網(wǎng)絡(luò)商城安全解決方案行業(yè)標準建議

網(wǎng)絡(luò)商城安全解決方案行目錄一、電子商務(wù)安全環(huán)境行業(yè)背景二、電子商務(wù)發(fā)展行業(yè)現(xiàn)狀與安全隱患1、我國電子商務(wù)發(fā)展行業(yè)現(xiàn)狀2、我國電子商務(wù)行業(yè)存在的安全隱患三、網(wǎng)絡(luò)商城行業(yè)安全問題分析1、網(wǎng)絡(luò)商城行業(yè)安全現(xiàn)狀1）宏觀層面：a、 安全問題依然是行業(yè)普遍隱患b、 移動客戶端的發(fā)展導致安全性能面臨更大的挑戰(zhàn)2）技術(shù)分析層面：a、信息安全隱患b、交易安全隱患c、 財產(chǎn)安全隱患2、網(wǎng)絡(luò)商城安全問題的來源1） 硬件層面2） 軟件層面3） 應(yīng)用層面4） 環(huán)境層面四、國際安全技術(shù)解決方案行業(yè)標準1、加密技術(shù)：1）對稱密碼體制2）非對稱密碼體制2、認證技術(shù)：1）數(shù)字簽名2）數(shù)字時間戳3）數(shù)字證書4）CA安全認證中心3、黑客技術(shù)：1）防火墻技術(shù)2）入侵檢測技術(shù)4、安全協(xié)議：1） SSL（（SecureSocketsLayer安全套接層）安全電子交易）2） SET協(xié)議安全電子交易）五、針對性解決方案的行業(yè)標準1、需要解決的問題1）僵尸網(wǎng)絡(luò)：2）釣魚攻擊：3）原始攻擊方式：2、解決方案的行業(yè)標準建議1）接入層應(yīng)用層構(gòu)架標準：a、 CENTO服務(wù)器系統(tǒng)b、 NGINXHTTF和反向代理服務(wù)器c、 SENGINXWebServer和HTTP反向代理2） 代碼編程流程標準：3） 安全應(yīng)用層接入標準:4）通信安全標準：5）后臺地址白名單7）數(shù)據(jù)庫安全標準6）日志安全管理標準六、結(jié)束語，、電子商務(wù)安全環(huán)境行業(yè)背景電子商務(wù)時代的到來，網(wǎng)絡(luò)商城、網(wǎng)上購物和網(wǎng)絡(luò)支付的消費方式已經(jīng)成為人民群眾的生活習慣，但版本不一的網(wǎng)絡(luò)商城，從安全和可信度的角度上來看，已經(jīng)成為技術(shù)規(guī)范和安全機制等標準的空白地帶。在此現(xiàn)狀下，企業(yè)沒有可依據(jù)的規(guī)范框架，行業(yè)難以健康發(fā)展，產(chǎn)業(yè)上下游對接無序，政策監(jiān)管和引導難以落地。良好的電子商務(wù)安全環(huán)境，是整個電子商務(wù)產(chǎn)業(yè)發(fā)展的前提。近年來，隨著各項互聯(lián)網(wǎng)技術(shù)和金融領(lǐng)域技術(shù)的發(fā)展，電子商務(wù)安全環(huán)境得到了很大的改善，但是電子商務(wù)安全問題還是層出不窮，電子商務(wù)安全環(huán)境仍然復雜。目前，行業(yè)沒有統(tǒng)一標準所產(chǎn)生的問題和導致經(jīng)濟損失屢屢可見， 如平臺系統(tǒng)無安全防護能力，導致系統(tǒng)被入侵或遭到惡意數(shù)據(jù)篡改，致使買賣雙方中至少一方直接經(jīng)濟損失（例如：2013年名鞋庫官方網(wǎng)站被入侵，用戶數(shù)據(jù)泄露，遭詐騙集團惡意使用）；構(gòu)建商城系統(tǒng)的技術(shù)標準不統(tǒng)一，導致水平層次不齊的程序員用各種編程語言匯編而成的商城系統(tǒng)，都能商業(yè)化應(yīng)用，甚至有些是多年前已經(jīng)逐步淘汰的技術(shù)成果；諸如此類的行業(yè)問題不勝枚舉。網(wǎng)絡(luò)商城的安全機制和系統(tǒng)編寫標準是行業(yè)發(fā)展無法回避的導向，應(yīng)盡快建立標準體系并盡快實施，以避免上訴類似情況成為普遍和更為嚴重的現(xiàn)象。通過建立相關(guān)的標準，使監(jiān)督管理能夠落地，讓規(guī)范化的約束和指引得以落實，將行業(yè)發(fā)展引領(lǐng)至健康快速的發(fā)展道路上。二、電子商務(wù)發(fā)展行業(yè)現(xiàn)狀與安全隱患1、我國電子商務(wù)發(fā)展行業(yè)現(xiàn)狀電子商務(wù)是綜合運用電子信息技術(shù)，以提高貿(mào)易伙伴間商業(yè)運作效率為目標，將交易全過程中的數(shù)據(jù)和資料用電子方式實現(xiàn)，在商業(yè)的運作過程中實現(xiàn)交易無紙化、直接化。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC在京發(fā)布第38次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展狀況統(tǒng)計報告》顯示，截至2016年6月，中國網(wǎng)絡(luò)購物用戶規(guī)模達4.48億，網(wǎng)上支付的用戶規(guī)模達到4.55億。從行業(yè)應(yīng)用看，證券公司、金融結(jié)算機構(gòu)、民航訂票中心、信用卡發(fā)放等已成功進入電子商務(wù)領(lǐng)域，并進行了大量可靠的交易。經(jīng)權(quán)威機構(gòu)調(diào)查，我國信息產(chǎn)業(yè)總規(guī)模已超過14000億元人民幣?電信業(yè)務(wù)年均增長率為33%，信息產(chǎn)品制造業(yè)年均增長率已大于30%。中國電子商務(wù)正邁入繁榮階段。2、我國電子商務(wù)行業(yè)存在的安全隱患由于計算機信息有共享和易于擴散等特性，它在處理、存儲、傳輸和使用上有相對應(yīng)的脆弱性，很容易被干擾、濫用、遺漏和丟失，甚至被泄露、竊取、篡改、冒充和破壞，還可能受到計算機病毒感染，因此在開放的網(wǎng)絡(luò)上處理交易，如何保證傳輸數(shù)據(jù)的安全，是電子商務(wù)發(fā)展的最重要的因素之一。但是很大一部分的網(wǎng)站在建站開始及發(fā)展過程中， 都更傾向于便利性、實用性，忽略了網(wǎng)絡(luò)安全環(huán)節(jié)，給網(wǎng)站本身埋下了深深的隱患。據(jù)公安部的資料，利用計算機網(wǎng)絡(luò)進行的各類違法行為在中國以每年30%的速度遞增，黑客的攻擊方法已超過計算機病毒的種類，高達近千種。目前已發(fā)現(xiàn)的黑客攻擊案，約占安全事件總數(shù)的15%.多數(shù)事件由于沒有造成嚴重危害或商家不愿透露而未被曝光。有媒介報道，中國95%的與Internet相連的網(wǎng)絡(luò)管理中心遭到過境內(nèi)外黑客的攻擊或侵入其中.銀行、金融和證券機構(gòu)更是黑客攻擊的重點，金融領(lǐng)域的黑客犯罪案件涉案金額已高達數(shù)億元。調(diào)查公司曾對電子商務(wù)的應(yīng)用前景進行過在線調(diào)查，當問到為什么不愿意在線購物時，絕大多數(shù)的人的問題是擔心遭到黑客的侵襲而導致信用卡信息丟失。因此，隨著電子商務(wù)日益發(fā)展和普及，安全問題顯得異常突出，解決安全問題已成為我國電子商務(wù)發(fā)展的當務(wù)之急三、網(wǎng)絡(luò)商城行業(yè)安全問題分析1、網(wǎng)絡(luò)商城行業(yè)安全現(xiàn)狀1）宏觀層面：a、 安全問題依然是行業(yè)普遍隱患近幾年，各種用戶信息泄露事件依然層出不窮。國內(nèi)曾有網(wǎng)絡(luò)安全平臺發(fā)出報告稱如家、漢庭等大批酒店的客戶開房記錄，因被第三方存儲和系統(tǒng)漏洞而泄露。報告中，曝光了網(wǎng)上下載酒店客戶信息的過程，成功下載的客戶信息中，完整記錄了入住酒店旅客的身份證、入住時間、入住的房間號碼等隱私信息。