To B 安全公司如何捍衛(wèi) C 端消費(fèi)者權(quán)益

歷年央視的3.15晚會(huì)，都會(huì)受到全國(guó)人民的關(guān)注。中國(guó)是個(gè)人口紅利大國(guó)。年度的消費(fèi)陷阱預(yù)警、被曝光的種種欺詐手段，這些央視基于消費(fèi)者真實(shí)投訴，進(jìn)行跟蹤調(diào)研的精選內(nèi)容，不僅給予全國(guó)14億消費(fèi)者警示，督促相關(guān)部門重視并盡快推進(jìn)維權(quán)的工作，更是在鞭撻商家要警鐘長(zhǎng)鳴，時(shí)刻有維護(hù)消費(fèi)者權(quán)益的意識(shí)。

今年央視的3.15晚會(huì)已經(jīng)確認(rèn)因?yàn)槿珖?guó)疫情的原因延后，具體曝光的內(nèi)容和方向我們還不得而知。在此之前，我們要先明確，網(wǎng)絡(luò)安全與消費(fèi)者權(quán)益的保護(hù)之間，有著怎樣的聯(lián)系。

網(wǎng)絡(luò)安全與消費(fèi)者權(quán)益

2014年3月15日起正式施行的新《中華人民共和國(guó)消費(fèi)者權(quán)益保護(hù)法》中明確強(qiáng)調(diào)，經(jīng)營(yíng)者及其工作人員對(duì)收集的消費(fèi)者個(gè)人信息必須嚴(yán)格保密，不得泄密、出售或者非法向他人提供。經(jīng)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保信息安全，防止消費(fèi)者個(gè)人信息泄露、丟失。同時(shí)規(guī)定，經(jīng)營(yíng)者未經(jīng)消費(fèi)者同意或者請(qǐng)求，或者消費(fèi)者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。

然而，現(xiàn)實(shí)卻是，我們的個(gè)人和行為信息已經(jīng)被廣泛濫用，甚至有著販賣信息的成熟黑產(chǎn)。手機(jī)號(hào)、身份證號(hào)以及家庭住址這些老百姓早年意識(shí)中的隱私也早已不知道被轉(zhuǎn)手過(guò)多少次。

無(wú)論你處于哪個(gè)行業(yè)，住在哪個(gè)城市，隨著企業(yè)、政府機(jī)構(gòu)等大量業(yè)務(wù)的云化，互聯(lián)網(wǎng)、大數(shù)據(jù)服務(wù)可以說(shuō)已經(jīng)融入了我們的生活。物聯(lián)網(wǎng)、5G移動(dòng)通訊，也在快速向我們走來(lái)。消費(fèi)活動(dòng)作為我們每個(gè)人日常生活中的重要一環(huán)，消費(fèi)者權(quán)益能否得到有效保障，值得每個(gè)網(wǎng)安人為之思考和努力。

作為國(guó)內(nèi)成立較早的一批網(wǎng)絡(luò)安全企業(yè)，綠盟科技今年4月就將迎來(lái)20歲生日。作為一家定位在為企業(yè)提供網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)的企業(yè)，近20年的產(chǎn)品技術(shù)、需求場(chǎng)景的積累，讓綠盟科技有了豐富、立體的能力外延。也即是說(shuō)，我們的產(chǎn)品和能力，對(duì) C 端消費(fèi)者而言，也有著重大的積極意義。

下面，是綠盟君整理的三個(gè)典型因?yàn)榫W(wǎng)絡(luò)安全原因，消費(fèi)者權(quán)益被侵犯的場(chǎng)景，以及綠盟科技可以為企業(yè)客戶所提供的針對(duì)性能力支撐。

場(chǎng)景1.基于大數(shù)據(jù)服務(wù)而個(gè)人信息濫用

數(shù)據(jù)可以說(shuō)是數(shù)字時(shí)代的石油，而存儲(chǔ)這些原油的，是大數(shù)據(jù)平臺(tái)。隨著企業(yè)和機(jī)構(gòu)在大數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)投入的持續(xù)增長(zhǎng)，數(shù)據(jù)應(yīng)用開(kāi)放的加速，這些原油數(shù)據(jù)，已經(jīng)作為重要的生產(chǎn)要素，推動(dòng)著決策與創(chuàng)新。

