電子商務(wù)平臺的論文

電子商務(wù)平臺的論文

　　導(dǎo)讀：論文常用來指進(jìn)行各個學(xué)術(shù)領(lǐng)域的研究和描述學(xué)術(shù)研究成果的文章，簡稱之為論文。下面小編為大家?guī)�來電子商�?wù)平臺的論文，希望能幫助到大家。

　　題目：電子商務(wù)平臺新一代安全防護(hù)技術(shù)探討

　　摘要:首先對電子商務(wù)平臺面臨的安全問題進(jìn)行分析，然后詳細(xì)描述了新一代安全防護(hù)技術(shù)的處理框架和引擎技術(shù)，包括防御黑客攻擊、捕捉黑客攻擊行為，第一時間人為介入，降低電子商務(wù)平臺的安全風(fēng)險。最后，電子商務(wù)平臺的安全防護(hù)需要多方面的支撐，隨著安全技術(shù)不斷發(fā)展，新一代安全防護(hù)技術(shù)將被廣泛應(yīng)用。

　　關(guān)鍵詞:信息安全;框架;引擎;防御;捕捉

　　前言

　　隨著“互聯(lián)網(wǎng)+”、移動互聯(lián)網(wǎng)的不斷發(fā)展，電子商務(wù)平臺功能的不斷豐富、完善以及擁有使用便利的特性，網(wǎng)上招投標(biāo)正逐漸成為電子商務(wù)的主流模式。據(jù)統(tǒng)計，我國商務(wù)招投標(biāo)量比重已超過總量的80%。雖然電子商務(wù)與互聯(lián)網(wǎng)的連接方便了供應(yīng)商，但不可避免地也帶來了一些負(fù)面影響。

　　較為突出的是計算機(jī)信息網(wǎng)絡(luò)的安全保密問題，如果解決不好，國家安全和利益將受到損害，也勢必危及信息化事業(yè)的健康，由于部分居心叵測的使用者受到一些不可告人的利益的驅(qū)動，這部分人不可避免地帶來了涉及網(wǎng)絡(luò)安全應(yīng)用和服務(wù)的種種安全問題。

　　2015年10月3日，美國某電子商務(wù)平臺此前曾遭到黑客攻擊，約460萬客戶的姓名和地址等個人數(shù)據(jù)可能已被黑客竊取。

　　2016年2月10日，日本某電子商務(wù)網(wǎng)站遭到黑客攻擊造成宕機(jī)，自稱屬于Anony-mous黑客組織一部分的賬戶稱其對此負(fù)責(zé)。

　　由于互聯(lián)網(wǎng)的開放性，來自互聯(lián)網(wǎng)上的病毒、木馬、黑客攻擊以及計算機(jī)威脅事件，都時刻威脅著行業(yè)的信息系統(tǒng)安全，成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。因此，電子商務(wù)平臺安全防護(hù)技術(shù)的改進(jìn)、提升是信息安全保障工作的重要組成部分。

　　1、安全現(xiàn)狀

　　互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展正在改變現(xiàn)代企業(yè)的經(jīng)營和組織方式，極大地提高了整個社會的運(yùn)轉(zhuǎn)效率，同時也讓企業(yè)原本封閉在內(nèi)部的資產(chǎn)暴露在復(fù)雜的網(wǎng)絡(luò)環(huán)境中，信息安全問題已經(jīng)成為關(guān)系到現(xiàn)代企業(yè)生存發(fā)展的關(guān)鍵問題。信息安全的發(fā)展方式是典型的攻防對抗式技術(shù)發(fā)展模式，伴隨著新型安全產(chǎn)品的推出，相應(yīng)的黑客攻擊技術(shù)也會隨之出現(xiàn)。

　　例如，突然爆發(fā)的Struts2安全漏洞很有可能令企業(yè)用戶的前期安全防護(hù)投入化為烏有。僅僅使用安全防御型產(chǎn)品已經(jīng)不能提供全面、及時、有效的信息安全保障，必須與業(yè)內(nèi)頂級的安全專家時刻保持緊密溝通，才能對抗不斷發(fā)展進(jìn)化的攻擊手段。

