1概述

随着IT技术的飞速发展，企业对网络越来越依赖，企业的运营方式、组织形式、商品交易的支付手段等正快速走向数字化。当企业的商业化应用与互联网结合就形成了如今的电子商务形式。由于企业进行商品交易的活动是在互联网上运行的，其业务的平台或基础是建立在互联网上的网站，商业活动产生的数据需要通过互联网进行传输，企业电子商务网站为客户提供的商务服务、企业形象展示、品牌推介、产品交易、数据库内容及客户账号信息等数据均需要在相应网站上进行存储，网站运行在完全开放的网络上必然会出现安全问题，如病毒入侵、黑客攻击等，因此网络安全问题也成了企业商务活动十分关注的问题。

2企业电子商务网站网络安全风险

2.1黑客攻击

目前黑客对企业电子商务网站的攻击方式主要有拒绝服务攻击、网站后门攻击、恶意脚本攻击、跨站脚本攻击、网页篡改、信息炸弹、密码破解等。这些攻击的主要目的是获取网站服务器的控制权，窃取系统中的数据和密码，窃取用户资金，破坏企业电子商务网站系统。

2.2病毒入侵

目前全球已知病毒已近2亿种，新病毒或病毒变体每天都在发现，病毒造成的危害越来越大，病毒入侵造成的破坏已成为企业电子商务活动的重大威胁，目前主要的病毒危害有“木马病毒”、“网页病毒”、“蠕虫病毒”等。

2.3系统或软件漏洞

当系统或软件存在逻辑设计上的错误或设计者对安全的忽略时，系统或软件就会存在安全漏洞。在企业电子商务网站上系统或软件漏洞因各种原因是可能存在的，这对企业电子商务活动将造成非常大的危害，可能被不法分子恶意攻击，他们可能轻易进入网站服务器系统，随意修改和窃取用户信息。

2.4缺乏IT管理

企业对其电子商务网站或系统缺乏严格的管理，导致遭受攻击和破坏。

3企业电子商务网站网络安全需求

3.1网络互联和通信安全需求

提供灵活且高效的网络通讯及信息服务的同时，抵御和发现网络攻击，并且提供跟踪攻击的手段。

3.2服务器系统安全需求

对网络和主机设备实行主动的漏洞检测和安全评估，及时发现操作系统和数据库系统中存在的安全漏洞;对关键的服务器操作系统进行安全加固，通过严格的用户认证、访问控制和审计，防止黑客利用系统安全管理功能的不足进行非法访问，同时避免内部用户的滥用。

3.3应用系统安全需求

建立好CA认证系统，加强对关键应用系统的用户认证和管理;建立企业级网络防病毒措施，对病毒传播的所有可能的入口进行严格控制，尤其防范病毒通过互联网连接侵入内部网络。

3.4业务系统的安全需求

访问控调、数据安全、入侵检测、来自网络内部其他系统的破坏。

3.5安全管理需求

校园网络需要建立完善的安全管理制度，加强对工作人员的安全知识和安全操作培训。

4企业电子商务网站网络安全体系总体结构设计

4.1VPN网络子系统

VPN网络是在电信公司提供的城域网上实现的。企业电子商务网站网络采用独立的VLAN。为了保障各用户点不同的业务，可采用VLAN、MAC地址绑定、ACL访问控制列表来实现安全控制。采用IPSEC组建VPN虚拟专用网，IPSecVPN技术建立从网点路由器到中心路由器的VPN隧道，该VPN隧道里主要传输的是企业电子商务网站中心主业务系统的数据。VPN网络子系统实现各用户点到中心多业务数据的安全可靠传输。

4.2安全检测子系统

在网络的WWW服务器、Email服务器等各种服务器中使用网络安全检测子系统，实时跟踪、监视网络，截获互联网上传输的内容，并将其还原成完整的WWW、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网络中心报告，采取措施。利用专门的日志分析工具对保存在数据库中的访问日志进行统计并绘制统计图，可以对访问地址和流量进行分析，对于明显的攻击便可一目了然。

4.3防火墙子系统

防火墙是一种网络隔离控制技术，在企业电子商务网站网络上安装防火墙可将内部网络与外部网络进行隔离，同时对传输信息进行过滤。防火墙可按照网络管理者设定的过滤规则允许或限制内外网之间、计算机与网络之间的数据传输，只有经授权的通信才能通过防火墙。防火墙是企业电子商务网站整个安全系统的基础和基本防护措施，通过防火墙的部署，解决全网的安全基础问题。核心防火墙采用双机设备方式工作。4.4入侵检测子系统入侵监测子系统解决各个安全区域的“安全守卫”工作。在企业电子商务网站网络中采用入侵检测技术，最好采用混合入侵检测，从基于网络的入侵检测和基于主机的入侵检测两方面着手。

4.5网络防毒子系统

采用多层次的立体防护体系，对客户端计算机、服务器、网关等均安装相对应的防病毒系统。在网站中心部署一台防病毒服务器，设置集中控制系统。实现全网各个不同安全区域防病毒，做到统一升级，集中监控查杀病毒以及客户端PC机器的安全控制。采用“集中管控、层层防护、防杀结合”的策略。

4.6漏洞扫描子系统

解决网络安全问题，首先要清楚网络中存在什么安全隐患。漏洞扫描技术可自动扫描远端或本地主机的安全薄弱点，并将扫描得到的信息以统计方式输出，为网络管理员提供分析和参考。漏洞扫描还可以确认各种配置的正确性，避免网站遭受不必要的攻击。

4.7WSUS子系统

在内网配置一台WSUS服务器，用来做内网的升级服务器和控制台。在独立的外网的WSUS服务器升级后，导出升级数据，将数据文件通过存储介质导入内网的WSUS服务器上完成服务器的升级。

4.8监听维护子系统

对网络内部的侵袭，可采用为网络内部的各个子网做一个具有一定功能的审计文件，为管理人员分析内部网络的运作状态提供依据。

4.9管理制度子系统

为保证各项安全措施的实施并真正发挥作用，针对每个安全层次，分别制订相应的可实施的规章制度。

4.10备份恢复子系统

建立网络系统良好的备份和恢复机制，可在设备出现故障或是网络遭受攻击时，能尽快地恢复数据和系统服务。数据容灾系统使用两个存储器，一个放置在本地，另一个放置在异地，在两个存储器之间建立复制关系。异地存储器实时复制本地存储器的关键数据。

4.11数据加密技术

对内外网之间交互的信息采用加密技术。

5结论

通过整体构建、分层设计的方法，实现了企业电子商务网站网络安全体系的设计。通过种种安全技术手段，为网络提供了一个完整的网络安全防御体系的解决方案;与此同时，还应加强网络的管理，建立有效、健全的管理体系，最终达到保护网络信息系统安全性的目的。

作者：程龙泉 单位：四川机电职业技术学院