你有被朋友圈推銷刷屏的困擾嗎?你有淘寶網(wǎng)購買到假貨的體驗(yàn)嗎?你有被網(wǎng)絡(luò)詐騙手段忽悠的悲慘經(jīng)歷嗎?在如今這個(gè)互聯(lián)網(wǎng)全民普及的時(shí)代，在電商微商橫行的時(shí)代，網(wǎng)絡(luò)安全成了人們第一頭疼的大事。51CTO記者采訪了WOT2016企業(yè)安全技術(shù)峰會(huì)特邀講師、京東安全管理專家李學(xué)慶，接下來就和這位電商安全領(lǐng)域方面的專家一起來看看電商安全領(lǐng)域現(xiàn)狀及相關(guān)安全問題的解決方案。

首先，在和他李老師談及目前互聯(lián)網(wǎng)現(xiàn)狀時(shí)，他表示，借助互聯(lián)網(wǎng)方向創(chuàng)業(yè)的公司確實(shí)不少，各種新穎的模式頻發(fā)，如P2P、O2O等。但大家都在為業(yè)務(wù)買單的時(shí)候卻沒有兼顧安全，導(dǎo)致公司出現(xiàn)多樣性的安全問題，如安全漏洞被利用、DDOS攻擊、信息大批量泄露、詐騙、擼羊毛等。但該如何保障被互聯(lián)網(wǎng)催生的電商、微商的安全問題呢?讓我們來聽聽李老師怎么講。

京東商城 安全管理部經(jīng)理 李學(xué)慶

李學(xué)慶

京東安全方向第一人，早在2011年入職京東商城，并承擔(dān)公司安全質(zhì)量提升和自動(dòng)化測(cè)試工作。他是京東安全開發(fā)生命周期SDL實(shí)踐者，在前期帶領(lǐng)團(tuán)隊(duì)規(guī)劃和實(shí)踐了上線安全、生產(chǎn)環(huán)境安全、重要項(xiàng)目安全、業(yè)務(wù)部門安全下沉等相關(guān)體系流程工作;他在2013年開始規(guī)劃和籌建京東安全應(yīng)急響應(yīng)中心(JSRC)，到目前為止京東核心白帽子已達(dá)到百余人，接報(bào)漏洞上千余個(gè)，并通過接報(bào)漏洞建立內(nèi)部安全技術(shù)提升的機(jī)制。他通過多年積累整理出一套不同行業(yè)定位安全方向的模型"安全決策蜂窩模型"。

談及互聯(lián)網(wǎng)安全，李老師首先表示，針對(duì)介入到互聯(lián)網(wǎng)行業(yè)的公司，既然要借助互聯(lián)網(wǎng)那就應(yīng)該也尊重互聯(lián)網(wǎng)的玩法，要懂得互聯(lián)網(wǎng)中的安全痛點(diǎn)在哪里，是什么，最怕什么。當(dāng)真正把安全放到一個(gè)高度后再去規(guī)劃架構(gòu)、安全開發(fā)、安全測(cè)試、以及相配套的階段性體系后才能夠讓企業(yè)走的更遠(yuǎn)。做電商也更是如此。

縱觀電商巨頭京東近五年在安全領(lǐng)域所遇到的問題，發(fā)現(xiàn)京東所遇到的安全問題和同行業(yè)遇到問題基本一致。

• 2012年隨著CSDN數(shù)據(jù)泄露事件的爆發(fā)，導(dǎo)致一批泄露數(shù)據(jù)庫浮出水面，繼而出現(xiàn)的最大問題就是撞庫問題。當(dāng)時(shí)整個(gè)互聯(lián)網(wǎng)都在梳理自己公司的登錄列表，當(dāng)然京東也不例外。做賬號(hào)相關(guān)的登錄風(fēng)控，其中包含登錄、找回密碼、重置密碼、策略管理、賬號(hào)資產(chǎn)等。做了一年多基本對(duì)于撞庫風(fēng)險(xiǎn)做到可控。
• 2013年京東針對(duì)框架安全問題投入了很多資源，特別是針對(duì)京東常用的框架進(jìn)行了二次開發(fā)，基本做到安全風(fēng)險(xiǎn)可控。2013年也是行業(yè)SRC爆發(fā)的一年，各家公司都開始組建自己的安全響應(yīng)中心，做到安全漏洞能夠及時(shí)有效的回收到自己公司。
• 2014年對(duì)于京東內(nèi)部進(jìn)行了大量的改革，特別是針對(duì)漏洞流程處理、SLA不同業(yè)務(wù)的劃分及管理做了很多工作，基本可以保證京東整體漏洞處理流程很順暢并做到助推全公司重視安全的力量;對(duì)于業(yè)務(wù)部門也在做安全官的方式去管理各業(yè)務(wù)部門的安全質(zhì)量提升，當(dāng)時(shí)記得印象最深的就是業(yè)務(wù)部門自己定制安全績效、與安全部門打成一片從開發(fā)到測(cè)試都在學(xué)習(xí)安全知識(shí)和工作中的實(shí)踐。
• 2015年詐騙事件變得多樣性，有短信詐騙、QQ客服詐騙、詐騙電話等非常之多，對(duì)于詐騙相關(guān)工作不僅自己做了一套系統(tǒng)同時(shí)也和其他大型公司進(jìn)行合作。共同打擊相關(guān)詐騙事件。
• 2016年對(duì)于數(shù)據(jù)保護(hù)及威脅情報(bào)方向會(huì)投入一些時(shí)間，李老師表示，京東也是在這一方向慢慢探索和學(xué)習(xí)，并強(qiáng)調(diào)，這也是京東在2016年主要的大方向。

