雙十一的涵義已經(jīng)從悲涼的光棍節(jié)變成了一場(chǎng)購(gòu)物狂歡節(jié)。“剁手族”們對(duì)這場(chǎng)狂歡節(jié)又愛(ài)又恨，“愛(ài)”的是雙十一能夠買(mǎi)到物美價(jià)廉的商品，“恨”的是網(wǎng)頁(yè)訪問(wèn)慢、網(wǎng)絡(luò)慢導(dǎo)致訂單無(wú)法支付，釣魚(yú)網(wǎng)站和電信詐騙橫行……

如今，雙十一剛剛過(guò)去，雙十二又即將來(lái)襲，各家電商網(wǎng)站的性能和安全防護(hù)也將迎來(lái)新一輪大考。同時(shí)，消費(fèi)者也要小心謹(jǐn)慎，才能看緊自己的“錢(qián)包”!

電信詐騙、網(wǎng)絡(luò)釣魚(yú)讓用戶“樂(lè)極生悲”

雙十一讓很多用戶滿載而歸。在杭州讀書(shū)的陳同學(xué)的購(gòu)物經(jīng)歷就有些“樂(lè)極生悲”了。11月12日，她接到自稱是淘寶賣(mài)家打來(lái)的電話，對(duì)方以訂單異常需要重新激活為由，發(fā)來(lái)網(wǎng)址鏈接。小陳點(diǎn)開(kāi)網(wǎng)頁(yè)，輸入銀行卡號(hào)。賣(mài)家稱“你的手機(jī)會(huì)收到驗(yàn)證碼，是用來(lái)激活訂單的驗(yàn)證碼”。陳同學(xué)照章操作之后，發(fā)現(xiàn)自己銀行卡被盜2000多元。

像小陳這樣，接到陌生來(lái)電謊稱訂單異常、退款退貨、抽獎(jiǎng)中獎(jiǎng)等被騙的用戶不勝枚舉。讓陳同學(xué)無(wú)法理解的是，“我買(mǎi)了什么東西，花了多少錢(qián)，訂單號(hào)是多少，收件地址是什么，他一字不差地都報(bào)出來(lái)了”。小陳稱，這也是為什么她對(duì)電話那頭的身份深信不疑的主要原因。

對(duì)此，安全寶安全負(fù)責(zé)人劉璇表示：“黑客通過(guò)網(wǎng)頁(yè)篡改或者掛馬等方式，可以大量獲取訂單信息。11月11日，安全寶為其電子商務(wù)客戶攔截的網(wǎng)絡(luò)攻擊量比平時(shí)增加約24%，其中利用SQL注入對(duì)數(shù)據(jù)庫(kù)進(jìn)行遠(yuǎn)程讀取和篡改的攻擊約占70%。這類(lèi)攻擊的目的都是為了獲取網(wǎng)站數(shù)據(jù)，例如客戶資料、賬號(hào)密碼、銷(xiāo)售訂單等。黑客將獲取到的信息公開(kāi)或兜售給第三方或者電子商務(wù)網(wǎng)站的競(jìng)爭(zhēng)對(duì)手，甚至以此威脅電商網(wǎng)站獲利。”

到底是“李逵”還是“李鬼”，消費(fèi)者如何分清呢?劉璇給消費(fèi)者提出了以下幾點(diǎn)建議：熟記常用網(wǎng)站域名，打開(kāi)電子商務(wù)網(wǎng)頁(yè)時(shí)，確認(rèn)打開(kāi)的網(wǎng)頁(yè)域名;不在銀行官網(wǎng)以外的其他網(wǎng)址輸入銀行卡號(hào)和密碼;對(duì)于手機(jī)接收到的驗(yàn)證碼等短信，要仔細(xì)閱讀內(nèi)容，并且不要泄露給任何第三方。

新興電商網(wǎng)站成黑客目標(biāo)

如今，雙十一購(gòu)物狂歡早已不再是淘寶、京東的專利，各種類(lèi)型的電商網(wǎng)站都紛紛參與其中。雙十一當(dāng)天，全國(guó)P2P網(wǎng)貸的日成交額高達(dá)22.8億元，同比增長(zhǎng)500%;易車(chē)網(wǎng)11日訂單總量超過(guò)53萬(wàn)，超過(guò)去年訂購(gòu)數(shù)的5倍……不過(guò)，相比淘寶、京東、蘇寧易購(gòu)等大型電子商務(wù)網(wǎng)站，這些電商企業(yè)在網(wǎng)站性能和安全防護(hù)方面都或多或少存在漏洞。

從性能上看，安全寶監(jiān)測(cè)數(shù)據(jù)顯示，11月11日4:00、11:00、20:00和22:00等幾個(gè)時(shí)間點(diǎn)，多個(gè)電商網(wǎng)站的首屏訪問(wèn)時(shí)間明顯延長(zhǎng)，訪問(wèn)速度減慢。而在這些時(shí)間點(diǎn)上，網(wǎng)站的可用性下降，網(wǎng)站首頁(yè)的訪問(wèn)時(shí)間大幅延長(zhǎng)，會(huì)嚴(yán)重影響用戶體驗(yàn)。