隨著互聯(lián)網(wǎng)的發(fā)展，用戶包括身份、銀行財產(chǎn)等相關(guān)數(shù)據(jù)和互聯(lián)網(wǎng)應(yīng)用綁定越來越緊密，泄露風險和威脅越來越大。而企業(yè)為了提高用戶操作和消費便利性，或者為了加快產(chǎn)品開發(fā)流程，往往忽略了安全性。b、 移動客戶端的發(fā)展導致安全性能面臨更大的挑戰(zhàn)移動便攜式終端設(shè)備，通過移動智能手機或者是無線局域網(wǎng)，實現(xiàn)一種不受時間和空間限制的商業(yè)模式。首先由于移動終端的計算能力和存儲能力有限，電池壽命短，許多安全性比較好的加密和認證技術(shù)措施不能很好地應(yīng)用在這些移動設(shè)備上，從而帶來了安全隱患。其次，由于移動設(shè)備體積較小，使用中很容易造成損壞或丟失。很多用戶將比較機密的個人資料或商業(yè)機密存儲在移動設(shè)備上，如果在沒有備份的情況下丟失數(shù)據(jù)或者被他人惡意盜用，都將會造成很大的損失。另外，手機卡作為識別移動商務(wù)中用戶身份的一個重要部分，在其他身份識別措施還不健全的情況下，一旦被惡意克隆，用戶的個人身份被假冒，將成為犯罪分子進行欺詐的一種手段。同時，由于智能手機能夠進行移動快捷支付和相關(guān)的金融活動，一旦被入侵能夠為入侵者帶來巨大的回報，因此，移動終端不但收到一些惡意軟件的威脅，也時刻收到病毒和黑客的威脅。而移動終端交互的頻率極高，為病毒的高速傳播提供了途徑，在一些開放的wifi環(huán)境下這下病毒的傳播就更加容易了。據(jù)前瞻網(wǎng)中國移動安全數(shù)據(jù)報告顯示，安卓手機的惡意軟件早已超過691639個，年均新增惡意軟件69萬個。而這些惡意軟件中主要以竊取用戶隱私數(shù)據(jù)的軟件最多。移動電子商務(wù)的安全形勢主要呈現(xiàn)出病毒形態(tài)以及行為的變化更加多樣化、移動安全問題凸顯、用戶的關(guān)注度以及安全意識明顯提高等特點。移動電子商務(wù)的發(fā)展導致電子商務(wù)安全面臨更大的挑戰(zhàn)。2）技術(shù)分析層面：a、 信息安全隱患信息安全隱患是指由于各種原因引起的信息泄露、信息丟失、信息篡改、信息虛假、信息滯后、信息不完善等，以及由此帶來的風險。具體的表現(xiàn)有：竊取商業(yè)機密、泄露商業(yè)機密、篡改交易信息、非法刪除交易信息、破壞信息的真實性和完整性、接收或發(fā)送虛假信息、盜取交易成果、偽造交易信息、非法刪除交易數(shù)據(jù)、交易信息丟失、病毒破壞、黑客入侵等。信息被非法竊取或泄露可能為給有關(guān)企業(yè)和個人帶來嚴重的后果和巨大的經(jīng)濟損失；如果不能及時得到準確完備的信息，企業(yè)和個人就無法對交易進行正確的分析和判斷，作出符合理性的決策；非法刪除交易信息和交易數(shù)據(jù)丟失可能導致經(jīng)濟糾紛，給交易的一方或者多方造成經(jīng)濟損失。b、 交易安全隱患交易安全隱患是指網(wǎng)絡(luò)商城交易過程過存在的各種不安全因素，包括交易的確認、產(chǎn)品和服務(wù)的提供、產(chǎn)品和服務(wù)的質(zhì)量、款項的支付等方面的問題。由于網(wǎng)絡(luò)商城不同于傳統(tǒng)市場，松散化、主體虛擬化、交易網(wǎng)絡(luò)化、貨幣電子化、結(jié)算瞬間化等特點，導致網(wǎng)絡(luò)商城交易的風險表現(xiàn)出新的形式，并且風險被放大。交易安全問題在現(xiàn)實中的表現(xiàn)主要有，賣方利用信息優(yōu)勢，以次充好，發(fā)布虛假信息、欺騙消費者，這種情況在淘寶網(wǎng)絡(luò)商城上尤其常見，賣方利用參與者身份的不確定性與市場進出的隨意性，在提供服務(wù)方面不遵守承諾，或者買方不遵守承諾。c、 財產(chǎn)安全隱患財產(chǎn)安全是指由于各種原因造成網(wǎng)絡(luò)商城的參與者面臨的財產(chǎn)等經(jīng)濟利益風險。財產(chǎn)安全往往是網(wǎng)絡(luò)商城安全問題的最終形式，也是信息安全問題和交易安全問題的后果。財產(chǎn)損失主要表現(xiàn)為財產(chǎn)損失和其他經(jīng)濟損失。前者如客戶銀行資金被盜，交易者被冒名，其財產(chǎn)被冒領(lǐng)；后者如信息的泄露、丟失導致企業(yè)的信譽受損，遭遇網(wǎng)絡(luò)攻擊和故障導致網(wǎng)絡(luò)商城系統(tǒng)效率下降或者癱瘓等。2、網(wǎng)絡(luò)商城安全問題的來源1）硬件層面網(wǎng)絡(luò)商城的基礎(chǔ)是網(wǎng)絡(luò)，而網(wǎng)絡(luò)的物理支撐是各種硬件設(shè)施，這些硬件設(shè)施，這些硬件是設(shè)施會由于各種原因帶來安全風險。這里有故障設(shè)備、人為因素，也有自然災(zāi)害。硬件安全問題雖然發(fā)生的概率非常小，但是一旦發(fā)生帶來的傷害便是巨大的。2）軟件層面網(wǎng)絡(luò)不僅需要硬件作為支撐，還需要應(yīng)用到各種系統(tǒng)軟件和應(yīng)用軟件作為支撐，應(yīng)用軟件是網(wǎng)絡(luò)商城系統(tǒng)中另一個重要的組成。由于各種人為和技術(shù)原因，各種系統(tǒng)軟件和應(yīng)用軟件都會存在一定的缺陷和漏洞。3）應(yīng)用層面在硬件安全和軟件安全的條件下，應(yīng)用網(wǎng)絡(luò)商城的人員使用的不恰當也會導致出現(xiàn)網(wǎng)絡(luò)商城安全問題。例如，企業(yè)管理人員關(guān)于網(wǎng)絡(luò)商城的知識水平和管理水平不高，導致不能勝任所承擔的工作，導致企業(yè)的管理水平不高、效率低下；消費者關(guān)于網(wǎng)絡(luò)商城和個人信息安全意識不高，導致個人信息泄露；網(wǎng)絡(luò)攻擊、商業(yè)欺詐等防醉行為，以獲取機密信息或者破壞為目的的網(wǎng)絡(luò)攻擊是網(wǎng)絡(luò)商城另外一個重要安全隱患，包括病毒攻擊，木馬程序以及其他形式的網(wǎng)絡(luò)攻擊。4）環(huán)境層面環(huán)境層面主要是指法律環(huán)境，法律是市場經(jīng)濟最重要的外部環(huán)境。法律不僅是打擊網(wǎng)絡(luò)犯罪的武器，更是各個主體商業(yè)活動的游戲規(guī)則。網(wǎng)絡(luò)商城是一種全新的商務(wù)模式，我國關(guān)于這方面的法律雖然已經(jīng)有了，卻還是不夠完善，使許多網(wǎng)絡(luò)交易糾紛的解決缺少相關(guān)的法律依據(jù)，更加為那些鑲鉆法律空子的投機分子提供了機會。四、國際安全技術(shù)解決方案行業(yè)標準網(wǎng)絡(luò)商城的交易中，安全性主要是指網(wǎng)絡(luò)安全和交易信息的安全。網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)操作系統(tǒng)對抗網(wǎng)絡(luò)攻擊、病毒，使網(wǎng)絡(luò)系統(tǒng)連續(xù)穩(wěn)定的運行。交易信息的安全是指保護交易雙方的不被破壞、不泄密和交易雙方身份的確認。國際通用使用信息加密技術(shù)、數(shù)字證書、認證技術(shù)、SSL安全協(xié)議、SET等安全技術(shù)來保護，具體如下：1、 加密技術(shù)：作為主動的信息安全防范措施，利用加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。1） 對稱密碼體制：加密密鑰與解密密鑰是相同的，對稱密碼體制的優(yōu)點是具有很高的保密強度，但它的密鑰必須通過安全可靠的途徑傳遞。2） 非對稱密碼體制：加密過程和解密過程被設(shè)計成不同的途徑，在計算上不可能由加密密鑰求得解密密鑰，因而加密密鑰可以公開，而只需保密解密密鑰即可。