現(xiàn)在沒有網(wǎng)購的人屬于少數(shù)吧，基本上城市里的年輕人都會(huì)網(wǎng)購。根據(jù)去年CNNIC的數(shù)據(jù)統(tǒng)計(jì)，將近60%的互聯(lián)網(wǎng)用戶都在網(wǎng)購。如果按照城市的比例算，估計(jì)在80%。這次不是說網(wǎng)購多便利，而是說網(wǎng)購的安全。

這個(gè)問題很容易引起兩個(gè)極端，一個(gè)極端是網(wǎng)購絕對安全，相信我國互聯(lián)網(wǎng)公司的技術(shù)實(shí)力，養(yǎng)那么多技術(shù)人員可不是鬧著玩的，萬一有風(fēng)吹草動(dòng)，早就消滅在萌芽中，所以買買買，隨意留下信息。另一個(gè)極端是，網(wǎng)購太不安全了，詐騙這么多，還是小心為妙，盡量不要網(wǎng)購，需要的話就找同事朋友代購（這是什么邏輯）。

當(dāng)然，這兩種極端都是不可取的?？梢悦鞔_的說，現(xiàn)階段網(wǎng)購是相對安全的。這個(gè)相對的意思是說，世界上沒有“絕對”安全的事務(wù)，但也不必一驚一乍。究竟怎么看待電商的安全呢，我們還是來分析一下吧。

1

要說電商安全，這里涉及諸多安全問題。比如后臺系統(tǒng)被攻擊，信息被竊取；帳號密碼被“黑客”頂上，植入木馬盜?。挥脩粜畔⒈粺o良快遞員販賣，甚至是競爭對手故意制造事端發(fā)起DDos攻擊或者雇傭黑客攻擊等等。

如此看，安全有幾個(gè)層面的，而電商的安全核心是如何保障“用戶”的安全。

這里借用京東對安全的分類。

數(shù)據(jù)安全。主要指用戶的個(gè)人信息、用戶名、密碼、交易信息等。防御手段，對于核心數(shù)據(jù)保存首先保證訪問的縝密，例如采用堡壘機(jī)和一次一密的密碼體制進(jìn)行訪問。密碼采用主流的加鹽加密的方式進(jìn)行保存，不要使用類似MD5加密單一加密算法。對于交易支付保護(hù)可參考業(yè)內(nèi)針對支付安全制定的標(biāo)準(zhǔn)PCI進(jìn)行學(xué)習(xí)實(shí)施。

帳號安全。目前帳號安全出現(xiàn)較多的就是撞庫行為。防御手段，安全部門可聯(lián)合業(yè)務(wù)部門共同建設(shè)風(fēng)險(xiǎn)用戶監(jiān)控平臺，針對用戶的登錄行為、驗(yàn)證碼破解行為進(jìn)行監(jiān)控，建立IP、用戶黑名單，做到快速解封風(fēng)險(xiǎn)用戶。

業(yè)務(wù)詐騙安全。這種詐騙行為我們不能單純以技術(shù)的角度去分析問題，需要通過整體的流程審核并借助公安的執(zhí)法權(quán)限共同打擊詐騙行為。詐騙分子的特征庫可以共同維護(hù)和使用，把所有詐騙的信息及時(shí)同步到各通信平臺、IM通信工具、瀏覽器等，針對確定詐騙行為用戶信息通過各公司聯(lián)動(dòng)進(jìn)行禁封或標(biāo)記。

這下知道了吧，安全是個(gè)大問題，防范安全也是一個(gè)大問題，其實(shí)就是一個(gè)系統(tǒng)性的問題。

2

既然是系統(tǒng)性的問題，那么，電商該怎么做呢？

比如京東，它總結(jié)出一套“安全決策蜂窩模型”，其中包括：戰(zhàn)略、趨勢、影響、特征、業(yè)務(wù)、形象、價(jià)值，七大決策手段幫助安全部門準(zhǔn)確把控安全方向和風(fēng)險(xiǎn)。這就不用展開說了，每一點(diǎn)都可以說的很細(xì)致。

同時(shí)，京東還會(huì)根據(jù)業(yè)務(wù)劃分為七大業(yè)務(wù)線，每個(gè)業(yè)務(wù)線按照200:1的原則配比安全官。有一套應(yīng)急響應(yīng)的機(jī)制。當(dāng)然了，我們不能脫離業(yè)務(wù)系統(tǒng)說安全，在這里，京東又將系統(tǒng)分為0級到3級，每個(gè)級別的系統(tǒng)安全和響應(yīng)時(shí)間和流程不同，例如對現(xiàn)有0級系統(tǒng)業(yè)務(wù)進(jìn)行7*24小時(shí)監(jiān)控，并加入通用漏洞監(jiān)控，有問題短信通知。

