网络攻击威胁在线交易

　　截至目前，已有40多个国家颁布了网络空间国家安全战略，仅美国就颁布了40多份与网络安全有关的文件。然而就亚太区而言，在线交易数量的大幅增长丝毫没有减缓迹象。以零售业为例，Forrester Research预测，在中国、印度、日本、韩国和澳大利亚等亚太区五大市场的电子商务规模已接近美国和西欧在线零售业务的总额。预期到2018年，这五大市场的在线零售额将达到8，580亿美元，是2013年的两倍多。然而，与此同时，复杂的网络犯罪也在以指数增长。

　　任何收集个人信息或财务信息的在线交易都面临被侵袭的危险。有组织的网络罪犯不断寻找更聪明的方式来攻破安全系统，从而盗取信息。腾讯桌面安全产品部的副总经理吴波曾介绍说，纵观安全问题，热点是指技术驱动到大规模的强力驱动，再到小范围打击，现在从高技术对抗变成了强运营快速多变的状况。

　　另外一个让人不安的趋势是，企业经常在最需要安全防护的时候放松警惕。许多企业为了避免主要系统中断，选择暂停对IT安全系统的变更和更新，形成“IT封锁”。结果，防护变得更加脆弱，并有可能面临灾难性的后果。正如中央财经大学法学院副院长吴韬对个人数据安全核心问题的看法，这是在整个社会、经济、人的生存状态都已经被互联网化的时候，个人数据商业化利用和隐私权保护的平衡问题。个人数据被使用时，对于数据所有人来说，根本不了解谁掌握了数据，通过何种方式掌握。无论规模大小，任何需要收集客户机密信息的企业都必须确保合规并达到可接受的安全标准，以尽可能减少欺诈和网络犯罪。

　　企业还需要明白，如果出现错误，其声誉和品牌形象将面临风险。对于在线交易，客户希望自己的信息得到良好的保护，而他们对信任的品牌和机构更有特别高的期望。为此，企业更应当积极地保护他们的系统，避免自己的信誉和销售受到严重影响。

　　打击网络犯罪需要综合的安全措施，包括主动规划和风险管理策略，以破解攻击的整个生命周期。这意味着加强投资，在应用层以及硬件和软件接口进行预防和实时威胁检测。在发现攻击或预测到潜在攻击时，企业的应对措施非常重要，需要立即做出反应以遏制攻击。

　　企业需要确保他们拥有如下防御手段以抵挡网络攻击：在信任的同时验证——确保用户使用双因素认证或其它有效的认证方法登录，或进行账户访问验证；辩识威胁和漏洞——扫描应用和网络以预防入侵。这应当包括修补已知的漏洞、更新企业防火墙和防入侵系统，以及定期进行渗透测试以确保漏洞已被修复；使用网络应用扫描与监测——在线交易的好处是24小时服务，但这也意味着需要全天候的安全监测。因为持续的安全测试对于移动应用尤为重要。

　　各种原因都可能造成安全事故，企业很难预防所有入侵。但通过综合的方法，可以降低风险和安全相关的成本，并更好地控制局势。在当今高度复杂和有组织网络犯罪的情况下，任何电子商务企业都难以确保安全。企业不能奢望完全消除网络攻击的风险，而又不牺牲业务运营的重要功能。安全就是持续地应对不断变化的技术和新威胁，以及平衡安全措施和运营需求的过程。通过将网络犯罪看作重大业务威胁并相应地制定计划，企业可以大幅减少受攻击范围、降低风险并预防攻击带来的危害。

　　谢少毅

关注读览天下微信， 100万篇深度好文， 等你来看……