2、 認證技術(shù)：是網(wǎng)絡(luò)通信中標志通信各方身份信息的一系列數(shù)據(jù)，通過運用對稱和非對稱密碼體制建立起一套嚴密的身份認證系統(tǒng)。具有信息除發(fā)送方和接收方外不被其他人竊取，信息在傳輸過程中不被篡改.發(fā)送方能夠通過數(shù)字證書來確認接收方的身份，發(fā)送方對于自己發(fā)送的信息不能抵賴等多項功能。1） 數(shù)字簽名：數(shù)字簽名技術(shù)以加密技術(shù)為基礎(chǔ)，其核心是采用加密技術(shù)的加、解密算法體制來實現(xiàn)對報文的數(shù)字簽名。2） 數(shù)字時間戳：在網(wǎng)絡(luò)商城交易過程中，需對交易文件的日期和時間信息采取安全措施，而數(shù)字時間戳服務(wù)（DTSservice）專用于提供電子文件發(fā)表時間的安全保護。3） 數(shù)字證書（Digitalcertificate,digitalID ）:又稱為數(shù)字憑證，即用電子手段來證實一個用戶的身份和對網(wǎng)絡(luò)資源的訪問權(quán)限。4）CA安全認證中心：電子商務(wù)安全認證體系的核心機構(gòu)就是 CA認證中心（CA:CertificationAuthority ，證書授權(quán)）。認證中心作為受信任的第三方，需要承擔網(wǎng)上安全電子交易的認證服務(wù)，主要負責產(chǎn)生、分配并管理用戶的數(shù)字證書。它對電子商務(wù)活動中的數(shù)據(jù)加密、數(shù)字簽名、防抵賴、數(shù)據(jù)完整性以及身份鑒別所需的密鑰和認證實施統(tǒng)一的集中化管理，保證網(wǎng)上在線交易的安全。3、黑客技術(shù)：1） 防火墻技術(shù)：加強網(wǎng)絡(luò)之間的訪問控制，防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進人內(nèi)部網(wǎng)絡(luò)。防火墻技術(shù)主要有包過濾、代理服務(wù)、狀態(tài)監(jiān)控等技術(shù)。防火墻技術(shù)的主要優(yōu)點是：過濾不安全的服務(wù)，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機的風險；提供對系統(tǒng)的訪問控制，阻擊攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，根據(jù)統(tǒng)計數(shù)據(jù)來判斷可能的攻擊和探測等。2） 入侵檢測技術(shù)：入侵檢測系統(tǒng)（IDS）可以被定義為對計算機和網(wǎng)絡(luò)資源的惡意使用行為進行識別和相應(yīng)處理的系統(tǒng)。它通過對計算機系統(tǒng)進行監(jiān)視，提供實時的入侵監(jiān)測，并采取相應(yīng)的防護手段。入侵檢測技術(shù)是一種主動保護自己免受黑客攻擊的一種網(wǎng)絡(luò)安全技術(shù)。能夠幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認為是防火墻之后的第二道安全閘門。4、安全協(xié)議:1） SSL（（SecureSocketsLayer安全套接層）：一種安全通信協(xié)議。SSL提供了兩臺計算機之間的安全連接，對整個會話進行了加密，從而保證了信息的安全傳輸。具有三個特點：采用對稱密碼體制來加密數(shù)據(jù)；采用信息驗證算法進行完整性檢驗；對端實體的鑒別采用非對稱密碼體制進行認證。2） SET協(xié)議（SecureElectronicTransaction 安全電子交易）：通過開放網(wǎng)絡(luò)進行安全資金支付的技術(shù)標準。SET向基于信用卡進行電子化交易的應(yīng)用提供實現(xiàn)安全措施的規(guī)則，信息在Internet上安全傳輸,保證傳輸?shù)臄?shù)據(jù)不被黑客竊??；其定單信息和個人賬號信息的隔離，當包含持卡人賬號信息的定單送到商家時，商家只能看到定貨信息，而看不到持卡人的賬戶信息，持卡人和商家相互認證，以確定通信雙方的身份，一般由第三方機構(gòu)負責為在線通信雙方提供信用擔保，要求軟件遵循相同協(xié)議和報文格式 使不同廠家開發(fā)的軟件具有兼容和互操作功能，并可運行在不同的硬件和操作系統(tǒng)平臺上。五、針對性解決方案的行業(yè)標準建議1、需要解決的問題1）僵尸網(wǎng)絡(luò)：僵尸網(wǎng)絡(luò)是互聯(lián)網(wǎng)上受到黑客集中控制的一群計算機， 往往被黑客用來發(fā)起大規(guī)模的網(wǎng)絡(luò)攻擊。同時黑客控制的這些計算機所保存的信息，譬如銀行帳戶的密碼與社會安全號碼等也都可被黑客隨意“取用”。因此，不論是對網(wǎng)絡(luò)安全運行還是用戶數(shù)據(jù)安全的保護來說，僵尸網(wǎng)絡(luò)都是極具威脅的隱患。僵尸網(wǎng)絡(luò)的威脅也因此成為目前一個國際上十分關(guān)注的問題。 然而，發(fā)現(xiàn)一個僵尸網(wǎng)絡(luò)是非常困難的，因為黑客通常遠程、隱蔽地控制分散在網(wǎng)絡(luò)上的“僵尸主機”，這些主機的用戶往往并不知情。因此，僵尸網(wǎng)絡(luò)是目前互聯(lián)網(wǎng)上黑客最青睞的作案工具。而網(wǎng)友只要通過搔首弄姿的美女、各種各樣有趣的小游戲就能輕易的感染上僵尸病毒。2）釣魚攻擊：網(wǎng)絡(luò)釣魚是通過大量發(fā)送聲稱來自于銀行或其他知名機構(gòu)的欺騙性郵件，意圖引誘收信人給出敏感信息如用戶名、口令、帳號 ID、ATM、PIN碼或信用卡詳細信息的一種攻擊方式。最典型的網(wǎng)絡(luò)釣魚攻擊是將收信人引誘到一個通過精心設(shè)計與目標網(wǎng)站非常相似的釣魚網(wǎng)站上，獲取個人敏感信息，而這些個人的信息被泄露以后，網(wǎng)絡(luò)釣魚攻擊者就可以假冒受害者進行欺詐性金融交易，從而獲得經(jīng)濟利益，致使受害者經(jīng)常遭受顯著的經(jīng)濟損失。在紛繁復雜的網(wǎng)絡(luò)信息前，每天515萬個的新增病毒、每天6030個新增的釣魚網(wǎng)站，都讓已然十分“牛逼”的網(wǎng)購用戶規(guī)模顯得“弱爆了”。數(shù)據(jù)還顯示，每個網(wǎng)購者一年中會在不知不覺中平均繞過6個病毒，每千人中，就有7個人會遭遇釣魚網(wǎng)站的困擾。3）原始攻擊方式：如果我們按照西方人的思維方式去思考，不斷的追求和更新安全技術(shù)，防火墻可以做得非常強，但如果黑客不去竊取信息或數(shù)據(jù)，而只是去阻塞網(wǎng)站，這種非常野蠻的攻擊方式用單純的技術(shù)是很難解決的，而要靠管理或其它的方法去防范。美國電子商務(wù)網(wǎng)站遭受那么大規(guī)模的攻擊，雖然有技術(shù)方面的原因，但總的看來還是一個管理的問題，這里的管理包括網(wǎng)站的經(jīng)營者要如何防止自己的網(wǎng)站被攻擊，上網(wǎng)的用戶如何保證自己的機器不會無辜地被別人利用，現(xiàn)在網(wǎng)上的安全補丁很多，但很少有人真正用它或不知道怎么去用。2、解決方案的行業(yè)標準建議1）接入層應(yīng)用層構(gòu)架標準：使用原生CENTOS（因安全可控，開源）服務(wù)器系統(tǒng)，應(yīng)用NGINX或SENGINX等高效服務(wù)器,部署Webserver或HTTP反向代理兩種模式、以及負載均衡模塊。a、CENTO服務(wù)器系統(tǒng)是Linux發(fā)行版之一，它是來自于RedHatEnterpriseLinux依照開放源代碼規(guī)定釋出的源代碼所編譯而成。CentOS是一套穩(wěn)定可靠的服務(wù)器發(fā)行版。它采用的是與母公司RedHatEnterpriseLinux完全相同的、經(jīng)過嚴格測試的穩(wěn)定Linux內(nèi)核與軟件包配置。