　　隨著安全業(yè)態(tài)的發(fā)展以及對安全風(fēng)險本質(zhì)認(rèn)識的深入，網(wǎng)絡(luò)安全工作重點(diǎn)正在從過去的以單點(diǎn)“防御”為核心逐步轉(zhuǎn)向構(gòu)建全面的“風(fēng)險預(yù)測”“防御控制”“威脅感知”的一體化安全防護(hù)能力。當(dāng)前的一體化安全策略主要從兩個方向提升安全防護(hù)水平。

　　一個方向是防御工作的前傾和加強(qiáng)，強(qiáng)調(diào)在攻擊事件發(fā)生之前，能夠提前排查內(nèi)在隱患和外在威脅的存在，有效進(jìn)行風(fēng)險管理和威脅預(yù)警，預(yù)先檢測出潛在安全漏洞，盡量降低網(wǎng)站被攻擊的可能性。

　　另一個方向是安全響應(yīng)工作的完善和提升，強(qiáng)調(diào)在安全防御體系被攻破后，能夠第一時間感知到威脅事件的發(fā)生，掌握安全事件的主動權(quán)，并能迅速進(jìn)行應(yīng)急響應(yīng)，控制和降低安全損失的影響。

　　2、基本需求

　　2．1發(fā)現(xiàn)安全隱患

　　隨時全面掌控安全風(fēng)險和隱患是做好安全防控工作的基本前提。安全隱患的排查和發(fā)現(xiàn)需要建立完善的安全管理規(guī)范和制度，也需要面向企業(yè)的安全服務(wù)，能夠通過領(lǐng)域信息安全專家，對企事業(yè)單位信息資產(chǎn)以及基礎(chǔ)網(wǎng)絡(luò)環(huán)境進(jìn)行全面評估，利用高級滲透測試和其他安全攻擊工具從攻擊者角度對潛在安全隱患點(diǎn)進(jìn)行攻防測試，形成深入、全面的安全風(fēng)險評估報告，幫助用戶提前發(fā)現(xiàn)安全問題，提供有針對性的修復(fù)和整改方案，并對最新爆發(fā)的安全漏洞提供應(yīng)急響應(yīng)服務(wù)，防患于未然。

　　2．2阻斷攻擊

　　在安全情報快速傳播、安全風(fēng)險不斷升級的信息時代，面對不斷變化的Web攻擊手段和未知安全威脅，傳統(tǒng)Web應(yīng)用攻擊防護(hù)技術(shù)面臨巨大的安全防護(hù)挑戰(zhàn)，Web業(yè)務(wù)的復(fù)雜度遠(yuǎn)遠(yuǎn)大于之前，安全規(guī)則的維護(hù)成本大大增加，如何實(shí)現(xiàn)對所有的業(yè)務(wù)線的安全保護(hù)是目前面臨的重要難題。Web應(yīng)用防火墻(WAF)是目前較為有效的Web應(yīng)用防護(hù)產(chǎn)品，但WAF產(chǎn)品千差萬別，應(yīng)從實(shí)際應(yīng)用效果出發(fā)，選擇威脅檢測準(zhǔn)確度高、誤報和漏報率低、易于維護(hù)的WAF產(chǎn)品。

　　2．3感知威脅入侵

　　多年來，網(wǎng)絡(luò)安全的防護(hù)方式主要采用被動方式的安全防御措施，雖然能夠有效檢測出已知類型的攻擊入侵，但很難抵御住未知類型的安全威脅，同時來自內(nèi)部網(wǎng)絡(luò)環(huán)境的安全威脅也層出不窮。因此，近年來針對網(wǎng)絡(luò)安全問題，不僅僅需要邊界防護(hù)技術(shù)和產(chǎn)品，還需要建設(shè)和加強(qiáng)內(nèi)網(wǎng)的威脅感知能力，能夠及時準(zhǔn)確地發(fā)現(xiàn)入侵行為。

　　3、解決方案

　　隨著網(wǎng)絡(luò)承載更多功能的同時，網(wǎng)絡(luò)攻擊的來源、途徑、手段都在變得更加復(fù)雜且難以防護(hù)，安全防護(hù)成為極具挑戰(zhàn)的系統(tǒng)性工作，單一的防護(hù)技術(shù)和手段已經(jīng)很難抵御住來自四面八方的安全威脅。因此，需要具備整體防護(hù)能力的一體化安全解決方案，通過組合使用多種安全保護(hù)服務(wù)、技術(shù)和產(chǎn)品，形成能夠?qū)Π踩�威脅行為全過程進(jìn)行多階段、多層次的整體性防護(hù)。

