電子商務網(wǎng)絡交易安全問題特征分析

電子商務網(wǎng)絡交易安全問題特征分析

 (3)防止內(nèi)部信息的外泄：
 通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內(nèi)部網(wǎng)絡非常關(guān)心的問題，一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關(guān)內(nèi)部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。
 除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術(shù)體系VPN。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。
[摘 要]每次病毒的大規(guī)模爆發(fā)，似乎都給Microsoft狂念了一通“緊箍咒”。在天才少年和老牌黑客密集攻擊下，Windows的2003磕磕絆絆。截至2003年12月31日止， Microsoft主頁所發(fā)布的安全公告已達51次。近年來這一現(xiàn)象始終存在。此情此景，讓用戶開始重新審視Windows的安全問題。由于企業(yè)對Windows系統(tǒng)的依賴性且我國電子商務的主要使用者就是企業(yè)，所以Windows的安全性對于電子商務的發(fā)展有著重要影響。因此本文為您剖析電子商務基于Windows的可行性安全解決方案，希望通過大家的共同努力，建立起更安全的網(wǎng)絡交易環(huán)境
[關(guān)鍵字]安全漏洞 保密措施  防火墻   SUS  掃描工具
     本文首先為網(wǎng)絡交易安全問題提出四點核心問題：
 一.怎樣看待頻繁出現(xiàn)的安全漏洞？
 安全漏洞是指由於系統(tǒng)存在的弱點或缺陷而導致的系統(tǒng)對一個特定的威脅攻擊或危險事件的敏感性，或?qū)е聦ο到y(tǒng)進行攻擊的威脅作用的可能性。通過對系統(tǒng)的掃瞄，瑞星漏洞掃瞄工具可以找出電腦系統(tǒng)存在的安全漏洞，通過下載相應的漏洞補丁程式而進行系統(tǒng)修復後，將會提高電腦系統(tǒng)的安全性和穩(wěn)定性，從而避免病毒、黑客和惡意程式的攻擊。
 對安全漏洞這一名詞有了了解之后，又如何去看待頻繁出現(xiàn)的安全漏洞這一問題呢？
 網(wǎng)絡安全的核心目標是保障業(yè)務系統(tǒng)的可持續(xù)性和數(shù)據(jù)的安全性，而這兩點的主要威脅來自于蠕蟲的暴發(fā)、黑客的攻擊、拒絕服務攻擊、木馬。蠕蟲、黑客攻擊問題都和漏洞緊密聯(lián)系在一起，一旦有重大安全漏洞出現(xiàn)，整個互聯(lián)網(wǎng)就會面臨一次重大挑戰(zhàn)。雖然傳統(tǒng)木馬和安全漏洞關(guān)系不大，但最近很多木馬都巧妙的利用了IE的漏洞，讓你在瀏覽網(wǎng)頁時不知不覺的就中了招。
    安全漏洞的定義已經(jīng)有很多了，一個通俗的說法就是：能夠被利用來干“原本以為”不能干的事，并且和安全相關(guān)的缺陷。這個缺陷可以是設計上的問題、程序代碼實現(xiàn)上的問題。
安全漏洞可分為：
 1、內(nèi)存覆蓋，主要為內(nèi)存單元可指定，寫入內(nèi)容可指定，這樣就能執(zhí)行攻擊者想執(zhí)行的代碼（緩沖區(qū)溢出、格式串漏洞、PTrace漏洞、歷史上Windows2000的硬件調(diào)試寄存器用戶可寫漏洞）或直接修改內(nèi)存中的機密數(shù)據(jù)。
    2、邏輯錯誤，這類漏洞廣泛存在，但很少有范式，所以難以查覺，可細分為：  條件競爭漏洞（通常為設計問題，典型的有Ptrace漏洞、廣泛存在的文件操作時序競爭）
 3、權(quán)限視角：主要為權(quán)限繞過或權(quán)限提升。通常權(quán)限提升都是為了獲得期望的數(shù)據(jù)操作能力。
 4、認證繞過：通常利用認證系統(tǒng)的漏洞而不用受權(quán)就能進入系統(tǒng)。通常認證繞過都是為權(quán)限提升或直接的數(shù)據(jù)訪問服務的。
