据说京东的安全比中情局还厉害?

现在没有网购的人属于少数吧,基本上城市里的年轻人都会网购。根据去年CNNIC的数据统计,将近60%的互联网用户都在网购。如果按照城市的比例算,估计在80%。这次不是说网购多便利,而是说网购的安全。

这个问题很容易引起两个极端,一个极端是网购绝对安全,相信我国互联网公司的技术实力,养那么多技术人员可不是闹着玩的,万一有风吹草动,早就消灭在萌芽中,所以买买买,随意留下信息。另一个极端是,网购太不安全了,诈骗这么多,还是小心为妙,尽量不要网购,需要的话就找同事朋友代购(这是什么逻辑)。

当然,这两种极端都是不可取的。可以明确的说,现阶段网购是相对安全的。这个相对的意思是说,世界上没有“绝对”安全的事务,但也不必一惊一乍。究竟怎么看待电商的安全呢,我们还是来分析一下吧。

1

要说电商安全,这里涉及诸多安全问题。比如后台系统被攻击,信息被窃取;帐号密码被“黑客”顶上,植入木马盗取;用户信息被无良快递员贩卖,甚至是竞争对手故意制造事端发起DDos攻击或者雇佣黑客攻击等等。

如此看,安全有几个层面的,而电商的安全核心是如何保障“用户”的安全。

这里借用京东对安全的分类。

数据安全。主要指用户的个人信息、用户名、密码、交易信息等。防御手段,对于核心数据保存首先保证访问的缜密,例如采用堡垒机和一次一密的密码体制进行访问。密码采用主流的加盐加密的方式进行保存,不要使用类似MD5加密单一加密算法。对于交易支付保护可参考业内针对支付安全制定的标准PCI进行学习实施。

帐号安全。目前帐号安全出现较多的就是撞库行为。防御手段,安全部门可联合业务部门共同建设风险用户监控平台,针对用户的登录行为、验证码破解行为进行监控,建立IP、用户黑名单,做到快速解封风险用户。

业务诈骗安全。这种诈骗行为我们不能单纯以技术的角度去分析问题,需要通过整体的流程审核并借助公安的执法权限共同打击诈骗行为。诈骗分子的特征库可以共同维护和使用,把所有诈骗的信息及时同步到各通信平台、IM通信工具、浏览器等,针对确定诈骗行为用户信息通过各公司联动进行禁封或标记。

这下知道了吧,安全是个大问题,防范安全也是一个大问题,其实就是一个系统性的问题。

2

既然是系统性的问题,那么,电商该怎么做呢?

比如京东,它总结出一套“安全决策蜂窝模型”,其中包括:战略、趋势、影响、特征、业务、形象、价值,七大决策手段帮助安全部门准确把控安全方向和风险。这就不用展开说了,每一点都可以说的很细致。

同时,京东还会根据业务划分为七大业务线,每个业务线按照200:1的原则配比安全官。有一套应急响应的机制。当然了,我们不能脱离业务系统说安全,在这里,京东又将系统分为0级到3级,每个级别的系统安全和响应时间和流程不同,例如对现有0级系统业务进行7*24小时监控,并加入通用漏洞监控,有问题短信通知。

结合具体来看,还需要考虑出现漏洞的业务位置、来源和漏洞级别,也就是说是否影响到核心业务的正常运行,是否为外部接报漏洞,漏洞严重级别是否为高风险。京东的做法是,有一套专属漏洞风险分析的平台“菊花台”,该平台可以有效发现目前风险点和需要紧急处理的安全事宜。

说到这里,就会基本了解京东的做法。先从不同的纬度划分安全范围,然后在定义怎么去防范。这里说的更多的是方法论。要说技术手段那就更多了,就不举例了。

3

当然,现在是大数据时代,要谈论安全,也就离不开大数据的帮助。在京东,也是如此。

比如以上说的如何抵御撞库攻击,京东会利用大数据积累和分析技术。京东拥有用户从登录、浏览、选购、下单、付款到配送甚至售后服务的完整数据,因此可以针对典型用户的行为归纳出多种模型。

记得京东的一位高管曾经说过,“现在撞库攻击更多地是用一些外部泄漏的数据去进行线上比对,这种行为特征在技术上是比较好识别的。京东的风控系统可以实时识别这些特征行为,并进行相应的防护。”

针对有可能被撞库成功的用户,京东会利用大数据技术对其进行实时分析出来,一方面寻根溯源,从账户访问的蛛丝马迹发现黑客的行为,并将其加入相应的特征库,阻挡他们后续作案;另一方面,与后端的用户和其它系统进行联动,对风险账号提升安全级别,规避这些账号的风险。

4

其实,说这么多,无非是说,从技术角度来,电商有多种方法来防御可能出现的技术危害。这些技术手段包括对那些敏感信息的处理上。比如京东独特的物流培训信息系统——青龙系统,在保护用户信息安全方面从用户、配送员、数据存储和传输等方面也做了大量细致的工作,随便举例。

配送阶段,为了完成配送,工作人员当然会接触到用户地址、手机号等敏感信心,系统对用户敏感信息的操作有日志记录,一旦发生频繁查询用户敏感信息等情况,系统就会会报警;

用户的敏感信息在青龙系统中采用高强度的加密算法进行加密保存,保证不会被不法分子从内外部获取;

青龙系统对用户的敏感信息的网络传输,全程采用加密进行,保证中途不会被截获篡改;

所以,从信息的整个交易环节来说,电商有各种方法记录和确保信息的安全。当然,这里面有一些用户以及行业内需要共同注意的事项。

不要把敏感信息如银行卡、身份证等信息随意暴露在网上,尤其是现在的社交网站,注意个人信息的安全。

注意保护个人电脑、手机等信息终端的信息安全,不要让病毒入侵在,植入木马等。

注意甄别网络安全,不要被各类虚假信息迷惑,进入钓鱼网站。或者是被各类诈骗电话、电子邮件、冒充熟人等欺骗。这是考验智商的时候。

强烈建议在涉及到财产的电商、支付类系统中使用独特的用户名和密码,避免被撞库攻击的风险;

同时,对于打着电商客户名义而来的电话、QQ应该格外小心,避免点击通过即时通讯软件发过来的所谓退货、用户中心网址。

全社会也要营造一个让“骗子无处可逃”的技术平台和社会氛围,这样才能确保网购的安全,包括心理的和技术层面的。

说明:本文为大数网原创文章,作者吴玉征,转载请保留信息。


企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2015-07-29
据说京东的安全比中情局还厉害?
现在没有网购的人属于少数吧,基本上城市里的年轻人都会网购。根据去年CNNIC的数据统计,将近60%的互联网用户都在网购。如果按照城市的比例

长按扫码 阅读全文

Baidu
map