　　由于安全的攻防對抗不對稱性，安全產(chǎn)品的布局應(yīng)該考慮到不同環(huán)節(jié)的安全措施，應(yīng)該至少包括威脅識別攔截和入侵發(fā)現(xiàn)響應(yīng)兩個主要環(huán)節(jié)，并結(jié)合現(xiàn)階段的`安全需求適度部署不同種類的安全產(chǎn)品，形成多種安全手段、多個環(huán)節(jié)系統(tǒng)協(xié)防聯(lián)控的一體化安全防線。

　　為了全面提升Web防護(hù)自適應(yīng)能力，彌補(bǔ)傳統(tǒng)WAF產(chǎn)品對未知威脅與新興安全挑戰(zhàn)快速響應(yīng)能力差的防護(hù)短板，建議使用基于語義智能分析的Web應(yīng)用防護(hù)系統(tǒng)。增加內(nèi)部安全監(jiān)測能力，發(fā)生安全事故時可以第一時間響應(yīng)，保證可以及時止損。

　　內(nèi)網(wǎng)滲透過程中的關(guān)鍵步驟是收集內(nèi)網(wǎng)信息、延伸權(quán)限，這個階段也是發(fā)現(xiàn)攻擊以及進(jìn)行應(yīng)急響應(yīng)的好時機(jī)。其中非常有效的一種防護(hù)措施就是偽裝技術(shù)。這種技術(shù)的本質(zhì)就是有針對性地對攻擊者進(jìn)行網(wǎng)絡(luò)、應(yīng)用、終端和數(shù)據(jù)的偽裝，欺騙攻擊者，尤其是攻擊者的工具中的各種特征識別，使得那些工具失效，擾亂攻擊者的視線，將其引入死胡同，延緩攻擊者的時間。

　　譬如可以設(shè)置一個偽目標(biāo)或誘餌，誘騙攻擊者對其實(shí)施攻擊，從而觸發(fā)攻擊告警。Gartner預(yù)測到2018年10%的企業(yè)將采用這類技術(shù)，主動地與黑客進(jìn)行對抗。

　　3．1防御

　　針對于安全管理的“防御控制”環(huán)節(jié)，重點(diǎn)是快速識別并阻斷安全威脅行為。使用基于語義智能分析的無規(guī)則WAF，通過內(nèi)置的無規(guī)則智能威脅識別引擎和并行數(shù)據(jù)分析框架有效提升系統(tǒng)的安全威脅識別能力和應(yīng)對突發(fā)流量的大數(shù)據(jù)處理能力。

　　在全面提升安全防護(hù)能力的同時，化繁為簡，采用先進(jìn)的無規(guī)則智能威脅識別引擎徹底解決了WAF管理員的安全規(guī)則維護(hù)和管理復(fù)雜的傳統(tǒng)難題，降低了WAF技術(shù)操作人員的工作難度，有效杜絕了因?yàn)閃AF規(guī)則配置和管理不當(dāng)而導(dǎo)致的安全風(fēng)險。

　　3．2捕獲

　　安全攻防對抗的嚴(yán)重信息不對稱性決定了“入侵發(fā)現(xiàn)”安全應(yīng)急的必要性。以偽裝技術(shù)為基礎(chǔ)，在用戶網(wǎng)絡(luò)中部署與真實(shí)資產(chǎn)相似的“陷阱”(蜜罐節(jié)點(diǎn))，并形成基于真實(shí)服務(wù)的高交互蜜罐網(wǎng)絡(luò)。當(dāng)攻擊者通過外部安全防御系統(tǒng)的缺陷滲透進(jìn)入到網(wǎng)絡(luò)時，其能夠及時發(fā)現(xiàn)和記錄攻擊行為，并通過蜜罐網(wǎng)絡(luò)誘騙攻擊者，延緩攻擊時間，為安全響應(yīng)團(tuán)隊(duì)爭取更多的行動時間。

