导航
关闭

女兔帮

当前位置: 主页 > 招聘信息

如何构建电商“安全体系”?

更新时间:2025-02-14 16:10:07 浏览:

如何构建电商“安全体系”?

在5月17日的2016云栖大会武汉峰会上,阿里云技术专家王晓东(陆飞)发表了《电商行业安全解决方案》重要演讲。其中有电商行业面临的安全威胁与挑战,如何利用阿里云构建完整的安全体系,还有针对电商用户的安全解决方案解析——电商与我们的生活息息相关,而电商行业也是黑色产业的重要目标之一。那么这个行业存在哪些安全问题?如何解决这些问题?

电子商务行业面临的安全威胁与挑战

电子商务行业面临的安全威胁主要包括以下两个方面:

1.窃取电商数据,形成黑色产业

窃取、贩卖网站数据库已经成为一门黑色产业,黑客入侵一个网站后,会窃取该网站的整个数据库(拖库),特别是用户的账号信息和个人信息,用于黑市贩卖、推送广告或网络诈骗等非法活动。

2、恶意竞争盛行,导致行业混乱:

很多电商网站的流量攻击都是由竞争对手造成的,这样的恶意攻击不仅会导致被攻击的网站无法正常运营,影响消费者使用,还会导致恶意竞争的泛滥,造成整个行业的混乱,降低整体竞争力。

对于电商系统来说,其部署环境应该分为两个部分:

**,部署在企业内网,与互联网逻辑上隔离,这种系统的特点是环境相对封闭、用户相对固定、终端相对可控,所以它的安全风险要小得多;

第二,电商服务于整个互联网用户群,业务一旦推出,会面临海量用户、环境开放、终端不可控等问题。

很多时候,电商遇到的问题并不是传统的DDOS攻击、外部攻击、SQL注入等,而是一些商业欺诈,比如刷单、数据库碰撞、黄牛、虚假注册、账号盗窃等。

网络、业务、主机应用数据、内容等各个方面的各种安全问题,都会让电商管理者苦恼不已,这是电商行业面临的挑战。建立安全体系,需要分析业务场景。阿里云提供的互联网服务通常有云端和客户端两个端,云端需要统一考虑防DDoS攻击、防黑客入侵、防业务欺诈等。客户端通常需要对APP进行加固,防止二次打包、流量劫持等问题。

综上所述,传统的安全解决方案都会遇到安全问题不可控、不可视、不可管理的问题,所以很多威胁都是安全意识问题,很多人治标不治本,缺乏整体安全体系的规划。

一个木桶能装多少水,取决于它最短的那块木板。安全能力也是如此,黑客总是从你意想不到的地方入侵。安全是一场系统性的对抗,比的是速度。能否及时发现攻击,是安全能力的核心指标。

那么,为什么无法防御呢?当今的黑客通过以下步骤窃取数据:

1、了解目标:端口扫描、漏洞扫描、社工人力数据库。

2、发动攻击:0day攻击、通过****发送病毒附件、通过网盘进行钓鱼。

3、进入系统:获取管理权限,深度渗透。

4、后门控制:绕过杀毒软件,降低系统警惕性。

5.窃取数据:网络连接,接收指令。

阿里巴巴的安全实践

阿里巴巴基于自研的云盾防御系统构建了基础防御体系,为小微金融电商、智慧物流等业务提供了全面的安全防御措施。

阿里云提供基础计算服务,其中也涉及到很多安全工作。为了证明阿里云的安全能力,阿里云通过了工信部等权威部门的认证,基础平台做到了稳定、可靠、安全、合规。

基于淘宝、天猫多年来信息安全防护总结的防御体系,阿里巴巴电商安全防护体系由三部分组成:

**部分是网络安全,DDoS高防解决DDoS攻击、cc攻击,WAF解决SQL注入、跨站等问题。

第二部分是服务器安全,在服务器上部署了一个叫安其势的小代理,解决远程登录、暴力破解等问题。

如何构建电商“安全体系”?(图1)

第三部分是业务安全,阿里云提供反欺诈服务,内容安全解决色情、广告等问题。

此外,阿里云还有安全管理、专家服务和数据安全。

如何利用阿里云构建完整的安全体系?

DT时代,数据是企业的核心资产,需要建立数据安全防御体系。那么,电商企业需要构建哪些安全能力呢?可以分为三类:安全感知能力、防御能力、响应能力。

感知能力建设

感知能力通过大数据分析,解决以前看不见的安全问题,阿里云收集主机流量、操作日志、数据库日志、企业社工库、资产收集等信息,然后结合阿里云的威胁情报进行大数据分析,最终为您提供安全决策。

那么,态势感知体系是如何构建的呢?首先阿里云有一套专门负责采集数据的系统,进行流量采集等工作;然后结合威胁模型进行计算;最后向用户发出安全警报。

态势感知应用场景分析

基于威胁情报的大数据安全分析:

态势感知会实时展示攻击和防御情况,还会根据大数据的威胁情报分析告诉用户,黑客是谁,在什么时候做了什么,并追溯黑客的每一步过程,让你一目了然。态势感知还会追踪黑客的来源。

先知计划

先知项目采用社会化(白帽子、安全公司)的方式,帮助电商企业发现安全问题,为其提供及时、安全、私密的安全情报服务平台,拥有私密的安全中心、可信赖的安全专家、显著的检测结果、完整的漏洞循环。先知项目联合阿里巴巴生态内的白帽子、安全公司为用户进行安全测试,其结果和行为相比传统渗透测试有大幅提升。

国防能力建设

防御能力利用云的能力来解决原来无法防御的安全问题,恶意攻击流量经过阿里云防御系统的防御节点,被清洗为正常流量。

Web 应用程序防火墙

防御规则是核心,安全运营是关键:

反欺诈

加密服务

数据是企业的核心信息,敏感数据需要在云端或者数据中心进行加密,阿里提供的加密机制相当于一个保险箱,用户可以把敏感数据放在里面,密钥掌握在自己手里,算法符合国家要求,抗破解强度强。

响应能力建设

响应性:分享互联网安全经验,解决互联网+时代的安全问题。

安全专家服务

安全专家服务提供日常安全检查、应急响应活动以及关键促销期间的保护。

电商应用场景分析

初创企业,安全不容忽视

初创电商客户预算有限,接入能力有限,受他人攻击的几率也较小,因此阿里云为初创电商准备了安全解决方案。阿里云通过WAF解决整个入口常见的攻击问题,然后在ECS上部署安骑士,开通态势感知专业版,简单构建用户的防御感知能力。这个方案可以很大程度上解决燃眉之急,避免在互联网上裸奔。阿里云非常渴望为每一个客户提供安全可靠的环境,让每一个用户享受安全的空间,这是阿里云应尽的责任。

本文根据阿里云安全专家王晓东(路飞)于5月17日举行的2016云栖大会武汉峰会上的演讲整理而成。

你可能感兴趣的