電子商務(wù)網(wǎng)站建設面臨的信息安全威脅及對策發(fā)布者：本站     時(shí)間：2020-05-05 13:05:02

自計算機誕生以來(lái)，計算機的軟硬件技術(shù)不斷更新?lián)Q代，尤其是新世紀以來(lái)，網(wǎng)絡(luò )信息技術(shù)進(jìn)入了飛速發(fā)展的時(shí)代，從根本上改變了人們的交易方式和日常生活方式。電子商務(wù)網(wǎng)站在 Web 技術(shù)的支持下發(fā)展迅速，由當初功能單一、界面單調的狀態(tài)發(fā)展到了今天功能齊全、操作簡(jiǎn)單的狀態(tài)。電子商務(wù)網(wǎng)站在長(cháng)期的運行過(guò)程中，網(wǎng)絡(luò )系統難免存在一些安全漏洞，這給了不法分子可乘之機，導致交易雙方的交易信息和個(gè)人資料泄露，電子商務(wù)網(wǎng)站難以保障正常運行秩序，這顯然不利于電子商務(wù)的長(cháng)遠發(fā)展。解決網(wǎng)絡(luò )系統及電子商務(wù)網(wǎng)站的安全漏洞問(wèn)題，網(wǎng)絡(luò )信息安全及其安全防御是關(guān)鍵所在。筆者根據多年從業(yè)經(jīng)驗，指出當前電子商務(wù)網(wǎng)站所面臨的信息安全威脅，介紹網(wǎng)站設計過(guò)程中常用的、高效的網(wǎng)絡(luò )安全技術(shù)，為電子商務(wù)網(wǎng)站設計提供一些信息安全防御的思路和策略，從技術(shù)層面提高電子商務(wù)網(wǎng)站的信息安全，從而有力保障交易雙方的利益。

1 信息安全面臨的威脅

1.1 平臺威脅

電子商務(wù)是一種有別于傳統交易，依托網(wǎng)絡(luò )平臺來(lái)開(kāi)展的新興交易方式，信息傳遞過(guò)程中影響信息傳播速度的因素很多，包括電磁輻射干擾和網(wǎng)絡(luò )設備老化，情況嚴重時(shí)會(huì )威脅到交易雙方的信息安全。除了網(wǎng)絡(luò )設備的物理干擾和破壞外，一己私利造成的人為商務(wù)系統硬件破壞更為嚴重，他們有意更改信息內容，通過(guò)這種不法手段獲取經(jīng)濟利益。

1.2 安全環(huán)境惡化

發(fā)達國家經(jīng)過(guò)多年的發(fā)展，技術(shù)水平遠遠領(lǐng)先于我國，尤其是在計算機軟硬件技術(shù)及網(wǎng)絡(luò )安全技術(shù)方面。我國硬件核心設備的研發(fā)能力不足，核心技術(shù)還未取得突破性進(jìn)展，不得不依靠進(jìn)口采購。在無(wú)法獨立自主生產(chǎn)的情況下，必須依靠國外引進(jìn)，生產(chǎn)技術(shù)和維護技術(shù)受到極大的限制，極大影響了我國電子商務(wù)的健康發(fā)展。

1.3 黑客入侵

一些不法分子面對電子商務(wù)交易的蓬勃發(fā)展，勢必會(huì )產(chǎn)生不勞而獲的貪婪心理，利用網(wǎng)絡(luò )安全漏洞來(lái)攻擊電子商務(wù)網(wǎng)站平臺。當前網(wǎng)絡(luò )黑客侵入方式使用最普遍的是木馬程序，通過(guò)木馬程序侵入本地計算機，使得計算機記錄的登錄信息遭到篡改或泄露，導致重要文件及資金丟失。網(wǎng)絡(luò )病毒不可控性很強，其自身繁殖功能十分強大，嚴重損壞計算機文件，還會(huì )對計算機的硬件設施造成嚴重破壞，且網(wǎng)絡(luò )技術(shù)的迅速發(fā)展，使計算機病毒的破壞力也隨之增強。

1.4 網(wǎng)上支付安全隱患

網(wǎng)上支付是電子商務(wù)的核心部分，確保支付安全才能保障電子商務(wù)的健康發(fā)展，因此，網(wǎng)上支付的規范性、安全性、便捷性及高效性一定程度上決定了電子商務(wù)的發(fā)展潛力。從電子商務(wù)開(kāi)展的實(shí)際支付結構可知，商務(wù)系統平臺、安全認證系統、電子支付網(wǎng)關(guān)和電子錢(qián)包等四個(gè)條件必不可少。而安全認證系統是整個(gè)電子商務(wù)順利開(kāi)展的重要前提，理由如下：首先，網(wǎng)絡(luò )在實(shí)際運行中靈活性較強，當前的多種技術(shù)手段無(wú)法完全應對網(wǎng)絡(luò )安全威脅，仍存在較大的問(wèn)題。其次，雖然各家銀行先后建立了 CA 認證中心，但這些 CA 認證中心的權威性不足，無(wú)法成為全國性的認證標準，造成重復認證和資源浪費。最后，新《合同法》雖然納入電子合同的法律效用條款，但數字簽名仍存在技術(shù)問(wèn)題，這導致問(wèn)題出現后的一些復雜法律關(guān)系難以解決，如責任認定、責任承擔、有效執行仲裁結果等。