b、 NGINXHTTP和反向代理服務(wù)器nginx是一個高性能的HTTF和反向代理服務(wù)器，也是一個IMAP/P0P3/SMTP服務(wù)器。其特點是占有內(nèi)存少，并發(fā)能力強，像知名的百度、京東、新浪、網(wǎng)易、騰訊、淘寶等都是nginx的用戶。c、 SENGINXWebServe和HTTP反向代理SEnginx是一個基于NGINX的WAF（WebApplicationFirewall）服務(wù)器，能以WebServer或HTTF反向代理兩種模式進行部署。SEnginx繼承了NGINX的全部功能，集成了多種第三方Web安全（ModSecurity和Naxsi）和負載均衡模塊，并新研發(fā)了多種Web安全功能.2） 代碼編程流程標準：程序員在對開發(fā)范圍、方式、工具了解的基礎(chǔ)上，根據(jù)概要設(shè)計文檔，完成代碼的編寫，并通過質(zhì)量控制，預(yù)防和減少缺陷的產(chǎn)生，最終提交程序和形成相關(guān)手冊。而代碼編寫過程中，要嚴格執(zhí)行：邏輯代碼-＞支付接口-＞物流接口-＞其他（微信端，APP,桌面）等一系列編寫順序過程。其中，邏輯代碼進行黑白盒自動代碼審計，檢查源代碼中的缺點和錯誤信息，分析并找到這些問題引發(fā)的安全漏洞，并及時修正。另外，支付接口要采用微信、支付寶、百度錢包等第三方可靠接口，確保交易在Internet用戶和交易處理商之間安全、無縫的傳遞。3） 安全應(yīng)用層接入標準:接入專業(yè)的WAF等應(yīng)用安全防御平臺，基于云安全大數(shù)據(jù)能力，通過防御SQL注入、XSS跨站腳本、常見Web服務(wù)器插件漏洞、木馬上傳、非授權(quán)核心資源訪問等OWAS常見攻擊，過濾海量惡意訪問，避免網(wǎng)站資產(chǎn)數(shù)據(jù)泄露，保障網(wǎng)站的安全與可用性。與傳統(tǒng)防火墻不同，WAF工作在應(yīng)用層，因此對Web應(yīng)用防護具有先天的技術(shù)優(yōu)勢?；趯et應(yīng)用業(yè)務(wù)和邏輯的深刻理解，WAF對來自Web應(yīng)用程序客戶端的各類請求進行內(nèi)容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各類網(wǎng)站站點進行有效防護。4）通信安全標準：網(wǎng)絡(luò)通信的數(shù)據(jù)安全包括數(shù)據(jù)傳輸?shù)陌踩浴?shù)據(jù)的完整性、身份驗證、不可抵賴性等幾個方面。數(shù)據(jù)傳輸?shù)陌踩约词且ＷC在公網(wǎng)上傳輸?shù)臄?shù)據(jù)不被第三方竊??；對數(shù)據(jù)的完整性需求是指數(shù)據(jù)在傳輸過程中不被篡改；身份驗證是指由于網(wǎng)上的通信雙方互不見面，必須在相互通信時（交換敏感信息時）確認對方的真實身份；不可抵賴性是指在網(wǎng)上開展業(yè)務(wù)的各方在進行數(shù)據(jù)傳輸時，必須帶有自身特有的,無法被別人復制的信息，以保證發(fā)生糾紛時有所對證。那怎么保證這么功能的實現(xiàn)呢？最好的辦法就是使用加密技術(shù)。使用JSON等方式做加密認證，JSON（JavaScriptObjectNotation）是一種輕量級的數(shù)據(jù)交換格式，它基于ECMAScript的一個子集，采用完全獨立于語言的文本格式，但是也使用了類似于C語言家族的習慣（包括CC++C#Java、JavaScript、Perl、Python等），是加密認證的最佳選擇。5）后臺地址白名單白名單的概念與“黑名單”相對應(yīng)。在網(wǎng)絡(luò)商城系統(tǒng)里，有部分IP或者訪問源地址都應(yīng)用到了黑白名單規(guī)則，黑名單啟用后，被列入到黑名單的用戶（或IP地址、IP包、郵件、病毒等）不能通過。如果設(shè)立了白名單，則在白名單中的用戶（或IP地址、IP包、郵件等）會優(yōu)先通過，不會被當成垃圾郵件拒收，安全性和快捷性都大大提高。該技術(shù)可以抵御日常惡意軟件和有針對性的攻擊，因為在默認情況下，任何未知訪問都不能在網(wǎng)絡(luò)商城端點上運行，如果惡意軟件或者針對性攻擊試圖在啟用了白名單添加，白名單技術(shù)會確定這不是可信進程，并否定其運行權(quán)限。6）日志安全管理標準系統(tǒng)日志使用統(tǒng)一的SYSLO服務(wù)器進行全局業(yè)務(wù)日志管理與分析。 Syslog記錄著系統(tǒng)中的任何事件，管理者可以通過查看系統(tǒng)記錄隨時掌握系統(tǒng)狀況。系統(tǒng)日志通過Syslog進程記錄系統(tǒng)的有關(guān)事件，也可以記錄應(yīng)用程序運作事件。通過適當配置，還可以實現(xiàn)運行Syslog協(xié)議的機器之間的通信。通過分析這些網(wǎng)絡(luò)行為日志，可追蹤和掌握與設(shè)備和網(wǎng)絡(luò)有關(guān)的情況。7）數(shù)據(jù)庫安全標準數(shù)據(jù)庫采用MySQ、MSSSQLSQLServer、PostgreSQL或PPAS等專業(yè)的數(shù)據(jù)平臺，各數(shù)據(jù)庫平臺都擁有各自的優(yōu)勢特點。例如： MySQ在速度、普及率、系統(tǒng)環(huán)境下穩(wěn)定性，線程間的環(huán)境轉(zhuǎn)換等方面表現(xiàn)優(yōu)異；PostgreSQL在開源協(xié)議、源代碼規(guī)范、可靠性、多進程、查詢處理能力更具優(yōu)勢。六、結(jié)束語電子商務(wù)安全是一個復雜的系統(tǒng)工程，除了面向技術(shù)層面的研究和應(yīng)用之外還包含社會人文環(huán)境的建設(shè)，包括相關(guān)法律、法規(guī)以及信息道德和倫理等網(wǎng)絡(luò)文化的傳播和構(gòu)建。本文主要提出電子商務(wù)行業(yè)內(nèi)，網(wǎng)絡(luò)商城的安全解決方案標準，揭示了各種安全機制間的邏輯層次關(guān)系，并詳細介紹了目前業(yè)界正在一些基本安全技術(shù)，并對其發(fā)展趨勢做了探討。這些都是具有較高理論意義和實用價值的課題，也是指引今后電子商務(wù)安全技術(shù)發(fā)展的重要方向。附錄一：專有名詞解釋電子商務(wù)：電子商務(wù)是以信息網(wǎng)絡(luò)技術(shù)為手段，以商品交換為中心的商務(wù)活動；也可理解為在互聯(lián)網(wǎng)(Internet)、企業(yè)內(nèi)部網(wǎng)(Intranet)和增值網(wǎng)(VAN，ValueAddedNetwork)上以電子交易方式進行交易活動和相關(guān)服務(wù)的活動，是傳統(tǒng)商業(yè)活動各環(huán)節(jié)的電子化、網(wǎng)絡(luò)化、信息化。電子商務(wù)通常是指在全球各地廣泛的商業(yè)貿(mào)易活動中，在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下，基于瀏覽器/服務(wù)器應(yīng)用方式，買賣雙方不謀面地進行各種商貿(mào)活動，實現(xiàn)消費者的網(wǎng)上購物、商戶之間的網(wǎng)上交易和在線電子支付以及各種商務(wù)活動、交易活動、金融活動和相關(guān)的綜合服務(wù)活動的一種新型的商業(yè)運營模式。各國政府、學者、企業(yè)界人士根據(jù)自己所處的地位和對電子商務(wù)參與的角度和程度的不同，給出了許多不同的定義。電子商務(wù)分為： ABC、B2B、B2C、C2C、B2MM2CB2A(即卩B2G、C2A(即卩C2Q、020等。