文章原名“10 Ways to keep hackers’ hands off your e-commerce website”,转载自GoDaddy,com,由.shop新顶级域名编译。


骇客总是想方设法地入侵网站。所以作为一个电商网站设计师或开发员,你一定要把网络安全作为首要任务,保护消费者的个人身份信息。一个身份窃贼总是在想方设法地得到你的信用卡号、身份证号以及其他保密的信息数据。你怎么样才能保证你消费者的安全呢?从这10个对抗骇客入侵和内部滥用的方法入手吧:

不要收集不必要的消费者信息 

骇客和身份窃贼不能偷你没有的东西。所以,不要在电商网站上收集不是必要的消费者私人信息。处理信用卡的时候,采用一个加密的付费渠道,这样你的服务器就不需要查看到客户的信用卡数据。这样可能在付费时为消费者带来一些不便,但是它的好处远远超过于他们信用卡被盗的风险。 这样还确保了骇客无法远程访问您保留的任何私人数据。

更新您的电子商务解决方案的SSL / TLS以加密浏览器通信

你必须加密网站和浏览器之间的保密通信。但是要防范骇客破解代码,还是要维持最新的算法,如最新版的SSL或TLS. 尽管有人把TLS看作是SSL,他们还是有技术性上的区别,不过你也不需要担心。你最重要的任务是避免使用容易受侵的加密版本。 

定期测试电商网站的漏洞 

信用卡公司要求商家定期检测他们的电商网站以满足一定的安全标准。但是仅仅是遵守了这些法规还不够,你最好是定时测试你的电商网站以组织骇客造成任何损害。这包括:

定期扫描:定期检测你的网站,并测试所有的链接,以保证身份窃贼和骇客没有将恶意软件一如广告、图像或第三方提供的内容中。

全面测试:考虑聘请网络安全顾问或正派黑客来识别网站代码中的漏洞。

安全软件:查找有助于识别各种漏洞的网络扫描工具,从夸站点脚本识别(XXS, Cross-site Scriptiong),到发现调试代码内的漏洞个可能是机密数据处于风险中的剩余源代码。

消除危害网络安全的危险软件 

像HTML5这样的现代网站开发代码将有助于消除Java中潜在的漏洞。如果你在重新设计或建立一个新的网站,选择较安全的方式。当你在健网的时候,尽量消除Adobe Flash此类容易受到攻击的软件。如果你必须使用Java或Flash等传统的软件,请确保你定期安装补丁软件,以全包你在使用最安全的版本。

保护网络周界

今天的网络周界总是在改变。 从近年发生的Target超市信息被盗事件说明,有时网络周界存在于您的业务合作伙伴的网络中。很多时候,骇客不仅可从公共互联网访问商家的网站,还可从其他公司的网络入手。网站开发员应该保证网站上的链接具有自己的隔离功能。

例如,商业伙伴们能访问的网络和包含消费者保密信息的网络应该有物理性的隔离。 公司数据应有分层防御,而每一层具有更强的识别、凭证和访问管理限制。

正确配置周界防御

买防火墙很容易,将其调到正确的配置则需要时间和精力。如果你的电商网站是由主机服务商,你的IT员工很有可能无法直接访问网络基础安全设施。这代表你可能要通过协定合约来解决网络安全问题。加上你一定要直接和你的服务商确保定期的监控和测试你的电子商务网站。

  • 数据丢失防护
  • 数据丢失检测
  • APT高级持续性威胁防护
  • 入侵预防服务
  • DDoS防护
  • 名誉保护
  • 防病毒/反恶意软件和欺诈管理服务
加密所有骇客想要的信息 

加密和你商业伙伴的联系,尤其是你的银行之间的对话。你还可以考虑加密你的邮件,而且你不应该用邮件来交流任何潜在的私密信息, 说不定有人就在偷看你的对话。

要信任,更要验证 

我们都希望信任我们的消费者,对吧?但是现今,你还是需要验证任何来自消费者的信息。所以,安装一个地址验证系统,并且要求消费者为每一笔交易输入信用卡验证码。

小心选择主机服务商 

你的主机服务商应该和你一样为你的成功而打算。像Go Daddy一样的顶级主机服务商,为电商网站的顺利进行提供一系列的工具和软件。理想的主机服务商应该是这样的:

  • 至少使用128 AES加密,256更好。
  • 进行定时备份
  • 保留完整的日志
  • 进行常规网络监测
  • 提供书面政策和流程以防漏洞
  • 提供安全紧急情况联系方式

最后,服务商应该向你解释他们的紧急情况处理流程以防自然灾害或漏洞。否则,你不能确信他们在紧急时刻为你伸出援手。

一而再,再而三地清理 

天道酬勤。只要你勤奋地完成以下的三点,骇客和身份盗窃们将无从下手:

  • 一直测试你的电商网站
  • 一旦有问题,马上修复
  • 监控网站,确保问题被彻底铲除

日志文件为你的网站安全提供很好的见解,除非你不花时间寻找异常。网络安全是一个持续的过程,而不是一步登天。 如果你的网站接受信用卡或信贷卡付款,银行将会根据各种考虑,让你每年通过第三方或自主检测网络。初次以外,选择季度测试和持续的日志文件评估以防止入侵和损失数据。

你的客户应该对你在网络安全上下的苦工感到信任,他们依靠你去保护他们的隐私。否则,你会失去他们的订单,更坏的是骇客将会把消费者的信息泄露。