安全有道之如何构建电子商务的“安保系统”?

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
数据安全中心,免费版
云安全态势管理CSPM免费试用,1000次1年
简介: 5月17日2016云栖大会武汉峰会拉开帷幕,阿里云技术专家王晓东(麓飞)带来了“电商行业安全解决方案”的重要演讲。其中,有电商行业面临的安全威胁和挑战,还有如何利用阿里云构建完整的安全体系,更有电商用户安全解决方案的解析,让我们一起先睹为快吧——

 电子商务与我们的生活息息相关,电商行业也是黑产的重要目标之一,这个行业有哪些安全问题?如何解决这些问题呢?

电商行业面临的安全威胁和挑战

 电商行业面临的安全威胁主要有以下两个方面:

1. 盗取电商数据,形成黑色产业

盗卖网站数据库如今已经成为一个黑色产业,黑客入侵网站后会盗取网站整个数据库 (拖库),特别是用户的帐户信息和个人资料,用于黑市出售、广告推送或网络欺诈等不法行为;

2. 恶意竞争盛行,导致行业混乱

电商网站受到的流量攻击很多是来自竞争对手的行为。这样的恶意攻击不仅会导致被攻击网站无法正常运营,影响消费者使用,而且还会导致恶意竞争的泛滥,造成整个行业的混乱,整体竞争力下降。 

对于电商系统来说,它的部署环境应该分为两个部分:

第一,   部署在企业的内网里,与互联网是逻辑隔离的,这种系统的特征为环境是比较封闭的、用户相对固定、终端相对可控,它的安全风险要少很多;

第二,   电子商务是服务整个互联网用户的,业务发布出去就会面临一些问题,海量的用户、开放的环境、不可控的终端。

 

很多时候,电子商务遇到的问题并不是传统的DDOS攻击、外部攻击、SQL注入等,而是业务上的一些欺诈行为,刷单、撞库、黄牛、虚假注册、账号盗用等。

 


网络、业务、主机应用数据和内容等等各个方面,形形色色的安全问题,会令电商的管理人员心痛,这是电商行业面临的挑战。对于建立安全体系来说,需要分析业务场景,阿里云提供的互联网服务通常会有两个端,云端和客户端。云端需要统一考虑防DDoS攻击、防黑客入侵、防业务欺诈等。客户端通常需要对APP做加固,防止二次打包、流量劫持等问题。

 

总结来看,传统的安全解决方案会遇到安全问题不可控、不可见、不可管的问题,这么多的威胁都是安全意识问题,很多人都是头痛医头脚痛医脚,缺乏整体安全体系的规划。

 

一只水桶能装多少水取决于它最短的那块木板,安全能力亦如此,黑客总是从你想不到的地方入侵。安全是体系化的对抗,比的是速度。是否能力及时发现攻击行为,是体现安全能力的核心指标。

 

那么,为什么无法防御呢?现在的黑客是通过如下几步来窃取数据的:

1.         了解目标:端口扫描、漏洞扫描、社工人肉库。

2.         发起攻击0day攻击、邮件发病毒附件、网盘钓鱼。

3.         进入系统:获取管理权限、深入渗透。

4.         后门控制:过杀软、降低系统警惕。

5.         偷窃数据:网络连接、接受指令。

阿里巴巴的安全实践

阿里巴巴基于自己研发的云盾防御体系,构建了阿里的基础防御体系。阿里为小微金服电子商务和智能物流提供了整体的安全防御措施,2015年双十一一天,阿里云为淘宝天猫提供了DDoS攻击3000次,  Web攻击92万次  https flood 750qps的原装防护

 


阿里云为大家提供了基础的计算服务,其中也有很多的安全工作。为了证明阿里云的安全能力,阿里云通过国家工信部等多家权威部门的认证,基础平台做到了稳定、可靠、安全、合规。

 


 

一个较为完整的安全体系需要阿里云和租户共同来构建,责任共同来承担。

 


 

阿里云安全,多层防护+云端大数据,集阿里巴巴集团多年来安全技术研究积累的成果,同时结合阿里云计算平台强大的数据分析能力,为客户提供一整套安全产品和服务。阿里云为租户提供的安全服务都有哪些呢?图为阿里基于淘宝天猫多年的信息安全的防护总结出的防御体系,包括三大部分:

 

第一部分为网络安全,DDoS高防解决DDoS攻击、cc攻击,WAF解决SQL注入、跨站等问题。

第二部分为服务器安全,在服务器上部署一个小的agent,叫做安骑士,它是解决异地登陆、暴力破解等问题。

第三部分为业务安全,阿里云提供反欺诈服务,内容安全解决色情、广告等问题。

此外,阿里云还有安全管理、专家服务和数据安全。

如何利用阿里云构建完整的安全体系?

