00:27
我们电商行业对安全体系的一个理解,总体理解为三大块,第一个呢就是信息安全,信息安全包括了对内对外的信息安全。第二点就是资产安全,就是我们所有的云上的一些资产安全,第三点就是代码引伸到生物设施一个层么,从这三点分不同的细节点去切入。来构建我们整个微拍堂的一个安全体系,那我们先说一下第一点,我们的渗透测试针对的是代码,就是我们的应用级别的一个安全,那汽车工程师或者开发人员,他关注的是业务的一个快速上线和快速迭代。
01:04
他对安全这一面关注的会少一点,在规模到一定程度的时候,会做相应的一些制度。比如说我们引入了一个。安全测试工程师,然后针对不同项目,不同应用级别去定期的去扫描。扫描出来之后,我们会让他们按照项目层面去推进整改,第二点就是我们刚才说的一个资产安全,资产安全是非常重要的,为什么这样说呢?因为我线上的所有资产都在云上,那这时候黑客如果侵入到我的内部系统,这时候就是灾难性,所以说这一块我们也在云上做了一定的保护,比如说我们的一些落,包括。云进等等,这些都是可以帮助我们快速构建这种外部的安全体系。第三点就是信息安全,信息安全我这边理解为两点,第一点就是说我们的数据哪些需要做严格的加密的,比如说我们的用户数据,用户的支付的一些银行卡号,以及身份证证实名认证,因为我们的商家都是需要实名认证,所以说对这块信息的一个安全是非常重要的。
02:13
还有一点就是我们刚才说的是这个内部的一个信息安全,那这些信息其实在我们内部企业都是流转,怎么保证这些信息不会外泄,但大概就这三个面,我去一点点去细化。对于身份认证其实有分为两块,第一块就是说商家端的,比如说我们做这种实名认证,那实名认证我们其实对于用户的一个身份核实是比较关键的,就比如我上传手持身份证,包括手持身份证头像,那怎么做到合规?这时候我们可能就接入了一些云上的一些安全产品来保证这一点。第二点是对于用户端的。
03:00
用户当中的话,其实我们对用户的,我们需要分层,哪些用户是薅羊望,还有一点就是说有一些外挂注册大量的这种垃圾号来破坏平台的秩序,那这时候呢,我们其实结合了以上的一些安全产品,比如说我们的注册渠道其实分为两种,第一种呢,就是微信,微信授权登录,然后第二种就是手机号直接登录,那到最后这两个信息其实在腾讯他们的一个安全体系下,比如说我们接入的是天宇这种。安全级别的产品,那这时候结合了各行各业的一个数据,来做一个大数据的一个分析,可以做到比如说他可以分为,比如这个用户他的安全级别是多少,是一级还是二级、三级,类似于这种级别,那在这种技术数据的能力上,我们今年也做了自己的一个严格的风控体系,因为我们的业务场景是不一样的,比如对注册场景。或者对于我们的出价,因为我们刚才说到我们公司是做在线拍卖的,所以说我们有一个出价,出价你要不要交保证金,比如说一个用户进来之后,他需不需要交保证金,那这时候怎么去识别呢?他也属于一个安全级别的一个范畴内,所以在这个体系下,我们在不同场景去构建自己的风控体系。
04:25
第一点啊,电商行业刷单可能是电商成立以来,他一直面临的一个问题,那怎么去避免刷单严重干扰平台的一个秩序了,其实在这一点,我们从公司到创业到现在,其实前期大家注重的是发展,对吧,先把业务发展起来,但是到了一定程度的时候,我的生态越来越大,我需要去干预这种不合规的一个运营手段,这时候我们怎么做了?从用户进来。到用户的一个出价以及交易,整个过程我们是做了一个。
05:03
全链的一个监控,那怎么监控呢?其实有些基础能力可能结合以上的一些产品去帮我们解决,这时候我们再结合于业务场景来出一定的风控规则来解决这一部分。问题就这种规则是比较细细致化的,第二点,我们说的撸羊毛,就是比如说我们在做大促,大促的时候我们会发优惠券,或者发现金红包等等,这些我们可能投入的力度非常大,这是我不希望有过多的就。投入备。无养老的用户给录制,那我们也是在用户。进来之后,其实从注册有些用户就被我们识别为路阳网用户,有些可能识别为外挂用户,然后在他去参与这个活动的时候,我们会对行为上做一定的监控,来达到这种限制。
06:02
比如说他领到优惠券,优惠券了之后,他要去购买,购买他整个链路,他其实是要完成一个闭环,他怎么去套现,那这个就是结合了整个数据链路来做这个风控级,这是第二点,第三点就是刚才我说的安全,就是流量激增的一个问题,流量激增的问题其实对于每个电商,或者说我们发展过程中,业务突飞猛进的这个公司都是有一定的风险。为什么?因为大家比如说前期我们更关注业务,因为业务和底层的一些积累。他是需要去做平衡,所以说我们在这种核量下,可能是引入云上的能力来解决我们最大的一个痛点,就是流量激增,或者外部一些流量攻击等等这种行为,这三个点是比较重要的。三个点,其实他有些是相辅相成的,比如说我们的恶意报仇这种行为,它其实它特点是非常明显,而且过于集中,他一下就可以把你系统打垮,那这时候其实很好拦截,为什么这样说呢?外就是腾讯云的一款安全产品。