但是，這些數(shù)據(jù)是否被濫用?是否在未綁架可用功能性的前提下，盡了向數(shù)據(jù)主權(quán)所有者告知所有潛在用途的義務(wù)?生活中常常會(huì)遇到這樣的事情：剛剛在某網(wǎng)站看完心儀的電視，就收到了另一電商網(wǎng)站同品牌的推送;剛剛咨詢完一家4S 店的保養(yǎng)方案，就收到了2公里內(nèi)另一家4S 店銷售倉(cāng)促的電話;莫名的電話、郵件，更是因?yàn)樽约罕驹撛阢y行、某機(jī)構(gòu)的數(shù)據(jù)，居然在一家根本沒(méi)有聽(tīng)說(shuō)過(guò)的第三方數(shù)據(jù)公司，通過(guò)爬蟲爬取來(lái)的大數(shù)據(jù)平臺(tái)里。

隨著隱私保護(hù)相關(guān)政策、法律的陸續(xù)出臺(tái)，企業(yè)和機(jī)構(gòu)對(duì)大數(shù)據(jù)平臺(tái)中的數(shù)據(jù)，以及其所提供的服務(wù)，會(huì)有相應(yīng)的安全管理意識(shí);但是數(shù)據(jù)類型多、體量大、平臺(tái)組件安全性未知，都是數(shù)據(jù)治理重要技術(shù)阻礙和被惡意利用的風(fēng)險(xiǎn)點(diǎn)。從監(jiān)管單位角度，對(duì)其數(shù)據(jù)內(nèi)容、流轉(zhuǎn)和應(yīng)用的合規(guī)檢查，也困難重重。

無(wú)疑，大數(shù)據(jù)平臺(tái)需要基于內(nèi)容持續(xù)的監(jiān)控和治理。綠盟敏感數(shù)據(jù)發(fā)現(xiàn)與風(fēng)險(xiǎn)評(píng)估系統(tǒng)(IDR)可以結(jié)合不同行業(yè)業(yè)務(wù)特性，提供數(shù)據(jù)發(fā)現(xiàn)、分類分級(jí)、敏感數(shù)據(jù)分布監(jiān)控、審計(jì)、和組件的風(fēng)險(xiǎn)評(píng)估等功能。

這些能力，一方面可以為監(jiān)管和測(cè)評(píng)機(jī)構(gòu)提供一站式的便攜工具;另一方面能為企業(yè)基于數(shù)據(jù)安全風(fēng)險(xiǎn)(如數(shù)據(jù)濫用)實(shí)現(xiàn)快速定位提供技術(shù)支撐，并通過(guò)修復(fù)優(yōu)化建議，幫助企業(yè)滿足檢查要求的同時(shí)，提升系統(tǒng)和數(shù)據(jù)的安全性。

場(chǎng)景2.網(wǎng)站數(shù)據(jù)泄露、掛馬以及釣魚

數(shù)據(jù)泄露，對(duì)企業(yè)而言，可能讓高管被迫辭職，收購(gòu)價(jià)格大幅跳水，甚至檢察院介入調(diào)研。那么，對(duì)于被泄露信息的人，又意味著什么?回答這個(gè)問(wèn)題，你可以盡情發(fā)揮你的想象力。個(gè)人隱私自不必說(shuō)，但還可能是你注冊(cè)其它賬戶時(shí)最常用的郵箱和登錄憑證，也有可能是你在這個(gè)站點(diǎn)不小心“違規(guī)”上傳的重要機(jī)密數(shù)據(jù)。

從互聯(lián)網(wǎng)時(shí)代開(kāi)始，Web 服務(wù)就以各種形式參與到我們的消費(fèi)生活中。不局限于網(wǎng)購(gòu)，從基礎(chǔ)的電郵、社交，到金融、在線醫(yī)療，再到疫情下另一個(gè)風(fēng)口——遠(yuǎn)程辦公/授課。但是，這些提供 Web 服務(wù)的網(wǎng)站(或者是 Web 后端)，是否正在施行有效的安全措施，以應(yīng)對(duì)可能發(fā)生的安全事件，我們作為消費(fèi)者卻不得而知。然而，如果你去任何安全媒體網(wǎng)站，檢索“數(shù)據(jù)泄露”這個(gè)關(guān)鍵詞，你會(huì)發(fā)現(xiàn)，很多知名的網(wǎng)站，很多存儲(chǔ)著對(duì)于用戶而言非常重要信息的網(wǎng)站，做的并沒(méi)有我們以為的那么好。

可以說(shuō)，利用網(wǎng)站漏洞進(jìn)行攻擊，進(jìn)而竊取數(shù)據(jù)，對(duì)攻擊者而言是個(gè)獲取數(shù)據(jù)的重要方式。網(wǎng)站的源代碼，數(shù)據(jù)庫(kù)，注冊(cè)信息都是他們的對(duì)象。所以 Web 安全防護(hù)是一個(gè)非常必要的能力。這個(gè)能力的核心載體，就是 WAF(Web應(yīng)用防火墻)。

