互联网电子商务平台安全架构初探论文
【 摘 要 】 文章针对互联网及移动互联网电子商务平台建设、维护过程中经常遇到的各类安全问题,从基础设施、协议、应用、信息安全管理体系等角度出发,讨论了平台安全架构中各个层级的特点和安全隐患,介绍了目前市场主流的安全技术和手段,为各企业组织电子商务平台的建设者、管理者提供一些参考建议。安全问题一直是互联网发展面临的主要问题,希望通过讨论和建议,起到抛砖引玉的作用,促进电子商务平台安全架构的持续改进,保障电子商务行业的蓬勃健康发展。
【 关键词 】 信息安全;互联网;电子商务平台;安全架构
【 中图分类号 】 TP393 【 文献标识码 】 A
【 Abstract 】 In this paper, pointing at all kinds of security problems often encountered in the process of e-commerce platform maintenance and building, discusses the safety of platform security architecture that including the infrastructure, protocols, applications, information security management system, introduces the security technology and means of the mainstream market, provides some suggestions for the platform builders and managers. The security problem has been a major problem of the Internet, hopes to promote the continuous improvement of the security of e-commerce platform and the development of the e-commerce industry through this discussion and suggestions.
【 Keywords 】 information security; internet; e-commerce platform; security architecture
1 引言
比尔·盖茨曾说过:“21世纪要么电子商务,要么无商可务” 。随着全球经济与信息技术的不断发展,电子商务已经进入到了飞速扩张的阶段,越来越多的企业和个人加入到电子商务的行列,寻求新的经济增长点和长远发展规划。电子商务已经成为互联网和移动互联网的主流应用,成为引导全球经济市场、拉动消费需求、促进产业升级的重要引擎。
随着大批商家、企业的涌入,各类综合型、垂直型电子商务平台迅猛增长。在功能日益完善、用户日益增加、服务要求越来越高的情况下,信息安全保障将在电子商务平台的发展中扮演着非常关键的角色。信息安全保障将保护着商家和用户的重要机密,维护着电商平台的信誉和财产,同时为服务方和被服务方提供极大的方便。因此,在电子商务平台竞争日益激烈的今天,加强平台的安全性,保障电商服务的持续性,将对平台的持续发展和壮大起着至关重要的作用。
从电子商务平台的业务角度分析,日常运行主要面临着信息窃取和篡改、交易抵赖和伪造、服务中断和数据丢失等安全威胁,如何解决平台可用性、机密性、完整性和不可抵赖性等安全问题,保障平台服务的可持续性,成为电子商务平台管理、维护人员的重要研究课题之一。本文将从基础设施层、协议层、应用层、信息安全管理体系等几个方面来阐述电子商务平台的安全架构和面临的问题,并根据当前主流的信息技术提出相应的安全建设建议供电子商务平台建设、维护、管理人员参考。
2 电子商务平台安全架构分析
电子商务平台作为一个功能完整、数据丰富、要求高稳定性服务的`系统,安全架构涉及从承载平台的软硬件设施到开发的应用软件到用户操作的响应等多个方面,我们从逻辑结构上将它分为几个层级,如表1所示,将一一分析各层级面临的问题和常见技术措施。
2.1 基础设施层
本文所述的基础设施层主要是指支撑电子商务平台运行的网络、服务器、主机操作系统等。电子商务平台是依托互联网实现的在线交易系统,作为平台运行和信息交换的承载体,基础设施层成为安全架构的最底层。
我们常遇见的安全问题包括:破坏者通过网络进行攻击,造成平台数据泄漏或服务中断;破坏者利用操作系统漏洞攻击服务器造成数据丢失、篡改或服务中断等;由于人为操作、环境因素、软件Bug或平台性能问题造成平台服务器访问缓慢或宕机,影响用户使用;由于数据服务器宕机或损坏造成重要数据丢失、平台信誉受损等。
为了保障电子商务平台的安全性,我们在基础设施层可采用的安全技术和手段有:(1)采用最新多功能的防火墙作为平台出口的基本防护设施,通过防DDOS攻击、入侵防御、防病毒木马、内容识别和访问控制等手段,保障平台的稳定运行、数据安全;(2)定期采用漏洞扫描工具对网络、服务器及操作系统进行检测,及时发现安全漏洞及隐患并进行补丁更新,防范于未然;(3)采用负载均衡技术,分散平台访问压力,并形成冗余系统,即便某台服务器宕机也不影响平台的运行;(4)采用本地及异地灾备手段,对平台的各类数据进行备份,保障平台出现问题后可在短时间内进行数据恢复,不影响用户使用。
2.2 协议层
本文所述的协议层包括数据加密、安全认证等多方面。数据加密是信息安全体系中重要的一环,是电子商务交易过程中保障数据存储机密性、数据传输安全性和防止数据窃取的主要手段。安全认证则是采用多种技术来确认交易双方的信息,防止假冒、篡改和抵赖,保障交易的安全性和不可抵赖性。
数据加密技术主要分为数据存储加密和数据传输加密。数据存储加密技术主要是对存储在服务器上的数据进行加密,常用的有数据库加密和文档透明加密等方式,数据传输加密技术主要是对网络传输的数据流进行加密,常用的有链路加密、节点加密和端对端加密等方式。数据加密的算法也有很多种,目前比较常用的加密算法包括:对称加密和非对称加密算法。
安全认证技术比较常用的包括数字身份认证、动态口令认证、电子签名和数字时间戳等技术。(1)数字身份认证:通过数字证书来标识用户的身份,证书可以存储在个人电脑上也可以存储在USB载体中,结合用户口令进行身份识别。(2)动态口令认证:通过动态口令牌随机生成的数字与服务器进行校对,或者通过动态发送口令到绑定的手机上,来实现身份的安全认证。(3)电子签名:通过在信息发起方的数据上附加一些认证数据,在信息接收方进行数据拆分校对,保证数据传送不被篡改或假冒。
【互联网电子商务平台安全架构初探论文】相关文章: