随着自建B2B越来越普及,越来越多医药企业把自建B2B商城作为自己的销售门户:所有商品全部上架,订单都迁移到线上,在商城启用优惠券、积分、支付等,随着时间推移,自建B2B商城沉淀了企业的大量数据资产。
设想一个场景:您拿着一百万现金在路上走的感觉,这就是当前很多B2B商城的状态,没有任何安全措施,数字资产在互联网上裸奔。
下面一起来了解下别人会怎么攻击您的B2B商城?
攻击分为:正面攻击、侧面攻击、内部攻击。
正面攻击
1、抓包破解
比如,您的商城是可以通过IP地址就能访问,意味着你的商城没有进行SSL加密。SSL是一个加密证书,由第三方安全公司颁布,负责对您的商城的访问数据进行加密,避免别人随便一抓包就可以破解进入。
应对措施:为商城的访问加上SSL协议。
2、爬虫抓数据
比如,别人在您的B2B商城放入n个爬虫,就可以通过商城的路由爬到各种数据,说明商城的路由是没有加密的,或者说,门没有上锁。
应对措施:进行路由加密。
3、爬虫不断变换IP来爬数据
比如,别人在您的B2B商城放入一个爬虫,虽然爬不到真实的数据,但爬虫很消耗服务器的性能,让正常要下单的客户都无法下单。你也可以在阿里云服务器查哪个IP异常,然后手动去屏蔽掉,但,如果设定每半小时就变一个IP地址,那你的商城基本就瘫痪了,当你设定了很丰富的活动准备大搞一场回馈客户的时候,发现一天下来客户基本没订单,欲哭无泪。
应对措施:进行IP行为风控
侧面攻击
就是从商城的“数据对接”环节入手,例如,您的商城需要与ERP对接,这个时候,就有一个缺口暴露出来,如果你没有防范,那直接就从数据对接环节抓数据。
应对措施:连接B2B商城中间库加入IP白名单,访问接口API加入加密证书。
内部攻击
主要是窃取商城的帐号(包括员工的帐号),直接用软件机器人进行数据采集,甚至是数据篡改。比如,竞争对手拿到您商城的帐号,不用爬虫,而是用软件机器人不断在里面查数据,而你浑然不知,你的品规、价格、动销率都被对手分析一清二楚,那运营就比较被动了。
应对措施:进行帐号风控(操作日志审计)。并且,通过严格的帐号管理,确保一个帐号只能对应一个IP地址,当员工的帐号被窃取时,可以及时发现。
以上,就是常规的攻击方式和应对措施,这些应对措施,是目前幸福时空B2BV2.7都已经实现的安全屏障。
另外,时空B2BV2.7,还对采购商的资产进行加密,包括积分、电子钱包等,万一被厉害的黑客掌控了服务器,数据还是有加密的。
下面,我们重点介绍下IP行为风控的机制。
IP行为风控,类似一个“防火墙”:在对访问的IP进行识别,识别后才放行,参考下图。
风控软件结合大数据进行解析判断,对请求访问的IP存在安全隐患进行过滤:请求协议头、cookie信息、访问路由信息、用户信息、携带参数等,通过对访问请求进行数据风险级别判定及IP拉黑处理。被拉黑的IP就无法进入服务器爬取数据了。
IP风险级别包括警告级、危险级,警告:恶意刷新、解密出错、协议头拦截、cookie信息错误,危险:国外地址 及触发阈值(警告级次数达到指定阈值直接列入危险级)。
分控程序的具体说明
监控到是国外的IP则直接拉入黑名单。
风险管控程序定时抓取数据源根据设置的条件(数据风险级别判断)进行判断,触发条件数据将判定为警告级别数据并对数据进行存储,供大数据进行判断比对处理。
风险管控程序定时抓取警告数据根据设置的条件(数据风险级别判断)进行判断,触发阈值将判定为危险级别数据,将对数据进行存储并获取请求数据所属IP地址进行黑名单拦截。
总之,安全措施应该是多方面的、立体综合的、联动的,这样才能万无一失。
关于S-MALL 电商软件
幸福时空S-MALL 电商软件,坚持“买得起、用得起、用得好的医药电商软件”的产品理念、服务理念,不断迭代优化,不断开发新功能。
幸福时空电商软件,基于“私有云”部署,数据全部归用户所有,不共享,更安全。
幸福时空S-MALL 电商软件,所有域名都属于用户所有,不引流。
幸福时空S-MALL 电商软件,标准化+私有定制,灵活支持传统企业拥抱移动互联网。
幸福时空S-MALL 电商软件,全方位对接ERP系统(数据+流程),促销、积分、控销、经营范围管控、多批号管理、信贷期管控、支付收款、退货退款、询价报价、流程一体化,一站式解决。
