电子商务中网络基础设施的安全方案

　　3.Web服务器权限及协议选择。可以通过配置Web服务器的权限来限制所有用户查看、运行和操作Web页的方式。Web服务器权限应用于所有用户，且不区分用户账号类型，所以要对目录设置属性。对于要运行Web页面的用户，在设置Web服务器权限时遵循的原则为：对包含.jsp文件的虚拟目录允许“读”或“脚本”权限；对.jsp文件和其他包含脚本的文件所在的虚目录允许“读”和“脚本”权限；对包含.jsp文件和其他需要“执行”权限才能运行的文件的虚目录允许“读”和“执行”权限。
　　开启某个服务就要面对相应的漏洞，因此要安装最少的服务和协议。最好少用或禁用NetBIOS和UDP。
   四、数据库的冗余备份
　　备份可在系统硬件故障、人为失误、入侵者非授权访问或对网络攻击破坏数据完整时起保护作用，分为全盘备份和增量备份。可根据企业的业务，在相邻的几个地区之间设立一个分支总控机构，通过Internet与企业的总部联系。每个分支总控机构每隔一定时间进行“在线”的增量备份，休息时通过Internet实行“不在线”的全盘备份，并将相关信息传送到企业总部。这样，即保证各个分支总控部门有一定时间间隔内的业务资料，又可以保证企业总部完全掌握各地的销售情况，以便企业为将来的发展规划做出更加合理的决策。
　　五、用户访问安全控制
　　系统中每个用户所能访问的信息或进行的操作应是受限的。用户安全认证系统的目的在于实现用户的身份验证与权限控制，达到限制用户的越权操作与防止非法用户对系统的入侵。
　　1.用户权限控制。用户要进入系统，必须输入自己的用户编号和密码进行身份证。通过验证后，将此用户的信息放入服务器端相应变量中，然后调用相应的函数对其进行权限控制。使用JSP技术将用户的权限控制分为两层：
　　(1)在页面显示链接前先判断用户的权限，如果用户没有权限访问此链接对应的页面(资源)，页面就不显示此链接。
　　(2)在用户对某个页面发出请求时，再次判断用户的权限，只有当此用户拥有进入此页面的权限时，服务器才将此页面发送到浏览器，否则返回错误信息。
　　通过两层控制可防止用户进入没有权限的页面(资源)，从而防止用户查看或修改其并没有控制权限的信息。当用户试图访问被限制内容时，web服务器进行身份验证，以检查用户是否拥有有效账号。web服务器支持基本身份验证和请求/响应式身份验证。
　　2.源数据库保护及客户资格认证。源数据库中保存着企业的机密信息和相关客户信息。需要访问源数据库的JSP脚本的人员，要有Web服务器所运行的计算机管理员权限。在从远程计算机上运行这些脚本时，对使用请求/响应验证方式进行连接的用户，必须己经通过身份验证。
　　控制对JSP应用程序访问的方法是要求客户在委托的第三方获得客户资格，第三方在发放资格证之前确认客户的身份信息。每当客户试图登录到需要资格验证的应用程序时，客户的Web浏览器会自动向服务器发送客户资格。如果Web服务器的SSL资格映射特性配置正确，那么服务器就可以在许可客户对JSP应用程序访问之前对其身份进行确认。
　　六、程序设计安全
　　开发工具或多或少都存在安全漏洞。程序开发人员应注意：
　　1.密码及物理路径的处理：应将密码和用户名通过使用虚拟路径，保存在数据库中。
　　2.用户详细信息的记录：为更好的跟踪用户，需记录用户的详细信息。其中记录IP最有用，可通过IP来查询用户的具体地点。这样就可以完全控制用户的使用，跟踪用户对资源的访问情况，及时了解用户进行的越权访问。
　　3.传输信息安全：JSP脚本采用明文编写，可采用文件加密的方法保护开发的JSP脚本源代码。
　　电子商务系统安全涉及诸多方面，是一项复杂的系统工程。尽管目前提出了很多技术解决方案，但离真正的安全电子商务还有一段距离。优秀的系统管理人员往往可以在很大程度上保障系统的安全运行，无形中提高了企业的竞争力，降低了企业进行电子商务的成本。
　　
　　参考文献：
　　[1]韩茂盛:浅析电子商务时代网络安全技术[J].商场现代化（学术版）,2005（2）:103
　　[2]刘爱国 李志梅:谈电子商务中的网络安全管理[J].商场现代化,2007（499）:76～77
　　[3]张贵荣:电子商务的信息安全[J].情报科学,20(6):633～635