隨著圣誕節(jié)和新年的臨近，在線購物進(jìn)入了高峰時期，與此同時侵害商家及消費(fèi)者利益的網(wǎng)絡(luò)犯罪也時有發(fā)生。Radware 安全產(chǎn)品總監(jiān)Ron Meyran，根據(jù)當(dāng)前網(wǎng)絡(luò)安全現(xiàn)狀，為電子商務(wù)企業(yè)及消費(fèi)者提供保護(hù)自身利益不受侵犯的15條安全小貼士。

不是為了竊取機(jī)密，也不是為了盜竊錢財，只是為了證明自己的存在，當(dāng)前網(wǎng)絡(luò)犯罪者越來越朝著更具“黑客英雄”情懷的方向轉(zhuǎn)變。在今天，也許還會有黑客會因為各種傳統(tǒng)的原因而攻擊某個安全系統(tǒng)或者發(fā)起DDoS攻擊；但是通過攻擊企業(yè)業(yè)務(wù)以展示自己的叛逆和違規(guī)行為，已經(jīng)成為更多黑客的“理想”。年關(guān)將至，人們即將迎來一年當(dāng)中節(jié)日最密集的時期，盛大購物季的到來，既承載了很多電子企業(yè)向年度銷售額沖刺的期盼，也是忙碌了一年的人們最想以購物方式來犒勞一下自己和親朋的季節(jié)，這些原因促成了網(wǎng)上購物的繁榮，當(dāng)然無孔不入的黑客不會錯過這樣一場在線的盛宴，利用人們各種各樣的疏忽發(fā)起攻擊，讓您的企業(yè)年度贏收表大打折扣。

對付惡意攻擊者或黑客，最好辦法就是防守反擊，不讓其得逞。遵循Ron Meyran為大、中、小商家及消費(fèi)賭提供的安全黃金條律，您既可以享受網(wǎng)絡(luò)購物的便捷，又可以收獲理想的安全防護(hù)。

針對大型零售商的黃金條律

1.評估商業(yè)風(fēng)險：什么因素會給企業(yè)帶來最大的風(fēng)險值？數(shù)據(jù)泄露？網(wǎng)站涂改？服務(wù)質(zhì)量下降？服務(wù)宕機(jī)？這個基礎(chǔ)判斷會幫助您了解各種最壞的可能。

2.評估你的“敵人”:競爭對手希望打壓同行的業(yè)務(wù)，出于經(jīng)濟(jì)目的罪犯時時在尋找容易上鉤的對象。知名企業(yè)、或者影視和出版業(yè)那些涉及版權(quán)的產(chǎn)業(yè)很容易成為黑客主義團(tuán)伙的目標(biāo)，并隨時都有可能遭受匿名攻擊。

3.部署DDoS防護(hù)方案：持續(xù)增長的DDoS攻擊已經(jīng)成為當(dāng)前不可忽視的網(wǎng)絡(luò)威脅力量。因為DDoS攻擊而導(dǎo)致的宕機(jī)不僅會讓企業(yè)蒙受經(jīng)濟(jì)損失，還會嚴(yán)重影響企業(yè)聲譽(yù)。一些服務(wù)供應(yīng)商提供Network DDoS防護(hù)，但是企業(yè)需要對戰(zhàn)應(yīng)用DDoS。購買先進(jìn)的安全工具和獲取安全專業(yè)知識是維持業(yè)務(wù)健康的關(guān)鍵步驟。

4.感知用戶行為:部署網(wǎng)絡(luò)行為分析（Network Behavioral Analysis ，NBA)工具準(zhǔn)確監(jiān)測用戶正在發(fā)送和接收哪些類型的信息，以及向誰發(fā)送。設(shè)置訪問權(quán)限策略，以保護(hù)關(guān)鍵信息（如團(tuán)隊表、隊員體能以及設(shè)備設(shè)計等）的安全。

