天津粮油商品电子交易平台系统安全策略及应用分析

摘要：电子交易平台的安全性在系统运行过程中起着至关重要的作用。以提高电子交易系统安全性为目的，结合天津粮油电子交易系统的开发过程，从系统安全、服务器安全、网络安全、应用系统安全等4方面，阐述了天津粮油电子交易系统所使用的安全策略，最大程度降低了交易系统运行的安全风险。

文献标识码：B

文章编号：1673－1751（2015）03－0010－03

收稿日期：2015－07－30

作者简介：谢智勇（1958－），男，四川南充人，硕士研究生，高级工程师，主要研究电子商务、信息技术和市场预测。

天津粮油商品交易所电子交易系统架构是由“核心数据层、客户服务层、数据交换层”三层网络组成的庞杂的信息服务系统，不同的服务执行在不同网络域上。系统越庞杂，安全隐患可能就越多，而交易所级别的交易系统对系统安全要求又很高，因此制定和建立一套综合完整的服务于交易系统的安全策略和体系是系统安全的核心。

1 安全技术体系

粮油电子交易系统安全体系由技术体系、组织体系和管理体系三部分构成。本文主要描述技术体系，可分以下五个方面。

第一，网络运行环境。主要在网络配置、环境可用性、运行性能和网络故障方面进行规划和管理。

第二，网络系统安全。主要在VLAN划分、流量控制、入侵检测和防御等方面进行规划和管理。

第三，主机系统安全。重点对系统服务器以及控制端进行病毒检测和系统安全漏洞检测和修正。

第四，应用系统安全。重点对各种内部和外部访问用户的管理控制、数据资源及传输的审计和加密。

第五，数据库系统安全。针对数据存储权限和过程进行规划管理，强化对触发器的设计和角色管理等。

2 各层级安全措施

“在不同层面的单元上需要有不同的安全要求和相应的解决方案” ［1］，针对不同层次安全需求，对应以下的技术解决方案。

2．1 网络层级安全

2．1．1 域名访问安全

主要采取以下措施：①域名服务器以分别采用内网和外网方式，把内网隔离出来；②提供域名服务器备份，以对付拒绝式服务攻击；③为域名服务器及时安装相应的补丁。

2．1．2 防范控制病毒

主要采取以下病毒防控措施：①在所有服务器和防火墙上安装过滤软件，防止病毒的传播；②在控制端安装监控软件，并使用防病毒软件检查和清除病毒；③对病毒数据库进行及时升级更新；④安装相应的控件来控制扫描软件，禁止未经许可的控件下载、上传和安装。

2．1．3 部署防火墙

硬件和软件防火墙同时部署。通过防火墙的有效隔离，对外网和内网的端口和服务进行阻断，阻止非法客户入侵内部网络。

2．1．4 划分虚拟子网（VLAN）

系统根据不同的业务应用对应划出若干不同的子网，限定不同应用只能在相应子网内运行，不能相互访问。不同子网需要互访时，可以通过访问控制进行设置。

2．1．5 网络访问控制

访问控制是网络安全防护主要策略的核心部分，以保证网络资源不被非法访问和非法使用。它是保护网络资源、维护网络系统安全的主要手段。

2．1．6 数据及传输加密

交易结算等数据必须以加密的方式传输，在网络中可以使用证书、安全的接口（API）和加密方式（BASE64、SHA1等），实现数据传输安全。

2．1．7 安全扫描技术

不定期地对系统进行安全测试和安全评价，并及时发现系统漏洞。安全扫描技术与防火墙和安全监控系统互相配合，能够大大地提高网络的安全性。

2．1．8 数字时间戳

对电子交易文件的日期和时间信息进行安全保护，杜绝伪造和篡改。“数字时间戳是一个由专门服务机构提供的网络安全服务项目，是经过加密形成的凭证文档，包括摘要、日期和时间、数字签名三项内容” ［2］。

2．2 主机层级安全措施

①配置冗余设备。为杜绝单点故障的发生，系统的核心设备需要冗余备份，如服务器、网络设备等。

②采用UPS。为避免临时断电造成重要数据的丢失，对关键服务器及网络设备配置UPS，对其进行延时存储保护。

③实行热备份。为有效降低系统运行风险，对应用和数据库服务器采用集群方式，实行双机热备方案。备份服务器可兼作交易服务器的备份机和数据服务器，在侦测到主交易服务器故障时，备份服务器自动接替主服务器的任务。这种配置对于AIX系统效果很好，运行安全稳定。

2．3 数据层级安全措施

①系统容错、纠错处理。对数据的容错和纠错是保证交易系统正常运行的重要组成部分，主要包括对数据库设计和数据录入的容错和纠错两个方面。系统只允许正确的数据进入数据库。

②数据备份与恢复。对于电子交易系统，备份与恢复是保证系统安全不可或缺的组成部分，主要包括数据离线备份、在线备份和异地备份策略，为数据恢复和系统重新运行打基础。

2．4 应用系统层级安全措施

在系统安全层级上，主要是对用户、资源和授权三个方面进行规划和管理。

①用户身份及空间管理。为大大减轻系统管理员的工作，提高用户体验效率，对用户身份管理实行集中管理，全面解决单点登录问题，统一利用空间。在用户空间管理中采取多级用户规划模式，对用户的口令等信息采取加密措施。