DT时代,数据是企业的核心资产,因此我们需要建立起数据安全的防御体系。那么,电商需要构建哪些安全能力呢?可分为三大类:安全感知能力、防御能力、响应能力。

感知能力建设

感知能力 ,用大数据分析解决原来看不到的安全问题。阿里云会收集NetFlow、主机Flow、操作日志、数据库日志、企业社工库、资产收集等信息,采集后做大数据分析,结合阿里云的威胁情报来看,最终告诉你安全决策。

 

大数据安全分析平台:降低因黑客攻击导致数据泄露的问题,识别攻击和入侵,并回

溯入侵点,可追溯到黑客姓名全记录入侵后的恶意操作。通过海量异构数据的关联分析,

APT攻击进行精准识别。


 

那么,态势感知系统是怎样构建的?首先,阿里云会有具体负责采集的系统去做采集流量等工作;紧接着,再去结合威胁的模型去计算;最后对用户进行安全告警。

态势感知应用场景解析 


基于威胁情报的大数据安全分析:

  • 用大数据分析引擎,实时发现威胁线索和入侵事件
  • 识别黑客渗透/社工/APT攻击,做快速应急
  • 入侵取证和0day漏洞扫描

态势感知会实时显示攻防,也会告诉用户基于大数据的威胁情报分析,黑客是什么人,在什么时候做了哪些事情,把黑客的每一步过程回溯出来让你看到。态势感知也会对黑客进行溯源。

先知计划

先知计划是用社会化(白帽子、安全公司)的方式帮助电商企业发现安全问题,为电商企业提供及时、安全、私密的安全情报服务平台。它具备私有的安全中心,是可靠的安全专家,有显著的测试效果,和完整的漏洞闭环。先知计划结合了阿里生态的白帽子和安全公司来为用户做安全测试,它的效果和行为相比传统的这种渗透测试有很大的改善。

防御能力建设

防御能力 ,用云的能力解决原来无法防御的安全问题。恶意攻击流量经过阿里云防御系统的防御节点,把恶意的流量清洗成正常的流量。

web应用防火墙


防御规则是核心,安全运营是关键:

  • 零部署、零维护
  • 全面覆盖OWASP TOP10攻击
  • 专业的攻防团队0day漏洞研究,0day防御规则快速更新
  • 强大的CC防护能力,保障网站可用性
  • 经过阿里电商、支付宝实践验证

反欺诈


 

反欺诈服务是阿里大数据风控服务能力的对外输出,通过整合包含互联网金融、电商、

第三方支付等众多行业的数据,配合领先的行为收集技术,经过机器学习模型、大数据关

联分析和指标计算,解决账号、活动、交易等关键业务环节存在的欺诈威胁。

加密服务


 

数据是企业的核心信息,在云上或者数据中心,都需要对敏感数据做加密,阿里提供的加密机制,相当于一个保险箱,用户可以把敏感数据放进去,密钥在自己手里,算法符合国家要求,是有很强的防破解强度。

响应能力建设

响应能力共享互联网安全经验,解决互联网+时代的安全问题。

安全专家服务

安全专家服务提供日常安全巡检,紧急事件应急处理活动、大促关键时期保障护航。

  • 成熟的安全运营体系:专业团队随时应对,具备丰富的安全运营经验为阿里巴巴集团、阿里云提供安全运营。
  • 快速威胁感知:云盾先知平台收集收集漏洞,云平台上的安全事件分析捕获新增漏洞,安全业界的协作、交流,信息共享。
  • 高可靠、高保密的安全服务:阿里安全团队实施。

电商应用场景解析



初创型的电商客户预算有限,客户的访问能力有限,被别人攻击的可能性也较低,所以,阿里云准备了初创电商安全解决方案。阿里云在整个入口通过WAF来解决常见的攻击问题,然后在ECS上部署安骑士,开通态势感知的专业版,这就简单地构建了用户的防御能力和感知能力。这个方案可以很大程度解决燃眉之急,不至于在互联网上裸奔。

 


发展中的电商过了融资期,得到了很多客户,被别人攻击的面也越来越大,就需要继续加强安全防护,此时DDoS攻击、外部攻击就会多一些,所以阿里云推出了发展电商安全解决方案,重点在防御的部分加强。

 



对于成熟的电商而言,拥有了先前的防御手段和方法后,还需要做什么呢?此时需要建立整个的感知体系、防御体系和响应体系三位一体,通过构建完整的安全体系,有效降低入侵率。

阿里云安全的优势和责任

最后,阿里云的安全防护措施,并不是自己闭门造车研究出来这么多的安全产品,而是经过淘宝天猫多年实战总结出来的经验产品。阿里云非常希望为每个客户提供一个安全的可靠的环境,让每个用户享受安全空间,这是阿里云的责任。 


本文根据阿里云安全专家王晓东(麓飞)在517日举办的2016云栖大会·武汉峰会上的演讲整理而成。


系列文章:

安全有道之如何打造互联网+医疗的“防弹衣”?

