中小型企業電子商務網站的安全實現方案
什麼是網路安全。
「網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。」i相對於中小型企業的電子商務網站來說,網路安全就是指網站上的數據能夠安全的不間斷地提供穩定的服務。我將掘橡從硬體安全、網路安全、系統安全、代碼安全四個方面來闡述對中小型企業的電子商務網站的安全實現方案。 2.硬體安全。
2.1 給伺服器加把鎖
物質是基礎,硬體就是電子商務的基礎。但是硬體的安全往往是最容易被網路管理人員所忽視的。其中比較棘手的一個問題就是,在你的電腦上沒有任何的防護措施來防止進入你辦公室的同事使用你的電腦。如果作為工作站,還沒有太大的問題,但是如果作為伺服器任何非專業的操作都有可能導致系統不穩定者散宴。所以,伺服器必須加上物理鎖,以防止其他人的使用。使用密碼當然也可以,但是遠遠不如物理鎖來的直接和實在。而且您還可以有絕佳的借口可以絕對的禁止其他人員對您電腦的使用。(鑰匙在經理那裡,要不,您管他要去?) 2.2 UPS以及發電機
電子商務優勝於傳統商務模式的一個顯著特點就是它可以24小時不間斷地提供服務。但是,前提是您的伺服器同樣能夠24小時來服務。經過了2004年拉閘限電的夏天,沒有人認為一台UPS的投入會是多餘的。對於伺服器來說,UPS的好處還在於它能夠將電流過濾穩定地輸出,以保證伺服器在一個良好的環境里運行。如果公司的伺服器不止一台,而且公司處於像大連這樣的能源消耗大城市,一台發電機還是必要的。好好的維護它,每周運行一次來檢查他是否能夠正常工作。不要覺得麻煩,麻痹是安全最大的敵人 2.3 對付災難的方法——備份!
就如這個世界上沒有不會被攻破的城市一樣同樣不存在絕對安全的伺服器,操作系統的漏洞,代碼的不安全,管理人員的首銀疏忽都有可能造成具有寶貴數據伺服器的崩潰。崩潰不是DOOM,但是前提是您必需有伺服器中數據的備份。一提到備份,對於某些人來講,不過是將網站的所有數據刻錄到光碟上的過程而已。但是,對於電子商務網站,如果處理的數據過多,是不可能通過這樣的手段來實現的。經過培訓的人員或許會想到磁帶機以及實時備份的技術,這的確是一個解決方案。但是,簡單的通過設備來備份並不能夠在最危機的時刻顯示它的作用。在911事件發生後,原來世貿大廈中60%以上的企業都倒閉了,原因就是缺乏足夠的資料以及數據能夠讓他們恢復被襲擊之前的業務。所以,如果您想讓您的數據真正的備份那麼最好的辦法就是在遠離公司的異地辦事處設定一個備份中心。威力再大的核彈也不可能摧毀整個中國,這是最安全的備份方案。對於數據比較少的情況下,可以選擇在萬維網上建立vpn連接異地雙機熱備份的方法。當然,對於實施電子商務這種數據比較多地中小型企業來說,這樣也比較奢侈,而且不太可能實現。我個人認為最優的方案仍然是通過設備——磁帶機,或者其他設備,但是,請將保存資料的東西放進保險櫃。保險櫃是每個企業都有的設備,而且現在的保險櫃都是防水,防火,防砸的。這樣,即使發生了自然災害也能夠很好的保證數據的完整性。
3.網路安全
3.1 拓撲安全
一般來說,我國的中小型企業所採用的網路拓撲大多為簡單的樹型結構。只有一級路由設備來實現工作組的支持和寬頻網路的共享。
這樣的拓撲結構優點非常明顯,可以將投資降到最小。但是,同時它的危險性也非常明顯。因為所有的客戶端都同電子商務伺服器在同一個網段,(for example: 192.168.1.1——192.168.1.254)當電子商務伺服器被入侵後,企業內部網路的所有客戶端都將暴露在黑客的視線內,內部的網路通訊以及計算機上面的文檔都將有可能被黑客所得到。
為了避免這樣的「慘劇」發生。我建議對網路進行多重路由的部署,即將電子商務伺服器部署成「非軍事化區」(DMZ),佔用獨立的網段。將企業內部網路同電子商務伺服器的網段分開。因為不同的網段如果沒有中繼是無法進行通訊的,即便黑客入侵了電子商務伺服器,也無法獲取企業內部的信息。
就是可以隨意的設置每個網段的相關屬性,比如路由A所控制的網段A,由於電子商務伺服器在他的網段中運行,存在著一定的危險性,可以設置成不允許他訪問其他的內網網段。而路由B所控制的網段,假設為保密部門,可以設定他只能訪問內部網路卻無法訪問互聯網。
多層拓撲的另外一個好處就是可以部署多層次防火牆。打個比方,多層次防火牆的功能就好比戰場上的多重防線,如果只被攻破了一層防火牆,後面還有另外的防火牆來阻止「敵人」的進一步進攻。
3.2防火牆
3.2.1 軟體防火牆,或者硬體防火牆的選擇。
圖1所涉及到的拓撲還有一個非常明顯的問題就是,沒有防火牆。我個人認為不安裝防火牆就連接到互聯網的行為無異於赤身裸體的出現在硝煙彌漫的戰場,結果當然只有一個。
同個人使用的終端電腦所不同的是電子商務伺服器必須開放相應的服務埠,來允許對方的訪問。正如您所知道的,多開放一個埠,您的伺服器危險性就相應的增加一些。還有,很讓人無奈的DDOS攻擊,很無聊的做法,但是往往有很多無聊的人願意這么無聊的做。如果沒有防火牆,安全穩定的運行往往就是一句空話。
對於網路資金預算比較充裕的企業往往在防火牆的選擇上會偏好於硬體防火牆。但是對於網路安全這樣一個並不能夠直接產生利潤的部門,資金預算充裕的恐怕是寥寥無幾。還有一點值得注意的就是我對有些硬體防火牆的性能表示懷疑。有些廠商所生產的硬體防火牆,幾乎就是台式機+linux+防火牆的組合體。而使用軟體防火牆,我們有可能比它做得更好。所以我建議您選擇軟體防火牆。 3.2.2 軟體防火牆ISA server 2004
涉及到防火牆我們就必須提一下防火牆的原理。大家都知道,網路通信的概念性標准框架是國際標准化組織(ISO)提出的OSI 開放式系統互聯模型。
太多了太長,下面這里是鏈接,樓主有空了就自己點擊進去看看吧,
希望可以對你有所幫助。。
