成功开启你的电商之路 网络安全生存之道
迈克菲 发表于:13年03月27日 09:39 [来稿] DOIT.com.cn
现如今炙手可热的淘宝网,其2012年年成交额已突破1万亿。在引发全民抢购的“双11”热潮当中,支付宝当天成交额便达到191亿。了解了这些,就不难理解为什么有如此多的人希望通过网上开店在这块“宝地”掘金。对于一个卖家来说,开设一个网店非常容易,但与此同时,安全才是其长期成功的重要保障。
除了要守法经营和精心“打扮”自己的网店外,新的电子商务商家们还需要采取一些其他的措施为客户提供一个安全、可靠的购物环境。接下来,让我们探讨一下确保在线零售商能够生存下去的六大安全相关法则。
后台安全是基础
确保网站后台系统安全无忧是电子商务取得成功的第一步。尤其是在初始阶段,一个小小的数据事故就可能让你的整个业务毁于一旦,甚至有的时候,你的银行账户也难逃厄运。制定全面的安全计划,部署防火墙和保护 Web 应用程序就成为最重要的出发点之一。
作为第一防线,将攻击者拒之门外使之难以访问重要信息,防火墙起着至关重要的作用。一旦这道防线部署完毕,你还必须为 Web 应用程序或者你的网站本身添加更多一层的安全 ——保护联系人、登录和搜索查询等信息。Web 应用程序防火墙可确保你的电子商务环境有效防范诸如 SQL 注入(结构化查询语言)和跨站脚本 (XSS) 之类的应用程序级攻击。
加密是根本
与后台安全一样,对进入你网站的敏感数据及时进行加密是另一个重要的安全举措。无论你是否选择与第三方支付服务提供商合作来处理业务,所有客户数据(例如密码和联系信息等)在存储到你的服务器之前均应加密。
除此之外,另一层强制保护是安全套接层 (Secure Socket Layer, SSL) 会话加密,这一安全保护应涵盖所有财务业务。为此,你必须购买 SSL 认证服务并且每一至两年续订一次。SSL 认证采用以“ 00https ”开头的网址形式表示,该认证可确保支付数据在交易的每个环节均被加密,以确保网络犯罪分子不会“染指”此类数据。
漏洞监控
虽然网商必须对其客户的安全负责,但并不一定要孤军奋战。与安全厂商合作是防范威胁攻击的关键所在。安全厂商能够提供漏洞扫描和其他服务来帮助你发现你可能疏漏的薄弱环节。根据一项对 300 家公司进行的调查,每个网站发现的漏洞数量平均为 35 个。可想而知,有多少网站根本毫无安全可言。
在初始阶段让你为安全多花一分钱可能都很难,不过,长远看,因无法发现和修补漏洞可能导致的代价更加高昂。事实上,大部分的网商们往往没有能力发现重大安全问题,对于小型零售商而言,一个严重的安全漏洞就可能给商家招致灭顶之灾。
部署类似 McAfee SECURE™ 这样的网站扫描服务则可通过每日扫描以查找数以千计的漏洞来帮助网商避免成为网络威胁的牺牲品。
确保 PCI 合规
通过整合上述所有安全措施,你的业务就能踏上实现 PCI 合规的正轨,PCI 是电子支付领域强制遵循的法规。随着越来越多的业务通过网络进行,愈加严格的信用卡安全要求正成为电子商务的先决条件,遵守 PCI 数据安全标准 (PCI DSS) 是最佳起点。
不过,对这些法规的遵从并不普遍,因此一些中小型网商往往对此置若罔闻。但不遵守这些法规不仅会将你的网店和客户至于风险境地,还可能导致重罚和其他严重后果。
精选你的支付服务提供商
如果你决定将支付处理外包,谨记绝非一包了事。许多新晋商家并未意识到保护客户财务信息和保持 PCI 合规始终是不可推卸的责任,即便将支付处理和其他功能外包给第三方依然如此。
除了确保业务遵从 PCI DSS,还必须对所有外包服务提供商的合规情况进行评估。因为即使部分或整体业务是由另一家公司来承担,一旦出现数据泄露事件,总账还是要算到商家头上。因此切记,一定要了解你要外包来处理持卡人数据的服务提供商如何处理此类数据以及数据的“行踪”,这样才能做到万无一失。
及时更新你的网站
一旦完成网站设立并且上述措施已就位,最后一步就是维护。商家往往未能及时更新网站和升级所有支持软件,这会带来非常严重的后果。未及时更新软件会导致向用户以及无数其他站点传播的恶意软件感染。
疏于更新网站不仅是网商的问题,根据 Stop Badware 进行的“受攻击网站”(Compromised Websites) 调查,20% 的被调查者承认未定期更新软件。根据你的电子商务网站托管位置的不同,更新流程各异,不过,无论是使用最新版本的软件还是开源平台,都务必要确保一切都是最新的。
网店成功的因素有很多,而安全绝对是保持成功的必要条件。不能确保网站安全会让你的网店成为黑客手中“待宰的羔羊”,有些数据泄露可能是不可避免的,而多数此类事件是可以规避的。
除了负责任外,确立好的安全做法以及遵从所有相关法规将向客户展现你对安全的重视程度以及为他们提供尽可能最佳的电子商务体验的良好愿望。需要牢记的是,让客户安心是业务成功的关键,而安全则是打造这种客商关系的必由之路。
关于迈克菲(McAfee)
Intel Corporation(纳斯达克股票代码:INTC)全资子公司迈克菲 (McAfee) 致力于为企业,公共机构以及家庭用户安全体验网络服务。迈克菲能为全球范围内的系统、网络和移动设备提供具有前瞻性、且经实践验证的解决方案和服务。借助于安全互联(Security Connected)战略以及硬件强化型安全和独特的全球威胁智能(Global Threat Intelligence)网络,迈克菲始终专注于为其客户提供有力的安全保护。https://www.mcafee.com/cn/