去年,鐵道部購(gòu)票網(wǎng)站12306遭到黑客惡意“撞庫(kù)”攻擊,造成超過10萬條數(shù)據(jù)泄露,引發(fā)了2014年中國(guó)互聯(lián)網(wǎng)領(lǐng)域最大的安全案件。正是在這次事件中,許多人聽說了“撞庫(kù)”攻擊的名字,也意識(shí)到了信息安全的重要性。
無獨(dú)有偶,在今年3.15晚會(huì)上,信息安全再一次被推到了輿論的風(fēng)口浪尖。節(jié)目中央視曝光了WIFI安全隱患 ,揭露了黑客如何輕松截獲手機(jī)隱私的方法,更是讓廣大網(wǎng)友瞠目結(jié)舌。在互聯(lián)網(wǎng)高速發(fā)展的今天,移動(dòng)社交、網(wǎng)上購(gòu)物已經(jīng)成為了廣大年輕人的主要消費(fèi)模式,網(wǎng)友應(yīng)該如何保證自己的網(wǎng)絡(luò)信息、財(cái)產(chǎn)安全,電商網(wǎng)站又是如何防止黑客攻擊的呢?日前,我們有幸采訪到了京東集團(tuán)安全管理部負(fù)責(zé)人晉亮。
▲京東集團(tuán)安全管理部負(fù)責(zé)人晉亮
作為中國(guó)最大的自營(yíng)式電商企業(yè),京東占據(jù)了中國(guó)自營(yíng)式電商市場(chǎng)49%的份額,也是最為廣大網(wǎng)友熟悉的電商品牌之一。同時(shí)作為一家技術(shù)驅(qū)動(dòng)的公司,京東自成立伊始就投入巨資開發(fā)完善可靠、能夠不斷升級(jí)、以電商應(yīng)用服務(wù)為核心的自有技術(shù)平臺(tái)。在晉亮先生所在的安全部門,有幾十名技術(shù)人員負(fù)責(zé)京東平臺(tái)的系統(tǒng)和架構(gòu)安全,讓網(wǎng)友在舒適的購(gòu)物體驗(yàn)下,擁有安全的購(gòu)物環(huán)境是他們的職責(zé)所在。
據(jù)晉亮先生介紹,如今經(jīng)過多年的發(fā)展,京東已經(jīng)對(duì)網(wǎng)購(gòu)風(fēng)險(xiǎn)形成了系統(tǒng)性的防護(hù)。對(duì)于任何一位用戶來說,無論你是企業(yè)用戶還是個(gè)人用戶,無論是鉆石、金牌或者是新注冊(cè)用戶,在您注冊(cè)京東商城的那一刻起,您的關(guān)鍵個(gè)人信息都會(huì)在傳輸、存儲(chǔ)和頁(yè)面展現(xiàn)等關(guān)鍵過程進(jìn)行安全保護(hù)。用戶在注冊(cè)、登陸等行為時(shí)會(huì)通過加密通道傳輸個(gè)人數(shù)據(jù),防止被攔截和竊取;用戶關(guān)鍵信息在數(shù)據(jù)庫(kù)中會(huì)以安全的加密方式進(jìn)行存儲(chǔ);另外在在京東商城的頁(yè)面里,也會(huì)進(jìn)行一些模糊化的處理,比如說打碼等手段。即使個(gè)別用戶能被一些惡意的攻擊者登錄進(jìn)去,相關(guān)的具體隱私信息也不會(huì)被泄露。
與此同時(shí),對(duì)于之前我們提到的“撞庫(kù)”攻擊,京東增強(qiáng)了防范力度,“京東具備有效的風(fēng)控系統(tǒng)來分析和防護(hù)類似的安全風(fēng)險(xiǎn),我們會(huì)通過一系列的技術(shù)手段去實(shí)時(shí)的識(shí)別類似的攻擊行為并進(jìn)行防御和處理,,直接規(guī)避相應(yīng)的風(fēng)險(xiǎn)。現(xiàn)在更多的撞庫(kù)攻擊更多的是用一些外部泄漏的數(shù)據(jù)去進(jìn)行線上的比對(duì),這種行為特征在技術(shù)上是比較好識(shí)別的。我們的風(fēng)控系統(tǒng)系統(tǒng)可以實(shí)時(shí)識(shí)別這些特征行為,并進(jìn)行相應(yīng)的防護(hù)。”
