在线礼品商店安全策略报告.doc

在线礼品商店安全策略报告 在线礼品商店作为一种新型电子商务模式正在得以发展。而计算机网络作为信息社会的基础设施已经渗透到社会的各个方面，与此同时，网络安全问题也日益突出。如何提高在线商店的安全性，由计算机威胁的来源入手提出应对计划策略如下：l 尽量关闭不需要的组件和服务程序：在默认设置下，系统往往允许使用很多不必要而且很可能暴露安全漏洞的端口、服务和协议；l 建立防火墙、入侵检测、安全扫描和防病毒系统等安全设备；l 用户授权管理：以最小权限原则对网络用户划分数据库等应用系统操作权限，并做记录；l 安全防护记录：记录重大网络安全事件，对网络设备和安全系统进行日志分析，并提出修复意见；定期对系统运行、用户操作等进行安全评估，提交网络安全报告。l 安全策略的集中化管理：任何企业都要确保在涉及到IT安全问题时，必须使用一个独立的称职的团队。企业内部的安全漏洞通常都是由于操作失误造成的，比如系统维护人员的临时管理权限过大，甚至可以为Exchange服务器添加对外开放的端口。或者密码策略过于简单，只是部门间的电脑密码不同，而同一部门中所有电脑的登陆密码都是一样的，并且再也不会修改。l 采用虚拟终端管理系统，实现高效运维管理：使用户不仅仅依靠服务器端进行计算，同时也利用终端自身的运算能力，将数据计算压力分散以达到最优的效果。而在数据存储方面，是存储于服务器端还是存储于个人终端都完全可控。l 网店信息安全，加强信息的保密性、完整性、有效性。网店信息安全是一个系统性的工作，通过网站安全认证不仅可以打消顾客疑虑，建立顾客信任，保护顾客信息资料，同时也可以对网店信息漏洞进行扫描，避免黑客入侵，全方位对网店安全进行可靠的监控和保护。l 将企业的网站进行SSL加密，使用户确信自己访问的是官方网站而不是怀疑为钓鱼网站。l 做好机密数据管理工作，使用访问控制机制，控制内部员工对于机密数据的访问权限，减少机密的扩散风险。l 应建立物流信息的安全，加大力度防护物流信息的安全，大力发展现代化物流，电子商务才能得到更好的发展。l 加强网店安全意识，尽力办理安全认证证书。如果外贸商家能早一点认识到网店信息安全的重要性，进行网店安全认证，由此树立顾客对网店的信任，便可获得更多的销量。 总之，计算机威胁不仅来自外部威胁也来自内部威胁，公司只有两方面同时进行防护，才能够保障在线商店的网络攻击达到最低。其次，对于这一类电子商务，计算机威胁的主要来源是什么？以各种非法手段企图入侵计算机网络的黑客，其恶意攻击构成电子商务系统中网络安全的最大威胁，已经成为物流信息安全的最大隐患。l 获取口令 有三种方法：一是精心伪造一个登录页面，并嵌入到相关网页上，当商户键入登录信息(用户名和密码等)后，将这些信息传送到黑客的主机，然后关闭页面给出“系统故障”等提示，要求商户重新登录，此后才出现真正的登录页面。二是通过网络监听得到商户口令，监听者往往能够获得其所在网段的所有用户账号和口令，对LAN威胁巨大。三是知道商户账号后利用一些专门软件强行破解商户口令。 l 邮件炸弹 用伪造的IP地址和电子邮件地址向商户信箱发送无数封内容相同的恶意邮件，挤满邮箱，把正常邮件冲掉。同时占用大量网络资源，导致网路阻塞，甚至使电子邮件服务器瘫痪。l 特洛伊木马 在商户的电脑中隐藏一个会在系统启动时运行的程序，采用服务器/客户机的运行方式，在上网时控制商户电脑，窃取口令、浏览商户的驱动器、修改商户文件和登录注册表等。最后，如何防御来自内部的威胁？l 访问控制技术访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛，包括网络登录控制、网络使用权限控制、目录级安全控制，以及属性安全控制等多种手段。l 入侵检测技术入侵检测技术是网络安全技术和信息技术结合的产物。使用入侵检测技术可以实时监视网络系统的某些区域，当这些区域受到攻击时，能够及时检测和立即响应。入侵检测有动态和静态之分，动态检测用于预防和审计，静态检测用于恢复和评估。l 安