不是為了竊取機(jī)密，也不是為了盜竊錢財(cái)，只是為了證明自己的存在，當(dāng)前網(wǎng)絡(luò)犯罪者越來(lái)越朝著更具“黑客英雄”情懷的方向轉(zhuǎn)變。在今天，也許還會(huì)有黑客會(huì)因?yàn)楦鞣N傳統(tǒng)的原因而攻擊某個(gè)安全系統(tǒng)或者發(fā)起DDoS攻擊；但是通過攻擊企業(yè)業(yè)務(wù)以展示自己的叛逆和違規(guī)行為，已經(jīng)成為更多黑客的“理想”。年關(guān)將至，人們即將迎來(lái)一年當(dāng)中節(jié)日最密集的時(shí)期，盛大購(gòu)物季的到來(lái)，既承載了很多電子企業(yè)向年度銷售額沖刺的期盼，也是忙碌了一年的人們最想以購(gòu)物方式來(lái)犒勞一下自己和親朋的季節(jié)，這些原因促成了網(wǎng)上購(gòu)物的繁榮，當(dāng)然無(wú)孔不入的黑客不會(huì)錯(cuò)過這樣一場(chǎng)在線的盛宴，利用人們各種各樣的疏忽發(fā)起攻擊，讓您的企業(yè)年度贏收表大打折扣。

對(duì)付惡意攻擊者或黑客，最好辦法就是防守反擊，不讓其得逞。遵循Ron Meyran為大、中、小商家及消費(fèi)賭提供的安全黃金條律，您既可以享受網(wǎng)絡(luò)購(gòu)物的便捷，又可以收獲理想的安全防護(hù)。

針對(duì)大型零售商的黃金條律

1.        評(píng)估商業(yè)風(fēng)險(xiǎn)：什么因素會(huì)給企業(yè)帶來(lái)最大的風(fēng)險(xiǎn)值？數(shù)據(jù)泄露？網(wǎng)站涂改？服務(wù)質(zhì)量下降？服務(wù)宕機(jī)？這個(gè)基礎(chǔ)判斷會(huì)幫助您了解各種最壞的可能。

2.        評(píng)估你的“敵人”:競(jìng)爭(zhēng)對(duì)手希望打壓同行的業(yè)務(wù)，出于經(jīng)濟(jì)目的罪犯時(shí)時(shí)在尋找容易上鉤的對(duì)象。知名企業(yè)、或者影視和出版業(yè)那些涉及版權(quán)的產(chǎn)業(yè)很容易成為黑客主義團(tuán)伙的目標(biāo)，并隨時(shí)都有可能遭受匿名攻擊。

3.        部署DDoS防護(hù)方案：持續(xù)增長(zhǎng)的DDoS攻擊已經(jīng)成為當(dāng)前不可忽視的網(wǎng)絡(luò)威脅力量。因?yàn)镈DoS攻擊而導(dǎo)致的宕機(jī)不僅會(huì)讓企業(yè)蒙受經(jīng)濟(jì)損失，還會(huì)嚴(yán)重影響企業(yè)聲譽(yù)。一些服務(wù)供應(yīng)商提供Network DDoS防護(hù)，但是企業(yè)需要對(duì)戰(zhàn)應(yīng)用DDoS。購(gòu)買先進(jìn)的安全工具和獲取安全專業(yè)知識(shí)是維持業(yè)務(wù)健康的關(guān)鍵步驟。

4.        感知用戶行為:部署網(wǎng)絡(luò)行為分析（Network Behavioral Analysis ，NBA)工具準(zhǔn)確監(jiān)測(cè)用戶正在發(fā)送和接收哪些類型的信息，以及向誰(shuí)發(fā)送。設(shè)置訪問權(quán)限策略，以保護(hù)關(guān)鍵信息（如團(tuán)隊(duì)表、隊(duì)員體能以及設(shè)備設(shè)計(jì)等）的安全。

5.        部署覆蓋全網(wǎng)安全系統(tǒng)的管理工具： 通過這樣一個(gè)管理工具來(lái)關(guān)聯(lián)所有安全事件日志。攻擊者已經(jīng)變得詭計(jì)多端，他們會(huì)使用包含多重工具的混合攻擊來(lái)探測(cè)、攻擊和濫用您的系統(tǒng)資源。您必須監(jiān)控網(wǎng)絡(luò)中所有的可疑活動(dòng)。

6.        思考邊界安全：緩解當(dāng)今的網(wǎng)絡(luò)和應(yīng)用攻擊不能再依賴傳統(tǒng)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。IPS解決方案和DoS攻擊緩解解決方案依靠統(tǒng)計(jì)原理，只是針對(duì)已知威脅起作用的單點(diǎn)安全解決方案，而對(duì)付新興的網(wǎng)絡(luò)威脅則需要采用將傳統(tǒng)安全工具與網(wǎng)絡(luò)行為分析工具相結(jié)合的整體安全解決方案。

針對(duì)中小零售商的黃金條律

1.        維護(hù)實(shí)時(shí)更新系統(tǒng)：包括現(xiàn)行所有的軟件補(bǔ)丁和更新。較小的商業(yè)機(jī)構(gòu)需要在其系統(tǒng)中安裝通用軟件的最新版本。

2.        部署覆蓋全網(wǎng)安全系統(tǒng)的管理工具：如上所述，在一個(gè)集中平臺(tái)關(guān)聯(lián)所有安全工具的事件日志。包含攻擊者會(huì)使用多重工具的混合攻擊來(lái)探測(cè)、攻擊和濫用您的系統(tǒng)資源，您必須監(jiān)控網(wǎng)絡(luò)中所有的可疑活動(dòng)。

3.        分隔內(nèi)部和外部的應(yīng)用服務(wù)器：電子商務(wù)應(yīng)用是安全防護(hù)的重中之重。千萬(wàn)不要將郵件服務(wù)器與其部署在同一網(wǎng)段，因?yàn)猷]件服務(wù)器會(huì)為黑客提供另一條訪問和控制內(nèi)部數(shù)據(jù)的渠道。

4.        教育客戶：對(duì)于老客戶，企業(yè)向其確保所有的宣傳材料將從其所熟悉的郵件地址發(fā)送，而且企業(yè)須在其發(fā)送物中注明公司絕對(duì)不會(huì)以任何形式要求用戶提供個(gè)人信息。

5.        遵從法規(guī)性也不能確保長(zhǎng)久的安全：法規(guī)性遵從也許能幫助商家免遭某次安全攻擊的侵害，但是我們主要目標(biāo)是保護(hù)企業(yè)不被下一波攻擊擊潰。采用遵從工具來(lái)創(chuàng)建最佳實(shí)踐模式，幫助企業(yè)保持長(zhǎng)期的安全性。

針對(duì)購(gòu)物者的黃金條律

1.        多一些理智：如果單筆交易看上去過于優(yōu)惠而讓人難以置信，那么它絕對(duì)有問題。

2.        多一些懷疑：收到一封促銷郵件后，別著急去點(diǎn)擊其中的鏈接。上網(wǎng)查看該商家的網(wǎng)站并且確認(rèn)促銷商品和活動(dòng)真實(shí)存在。如果沒有查詢到，那么這封郵件就有可能是個(gè)騙局。