安全機制：指確保網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷的綜合性系統(tǒng)性方法、規(guī)定、標準和技術(shù)的集合體。認證機制：由具備相關(guān)資質(zhì)的可以充分信任的第三方證實某一經(jīng)鑒定的產(chǎn)品或服務(wù)符合特定標準或規(guī)范性文件的活動。外網(wǎng)防御：支付接口：也稱為支付網(wǎng)關(guān)(PaymentGateway)是銀行金融網(wǎng)絡(luò)系統(tǒng)和Internet網(wǎng)絡(luò)之間的接口，是由銀行操作的將Internet上傳輸?shù)臄?shù)據(jù)轉(zhuǎn)換為金融機構(gòu)內(nèi)部數(shù)據(jù)的一組服務(wù)器設(shè)備，或由指派的第三方處理商家支付信息和顧客的支付指令?？纱_保交易在Internet用戶和交易處理商之間安全、無縫的傳遞，并且無需對原有主機系統(tǒng)進行修改。它可以處理所有Internet支付協(xié)議，Internet安全協(xié)議，交易交換，信息及協(xié)議的轉(zhuǎn)換以及本地授權(quán)和結(jié)算處理。另外，它還可以通過設(shè)置來滿足特定交易處理系統(tǒng)的要求。離開了支付網(wǎng)關(guān)，網(wǎng)絡(luò)銀行的電子支付功能也就無法實現(xiàn)。例如國際信用卡支付網(wǎng)關(guān)，就是指專業(yè)提供國際信用卡收款的銀行支付接口。安全補?。菏窃谟布?、軟件、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權(quán)的情況下訪問或破壞系統(tǒng)，針對這種情況對于大型軟件系統(tǒng)（如微軟操作系統(tǒng)）在使用過程中暴露的問題（一般由黑客或病毒設(shè)計者發(fā)現(xiàn)）而發(fā)布的解決問題的小程序包。商務(wù)網(wǎng)站：商務(wù)網(wǎng)站是指一個企業(yè)、機構(gòu)或公司在互聯(lián)網(wǎng)上建立的站點，該站點主要是宣傳企業(yè)形象，發(fā)布產(chǎn)品信息、宣傳經(jīng)濟法規(guī)、提供商業(yè)服務(wù)。此類網(wǎng)站通常集合大量的沉淀資金和流動資金。對不法分子具有很強的吸引力，在無健全的安全機制提供保護時，有極大的信息安全和金融安全隱患。網(wǎng)絡(luò)安全：網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡(luò)服務(wù)不中斷。系統(tǒng)安全與性能和功能是一對矛盾的關(guān)系。如果某個系統(tǒng)不向外界提供任何服務(wù)（斷開），外界是不可能構(gòu)成安全威脅的。但是，企業(yè)接入國際互連網(wǎng)絡(luò)，提供網(wǎng)上商店和電子商務(wù)等服務(wù)，等于將一個內(nèi)部封閉的網(wǎng)絡(luò)建成了一個開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產(chǎn)生。構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)，一方面由于要進行認證、加密、監(jiān)聽，分析、記錄等工作，由此影響網(wǎng)絡(luò)效率，并且降低客戶應(yīng)用的靈活性；另一方面也增加了管理費用。但是，來自網(wǎng)絡(luò)的安全威脅是實際存在的，特別是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時，網(wǎng)絡(luò)安全是首先要解決的問題。網(wǎng)絡(luò)安全由于不同的環(huán)境和應(yīng)用而產(chǎn)生了不同的類型。主要有以下幾種:系統(tǒng)安全運行系統(tǒng)安全即保證信息處理和傳輸系統(tǒng)的安全。它側(cè)重于保證系統(tǒng)正常運行。避免因為系統(tǒng)的崩演和損壞而對系統(tǒng)存儲、處理和傳輸?shù)南⒃斐善茐暮蛽p失。避免由于電磁泄翻，產(chǎn)生信息泄露，干擾他人或受他人干擾。網(wǎng)絡(luò)的安全網(wǎng)絡(luò)上系統(tǒng)信息的安全。包括用戶口令鑒別，用戶存取權(quán)限控制，數(shù)據(jù)存取[2][2]權(quán)限、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數(shù)據(jù)加密等。信息傳播安全網(wǎng)絡(luò)上信息傳播安全，即信息傳播后果的安全，包括信息過濾等。它側(cè)重于防止和控制由非法、有害的信息進行傳播所產(chǎn)生的后果，避免公用網(wǎng)絡(luò)上大云自由傳翰的信息失控。信息內(nèi)容安全網(wǎng)絡(luò)上信息內(nèi)容的安全。它側(cè)重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統(tǒng)的安全漏潤進行竊聽、冒充、詐編等有損于合法用戶的行為。其本質(zhì)是保護用戶的利益和隱私。攻擊：網(wǎng)絡(luò)攻擊：利用網(wǎng)絡(luò)存在的漏洞和安全缺陷對網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)進行的攻擊。在最近幾年里，網(wǎng)絡(luò)攻擊技術(shù)和攻擊工具有了新的發(fā)展趨勢，使借助Internet運行業(yè)務(wù)的機構(gòu)面臨著前所未有的風險。隨著部署自動化程度和攻擊工具管理技巧的提高，威脅將繼續(xù)增加，并且攻守雙方的不對稱性越來越嚴重。隨著技術(shù)發(fā)展，攻擊工具越來越復雜、發(fā)現(xiàn)安全漏洞越來越快、防火墻滲透率越來越高、自動化和攻擊速度提高，并且開始對基礎(chǔ)設(shè)施展現(xiàn)出越來越明顯的現(xiàn)實威脅。美國網(wǎng)絡(luò)司令部司令兼美國國家安全局局長基思?亞歷山大表示，“如果防御僅僅是在盡力阻止攻擊，那么這永遠不算成功。政府需要在攻擊發(fā)生之前將其扼殺，采取何種防御措施部分歸因于攻擊手段?！惫舴绞剑壕W(wǎng)絡(luò)攻擊的方式多種多樣，按歸屬類別分別有以下幾種：口令入侵所謂口令入侵是指使用某些合法用戶的帳號和口令登錄到目的主機， 然后再實施攻擊活動。這種方法的前提是必須先得到該主機上的某個合法用戶的帳號，然后再進行合法用戶口令的破譯。獲得普通用戶帳號的方法非常多，如利用目標主機的Finger功能：當用Finger命令查詢時，主機系統(tǒng)會將保存的用戶資料（如用戶名、登錄時間等）顯示在終端或計算機上；利用目標主機的X.500服務(wù)：有些主機沒有關(guān)閉X.500的目錄查詢服務(wù)，也給攻擊者提供了獲得信息的一條簡易途徑；從電子郵件地址中收集：有些用戶電子郵件地址常會透露其在目標主機上的帳號；查看主機是否有習慣性的帳號：有經(jīng)驗的用戶都知道，非常多系統(tǒng)會使用一些習慣性的帳號，造成帳號的泄露。特洛伊木馬放置特洛伊木馬程式能直接侵入用戶的計算機并進行破壞，他常被偽裝成工具程式或游戲等誘使用戶打開帶有特洛伊木馬程式的郵件附件或從網(wǎng)上直接下載，一旦用戶打開了這些郵件的附件或執(zhí)行了這些程式之后，他們就會象古特洛伊人在敵人城外留下的藏滿士兵的木馬相同留在自己的計算機中，并在自己的計算機系統(tǒng)中隱藏一個能在windows啟動時悄悄執(zhí)行的程式。當你連接到因特網(wǎng)上時，這個程式就會通知攻擊者，來報告你的IP地址及預(yù)先設(shè)定的端口。攻擊者在收到這些信息后，再利用這個潛伏在其中的程式，就能任意地修改你的計算機的參數(shù)設(shè)定、復制文件、窺視你整個硬盤中的內(nèi)容等，從而達到控制你的計算機的目的。