“云计算”环境下电子商务安全问题及对策研究

0 引言

随着信息技术的快速发展,电子商务已经成为日常商务活动的一种主要运作模式,近几年“云计算”技术的发展为互联网提供了快速、优质、安全的信息服务、信息存储和信息安全保障,同时也为电子商务的发展带来了新的机遇。“云计算”的概念是Google公司的CEO埃里克施密特于2006年8月在搜索引擎大会上首次提出的,目前,IBM、

Google、Amazon、中国移动,以及微软等业界巨擘已经纷纷推出“云计算”服务,电子商务的“云”时代已经拉开序幕。云计算使电子商务系统的建设、维护和应用成本降低;云计算为电子商务网站提供可靠、安全的数据存储中心;云计算使电子商务更灵活、方便。然而,每个铜板都有两面,人们在充分享受互联网带来的极大便利的同时,如何最大限度地保障现代电子商务安全、有序地运行,已经成为一个重要课题。它同时也遭受到了来自网络安全方面的严重威胁。

1 “云计算”环境下电子商务的安全问题

虽然云计算能够使得企业IT基础设施及管理等方面的安全问题更容易得到解决,但网络安全问题依然存在,同时还引发了一些新的安全和风险问题。在云计算快速推进的过程中,安全故障也频繁发生,包括亚马逊、Google、微软等都没能幸免。例如,2009年12月,亚马逊基于云计算的EC2(弹性计算云)服务在一个星期里发生了两起事故:一起是僵尸网络引起的内部服务故障,另一起是在弗吉尼亚州的一个数据中心发生的电源故障;2010年2月25日,由于一个备份数据中心发生故障,谷歌应用开发者服务Google App Engine(谷歌应用引擎)宕机,对很多谷歌客户造成了影响。总结起来,用户在选择云计算服务时主要关注的安全隐患有以下几方面。

1.1 数据存储安全隐患 企业数据的安全保护是非常重要的环节,云计算服务商在高度整合的跨地区大容量存储空间上,在云计算模式下,包括数据的存储位置、数据的相互隔离、数据的灾难恢复等。客户并不清楚自己的数据被放置在哪台服务器上,云计算服务商能否确保企业数据不被泄露;云计算服务商是否能够保证数据之间的有限隔离,在这种数据存储资源共享的环境下,即使采用了加密方式;另外,当发生系统故障时,云计算服务商如何保证企业数据的快速恢复。

1.2 数据传输安全隐患 在云计算模式下,企业将数据通过网络传递到云计算服务商进行处理,通常情况下,企业数据中心保存有大量的企业私密数据,面临着几个方面的问题:一是保证企业在任何时候都可以安全访问到自身的数据,它是云计算服务商处存储时,我们应该面对的问题;二是保证云计算服务商在得到数据时不将企业数据泄露出去;三是如何确保企业的数据在网络传输过程中不被窃取。

1.3 数据审计安全隐患 如何保证云计算服务商在不给其他企业的数据算带来风险的同时,提供相关的信息支持,企业希望第三方的认证机构对云计算服务商进行审计,主要是为了保证数据的安全和准确,另外,企业的所有数据都存贮在云中,这些数据可能分布在不同地区或国家,各地政府在信息安全监管等方面可能存在差异与法律纠纷,为对数据进行安全性和准确性的审计,这是个很重要的问题。

1.4 客户终端安全隐患 浏览器是云计算服务的主要客户端,企业的大部分工作都在浏览器中完成,但目前几乎所有的浏览器都存在着漏洞,使用人员的技术不强、防护意识不高,就很容易被种植上木马,或变成“僵尸”。这些软件漏洞加大了终端用户被攻击的风险,从而影响云计算在电子商务应用中的安全。

2 “云计算”环境下电子商务安全问题的解决对策

为了让更多用户享受到云计算服务的优点,较好的消除这些潜在的安全隐患,针对以上存在的问题,提出几个电子商务安全控制的策略。

2.1 采用数据加密、安全认证技术保障企业数据在网络上的安全传输 为了有力保障整个网络安全,数据加密将其转换为非法入侵者难以识别的数字、符号等,主要是通过对网络数据进行相关的加密技术处理完成的。CA(是Certificate Authority缩写)安全认证是国际上通用的解决电子商务安全的有效途径之一,即在电子商务的建设中引入证书授权系统,这样就可以有效的解决网络交易双方身份的认证,每个实体的证书都是通过证书授权中心认证并由其负责分发,保证交易各方身份是真实的。另外,为确保各企业间逻辑边界的安全,需采用数据隔离技术对企业数据和信息进行安全保护,对企业信息进行高效安全管理,采用密钥管理与pKI等方式。

2.2 电子商务企业应选择高信誉度的云计算服务商 要求云计算服务商承诺数据存储位置的安全性以及和其他企业数据之间的加密隔离,同时和服务商签订SLA服务质量保证协议,明确服务商要具备数据恢复的能力并定义清楚数据恢复的时间限制等。同时要明确有没有数据备份的计划,避免因服务商内部人员素质较低或管理不到位导致数据泄漏,或因数据中心不稳定致使业务不连续、数据被锁定而不能访问等问题。

2.3 加强云计算数据中心的安全管理和安全审计机制 为应对不同地区、国家的法律差异而可能引起的法律纠纷,企业用户应尽可能控制数据的存放地点;有关机构应制定、完善相应的法律法规,制定针对云计算架构的安全模型和标准,保障云计算服务及信息安全,对云计算服务商进行规范、监督、审计。 2.4 电子商务企业应采取保护措施以免浏览器遭受攻击,保证在云环境中实现端到端的安全 浏览器安全涉及到两个方面,一个是服务器端的安全,可采用WEB应用防火墙、数据库审计、UTM、IpS、木马扫描工具,其主要思路是对入侵的监测和阻断,保护服务器端安全。并对“非常规访问”行为进行过滤;另一个是用户端(即浏览器)的安全,为了防护大部分木马病毒的攻击,,常见的终端安全软件、病毒防火墙、木马专杀工具等,另外就是在兼容的情况下可以多装几套相互组合,安装些防护软件,及时为浏览器打补丁,如防病毒与木马查杀等组合。

3 结语

可见,新一代云电子商务在实际应用中给企业和用户带来很多优势和机遇,云计算能否在电子商务应用系统中得到普及,如何在创新和安全之间取得平衡,还有待于相应的技术、服务的更加成熟。云计算所带来的便捷服务,安全是相对的,这个过程中会引发好多的安全问题。云电子商务作为一个新颖而独特的互联网经济模式,它所产生的生命力和竞争力必将会以排山倒海之势,冲击传统互联网经济,云计算将给传统的电子商务带来一场革命性的变化,将成为互联网发展史上的一个里程碑。