首页   关于我们   金蝶产品   瑞友产品   解决方案   移动应用   成功案例   新闻资讯   下载中心   联系我们  
 
您所在的位置:首页 > 新闻资讯 > 飞凡网安全经理林鹏:电商安全的背后躺着无数恶意攻击的尸体
关于我们
联系我们
咨询热线:020-36997780
销售热线:020-86978220, 020-86979080
联系人:邓先生 13710993312
地址:广东省广州市花都区新华街公益路4号
 
新闻资讯    
飞凡网安全经理林鹏:电商安全的背后躺着无数恶意攻击的尸体
时间:2016-07-06 | 浏览量:1124

2016年6月24日,由51CTO.com主办的【WOT2016企业安全技术峰会】在北京珠三角JW万豪酒店召开。本届大会聚焦企业安全技术,共设置11大技术专场。来自飞凡网的安全经理林鹏,为我们带来了主题为《我的电商安全观》的演讲。演讲结束,51CTO记者在第一时间采访了他。

作者:齐琳来源:51cto|2016-06-27 13:01

随着淘宝的崛起,我国的电子商务在呈爆发式增长,每个电商都从单一化转型为多元化发展,同时由于电商的交易环境有着虚拟性和匿名性,安全便成为了成功电商的基石。消费者使用电商进行购买,交易成功便会形成信任,但是当电商受到了恶意攻击,盗取了消费者的信息,甚至对电商本身也造成了直接损失,不仅使电商的信任值会急速下降,还有可能使电商一蹶不振,所以作为电商,应该怎样抵御恶意攻击呢?

嘉宾介绍

林鹏,万达电商 主任安全工程师,目前负责万达电商的安全工作

首先了解一下恶意攻击行为。恶意行为的判断可分为两种,一个是传统互联网的恶意行为,另一个是属于业务的恶意行为。传统的恶意行为指的是恶意攻击,黑客利用扫描器或者新出的漏洞的exp扫描企业,而这恰巧也考验到了工程师应急响应的能力,对新漏洞的感知能力,以及对攻击方法的实践程度。了解了攻击方法就可以知道相应的防御措施,同时也需要比攻击方更早的发现公司的漏洞 。

在业务方面存在最多的恶意行为就是刷单了,包括恶意注册、套利、刷单等行为,但是业务方面的恶意行为还需要同业务交互,得到攻击方法和行为,再通过技术进行控制。一直以来各大电商和买卖平台都存在着刷单的行为,虽然对企业的购买力造不成那么大的影响,但是却在降低着客户的满意度,达不到企业的宣传效果。刷单的情况在互联网金融上却会造成直接的损失,像时下最流行的注册返现金,如果有人虚假注册,企业就必须对虚假情况买单,这便是最直接的损失。针对对抗刷单这个话题 ,在以前的《解析互联网金融安全里》边有过一些说明,这里就不具体展开说了,总之刷单平台由于利益驱使,而且刷完这家还可以刷别人家,因此对抗他们是一项任重道远的事情。

流量算是电商的生存之本,如果有攻击者针对流量进行分析,又该如何防控呢?HTTPS的方式只能防止大半数的分析攻击,更要阻止其不能渗透到内网进行ARP嗅探,或者私自接网线到交换机,这是对流量最大的威胁。用HTTPS的方式就一定要使用双向校验的基准,不只用来加密还要对服务端进行验证。另外从移动端来说,还可以找老版本的没有做过HTTPS的,虽然有更新的地方,但是不会大规模的进行改动,因此想完全的防控住分析不太可能,所以要尽量做得好。

电商或多或少都会做对用户信息的收集,用来确保用户的后续购买便捷性,然而用户也非常在意像住址、联系方式,甚至是身份证号这些隐私信息的收集会不会被泄露。林鹏告诉我,飞凡网收集的用户信息都是保存在自己的服务器上,并且后续会对收集起来的用户信息做更严格的硬加密,只要是有关用户的相关隐私信息都会使用加密机进行加密,这样即使有外界拿到了信息也无法应用;从内部来讲,像营销活动需要拿到隐私数据,这时就会形成一个闭环,从提取数据到销毁,都要确保隐私信息的不落地,包括对隐私信息数据库的审计,都有着非常严密的措施。

飞凡网的安全团队成立一年多,从填坑式的开始到现在有了一定的规模,是抓到的安全体系问题堆起来的,现在的首要目标就是把安全防御体系建立起来,将业务安全重点提上来。因为开始时不断被攻破,从而累积起来了不少经验,再加上现在和业务部门联合起来,一起挖掘数据,相信飞凡网的未来一定不容小觑。

上一篇:卡斯卡特: 萨班斯法案下的成本管控
下一篇:台风“尼伯特”今明登陆 或严重影响粤东沿海
Copyright © 2014-2015 广州拓谱计算机有限公司 版权所有 [粤ICP备11035186号-1]
地址:广东省广州市花都区新华街公益路4号(华侨商业城)   花都网站建设
销售电话:020-86979080,020-86978220,服务电话:020-36997780