你有被朋友圈推銷刷屏的困擾嗎?你有淘寶網購買到假貨的體驗嗎?你有被網絡詐騙手段忽悠的悲慘經歷嗎?在如今這個互聯網全民普及的時代，在電商微商橫行的時代，網絡安全成了人們第一頭疼的大事。51CTO記者采訪了WOT2016企業安全技術峰會特邀講師、京東安全管理專家李學慶，接下來就和這位電商安全領域方面的專家一起來看看電商安全領域現狀及相關安全問題的解決方案。

首先，在和他李老師談及目前互聯網現狀時，他表示，借助互聯網方向創業的公司確實不少，各種新穎的模式頻發，如P2P、O2O等。但大家都在為業務買單的時候卻沒有兼顧安全，導致公司出現多樣性的安全問題，如安全漏洞被利用、DDOS攻擊、信息大批量泄露、詐騙、擼羊毛等。但該如何保障被互聯網催生的電商、微商的安全問題呢?讓我們來聽聽李老師怎么講。

京東商城 安全管理部經理 李學慶

李學慶

京東安全方向第一人，早在2011年入職京東商城，并承擔公司安全質量提升和自動化測試工作。他是京東安全開發生命周期SDL實踐者，在前期帶領團隊規劃和實踐了上線安全、生產環境安全、重要項目安全、業務部門安全下沉等相關體系流程工作;他在2013年開始規劃和籌建京東安全應急響應中心(JSRC)，到目前為止京東核心白帽子已達到百余人，接報漏洞上千余個，并通過接報漏洞建立內部安全技術提升的機制。他通過多年積累整理出一套不同行業定位安全方向的模型"安全決策蜂窩模型"。

談及互聯網安全，李老師首先表示，針對介入到互聯網行業的公司，既然要借助互聯網那就應該也尊重互聯網的玩法，要懂得互聯網中的安全痛點在哪里，是什么，最怕什么。當真正把安全放到一個高度后再去規劃架構、安全開發、安全測試、以及相配套的階段性體系后才能夠讓企業走的更遠。做電商也更是如此。

縱觀電商巨頭京東近五年在安全領域所遇到的問題，發現京東所遇到的安全問題和同行業遇到問題基本一致。

• 2012年隨著CSDN數據泄露事件的爆發，導致一批泄露數據庫浮出水面，繼而出現的最大問題就是撞庫問題。當時整個互聯網都在梳理自己公司的登錄列表，當然京東也不例外。做賬號相關的登錄風控，其中包含登錄、找回密碼、重置密碼、策略管理、賬號資產等。做了一年多基本對于撞庫風險做到可控。
• 2013年京東針對框架安全問題投入了很多資源，特別是針對京東常用的框架進行了二次開發，基本做到安全風險可控。2013年也是行業SRC爆發的一年，各家公司都開始組建自己的安全響應中心，做到安全漏洞能夠及時有效的回收到自己公司。
• 2014年對于京東內部進行了大量的改革，特別是針對漏洞流程處理、SLA不同業務的劃分及管理做了很多工作，基本可以保證京東整體漏洞處理流程很順暢并做到助推全公司重視安全的力量;對于業務部門也在做安全官的方式去管理各業務部門的安全質量提升，當時記得印象最深的就是業務部門自己定制安全績效、與安全部門打成一片從開發到測試都在學習安全知識和工作中的實踐。
• 2015年詐騙事件變得多樣性，有短信詐騙、QQ客服詐騙、詐騙電話等非常之多，對于詐騙相關工作不僅自己做了一套系統同時也和其他大型公司進行合作。共同打擊相關詐騙事件。
• 2016年對于數據保護及威脅情報方向會投入一些時間，李老師表示，京東也是在這一方向慢慢探索和學習，并強調，這也是京東在2016年主要的大方向。

透過電商看微商

李學慶表示，微商對于消費者來說打造了一個對于不同訴求及用戶內心需求的平臺，從而也把以前沉重的淘寶模式搬到了輕而簡的手機端。輕模式的誕生無疑就會摻雜著很多線下的詐騙遷到了線上。并且針對于微商來說整體風控模型不統一或不固定，導致微店運營的建設性方向很成功，但風險類方向考慮不周，從而爆發出各種符合微店條件的各種詐騙店鋪出現。

對于行業來說需要去細化垂直行業標準、策略、審核、合法流程等。對于消費者來說加強安全意識，使用陌生微商時需要謹慎，不要圖一時便宜被詐騙團伙忽悠。

增強防范意識，避免上當受騙

對目前網絡上種類繁多的詐騙手段，作為用戶，要想避免上當受騙，李老師給出了以下建議：

1. 店鋪的合規性是否符合，就像很多看著是官方發布的信息卻在公眾號、鏈接上出現不合規痕跡;
2. 對于很多需要你更多用戶信息、支付信息的微商需要謹慎操作;
3.  對于先付費或退款流程不清晰的微商需要做到足夠冷靜再去行動。

其次，從技術角度看，

• 一可以通過資金監管的方式避免一部分用戶資產受到損害。
• 二是微店管理者通過大數據的分析對店主數據排查，大方向的問題通過系統就可以篩選掉。

電商安全的明天需要我們共同參與，共建信任平臺

對于電商行業來說未來還會遇到用戶的身份識別上存在很大的問題，如果用戶的信任體系不完備隨之而來的不僅僅是詐騙行為，會給惡意者帶來一個全流程的詐騙鏈條。當然信任體系不是電商一個公司就可以完成的，需要不同體系下的人員共同參與，共同建造高可信的平臺。

關于51CTO舉辦的WOT峰會，李學慶這么說。WOT是一個很高端，并能夠切實吸引業內技術人才分享交流的一個平臺。并建議WOT是個開始，后續可以把所有技術人才的培養、規劃、甚至到行業痛點咨詢和有償方案制定實施，把WOT的戰線拉得更長。

最后，李老師給我們透露了將在本次WOT2016企業安全技術峰會上所做的演講。表示將會根據京東近5年的安全建設之路，分享京東在不同時期所做的安全產品、服務及安全體系建設，希望通過京東實實在在的經驗教訓，給電商企業一些啟示。