②资源空间管理。电子交易系统提供了面向互联网用户的公共服务，我们将PROXY服务器放置在DMZ（网络停火区）区域内，将其纳入应用安全管理的范围。

③管理和服务授权。从管理角度来看，平台的安全管理要能体现交易所信息安全平台的统一专业管理模式：落实专门的安全管理部门并制定安全管理策略；对用户账号统一管理、身份统一识别；实现资源的分布配置和统一的资源目录管理；实现统一的访问控制策略；为第三方应用提供安全强度一致的安全管理服务和无缝对接，等等。

④中间件策略。“中间件在对事务完整性的保证、对大规模并发处理的响应、对异构系统互联的透明支持以及对应用数据的安全性保护等方面的表现将成为应用系统成败的决定性因素” ［3］。

运用中间件程序连接交易系统的前台应用和后台管理，可以有效防范黑客入侵。同时采用消息队列技术和socket编程技术，可以保证整个应用系统的高效率、多用户的高支持率和良好的系统维护性。特别是当系统繁忙时，由中间件负责数据和任务上传与下达的分发路由工作，可有效减少主机的负担，实现系统的负载均衡。

此外，应用系统层级安全措施还包括操作系统安全、用户身份认证（密码防探查机制、MAC绑定机制和USB KEY认证机制、第三方CA身份认证和数字签名服务）等。

3 安全电子交易协议

系统采用SET协议的电子认证技术，使用RSA和DES算法，可以为电子商务应用提供很强的安全保护。“由于SET是在应用层面上，体系比较完善，能实现多方认证” ［4］，在实现中使消费者的用户信息可以得到有效的保护。“SET以推广利用信用卡支付的网上交易，而备受各方面瞩目，它将成为未来网上交易安全通信协议的标准，可以进一步推动互联网电子商务市场” ［5］。

4 其他安全管理措施

技术支持和制度管理是系统安全策略的两大支撑。制度管理包括安全制度、保密制度、维护制度及应急措施等。应急管理是在系统发生灾难时所采取的应急计划、应急措施、应急设备等，是保障电子交易系统持续有效运行或紧急恢复所需要的相应策略。

5 系统安全配置

机房配置双电源，主要设备连接UPS。其他硬件安全配置如下。

5．1 采用双网线接入方式

采用联通和电信光纤双网同时接入，保证业务不会因某一个运营商的网络中断而停止。如果某一运营商线路断了，客户可以通过另一运营商线路进来。

5．2 防火墙采用集群配置方式

两台防火墙同时工作，同时分担负载，如果其中一台防火墙意外断电或意外故障，另一台防火墙随时接管故障防火墙的工作，实现无缝切换。

5．3 交换机采用CISCO交换机

通过思科的HSRP技术实现双机热备，以A为主用交换机。两台交换机以21和22口互联（配置GEChannel，和Truck），互相发送、接受彼此的报文，以检测对方的运行状态。当备用交换机在规定时间内没有收到主用交换机的报文，则会判定主用交换机发生故障，接管主用交换机。如果主备交换机之间过于频繁地互相切换，就会严重影响网络的稳定性，因而在HSRP的配置中添加了抢占功能。在交换机配置抢占的情况下，当主交换机出现意外断电或意外故障，备用交换机马上接管所有业务；当主交换机恢复后，主交换机会主动接管理备用交换机，直到下一次故障发生。

5．4 梭子鱼配置双机热备

采用TCP－proxy代理方式实现服务的负载均衡，在梭子鱼上分别把WAN口接入交换机的第8口，同样可以实现任意一台交换机或任意一台梭子鱼断电，交易业务不会中断。

5．5 各服务器均做双网卡绑定

双网卡实现主备模式，设定第一块网卡为主网卡，上连3750A，设定第二块网卡为备网卡，上连3750B，当主交换机意外断电或意外故障，各服务器会把业务从主网卡转到备网卡上，然后让第二块网卡通过备用交换机与外网通讯。

5．6 后台服务器采用IBM小型机

安装AIX6．1＋HACMP6．1实现双机互备，即第一台主机跑交易核心业务，第二台主机跑数据库业务，这样分配可以让交易核心业务性能和数据库业务性能在单机上发挥到极致，当任意一台主机意外断电，另一台主机会主动接管断电主机的所有业务。当断电主机重新启动、运行HACMP后，会自动恢复主机角色。

5．7 银行均以双SDH线路接入

所有银行前置机，除了主机上自带双口网卡做双网卡绑定外，都另外购置一块新的双口网卡作双网卡绑定，与银行的双SDH线路配合使用，实现出入金的不间断性。

6 结束语

安全是电子商务的核心和灵魂，没有安全保障的电子商务应用只是虚伪的炒作或欺骗。天津粮油商品交易所电子交易系统通过系统安全策略的实施应用，系统的安全性得到了验证。2012年7月交易系统正式运行以来，中储粮集团、中粮集团、益海嘉里、中纺油脂、聚龙集团、山东嘉冠等多家企业在此交易，系统未发生任何安全事故。