中国领先的IT技术网站
|
|

专访京东安全负责人晋亮:全面剖析电商安全

在易观智库发布的2014年B2C电商市场报告中显示:2014年国内B2C市场交易规模已经突破13700亿元,同比增长65%。而B2C在网购市场交易规模的占比也已升至48%。面对如此大的交易量,如何保证用户信息安全成了摆在各大电商面前的难题。

作者:王林来源:51cto.com|2015-04-03 17:04

开发者大赛路演 | 12月16日,技术创新,北京不见不散


在易观智库发布的2014年B2C电商市场报告中显示:2014年国内B2C市场交易规模已经突破13700亿元,同比增长65%。而B2C在网购市场交易规模的占比也已升至48%。面对如此大的交易量,如何保证用户信息安全成了摆在各大电商面前的难题。

而针对此前媒体报道的有关“京东泄露用户信息 致上百人被骗巨款”京东方面也给出了回应,以下是京东给出的声明:

京东一贯高度重视用户信息安全和资料保护,不会发生泄露用户信息的情况。当前互联网服务发达,有些用户在不同网站使用相同的注册信息(用户名和密码),而部分保护用户信息安全意识较为薄弱的网站可能存在批量泄露用户信息的情况,被不法分子获取后,使用撞库的方法在其它有交易属性的网站(如电商、互联网金融等),尝试登陆并获取用户购买商品的信息,进而冒充客服人员实施诈骗。近期这种作案手段在各网络服务平台有一定的普遍性。

京东为用户提供密码保护、邮箱验证、手机验证、支付密码、数字证书等多级保护措施。目前可能还有一些用户没有采用手机绑定、数字证书等账户安全升级措施,或在其他网站有过相同注册信息,京东提醒广大用户,请尽快启用安全保护功能。此外京东提醒用户开启安全软件防止电脑木马植入、谨防钓鱼网站、规避弱密码的使用。

为了帮助客户识别诈骗行为,我们采取了针对性措施,包括:

l  在付款成功界面上增加防诈骗安全提醒,提醒内容:“京东不会以订单异常、升级系统为由,要求您点击链接退款”。

l  排查高风险用户帐号并主动警示用户修改密码。

l  在商家后台发布防诈骗公告,后台订单查询界面添加安全提示;通过多种技术手段防止商家账号被盗;针对重点商家沟通与提升防范措施。

l  在京东主站首页面不断发出“消费警示”,请消费者关注:http://www.jd.com/news.aspx?id=22399 。

此外,我们提醒广大用户:京东官方客服人员不会以400或手机号码联系用户,更不会以QQ线上方式与用户沟通;用户手机收到的因京东服务产生的手机验证码,不要告知任何人,也不要填写到任何非京东(jd.com)的网站页面中。

京东一贯严格监管平台商家,商家入驻签约时,合同中明确约定消费者权益保障服务条款,商家须作出履行“消费者个人信息保护”义务的承诺。此外,京东还制定了多项有针对性的规则对商家行为进行进一步约束。 对于违规行为,京东会按照平台规则对商家进行严厉处罚。

针对这一系列问题,我们走访了京东在北京的总部,与其安全管理部负责人晋亮进行了深入沟通,也对京东在安全方面的一系列举措有所了解。

“风控体系”保障用户账号安全

近年来,对于互联网和电商的信息泄露问题,主要分为盗号和诈骗。而关于这两类安全问题,目前京东在采用自己的一套“风控体系”来处理。

据悉,该风控体系,会根据用户行为特征进行实时分析,存在风险的用户会进行不同程度的风险控制,直接规避存在潜在威胁用户的风险。在所有人都比较重视的数据安全层面,京东也在数据的传输、存储和展现等关键环节上进行了安全处理。

在传输过程中,京东在涉及登陆、注册等关键点目前采用HTTPS加密;在存储层面,京东数据库里也是采用安全的加密算法进行处理。也就是说即便当数据暴露在外的时候,也不会被反解出用户名和密码。

此外在页面上一些涉及到用户敏感信息的地方,目前京东也会在商城页面里进行一些模糊化处理,也就是说即便有些用户被恶意的攻击,致使账号入侵,相关的具体隐私信息也不会被泄露。

“黑产”盛行 电商需自身不断进步

有报告称,2014年全球有10起比较严重的网络安全事件,竟然有四起在中国,深受其害的不乏大型电商企业。是什么导致这样的局面?电商企业又要如何应对呢?晋亮坦言现在国内的互联网厂商,每天面对的问题都差不多,大家的做法也差不多。但是我们需要不断的更新和变化。黑客这个产业存在着巨大的利益链,我们只有通过不断的优化我们的系统,来处理安全和用户体验的平衡。

相比之下,大的电商企业在安全方面不管从产品还是技术相对比较成熟,对于一些初创企业,晋亮认为做为电商企业,从建立初始,就应该考虑到安全对于业务的相关问题,这也包括了在做整个系统架构和设计的时候,就应该把安全考虑加入其中,否则当真正出现问题的时候,处理的难度会比较大。

而对于防控机制,晋亮表示:黑客产业的攻击点也会随着企业安全防护机制的变化而发生改变。例如从以前盗用账号里的资产转变成现在流行的网络诈骗。我们对此也采取了很多措施。目前京东根据这种变化,加强了对用户数据安全的体系化建设,也就是说数据在不同的内部子系统之间传输的时候,在数据存储的时候,包括数据在不同的点去使用和展现的时候,都有一个安全机制(包括加密、模糊化展示等措施)去进行保护,这样去杜绝可能导致用户信息泄露的缺口。

虽自强不息 仍需借东风

电商网站的整体架构与其他行业有所不同,因此大多数电商的安全体系构建都会采用自主的方式。谈到合作,晋亮特别强调今后也非常希望能和一些专业的行业伙伴和安全厂商进行合作,取长补短、互利合作,更好的加强京东的安全体系建设。。

合作方面,除了去年12月京东公布了和英特尔的合作外,在今年也将和腾讯展开安全方面的合作。

“和腾讯的合作目前主要是在防诈骗层面上,我们会会共享一些相关数据信息,,,联防联动借此为用户提供更全面的安全保障。”晋亮说

对于未来,晋亮认为安全问题除了还会持续存在的网络诈骗问题,还会有一些更加商业化的安全威胁和持续化的安全风险,这些对公司的安全的要求也就更高了。而京东方面则一直在思考着如何把安全体系建设的更加完善,在安全控制上做的更加精细化,在数据保护上如何更严谨。

后记:电商的兴起,让更多人把眼睛盯在了你的个人账户中。作为每一个爱好网购的人们来说,我们除了将安全寄托于电商、银行外,还需要自己对账号的安全多加关注。经常修改您的密码,电脑和手机的防病毒软件外,也一定谨记,一般的官方的互联网企业,不会主动联系您,更不会通过一些通讯工具询问您的密码和手机验证码。

因此,如果您碰到这样的情况,要提高警惕,那不是骗子,就是愚人节的玩笑!

【责任编辑:王林 TEL:(010)68476606】

点赞 0
分享:
大家都在看
猜你喜欢

读 书 +更多

C#高级编程(第4版)

C#经典名著!2006年最受读者喜爱的十大技术开发类图书!也是Wrox红皮书中最畅销的品种之一,从第一版开始就名满天下;其第3版被中华读书报...

订阅51CTO邮刊

点击这里查看样刊

订阅51CTO邮刊
× 51CTO学院双十二活动