万达林鹏:安全电子商务之路

本篇文章4869字，读完约12分钟

万达林鹏:安全电子商务之路 会上，万达电子商务总工程师林鹏出席了国际数据中心服务大会，并在当天的安全运维分论坛上发表了“安全电子商务之路”的主旨演讲。 中国国际数据中心圈12月28日报道，第11届中国国际数据中心行业年会(IDCC2016)于12月20日至22日在北京国家会议中心隆重举行。在中国信息与通信研究院、发展与政策论坛和联盟的指导下，本次会议由中国国际数据中心行业年会组委会主办，中国国际数据中心圈主办，得到了众多媒体的大力支持。

作为中国云计算和数据中心领域最大、最具影响力的标志性事件，IDC中国行业年会已经成功举办了10次。本次会议的规格和规模都是“上一层楼”，吸引了全部现场人员，其影响力涵盖了数据中心、互联网、云计算等所有领域。

会上，万达电子商务总工程师林鹏出席了国际数据中心服务大会，并在当天的安全运维分论坛上发表了“安全电子商务之路”的主旨演讲。

万达电子商务总工程师林鹏

以下是这次演讲的文字记录:

基本上，那些安全的人可能会经历这三个阶段，我们会慢慢从这三个阶段爬过去。第一阶段是背后捅刀子。当涉及到背后捅刀子时，那些做安全或操作和维护的人会经历这种情况。在我们发现一个异常的IP之前，我们发现IP的行为有问题，我们杀了它，后来发现它是我们的IP。当时，它没有经过备案和审查。我们发现它有问题并杀死了它。当然，我们没有扣锅，所以在做安全的时候，我们不一定要做事情，我们甚至可能要说一些关于它的事情，我们还需要找出锅的能力，甚至扔锅，我们不能老老实实地把锅拿回来。我认为，一般做安全、操作和维护的学生更务实，有时他们做坏事是出于好意，这也很正常。包括，例如，在12月11日，这可能是一个未经审查的变化，操作和维护学生上网。这不符合某些规则。这原本是个好主意，但几乎造成了巨大的灾难。

第二消防队，一家大型公司，招募了安全人员。公司一定已经发展到一定的规模。一些系统和流程已经固化。坦率地说，一些深坑已经存在。有必要招聘一些安全人员来开发和解决这些坑。只有这样，这个东西才能进一步推广。实施情况良好。它弥补了一些漏洞。安全部门对这家公司有一定的发言权。在这个时候，我们可以制定一些关于如何做到这一点的规则。最好规定如何做这件事。即使像前面提到的大SDL进程，我相信这些会更好。

安全的职业是挖一个漏洞。公司邀请你在流程系统上做得好，也想找出漏洞。我们也有利用漏洞的文件或想法。事实上，主要有两个方向。第一个方向是主动发现的方式。不用说，主动发现的方式可以通过各种渠道找到。如果你有能力，你可以建立一个战略研究中心，例如，JD.com可以建立一个战略研究中心的环境。如果你没有能力找到两个人，或者找一个外包团队帮你挖一些洞。第二个被动发现是这样的。我们自己开发了一种扫描仪，许多公司也使用了这种被动扫描原理。有两种方法。第一种方法是将所有漏洞挖掘方法放入测试过程中。这东西有主动扫描和被动扫描。主动扫描是用扫描仪和被动扫描完成的。产品新推出时，我们将测试该测试仪。这样，整个安全漏洞扫描环节都进入了测试。只要扫描仪扫描新启动的系统和新启动的系统，测试肯定需要一些新的功能。我们收集新功能，可以自动扫描漏洞。第二种方法是制作一些经过测试的服务器图像，并将它们放入扫描仪，从而完成被动扫描。这个链接可以有效地压缩到测试团队，而不是安全人员。现在它也提供了类似的服务，告诉这个测试者，还是要去网上开发，去使用，现象效果也比较好。

既然已经发现了漏洞，就必须有一个漏洞处理过程。我们处理漏洞的方式包括一些排名，主要是过程，如何处理这些漏洞的人，以及我们处理他们的方式，我们发现两个女孩，处理一些发展学生，或处理操作和维护学生。根据反应，姐姐和开发商之间的沟通效果更好。当然，主要的事情不是看排名，而是看高级漏洞和主要漏洞的定义方式，如何定义它们以及何时处理它们。这个过程包括一个完整的漏洞闭环。漏洞处理过程相对较好，大多数公司都是如此。