WW欺騙在網(wǎng)上用戶能利用IE等瀏覽器進行各種各樣的WEB占點的訪問，如閱讀新聞組、咨詢產(chǎn)品價格、訂閱報紙、電子商務(wù)等。然而一般的用戶恐怕不會想到有這些問題存在：正在訪問的網(wǎng)頁已被黑客篡改過，網(wǎng)頁上的信息是虛假的！例如黑客將用戶要瀏覽的網(wǎng)頁的URL改寫為指向黑客自己的服務(wù)器，當用戶瀏覽目標網(wǎng)頁的時候，實際上是向黑客服務(wù)器發(fā)出請求，那么黑客就能達到欺騙的目的了。一般Web欺騙使用兩種技術(shù)手段，即URL地址重寫技術(shù)和相關(guān)信關(guān)信息掩蓋技術(shù)。利用URL地址，使這些地址都向攻擊者的Web服務(wù)器，即攻擊者能將自已的Web地址加在所有URL地址的前面。這樣，當用戶和站點進行安全鏈接時，就會毫不防備地進入攻擊者的服器，于是用記的所有信息便處于攻擊者的監(jiān)視之中。但由于瀏覽器材一般均設(shè)有地址欄和狀態(tài)欄，當瀏覽器和某個站點邊接時，能在地址欄和狀態(tài)樣中獲得連接中的Web站點地址及其相關(guān)的傳輸信息，用戶由此能發(fā)現(xiàn)問題，所以攻擊者往往在 URLf址重寫的同時，利用相關(guān)信息排蓋技術(shù)，即一般用JavaScript程式來重寫地址樣和狀枋樣，以達到其排蓋欺騙的目的。電子郵件電子郵件是互連網(wǎng)上運用得十分廣泛的一種通訊方式。攻擊者能使用一些郵件炸彈軟件或CGI程式向目的郵箱發(fā)送大量內(nèi)容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。當垃圾郵件的發(fā)送流量特別大時，更有可能造成郵件系統(tǒng)對于正常的工作反映緩慢，甚至癱瘓。相對于其他的攻擊手段來說，這種攻擊方法具有簡單、見效快等好處。節(jié)點攻擊攻擊者在突破一臺主機后，往往以此主機作為根據(jù)地，攻擊其他主機（以隱蔽其入侵路徑，避免留下蛛絲馬跡）。他們能使用網(wǎng)絡(luò)監(jiān)聽方法，嘗試攻破同一網(wǎng)絡(luò)內(nèi)的其他主機；也能通過IP欺騙和主機信任關(guān)系，攻擊其他主機。這類攻擊非常狡猾，但由于某些技術(shù)非常難掌控，如TCP/IP欺騙攻擊。攻擊者通過外部計算機偽裝成另一臺合法機器來實現(xiàn)。他能磙壞兩臺機器間通信鏈路上的數(shù)據(jù)，其偽裝的目的在于哄騙網(wǎng)絡(luò)中的其他機器誤將其攻擊者作為合法機器加以接受，誘使其他機器向他發(fā)送據(jù)或允許他修改數(shù)據(jù)。TCP/IP欺騙能發(fā)生TCP/IP系統(tǒng)的所有層次上，包括數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、運輸層及應(yīng)用層均容易受到影響。如果底層受到損害，則應(yīng)用層的所有協(xié)議都將處于危險之中。另外由于用戶本身不直接和底層相互相交流，因而對底層的攻擊更具有欺騙性。網(wǎng)絡(luò)監(jiān)聽網(wǎng)絡(luò)監(jiān)聽是主機的一種工作模式，在這種模式下，主機能接收到本網(wǎng)段在同一條物理通道上傳輸?shù)乃行畔?，而不管這些信息的發(fā)送方和接收方是誰。因為系統(tǒng)在進行密碼校驗時，用戶輸入的密碼需要從用戶端傳送到服務(wù)器端，而攻擊者就能在兩端之間進行數(shù)據(jù)監(jiān)聽。此時若兩臺主機進行通信的信息沒有加密，只要使用某些網(wǎng)絡(luò)監(jiān)聽工具（如NetXRayfor視窗系統(tǒng)95/98/NT、SniffitforLinux、Solaries等）就可輕而易舉地截取包括口令和帳號在內(nèi)的信息資料。雖然網(wǎng)絡(luò)監(jiān)聽獲得的用戶帳號和口令具有一定的局限性，但監(jiān)聽者往往能夠獲得其所在網(wǎng)段的所有用戶帳號及口令。黑客軟件利用黑客軟件攻擊是互連網(wǎng)上比較多的一種攻擊手法。BackOrifice2000冰河等都是比較著名的特洛伊木馬，他們能非法地取得用戶計算機的終極用戶級權(quán)利，能對其進行完全的控制，除了能進行文件操作外，同時也能進行對方桌面抓圖、取得密碼等操作。這些黑客軟件分為服務(wù)器端和用戶端，當黑客進行攻擊時，會使用用戶端程式登陸上已安裝好服務(wù)器端程式的計算機，這些服務(wù)器端程式都比較小，一般會隨附帶于某些軟件上。有可能當用戶下載了一個小游戲并運行時，黑客軟件的服務(wù)器端就安裝完成了，而且大部分黑客軟件的重生能力比較強，給用戶進行清除造成一定的麻煩。特別是一種TXT文件欺騙手法，表面看上去是個TXT文本文件，但實際上卻是個附帶黑客程式的可執(zhí)行程式，另外有些程式也會偽裝成圖片和其他格式的文件。安全漏洞許多系統(tǒng)都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統(tǒng)或應(yīng)用軟件本身具有的。如緩沖區(qū)溢出攻擊。由于非常多系統(tǒng)在不檢查程式和緩沖之間變化的情況，就任意接受任意長度的數(shù)據(jù)輸入，把溢出的數(shù)據(jù)放在堆棧里，系統(tǒng)還照常執(zhí)行命令。這樣攻擊者只要發(fā)送超出緩沖區(qū)所能處理的長度的指令，系統(tǒng)便進入不穩(wěn)定狀態(tài)。若攻擊者特別設(shè)置一串準備用作攻擊的字符，他甚至能訪問根目錄，從而擁有對整個網(wǎng)絡(luò)的絕對控制權(quán)。另一些是利用協(xié)議漏洞進行攻擊。如攻擊者利用POP3-定要在根目錄下運行的這一漏洞發(fā)動攻擊，破壞的根目錄，從而獲得終極用戶的權(quán)限。又如，ICMP協(xié)議也經(jīng)常被用于發(fā)動拒絕服務(wù)攻擊。他的具體手法就是向目的服務(wù)器發(fā)送大量的數(shù)據(jù)包，幾乎占取該服務(wù)器所有的網(wǎng)絡(luò)寬帶，從而使其無法對正常的服務(wù)請求進行處理，而導致網(wǎng)站無法進入、網(wǎng)站響應(yīng)速度大大降低或服務(wù)器癱瘓。常見的蠕蟲病毒或和其同類的病毒都能對服務(wù)器進行拒絕服務(wù)攻擊的進攻。他們的繁殖能力極強，一般通過Microsoft的Outlook軟件向眾多郵箱發(fā)出帶有病毒的郵件，而使郵件服務(wù)器無法承擔如此龐大的數(shù)據(jù)處理量而癱瘓。對于個人上網(wǎng)用戶而言，也有可能遭到大量數(shù)據(jù)包的攻擊使其無法進行正常的網(wǎng)絡(luò)操作。端口掃描所謂端口掃描，就是利用Socket編程和目標主機的某些端口建立TCP連接、進行傳輸協(xié)議的驗證等，從而偵知目標主機的掃描端口是否是處于激活狀態(tài)、主機提供了哪些服務(wù)、提供的服務(wù)中是否含有某些缺陷等等。常用的掃描方式有：Connect（）掃描。Fragmentation掃描僵尸網(wǎng)絡(luò)：僵尸網(wǎng)絡(luò)Botnet是指采用一種或多種傳播手段，將大量主機感染bot程序（僵尸程序）病毒，從而在控制者和被感染主機之間所形成的一個可一對多控制的網(wǎng)絡(luò)。攻擊者通過各種途徑傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機，而被感染的主機將通過一個控制信道接收攻擊者的指令，組成一個僵尸網(wǎng)絡(luò)。之所以用僵尸網(wǎng)絡(luò)這個名字，是為了更形象地讓人們認識到這類危害的特點：眾多的計算機在不知不覺中如同中國古老傳說中的僵尸群一樣被人驅(qū)趕和指揮著，成為被人利用的一種工具。在Botnet的概念中有這樣幾個關(guān)鍵詞。“bot程序”是robot的縮寫，是指實現(xiàn)惡意控制功能的程序代碼；“僵尸計算機”就是被植入bot的計算機；“控制服務(wù)器（ControlServer）”是指控制和通信的中心服務(wù)器，在基于IRC（因特網(wǎng)中繼聊天）協(xié)議進行控制的Botnet中，就是指提供IRC聊天服務(wù)的服務(wù)器。