摘 要
近几年我国的互联网技术发展迅速,电子商务这种新兴经济产业应运而生,目前已经在我国的市场经济中占有很大份额,其中影响电商企业发展的重要因素之一就是安全问题。文章主要研究分析了电子商务的网络方面问题,首先对电子商务的发展现状做了简要介绍,客观分析了我国电子商务发展过程中所面临的安全问题。然后探讨了电子商务在网络安全问题方面所采取的安全应用措施,比如实名认证、电子合同、邮件加密等措施。针对这些安全问题以及电商所采用的安全应用措施,着重探讨了电商中网络安全技术,包括入侵检测、数据加密、身份认证以及防火墙等技术。文章主要对防火墙技术进行分析阐述,分析不同类型防火墙,阐述防火墙在信息传输过程中对数据流的识别保护流程,检查数据报文,过滤掉一些攻击,防止病毒等恶意程序的攻击。文章第三部分运用防火墙技术对小型电商网络进行规划设计,对商家、用户和平台三方之间的信息访问数据流进行识别过滤,保证信息的安全传输。
关键词:电子商务;网络安全;防火墙技术
引言
随着互联网及电子商务不断地发展而逐渐渗入到了人们的日常生活、移动终端、交易和支付等各个环节,网络安全也就成了一个聚焦点与不可逾越的技术鸿沟。尽管目前网上支付安全技术方面及对于信息安全管理工作一直以来都在逐步地进行不断的改革完善和提高升级,但是频发的网上支付和信息泄露等安全事故和案件仍然会使得广大消费者对于进行网上支付和信息交流工作时产生一定的风险性担忧,影响网络安全的因素主要有各种自然的原因和各种人为的因素[1]。但如果将这两个大因素进行详细地分解的话主要可以划分为网络病毒的传染、外部网络的恶意袭击、内部的个人力量恶意袭击、系统代码的编写处理过程中的错误、信息传递中的隐私权保护。因而,如何加强计算机网络安全,保护计算机系统不被黑客恶意攻击已经成为一个不可忽视的重要问题。随着信息技术的发展,计算机网络安全技术在生活中扮演着越来越重要的作用,但是网络协议簇TCP/IP存在着脆弱性与不安全性,会严重影响人们的上网体验。一些非法病毒的渗入如勒索病毒,木马等,传统的防护墙不能满足客户们的需要,所以计算机安全提上了日程。通过因特网,企业可以从不同的地方检索重要的数据。同时,他们也面临着互联网开放带来的数据安全的挑战和危险。分布广泛的企业内网与公网互联,面临多种安全威胁,易受外部攻击,造成非法访问网络和信息泄露。因交易信息传输异常,电商不能正常运行,犯罪分子对交易信息给予破坏再从中受益。
1 电子商务中的安全应用
电子商务是通过移动互联网将线下和线上相结合的运行模式,依托移动互联网和大数据来实现商品的交易活动。管理员和用户可以在网上进行线上咨询、线上订购以及网上支付等活动。通过电子商务这种交易模式减少了企业和消费者之间的成本。保证用户在进行电子贸易时的信息资产安全,及时采取安全措施对交易信息进行保护。
1.1移动支付
消费者通过使用移动设备在互联网通过安全的访问路径向银行传递支付信息,将消费金额转移到平台的资金账户。等待消费者通过物流等途径收取所购买商品,并确认商品无误后,平台会将属于商家的那部分商品货款从暂存的资金账户转到商家账户,完成交易。随着我国乃至世界各地的全球市场以及互联网环境下支付服务体系的日趋便捷,新的互联网络安全危害陷阱也逐步显现出来。针对移动支付,很多不法分子利用支付过程中的漏洞,对用户的资产进行非法转移,比如之前出现的病毒二维码,用户在不知情的情况下通过扫描经过不法分子伪装的支付二维码进行支付后,不法分子会在后台获取用户的资产以及账户信息,在用户不知情的情况下进行盗刷甚至是转移全部资产,因此,比如微信支付、支付宝这些支付软件都是通过远程云服务来完成客户端相应的操作,并且用户在操作的过程中,远程的应用服务器都会先验证用户的身份以及所使用终端设备是否合法,保证用户在交易过程中的安全。
