電商企業(yè)網絡安全體系架構的研究與設計

1、    電商企業(yè)網絡安全體系架構的研究與設計    馬銘惠摘要：近年來，電子商務中的網絡安全問題日益突顯，逐步成為電商企業(yè)長遠發(fā)展面臨的重大難題。該文通過研究目前主流的網絡安全技術，設計一個電商企業(yè)的網絡安全體系架構，探討了電商企業(yè)網絡安全問題的解決方案。關鍵詞：電商企業(yè)；網絡安全；體系架構：tp393 ：a ：1009-3044（2017）29-0299-021 背景近年來，隨著網絡的廣泛運用，電子商務已經成為主流的商業(yè)貿易方式。與此同時，電商企業(yè)的網絡安全隱患也日益嚴峻。各種網絡攻擊事件層出不窮：2015年5月，擁有將近3億活躍用戶的支付寶出現了大面

2、積癱瘓，全國多省市支付寶用戶遇到電腦端和移動端均無法進行轉賬付款、出現余額錯誤等問題；2017年5月，勒索病毒大規(guī)模爆發(fā)，全球范圍內有近百個國家遭到攻擊，很多電商企業(yè)內部的數據資料都遭破壞，這對企業(yè)都是致命的打擊。電商企業(yè)的網絡安全問題根源就在于計算機系統漏洞、網絡安全協議不完整、電子商務網站的編碼漏洞以及網絡安全設備存在技術性不足等。因此，如何提高電商企業(yè)的網絡系統安全性，降低黑客攻擊、木馬和病毒侵染等對電子商務造成的危害，成為當的前電商企業(yè)高度關注的問題。隨著移動互聯、云計算和大數據等技術的發(fā)展，尤其是移動和無線訪問客戶更多的訪問方式，電子商務涉及的領域越來越多，安全實現難度也越來越復雜。

3、因此，如何改進電商企業(yè)的網絡安全防御體系、進行安全技術升級等已成為電商企業(yè)發(fā)展的重要內容之一。2 電商企業(yè)網絡安全威脅現狀目前，許多網絡入侵者針對計算機網絡結構的復雜性和規(guī)模龐大性，利用網絡系統漏洞或安全缺陷進行攻擊1。電商企業(yè)主要面臨五大類安全問題：局域網網絡安全、web數據安全、web應用安全、web服務安全、系統安全，如下圖1所示：1） 局域網網絡安全：指攻擊者假冒合法身份通過網絡入侵企業(yè)內網，竊取或破壞企業(yè)內網安全，破壞電商平臺的正常工作。如機密竊聽、假冒身份攻擊等。2） web數據安全：指電商平臺或企業(yè)內網敏感數據遭到泄露，如信息在傳輸中丟失或泄露、在存儲介質中丟失或泄露。如敏感信息

4、泄露、內容篡改、不良信息內容。3） web應用安全：指攻擊者通過攻擊web程序，以非法手段對web程序進行使用，惡意添加、修改或刪除web程序，破壞電子商務平臺的正常使用。代碼注入攻擊、xss攻擊等。4） web服務安全：指攻擊者對電子商務系統進行干擾，改變正常作業(yè)流程，執(zhí)行無關程序使系統響應減慢甚至癱瘓，影響正常用戶的使用或不能得到響應的服務。如針對web服務器軟件的滲透攻擊。5） 系統安全：指攻擊者通過非法方式訪問內網及獲取內網資源，越權訪問信息。如遠程和本地滲透攻擊。3 網絡安全體系架構的設計根據電商企業(yè)目前遇到五大網絡安全及威脅，本文采用了p2dr2（policy protection

5、 detection response recovery）模型，即“網絡安全=風險分析+執(zhí)行策略+系統實施+漏洞監(jiān)測+實時響應+安全恢復”的安全理念2。通過該安全模型將靜態(tài)的網絡安全技術和動態(tài)安全技術相結合，建立一個多層次、全方位、立體的電商企業(yè)網絡安全體系架構，簡化的網絡拓撲圖如下圖2所示。1） 采用多種網絡安全設備維護內網的安全，包括防火墻、入侵檢測、流量整形、日志檢測、web防火墻等網絡安全技術。2） 對外提供兩條internet鏈路的負載均衡，對內提供防火墻的負載均衡，既保障了電子商務中大量的網絡流量，也提高了受到攻擊時的容災能力。防火墻直接連接外部網絡，是企業(yè)網絡安全的第一道安全閘門

6、，抵御一些三層的網絡入侵。3） 在web服務器前架設web防火墻和入侵監(jiān)測系統：web防火墻能夠根據一套完整的特征查找web漏洞和攻擊而實施保護，而且還可以檢測惡意的文件上傳。除了可以在第四層到第七層強化訪問控制策略，防止攻擊者在沒有得到適當的授權時訪問數據，web防火墻還應當提供外發(fā)數據泄露的檢查（例如，非法的文件下載）、過濾敏感信息（例如，信用卡號），與其他安全標準結合，這有助于防御應用層的ddos攻擊。web防火墻還可以給易受攻擊的web應用程序實施虛擬補丁。入侵檢測系統在不影響網絡性能的情況下能對網絡進行監(jiān)測，在發(fā)現可疑傳輸時發(fā)出警報或者采取主動反應措施。兩者配合作為防火墻之后的第二道

7、安全閘門。4） 采用日志系統：對訪問web站點的訪問進行帶寬管和審計管理，結合前面的安全設備，是企業(yè)電子商務的第三道安全閘門。5） 定期地對web服務器進行維護和安全升級：刪除不必要的網路服務、合理分配管理權限、刪除不必要的模塊和應用擴展、及時進行漏洞補丁更新。6） 定期地對電子商務網站進行維護和安全升級：主頁盡量使用靜態(tài)頁面代替動態(tài)頁面、對用戶輸入的數據進行嚴格驗證、對代碼進行安全監(jiān)測。操作后臺數據庫時，盡量采用視圖、存儲過程等技術。7） 定期地對電子商務的數據庫進行維護和安全升級：改變數據庫文件的存儲位置、采用非常規(guī)的命名方式、加強對數據庫管理。當然，在電子商務網絡中，一個絕對安全的系統是

8、不存在的，一個安全系統的核心通常是尋求風險和可用性之間的平衡。4 結束語電子商務安全是一個整體，不是只依靠一些安全技術或者某些安全產品的架構就能從根本上有效控制網絡安全，也不能限定網絡安全風險的產生和傳播。網絡安全不是靜態(tài)的，必須建立在組織策略、組織結構、信息系統和操作流程的基礎之上，根據其變化而變化。本文通過對電商企業(yè)網絡面臨的安全威脅進行研究，構建了一個動靜結合的網絡安全體系架構，希望能對電商企業(yè)網絡安全的探索起到拋磚引玉的作用。參考文獻：1 raynus j. software process improvement with cmmm. norwood： manning publications， 2009.2 施峰. 信息安全保密基礎教程m. 北京： 北