僵尸網(wǎng)絡(luò)是一種由引擎驅(qū)動的惡意因特網(wǎng)行為：DDoS攻擊是利用服務(wù)請求來耗盡被攻擊網(wǎng)絡(luò)的系統(tǒng)資源，從而使被攻擊網(wǎng)絡(luò)無法處理合法用戶的請求。DDoS攻擊有多種形式，但是能看到的最典型的就是流量溢出，它可以消耗大量的帶寬，卻不消耗應(yīng)用程序資源。DDoS攻擊并不是新鮮事物。在過去十年中，隨著僵尸網(wǎng)絡(luò)的興起，它得到了迅速的壯大和普遍的應(yīng)用。僵尸網(wǎng)絡(luò)為DDoS攻擊提供了所需的“火力”帶寬和計算機以及管理攻擊所需的基礎(chǔ)架構(gòu)。網(wǎng)絡(luò)信用體系：在互聯(lián)網(wǎng)的虛擬空間里，信用的客觀性（獨立的社會主體）由于網(wǎng)絡(luò)隱蔽性而變得模糊不清；信用的差異性（各種失信行為）在網(wǎng)絡(luò)信用標準缺失的情況下會變得難以確認；信用的擴散性（外部性問題）由于網(wǎng)絡(luò)傳播速度極快，一個微小問題有可能在短時間內(nèi)被迅速發(fā)酵放大，以至于影響到整個社會。因此，為了實現(xiàn)互聯(lián)網(wǎng)經(jīng)濟和市場的健康發(fā)展，保護人民群眾的合法權(quán)益，建立的包括技術(shù)和管理在內(nèi)的互聯(lián)網(wǎng)相關(guān)法律法規(guī)體系，為營造健康的行業(yè)發(fā)展環(huán)境提供的課執(zhí)行的行業(yè)標準和法制保障。電子商務(wù)信用評級體系：信用評級是一種建立在客觀基礎(chǔ)上的定性判斷。電子商務(wù)信用評級區(qū)別于一般的信用評級,它是專門針對參與電子商務(wù)活動的各個主體的,對其在進行電子交易時的可信任度進行評估。但它同時也屬于信用評級的范疇,所以電子商務(wù)信用評級也是利用科學的方法對參與電子商務(wù)活動的各個主體的信用風險進行調(diào)查、分析、測定和綜合評定,并標出特定的符號,直觀地反映評估對象的總體信用水平。由于電子商務(wù)這種特殊的商務(wù)交易形式,決定了要求評級過程程序化、評級方法信息化、評級結(jié)果實時化。網(wǎng)絡(luò)銷售平臺系統(tǒng)：即一個為企業(yè)或個人提供網(wǎng)上交易洽談的平臺。企業(yè)級平臺是建立在Internet網(wǎng)上進行商務(wù)活動的虛擬網(wǎng)絡(luò)空間和保障商務(wù)順利運營的管理環(huán)境；是協(xié)調(diào)、整合信息流、貨物流、資金流有序、關(guān)聯(lián)、高效流動的重要場所。企業(yè)、商家可充分利用平臺提供的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、支付平臺、安全平臺、管理平臺等共享資源有效地、低成本地開展自己的商業(yè)活動。網(wǎng)絡(luò)商城：網(wǎng)上商城類似于現(xiàn)實世界當中的商店，差別是利用電子商務(wù)的各種手段，達成從買到賣的過程的虛擬商店，從而減少中間環(huán)節(jié)，消除運輸成本和代理中間的差價，造就對普通消費和加大市場流通帶來巨大的發(fā)展空間。盡能的還消費者以利益，帶動公司發(fā)展和企業(yè)騰飛，引導國民經(jīng)濟穩(wěn)定快速發(fā)展，推動國內(nèi)生產(chǎn)總值。網(wǎng)絡(luò)商城按業(yè)務(wù)對象和技術(shù)模式可分為以下幾種：B2B（BusinessToBusiness, 商家對商家）、B2C（BusinessToCustomer,商家對顧客銷售）、C2C（CustomertoCustomer,客戶和客戶）、020（OnlineToOffline, 線上線下相結(jié)合）、G2C電子政務(wù)是指政府（Government）與公眾（Citizen）之間的電子政務(wù)。是政府通過電子網(wǎng)絡(luò)系統(tǒng)為公民提供各種服務(wù)、B2B2C目前最新的一種整合型網(wǎng)上商城模式、O2P（OnlineToPlace,本地化線上線下）、O2P最新的一種電商模式，針對大型家電或者汽車等大件商品不便運輸，由電動車業(yè)界精英提出的線上商城，本地化配送的新模式。網(wǎng)上商城是在為個人用戶和企業(yè)用戶提供人性化的全方位服務(wù)， 努力為用戶創(chuàng)造親切、輕松和愉悅的購物環(huán)境，不斷豐富產(chǎn)品結(jié)構(gòu)，最大化地滿足消費者日趨多樣的購物需求，并憑借更具競爭力的價格和逐漸完善的物流配送體系等各項優(yōu)勢，贏得市場占有率是時代發(fā)展的趨勢。開放網(wǎng)絡(luò)：數(shù)據(jù)傳輸：網(wǎng)站：網(wǎng)站（Website）開始是指在因特網(wǎng)上根據(jù)一定的規(guī)則，使用 HTML（標準通用標記語言下的一個應(yīng)用）等工具制作的用于展示特定內(nèi)容相關(guān)網(wǎng)頁的集合。黑客：黑客是一個中文詞語，皆源自英文hacker，通常是指對計算機科學、編程和設(shè)計方面具高度理解的人。在信息安全里，“黑客”指研究智取計算機安全系統(tǒng)的人員。利用公共通訊網(wǎng)路，如互聯(lián)網(wǎng)和電話系統(tǒng)，在未經(jīng)許可的情況下，載入對方系統(tǒng)的被稱為黑帽黑客（英文：blackhat，另稱cracker）；調(diào)試和分析計算機安全系統(tǒng)的白帽黑客（英語：whitehat）。釣魚攻擊:釣魚式攻擊是一種企圖從電子通訊中，通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細等個人敏感信息的犯罪詐騙過程。這些通信都聲稱（自己）來自社交網(wǎng)站拍賣網(wǎng)站網(wǎng)絡(luò)銀行、電子支付網(wǎng)站或網(wǎng)絡(luò)管理者，以此來誘騙受害人的輕信。網(wǎng)釣通常是通過e-mail或者即時通訊進行。它常常導引用戶到URL與界面外觀與真正網(wǎng)站幾無二致的假冒網(wǎng)站輸入個人數(shù)據(jù)。就算使用強式加密的SSL服務(wù)器認證，要偵測網(wǎng)站是否仿冒實際上仍很困難。網(wǎng)釣技術(shù)早在在1987年，以論文與簡報的方式描述交付給Interex系統(tǒng)下的國際惠普用戶組。第一次提到“網(wǎng)釣”這個術(shù)語是在1996年1月2日于alt.online-service.America-online Usenet新聞組。釣魚網(wǎng)站：釣魚網(wǎng)站通常指偽裝成銀行及電子商務(wù)，竊取用戶提交的銀行帳號、密碼等私密信息的網(wǎng)站，?！搬烎~”是一種網(wǎng)絡(luò)欺詐行為，指不法分子利用各種手段，仿冒真實網(wǎng)站的URL地址以及頁面內(nèi)容，或利用真實網(wǎng)站服務(wù)器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的 HTML弋碼，以此來騙取用戶銀行或信用卡賬號、密碼等私人資料。“釣魚網(wǎng)站”的頻繁出現(xiàn)，嚴重地影響了在線金融服務(wù)、電子商務(wù)的發(fā)展危害公眾利益，影響公眾應(yīng)用互聯(lián)網(wǎng)的信心。釣魚網(wǎng)站通常偽裝成為銀行網(wǎng)站，竊取訪問者提交的賬號和密碼信息。它一般通過電子郵件傳播，此類郵件中一個經(jīng)過偽裝的鏈接將收件人聯(lián)到釣魚網(wǎng)站。釣魚網(wǎng)站的頁面與真實網(wǎng)站界面完全一致，要求訪問者提交賬號和密碼。一般來說釣魚網(wǎng)站結(jié)構(gòu)很簡單，只有一個或幾個頁面，URL和真實網(wǎng)站有細微差別。

