隨著淘寶的崛起，我國的電子商務在呈爆發式增長，每個電商都從單一化轉型為多元化發展，同時由于電商的交易環境有著虛擬性和匿名性，安全便成為了成功電商的基石。消費者使用電商進行購買，交易成功便會形成信任，但是當電商受到了惡意攻擊，盜取了消費者的信息，甚至對電商本身也造成了直接損失，不僅使電商的信任值會急速下降，還有可能使電商一蹶不振，所以作為電商，應該怎樣抵御惡意攻擊呢？

嘉賓介紹

[[167857]]

林鵬，萬達電商 主任安全工程師，目前負責萬達電商的安全工作

首先了解一下惡意攻擊行為。惡意行為的判斷可分為兩種，一個是傳統互聯網的惡意行為，另一個是屬于業務的惡意行為。傳統的惡意行為指的是惡意攻擊，黑客利用掃描器或者新出的漏洞的exp掃描企業，而這恰巧也考驗到了工程師應急響應的能力，對新漏洞的感知能力，以及對攻擊方法的實踐程度。了解了攻擊方法就可以知道相應的防御措施，同時也需要比攻擊方更早的發現公司的漏洞 。

在業務方面存在最多的惡意行為就是刷單了，包括惡意注冊、套利、刷單等行為，但是業務方面的惡意行為還需要同業務交互，得到攻擊方法和行為，再通過技術進行控制。一直以來各大電商和買賣平臺都存在著刷單的行為，雖然對企業的購買力造不成那么大的影響，但是卻在降低著客戶的滿意度，達不到企業的宣傳效果。刷單的情況在互聯網金融上卻會造成直接的損失，像時下最流行的注冊返現金，如果有人虛假注冊，企業就必須對虛假情況買單，這便是最直接的損失。針對對抗刷單這個話題 ，在以前的《解析互聯網金融安全里》邊有過一些說明，這里就不具體展開說了，總之刷單平臺由于利益驅使，而且刷完這家還可以刷別人家，因此對抗他們是一項任重道遠的事情。

流量算是電商的生存之本，如果有攻擊者針對流量進行分析，又該如何防控呢？HTTPS的方式只能防止大半數的分析攻擊，更要阻止其不能滲透到內網進行ARP嗅探，或者私自接網線到交換機，這是對流量最大的威脅。用HTTPS的方式就一定要使用雙向校驗的基準，不只用來加密還要對服務端進行驗證。另外從移動端來說，還可以找老版本的沒有做過HTTPS的，雖然有更新的地方，但是不會大規模的進行改動，因此想完全的防控住分析不太可能，所以要盡量做得好。

電商或多或少都會做對用戶信息的收集，用來確保用戶的后續購買便捷性，然而用戶也非常在意像住址、聯系方式，甚至是身份證號這些隱私信息的收集會不會被泄露。林鵬告訴我，飛凡網收集的用戶信息都是保存在自己的服務器上,并且后續會對收集起來的用戶信息做更嚴格的硬加密，只要是有關用戶的相關隱私信息都會使用加密機進行加密，這樣即使有外界拿到了信息也無法應用；從內部來講，像營銷活動需要拿到隱私數據，這時就會形成一個閉環，從提取數據到銷毀，都要確保隱私信息的不落地，包括對隱私信息數據庫的審計，都有著非常嚴密的措施。

飛凡網的安全團隊成立一年多，從填坑式的開始到現在有了一定的規模，是抓到的安全體系問題堆起來的，現在的首要目標就是把安全防御體系建立起來，將業務安全重點提上來。因為開始時不斷被攻破，從而累積起來了不少經驗，再加上現在和業務部門聯合起來，一起挖掘數據，相信飛凡網的未來一定不容小覷。