全的。維護操作系統的安全必須不斷的留意相關網站,及時的為系統安裝升級包或者打上補丁; 網站內容更新;
建站容易維護難,網站的建設單位可以考慮從以下五個方面入手:
在網站建設初期,就要對後續維護給予足夠的重視,要保證網站後續維護所需資金和人力。很多單位是以外包項目的方式建設網站的,建設時很捨得投入資金。可是網站發布後,維護力度不夠,信息更新工作遲遲跟不上;
要從管理制度上保證信息渠道的通暢和信息發布流程的合理性。網站上各欄目的信息往往來源於多個業務部門,要進行統籌考慮,確立一套從信息收集、信息審查到信息發布的良性運轉的管理制度。既要考慮信息的准確性和安全性,又要保證信息更新的及時性。要解決好這個問題,領導的重視是前提;
在建設過程中要對網站的各個欄目和子欄目進行盡量細致的規劃,在此基礎上確定哪些是經常要更新的內容,哪些是相對穩定的內容。由承建單位根據相對穩定的內容設計網頁模板,在以後的維護工作中,這些模板不用改動,這樣既省費用,又有利於後續維護;
對經常變更的信息,盡量用結構化的方式(如建立資料庫、規范存放路徑)管理起來,以避免數據雜亂無章的現象。如果採用基於資料庫的動態網頁方案,則在網站開發過程中,不但要保證信息瀏覽環境的方便性,還要保證信息維護環境的方便性;
要選擇合適的網頁更新工具。信息收集起來後,如何」寫到」網頁上去,採用不同的方法,效率也會大大不同。比如使用Notepad直接編輯HTML文檔與用Dreamweaver等可視化工具相比,後者的效率自然高得多。倘若既想把信息放到網頁上,又想把信息保存起來以備以後再用,那麼採用能夠把網頁更新和資料庫管理結合起來的工具效率會更高;
網上還有一些人員專門為企業站提供維護支持;
參考資料:東莞培基官方網站