Web承載的交互應(yīng)用是數(shù)據(jù)庫(kù)的門戶。綠盟科技的WAF能檢查HTTP請(qǐng)求的各個(gè)字段，用精煉的規(guī)則對(duì)攻擊實(shí)施過(guò)濾，以提供細(xì)粒度的 HTTP 訪問(wèn)控制。此外，還支持識(shí)別并更正Web應(yīng)用錯(cuò)誤的業(yè)務(wù)流程，以識(shí)別可能存在的數(shù)據(jù)泄露行為。

當(dāng)然，Web 給消費(fèi)者權(quán)益帶來(lái)的威脅不局限在數(shù)據(jù)泄露。被篡改后的網(wǎng)站，隱藏其中的非法鏈接、惡意代碼、木馬病毒等，又是另一種。

“僵木蠕”(即僵尸網(wǎng)絡(luò)、木馬病毒、蠕蟲病毒)，特別是后兩者，感染后都可以對(duì)我們個(gè)人電腦的(文件)系統(tǒng)造成破壞。重要文件的丟失、泄露、或被惡意隱藏，電腦被遠(yuǎn)程控制，都是可能且真實(shí)發(fā)生過(guò)的。

近期，網(wǎng)上開(kāi)始流傳名為“新冠病毒”、“最新病毒預(yù)防手冊(cè)”、“武漢實(shí)錄”等木馬病毒，在社交軟件、電子郵件中大量傳播。攻擊者利用廣大群眾關(guān)注疫情、渴望獲得第一手資訊的心理，誘導(dǎo)用戶下載、運(yùn)行。這些惡意軟件不僅可以竊取用戶個(gè)人信息，回傳電腦中存儲(chǔ)的重要文件，甚至可以使其淪為網(wǎng)絡(luò)犯罪的工具(比如挖礦)。當(dāng)然，如果你是 BYOD 辦公，那么這些病毒一旦入侵企業(yè)內(nèi)部網(wǎng)絡(luò)環(huán)境，后果更是不堪設(shè)想。

那么，什么類型的網(wǎng)站更容易成為被篡改的目標(biāo)，并掛上惡意鏈接和病毒呢?2019年初，綠盟科技應(yīng)急響應(yīng)團(tuán)隊(duì)就檢測(cè)到國(guó)內(nèi)近700多家政府、教育、企事業(yè)單位網(wǎng)站被黑客批量篡改，植入惡意鏈接，訪問(wèn)鏈接后會(huì)跳轉(zhuǎn)到指定 網(wǎng)站。

網(wǎng)頁(yè)篡改可大致分為顯式篡改和隱式篡改兩種。如果說(shuō)顯式篡改是為了炫技，或者出于宗教和政治輿論目的的話，那么隱式篡改(如掛馬、暗鏈等)就是直接出于經(jīng)濟(jì)利益的考量。隱式篡改也是對(duì)消費(fèi)者危害最大的攻擊形式。

所以，除了 WAF 外，出于對(duì)瀏覽網(wǎng)站的消費(fèi)者權(quán)益的保護(hù)，網(wǎng)頁(yè)防篡改也是必備的能力。

綠盟網(wǎng)頁(yè)防篡改系統(tǒng)(HWAF)具備易安裝、易管理、易維護(hù)和易擴(kuò)展的特點(diǎn)。結(jié)合 WAF，在保障網(wǎng)站安全、穩(wěn)定運(yùn)行的同時(shí)，可以更立體的實(shí)現(xiàn)安全防護(hù)，更好的從網(wǎng)絡(luò)安全角度，保障消費(fèi)者(無(wú)論是作為用戶還是游客)的合法權(quán)益。

Web 還有一種重要的侵犯消費(fèi)者權(quán)益，擾亂市場(chǎng)環(huán)境的行為，那就是仿冒(釣魚)網(wǎng)站。對(duì)其有效、及時(shí)的發(fā)現(xiàn)和監(jiān)控，是關(guān)停前的基礎(chǔ)與關(guān)鍵。

電商作為線上消費(fèi)的核心渠道，仿冒（釣魚）情況較為嚴(yán)重。綠盟威脅情報(bào)中心（NTI）基于持續(xù)的資產(chǎn)監(jiān)測(cè)和識(shí)別能力，可快速發(fā)現(xiàn)和定位仿冒（釣魚）網(wǎng)站。部分仿冒（釣魚）知名電商的網(wǎng)站，外觀上“肉眼難辨”。一旦消費(fèi)者訪問(wèn)和登錄這些仿冒（釣魚）站點(diǎn)之后，其賬號(hào)以及支付憑證等關(guān)鍵數(shù)據(jù)將被仿冒（釣魚）站點(diǎn)擁有者獲取。后續(xù)消費(fèi)者的資產(chǎn)可能面臨著被盜刷、刷單以及引流等變現(xiàn)操作。