 5、代碼執(zhí)行角度：主要是讓程序?qū)⑤斎氲膬?nèi)容作為代碼來執(zhí)行，從而獲得遠程系統(tǒng)的訪問權(quán)限或本地系統(tǒng)的更高權(quán)限。這個角度是SQL注入、內(nèi)存指針游戲類漏洞（緩沖區(qū)溢出、格式串、整形溢出等等）等的主要驅(qū)動。這個角度通常為繞過系統(tǒng)認證、權(quán)限提升、數(shù)據(jù)讀取作準備的。
以遠程漏洞為例，比較好的劃分方法為：
 可遠程獲取OS、應用程序版本信息。
 開放了不必要或危險得服務，可遠程獲取系統(tǒng)敏感信息。
 可遠程進行受限的文件、數(shù)據(jù)讀取。
 可遠程進行重要或不受限文件、數(shù)據(jù)讀取。
 可遠程進行受限文件、數(shù)據(jù)修改。
 可遠程進行受限重要文件、數(shù)據(jù)修改。
 可遠程進行不受限得重要文件、數(shù)據(jù)修改，或?qū)ζ胀ǚ�務進行拒絕服務攻擊。
 可遠程以普通用戶身份執(zhí)行命令或進行系統(tǒng)、網(wǎng)絡級的拒絕服務攻擊。
 可遠程以管理用戶身份執(zhí)行命令（受限、不太容易利用）。
 可遠程以管理用戶身份執(zhí)行命令（不受限、容易利用）。
  總為：
 第1步：認證繞過
 第2步：遠程漏洞、代碼執(zhí)行(機器碼)、認證繞過
 第3步：權(quán)限提升、認證繞過
 第4步：認證繞過
           第5步：數(shù)據(jù)寫
所以頻繁的出現(xiàn)安全漏洞和病毒，內(nèi)存覆蓋，邏輯錯誤，數(shù)據(jù)權(quán)限，認證繞過，代碼執(zhí)行等息息相關(guān)。
 二.安全漏洞是windows的專利嗎？
    安全漏洞只能是windows系統(tǒng)的缺陷，應積極加以修復和防范，定不能以專利對之。
 三．與Linux/Unix哪個更安全？
    說到linux/uxix就有如下看法：
眾所周知，網(wǎng)絡安全是一個非常重要的課題，而服務器是網(wǎng)絡安全中最關(guān)鍵的環(huán)節(jié)。Linux/uxix被認為是一個比較安全的Internet服務器，作為一種開放源代碼操作系統(tǒng)，一旦Linux/uxix系統(tǒng)中發(fā)現(xiàn)有安全漏洞，Internet上來自世界各地的志愿者會踴躍修補它。然而，系統(tǒng)管理員往往不能及時地得到信息并進行更正，這就給黑客以可乘之機。然而，相對于這些系統(tǒng)本身的安全漏洞，更多的安全問題是由不當?shù)呐渲迷斐傻模�可以通過適當?shù)呐渲脕矸乐埂７�務器上運行的服務越多，不當?shù)呐渲贸霈F(xiàn)的機會也就越多，出現(xiàn)安全問題的可能性就越大。
關(guān)于兩種系統(tǒng)看一則案例：
 4月7日，中國電子信息產(chǎn)業(yè)發(fā)展研究院和中國信息化推進聯(lián)盟在京舉辦了“中國銀行業(yè)信息化建設發(fā)展研討會”。會上，賽迪顧問股份有限公司發(fā)布研究成果表明，隨著銀行業(yè)務規(guī)模的擴大和業(yè)務種類的創(chuàng)新，前置端操作系統(tǒng)SCO Unix存在的問題和局限性日益突出。因此，在銀行業(yè)信息化建設整體規(guī)劃中，包括前置端操作系統(tǒng)移植在內(nèi)的IT升級和改造成為大勢所趨。正確地選擇操作系統(tǒng)是銀行用戶進行系統(tǒng)移植決策的關(guān)鍵環(huán)節(jié)，測算結(jié)果顯示，銀行前置端操作系統(tǒng)由SCO Unix系統(tǒng)移植到Linux平臺的TCO比移植到Windows平臺高20.9%，主要差異來自于移植成本和管理成本。其中，移植到Linux平臺的移植成本比移植到Windows平臺高32.0%；移植到Linux平臺的管理成本比移植到Windows平臺高33.7%。而該系統(tǒng)移植到Windows平臺所帶來的應用價值綜合指數(shù)則高于Linux平臺11.9%。低成本、高價值使Windows系統(tǒng)凸顯競爭優(yōu)勢。
