公务员期刊网 论文中心 正文

电子商务网站设计中信息安全防御

前言:想要写出一篇引人入胜的文章?我们特意为您整理了电子商务网站设计中信息安全防御范文,希望能给你带来灵感和参考,敬请阅读。

电子商务网站设计中信息安全防御

自计算机诞生以来,计算机的软硬件技术不断更新换代,尤其是新世纪以来,网络信息技术进入了飞速发展的时代,从根本上改变了人们的交易方式和日常生活方式。电子商务网站在Web技术的支持下发展迅速,由当初功能单一、界面单调的状态发展到了今天功能齐全、操作简单的状态。电子商务网站在长期的运行过程中,网络系统难免存在一些安全漏洞,这给了不法分子可乘之机,导致交易双方的交易信息和个人资料泄露,电子商务网站难以保障正常运行秩序,这显然不利于电子商务的长远发展。解决网络系统及电子商务网站的安全漏洞问题,网络信息安全及其安全防御是关键所在。笔者根据多年从业经验,指出当前电子商务网站所面临的信息安全威胁,介绍网站设计过程中常用的、高效的网络安全技术,为电子商务网站设计提供一些信息安全防御的思路和策略,从技术层面提高电子商务网站的信息安全,从而有力保障交易双方的利益。

1信息安全面临的威胁

1.1平台威胁

电子商务是一种有别于传统交易,依托网络平台来开展的新兴交易方式,信息传递过程中影响信息传播速度的因素很多,包括电磁辐射干扰和网络设备老化,情况严重时会威胁到交易双方的信息安全。除了网络设备的物理干扰和破坏外,一己私利造成的人为商务系统硬件破坏更为严重,他们有意更改信息内容,通过这种不法手段获取经济利益。

1.2安全环境恶化

发达国家经过多年的发展,技术水平远远领先于我国,尤其是在计算机软硬件技术及网络安全技术方面。我国硬件核心设备的研发能力不足,核心技术还未取得突破性进展,不得不依靠进口采购。在无法独立自主生产的情况下,必须依靠国外引进,生产技术和维护技术受到极大的限制,极大影响了我国电子商务的健康发展。

1.3黑客入侵

一些不法分子面对电子商务交易的蓬勃发展,势必会产生不劳而获的贪婪心理,利用网络安全漏洞来攻击电子商务网站平台。当前网络黑客侵入方式使用最普遍的是木马程序,通过木马程序侵入本地计算机,使得计算机记录的登录信息遭到篡改或泄露,导致重要文件及资金丢失。网络病毒不可控性很强,其自身繁殖功能十分强大,严重损坏计算机文件,还会对计算机的硬件设施造成严重破坏,且网络技术的迅速发展,使计算机病毒的破坏力也随之增强。

1.4网上支付安全隐患

网上支付是电子商务的核心部分,确保支付安全才能保障电子商务的健康发展,因此,网上支付的规范性、安全性、便捷性及高效性一定程度上决定了电子商务的发展潜力。从电子商务开展的实际支付结构可知,商务系统平台、安全认证系统、电子支付网关和电子钱包等四个条件必不可少。而安全认证系统是整个电子商务顺利开展的重要前提,理由如下:首先,网络在实际运行中灵活性较强,当前的多种技术手段无法完全应对网络安全威胁,仍存在较大的问题。其次,虽然各家银行先后建立了CA认证中心,但这些CA认证中心的权威性不足,无法成为全国性的认证标准,造成重复认证和资源浪费。最后,新《合同法》虽然纳入电子合同的法律效用条款,但数字签名仍存在技术问题,这导致问题出现后的一些复杂法律关系难以解决,如责任认定、责任承担、有效执行仲裁结果等。

2常见信息安全漏洞防御

2.1结构性查询语言注入

这是一种用于存取信息数据的数据库系统,其作用是方便管理人员进行网络管理和用户查询。结构性查询语言简称为SQL,从本质上来说是一种程序设计的、高级的非过程化编程语言,其作用是作为客户端与数据库服务器相互沟通的桥梁。因此,SQL是网站设计中安全防御的重点包括以下内容。

2.1.1经典的‘or1=1’注入作为计算机最经典的结构性查询语言,该注入方式一般不需要用户名进行验证,密码方面也没有多层输入的要求,故身份登录并不会受到用户名的限制。因此,该注入方式在编写验证程序时,通过程序设计使得用户名输入时无需验证,避开非预期字符串的限制,然后将信息直接传递给mysql-query()函数执行。这种注入方式跳过了验证环节,验证码正确与否都不干涉用户名登录。因此,从信息安全防御角度出发,登录确认工作是网站设计的重中之重,注意严密防范非法用户登录。

2.1.2利用union语句的注入Union语句注入的作用机理是,网站设计中注入union会使网站程序默认的语句出错,网站运行速度受限,或者网页直接打不开,严重时还会引起网站崩溃。结构性查询语言从理论上来说注入方式较多,从根源上防御各种注入方式才是关键。作为计算机工作者,日常网络维护要认真严谨,细心对查询语句的参数进行过滤,遇到可疑情况及时排查。

2.2跨站脚本攻击的防范

跨站脚本攻击,英文全称为CrossSiteScripting。该脚本通过将恶意代码植入到用户的网站页面,让用户登录与实际网站完全不同的虚假网站。该脚本主要是将JavaScript脚本注入到HTML标签中进行攻击,是一种频繁引发网站设计安全威胁的重要因素。

2.2.1跨站脚本攻击的探测跨站脚本攻击是可以及时检测到的,有助于尽早发现网站设计过程中的问题,语句检测是判断跨站脚本攻击的重要依据。如在输入框中输入语句找到其执行的地方,如果发现有弹窗就证明有跨站脚本对软件进行攻击。以网站的评论为例,在网站评论页面的输入框中写入相关代码,完成后进行刷新,若发现浏览器的弹出窗口没有得到禁止,基本可以判断该网站设计的评论模块有跨站脚本攻击过。

2.2.2重新定向一旦发在网站设计过程中存在跨站脚本攻击的某些漏洞,那么黑客就有多种方式攻击网站。如可以通过跨站脚本攻击重新定位新的攻击网页,实现刷目标网站流量的目的。举一个简单的例子,用户A发了一个容易构造的URL给用户B,当用户B打开后,恶意脚本开始攻击用户B的电脑,可以执行前一个用户A权限下的所有命令。

2.2.3攻击弹出其他网页大部分网民浏览网页时都碰到过广告弹窗的情况,这是电脑黑客通过跨站脚本攻击的方式,实现攻击计算机用户正在浏览网页的目的,从而让用户浏览其他网页。针对跨站脚本这种攻击方式,通常采用特征匹配来进行针对性防御,同时加强认证工作,最大限度避免跨站脚本攻击的发生。

3结语

一个安全的电子商务网站平台是电子商务交易健康发展的重要前提,必须在网站设计过程中增强信息安全防御,有效保障交易双方的信息安全和财产安全。这要求网站设计师从网站操作的各环节出发去评估安全漏洞,提高信息安全防御性能,尽量减少黑客和病毒的侵入,确保电子商务网站的安全运行。

作者:黄峻峰 单位:咸宁职业技术学院信息工程学院