学术堂首页 | 文献求助论文范文 | 论文题目 | 参考文献 | 开题报告 | 论文格式 | 摘要提纲 | 论文致谢 | 论文查重 | 论文答辩 | 论文发表 | 期刊杂志 | 论文写作 | 论文PPT
学术堂专业论文学习平台您当前的位置:学术堂 > 计算机论文 > 网站设计论文

电子商务网站建设面临的信息安全威胁及对策

来源:学术堂 作者:韩老师
发布于:2016-01-27 共2742字

  自计算机诞生以来,计算机的软硬件技术不断更新换代,尤其是新世纪以来,网络信息技术进入了飞速发展的时代,从根本上改变了人们的交易方式和日常生活方式。电子商务网站在 Web 技术的支持下发展迅速,由当初功能单一、界面单调的状态发展到了今天功能齐全、操作简单的状态。电子商务网站在长期的运行过程中,网络系统难免存在一些安全漏洞,这给了不法分子可乘之机,导致交易双方的交易信息和个人资料泄露,电子商务网站难以保障正常运行秩序,这显然不利于电子商务的长远发展。解决网络系统及电子商务网站的安全漏洞问题,网络信息安全及其安全防御是关键所在。笔者根据多年从业经验,指出当前电子商务网站所面临的信息安全威胁,介绍网站设计过程中常用的、高效的网络安全技术,为电子商务网站设计提供一些信息安全防御的思路和策略,从技术层面提高电子商务网站的信息安全,从而有力保障交易双方的利益。

  1 信息安全面临的威胁

  1.1 平台威胁

  电子商务是一种有别于传统交易,依托网络平台来开展的新兴交易方式,信息传递过程中影响信息传播速度的因素很多,包括电磁辐射干扰和网络设备老化,情况严重时会威胁到交易双方的信息安全。除了网络设备的物理干扰和破坏外,一己私利造成的人为商务系统硬件破坏更为严重,他们有意更改信息内容,通过这种不法手段获取经济利益。

  1.2 安全环境恶化

  发达国家经过多年的发展,技术水平远远领先于我国,尤其是在计算机软硬件技术及网络安全技术方面。我国硬件核心设备的研发能力不足,核心技术还未取得突破性进展,不得不依靠进口采购。在无法独立自主生产的情况下,必须依靠国外引进,生产技术和维护技术受到极大的限制,极大影响了我国电子商务的健康发展。

  1.3 黑客入侵

  一些不法分子面对电子商务交易的蓬勃发展,势必会产生不劳而获的贪婪心理,利用网络安全漏洞来攻击电子商务网站平台。当前网络黑客侵入方式使用最普遍的是木马程序,通过木马程序侵入本地计算机,使得计算机记录的登录信息遭到篡改或泄露,导致重要文件及资金丢失。网络病毒不可控性很强,其自身繁殖功能十分强大,严重损坏计算机文件,还会对计算机的硬件设施造成严重破坏,且网络技术的迅速发展,使计算机病毒的破坏力也随之增强。

  1.4 网上支付安全隐患

  网上支付是电子商务的核心部分,确保支付安全才能保障电子商务的健康发展,因此,网上支付的规范性、安全性、便捷性及高效性一定程度上决定了电子商务的发展潜力。从电子商务开展的实际支付结构可知,商务系统平台、安全认证系统、电子支付网关和电子钱包等四个条件必不可少。而安全认证系统是整个电子商务顺利开展的重要前提,理由如下:首先,网络在实际运行中灵活性较强,当前的多种技术手段无法完全应对网络安全威胁,仍存在较大的问题。其次,虽然各家银行先后建立了 CA 认证中心,但这些 CA 认证中心的权威性不足,无法成为全国性的认证标准,造成重复认证和资源浪费。最后,新《合同法》虽然纳入电子合同的法律效用条款,但数字签名仍存在技术问题,这导致问题出现后的一些复杂法律关系难以解决,如责任认定、责任承担、有效执行仲裁结果等。

  2 常见信息安全漏洞防御

  2.1 结构性查询语言注入

  这是一种用于存取信息数据的数据库系统,其作用是方便管理人员进行网络管理和用户查询。结构性查询语言简称为 SQL,从本质上来说是一种程序设计的、高级的非过程化编程语言,其作用是作为客户端与数据库服务器相互沟通的桥梁。因此,SQL 是网站设计中安全防御的重点包括以下内容。