結(jié)合具體來看，還需要考慮出現(xiàn)漏洞的業(yè)務(wù)位置、來源和漏洞級別，也就是說是否影響到核心業(yè)務(wù)的正常運(yùn)行，是否為外部接報(bào)漏洞，漏洞嚴(yán)重級別是否為高風(fēng)險(xiǎn)。京東的做法是，有一套專屬漏洞風(fēng)險(xiǎn)分析的平臺“菊花臺”，該平臺可以有效發(fā)現(xiàn)目前風(fēng)險(xiǎn)點(diǎn)和需要緊急處理的安全事宜。

說到這里，就會(huì)基本了解京東的做法。先從不同的緯度劃分安全范圍，然后在定義怎么去防范。這里說的更多的是方法論。要說技術(shù)手段那就更多了，就不舉例了。

3

當(dāng)然，現(xiàn)在是大數(shù)據(jù)時(shí)代，要談?wù)摪踩?，也就離不開大數(shù)據(jù)的幫助。在京東，也是如此。

比如以上說的如何抵御撞庫攻擊，京東會(huì)利用大數(shù)據(jù)積累和分析技術(shù)。京東擁有用戶從登錄、瀏覽、選購、下單、付款到配送甚至售后服務(wù)的完整數(shù)據(jù)，因此可以針對典型用戶的行為歸納出多種模型。

記得京東的一位高管曾經(jīng)說過，“現(xiàn)在撞庫攻擊更多地是用一些外部泄漏的數(shù)據(jù)去進(jìn)行線上比對，這種行為特征在技術(shù)上是比較好識別的。京東的風(fēng)控系統(tǒng)可以實(shí)時(shí)識別這些特征行為，并進(jìn)行相應(yīng)的防護(hù)?！?/p>

針對有可能被撞庫成功的用戶，京東會(huì)利用大數(shù)據(jù)技術(shù)對其進(jìn)行實(shí)時(shí)分析出來，一方面尋根溯源，從賬戶訪問的蛛絲馬跡發(fā)現(xiàn)黑客的行為，并將其加入相應(yīng)的特征庫，阻擋他們后續(xù)作案；另一方面，與后端的用戶和其它系統(tǒng)進(jìn)行聯(lián)動(dòng)，對風(fēng)險(xiǎn)賬號提升安全級別，規(guī)避這些賬號的風(fēng)險(xiǎn)。

4

其實(shí)，說這么多，無非是說，從技術(shù)角度來，電商有多種方法來防御可能出現(xiàn)的技術(shù)危害。這些技術(shù)手段包括對那些敏感信息的處理上。比如京東獨(dú)特的物流培訓(xùn)信息系統(tǒng)——青龍系統(tǒng)，在保護(hù)用戶信息安全方面從用戶、配送員、數(shù)據(jù)存儲和傳輸?shù)确矫嬉沧隽舜罅考?xì)致的工作，隨便舉例。

配送階段，為了完成配送，工作人員當(dāng)然會(huì)接觸到用戶地址、手機(jī)號等敏感信心，系統(tǒng)對用戶敏感信息的操作有日志記錄，一旦發(fā)生頻繁查詢用戶敏感信息等情況，系統(tǒng)就會(huì)會(huì)報(bào)警；

用戶的敏感信息在青龍系統(tǒng)中采用高強(qiáng)度的加密算法進(jìn)行加密保存，保證不會(huì)被不法分子從內(nèi)外部獲??；

青龍系統(tǒng)對用戶的敏感信息的網(wǎng)絡(luò)傳輸，全程采用加密進(jìn)行，保證中途不會(huì)被截獲篡改；

所以，從信息的整個(gè)交易環(huán)節(jié)來說，電商有各種方法記錄和確保信息的安全。當(dāng)然，這里面有一些用戶以及行業(yè)內(nèi)需要共同注意的事項(xiàng)。

不要把敏感信息如銀行卡、身份證等信息隨意暴露在網(wǎng)上，尤其是現(xiàn)在的社交網(wǎng)站，注意個(gè)人信息的安全。

注意保護(hù)個(gè)人電腦、手機(jī)等信息終端的信息安全，不要讓病毒入侵在，植入木馬等。

注意甄別網(wǎng)絡(luò)安全，不要被各類虛假信息迷惑，進(jìn)入釣魚網(wǎng)站?；蛘呤潜桓黝愒p騙電話、電子郵件、冒充熟人等欺騙。這是考驗(yàn)智商的時(shí)候。

強(qiáng)烈建議在涉及到財(cái)產(chǎn)的電商、支付類系統(tǒng)中使用獨(dú)特的用戶名和密碼，避免被撞庫攻擊的風(fēng)險(xiǎn)；

同時(shí)，對于打著電商客戶名義而來的電話、QQ應(yīng)該格外小心，避免點(diǎn)擊通過即時(shí)通訊軟件發(fā)過來的所謂退貨、用戶中心網(wǎng)址。

全社會(huì)也要營造一個(gè)讓“騙子無處可逃”的技術(shù)平臺和社會(huì)氛圍，這樣才能確保網(wǎng)購的安全，包括心理的和技術(shù)層面的。

說明：本文為大數(shù)網(wǎng)原創(chuàng)文章，作者吳玉征，轉(zhuǎn)載請保留信息。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。