據(jù)說(shuō)京東的安全比中情局還厲害？

現(xiàn)在沒(méi)有網(wǎng)購(gòu)的人屬于少數(shù)吧，基本上城市里的年輕人都會(huì)網(wǎng)購(gòu)。根據(jù)去年CNNIC的數(shù)據(jù)統(tǒng)計(jì)，將近60%的互聯(lián)網(wǎng)用戶都在網(wǎng)購(gòu)。如果按照城市的比例算，估計(jì)在80%。這次不是說(shuō)網(wǎng)購(gòu)多便利，而是說(shuō)網(wǎng)購(gòu)的安全。

這個(gè)問(wèn)題很容易引起兩個(gè)極端，一個(gè)極端是網(wǎng)購(gòu)絕對(duì)安全，相信我國(guó)互聯(lián)網(wǎng)公司的技術(shù)實(shí)力，養(yǎng)那么多技術(shù)人員可不是鬧著玩的，萬(wàn)一有風(fēng)吹草動(dòng)，早就消滅在萌芽中，所以買(mǎi)買(mǎi)買(mǎi)，隨意留下信息。另一個(gè)極端是，網(wǎng)購(gòu)太不安全了，詐騙這么多，還是小心為妙，盡量不要網(wǎng)購(gòu)，需要的話就找同事朋友代購(gòu)（這是什么邏輯）。

當(dāng)然，這兩種極端都是不可取的?？梢悦鞔_的說(shuō)，現(xiàn)階段網(wǎng)購(gòu)是相對(duì)安全的。這個(gè)相對(duì)的意思是說(shuō)，世界上沒(méi)有“絕對(duì)”安全的事務(wù)，但也不必一驚一乍。究竟怎么看待電商的安全呢，我們還是來(lái)分析一下吧。

1

要說(shuō)電商安全，這里涉及諸多安全問(wèn)題。比如后臺(tái)系統(tǒng)被攻擊，信息被竊??；帳號(hào)密碼被“黑客”頂上，植入木馬盜?。挥脩粜畔⒈粺o(wú)良快遞員販賣(mài)，甚至是競(jìng)爭(zhēng)對(duì)手故意制造事端發(fā)起DDos攻擊或者雇傭黑客攻擊等等。

如此看，安全有幾個(gè)層面的，而電商的安全核心是如何保障“用戶”的安全。

這里借用京東對(duì)安全的分類。

數(shù)據(jù)安全。主要指用戶的個(gè)人信息、用戶名、密碼、交易信息等。防御手段，對(duì)于核心數(shù)據(jù)保存首先保證訪問(wèn)的縝密，例如采用堡壘機(jī)和一次一密的密碼體制進(jìn)行訪問(wèn)。密碼采用主流的加鹽加密的方式進(jìn)行保存，不要使用類似MD5加密單一加密算法。對(duì)于交易支付保護(hù)可參考業(yè)內(nèi)針對(duì)支付安全制定的標(biāo)準(zhǔn)PCI進(jìn)行學(xué)習(xí)實(shí)施。

帳號(hào)安全。目前帳號(hào)安全出現(xiàn)較多的就是撞庫(kù)行為。防御手段，安全部門(mén)可聯(lián)合業(yè)務(wù)部門(mén)共同建設(shè)風(fēng)險(xiǎn)用戶監(jiān)控平臺(tái)，針對(duì)用戶的登錄行為、驗(yàn)證碼破解行為進(jìn)行監(jiān)控，建立IP、用戶黑名單，做到快速解封風(fēng)險(xiǎn)用戶。

業(yè)務(wù)詐騙安全。這種詐騙行為我們不能單純以技術(shù)的角度去分析問(wèn)題，需要通過(guò)整體的流程審核并借助公安的執(zhí)法權(quán)限共同打擊詐騙行為。詐騙分子的特征庫(kù)可以共同維護(hù)和使用，把所有詐騙的信息及時(shí)同步到各通信平臺(tái)、IM通信工具、瀏覽器等，針對(duì)確定詐騙行為用戶信息通過(guò)各公司聯(lián)動(dòng)進(jìn)行禁封或標(biāo)記。

這下知道了吧，安全是個(gè)大問(wèn)題，防范安全也是一個(gè)大問(wèn)題，其實(shí)就是一個(gè)系統(tǒng)性的問(wèn)題。

2

既然是系統(tǒng)性的問(wèn)題，那么，電商該怎么做呢？

比如京東，它總結(jié)出一套“安全決策蜂窩模型”，其中包括：戰(zhàn)略、趨勢(shì)、影響、特征、業(yè)務(wù)、形象、價(jià)值，七大決策手段幫助安全部門(mén)準(zhǔn)確把控安全方向和風(fēng)險(xiǎn)。這就不用展開(kāi)說(shuō)了，每一點(diǎn)都可以說(shuō)的很細(xì)致。

同時(shí)，京東還會(huì)根據(jù)業(yè)務(wù)劃分為七大業(yè)務(wù)線，每個(gè)業(yè)務(wù)線按照200:1的原則配比安全官。有一套應(yīng)急響應(yīng)的機(jī)制。當(dāng)然了，我們不能脫離業(yè)務(wù)系統(tǒng)說(shuō)安全，在這里，京東又將系統(tǒng)分為0級(jí)到3級(jí)，每個(gè)級(jí)別的系統(tǒng)安全和響應(yīng)時(shí)間和流程不同，例如對(duì)現(xiàn)有0級(jí)系統(tǒng)業(yè)務(wù)進(jìn)行7*24小時(shí)監(jiān)控，并加入通用漏洞監(jiān)控，有問(wèn)題短信通知。