　　4、技術(shù)優(yōu)勢

　　新一代防護(hù)技術(shù)采用了先進(jìn)的并行處理框架和無規(guī)則智能威脅識別引擎技術(shù)，突破了傳統(tǒng)基于安全規(guī)則的識別瓶頸，同時并行處理框架也使得新防護(hù)技術(shù)具備了前所未有的水平可擴(kuò)展性和靈活的部署彈性。

　　新一代防護(hù)技術(shù)由Web流量采集模塊、并行數(shù)據(jù)分析框架、安全管理服務(wù)、日志分析服務(wù)組成。其中Web應(yīng)用請求由Web流量采集模塊分發(fā)至無狀態(tài)的并行數(shù)據(jù)分析集群(對于小規(guī)模Web應(yīng)用防護(hù)場景可使用單一節(jié)點(diǎn))。并行數(shù)據(jù)分析集群運(yùn)行了多個無狀態(tài)威脅檢測服務(wù)，無狀態(tài)特性降低了各個服務(wù)模塊的耦合關(guān)聯(lián)，極大地提高了系統(tǒng)的可靠性和處理性能，所有威脅檢測服務(wù)都具有無規(guī)則引擎，能夠獨(dú)立進(jìn)行基于語法智能分析的威脅識別。

　　引擎支持SQLChop，XSSChop，PHPChop，JAVAChop等基于語法詞法分析的無規(guī)則子引擎，同時具有定制黑白名單功能。安全管理服務(wù)能夠檢測和維護(hù)并行數(shù)據(jù)分析集群中各服務(wù)節(jié)點(diǎn)的運(yùn)行狀態(tài)，能夠管理和控制各服務(wù)節(jié)點(diǎn)的安全檢測策略，能夠提供圖形化的管理操作界面。日志分析服務(wù)能夠收集和分析經(jīng)過處理后的請求日志，并提供圖形化的日志分析界面。

　　4．1防御技術(shù)

　　4．1．1

　　協(xié)議分析智能威脅識別引擎支持對完整的HTTP請求頭和單獨(dú)的具體參數(shù)類型進(jìn)行分析，能夠?qū)崿F(xiàn)對HTTPUＲL，Cookie，Body等數(shù)據(jù)體的深度檢測。具體支持情況如下:HTTP請求頭解析，支持對標(biāo)準(zhǔn)中規(guī)定的HTTP請求頭進(jìn)行解析，分析各項(xiàng)具體內(nèi)容。支持從請求頭中分析解出的內(nèi)容包括但不限于:UＲL路徑，Cookie，Ｒeferer，User-Agent，一般Headerline。

　　4．1．2

　　深度解碼在對每項(xiàng)內(nèi)容進(jìn)行具體分析之后，引擎會進(jìn)一步進(jìn)行深層解碼嘗試，嘗試從內(nèi)容中提取有效的攻擊Payload。

　　4．1．3

　　SQL注入檢測SQL注入檢測模塊對從內(nèi)容中提取出來的潛在攻擊Payload進(jìn)行進(jìn)一步的檢測，通過分析Payload是否符合SQL語句的詞法、語法和估算語句的執(zhí)行風(fēng)險程度等方式，綜合評價一個請求內(nèi)容存在SQL注入攻擊的威脅等級。

　　4．1．4

　　XSS注入檢測XSS注入檢測模塊對從內(nèi)容中提取出來的潛在攻擊Payload進(jìn)行進(jìn)一步檢測，通過分析HTML片段的DOM結(jié)構(gòu)，輸出可能存在的Javascript片段，對Javascript片段進(jìn)行詞法、語法分析，根據(jù)結(jié)果來估算Payload的威脅等級。

　　4．1．5

　　其他攻擊類型檢測其他攻擊類型檢測模塊分為規(guī)則和自檢測(無規(guī)則)兩部分。規(guī)則部分針對一些比較常見的攻擊提取出相應(yīng)的特征，對目標(biāo)請求做匹配，確定請求是否為攻擊;自檢測部分針對一些直接特征比較弱的攻擊類型做深層分析，根據(jù)分析結(jié)果估算請求的威脅等級。

　　4．2捕獲技術(shù)

　　4．2．1

　　偽裝首先需要根據(jù)用戶實(shí)際網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)情況，對偽裝服務(wù)的數(shù)量、類型、網(wǎng)絡(luò)拓?fù)溥M(jìn)行定制，提高偽裝的效果，以達(dá)到以下3方面要求:

