电子商务平台的论文

电子商务平台的论文

　　导读：论文常用来指进行各个学术领域的研究和描述学术研究成果的文章，简称之为论文。下面小编为大家带来电子商务平台的论文，希望能帮助到大家。

题目：电子商务平台新一代安全防护技术探讨

摘要:首先对电子商务平台面临的安全问题进行分析，然后详细描述了新一代安全防护技术的处理框架和引擎技术，包括防御黑客攻击、捕捉黑客攻击行为，第一时间人为介入，降低电子商务平台的安全风险。最后，电子商务平台的安全防护需要多方面的支撑，随着安全技术不断发展，新一代安全防护技术将被广泛应用。

关键词:信息安全;框架;引擎;防御;捕捉

前言

　　随着“互联网+”、移动互联网的不断发展，电子商务平台功能的不断丰富、完善以及拥有使用便利的特性，网上招投标正逐渐成为电子商务的主流模式。据统计，我国商务招投标量比重已超过总量的80%。虽然电子商务与互联网的连接方便了供应商，但不可避免地也带来了一些负面影响。

　　较为突出的是计算机信息网络的安全保密问题，如果解决不好，国家安全和利益将受到损害，也势必危及信息化事业的健康，由于部分居心叵测的使用者受到一些不可告人的利益的驱动，这部分人不可避免地带来了涉及网络安全应用和服务的种种安全问题。

　　2015年10月3日，美国某电子商务平台此前曾遭到黑客攻击，约460万客户的姓名和地址等个人数据可能已被黑客窃取。

　　2016年2月10日，日本某电子商务网站遭到黑客攻击造成宕机，自称属于Anony-mous黑客组织一部分的账户称其对此负责。

　　由于互联网的开放性，来自互联网上的病毒、木马、黑客攻击以及计算机威胁事件，都时刻威胁着行业的信息系统安全，成为制约行业平稳、安全发展的障碍。因此，电子商务平台安全防护技术的改进、提升是信息安全保障工作的重要组成部分。

1、安全现状

　　互联网技术的飞速发展正在改变现代企业的经营和组织方式，极大地提高了整个社会的运转效率，同时也让企业原本封闭在内部的资产暴露在复杂的网络环境中，信息安全问题已经成为关系到现代企业生存发展的关键问题。信息安全的发展方式是典型的攻防对抗式技术发展模式，伴随着新型安全产品的推出，相应的黑客攻击技术也会随之出现。

　　例如，突然爆发的'Struts2安全漏洞很有可能令企业用户的前期安全防护投入化为乌有。仅仅使用安全防御型产品已经不能提供全面、及时、有效的信息安全保障，必须与业内顶级的安全专家时刻保持紧密沟通，才能对抗不断发展进化的攻击手段。

　　随着安全业态的发展以及对安全风险本质认识的深入，网络安全工作重点正在从过去的以单点“防御”为核心逐步转向构建全面的“风险预测”“防御控制”“威胁感知”的一体化安全防护能力。当前的一体化安全策略主要从两个方向提升安全防护水平。

　　一个方向是防御工作的前倾和加强，强调在攻击事件发生之前，能够提前排查内在隐患和外在威胁的存在，有效进行风险管理和威胁预警，预先检测出潜在安全漏洞，尽量降低网站被攻击的可能性。

　　另一个方向是安全响应工作的完善和提升，强调在安全防御体系被攻破后，能够第一时间感知到威胁事件的发生，掌握安全事件的主动权，并能迅速进行应急响应，控制和降低安全损失的影响。

2、基本需求

2．1发现安全隐患

　　随时全面掌控安全风险和隐患是做好安全防控工作的基本前提。安全隐患的排查和发现需要建立完善的安全管理规范和制度，也需要面向企业的安全服务，能够通过领域信息安全专家，对企事业单位信息资产以及基础网络环境进行全面评估，利用高级渗透测试和其他安全攻击工具从攻击者角度对潜在安全隐患点进行攻防测试，形成深入、全面的安全风险评估报告，帮助用户提前发现安全问题，提供有针对性的修复和整改方案，并对最新爆发的安全漏洞提供应急响应服务，防患于未然。

2．2阻断攻击

　　在安全情报快速传播、安全风险不断升级的信息时代，面对不断变化的Web攻击手段和未知安全威胁，传统Web应用攻击防护技术面临巨大的安全防护挑战，Web业务的复杂度远远大于之前，安全规则的维护成本大大增加，如何实现对所有的业务线的安全保护是目前面临的重要难题。Web应用防火墙(WAF)是目前较为有效的Web应用防护产品，但WAF产品千差万别，应从实际应用效果出发，选择威胁检测准确度高、误报和漏报率低、易于维护的WAF产品。

2．3感知威胁入侵

　　多年来，网络安全的防护方式主要采用被动方式的安全防御措施，虽然能够有效检测出已知类型的攻击入侵，但很难抵御住未知类型的安全威胁，同时来自内部网络环境的安全威胁也层出不穷。因此，近年来针对网络安全问题，不仅仅需要边界防护技术和产品，还需要建设和加强内网的威胁感知能力，能够及时准确地发现入侵行为。

3、解决方案

　　随着网络承载更多功能的同时，网络攻击的来源、途径、手段都在变得更加复杂且难以防护，安全防护成为极具挑战的系统性工作，单一的防护技术和手段已经很难抵御住来自四面八方的安全威胁。因此，需要具备整体防护能力的一体化安全解决方案，通过组合使用多种安全保护服务、技术和产品，形成能够对安全威胁行为全过程进行多阶段、多层次的整体性防护。

　　由于安全的攻防对抗不对称性，安全产品的布局应该考虑到不同环节的安全措施，应该至少包括威胁识别拦截和入侵发现响应两个主要环节，并结合现阶段的安全需求适度部署不同种类的安全产品，形成多种安全手段、多个环节系统协防联控的一体化安全防线。

　　为了全面提升Web防护自适应能力，弥补传统WAF产品对未知威胁与新兴安全挑战快速响应能力差的防护短板，建议使用基于语义智能分析的Web应用防护系统。增加内部安全监测能力，发生安全事故时可以第一时间响应，保证可以及时止损。

　　内网渗透过程中的关键步骤是收集内网信息、延伸权限，这个阶段也是发现攻击以及进行应急响应的好时机。其中非常有效的一种防护措施就是伪装技术。这种技术的本质就是有针对性地对攻击者进行网络、应用、终端和数据的伪装，欺骗攻击者，尤其是攻击者的工具中的各种特征识别，使得那些工具失效，扰乱攻击者的视线，将其引入死胡同，延缓攻击者的时间。

　　譬如可以设置一个伪目标或诱饵，诱骗攻击者对其实施攻击，从而触发攻击告警。Gartner预测到2018年10%的企业将采用这类技术，主动地与黑客进行对抗。