除此之外,對(duì)于許多擁有京東卡、京東E卡、京券或者東券的用戶來說,更會(huì)擔(dān)心這些虛擬財(cái)產(chǎn)會(huì)被黑客盜用。京東的技術(shù)人員早就想到了這一點(diǎn),并在登錄帳號(hào)下設(shè)置了支付密碼、數(shù)字證書等保護(hù)手段,任何人想要?jiǎng)佑眠@些財(cái)產(chǎn)必須經(jīng)過更深層次的安全驗(yàn)證。而正如我們之前提到的,京東商城由于具備多級(jí)的安全控制手段,因此即便黑客獲得到了用戶的登錄密碼,也無法動(dòng)用用戶的虛擬資產(chǎn),進(jìn)而保證了賬戶安全性。
相對(duì)于黑客攻擊,晉亮和他的同事們更擔(dān)心的則是絡(luò)詐騙。如今,網(wǎng)絡(luò)詐騙已經(jīng)成為信息安全所要面對(duì)的主要問題,而且花樣層出不窮,實(shí)在令人防不勝防。對(duì)此,京東在訂單提交頁(yè)面中也出現(xiàn)了信息提示,并標(biāo)明“京東平臺(tái)及銷售商不會(huì)以訂單異常、系統(tǒng)升級(jí)等為由,要求您點(diǎn)擊任何鏈接進(jìn)行退款操作”等字樣,起到了一定的警示作用。據(jù)晉亮介紹,由于采用了多種防范機(jī)制及提醒措施,“京東用戶遭遇的詐騙量已經(jīng)降到非常低的水平”。
不僅如此,京東還組建了自己的安全應(yīng)急響應(yīng)中心平臺(tái)(JSRC——JD Security Response Center)。這個(gè)平臺(tái)由專人負(fù)責(zé),對(duì)外接受白帽子漏洞的提交,也開展一些合作性的眾測(cè)工作。而在另外一方面,京東對(duì)于第三方平臺(tái)(比如烏云漏洞平臺(tái))中暴露出的問題也實(shí)現(xiàn)了積極、快速的響應(yīng)。
對(duì)于電商來說,網(wǎng)絡(luò)安全是生存之本,是保證業(yè)務(wù)運(yùn)營(yíng)的基石。那么對(duì)于新興電商品牌來說,能夠在京東身上汲取到什么經(jīng)驗(yàn)?zāi)?在晉亮看來,或許京東對(duì)于業(yè)內(nèi)更多的影響在于理念輸出,包括京東組織的技術(shù)開放日,包括京東在架構(gòu)設(shè)計(jì)上的理念和針對(duì)安全問題的思考。晉亮尤其看重架構(gòu)的作用——“對(duì)于一些新的電商企業(yè),可能從它建立一開始,就應(yīng)該更多的考慮安全的相關(guān)問題。包括在做整個(gè)系統(tǒng)的架構(gòu)時(shí),就應(yīng)該把安全問題提到日程上來。否則的話,到真正出現(xiàn)問題以后,就會(huì)發(fā)現(xiàn)更加難以處理”。
談到未來,晉亮認(rèn)為建立行業(yè)合作生態(tài)環(huán)境是安全領(lǐng)域的重中之重。“互聯(lián)網(wǎng)的商業(yè)模式有限,并且使用互聯(lián)網(wǎng)的人群重復(fù)性很高,在這種模式相同和人群相同形勢(shì)下,我們遇到的問題和享有的機(jī)會(huì)都是相同的。”事實(shí)上,京東已經(jīng)在不同場(chǎng)合、不同方向開始行動(dòng)了。去年12月,京東與英特爾共同建立聯(lián)合創(chuàng)新實(shí)驗(yàn)室。而在今年京東也正在和騰訊等企業(yè)合作,共同防御網(wǎng)絡(luò)詐騙。“我們要充分利用各互聯(lián)網(wǎng)公司的特色資源來合作解決互聯(lián)網(wǎng)中隱藏的風(fēng)險(xiǎn),共同打造綠色購(gòu)物的生態(tài)圈。”晉亮對(duì)此充滿信心。
京公網(wǎng)安備 11010502049343號(hào)