透過電商看微商

李學(xué)慶表示，微商對(duì)于消費(fèi)者來說打造了一個(gè)對(duì)于不同訴求及用戶內(nèi)心需求的平臺(tái)，從而也把以前沉重的淘寶模式搬到了輕而簡(jiǎn)的手機(jī)端。輕模式的誕生無疑就會(huì)摻雜著很多線下的詐騙遷到了線上。并且針對(duì)于微商來說整體風(fēng)控模型不統(tǒng)一或不固定，導(dǎo)致微店運(yùn)營的建設(shè)性方向很成功，但風(fēng)險(xiǎn)類方向考慮不周，從而爆發(fā)出各種符合微店條件的各種詐騙店鋪出現(xiàn)。

對(duì)于行業(yè)來說需要去細(xì)化垂直行業(yè)標(biāo)準(zhǔn)、策略、審核、合法流程等。對(duì)于消費(fèi)者來說加強(qiáng)安全意識(shí)，使用陌生微商時(shí)需要謹(jǐn)慎，不要圖一時(shí)便宜被詐騙團(tuán)伙忽悠。

增強(qiáng)防范意識(shí)，避免上當(dāng)受騙

對(duì)目前網(wǎng)絡(luò)上種類繁多的詐騙手段，作為用戶，要想避免上當(dāng)受騙，李老師給出了以下建議：

1. 店鋪的合規(guī)性是否符合，就像很多看著是官方發(fā)布的信息卻在公眾號(hào)、鏈接上出現(xiàn)不合規(guī)痕跡;
2. 對(duì)于很多需要你更多用戶信息、支付信息的微商需要謹(jǐn)慎操作;
3.  對(duì)于先付費(fèi)或退款流程不清晰的微商需要做到足夠冷靜再去行動(dòng)。

其次，從技術(shù)角度看，

• 一可以通過資金監(jiān)管的方式避免一部分用戶資產(chǎn)受到損害。
• 二是微店管理者通過大數(shù)據(jù)的分析對(duì)店主數(shù)據(jù)排查，大方向的問題通過系統(tǒng)就可以篩選掉。

電商安全的明天需要我們共同參與，共建信任平臺(tái)

對(duì)于電商行業(yè)來說未來還會(huì)遇到用戶的身份識(shí)別上存在很大的問題，如果用戶的信任體系不完備隨之而來的不僅僅是詐騙行為，會(huì)給惡意者帶來一個(gè)全流程的詐騙鏈條。當(dāng)然信任體系不是電商一個(gè)公司就可以完成的，需要不同體系下的人員共同參與，共同建造高可信的平臺(tái)。

關(guān)于51CTO舉辦的WOT峰會(huì)，李學(xué)慶這么說。WOT是一個(gè)很高端，并能夠切實(shí)吸引業(yè)內(nèi)技術(shù)人才分享交流的一個(gè)平臺(tái)。并建議WOT是個(gè)開始，后續(xù)可以把所有技術(shù)人才的培養(yǎng)、規(guī)劃、甚至到行業(yè)痛點(diǎn)咨詢和有償方案制定實(shí)施，把WOT的戰(zhàn)線拉得更長。

最后，李老師給我們透露了將在本次WOT2016企業(yè)安全技術(shù)峰會(huì)上所做的演講。表示將會(huì)根據(jù)京東近5年的安全建設(shè)之路，分享京東在不同時(shí)期所做的安全產(chǎn)品、服務(wù)及安全體系建設(shè)，希望通過京東實(shí)實(shí)在在的經(jīng)驗(yàn)教訓(xùn)，給電商企業(yè)一些啟示。