  2.1.1 经典的‘or 1=1’注入

  作为计算机最经典的结构性查询语言,该注入方式一般不需要用户名进行验证,密码方面也没有多层输入的要求,故身份登录并不会受到用户名的限制。因此,该注入方式在编写验证程序时,通过程序设计使得用户名输入时无需验证,避开非预期字符串的限制,然后将信息直接传递给 mysql-query() 函数执行。这种注入方式跳过了验证环节,验证码正确与否都不干涉用户名登录。因此,从信息安全防御角度出发,登录确认工作是网站设计的重中之重,注意严密防范非法用户登录。

  2.1.2 利用 union 语句的注入

  Union 语句注入的作用机理是,网站设计中注入union 会使网站程序默认的语句出错,网站运行速度受限,或者网页直接打不开,严重时还会引起网站崩溃。

  结构性查询语言从理论上来说注入方式较多,从根源上防御各种注入方式才是关键。作为计算机工作者,日常网络维护要认真严谨,细心对查询语句的参数进行过滤,遇到可疑情况及时排查。

  2.2 跨站脚本攻击的防范

  跨站脚本攻击,英文全称为 Cross Site Scripting.该脚本通过将恶意代码植入到用户的网站页面,让用户登录与实际网站完全不同的虚假网站。该脚本主要是将Java Script 脚本注入到 HTML 标签中进行攻击,是一种频繁引发网站设计安全威胁的重要因素。

  2.2.1 跨站脚本攻击的探测

  跨站脚本攻击是可以及时检测到的,有助于尽早发现网站设计过程中的问题,语句检测是判断跨站脚本攻击的重要依据。如在输入框中输入语句找到其执行的地方,如果发现有弹窗就证明有跨站脚本对软件进行攻击。以网站的评论为例,在网站评论页面的输入框中写入相关代码,完成后进行刷新,若发现浏览器的弹出窗口没有得到禁止,基本可以判断该网站设计的评论模块有跨站脚本攻击过。

  2.2.2 重新定向

  一旦发在网站设计过程中存在跨站脚本攻击的某些漏洞,那么黑客就有多种方式攻击网站。如可以通过跨站脚本攻击重新定位新的攻击网页,实现刷目标网站流量的目的。举一个简单的例子,用户 A 发了一个容易构造的URL 给用户 B,当用户 B 打开后,恶意脚本开始攻击用户B 的电脑,可以执行前一个用户 A 权限下的所有命令。

  2.2.3 攻击弹出其他网页

  大部分网民浏览网页时都碰到过广告弹窗的情况,这是电脑黑客通过跨站脚本攻击的方式,实现攻击计算机用户正在浏览网页的目的,从而让用户浏览其他网页。针对跨站脚本这种攻击方式,通常采用特征匹配来进行针对性防御,同时加强认证工作,最大限度避免跨站脚本攻击的发生。

  3 结 语

  一个安全的电子商务网站平台是电子商务交易健康发展的重要前提,必须在网站设计过程中增强信息安全防御,有效保障交易双方的信息安全和财产安全。这要求网站设计师从网站操作的各环节出发去评估安全漏洞,提高信息安全防御性能,尽量减少黑客和病毒的侵入,确保电子商务网站的安全运行。

  参考文献
  
  [1] 彭芳 , 朱新英 . 电子商务网站设计中信息安全防御的研究 [J]. 煤炭技术 ,2012,31(5):194-195.
  [2] 邢太北 . 关于电子商务网站设计中信息安全防御的研究 [J]. 计算机光盘软件与应用 ,2012(15):22.
  [3] 王丽 . 关于网站设计中信息安全防御的思考 [J].计算机光盘软件与应用 ,2012(12):21.
  [4] 罗有明 , 贺熹 .PHP 网站设计中信息安全防御的研究 [J]. 科技经济市场 ,2011(3):7-9.

相关标签:网站建设论文
  • 报警平台
  • 网络监察
  • 备案信息
  • 举报中心
  • 传播文明
  • 诚信网站