电子商务面临的潜在安全威胁有哪些
电子商务面临的潜在安全威胁有以下这些:
信息泄露:信息泄露是指信息被泄露或透露给某个非授权的人或实体。这种威胁主要来自于窃听、搭线或其他更加复杂的信息探测攻击。
非法使用:非法使用是指某一资源被某个非授权的人或以某一非授权的方式使用。例如,侵入某个计算机系统的攻击者会利用这一系统作为盗用系统服务的基点或者作为入侵其他系统的出发点。
未进行操作系统相关安全配置:不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。
网络钓鱼:电子邮件或其他网络钓鱼策略用于窃取登录凭证,访问加密平台。与任何其他系统一样,登录凭据盗窃可以提供进入个人加密帐户的途径。网络钓鱼也可以被用作攻击加密平台提供商的特权管理账户的途径。
交易所黑客:利用加密交易所平台中安全漏洞的外部黑客,例如错误配置漏洞。
恶意的内部行为:大多数企业都被内部恶意人员的问题所困扰,在云计算环境下,这种威胁进一步增加。在此场景下,所有IT设备或数据被集中管理,内部人员拥有的权限能够让其获取敏感数据甚至整个云计算服务平台的完全控制权,并且难以被发现。对企业存在威胁的恶意内部人员可能是那些有进入企业网络、系统、数据库权限的在任或离任员工,第三方服务提供商或者其他业务伙伴,其任何的恶意行为都有可能导致企业系统和数据的机密性、完整性和可用性受损。
拒绝服务攻击:随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。
安全产品使用不当:虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
伪装:伪装是指入侵者能够伪装成其他实体或授权用户,对机密信息进行访问。黑客大多是采用伪装、欺骗或假冒攻击的。例如,IP“欺诈”行为就是假冒网络中合法主机的身份,来获取对内部网络中计算机的访问权限。
可以通过以下措施来加强网络安全,减少被攻击的可能性:
加强设施管理:建立健全安全管理制度,防止非法用户进入计算机控制室和各种非法行为的发生。注重在保护计算机系统、网络服务器、打印机等硬件实体和通信线路免受自然灾害、人为破坏和搭线攻击。验证用户的身份和使用权限,防止用户越权操作,确保计算机网络系统实体安全。
强化访问控制策略:访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非法访问。各种安全策略必须相互配合才能真正起到保护作用,但访问控制是保证网络安全最重要的核心策略之一。
建立完善的备份及恢复机制:为了防止存储设备的异常损坏,可采用由热插拔SCSI硬盘所组成的磁盘容错阵列,以RAID5的方式进行系统的实时热备份。同时,建立强大的数据库触发器和恢复重要数据的操作以及更新任务,确保在任何情况下使重要数据均能最大限度地得到恢复。
建立安全管理机构:安全管理机构的健全与否,直接关系到一个计算机系统的安全。其管理机构由安全、审计、系统分析、软硬件、通信、保安等有关人员组成。
保护应用安全:主要针对特定应用(如web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施,虽然有些防护措施可能是网络安全业务的一种替代或者重叠,如web浏览器和web服务器再应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特性安全要求。
保护系统安全:指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等相关联,涉及网络支付结算的系统安全包含以下措施。