創(chuàng)立于1999年，是曾2011在年爆出CSDN：CSDN(ChineseSoftwareDeveloperNetwork)創(chuàng)立于1999年，是曾2011在年爆出附錄二：相關(guān)名詞解釋肉雞：所謂“肉雞”是一種很形象的比喻，比喻那些可以隨意被我們控制的電腦，對方可以是WINDOWS統(tǒng)，也可以是UNIX/LINUX系統(tǒng)，可以是普通的個人電腦，也可以是大型的服務(wù)器，我們可以象操作自己的電腦那樣來操作它們，而不被對方所發(fā)覺。木馬：就是那些表面上偽裝成了正常的程序，但是當這些被程序運行時，就會獲取系統(tǒng)的整個控制權(quán)限。有很多黑客就是熱衷于使用木馬程序來控制別人的電腦，比如灰鴿子，黑洞，PcShare等等。網(wǎng)頁木馬：表面上偽裝成普通的網(wǎng)頁文件或是將自己的代碼直接插入到正常的網(wǎng)頁文件中，當有人訪問時，網(wǎng)頁木馬就會利用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬的服務(wù)端下載到訪問者的電腦上來自動執(zhí)行。掛馬：就是在別人的網(wǎng)站文件里面放入網(wǎng)頁木馬或者是將代碼潛入到對方正常的網(wǎng)頁文件里，以使瀏覽者中馬。后門：這是一種形象的比喻，入侵者在利用某些方法成功的控制了目標主機后，可以在對方的系統(tǒng)中植入特定的程序，或者是修改某些設(shè)置。這些改動表面上是很難被察覺的，但是入侵者卻可以使用相應(yīng)的程序或者方法來輕易的與這臺電腦建立連接，重新控制這臺電腦，就好象是入侵者偷偷的配了一把主人房間的鑰匙，可以隨時進出而不被主人發(fā)現(xiàn)一樣。通常大多數(shù)的特洛伊木馬(TrojanHorse)程序都可以被入侵者用于制作后門(BackDoor)rootkit：rootkit是攻擊者用來隱藏自己的行蹤和保留root(根權(quán)限，可以理解成WINDOWS的system或者管理員權(quán)限)訪問權(quán)限的工具。通常，攻擊者通過遠程攻擊的方式獲得root訪問權(quán)限，或者是先使用密碼猜解(破解)的方式獲得對系統(tǒng)的普通訪問權(quán)限，進入系統(tǒng)后，再通過，對方系統(tǒng)內(nèi)存在的安全漏洞獲得系統(tǒng)的root權(quán)限。然后，攻擊者就會在對方的系統(tǒng)中安裝rootkit，以達到自己長久控制對方的目的，rootkit與我們前邊提到的木馬和后門很類似，但遠比它們要隱蔽，黑客守衛(wèi)者就是很典型的rootkit，還有國內(nèi)的ntroorkit等都是不錯的rootkit工具。IPC$:是共享“命名管道”的資源，它是為了讓進程間通信而開放的命名管道，可以通過驗證用戶名和密碼獲得相應(yīng)的權(quán)限，在遠程管理計算機和查看計算機的共享資源時使用。弱口令：指那些強度不夠，容易被猜解的，類似123,abc這樣的口令(密碼)默認共享：默認共享是WINDOWS2000/XP/20C系統(tǒng)開啟共享服務(wù)時自動開啟所有硬盤的共享，因為加了"$"符號，所以看不到共享的托手圖表，也稱為隱藏共享。shell:指的是一種命令執(zhí)行環(huán)境，比如我們按下鍵盤上的“開始鍵 +R'時出現(xiàn)“運行”對話框，在里面輸入“cmd'會出現(xiàn)一個用于執(zhí)行命令的黑窗口，這個就是WINDOWSShell執(zhí)行環(huán)境。通常我們使用遠程溢出程序成功溢出遠程電腦后得到的那個用于執(zhí)行系統(tǒng)命令的環(huán)境就是對方的shellWebShell：WebShell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也可以將其稱做是一種網(wǎng)頁后門。黑客在入侵了一個網(wǎng)站后，通常會將這些asp或php后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在一起，然后就可以使用瀏覽器來訪問這些asp或者php后門，得到一個命令執(zhí)行環(huán)境，以達到控制網(wǎng)站服務(wù)器的目的?？梢陨蟼飨螺d文件，查看數(shù)據(jù)庫，執(zhí)行任意程序命令等。國內(nèi)常用的WebShell有海陽ASP木馬，Phpspy，c99shell等溢出：確切的講，應(yīng)該是“緩沖區(qū)溢出”。簡單的解釋就是程序?qū)邮艿妮斎霐?shù)據(jù)沒有執(zhí)行有效的檢測而導致錯誤，后果可能是造成程序崩潰或者是執(zhí)行攻擊者的命令。大致可以分為兩類：(1)堆溢出；(2)棧溢出。注入：隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫程序的程序員越來越來越多，但是由于程序員的水平參差不齊相當大一部分應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想要知的數(shù)據(jù)，這個就是所謂的SQLinjection，即：SQL注入。注入點：是可以實行注入的地方，通常是一個訪問數(shù)據(jù)庫的連接。根據(jù)注入點數(shù)據(jù)庫的運行帳號的權(quán)限的不同，你所得到的權(quán)限也不同。內(nèi)網(wǎng)：通俗的講就是局域網(wǎng)，比如網(wǎng)吧，校園網(wǎng)，公司內(nèi)部網(wǎng)等都屬于此類。查看IP地址如果是在以下三個范圍之內(nèi)的話，就說明我們是處于內(nèi)網(wǎng)之中的：—55，—55，—55外網(wǎng)：直接連入INTERNET互連網(wǎng))，可以與互連網(wǎng)上的任意一臺電腦互相訪問，IP地址不是保留IP(內(nèi)網(wǎng))IP地址。端口：(Port)相當于一種數(shù)據(jù)的傳輸通道。用于接受某些數(shù)據(jù)，然后傳輸給相應(yīng)的服務(wù)，而電腦將這些數(shù)據(jù)處理后，再將相應(yīng)的恢復通過開啟的端口傳給對方。一般每一個端口的開放都對應(yīng)了相應(yīng)的服務(wù)，要關(guān)閉這些端口只需要將對應(yīng)的服務(wù)關(guān)閉就可以了。3389、4899肉雞：3389是Windows終端服務(wù)(TerminalServices)所默認使用的端口號，該服務(wù)是微軟為了方便網(wǎng)絡(luò)管理員遠程管理及維護服務(wù)器而推出的，網(wǎng)絡(luò)管理員可以使用遠程桌面連接到網(wǎng)絡(luò)上任意一臺開啟了終端服務(wù)的計算機上，成功登陸后就會象操作自己的電腦一樣來操作主機了。這和遠程控制軟件甚至是木馬程序?qū)崿F(xiàn)的功能很相似，終端服務(wù)的連接非常穩(wěn)定，而且任何殺毒軟件都不會查殺，所以也深受黑客喜愛。黑客在入侵了一臺主機后，通常都會想辦法先添加一個屬于自己的后門帳號，然后再開啟對方的終端服務(wù)，這樣，自己就隨時可以使用終端服務(wù)來控制對方了，這樣的主機，通常就會被叫做3389肉雞。Radmin是一款非常優(yōu)秀的遠程控制軟件，4899就是Radmin默認使以也經(jīng)常被黑客當作木馬來使用(正是這個原因，有的人在使用的服務(wù)端口號。因為Radmin的控制功能非常強大，傳輸速度也比大多數(shù)木馬快，而且又不被殺毒軟件所查殺，所用 Radmin管理遠程電腦時使用的是空口令或者是弱口令，黑客就可以使用一些軟件掃描網(wǎng)絡(luò)上存在Radmin空口令或者弱口令的主機，然后就可以登陸上去遠程控制對方，這樣被控制的主機通常就被成做4899肉雞。免殺：就是通過加殼、加密、修改特征碼、加花指令等等技術(shù)來修改程序，使其逃過殺毒軟件的查殺。加殼：就是利用特殊