深圳网站建设公司详解移动电子商务平台的威胁模型行为统计。网站建设公司提醒移动电子商务平台是一套信息系统,不可避免地会发生硬件或软件故障,甚至系统瘫痪、服务中断。移动电子商务平台也要部署在机房或数据中心或者自建、租用其他运营商提供的机房或数据中心,理论上不能排除因战争、自然灾害等不可抗因素导致的机房被毁,不能排除合作方违背服务承诺甚至损毁数据。移动电子商务平台通过接入移动互联网向用户提供业务功能,像传统的互联网业务平台一样,它们也面临着来自互联网上的恶意攻击。深圳网站建设公司资深安全工程师本文对移动电子商务平台的安全讨论不包括平台自身故障、不可抗外界因素及违约因素引入的安全威胁,仅考虑来自互联网上的恶意攻击。
网站建设公司安全工程师关于移动上平台的安全假设
根据对移动电子商务平台的一般分层结构描述,这里进一步将平台架构抽象为3层。
①硬件与网络层,与前面所讲基本相同,其中,硬件指服务器硬件、机房、电源等,网络指业务平台内部通信网络及平台与互联网的接口。
②软件基础设施层,涵盖架构模型中的软件基础层与应用服务层,主要是支撑平台功能的软件模块。
③应用接口层,即结构模型中的业务接口层,直接与平台外的用户或访问者进行交互。
本章的讨论中假设移动电子商务平台内部是可信的,平台的维护操作人员也是可信的,即不会恶意地对平台实时攻击。与此同时,假设平台外的用户是不可信的,恶意攻击者可能以普通用户的身份对平台发起攻击。
对移动平台来说,硬件一般处于业务提供商的控制下,通过采取相应的物理安全防护措施,硬件的安全一般可以得到保证。因此,这部分暂不列入本章的讨论范围。
本章主要讨论来自互联网的、针对移动电子商务平台的基础设施(包括网络与软件)的安全威胁。
电子商务平台信任区假设如图9-2所示。
电子商务平台信任区假设如图9-2所示。
网站建设公司资深安全工程师关于移动电商平台的安全威胁类型统计
1.针对基础设施的威胁
(1)恶意代码类
病毒能感染并破坏系统文件或某一特定格式的文件,可导致该文件无法正常使用和访问,威胁系统文件的完整性与可用性。
蠕虫可感染文件并不断进行自我复制,同时通过网络探测其他存在漏洞的系统并发起入侵,入侵成功后,重复以上动作,直至整个网络瘫痪,破坏网络及系统的可用性。
后门通过驱动、模块或服务的方式启动自身,并且尽可能隐藏自身的进程和主文件,同时监听某一特定端口,以等待控制端连接,一旦控制端连接成功,便对系统有完全控制权。
(2)越权或滥用类
①非授权访问资源,即在未经管理员授权或是在无访问权限的情况下,利用漏洞或配置错误,访问网络、系统或文件资源的行为,对网络、系统或文件的机密性构成威胁。
②滥用权限过度使用系统资源,即利用自身权限,在权限允许范围内以耗费系统CPU和内存资源为目的的恶意行为,威胁系统的可用性。
③滥用权限非正常修改系统配置或数据,即在权限许可范围内,以破坏数据或配置文件为目的的恶意修改行为,威胁系统或文件的完整性。
(3)网络攻击类
①漏洞探测。通过分析已知漏洞,对应用或系统提交特定格式的字符串,并分析返回结果,以确定应用或系统是否存在该漏洞。
②网络探测和信息采集。结合漏洞探测和合法用户查询信息两种方式,对系统和网络设备进行漏洞和常规信息探测。
③嗅探。通过将网卡设置成为混杂模式以使得网卡可接受任何流经的数据,例如账号、密码、敏感数据等。
④用户身份伪造和欺骗。即通过构造认证信息,以获取认证系统的信任,从而以合法用户身份登录。
⑤用户或业务数据的窃取和破坏。即非授权或滥用权限访问和修改数据的行为。
⑥系统运行的控制和破坏。即非授权或滥用权限控制系统资源,并进行恶意修改。
⑦拒绝服务,主要包括如下两种情况。
• 通过提交大量的正常查询,使系统耗费大量的CPU和内存来处理这些查询,从而使系统没有空闲资源接收正常请求;
• 利用漏洞提交特定格式的数据,导致系统在接收到数据后出现崩溃,从而无法接收任何请求。
(4)系统篡改类
主要是指在非授权或在权限许可范围内修改系统配置、网络配置、安全配置或用户信息的行为,对相关信息的完整性造成威胁。好了,深圳网站建设公司本文关于“移动电子商务平台的威胁模型行为统计”就分享到这里。如果您需要寻找深圳专业的电商网站建设公司,请直接联系我们网站在线客服或者拨打我们专业建站技术服务人员电话。为您提供安全快捷的电商平台建设方案。谢谢关注,博纳网络编辑整理。
当前文章链接:/construction/solution/14888.html
如果您觉得案例还不错请帮忙分享:
[声明]本网转载网络媒体稿件是为了传播更多的信息,此类稿件不代表本网观点,本网不承担此类稿件侵权行为的连带责任。故此,如果您发现本网站的内容侵犯了您的版权,请您的相关内容发至此邮箱【qin@198bona.com 】,我们在确认后,会立即删除,保证您的版权。