　　(1)網(wǎng)絡(luò)部署密度適中蜜罐節(jié)點(diǎn)密度和分布策略會直接影響最終的威脅感知效果。依據(jù)網(wǎng)絡(luò)拓?fù)湫畔ⅰ⒎��?wù)器列表、網(wǎng)絡(luò)安全域劃分以及IP分布情況，根據(jù)經(jīng)驗(yàn)公式和安全保護(hù)要求計算出各個網(wǎng)段需要部署的蜜罐數(shù)量，并隨著時間的推移，動態(tài)調(diào)整蜜罐數(shù)量和網(wǎng)絡(luò)拓?fù)湟赃_(dá)到最佳的防護(hù)效果。

　　(2)模擬真實(shí)應(yīng)用服務(wù)對企業(yè)內(nèi)網(wǎng)中存在的真實(shí)服務(wù)進(jìn)行掃描，依據(jù)統(tǒng)計分析結(jié)果，部署相似的服務(wù)。同時，針對企業(yè)服務(wù)設(shè)置弱口令，讓入侵者找到企業(yè)服務(wù)器弱點(diǎn)，誘導(dǎo)至蜜罐節(jié)點(diǎn)。

　　(3)模擬內(nèi)部敏感數(shù)據(jù)模擬業(yè)務(wù)系統(tǒng)，根據(jù)企業(yè)敏感信息，混淆后，加入到蜜罐模擬的服務(wù)中，當(dāng)入侵者找到敏感信息后會植入網(wǎng)絡(luò)僵尸后門、傳回敏感數(shù)據(jù)等執(zhí)行進(jìn)一步入侵行為，從而更深入地了解入侵者意圖。

　　4．2．2

　　捕獲在構(gòu)建欺騙環(huán)境吸引到攻擊方的探測與攻擊行為之后，蜜罐節(jié)點(diǎn)需要實(shí)現(xiàn)的下一個核心機(jī)制是捕獲威脅行為數(shù)據(jù)，監(jiān)控和記錄攻擊方在蜜罐欺騙環(huán)境中進(jìn)行的所有攻擊行為，為追溯與分析安全威脅提供基礎(chǔ)數(shù)據(jù)支持［4］。通過蜜罐日志記錄模塊記錄其執(zhí)行的操作命令，模擬服務(wù)給出相應(yīng)的反饋，然后由代理模塊將攻擊日志反饋到后端管理分析服務(wù)，進(jìn)行后續(xù)的數(shù)據(jù)處理和分析。

　　4．2．3

　　響應(yīng)根據(jù)部署的分布式蜜罐節(jié)點(diǎn)反饋的大量日志信息，通過大數(shù)據(jù)分析挖掘技術(shù)，形成精準(zhǔn)的告警信息，第一時間感知到APT攻擊等高級入侵行為，并且做出應(yīng)急響應(yīng)，達(dá)到延緩攻擊的效果。

　　5、總結(jié)

　　為了防范網(wǎng)絡(luò)攻擊，保護(hù)網(wǎng)絡(luò)的安全，維護(hù)電子商務(wù)平臺的正常運(yùn)行，需要新一代安全防護(hù)技術(shù)。采用新一代安全防護(hù)技術(shù)的安全防護(hù)設(shè)備，可以部署在網(wǎng)絡(luò)內(nèi)部，也可以部署在網(wǎng)絡(luò)邊界處。通過先進(jìn)的并行處理框架和無規(guī)則智能威脅識別引擎技術(shù)，既能防御黑客對電子商務(wù)平臺的攻擊，也能捕獲黑客的攻擊行為，在第一時間啟動應(yīng)急預(yù)案，人為干預(yù)，將電子商務(wù)平臺的安全隱患降到最低。

【電子商務(wù)平臺的論文】相關(guān)文章：

電子技術(shù)論文03-29

電子專業(yè)教學(xué)論文03-29

機(jī)械電子畢業(yè)論文03-28

電子專業(yè)畢業(yè)論文03-28

淺談電子技術(shù)論文03-29

有關(guān)電子技術(shù)的論文03-29

電子工程技術(shù)論文03-29

電子技術(shù)基礎(chǔ)論文03-29

電子技術(shù)的教學(xué)論文03-29

電子技術(shù)教學(xué)論文03-29