警告可视化，我们也尝试做一点。这是一个预警可视化的东西，你可以在屏幕上看到一些点，其实意义并不是特别大，尤其是在误报的时候，看到这个点到处乱飞，除了适合拍摄一些电视节目之外，没有什么好的效果。有时你也可以从视觉上看到哪里有更多的攻击者，这只能起到感知的作用。我们也做了一些关于攻击发现的工作。让我们看看警报可视化。首先，基于实时数据处理的报警分析，说白了，我们抓住了交通和重组HDP 5在其中。然后我们处理关键词，发现有关键词。SDOM可以实时处理它们并进行关键词匹配。从整个网址，我们可以看到一些关键字可以设置。该关键字可用于不同维度的报警。这些警报可以显示当前的供应情况。这个数字的实际意义要比这个数字好得多。可见的就是看到的。

关于对紧急情况的实时反应，主要是关于什么时候和做什么计划。这需要安全人员根据经验进行管理。首先，他们必须监控到位，以了解这些人的动机，并及时做出回应。当然，这里最重要的一点是沟通。还有一个事先沟通的计划。之前的计划包括你需要问候一些业务部门或一些操作和维护人员。例如，如果我们之前发现与一户人家发生了碰撞，那么我们会立即发现问题出在哪里。我们可以直接激活预先计划，删除应该删除的内容。例如，以前有一个地方没有验证码，登录时出现问题。我们按照计划直接关闭了网站。如果事先没有计划，也没有向其他部门打招呼，你可以在过去想一封电子邮件，两天后就会有解决方案。很难说两天后碰撞发生了什么。

我之前已经讨论过基本安全性，我将与您分享业务安全性。首先，我想谈谈双11并分享两个小数据。11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号11号 如果你对商业安全感兴趣，你也可以计算一下，我们要价1000万英镑，我们可能会在屏幕上看到10000英镑的记录。 我们都很沮丧。事实上，里面真正的用户数量是1000部手机，发送给大约1000个用户的请求数量大约是1000万，这是一个百分比。

我们可以看看某项服务的普遍获得情况。我们可以清楚地看到，知识产权可能是相同的。每个人看这个UA完全一样，这是完全通过一些统计方法可以得到刷出名单的人。包括樊菲的零花钱，包括我们在论坛上看到的独立新闻，我们将分析他们是如何做到的，我们将找出我们的问题所在。这也是一个。另一个是智力。我们没有问题。我们只依靠自己的网站来捕捉流量。

一些经历可以在双十一之后分享。首先，存在风力控制的干预时间和接入点的问题。每个人都应该知道，事实上，在风险控制领域，它不能被称为风险控制。例如，应该是风力控制获取的数据越完整，接入点越快越好。这时，会有一个问题。风力控制必须介入，包括风力控制后的默认策略。一旦风力控制系统启动，整体性能就会下降。如果出现下降，一些企业在高频传输时需要一些规则。我们最初的默认规则是加班后放手。想象一下，即使胜率是万分之一，也肯定会比普通用户高。此时，我们必须与业务部门确认风力控制。如果风控超时，除非是获奖，如果不是获奖，最好建议风控超时并返回给中将。

第二个是是否有新的注册渠道，因为在注册了一批账户后，这些账户将会被注销，而且他们会重复注册新的账户。我们可以默认一个规则，基本上认为刷订单的人的手机号码是无限期注册的。如果有一个新的注册通道没有被拦截，验证码可能会被破解。对于刷订单的人来说，短期验证码不成问题。如果你甚至没有一个图形验证码，尤其是一个，例如，如果有一个活动的默认登录，那就是注册，他们肯定会找到这个渠道进行批量注册。批量注册完成后，他们将依次刷一些订单。此时，必须阻止新的注册通道。