07:14
在这个范围内,我们去设定规则,就可以直接在外层就把它拦掉,就下沉不到我的后面的一个系统。这个是第一点。然后刚才还说了一些防刷啊,比如说你刚才说撸羊猫啊,优惠券,那这种其实是比较难的,为什么你不能一下把它判断为坏人,因为你要经过,比如说刚才我从注册环节进来,你只能标识为一级,二级、三级,这个腾讯上也会有一个分层。那但是这个分层对于不同的业务或者不同的场景,它的效果是不一样,这时候我就不能直接把它染死,那之后我还要让他有一些用户行为,比如说他去出了个价,这时候他可能他薅这种羊毛,他可能要套现嘛,他可能集中在一个店铺,甚至说他的用户和商家有些关联,他是通过行为数据以及大数据,我们平台的一些基础数据能力做分析,结合于云上的一些基术能力,然后构成了整个安全这种防护,才能做到这种对用户的一个精准判断。
08:26
就首先是我们少女,他至少我们所有的产品的基础能力,包括我刚才说的挖这种外部应用,防火墙以及底座式攻击,如果说我们在传统机房的情况下,我们可能去买这种硬件产品,或者是需要自己去研发做,成本就会巨大,比如说我疫情期的业务。突飞猛进,包括我们要去做一个大促,同时比如说运营需要引入明星过来,这时候他都是临时性的,或者不是一个长期的一个规划。这时候如果我们在传统。
09:01
机房的情况下,我怎么去应对这些东西都是一个痛点。包括我们遇到大叔之后,我的机器扩容。其实也是面临的一个痛点。那我要去采购,从采购到部署,到网络防护,以及到前面的安全,整个全部都需要自己去做,那当然在云创之后呢,我只需要更关注于5G的业务,然后在云上现在的产品也会越来越丰富,它不光是安全,比如说我们它的一些基础能力。比如负载均衡,这些都是他提供给我们企业快速发展的一个能力,所以说我只需要关注我的业务就好,那业务其实是企业比较擅长,那各自把各自的分工做好就好,所以说大概他的优缺点就在这里,还有一点就是说我们其实面临的痛点,比如说我们的运维团队啊。现在的运维其实更区域化的是应用运维,加上我的业务应用,他不需要关注网络的基础设施以及机房的一些故障,为什么像我们之前招运维的时候,可能需要比如说你具备机房的一些网络能力,对吧,更关注于网络以及硬件设备。
10:16
这一块其实我们现在完全用团队不需要管这一块,全部交给云厂商去解决,因为他们定期对设备都是一个巡检,以及设备什么时候要淘汰,什么时候过保,都是有严格的规章制度,所以这点也是一一个很大的痛点,其实最早就大家可能接触过这种传统机房的一个。发展的过程中,这个痛点非常明显。首先是这样的,就是说我们上云之后,它的基础能力其实是构建在云上,云上它有配配应的相对的安全体系。所以说这时候我们还可以在。这个大环境下去选择自己的安全产品,这是第一点,第二点刚才也说到了,就是说我的扩容。
11:08
以及我的应对。比如说我们。我可以在大促的期间。选择开启,比如说我刚才说的我们的一个流量峰值的问题,其实我平常的业务可能打个比方,我们在10万QPS这时候大促,我们经过广告的一个投入,包括一些这种活动的引入,可能到了30万。那如果说这时候我们是在传统机房的话,我们怎么做呢?可能会去扩机器,去买自己的设备,这种可能应对,呃,一是成本上,二是效率上都会大打折扣,但是这时候如果我们在云上的话,我们是怎么做的,就是说我只需要把我之前的一个外部应用防小的一个。QPS提升扩容到30万就可以了。那这个是非常简单的。就是之前我做这个事情,我可能要准备一个月,那现在我可能和腾讯相关的团队聊一聊,我扩容一下半天就好,那这个就是效率和成本上的一个大大减少,那成本上怎么讲,就是说活动结束之后,我的QPS不需要这么大,我就缩容到10万,那这时候就是一个成本的问题,所以说在成本效率上都是大大节省。
12:26
然后还有第三点,安全防护其实是无止境的,其实你们做不到绝对,但是我要做到相对相对安全,肯定做不到绝对的,那这时候。外界的不断的变化,环境也不断的变化。其实我们如果还要关心外界的一个因素的话,对企业的要求就过于过于大,但是腾讯云,比如说他的安全产品,他长期会专注于这一块的研究,所以说这个形式上是不会。落后的,首先比如说这时候我们用到的一个组件有一些漏洞,这时候他们可能就会提醒你去升级,以及他们知道现在行业内哪些问题是企业最想解决的一些痛点,那这时候我们也可以在这个基础上去。
13:14
扩充我们的能力,然后快速构建我们的安全体系,达到一个相对安全的意识。
我来说两句