 其實兩者相較下是各有千秋，雖然linux/unix系統(tǒng)較windows安全，但成本很貴，不適應市場，且它也存在安全問題，因此無論使用那種系統(tǒng)軟件，保密防范措施很重要，
 四.用戶有必要因為安全問題而放棄Windows嗎？
 對這一問題是有很明確的答案的，當然是沒有必要，第三個問題中已經(jīng)說明了。
 針對企業(yè)對Windows系統(tǒng)的依賴性且我國電子商務的主要使用者就是企業(yè)這一問題作出以下解決方案：
 1.技術(shù)為先 ：防火墻
網(wǎng)絡安全是為保護商務各方網(wǎng)絡端系統(tǒng)之間通信過程的安全性。保證機密性，完整性，認證性和訪問控制性是網(wǎng)絡安全的重要因素。保護網(wǎng)絡安全中一重要措施為防火墻。
防火墻是網(wǎng)絡安全的屏障：
    一個防火墻（作為阻塞點、控制點）能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。 且還有如下功能：
 (1)防火墻可以強化網(wǎng)絡安全策略：
     通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完全可以不必分散在各個主機上，而集中在防火墻一身上。
 (2)對網(wǎng)絡存取和訪問進行監(jiān)控審計：
    如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶�，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。

    2. 管理為王 ：保密措施
 各種商務交易安全服務都是通過安全技術(shù)來實現(xiàn)的，主要為加密技術(shù)，又分對稱加密和非對稱加密。
 (1)對稱加密：又稱私鑰即信息的發(fā)送方和接受方用同一個密鑰去加密和解密同一個數(shù)據(jù)。
 (2)非對稱加密：又稱公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個公開發(fā)布（即公鑰）另一個由用戶自己秘密保存（即私鑰）。
     3.Windows系統(tǒng)安全實戰(zhàn)對策
 （1）部署SUS(基于Windows 2000 Server SP2系統(tǒng))
 Windows操作系統(tǒng)的安全問題越來越受到大家的關(guān)注，每隔一段時間，微軟就會發(fā)布修復系統(tǒng)漏洞的補丁，SUS由網(wǎng)絡管理員在局域網(wǎng)內(nèi)部獨自構(gòu)建，通過SUS，可將微軟的最新補丁發(fā)送給用戶。它分為服務器端和客戶端兩部分，可為1.5萬個用戶提供升級服務。微軟在服務器端(SUS Server)只推出了英文版和日文版，而在客戶端則有支持24種語言的版本，包括中文版。SUS Server能為 Windows 2000 +SP2及以上版本、Windows XP、Windows 2003系統(tǒng)提供升級服務。
 （2）安全列表
 使用安全的密碼策略
 使用安全的帳號策略
 加強數(shù)據(jù)庫日志的記錄
 管理擴展存儲過程
 使用協(xié)議加密
 不要讓人隨便探測到你的TCP/IP端口
 拒絕來自1434端口的探測
 對網(wǎng)絡連接進行IP限制
 （3）安全漏洞掃描工具
 對于一個復雜的多層結(jié)構(gòu)的系統(tǒng)和網(wǎng)絡安全規(guī)劃來說，漏洞隱患掃描是一項重要的組成元素。隱患掃描能夠模擬黑客的行為，對系統(tǒng)設置進行攻擊測試，以幫助管理員在黑客攻擊之前，找出網(wǎng)絡中存在的漏洞。這樣的工具可以遠程評估你的網(wǎng)絡的安全級別，并生成評估報告，提供相應的整改措施。
 上述內(nèi)容為剖析電子商務基于Windows的安全問題及可行性解決方案。
[1劉曉輝、《網(wǎng)絡安全管理實踐》，，電子工業(yè)出版社，2007年4月，初版
2肖軍模 劉軍 周海剛 《網(wǎng)絡信息安全》機械工業(yè)出版社2003年8月 第二版
3閻慧《防火墻原理與技術(shù)》機械工業(yè)出版社，2004年4月 第二版]