- 相關(guān)推薦
互聯(lián)網(wǎng)電子商務(wù)平臺(tái)安全架構(gòu)初探論文
【 摘 要 】 文章針對(duì)互聯(lián)網(wǎng)及移動(dòng)互聯(lián)網(wǎng)電子商務(wù)平臺(tái)建設(shè)、維護(hù)過(guò)程中經(jīng)常遇到的各類安全問(wèn)題,從基礎(chǔ)設(shè)施、協(xié)議、應(yīng)用、信息安全管理體系等角度出發(fā),討論了平臺(tái)安全架構(gòu)中各個(gè)層級(jí)的特點(diǎn)和安全隱患,介紹了目前市場(chǎng)主流的安全技術(shù)和手段,為各企業(yè)組織電子商務(wù)平臺(tái)的建設(shè)者、管理者提供一些參考建議。安全問(wèn)題一直是互聯(lián)網(wǎng)發(fā)展面臨的主要問(wèn)題,希望通過(guò)討論和建議,起到拋磚引玉的作用,促進(jìn)電子商務(wù)平臺(tái)安全架構(gòu)的持續(xù)改進(jìn),保障電子商務(wù)行業(yè)的蓬勃健康發(fā)展。
【 關(guān)鍵詞 】 信息安全;互聯(lián)網(wǎng);電子商務(wù)平臺(tái);安全架構(gòu)
【 中圖分類號(hào) 】 TP393 【 文獻(xiàn)標(biāo)識(shí)碼 】 A
【 Abstract 】 In this paper, pointing at all kinds of security problems often encountered in the process of e-commerce platform maintenance and building, discusses the safety of platform security architecture that including the infrastructure, protocols, applications, information security management system, introduces the security technology and means of the mainstream market, provides some suggestions for the platform builders and managers. The security problem has been a major problem of the Internet, hopes to promote the continuous improvement of the security of e-commerce platform and the development of the e-commerce industry through this discussion and suggestions.
【 Keywords 】 information security; internet; e-commerce platform; security architecture
1 引言
比爾·蓋茨曾說(shuō)過(guò):“21世紀(jì)要么電子商務(wù),要么無(wú)商可務(wù)” 。隨著全球經(jīng)濟(jì)與信息技術(shù)的不斷發(fā)展,電子商務(wù)已經(jīng)進(jìn)入到了飛速擴(kuò)張的階段,越來(lái)越多的企業(yè)和個(gè)人加入到電子商務(wù)的行列,尋求新的經(jīng)濟(jì)增長(zhǎng)點(diǎn)和長(zhǎng)遠(yuǎn)發(fā)展規(guī)劃。電子商務(wù)已經(jīng)成為互聯(lián)網(wǎng)和移動(dòng)互聯(lián)網(wǎng)的主流應(yīng)用,成為引導(dǎo)全球經(jīng)濟(jì)市場(chǎng)、拉動(dòng)消費(fèi)需求、促進(jìn)產(chǎn)業(yè)升級(jí)的重要引擎。
隨著大批商家、企業(yè)的涌入,各類綜合型、垂直型電子商務(wù)平臺(tái)迅猛增長(zhǎng)。在功能日益完善、用戶日益增加、服務(wù)要求越來(lái)越高的情況下,信息安全保障將在電子商務(wù)平臺(tái)的發(fā)展中扮演著非常關(guān)鍵的角色。信息安全保障將保護(hù)著商家和用戶的重要機(jī)密,維護(hù)著電商平臺(tái)的信譽(yù)和財(cái)產(chǎn),同時(shí)為服務(wù)方和被服務(wù)方提供極大的方便。因此,在電子商務(wù)平臺(tái)競(jìng)爭(zhēng)日益激烈的今天,加強(qiáng)平臺(tái)的安全性,保障電商服務(wù)的持續(xù)性,將對(duì)平臺(tái)的持續(xù)發(fā)展和壯大起著至關(guān)重要的作用。
從電子商務(wù)平臺(tái)的業(yè)務(wù)角度分析,日常運(yùn)行主要面臨著信息竊取和篡改、交易抵賴和偽造、服務(wù)中斷和數(shù)據(jù)丟失等安全威脅,如何解決平臺(tái)可用性、機(jī)密性、完整性和不可抵賴性等安全問(wèn)題,保障平臺(tái)服務(wù)的可持續(xù)性,成為電子商務(wù)平臺(tái)管理、維護(hù)人員的重要研究課題之一。本文將從基礎(chǔ)設(shè)施層、協(xié)議層、應(yīng)用層、信息安全管理體系等幾個(gè)方面來(lái)闡述電子商務(wù)平臺(tái)的安全架構(gòu)和面臨的問(wèn)題,并根據(jù)當(dāng)前主流的信息技術(shù)提出相應(yīng)的安全建設(shè)建議供電子商務(wù)平臺(tái)建設(shè)、維護(hù)、管理人員參考。
2 電子商務(wù)平臺(tái)安全架構(gòu)分析
電子商務(wù)平臺(tái)作為一個(gè)功能完整、數(shù)據(jù)豐富、要求高穩(wěn)定性服務(wù)的系統(tǒng),安全架構(gòu)涉及從承載平臺(tái)的軟硬件設(shè)施到開發(fā)的應(yīng)用軟件到用戶操作的響應(yīng)等多個(gè)方面,我們從邏輯結(jié)構(gòu)上將它分為幾個(gè)層級(jí),如表1所示,將一一分析各層級(jí)面臨的問(wèn)題和常見技術(shù)措施。
2.1 基礎(chǔ)設(shè)施層
本文所述的基礎(chǔ)設(shè)施層主要是指支撐電子商務(wù)平臺(tái)運(yùn)行的網(wǎng)絡(luò)、服務(wù)器、主機(jī)操作系統(tǒng)等。電子商務(wù)平臺(tái)是依托互聯(lián)網(wǎng)實(shí)現(xiàn)的在線交易系統(tǒng),作為平臺(tái)運(yùn)行和信息交換的承載體,基礎(chǔ)設(shè)施層成為安全架構(gòu)的最底層。
我們常遇見的安全問(wèn)題包括:破壞者通過(guò)網(wǎng)絡(luò)進(jìn)行攻擊,造成平臺(tái)數(shù)據(jù)泄漏或服務(wù)中斷;破壞者利用操作系統(tǒng)漏洞攻擊服務(wù)器造成數(shù)據(jù)丟失、篡改或服務(wù)中斷等;由于人為操作、環(huán)境因素、軟件Bug或平臺(tái)性能問(wèn)題造成平臺(tái)服務(wù)器訪問(wèn)緩慢或宕機(jī),影響用戶使用;由于數(shù)據(jù)服務(wù)器宕機(jī)或損壞造成重要數(shù)據(jù)丟失、平臺(tái)信譽(yù)受損等。
為了保障電子商務(wù)平臺(tái)的安全性,我們?cè)诨A(chǔ)設(shè)施層可采用的安全技術(shù)和手段有:(1)采用最新多功能的防火墻作為平臺(tái)出口的基本防護(hù)設(shè)施,通過(guò)防DDOS攻擊、入侵防御、防病毒木馬、內(nèi)容識(shí)別和訪問(wèn)控制等手段,保障平臺(tái)的穩(wěn)定運(yùn)行、數(shù)據(jù)安全;(2)定期采用漏洞掃描工具對(duì)網(wǎng)絡(luò)、服務(wù)器及操作系統(tǒng)進(jìn)行檢測(cè),及時(shí)發(fā)現(xiàn)安全漏洞及隱患并進(jìn)行補(bǔ)丁更新,防范于未然;(3)采用負(fù)載均衡技術(shù),分散平臺(tái)訪問(wèn)壓力,并形成冗余系統(tǒng),即便某臺(tái)服務(wù)器宕機(jī)也不影響平臺(tái)的運(yùn)行;(4)采用本地及異地災(zāi)備手段,對(duì)平臺(tái)的各類數(shù)據(jù)進(jìn)行備份,保障平臺(tái)出現(xiàn)問(wèn)題后可在短時(shí)間內(nèi)進(jìn)行數(shù)據(jù)恢復(fù),不影響用戶使用。
2.2 協(xié)議層
本文所述的協(xié)議層包括數(shù)據(jù)加密、安全認(rèn)證等多方面。數(shù)據(jù)加密是信息安全體系中重要的一環(huán),是電子商務(wù)交易過(guò)程中保障數(shù)據(jù)存儲(chǔ)機(jī)密性、數(shù)據(jù)傳輸安全性和防止數(shù)據(jù)竊取的主要手段。安全認(rèn)證則是采用多種技術(shù)來(lái)確認(rèn)交易雙方的信息,防止假冒、篡改和抵賴,保障交易的安全性和不可抵賴性。
數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)存儲(chǔ)加密和數(shù)據(jù)傳輸加密。數(shù)據(jù)存儲(chǔ)加密技術(shù)主要是對(duì)存儲(chǔ)在服務(wù)器上的數(shù)據(jù)進(jìn)行加密,常用的有數(shù)據(jù)庫(kù)加密和文檔透明加密等方式,數(shù)據(jù)傳輸加密技術(shù)主要是對(duì)網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流進(jìn)行加密,常用的有鏈路加密、節(jié)點(diǎn)加密和端對(duì)端加密等方式。數(shù)據(jù)加密的算法也有很多種,目前比較常用的加密算法包括:對(duì)稱加密和非對(duì)稱加密算法。
安全認(rèn)證技術(shù)比較常用的包括數(shù)字身份認(rèn)證、動(dòng)態(tài)口令認(rèn)證、電子簽名和數(shù)字時(shí)間戳等技術(shù)。(1)數(shù)字身份認(rèn)證:通過(guò)數(shù)字證書來(lái)標(biāo)識(shí)用戶的身份,證書可以存儲(chǔ)在個(gè)人電腦上也可以存儲(chǔ)在USB載體中,結(jié)合用戶口令進(jìn)行身份識(shí)別。(2)動(dòng)態(tài)口令認(rèn)證:通過(guò)動(dòng)態(tài)口令牌隨機(jī)生成的數(shù)字與服務(wù)器進(jìn)行校對(duì),或者通過(guò)動(dòng)態(tài)發(fā)送口令到綁定的手機(jī)上,來(lái)實(shí)現(xiàn)身份的安全認(rèn)證。(3)電子簽名:通過(guò)在信息發(fā)起方的數(shù)據(jù)上附加一些認(rèn)證數(shù)據(jù),在信息接收方進(jìn)行數(shù)據(jù)拆分校對(duì),保證數(shù)據(jù)傳送不被篡改或假冒。
【互聯(lián)網(wǎng)電子商務(wù)平臺(tái)安全架構(gòu)初探論文】相關(guān)文章:
電子商務(wù)下的國(guó)際貿(mào)易創(chuàng)新初探論文08-29
企業(yè)電子商務(wù)中的知識(shí)管理戰(zhàn)略架構(gòu)分析理論文06-24
電子商務(wù)畢業(yè)論文-企業(yè)電子商務(wù)中的知識(shí)管理戰(zhàn)略架構(gòu)分析09-03
電子商務(wù)安全論文05-07
電子商務(wù)安全論文07-21
電子商務(wù)的安全論文提綱05-15
電子商務(wù)安全分析論文07-29
[薦]電子商務(wù)安全論文05-28