你有被朋友圈推销刷屏的困扰吗?你有淘宝网购买到假货的体验吗?你有被网络诈骗手段忽悠的悲惨经历吗?在如今这个互联网全民普及的时代,在电商微商横行的时代,网络安全成了人们第一头疼的大事。51CTO记者采访了WOT2016企业安全技术峰会特邀讲师、京东安全管理专家李学庆,接下来就和这位电商安全领域方面的专家一起来看看电商安全领域现状及相关安全问题的解决方案。
首先,在和他李老师谈及目前互联网现状时,他表示,借助互联网方向创业的公司确实不少,各种新颖的模式频发,如P2P、O2O等。但大家都在为业务买单的时候却没有兼顾安全,导致公司出现多样性的安全问题,如安全漏洞被利用、DDOS攻击、信息大批量泄露、诈骗、撸羊毛等。但该如何保障被互联网催生的电商、微商的安全问题呢?让我们来听听李老师怎么讲。
京东商城 安全管理部经理 李学庆
李学庆
京东安全方向第一人,早在2011年入职京东商城,并承担公司安全质量提升和自动化测试工作。他是京东安全开发生命周期SDL实践者,在前期带领团队规划和实践了上线安全、生产环境安全、重要项目安全、业务部门安全下沉等相关体系流程工作;他在2013年开始规划和筹建京东安全应急响应中心(JSRC),到目前为止京东核心白帽子已达到百余人,接报漏洞上千余个,并通过接报漏洞建立内部安全技术提升的机制。他通过多年积累整理出一套不同行业定位安全方向的模型"安全决策蜂窝模型"。
谈及互联网安全,李老师首先表示,针对介入到互联网行业的公司,既然要借助互联网那就应该也尊重互联网的玩法,要懂得互联网中的安全痛点在哪里,是什么,最怕什么。当真正把安全放到一个高度后再去规划架构、安全开发、安全测试、以及相配套的阶段性体系后才能够让企业走的更远。做电商也更是如此。
纵观电商巨头京东近五年在安全领域所遇到的问题,发现京东所遇到的安全问题和同行业遇到问题基本一致。
- 2012年随着CSDN数据泄露事件的爆发,导致一批泄露数据库浮出水面,继而出现的最大问题就是撞库问题。当时整个互联网都在梳理自己公司的登录列表,当然京东也不例外。做账号相关的登录风控,其中包含登录、找回密码、重置密码、策略管理、账号资产等。做了一年多基本对于撞库风险做到可控。
- 2013年京东针对框架安全问题投入了很多资源,特别是针对京东常用的框架进行了二次开发,基本做到安全风险可控。2013年也是行业SRC爆发的一年,各家公司都开始组建自己的安全响应中心,做到安全漏洞能够及时有效的回收到自己公司。
- 2014年对于京东内部进行了大量的改革,特别是针对漏洞流程处理、SLA不同业务的划分及管理做了很多工作,基本可以保证京东整体漏洞处理流程很顺畅并做到助推全公司重视安全的力量;对于业务部门也在做安全官的方式去管理各业务部门的安全质量提升,当时记得印象最深的就是业务部门自己定制安全绩效、与安全部门打成一片从开发到测试都在学习安全知识和工作中的实践。
- 2015年诈骗事件变得多样性,有短信诈骗、QQ客服诈骗、诈骗电话等非常之多,对于诈骗相关工作不仅自己做了一套系统同时也和其他大型公司进行合作。共同打击相关诈骗事件。
- 2016年对于数据保护及威胁情报方向会投入一些时间,李老师表示,京东也是在这一方向慢慢探索和学习,并强调,这也是京东在2016年主要的大方向。
透过电商看微商
李学庆表示,微商对于消费者来说打造了一个对于不同诉求及用户内心需求的平台,从而也把以前沉重的淘宝模式搬到了轻而简的手机端。轻模式的诞生无疑就会掺杂着很多线下的诈骗迁到了线上。并且针对于微商来说整体风控模型不统一或不固定,导致微店运营的建设性方向很成功,但风险类方向考虑不周,从而爆发出各种符合微店条件的各种诈骗店铺出现。
对于行业来说需要去细化垂直行业标准、策略、审核、合法流程等。对于消费者来说加强安全意识,使用陌生微商时需要谨慎,不要图一时便宜被诈骗团伙忽悠。
增强防范意识,避免上当受骗
对目前网络上种类繁多的诈骗手段,作为用户,要想避免上当受骗,李老师给出了以下建议:
- 店铺的合规性是否符合,就像很多看着是官方发布的信息却在公众号、链接上出现不合规痕迹;
- 对于很多需要你更多用户信息、支付信息的微商需要谨慎操作;
- 对于先付费或退款流程不清晰的微商需要做到足够冷静再去行动。
其次,从技术角度看,
- 一可以通过资金监管的方式避免一部分用户资产受到损害。
- 二是微店管理者通过大数据的分析对店主数据排查,大方向的问题通过系统就可以筛选掉。
电商安全的明天需要我们共同参与,共建信任平台
对于电商行业来说未来还会遇到用户的身份识别上存在很大的问题,如果用户的信任体系不完备随之而来的不仅仅是诈骗行为,会给恶意者带来一个全流程的诈骗链条。当然信任体系不是电商一个公司就可以完成的,需要不同体系下的人员共同参与,共同建造高可信的平台。
关于51CTO举办的WOT峰会,李学庆这么说。WOT是一个很高端,并能够切实吸引业内技术人才分享交流的一个平台。并建议WOT是个开始,后续可以把所有技术人才的培养、规划、甚至到行业痛点咨询和有偿方案制定实施,把WOT的战线拉得更长。
最后,李老师给我们透露了将在本次WOT2016企业安全技术峰会上所做的演讲。表示将会根据京东近5年的安全建设之路,分享京东在不同时期所做的安全产品、服务及安全体系建设,希望通过京东实实在在的经验教训,给电商企业一些启示。