不知不覺間，“雙十一”購物節已經來到第六個年頭。無論電商網站還是社交平臺，我們都可以在最顯著的位置看到各式“雙十一”的折扣廣告;同事、朋友們的交流也從日常的問候變為了促銷信息的互通有無……然而，隨著我國網絡基礎設施的不斷改善、銀行服務種類的增多以及智能設備普及的提升，日趨繁復的應用場景使得人們在享受在線購物便捷之余，對自身財務、信息的安全也變得更加關注。尤其在“雙十一”這樣巨量交易短時迸發的特殊事件中，網購服務鏈中的關鍵環節如何提升自己的安全性、保障最終用戶在獲得良好購物體驗的同時、自身權益不受侵害，無疑成為了“雙十一”工作的重中之重。如何在這個千億元人民幣的大狂歡下保證應用始終高效與安全，來自F5公司的亞太區安全架構師金飛先生從兩個不同的角度進行了闡述。

應用定義的安全架構

金飛先生認為，在過往的“雙十一”中，尤其是在交易最高發的前幾個小時，用戶往往會面臨支付緩慢、無法支付或支付后顯示交易失敗等狀況。究其原因則在于在極短時間內，用戶通過各種客戶段發起的交易請求超過了電商、或者銀行處理能力，加之有不法分子在期間順水摸魚通過機器人進行搶拍、秒殺，或通過釣魚、頁面欺詐等盜取用戶信息，導致整個服務環節緩慢且充滿風險。事實上，這樣超高頻的應用需求，剛好符合DDOS攻擊的所有特征，換句話說，“雙十一”這樣的事件，相當于一次對電商、銀行等企業數據中心的DDOS攻擊。不同于曾經“肉雞”發送的握手請求，隨著使用形態的變化，現在的DDOS攻擊更多來自于應用層。所以，傳統的防火墻方式對流量進行粗放式的清洗或拒絕很有可能會把正常需求拒之門外，從而使最終用戶得不到良好的使用體驗。金飛先生表示，在F5看來，現在的網絡安全應該更加重視來自應用端的威脅，并且需要真正從應用的層面定義一個企業的安全架構。舉例來講，在“雙十一”中，銀行或電商需要對應用請求進行更加智能的判斷與厘清，提前識別有效請求，甚至在必要的時候將一部分可疑請求“隔離”或遷移到云端，以更大的運算能力處理這些需求，從而保證應用全局的安全、快速、高可用。甚至，通過F5的應用安全解決方案，電商甚至可以判斷應用請求是來自真正的用戶還是“秒殺”機器人，從而從根源上確保電商與用戶的雙方利益。金飛強調，不同于傳統網絡安全，這些基于應用行為判定的安全策略，正是F5這樣一直與應用“親密接觸”的ADN企業的強勢所在。這也正是在“雙十一”中，有很多F5工程師都會在銀行、電商等用戶的機房進行值守。

端到端防護保障信息安全

金飛先生認為，現在的線上購物環節較之五年前復雜了許多，而環節越多也就意味著潛在風險越大。簡單來講，從第三方下載的APP、到安全性不高的wifi、再到現在主流的注入病毒、頁面欺詐與釣魚網站，用戶信息與財務在各個環節都有被不法分子獲取的可能。因此，F5一直倡導在充分了解應用行為的基礎上，執行端到端的安全策略，從而保障應用的安全與高可用。在這種端到端的應用鏈中，F5的端到端安全解決方案可以從用戶端的app就開始進行安全防護：通過F5 Websafe在用戶端保護敏感信息不被竊取，在傳輸時通過SSL加密保證信息的安全，直到銀行端服務器通過F5 ASM進行進一步認證才可以對用戶的資金進行授權交易。而這一系列加密策略的主動權，則完全掌握在用戶自己的手中。此外，F5還提供了專門針對移動設備的應用安全解決方案，通過F5 MobileSafe，金融客戶能過獲得防釣魚、惡意軟件嗅探、防止自動交易以及客戶敏感信息保護等多角度防衛機制，并可以主動智能的解除在用戶移動設備上發現的本地威脅，同時不會以任何方式改變用戶體驗。金飛先生強調，F5不希望為用戶提供“黑箱”式的安全解決方案，只有充分考慮用戶的商業模式，從應用的角度規劃、訂制安全解決方案，才是應對“雙十一”這類事件的最好方法。

最后，金飛先生風趣的建議，“理性消費、拒絕沖動“才是“剁手黨“們避免信息與財務損失的最佳方式;盡看折扣就盲目出手，往往更會得不償失。