5.部署覆蓋全網(wǎng)安全系統(tǒng)的管理工具： 通過這樣一個管理工具來關(guān)聯(lián)所有安全事件日志。攻擊者已經(jīng)變得詭計多端，他們會使用包含多重工具的混合攻擊來探測、攻擊和濫用您的系統(tǒng)資源。您必須監(jiān)控網(wǎng)絡(luò)中所有的可疑活動。

6.思考邊界安全：緩解當(dāng)今的網(wǎng)絡(luò)和應(yīng)用攻擊不能再依賴傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。IPS解決方案和DoS攻擊緩解解決方案依靠統(tǒng)計原理，只是針對已知威脅起作用的單點(diǎn)安全解決方案，而對付新興的網(wǎng)絡(luò)威脅則需要采用將傳統(tǒng)安全工具與網(wǎng)絡(luò)行為分析工具相結(jié)合的整體安全解決方案。

針對中小零售商的黃金條律

1.維護(hù)實時更新系統(tǒng)：包括現(xiàn)行所有的軟件補(bǔ)丁和更新。較小的商業(yè)機(jī)構(gòu)需要在其系統(tǒng)中安裝通用軟件的最新版本。

2.部署覆蓋全網(wǎng)安全系統(tǒng)的管理工具：如上所述，在一個集中平臺關(guān)聯(lián)所有安全工具的事件日志。包含攻擊者會使用多重工具的混合攻擊來探測、攻擊和濫用您的系統(tǒng)資源，您必須監(jiān)控網(wǎng)絡(luò)中所有的可疑活動。

3.分隔內(nèi)部和外部的應(yīng)用服務(wù)器：電子商務(wù)應(yīng)用是安全防護(hù)的重中之重。千萬不要將郵件服務(wù)器與其部署在同一網(wǎng)段，因為郵件服務(wù)器會為黑客提供另一條訪問和控制內(nèi)部數(shù)據(jù)的渠道。

4.教育客戶：對于老客戶，企業(yè)向其確保所有的宣傳材料將從其所熟悉的郵件地址發(fā)送，而且企業(yè)須在其發(fā)送物中注明公司絕對不會以任何形式要求用戶提供個人信息。

5.遵從法規(guī)性也不能確保長久的安全：法規(guī)性遵從也許能幫助商家免遭某次安全攻擊的侵害，但是我們主要目標(biāo)是保護(hù)企業(yè)不被下一波攻擊擊潰。采用遵從工具來創(chuàng)建最佳實踐模式，幫助企業(yè)保持長期的安全性。

針對購物者的黃金條律

1.多一些理智：如果單筆交易看上去過于優(yōu)惠而讓人難以置信，那么它絕對有問題。

2.多一些懷疑：收到一封促銷郵件后，別著急去點(diǎn)擊其中的鏈接。上網(wǎng)查看該商家的網(wǎng)站并且確認(rèn)促銷商品和活動真實存在。如果沒有查詢到，那么這封郵件就有可能是個騙局。

3.多一些謹(jǐn)慎:任何時候都不要提供您的賬戶證書，除非您正在通過它直接訪問某賬戶?，F(xiàn)今的釣魚郵件較以往看起來更權(quán)威或者正兒八經(jīng)的樣子，無論從商標(biāo)還是樣式都和商家發(fā)來的正常郵件無二，但是真正的商家從不會要求您提供個人信息。

4.多一些防范：安裝正版的應(yīng)用軟件或操作系統(tǒng)，安裝付費(fèi)的正版防病毒軟件。運(yùn)行盜版操作系統(tǒng)的害處是得不到安全更新和軟件補(bǔ)丁，因而不能防范當(dāng)前的新興威脅。此外，絕大多免費(fèi)防病毒軟件因為得不到病毒庫的更新而過時失效。

從以上建議，我們不難看到：對付惡意攻擊者或黑客，一方面既要部署安全解決方案，另一方面又要提高安全意識，從管理角度杜絕有可能存在隱患的死角，只有從技術(shù)、管理兩方面入手，才會讓惡意攻擊不輕易得逞。