第三是是否有冻结机制。每个人在做活动时都必须有这个想法。例如，我们以前遭受过一些损失。如果我们发现我们的零花钱只能刷，我们必须考虑是否有任何地方我们可以冻结零花钱和用户的利润。这将为公司节省大量的损失。包含的点数也是如此。这一点可以冻结。当然，你也可以想办法扣除它。如果你扣除它，你一定认为风力控制是不允许击中要害的。这种冷冻方式更好。也有一些公司手上沾满了鲜血。人们将直接使用爱奇艺的会员卡或京东的会员卡。这时，你会发现，如果你的风控没有拦截，刷账单的人会直接在这里的边缘兑现卡，成为自己的会员。如果你做出反应，去问爱奇艺的人，说这些卡是否可以冻结，爱奇艺的人也没有选择，或者他们的人员直接告诉我们这些卡已经被别人使用了，那么就没有选择。如果我们能建立一个合理的交换流程，内部和外部的代码流程，那就更好了。他们首先得到的是公司的内部代码。他们需要进行批量转换，所以你可以干扰他们，阻止他们做更多的事情。

在活动之前，进行了一些安全检查，这次又回到了泄漏检测。有些地方有没有明显的逻辑权限和漏洞？这些需要由安全部门检查，看是否有任何问题。

还有几个人要来。许多人喜欢使用前端进行验证，包括一些像我们这样曾经是防作弊单和防作弊设备的人，以及一些我们喜欢使用的设备指南。我们遭受了损失。前端验证设备指南和设备指南有问题。对于前端来说，更改这个代码是非常困难的。如果速度慢，需要三个小时到一天，如果速度快，需要一个小时。因为我们仍然主要依赖应用程序，需要分发和审查它，影响将非常大。如果每个人都控制安全，尽量不要在前端做特殊的验证，一切都将放在后端，最好放在自己的服务器上，而且是可控的。您可以考虑业务连续性的问题，包括如何处理您的计划，以及如果您在每个环节挂机，如何处理降级。

下面也是我们这边的一个案例。许多学生在操作和维护期间会做一些关键字匹配。对于关键字匹配，可能有一个空的大小写。此时，由于不同的编码方法，有时内部网址中的空大小写被转换为%20。

在活动的后期还有一个帐户问题。我们也遭受了一点损失。我们发现我们确实向用户发送了爱奇艺的彩票，并且还采用了代码交换过程。然而，活动一结束，黑客们就觉得这些用户的验证码几乎已经被交换了，他们开始成批地闯入账户。我们发现账目上有很多差错。这是我们当时没有考虑到的情况。幸运的是，我们及时发现了它，并直接发现了问题。因此，我们必须考虑这个循环。活动周期结束，后期的账户保护也需要关注。大型活动之后，一定会有一些账户持有人试图碰上这些东西。他们必须有利润才能撞见住户，否则他们不会撞见住户。

还有一个门槛。例如，有一个活动A。该活动A可以设置一个阈值B。必须有一个前面的活动。他必须先通过活动B，然后才能参加活动a。这样，就可以对活动B采取一些预防措施，以防止用户刷卡。我们可以将此链接设置到任何地方，例如登录链接、注册链接和活动时间页面。因为机器是分批来的，所以必须有批次特征。如果你通过在B上的验证发现了这个特征，你将有效地冒链接A将被取消的风险。这是我方对良好经验的总结。当然，设定门槛必须与以前的业务沟通。

还有一个黑名单机制。很多时候，当用户进行活动时，会被列入黑名单。当然，这些被列入黑名单的用户有时敢于挂断电话，并想处理黑色案件。这时，他们不得不佩服这些人的胆识。他们甚至向一些工商局投诉。这将给安全人员造成很大压力。无论是谁承担黑名单的工作，在早期都是一种方便，后期维护工作量很大。后来，我们改变了措辞，我们没有说你的账户被列入黑名单。我们说你的账户有异常行为，需要你验证。我们从考虑用户帐户安全性的角度对此进行了解释。善意的用户会感到非常合作。如果他们都知道自己有问题，他们绝对不敢刺破这根刺。在我们改变言辞后，我们不会说你是黑名单上的用户。我们只是说你有问题，我们的压力会小得多。说了这么多，对保安行业的学生来说真的不容易。

市场智能万达成为云+人工智能时代企业商业模式创新的强者 近日，在中国云服务联盟成立大会上，万达网络技术集团万达云计算公司首席执行官刘克宏表示，万达云将围绕企业数字化转型的核心战略需求，提供云计算服务，打造“三位一体、一个平台”