從安全的角度看，雙十一當(dāng)天各類(lèi)電商遭受的攻擊不計(jì)其數(shù)。易車(chē)電商平臺(tái)11日零點(diǎn)就遭遇攻擊事件，此后的15分鐘用戶訪問(wèn)受到影響。安全寶的某互聯(lián)網(wǎng)金融客戶當(dāng)天累計(jì)遭受攻擊11752次，來(lái)自中國(guó)、美國(guó)等39個(gè)國(guó)家和地區(qū)的攻擊者對(duì)系統(tǒng)進(jìn)行了全面攻擊嘗試。劉璇告訴記者，除了利用傳統(tǒng)的SQL注入攻擊以外，這些攻擊者還利用了時(shí)下最熱門(mén)的漏洞，如bash漏洞、心臟出血攻擊、Struts框架攻擊等。

如果缺乏實(shí)時(shí)有效的防護(hù)，網(wǎng)站很容易被攻陷。而安全寶通過(guò)Hour Glass引擎對(duì)網(wǎng)站訪問(wèn)流量進(jìn)行實(shí)時(shí)分析、統(tǒng)計(jì)并在第一時(shí)間攔截攻擊數(shù)據(jù)，同時(shí)利用大數(shù)據(jù)分析系統(tǒng)深入挖掘訪問(wèn)行為、疑似攻擊行為，通過(guò)安全行為分析系統(tǒng)分發(fā)到安全專家手中，進(jìn)行深入分析和驗(yàn)證。一旦確定為攻擊行為，該系統(tǒng)會(huì)在第一時(shí)間生成新的防護(hù)規(guī)則并迅速上線，為網(wǎng)站提供及時(shí)防御。這對(duì)于防御當(dāng)前流行的0day漏洞攻擊十分有效。

雙十二來(lái)襲，你準(zhǔn)備好了嗎?

雙十一剛剛過(guò)去，雙十二即將來(lái)臨，與淘寶、京東不同的是，中小型電子商務(wù)網(wǎng)站在安全防護(hù)和網(wǎng)站性能建設(shè)方面該如何進(jìn)行完善，以應(yīng)對(duì)雙十二新一輪的購(gòu)物潮?對(duì)此，安全寶專家給出詳細(xì)的建議：

在安全方面，劉璇認(rèn)為，電商網(wǎng)站在日常維護(hù)中應(yīng)該將安全防護(hù)作為運(yùn)維的重點(diǎn)：

一是嚴(yán)格控制上傳文件的權(quán)限，防止黑客上傳惡意程序；

二是增強(qiáng)網(wǎng)站開(kāi)發(fā)者的安全意識(shí)，避免在網(wǎng)站中引入過(guò)多漏洞，網(wǎng)站應(yīng)對(duì)用戶輸入的所有數(shù)據(jù)格式和內(nèi)容的有效性進(jìn)行檢查；

三是通過(guò)防火墻等訪問(wèn)控制設(shè)備對(duì)外網(wǎng)屏蔽不必需的服務(wù)，減少被黑客入侵的可能性;四是嚴(yán)格管理生產(chǎn)服務(wù)器的登錄口令，避免泄露。

在性能方面，垂直電商、中小型電商應(yīng)該從以下三個(gè)方面做好準(zhǔn)備：

一是應(yīng)用CDN加速服務(wù)，增強(qiáng)網(wǎng)站本身的服務(wù)性能。動(dòng)態(tài)資源利用鏈路訪問(wèn)優(yōu)化加速，靜態(tài)資源利用云網(wǎng)絡(luò)的分布式緩存內(nèi)容優(yōu)化加速，不但在全國(guó)范圍內(nèi)負(fù)載均衡了訪問(wèn)流量，而且提高了網(wǎng)站并發(fā)服務(wù)能力，進(jìn)而提升網(wǎng)站的用戶承載量，改善網(wǎng)站的訪問(wèn)體驗(yàn)。

二是量化CDN服務(wù)效果。加速技術(shù)、云網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)商等各種網(wǎng)站服務(wù)策略的調(diào)整，都會(huì)對(duì)CDN網(wǎng)絡(luò)的服務(wù)效果產(chǎn)生影響，因此定期量化網(wǎng)站加速效果有助于保持網(wǎng)站的最佳服務(wù)狀態(tài)。

三是采用多CDN服務(wù)方式。同時(shí)使用多個(gè)廠商的CDN服務(wù)，不但有助于體驗(yàn)不同CDN的加速效果，綜合運(yùn)用各CDN的優(yōu)勢(shì)還可以在出現(xiàn)故障時(shí)快速切換服務(wù)，保障網(wǎng)站整體的可用性。