相关文章
|
4月前
|
供应链 监控 搜索推荐
电商独立站运营:构建成功的数字化商业据点
电商独立站为企业提供自主经营平台,具备灵活性和品牌塑造空间。成功运营需掌握多项技巧:明确目标定位与市场分析,设计优质网站提升用户体验,优化产品管理与库存控制,实施有效营销策略如SEO、社交媒体和邮件营销,完善客户服务与售后支持,并通过数据监测与A/B测试持续优化。综合这些方面,才能在竞争激烈的电商领域脱颖而出,实现长期商业成功。
329 5
|
3月前
|
人工智能 自然语言处理 搜索推荐
销售易、悟空、神州云动CRM:全方位功能解析与优势特色盘点
销售易CRM、悟空CRM和神州云动CRM各自具备独特的产品功能与优势,适用于不同类型的企业。销售易CRM提供移动化、社交化和AI驱动的全流程管理,适合大型企业及跨国公司;悟空CRM以智能数据分析和移动办公支持见长,适合中大型企业;神州云动CRM则凭借灵活定制和多行业适配能力,特别适合大中型企业。企业在选择时应根据自身需求和发展战略,挑选最适合的CRM系统,以实现客户关系管理的最大化效益。
|
4月前
|
传感器 人工智能 物联网
开发一套智慧城管系统需要运用哪些技术?
智慧城管执法办案系统是当前最高效的行政执法形态,具备高度感知、互联互通、智能管理等特点。它通过大数据分析、人工智能、物联网、GIS、智能传感器和云计算等技术,实现城市管理的智能化和精细化,提升资源分配效率和问题响应速度。系统支持远程监测、自动识别和预测预警,确保城市设施的高效管理和维护,同时保障信息安全和用户体验。
|
4月前
|
存储 监控 数据可视化
旅游开发进度把控,何种办公软件能精准助力?
旅游项目的推进需要跨部门协作,合适的可视化团队协作软件至关重要。本文推荐六款软件,包括板栗看板及五款国外软件,如 Podio、Smartsheet、Zoho Projects、Basecamp 和 Wrike。这些软件通过任务管理、团队沟通、数据统计等功能,帮助旅游项目高效推进,尤其适合 MBTI 中的 J 型人格,提供清晰的工作框架与高效的沟通渠道。
67 1
|
4月前
|
安全 项目管理
销售易对决红圈:CRM系统全方位比较与企业选择指南
本文对比分析了销售易和红圈两大国内领先的CRM解决方案。销售易以全球领先的产品能力和全面的营销销售流程管理著称,深受500强企业信赖;红圈则以其专业的客户服务和丰富的项目管理经验见长,特别适合工程项目管理。两者各具优势,企业可根据自身需求选择最合适的CRM系统。
|
4月前
|
供应链 数据可视化 搜索推荐
旅游行业客服团队效率提升,靠哪款办公软件促成?
冬季旅游市场具有独特魅力与挑战,选择合适的团队协作软件至关重要。本文介绍了六款软件在冬季旅游团队协作中的优势:板栗看板的可视化任务调度和实时互动,Trello 的灵活卡片管理和多平台同步,Asana 的多层次任务架构和全面进度跟踪,Monday.com 的定制化工作流和第三方应用集成,Notion 的一体化工作空间和知识管理,Airtable 的强大数据库功能和多样视图展示。这些软件能有效提升冬季旅游项目的效率和质量。
57 0
|
8月前
|
传感器 监控 安全
智慧建造综合管理平台系统,智慧工地施工现场解决方案
智慧工地解决方案针对建筑行业安全管理难、用工管理难等痛点,采用AI、物联网、BIM等技术,实现工地全方位管理。通过BIM大屏可视化、塔吊监测、吊钩可视化、升降机监测等手段,加强施工安全预警;智能识别技术确保人员、设备安全;用水用电、环境监测等模块实现资源节约;地磅、车辆管理和实名制考勤提升管理效率,共同构建安全、高效、精益的施工环境。
388 1
智慧建造综合管理平台系统,智慧工地施工现场解决方案
|
11月前
|
人工智能 自然语言处理 搜索推荐
用好这套系统,食品行业的私域运营不用愁!
随着互联网的深入发展,食品行业正面临着前所未有的挑战和机遇。传统的营销方式已经不能满足消费者的需求,而私域流量的兴起则为食品企业提供了一个全新的、低成本且高效率的营销方式。本文将探讨食品行业如何解决好三个痛点做私域。
|
SQL 安全 前端开发
神游网旅游网站系统的设计与实现_kaic
旅游业走过了改革开放,到现在依旧蓬勃发展。但是放眼国际社会,我们在旅游业发展的深度和广度上所做的努力还远远不够。在贵州,旅游业也将成为我过经济崛起中的重要一环。目前,我们生活在一个信息时代里。无论是工作,学习还是生活时,我们都已经离不开计算机网络技术的陪伴。同样的,随着社会的飞速发展和人们意识观念的转变,现代人已不仅追求物质生活,也要满足一定的精神生活,而旅游恰是最能满足日常精神生活。基于此,一款能根据需求提供给用户全套服务的旅游管理网站更值得人们信赖。本系统采用了JSP、SQL Server、Java等设计开发了一个现代化的旅游管理网站,在传统基本功能上,加强了系统的建设和运行机制。其功能主
下一篇
oss创建bucket