现在没有网购的人属于少数吧,基本上城市里的年轻人都会网购。根据去年CNNIC的数据统计,将近60%的互联网用户都在网购。如果按照城市的比例算,估计在80%。这次不是说网购多便利,而是说网购的安全。
这个问题很容易引起两个极端,一个极端是网购绝对安全,相信我国互联网公司的技术实力,养那么多技术人员可不是闹着玩的,万一有风吹草动,早就消灭在萌芽中,所以买买买,随意留下信息。另一个极端是,网购太不安全了,诈骗这么多,还是小心为妙,尽量不要网购,需要的话就找同事朋友代购(这是什么逻辑)。
当然,这两种极端都是不可取的。可以明确的说,现阶段网购是相对安全的。这个相对的意思是说,世界上没有“绝对”安全的事务,但也不必一惊一乍。究竟怎么看待电商的安全呢,我们还是来分析一下吧。
1
要说电商安全,这里涉及诸多安全问题。比如后台系统被攻击,信息被窃取;帐号密码被“黑客”顶上,植入木马盗取;用户信息被无良快递员贩卖,甚至是竞争对手故意制造事端发起DDos攻击或者雇佣黑客攻击等等。
如此看,安全有几个层面的,而电商的安全核心是如何保障“用户”的安全。
这里借用京东对安全的分类。
数据安全。主要指用户的个人信息、用户名、密码、交易信息等。防御手段,对于核心数据保存首先保证访问的缜密,例如采用堡垒机和一次一密的密码体制进行访问。密码采用主流的加盐加密的方式进行保存,不要使用类似MD5加密单一加密算法。对于交易支付保护可参考业内针对支付安全制定的标准PCI进行学习实施。
帐号安全。目前帐号安全出现较多的就是撞库行为。防御手段,安全部门可联合业务部门共同建设风险用户监控平台,针对用户的登录行为、验证码破解行为进行监控,建立IP、用户黑名单,做到快速解封风险用户。
业务诈骗安全。这种诈骗行为我们不能单纯以技术的角度去分析问题,需要通过整体的流程审核并借助公安的执法权限共同打击诈骗行为。诈骗分子的特征库可以共同维护和使用,把所有诈骗的信息及时同步到各通信平台、IM通信工具、浏览器等,针对确定诈骗行为用户信息通过各公司联动进行禁封或标记。
这下知道了吧,安全是个大问题,防范安全也是一个大问题,其实就是一个系统性的问题。
2
既然是系统性的问题,那么,电商该怎么做呢?
比如京东,它总结出一套“安全决策蜂窝模型”,其中包括:战略、趋势、影响、特征、业务、形象、价值,七大决策手段帮助安全部门准确把控安全方向和风险。这就不用展开说了,每一点都可以说的很细致。
同时,京东还会根据业务划分为七大业务线,每个业务线按照200:1的原则配比安全官。有一套应急响应的机制。当然了,我们不能脱离业务系统说安全,在这里,京东又将系统分为0级到3级,每个级别的系统安全和响应时间和流程不同,例如对现有0级系统业务进行7*24小时监控,并加入通用漏洞监控,有问题短信通知。
结合具体来看,还需要考虑出现漏洞的业务位置、来源和漏洞级别,也就是说是否影响到核心业务的正常运行,是否为外部接报漏洞,漏洞严重级别是否为高风险。京东的做法是,有一套专属漏洞风险分析的平台“菊花台”,该平台可以有效发现目前风险点和需要紧急处理的安全事宜。
说到这里,就会基本了解京东的做法。先从不同的纬度划分安全范围,然后在定义怎么去防范。这里说的更多的是方法论。要说技术手段那就更多了,就不举例了。
3
当然,现在是大数据时代,要谈论安全,也就离不开大数据的帮助。在京东,也是如此。
比如以上说的如何抵御撞库攻击,京东会利用大数据积累和分析技术。京东拥有用户从登录、浏览、选购、下单、付款到配送甚至售后服务的完整数据,因此可以针对典型用户的行为归纳出多种模型。
记得京东的一位高管曾经说过,“现在撞库攻击更多地是用一些外部泄漏的数据去进行线上比对,这种行为特征在技术上是比较好识别的。京东的风控系统可以实时识别这些特征行为,并进行相应的防护。”
针对有可能被撞库成功的用户,京东会利用大数据技术对其进行实时分析出来,一方面寻根溯源,从账户访问的蛛丝马迹发现黑客的行为,并将其加入相应的特征库,阻挡他们后续作案;另一方面,与后端的用户和其它系统进行联动,对风险账号提升安全级别,规避这些账号的风险。
4
其实,说这么多,无非是说,从技术角度来,电商有多种方法来防御可能出现的技术危害。这些技术手段包括对那些敏感信息的处理上。比如京东独特的物流培训信息系统——青龙系统,在保护用户信息安全方面从用户、配送员、数据存储和传输等方面也做了大量细致的工作,随便举例。
配送阶段,为了完成配送,工作人员当然会接触到用户地址、手机号等敏感信心,系统对用户敏感信息的操作有日志记录,一旦发生频繁查询用户敏感信息等情况,系统就会会报警;
用户的敏感信息在青龙系统中采用高强度的加密算法进行加密保存,保证不会被不法分子从内外部获取;
青龙系统对用户的敏感信息的网络传输,全程采用加密进行,保证中途不会被截获篡改;
所以,从信息的整个交易环节来说,电商有各种方法记录和确保信息的安全。当然,这里面有一些用户以及行业内需要共同注意的事项。
不要把敏感信息如银行卡、身份证等信息随意暴露在网上,尤其是现在的社交网站,注意个人信息的安全。
注意保护个人电脑、手机等信息终端的信息安全,不要让病毒入侵在,植入木马等。
注意甄别网络安全,不要被各类虚假信息迷惑,进入钓鱼网站。或者是被各类诈骗电话、电子邮件、冒充熟人等欺骗。这是考验智商的时候。
强烈建议在涉及到财产的电商、支付类系统中使用独特的用户名和密码,避免被撞库攻击的风险;
同时,对于打着电商客户名义而来的电话、QQ应该格外小心,避免点击通过即时通讯软件发过来的所谓退货、用户中心网址。
全社会也要营造一个让“骗子无处可逃”的技术平台和社会氛围,这样才能确保网购的安全,包括心理的和技术层面的。
