摘要: 云时代,网络基础设施更加复杂,其上运行的业务及数据更加重要。无论是电商、互联网、医疗或是金融、教育等行业,均离不开安全服务的保驾护航,只有安全工作有了前提保障,其他的基础活动的开展才有了保障。
本文分享自华为云社区《618技术特辑(四)疯狂剁手的同时,电商隐私安全你注意到了吗?》,原文作者:技术火炬手 。
引言:
在安全界有一条很著名的法则——1941年美国著名安全工程师海因里希提出来的,他当时统计了55万起机械事故,发现死亡或重伤、轻伤或故障,以及无伤害事故的比例为1:29:300,这个法则同样适用于云安全。也就是说每一个安全事件发生的背后都有29次成功的入侵,背后还有300多个安全隐患。安全事件的发生,它同样有一个冰山上跟冰山下的认知。在冰山上是用户能够看到的产品和服务;在冰山下,则需提供更多的安全能力在承载着用户的安全。
又是一年618狂欢,每位消费者在比价、加购物车的时候,每位商家忙上新、搞活动的时候,都会忽略一些至关重要的电商安全问题。诸如恶意攻击、数据窃取、木马攻击等各类涉及信息安全的攻击行为。安全问题平时容易被忽视,但一旦出现则后患无穷。
今天,华为云带大家深度分析了解电商各类场景下的安全问题以及应当如何应对。能否及时发现攻击行为并将危险拒之门外,是体现安全能力的核心指标。在数据时代,我们不仅要关注下单的畅快、销售额的增长,更应该建立起完善的安全防御体系。
主机恶意攻击:检测黑客入侵,及时预警
电商在618大促期间,会有数以万计的用户下单信息存储在服务器中。如果没有安全防护体系,黑客利用密码破解、社工攻击或漏洞攻击等手段入侵服务器数据库,获取大量数据资产。电商在被攻击的过程中,业务会被中断。大量恶意文件占用系统资源,也会导致服务器不能正常运行,影响用户的购买下单的操作。
云主机承载着关键数据及核心业务系统,一旦受到攻击,整个信息系统中最具价值的部分将面临失窃和被破坏的风险,这个时候,电商平台为保障主机安全,因此需要构建以计算环境安全为核心的纵深防御体系,加强主动评估风险及主动预警响应能力。
华为云企业主机安全(Host Security Service,HSS)以全端统管的策略通过主机安全的黑客入侵行为检测功能,包括密码破解、恶意请求、木马查杀等入侵手段的智能检测,快速的发现黑客对企业服务器的渗透扫描行为,及时预警。
HSS首先会在登录的过程中结合短信或邮件验证码,对云服务器登录行为进行二次认证;当检测出主机有异地登录行为,会及时告警;如果发现账户被暴破攻击后,会精准地封锁攻击源IP24小时,禁止其再次登录,这样就能阻止黑客再次发起攻击。
网页劫持、钓鱼风险:就缺一道应用防火墙
许多企业的关键业务依赖于Web应用,而互联网75%的攻击都集中在应用层。以电商来说,在618、双十一期间经常会举办秒杀活动,一些不法攻击者会借助代理服务器生成指向受害主机的合法请求,对Web服务器进行大量访问请求,导致正常用户无法正常访问。最终就会出现秒杀活动一开始,电商页面进去就是404无法访问的现象。
网页被篡改,访问被钓鱼、一做活动就宕机…其实,这些背后都是因为Web应用的防护没有做到位。
针对Web应用防护,Web应用防火墙可用于针对Web网站的常见攻击进行检测和阻断,支持识别并阻拦常见的Web攻击。帮助用户应对网站入侵、漏洞利用、网页篡改、后门植入、CC攻击等安全问题,为企业Web业务安全运营保驾护航。
华为云推出的Web应用防火墙正是这样一款产品,它能够帮助企业分析Web攻击行为和对具体业务场景设置动态防护策略,提供独享防护引擎,智能防御CC功能在第一时间开启。在不断对抗过程中,基于灵活的自定义策略配置,摸清黑产的攻击策略,将其置之死地。同时帮助客户梳理清楚业务逻辑,为业务调整优化提供依据。
华为云VMALL商城的每一次手机抢购活动能够有丝滑般的体验,秘诀之一就是因为有它。
电商隐私安全:防止数据泄露,全生命周期守护
我们都知道,数据是企业的核心信息,数据存储的关键位置仍然在数据库中。而现状则是,大量互联互通的企业环境中,数据库普遍缺乏有效安全防护。一些不法分子会利用拖库洗库撞库的方式攻击数据库盗取信息。
在攻击数据库的过程中,他们会先用渗透攻击查找网站漏洞,再找注入位置。找到Web虚拟目录,上传ASP脚本,获取数据库的管理权限。把数据库里的重要信息都导出来,最后拿到黑市上进行售卖,或者进行勒索。
数据库安全防御面临着传统防护薄弱、外部攻击猖狂、内部违规难防等问题。我们知道电商企业的数据不仅包含商品信息,还有大量的注册用户、用户行为等相关隐私数据,如果出现数据泄露带来的不只有业务损失。
数据隐私需要存储和流通,但是不能“裸奔”。数据金矿如何守?云上数据可以通过密钥技术、新算法和加密算法等身份验证手段来保护数据隐私,同时对数据本身增强了保护。数据传输、存储及处理的各个阶段对数据进行加密,利用云技术对信息进行处理,实现信息隐蔽,保护用户数据安全。华为云也有三招可以来帮您!
数据库安全服务(Database Security Service,DBSS),可以提供基于反向代理及机器学习机制,提供敏感数据发现、数据脱敏、数据库审计和防注入攻击等功能,保障云上数据库的安全。
数据加密服务(Data Encryption Workshop, DEW),提供专属加密、密钥管理、密钥对管理功能,让你免除数据泄露忧愁。
数据安全中心DSC,作为新一代云原生数据安全平台围绕数据采集、传输、存储、处理使用交换和销毁各个阶段构建保护数据全生命周期安全。
云时代,网络基础设施更加复杂,其上运行的业务及数据更加重要。无论是电商、互联网、医疗或是金融、教育等行业,均离不开安全服务的保驾护航,只有安全工作有了前提保障,其他的基础活动的开展才有了保障。
618技术特辑(一)不知不觉超预算3倍,你为何买买买停不下来?如果你想了解为什么每当大促的时候,我们的钱包总是被掏空?这背后到底是大家自制力不够,还是电商平台太会读懂人心,我们不妨从技术维度,抽丝剥茧一探究竟。
618技术特辑(二)几百万人同时下单的秒杀,为什么越来越容易抢到了?当消费者被电商的推荐系统虏获后,他们又是如何保证大促期间,你能随时随地买到自己心仪的商品,以及上亿的交易数据是如何有序地流通,保证你既能抢到,也能及时收到货呢?这篇文章为你一一解密。
618技术特辑(三)直播带货王,“OMG买它”的背后,为什么是一连串技术挑战?动辄几十上百万人同时在线的直播间,宝贝链接一旦上架,需要秒级到达消费者。让所有人能同时看到链接,公平的去抢购,并且还要确保系统运行的稳定,这是一个非常大的考验。背后到底是什么样的技术加持,过程中又遇到了哪些挑战?让我们来一探究竟。
