去年,鐵道部購票網(wǎng)站12306遭到黑客惡意“撞庫”攻擊,造成超過10萬條數(shù)據(jù)泄露,引發(fā)了2014年中國互聯(lián)網(wǎng)領(lǐng)域最大的安全案件。正是在這次事件中,許多人聽說了“撞庫”攻擊的名字,也意識到了信息安全的重要性。
無獨有偶,在今年3.15晚會上,信息安全再一次被推到了輿論的風(fēng)口浪尖。節(jié)目中央視曝光了WIFI安全隱患 ,揭露了黑客如何輕松截獲手機隱私的方法,更是讓廣大網(wǎng)友瞠目結(jié)舌。在互聯(lián)網(wǎng)高速發(fā)展的今天,移動社交、網(wǎng)上購物已經(jīng)成為了廣大年輕人的主要消費模式,網(wǎng)友應(yīng)該如何保證自己的網(wǎng)絡(luò)信息、財產(chǎn)安全,電商網(wǎng)站又是如何防止黑客攻擊的呢?日前,我們有幸采訪到了京東集團安全管理部負責(zé)人晉亮。
▲京東集團安全管理部負責(zé)人晉亮
作為中國最大的自營式電商企業(yè),京東占據(jù)了中國自營式電商市場49%的份額,也是最為廣大網(wǎng)友熟悉的電商品牌之一。同時作為一家技術(shù)驅(qū)動的公司,京東自成立伊始就投入巨資開發(fā)完善可靠、能夠不斷升級、以電商應(yīng)用服務(wù)為核心的自有技術(shù)平臺。在晉亮先生所在的安全部門,有幾十名技術(shù)人員負責(zé)京東平臺的系統(tǒng)和架構(gòu)安全,讓網(wǎng)友在舒適的購物體驗下,擁有安全的購物環(huán)境是他們的職責(zé)所在。
據(jù)晉亮先生介紹,如今經(jīng)過多年的發(fā)展,京東已經(jīng)對網(wǎng)購風(fēng)險形成了系統(tǒng)性的防護。對于任何一位用戶來說,無論你是企業(yè)用戶還是個人用戶,無論是鉆石、金牌或者是新注冊用戶,在您注冊京東商城的那一刻起,您的關(guān)鍵個人信息都會在傳輸、存儲和頁面展現(xiàn)等關(guān)鍵過程進行安全保護。用戶在注冊、登陸等行為時會通過加密通道傳輸個人數(shù)據(jù),防止被攔截和竊取;用戶關(guān)鍵信息在數(shù)據(jù)庫中會以安全的加密方式進行存儲;另外在在京東商城的頁面里,也會進行一些模糊化的處理,比如說打碼等手段。即使個別用戶能被一些惡意的攻擊者登錄進去,相關(guān)的具體隱私信息也不會被泄露。
與此同時,對于之前我們提到的“撞庫”攻擊,京東增強了防范力度,“京東具備有效的風(fēng)控系統(tǒng)來分析和防護類似的安全風(fēng)險,我們會通過一系列的技術(shù)手段去實時的識別類似的攻擊行為并進行防御和處理,,直接規(guī)避相應(yīng)的風(fēng)險?,F(xiàn)在更多的撞庫攻擊更多的是用一些外部泄漏的數(shù)據(jù)去進行線上的比對,這種行為特征在技術(shù)上是比較好識別的。我們的風(fēng)控系統(tǒng)系統(tǒng)可以實時識別這些特征行為,并進行相應(yīng)的防護。”
除此之外,對于許多擁有京東卡、京東E卡、京券或者東券的用戶來說,更會擔(dān)心這些虛擬財產(chǎn)會被黑客盜用。京東的技術(shù)人員早就想到了這一點,并在登錄帳號下設(shè)置了支付密碼、數(shù)字證書等保護手段,任何人想要動用這些財產(chǎn)必須經(jīng)過更深層次的安全驗證。而正如我們之前提到的,京東商城由于具備多級的安全控制手段,因此即便黑客獲得到了用戶的登錄密碼,也無法動用用戶的虛擬資產(chǎn),進而保證了賬戶安全性。
相對于黑客攻擊,晉亮和他的同事們更擔(dān)心的則是絡(luò)詐騙。如今,網(wǎng)絡(luò)詐騙已經(jīng)成為信息安全所要面對的主要問題,而且花樣層出不窮,實在令人防不勝防。對此,京東在訂單提交頁面中也出現(xiàn)了信息提示,并標(biāo)明“京東平臺及銷售商不會以訂單異常、系統(tǒng)升級等為由,要求您點擊任何鏈接進行退款操作”等字樣,起到了一定的警示作用。據(jù)晉亮介紹,由于采用了多種防范機制及提醒措施,“京東用戶遭遇的詐騙量已經(jīng)降到非常低的水平”。
不僅如此,京東還組建了自己的安全應(yīng)急響應(yīng)中心平臺(JSRC——JD Security Response Center)。這個平臺由專人負責(zé),對外接受白帽子漏洞的提交,也開展一些合作性的眾測工作。而在另外一方面,京東對于第三方平臺(比如烏云漏洞平臺)中暴露出的問題也實現(xiàn)了積極、快速的響應(yīng)。
對于電商來說,網(wǎng)絡(luò)安全是生存之本,是保證業(yè)務(wù)運營的基石。那么對于新興電商品牌來說,能夠在京東身上汲取到什么經(jīng)驗?zāi)?在晉亮看來,或許京東對于業(yè)內(nèi)更多的影響在于理念輸出,包括京東組織的技術(shù)開放日,包括京東在架構(gòu)設(shè)計上的理念和針對安全問題的思考。晉亮尤其看重架構(gòu)的作用——“對于一些新的電商企業(yè),可能從它建立一開始,就應(yīng)該更多的考慮安全的相關(guān)問題。包括在做整個系統(tǒng)的架構(gòu)時,就應(yīng)該把安全問題提到日程上來。否則的話,到真正出現(xiàn)問題以后,就會發(fā)現(xiàn)更加難以處理”。
談到未來,晉亮認為建立行業(yè)合作生態(tài)環(huán)境是安全領(lǐng)域的重中之重。“互聯(lián)網(wǎng)的商業(yè)模式有限,并且使用互聯(lián)網(wǎng)的人群重復(fù)性很高,在這種模式相同和人群相同形勢下,我們遇到的問題和享有的機會都是相同的。”事實上,京東已經(jīng)在不同場合、不同方向開始行動了。去年12月,京東與英特爾共同建立聯(lián)合創(chuàng)新實驗室。而在今年京東也正在和騰訊等企業(yè)合作,共同防御網(wǎng)絡(luò)詐騙。“我們要充分利用各互聯(lián)網(wǎng)公司的特色資源來合作解決互聯(lián)網(wǎng)中隱藏的風(fēng)險,共同打造綠色購物的生態(tài)圈。”晉亮對此充滿信心。