電子商務平臺的論文

　　導讀：論文常用來指進行各個學術領域的研究和描述學術研究成果的文章，簡稱之為論文。下面小編為大家帶來電子商務平臺的論文，希望能幫助到大家。

題目：電子商務平臺新一代安全防護技術探討

摘要:首先對電子商務平臺面臨的安全問題進行分析，然后詳細描述了新一代安全防護技術的處理框架和引擎技術，包括防御黑客攻擊、捕捉黑客攻擊行為，第一時間人為介入，降低電子商務平臺的安全風險。最后，電子商務平臺的安全防護需要多方面的支撐，隨著安全技術不斷發展，新一代安全防護技術將被廣泛應用。

關鍵詞:信息安全;框架;引擎;防御;捕捉

前言

　　隨著“互聯網+”、移動互聯網的不斷發展，電子商務平臺功能的不斷豐富、完善以及擁有使用便利的特性，網上招投標正逐漸成為電子商務的主流模式。據統計，我國商務招投標量比重已超過總量的80%。雖然電子商務與互聯網的連接方便了供應商，但不可避免地也帶來了一些負面影響。

　　較為突出的是計算機信息網絡的安全保密問題，如果解決不好，國家安全和利益將受到損害，也勢必危及信息化事業的健康，由于部分居心叵測的使用者受到一些不可告人的利益的驅動，這部分人不可避免地帶來了涉及網絡安全應用和服務的種種安全問題。

　　2015年10月3日，美國某電子商務平臺此前曾遭到黑客攻擊，約460萬客戶的姓名和地址等個人數據可能已被黑客竊取。

　　2016年2月10日，日本某電子商務網站遭到黑客攻擊造成宕機，自稱屬于Anony-mous黑客組織一部分的賬戶稱其對此負責。

　　由于互聯網的開放性，來自互聯網上的病毒、木馬、黑客攻擊以及計算機威脅事件，都時刻威脅著行業的信息系統安全，成為制約行業平穩、安全發展的障礙。因此，電子商務平臺安全防護技術的改進、提升是信息安全保障工作的重要組成部分。

1、安全現狀

　　互聯網技術的飛速發展正在改變現代企業的經營和組織方式，極大地提高了整個社會的運轉效率，同時也讓企業原本封閉在內部的資產暴露在復雜的網絡環境中，信息安全問題已經成為關系到現代企業生存發展的關鍵問題。信息安全的發展方式是典型的攻防對抗式技術發展模式，伴隨著新型安全產品的推出，相應的黑客攻擊技術也會隨之出現。

　　例如，突然爆發的'Struts2安全漏洞很有可能令企業用戶的前期安全防護投入化為烏有。僅僅使用安全防御型產品已經不能提供全面、及時、有效的信息安全保障，必須與業內頂級的安全專家時刻保持緊密溝通，才能對抗不斷發展進化的攻擊手段。

　　隨著安全業態的發展以及對安全風險本質認識的深入，網絡安全工作重點正在從過去的以單點“防御”為核心逐步轉向構建全面的“風險預測”“防御控制”“威脅感知”的一體化安全防護能力。當前的一體化安全策略主要從兩個方向提升安全防護水平。

　　一個方向是防御工作的前傾和加強，強調在攻擊事件發生之前，能夠提前排查內在隱患和外在威脅的存在，有效進行風險管理和威脅預警，預先檢測出潛在安全漏洞，盡量降低網站被攻擊的可能性。

　　另一個方向是安全響應工作的完善和提升，強調在安全防御體系被攻破后，能夠第一時間感知到威脅事件的發生，掌握安全事件的主動權，并能迅速進行應急響應，控制和降低安全損失的影響。

2、基本需求

2．1發現安全隱患

　　隨時全面掌控安全風險和隱患是做好安全防控工作的基本前提。安全隱患的排查和發現需要建立完善的安全管理規范和制度，也需要面向企業的安全服務，能夠通過領域信息安全專家，對企事業單位信息資產以及基礎網絡環境進行全面評估，利用高級滲透測試和其他安全攻擊工具從攻擊者角度對潛在安全隱患點進行攻防測試，形成深入、全面的安全風險評估報告，幫助用戶提前發現安全問題，提供有針對性的修復和整改方案，并對最新爆發的安全漏洞提供應急響應服務，防患于未然。

2．2阻斷攻擊

　　在安全情報快速傳播、安全風險不斷升級的信息時代，面對不斷變化的Web攻擊手段和未知安全威脅，傳統Web應用攻擊防護技術面臨巨大的安全防護挑戰，Web業務的復雜度遠遠大于之前，安全規則的維護成本大大增加，如何實現對所有的業務線的安全保護是目前面臨的重要難題。Web應用防火墻(WAF)是目前較為有效的Web應用防護產品，但WAF產品千差萬別，應從實際應用效果出發，選擇威脅檢測準確度高、誤報和漏報率低、易于維護的WAF產品。

2．3感知威脅入侵

　　多年來，網絡安全的防護方式主要采用被動方式的安全防御措施，雖然能夠有效檢測出已知類型的攻擊入侵，但很難抵御住未知類型的安全威脅，同時來自內部網絡環境的安全威脅也層出不窮。因此，近年來針對網絡安全問題，不僅僅需要邊界防護技術和產品，還需要建設和加強內網的威脅感知能力，能夠及時準確地發現入侵行為。

3、解決方案

　　隨著網絡承載更多功能的同時，網絡攻擊的來源、途徑、手段都在變得更加復雜且難以防護，安全防護成為極具挑戰的系統性工作，單一的防護技術和手段已經很難抵御住來自四面八方的安全威脅。因此，需要具備整體防護能力的一體化安全解決方案，通過組合使用多種安全保護服務、技術和產品，形成能夠對安全威脅行為全過程進行多階段、多層次的整體性防護。

　　由于安全的攻防對抗不對稱性，安全產品的布局應該考慮到不同環節的安全措施，應該至少包括威脅識別攔截和入侵發現響應兩個主要環節，并結合現階段的安全需求適度部署不同種類的安全產品，形成多種安全手段、多個環節系統協防聯控的一體化安全防線。

　　為了全面提升Web防護自適應能力，彌補傳統WAF產品對未知威脅與新興安全挑戰快速響應能力差的防護短板，建議使用基于語義智能分析的Web應用防護系統。增加內部安全監測能力，發生安全事故時可以第一時間響應，保證可以及時止損。

　　內網滲透過程中的關鍵步驟是收集內網信息、延伸權限，這個階段也是發現攻擊以及進行應急響應的好時機。其中非常有效的一種防護措施就是偽裝技術。這種技術的本質就是有針對性地對攻擊者進行網絡、應用、終端和數據的偽裝，欺騙攻擊者，尤其是攻擊者的工具中的各種特征識別，使得那些工具失效，擾亂攻擊者的視線，將其引入死胡同，延緩攻擊者的時間。

　　譬如可以設置一個偽目標或誘餌，誘騙攻擊者對其實施攻擊，從而觸發攻擊告警。Gartner預測到2018年10%的企業將采用這類技術，主動地與黑客進行對抗。