电子商务被瞄准:如何让您的网站安全

2014/09/03

如果您有一个电子商务网站,那么您就是被黑客瞄准的目标。为什么呢?因为您是那只让黑客们都垂涎有金蛋的鹅。您处理的正是他们想要偷窃和利用的客户信用卡和个人信息。

他们通常会通过两种方法来偷窃:1。在您客户浏览器和您的网站之间拦截消息 2。侵入您的网络,使用恶意软件感染您的网页。在某些情况下,他们会闯入您的数据库获取客户数据。您可以追究发生在客户数据的责任,但是您在客户中的声誉损害可能比经济损失更加严重。受感染的页面不仅损害了客户,还需要更长的时间来加载。根据Aberdeen集团,有57%的用户会放弃网站如果那个网页加载时间超过三秒,而在10个人之中就有8个用户是不会回到该网站如果他们有了不愉快的经历。

如果您要保护您的业务,您需要高度重视网站的安全和保护客户的措施。这里有6个重要却往往被忽略的步骤你需要注意的:

 

1。使用增强版SSL:

越来越多的消费者在寻找值得信赖的商家。增强型验证(EV) SSL正是他们所需要的。每一个涉及到金钱或个人信息的网站都需要使用由SSL证书提供的安全套接字层。它们提供访问者和网站之间一个安全且加密的连接。然而,并非所有的证书都提供同样的安全级别给您的客户。域名证书只验证您是否是申请域名的所有者。最高安全级别的证书是增强型验证(EV)证书,您会持续的被验证是一个值得信赖的组织。EV证书的成本比其他证书更高,但是却非常值得。越来越多的消费者意识到在线交易的风险,所以EV可以告诉您的客户,您是值得信赖的。

 

2。使用PCI和漏洞扫描服务:

您必须在业务受到破坏之前,主动地识别并解决安全问题。许多网站经营者认为SSL就是他们所需要来确保他们的网站安全。SSL提供高强度水平的保护,确保您服务器和网站访问者的浏览器之间通信的安全。然而,它却不能防止网络被破坏和您的网页受到恶意软件或恶意脚本的感染。不幸的是,由于考虑到性能问题,web主机不会进行像您的工作站和网络服务器使用的恶意软件扫描。它会破坏到您网站的访问。当然要保护您网站以免受到破坏还是取决于您。PCI和漏洞扫描服务将定期扫描您的网站,以找出任何能导致您成为不符合PaymentCard行业安全要求,和其他能威胁您客户的问题。PCI和漏洞扫描通常都是被捆绑在一起的,但是却有不同的功能。PCI扫描,如科摩多的HackerGuardian,就是旨在帮您满足每季度的PCI合规性报告要求。要不然,您就会遭巨额惩罚,甚至暂停您使用信用卡。而漏洞扫描,如科摩多的Web检查器,就提供识别那些受感染页面下载恶意软件到您客户电脑的问题。Web检查器也监控那些被举报是存有恶意和漏洞的黑名单网站。搜索引擎如谷歌将阻止这样的网站出现在搜索结果。如果消费者不能找到您的网站,那么您的网站访问率就一定下降。

3。需要白帽

使用渗透测试,比坏人领先一步:如果您在自己的网络运行您的网站,那么您的网站安全就取决于您网络安全的程度。在网络安全的世界里,我们有时会称那些带邪恶动机侵入电脑网络的人为“黑帽黑客”。如果一个组织要,并需要做更进一步努力来确保他们的安全不受黑帽影响,他们可以叫白帽来进行网络渗透测试。网络渗透测试,又名Pentesting, 模拟黑帽黑客的手法进行相同的活动。它们通过人工模拟黑客攻击,测试网络和网站是否存在可危及敏感数据的安全漏洞。白帽测试人员识别网络基础设施的关键攻击路径,并提供建议消除这些威胁。他们试图绕过安全弱点,以确定究竟基础设施如何和在什么地方容易被破坏。他们使用的是先进的黑客攻击和社会工程技术和最新的工具。如果您的网络出现漏洞,坏人最终会发现,那么您的客户和您的声誉就会遭到很严重的后果。所以,最好是让白帽先发现您的问题。

4。使用多因素身份验证

在1994年,当网络首次引入用于商业目的时,使用用户ID和密码验证似乎已经很足够了。但对于现在来说,这是不足确保您在网上的安全。尽管已经增强了SSL和网络安全的进步,黑客已经证明他们能拦截用户ID和密码的能力。有2种常用的方法。首先,黑客会使用“中间人“攻击,将它插入在浏览器和web服务器之间,捕捉两者之间的通信。如果web服务器使用增强版SSL,该网络的使用将发出警报说明有问题出现,但这个是假设网络用户有特别注意。其次是如果黑客能够利用恶意软件感染您的网站,那么他也可以将键盘记录器和嗅探程序下载到用户的计算机上。然后,黑客可以监控用户在互联网上的活动,并在他们登录到受密码保护的网站时捕捉他们的登录凭据。即时您已经有了上述所说明的网络防护措施,访问者也有可能手其他网站感染。您可能有注意到,金融机构如您的银行经济公司,不只是完全依赖用户明和密码。如果您改变您通常登录的计算机,然后添加额外一层验证,确保登录的人是你。这就是所谓的“多因素身份验证”,有时也被称为“双因素验证”。例如:mybank将验证码发送到我的电子邮件地址或电话号码。我就可以使用该验证码登录。除非黑客也访问我的邮箱或手机,否则,我是唯一的一个可以获得访问的。

5。信任签章很重要。请使用:

信任签章会增加您的转换率和回头客。信任欠账是一个由第三方办法的一个图像,说明您的网站已经达到一定的安全标准和条件,是一个值得信赖的网站。研究表示,消费者比较有可能在那些展示信任签章的网站购物。它们会增加您的转换率和回头客。例如,在颁发SSL证书的证书颁发机构的网站信任签章,证明他们已经符合最高标准,并使用证书颁发机构最佳的实践来操作。如果您是使用增强型验证(EV)SSL,您将被授权展示信任签章在您的网站来告诉您的访问者,让他们可以感到安全的与您做生意。另人惊讶的是,有大量已经购买了EV SSL的网站,并没有在自己的网站中显示他们的签章。在现今的社会,客户需要您提供给他们在网上的保障。

6。使用托管的DNS:

使用托管DNS服务可以提高您的网络和网站性能,病体工额外的安全性。当您在互联网上沟通时,让人容易理解的域名必须被翻译成相关的IP地址,以识别在网上的每一架计算机。该翻译是由Internet服务提供商或由公司自己设置的域名服务器(DNS)完成的。如果您是使用Internet服务提供商的DNS,那么您就无法控制网站,而且您的网站性能也不稳定。如果您创建自己的DNS,您不能在共享服务器上建立网站,而且您的网站安全也只取决于网络。此外,它能够24/7全天候运行,并提供服务。所以建议与托管DNS服务登记来托管您的DNS。这些是已经建立了他们自己网络DNS服务器的公司,并增加新功能,以改善性能,安全性和防护功能。DNS性能在决定网页加载速度中是非常重要的。例如:以下这些是DNS.com所提供的额外功能是您ISP没有的:

》安全性:防止恶意软件、拒绝服务攻击(DOS),拦截网络钓鱼,预防黑名单等。

》内容过滤

》100% SLA正常运行时间

》管理DNS和DNS记录的web界面

电子商务的安全应该从选择正确的SSL证书,但却不止这一点。您必须保护您的网站和网络以确保您的客户和业务得到保障。

Tags:

Write a comment

Name
Comment