自計算機誕生以來,計算機的軟硬件技術不斷更新換代,尤其是新世紀以來,網絡信息技術進入了飛速發展的時代,從根本上改變了人們的交易方式和日常生活方式。電子商務網站在Web技術的支持下發展迅速,由當初功能單一、界面單調的狀態發展到了今天功能齊全、操作簡單的狀態。電子商務網站在長期的運行過程中,網絡系統難免存在一些安全漏洞,這給了不法分子可乘之機,導致交易雙方的交易信息和個人資料泄露,電子商務網站難以保障正常運行秩序,這顯然不利於電子商務的長遠發展。解決網絡系統及電子商務網站的安全漏洞問題,網絡信息安全及其安全防禦是關鍵所在。筆者根據多年從業經驗,指出當前電子商務網站所面臨的信息安全威脅,介紹網站設計過程中常用的、高效的網絡安全技術,爲電子商務網站設計提供一些信息安全防禦的思路和策略,從技術層面提高電子商務網站的信息安全,從而有力保障交易雙方的利益。
1信息安全面臨的威脅
1.1平臺威脅
電子商務是一種有別於傳統交易,依託網絡平臺來開展的新興交易方式,信息傳遞過程中影響信息傳播速度的因素很多,包括電磁輻射干擾和網絡設備老化,情況嚴重時會威脅到交易雙方的信息安全。除了網絡設備的物理干擾和破壞外,一己私利造成的人爲商務系統硬件破壞更爲嚴重,他們有意更改信息內容,通過這種不法手段獲取經濟利益。
1.2安全環境惡化
發達國家經過多年的發展,技術水平遠遠領先於我國,尤其是在計算機軟硬件技術及網絡安全技術方面。我國硬件核心設備的研發能力不足,核心技術還未取得突破性進展,不得不依靠進口採購。在無法獨立自主生產的情況下,必須依靠國外引進,生產技術和維護技術受到極大的限制,極大影響了我國電子商務的健康發展。
1.3黑客入侵
一些不法分子面對電子商務交易的蓬勃發展,勢必會產生不勞而獲的貪婪心理,利用網絡安全漏洞來攻擊電子商務網站平臺。當前網絡黑客侵入方式使用最普遍的是木馬程序,通過木馬程序侵入本地計算機,使得計算機記錄的登錄信息遭到篡改或泄露,導致重要文件及資金丟失。網絡病毒不可控性很強,其自身繁殖功能十分強大,嚴重損壞計算機文件,還會對計算機的硬件設施造成嚴重破壞,且網絡技術的迅速發展,使計算機病毒的破壞力也隨之增強。
1.4網上支付安全隱患
網上支付是電子商務的核心部分,確保支付安全才能保障電子商務的健康發展,因此,網上支付的規範性、安全性、便捷性及高效性一定程度上決定了電子商務的發展潛力。從電子商務開展的實際支付結構可知,商務系統平臺、安全認證系統、電子支付網關和電子錢包等四個條件必不可少。而安全認證系統是整個電子商務順利開展的重要前提,理由如下:首先,網絡在實際運行中靈活性較強,當前的多種技術手段無法完全應對網絡安全威脅,仍存在較大的問題。其次,雖然各家銀行先後建立了CA認證中心,但這些CA認證中心的權威性不足,無法成爲全國性的認證標準,造成重複認證和資源浪費。最後,新《合同法》雖然納入電子合同的法律效用條款,但數字簽名仍存在技術問題,這導致問題出現後的一些複雜法律關係難以解決,如責任認定、責任承擔、有效執行仲裁結果等。
2常見信息安全漏洞防禦
2.1結構性查詢語言注入
這是一種用於存取信息數據的數據庫系統,其作用是方便管理人員進行網絡管理和用戶查詢。結構性查詢語言簡稱爲SQL,從本質上來說是一種程序設計的、高級的非過程化編程語言,其作用是作爲客戶端與數據庫服務器相互溝通的橋樑。因此,SQL是網站設計中安全防禦的重點包括以下內容。
2.1.1經典的‘or1=1’注入作爲計算機最經典的結構性查詢語言,該注入方式一般不需要用戶名進行驗證,密碼方面也沒有多層輸入的要求,故身份登錄並不會受到用戶名的限制。因此,該注入方式在編寫驗證程序時,通過程序設計使得用戶名輸入時無需驗證,避開非預期字符串的限制,然後將信息直接傳遞給mysql-query()函數執行。這種注入方式跳過了驗證環節,驗證碼正確與否都不干涉用戶名登錄。因此,從信息安全防禦角度出發,登錄確認工作是網站設計的重中之重,注意嚴密防範非法用戶登錄。
2.1.2利用union語句的注入Union語句注入的作用機理是,網站設計中注入union會使網站程序默認的語句出錯,網站運行速度受限,或者網頁直接打不開,嚴重時還會引起網站崩潰。結構性查詢語言從理論上來說注入方式較多,從根源上防禦各種注入方式纔是關鍵。作爲計算機工作者,日常網絡維護要認真嚴謹,細心對查詢語句的參數進行過濾,遇到可疑情況及時排查。
2.2跨站腳本攻擊的防範
跨站腳本攻擊,英文全稱爲CrossSiteScripting。該腳本通過將惡意代碼植入到用戶的網站頁面,讓用戶登錄與實際網站完全不同的虛假網站。該腳本主要是將JavaScript腳本注入到HTML標籤中進行攻擊,是一種頻繁引發網站設計安全威脅的重要因素。
2.2.1跨站腳本攻擊的探測跨站腳本攻擊是可以及時檢測到的,有助於儘早發現網站設計過程中的問題,語句檢測是判斷跨站腳本攻擊的重要依據。如在輸入框中輸入語句找到其執行的地方,如果發現有彈窗就證明有跨站腳本對軟件進行攻擊。以網站的評論爲例,在網站評論頁面的輸入框中寫入相關代碼,完成後進行刷新,若發現瀏覽器的彈出窗口沒有得到禁止,基本可以判斷該網站設計的評論模塊有跨站腳本攻擊過。
2.2.2重新定向一旦發在網站設計過程中存在跨站腳本攻擊的某些漏洞,那麼黑客就有多種方式攻擊網站。如可以通過跨站腳本攻擊重新定位新的攻擊網頁,實現刷目標網站流量的目的。舉一個簡單的例子,用戶A發了一個容易構造的URL給用戶B,當用戶B打開後,惡意腳本開始攻擊用戶B的電腦,可以執行前一個用戶A權限下的所有命令。
2.2.3攻擊彈出其他網頁大部分網民瀏覽網頁時都碰到過廣告彈窗的情況,這是電腦黑客通過跨站腳本攻擊的方式,實現攻擊計算機用戶正在瀏覽網頁的目的,從而讓用戶瀏覽其他網頁。針對跨站腳本這種攻擊方式,通常採用特徵匹配來進行針對性防禦,同時加強認證工作,最大限度避免跨站腳本攻擊的發生。