1.2网上实名认证
网上实名认证是用来验证用户的资料是否真实,查验用户的资料是否掺杂虚假信息成分,帮助用户和商家以及第三方平台之间建立起可信可靠的交易基础。目前用户通常会通过银行卡认证和身份认证这两种方式来完成实名认证,来确保信息真实。平台经过信息比对确认无误后,会将用户信息存入数据库。一旦消费者用户在平台进行购买法律严禁的违禁品,或进行一些违反平台规定的操作后,实名认证这种方式就可以快速帮助警方和平台查找到消费者以及商家信息,从而对非法行为进行打击。除此之外,实名认证还净化了网络环境,阻断了那些想利用匿名行为来对用户信息进行木马攻击,入侵电脑破坏的行为进行约束,减少了信息盗取事件的发生率。如图1.1是用户实名认证流程。
1.3电子合同签订
相较于传统合同的签订,电子合同的签署方式在电子商务中使用更加广泛。电子合同是在互联网的大环境下双方进行交易合作意愿的商议与敲定签署。这种方式打破了传统签署方式的地域限制,减少了一些不必要的流程。签订结束后电子合同会被加密保存,存储在第三方的CA认证平台,且具有法律效益,签署双方不可以对合同内容进行否认。签署过程中CA认证平台会对签署双方采用实名认证、数字签名以及数据加密等技术,对双方的身份进行验证以及对数据进行加密,防止内容被篡改。
1.4邮件传输安全
当前大部分用户之间一般会采用简单的邮件传输协议进行明文邮件传输,通过这种方式发送的邮件数据是没有进行任何加密保护的,一旦邮件在传输的过程中被攻击者截取,那么其中包含有机密信息的数据包就会被人非法传输利用。因此当有涉及机密信息邮件进行传输时,发送者会采用加密手段对传输邮件进行加密,邮件加密采用的是一封邮件和一个加密密码,即使攻击者会在发送途中将邮件拦截下来,也不能获取邮件的真实内容。加密邮件保证了邮件在传输过程中的数据安全,有效避免了泄露等问题的发生。保证信息在数据传输过程中不会被破坏、修改和丢失,同时抑制信息内容的传播。加密邮件传输过程如图1.2所示。
2 网络安全技术和防火墙技术
2.1网络安全技术
2.1.1入侵检测技术
入侵检测(IDS)相当于一个网络设备中的网络摄像头,它的部署模式是旁路模式,工作在TCP/IP的2-7层。它根据旁路部署的位置,检测到一些威胁的攻击流量进行数据的分析。使用探测器、分析器和用户接口去连接所要部署的设备,对于非信任的网络告诉网络管理员网络流量的攻击行为。它是基于规则库进行分析的,可以对于一些异常流量进行检测,事后管理员通过统计分析模型对与已经产生的事件进行集中的呈现分析,属于事后的检测系统。如图2.1所示是入侵检测系统的工作流程。
通用入侵检测系统框架(CommonIntrusionDetectionFramework,CIDF)包含四个主要部分,如图2.2所示。各部件主要功能:
(1)事件产生器:它可以对事务进行查看,确认是否是其产生的。
(2)事件分析器:它是整个系统的关键模块,事后进行及时的分析以做出预警。
(3)事件数据库:通过事件分析器得出的确认入侵行为的模式将被存储到事件数据库,同时分析提取入侵行为的特征。
(4)响应单元:它是对事务分析器的模块进行及时的响应,刚有非法入侵会及时的做出响应去通知数据分析器,然后放到数据库里面进行监测。
2.1.2数据加密技术