2 常見(jiàn)信息安全漏洞防御

2.1 結構性查詢(xún)語(yǔ)言注入

這是一種用于存取信息數據的數據庫系統，其作用是方便管理人員進(jìn)行網(wǎng)絡(luò )管理和用戶(hù)查詢(xún)。結構性查詢(xún)語(yǔ)言簡(jiǎn)稱(chēng)為 SQL,從本質(zhì)上來(lái)說(shuō)是一種程序設計的、高級的非過(guò)程化編程語(yǔ)言，其作用是作為客戶(hù)端與數據庫服務(wù)器相互溝通的橋梁。因此，SQL 是網(wǎng)站設計中安全防御的重點(diǎn)包括以下內容。

2.1.1 經(jīng)典的‘or 1=1’注入

作為計算機最經(jīng)典的結構性查詢(xún)語(yǔ)言，該注入方式一般不需要用戶(hù)名進(jìn)行驗證，密碼方面也沒(méi)有多層輸入的要求，故身份登錄并不會(huì )受到用戶(hù)名的限制。因此，該注入方式在編寫(xiě)驗證程序時(shí)，通過(guò)程序設計使得用戶(hù)名輸入時(shí)無(wú)需驗證，避開(kāi)非預期字符串的限制，然后將信息直接傳遞給 mysql-query（） 函數執行。這種注入方式跳過(guò)了驗證環(huán)節，驗證碼正確與否都不干涉用戶(hù)名登錄。因此，從信息安全防御角度出發(fā)，登錄確認工作是網(wǎng)站設計的重中之重，注意嚴密防范非法用戶(hù)登錄。

2.1.2 利用 union 語(yǔ)句的注入

Union 語(yǔ)句注入的作用機理是，網(wǎng)站設計中注入union 會(huì )使網(wǎng)站程序默認的語(yǔ)句出錯，網(wǎng)站運行速度受限，或者網(wǎng)頁(yè)直接打不開(kāi)，嚴重時(shí)還會(huì )引起網(wǎng)站崩潰。

結構性查詢(xún)語(yǔ)言從理論上來(lái)說(shuō)注入方式較多，從根源上防御各種注入方式才是關(guān)鍵。作為計算機工作者，日常網(wǎng)絡(luò )維護要認真嚴謹，細心對查詢(xún)語(yǔ)句的參數進(jìn)行過(guò)濾，遇到可疑情況及時(shí)排查。

2.2 跨站腳本攻擊的防范

跨站腳本攻擊，英文全稱(chēng)為 Cross Site Scripting.該腳本通過(guò)將惡意代碼植入到用戶(hù)的網(wǎng)站頁(yè)面，讓用戶(hù)登錄與實(shí)際網(wǎng)站完全不同的虛假網(wǎng)站。該腳本主要是將Java Script 腳本注入到 HTML 標簽中進(jìn)行攻擊，是一種頻繁引發(fā)網(wǎng)站設計安全威脅的重要因素。

2.2.1 跨站腳本攻擊的探測

跨站腳本攻擊是可以及時(shí)檢測到的，有助于盡早發(fā)現網(wǎng)站設計過(guò)程中的問(wèn)題，語(yǔ)句檢測是判斷跨站腳本攻擊的重要依據。如在輸入框中輸入語(yǔ)句找到其執行的地方，如果發(fā)現有彈窗就證明有跨站腳本對軟件進(jìn)行攻擊。以網(wǎng)站的評論為例，在網(wǎng)站評論頁(yè)面的輸入框中寫(xiě)入相關(guān)代碼，完成后進(jìn)行刷新，若發(fā)現瀏覽器的彈出窗口沒(méi)有得到禁止，基本可以判斷該網(wǎng)站設計的評論模塊有跨站腳本攻擊過(guò)。

2.2.2 重新定向

一旦發(fā)在網(wǎng)站設計過(guò)程中存在跨站腳本攻擊的某些漏洞，那么黑客就有多種方式攻擊網(wǎng)站。如可以通過(guò)跨站腳本攻擊重新定位新的攻擊網(wǎng)頁(yè)，實(shí)現刷目標網(wǎng)站流量的目的。舉一個(gè)簡(jiǎn)單的例子，用戶(hù) A 發(fā)了一個(gè)容易構造的URL 給用戶(hù) B,當用戶(hù) B 打開(kāi)后，惡意腳本開(kāi)始攻擊用戶(hù)B 的電腦，可以執行前一個(gè)用戶(hù) A 權限下的所有命令。

2.2.3 攻擊彈出其他網(wǎng)頁(yè)

大部分網(wǎng)民瀏覽網(wǎng)頁(yè)時(shí)都碰到過(guò)廣告彈窗的情況，這是電腦黑客通過(guò)跨站腳本攻擊的方式，實(shí)現攻擊計算機用戶(hù)正在瀏覽網(wǎng)頁(yè)的目的，從而讓用戶(hù)瀏覽其他網(wǎng)頁(yè)。針對跨站腳本這種攻擊方式，通常采用特征匹配來(lái)進(jìn)行針對性防御，同時(shí)加強認證工作，最大限度避免跨站腳本攻擊的發(fā)生