2.6.3　电子商务系统安全结构案例

电子商务系统的基础设施主要包括网络架构、基本网络服务（如DNS）、Web服务和文件服务等，其中网络架构是基础设施的重要组成部分。网络的架构或设计将对整个系统安全产生重大影响。一种更安全的设计是使用网络分段。合理设计的分段网络不仅可以有效地控制各个网络段之间的通信流量，而且还可以为端口监视和筛选以及其他网络管理任务提供相当大的灵活性。它将允许管理员根据用户安全要求配置各个网段。因此它不仅可以减少威胁的数量，而且还可以限制由于单个弱点而导致的损失，从而提高了系统的性能和安全。

IBM提出了一种网络结构模型，该模型采用网络分段设计方法将网络分为若干个分离的安全区域：

●　Internet——不受控区域。

●　Internet DMZ——非军事区（DMZ）。该区域通常包括Internet可以直接连接的主机和多个防火墙，它处于不受控区域与限制区域之间，被认为是内部和外部网络之间的缓冲区。

●　限制区域——只有授权用户才能访问这个区域中的网络服务。这个区域与Internet没有直接连接。

●　安全区域——只有少数授权用户才能够访问该区域，它主要提供管理服务。

清华得实公司的WebST BtoB安全解决方案也采用了类似的方法将B2B电子商务网络划分为三个区域：

●　外部网络——通过路由器连接到的Internet。

●　非军事区——这是一个服务子网，由代理服务器、公共服务器构成。对外公开的服务器（如WWW、E-mail）也可以放在非军事区中。此外用于保证应用安全的安全服务器、安全应用代理可以部署在该区域的代理服务器上，其中安全服务器为所有访问电子商务系统的客户提供身份验证服务，而安全应用代理可以根据客户身份进行访问控制决策。

●　内部网络——由电子商务的实际应用服务器和数据库组成。

图2-12显示了上面所介绍的三个区域。它通过配置防火墙过滤规则来满足下列要求：

●　外部网络的远程客户只能访问非军事区的安全服务器和应用代理服务器，不能直接访问内部网络的电子商务应用服务器和数据库。

●　内部网络的客户端只能访问本网段的应用服务器，不能访问防火墙以外的任何其他网络。

●　服务子网中的安全服务器和应用代理服务器可以通过防火墙访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口。

随着Internet服务的不断普及，电子商务系统遭受攻击的可能性将大幅增加。尽管网络分段降低了这种风险，但因为防火墙只是被动地防止攻击，所以对于关键应用，WebST BtoB建议采用入侵检测系统（IDS）。

图2-12　安全的网络结构

尽管虚拟私有网络、防火墙和入侵检测系统能够阻止部分网络攻击，但要想全面预防网络攻击，则还需要在网络服务或应用程序开发阶段就开始仔细考虑安全因素，这样才能有效地减少程序漏洞。减少程序漏洞的首要原则就是永远不要相信用户输入的任何数据，对所有输入数据进行检查是防御诸如缓冲区溢出、跨站点脚本攻击等各类攻击的有效方法。此外，最小特权原则也是简单而有效的安全策略。系统管理员只应该赋予服务器上的程序所需的最低权限，仅允许其访问完成任务所必需的资源。