在系统运行时,会出现一些敏感用户信息,如用户账号、密码等隐私信息,有些非法黑客会利用系统漏洞非法盗用用户信息,对消费者和商家造成巨大损失。这样系统的存在就极其需要应用数据加强技术对其进行安全性能上的保障。预防信息被黑客盗取或者监听,信息的加解密技术一般建立在数字密码学之上。但是对称加密存在两方面的缺陷,一是传输风险的问题,二是密钥多管理难的问题。为了弥补此缺陷采用了非对称加密技术。非对称加密算法如图2.3所示,当有一组数据进入时,如果是以明文的形式去传输,会有公钥的密钥去加密,当有密文的形式传输,会以私钥去解密。一组数据使用私钥加密,对这一组数据解密的唯一办法便是使用与之相对应的公钥。
对称加密算法的密钥简单,加密和解密速度快,难以解码。且密钥的管理困难。发送密文时,为了确保密钥不会被公开,传送密钥需要可靠的传输路径。如图2.4所示。
2.1.3身份认证技术
身份认证技术是一种安全的用户认证技术,可以及时发现用户的身份,身份认证技术可以确认操纵者身份在电脑中的信息,如Alice拥有自己的公钥和私钥。然后BOB通过公网传输可以接收到Alice的信息。但是确认不了公钥的真实性。这是就需要一个可信机构CA机构颁布。数字签名最常用于HTTP协议中,来保证HTTP协议中数的不可否认性安全性。除此之外,用户还可通过静态密码或动态密码的方式进行登录。静态密码通常是由数字、小写字母、大写字母和特殊符号中的两种或三种以上构成的固定密码,安全系数较低。动态密码主要是通过手机用户扫描二维码、硬件令牌或短信接受动态验证码来进行登录操作,安全性较强。加密技术能够增加病毒入侵的难度,在设置密码或者口令时用户应当将各类符号相互组合,使得加密形式复杂化。
2.2防火墙技术
2.2.1防火墙
防火墙是保证电子商务安全的第一道防线。从严格意义上讲,防火墙设备即是一个分隔限制器,也是一个分析设备。防火墙主要的作用就是防止受到网络攻击而造成重要的数据流失。它监视整个内部网络,从宏观上把握与外网的所有数据交流活动,确保内网绝对安全。以防火墙为代表的静态的防护模式,主要作用是“防”,通过切断外网数据流进入内网的通道来达到保护内网安全的目的。同时,防火墙对从内网向外流出的数据流进行严格加密,提高流出信息的保密性,以防重要信息被不法设备获取导致信息泄露。除此之外,防火墙技术还能够将用户的正常访问停止的时间和用户登录的地点实时记录下来,提高对网络攻击的抵御能力。
2.2.2防火墙的分类
如图2.5所示为防火墙结构图。
2.1.3包过滤防火墙
包过滤防火墙是按照数据包的五元组属性去判断,它的工作范围应用于TCP/IP协议中的第3-4层,它是通过匹配规则去实现其放行或者拒绝,不是选择一个到达目的地址的最短路径。它是直接检查数据的报文头,通过拒绝违反规则以及没有相关规则的数据包进入内部网络。包过滤防火墙工作流程如图2.6所示。
优点:对于小型站点容易实现,处理速度快,价格便宜。
缺点:只检查数据包的头部,不检查数据(应用层),安全性较低。
2.1.4应用代理型防火墙
应用代理型防火墙针对OSI模型应用层(7层)所有的信息包进行检测和扫描,主要特征是可以完全隔离网络通信流,可以有效的防止恶意入侵和病毒。所有内部网络和外部网络之间的联系都需要代理服务器从中间斡旋,为两者提供联系的机会。代理防火墙处理所有网络之间的联系,会使用与每个网络相匹配的特定软件,一对一处理,安全性较高。
优点:检查了应用层的数据。
缺点:对系统整体性能有较大影响,导致数据包吞吐能力降低,处理效率低。