基于綠盟科技大數(shù)據(jù)分析平臺(tái)，結(jié)合安全情報(bào)專家對(duì)情報(bào)數(shù)據(jù)進(jìn)行深度挖掘分析，綠盟威脅情報(bào)中心可以準(zhǔn)確定位和識(shí)別仿冒（釣魚）網(wǎng)站，并通過(guò)NTI Portal界面、API接口、訂閱推送等多種方式將威脅情報(bào)與安全設(shè)備、客戶和安全廠商進(jìn)行共享，協(xié)同防御，保護(hù)客戶網(wǎng)絡(luò)安全。

場(chǎng)景3.智慧家庭中的隱私和財(cái)產(chǎn)安全

最后談?wù)勚皫啄?.15已經(jīng)提及較多的物聯(lián)網(wǎng)，特別是智慧家庭中的安全隱患。

物聯(lián)網(wǎng)、5G 可以說(shuō)在技術(shù)應(yīng)用上有很強(qiáng)的結(jié)合。隨著5G 的廣泛應(yīng)用，各家智慧家庭生態(tài)的逐漸成型，想必可以聯(lián)網(wǎng)的攝像頭、門鎖、臺(tái)燈、開(kāi)關(guān)、電視等物聯(lián)網(wǎng)設(shè)備，會(huì)更深入的融入甚至改變我們的日常生活。

因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題，物聯(lián)網(wǎng)設(shè)備所引入的風(fēng)險(xiǎn)有其特殊性——不局限在數(shù)字世界。

家用攝像頭因?yàn)橄到y(tǒng)升級(jí)困難、固件安全漏洞、云端平臺(tái)在登錄時(shí)對(duì)身份的認(rèn)證機(jī)制存在缺陷等問(wèn)題，往往造成家人生活狀態(tài)(隱私)泄露;聯(lián)網(wǎng)機(jī)頂盒、電視利用其安全漏洞進(jìn)行劫持，強(qiáng)制彈出廣告或者惡意站點(diǎn);智能門鎖因?yàn)槭謾C(jī) APP、后臺(tái)等脆弱性被惡意監(jiān)控，掌握家人生活作息，甚至進(jìn)行實(shí)現(xiàn)遠(yuǎn)程控制輔助入室盜竊。

消費(fèi)級(jí)的物聯(lián)網(wǎng)設(shè)備需要在出廠前，在兼顧成本、售價(jià)處在合理范圍的前提下，應(yīng)考慮哪些和網(wǎng)絡(luò)安全相關(guān)的安全性檢查和措施?為了維持安全的基線，在資產(chǎn)側(cè)，如對(duì)固件的安全檢測(cè)、系統(tǒng)升級(jí)，后臺(tái)接入前的準(zhǔn)入控制，移動(dòng)端應(yīng)用代碼層的混淆、審計(jì)等，都是非常有必要采取的措施。

當(dāng)然，這些只是基于消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備的。城市級(jí)、行業(yè)級(jí)的物聯(lián)網(wǎng)，需要更復(fù)雜、立體的安全方案做支撐。基于綠盟智能安全運(yùn)營(yíng)平臺(tái)iSOP，結(jié)合NTI威脅情報(bào)數(shù)據(jù)對(duì)物聯(lián)網(wǎng)場(chǎng)景進(jìn)行分析，綠盟科技物聯(lián)網(wǎng)保護(hù)傘解決方案可以對(duì)家庭網(wǎng)絡(luò)及企業(yè)物聯(lián)網(wǎng)邊緣設(shè)備進(jìn)行安全防護(hù)，為消費(fèi)者和企業(yè)提供安全解決方案。

對(duì)于采購(gòu)和使用消費(fèi)級(jí)物聯(lián)網(wǎng)產(chǎn)品的消費(fèi)者，綠盟科技也給出如下安全建議：

1第一時(shí)間更改默認(rèn)口令。如有可能，最好定期更換(建議使用口令管理軟件)。

2關(guān)注個(gè)人隱私。如攝像頭安裝的位置，角度。不需要使用時(shí)可以考慮關(guān)閉電源。

3使用手機(jī) APP 進(jìn)行監(jiān)控盡量使用移動(dòng)網(wǎng)絡(luò)。切忌使用公共免費(fèi) WIFI。

4 智能音響、語(yǔ)音助手要關(guān)注隱私相關(guān)設(shè)置，可能的話定期刪除語(yǔ)音記錄。

5采購(gòu)時(shí)要選擇支持升級(jí)與安全更新的設(shè)備，并在第一時(shí)間升級(jí)更新。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。