結(jié)合具體來(lái)看，還需要考慮出現(xiàn)漏洞的業(yè)務(wù)位置、來(lái)源和漏洞級(jí)別，也就是說(shuō)是否影響到核心業(yè)務(wù)的正常運(yùn)行，是否為外部接報(bào)漏洞，漏洞嚴(yán)重級(jí)別是否為高風(fēng)險(xiǎn)。京東的做法是，有一套專屬漏洞風(fēng)險(xiǎn)分析的平臺(tái)“菊花臺(tái)”，該平臺(tái)可以有效發(fā)現(xiàn)目前風(fēng)險(xiǎn)點(diǎn)和需要緊急處理的安全事宜。

說(shuō)到這里，就會(huì)基本了解京東的做法。先從不同的緯度劃分安全范圍，然后在定義怎么去防范。這里說(shuō)的更多的是方法論。要說(shuō)技術(shù)手段那就更多了，就不舉例了。

3

當(dāng)然，現(xiàn)在是大數(shù)據(jù)時(shí)代，要談?wù)摪踩?，也就離不開(kāi)大數(shù)據(jù)的幫助。在京東，也是如此。

比如以上說(shuō)的如何抵御撞庫(kù)攻擊，京東會(huì)利用大數(shù)據(jù)積累和分析技術(shù)。京東擁有用戶從登錄、瀏覽、選購(gòu)、下單、付款到配送甚至售后服務(wù)的完整數(shù)據(jù)，因此可以針對(duì)典型用戶的行為歸納出多種模型。

記得京東的一位高管曾經(jīng)說(shuō)過(guò)，“現(xiàn)在撞庫(kù)攻擊更多地是用一些外部泄漏的數(shù)據(jù)去進(jìn)行線上比對(duì)，這種行為特征在技術(shù)上是比較好識(shí)別的。京東的風(fēng)控系統(tǒng)可以實(shí)時(shí)識(shí)別這些特征行為，并進(jìn)行相應(yīng)的防護(hù)。”

針對(duì)有可能被撞庫(kù)成功的用戶，京東會(huì)利用大數(shù)據(jù)技術(shù)對(duì)其進(jìn)行實(shí)時(shí)分析出來(lái)，一方面尋根溯源，從賬戶訪問(wèn)的蛛絲馬跡發(fā)現(xiàn)黑客的行為，并將其加入相應(yīng)的特征庫(kù)，阻擋他們后續(xù)作案；另一方面，與后端的用戶和其它系統(tǒng)進(jìn)行聯(lián)動(dòng)，對(duì)風(fēng)險(xiǎn)賬號(hào)提升安全級(jí)別，規(guī)避這些賬號(hào)的風(fēng)險(xiǎn)。

4

其實(shí)，說(shuō)這么多，無(wú)非是說(shuō)，從技術(shù)角度來(lái)，電商有多種方法來(lái)防御可能出現(xiàn)的技術(shù)危害。這些技術(shù)手段包括對(duì)那些敏感信息的處理上。比如京東獨(dú)特的物流培訓(xùn)信息系統(tǒng)——青龍系統(tǒng)，在保護(hù)用戶信息安全方面從用戶、配送員、數(shù)據(jù)存儲(chǔ)和傳輸?shù)确矫嬉沧隽舜罅考?xì)致的工作，隨便舉例。

配送階段，為了完成配送，工作人員當(dāng)然會(huì)接觸到用戶地址、手機(jī)號(hào)等敏感信心，系統(tǒng)對(duì)用戶敏感信息的操作有日志記錄，一旦發(fā)生頻繁查詢用戶敏感信息等情況，系統(tǒng)就會(huì)會(huì)報(bào)警；

用戶的敏感信息在青龍系統(tǒng)中采用高強(qiáng)度的加密算法進(jìn)行加密保存，保證不會(huì)被不法分子從內(nèi)外部獲取；

青龍系統(tǒng)對(duì)用戶的敏感信息的網(wǎng)絡(luò)傳輸，全程采用加密進(jìn)行，保證中途不會(huì)被截獲篡改；

所以，從信息的整個(gè)交易環(huán)節(jié)來(lái)說(shuō)，電商有各種方法記錄和確保信息的安全。當(dāng)然，這里面有一些用戶以及行業(yè)內(nèi)需要共同注意的事項(xiàng)。

不要把敏感信息如銀行卡、身份證等信息隨意暴露在網(wǎng)上，尤其是現(xiàn)在的社交網(wǎng)站，注意個(gè)人信息的安全。

注意保護(hù)個(gè)人電腦、手機(jī)等信息終端的信息安全，不要讓病毒入侵在，植入木馬等。

注意甄別網(wǎng)絡(luò)安全，不要被各類虛假信息迷惑，進(jìn)入釣魚(yú)網(wǎng)站?；蛘呤潜桓黝愒p騙電話、電子郵件、冒充熟人等欺騙。這是考驗(yàn)智商的時(shí)候。

強(qiáng)烈建議在涉及到財(cái)產(chǎn)的電商、支付類系統(tǒng)中使用獨(dú)特的用戶名和密碼，避免被撞庫(kù)攻擊的風(fēng)險(xiǎn)；

同時(shí)，對(duì)于打著電商客戶名義而來(lái)的電話、QQ應(yīng)該格外小心，避免點(diǎn)擊通過(guò)即時(shí)通訊軟件發(fā)過(guò)來(lái)的所謂退貨、用戶中心網(wǎng)址。

全社會(huì)也要營(yíng)造一個(gè)讓“騙子無(wú)處可逃”的技術(shù)平臺(tái)和社會(huì)氛圍，這樣才能確保網(wǎng)購(gòu)的安全，包括心理的和技術(shù)層面的。

說(shuō)明：本文為大數(shù)網(wǎng)原創(chuàng)文章，作者吳玉征，轉(zhuǎn)載請(qǐng)保留信息。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。