包过滤与应用代理型防火墙的区别:包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。应用代理防火墙工作在7层,检查所有的应用层信息包,每个应用需要添加对应的代理服务。
2.1.5状态检测防火墙
状态检测防火墙通过IP地址、端口号以及TCP标记,划分安全区域并动态分析报文的状态决定对报文采取动作。不仅仅检查数据包中的头部信息,而且会跟踪数据包的状态,首次检查建立会话表,后期按会话表放行。
优点:不需要对每个会话进行检测,处理速度快,安全性高。
缺点:应用层控制较弱,不检查数据区。
2.1.6入侵防御系统
入侵防御系统IPS是串联部署的,它工作在2-7层,通过系统内大数据分析以及专家识别等手段来形成过滤器。它的设备识别基于异常流量监测以及一些非开放端口的分析,通过判定设备的过滤器特征库来匹配,如果匹配失败则放行,如果匹配成功则拒绝访问服务。它是一种事后的检测行为,可以对病毒直接进行查杀和识别阻断。IPS的目的是针对已经出现的网络威胁采取防御措施进行防御。IPS入侵防御流程如图2.7所示。
3 电子商务中的安全问题
根据国家互联网针对恶意程序、漏洞、云平台安全以及金融安全等的宏观监测数据显示,与2019年上半年数据比较,2020年上半年我国境内通用型“零日”漏洞收录数量,涉及关键信息基础设施的事件型漏洞通报数量,遭篡改、植入后门、仿冒网站数量等有所上升,其他各类监测数据有所降低或基本持平。
3.1蠕虫病毒攻击
通常病毒是通过寄生在目标程序之中,将指令代码写到目标程序内部,从而目标文件就成为了“宿主”。当管理员执行这个目标文件的时候,蠕虫病毒就会对计算机实现控制。蠕虫病毒入侵攻击主要分为扫描-攻击-复制三步:
扫描:蠕虫病毒通过网络之间的互通,它是不需要外界的介质就可以直接传播,它入侵后会进行扫描计算机中的脆弱端口号准备发起攻击。
攻击:蠕虫病毒是通过寄生的方式。通过感染一台终端设备使它成为宿主,然后进行1对N台电脑的感染,它的自我复制性,繁殖性极高。
复制:通过与其他受感染的终端,使其成为蠕虫传播的主体。
实际上,复制过程就是文件传输的过程。
3.2数据泄露
数据泄露攻击是对一些用户没有正确的去处理一些特殊的文件,通过访问一些敏感信息会导致库服务器,数据库,操作系统里面的账号,身份信息遭到泄露,从而导致系统工作效率降低、删除破坏数据、阻塞网络甚至是被后门控制。特洛伊木马是一个程序,驻留在目标计算机里。未经用户管理员同意的情况下,对设备中的文件数据非法更改甚至是盗取使用。木马程序通常情况会伪装成合法用户针对系统中的薄弱环节进行攻击。
3.3平台管理的安全防护不到位
管理制度的不完善,肯定会造成安全威胁,如机房的出入、漏洞的修复等。79%的企业终端都存在着未修复的高危漏洞。2020年雅诗兰黛就曾因为安全疏忽导致服务器遭到黑客的非法入侵,致使数据库中未经加密保护的数据泄露。其中大概有4.4亿条客户记录和内部日志等敏感数据的泄露,泄露数据还包含有用户邮件信息等私密信息。
3.4DoS攻击
DoS攻击(DenialofService),是一种拒绝式的服务器攻击,通过向客户发送大量的使服务区负载增加从而导致访问异常甚至断网。DDoS它是一种分布的攻击流量威胁行为,是DoS攻击的一种,DDoS攻击大多数情况下通过使用大量流量来访问目标服务器,通过利用超出带宽承载能力的带宽流量,消耗服务器性能,从而导致网络瞬间崩溃,使得目标服务器停止正常工作,最终服务也就无法访问。
本站文章通过互联网转载或者由本站编辑人员搜集整理发布,如有侵权,请联系本站删除。