昨天（10月30号），华为第二届安全沙龙在深圳百草园召开，牛君荣幸列席。虽然不是来作专程报道，但习惯了码字和拍照，手痒难耐。于是，一段华为MM的热场舞之后……

华为信息安全部部长陆焱致辞：

本次沙龙虽然只邀请了100多人，但包括了四十多个企业，大家都对安全非常重视，希望加强交流。

这是一个最坏的年代，也是最好的年代。

坏

第一，我们面临的环境有了很大的变化，从传统安全时代已经进入了社交化、云化、移动化的时代，这是一个很大的挑战。第二，要防护的越来越多，不仅仅是企业本身的资产，还要保护客户的隐私。第三，攻击越来越自动化、产业化，对抗需要企业之间的合作。

好

华为举办安全沙龙，是为了向同行学习，提升华为安全能力，加强在情报、漏洞、信息方面的分享，共同构筑生态圈。通过交流，帮助华为更好的应对转型，此为本次沙龙取名“问道”之含义所在。

华为商城发展与安全之路
–华为IT安全部周麟

一、消费者业务发展之路

2003年成立手机事业部，2010年突破1亿部发货量，在全球份额达到50%。12年实施品牌产品渠道三大转变，推出精品旗舰手机，2014年销售收入达到数十亿（具体数字记不清了）。

华为商城，12年正式运营，14年爆发增长，数字暂时保密。

二、踩过的坑

黄牛党。自动化抢购，支持账号批量登录、验证码打码平台、发货地址自动化，订单批量生成。

羊毛党。刷优购码、刷抽奖。曾经一个优惠活动，引来70万个新注册号。

DDoS。

三、华为电商IT整体策略

1. 华为私有云+业界公有云构筑电商基础平台，实现快速交付及弹性扩展；

2. 基于IT大平台设计柔性的架构，DevOps一体化运作快速响应一线需求；

3. 构筑基础安全长城，补齐隐私保护与业务安全能力，实现实例 、合规运营。

四、传统安全到业务安全的转变

华为商场安全生态圈的建立很重要，要建立情报共享机制。

电商安全服务和产品化的初步探索
–京东信息安全部总监晋亮

一、电商安全部门要做些什么？

比如提交一个漏洞，研发部门却不明白到底有什么影响。因此需要通过演示，让研发人员认可。但漏洞依然还是会出现，所以需要考虑从本质架构上，从问题产生的根源上梳理，然后和研发部门对接，才可能解决根本问题。并形成让研发人员使用安全部门提供的工具去解决问题，即产品化的安全服务。

（沙龙现场，灯光昏暗，未带单反，凑合着看哈）

二、后面的路要怎么走？

1. 状态感知，更多的数据、更强的分析。
2. 控制技术的提升。即保证安全，又增强体验。
3. 产品服务的云化。
4. 从内部价值到外部价值。

公有云安全挑战和发展
–UCLOUD安全中心总监方勇

一、云服务的第一大挑战，DDOS怎么办？

1. 平台稳定（封堵） VS 客户可用（清洗），UCLOUD选取了前者，但封堵效率必需在1分钟之内，否则就算事故。

2. 清洗商业方案 VS 自研，这两者UCLOUD是并存的。

3. TILERA vs DPDK , UCLOUD采取了后者。

给电商的建议：封堵效率很关键。

二、好多花式客户怎么办?

UCLOUDE 10个数据中心，2万+企业，2亿+客户的用户，各式各样的应用，安全运营是关键。多租户隔离仅仅是开始。

即使抓重点，重点也不少，如何下手？虚拟网、管理网、物理网的网间隔离是重中之重。

给电商的建议：对大二层说不。

三、不够快怎么办？

漏洞响应慢一步，全平台客户受影响。跟在客户/问题后面，就会被客户/问题带着跑，云平台中突发的问题会淹没技术支持、研发和安全团队。

Xen/kvm/docker如何控制逃逸？热补丁是在和时间赛跑，0Day需要纵深防御，虚拟补丁、访问控制、精细审计。

给电商的建议：至少要有热补丁。

四、挖断光纤怎么办？

面对光纤挖断、网络抖动、骨干故障、紧急割接等物理问题，三种解决方案，POP点、同城打通、异地打通。

给电商的建议：重点建设同城多活、异地多活，依赖异地打通为补充。

五、WEB应用安全怎么办？

目标：通用、平台型漏洞防护

串联 VS 旁路 VS 路由（查打分离）

漏报 VS 误报，允许漏洞，规避误报

我要商业版的WAF？（混合云、应用市场）

给电商的建议：通用版WAF和商业版WAF并举。

六、保镖、保安还是保姆？

公有云中，服务提供商和客户在安全在职责上的边界在哪里？做保姆是态度和技术问题，保镖或保安要产品和运营去思考。

给电商的建议：保安+保镖。

七、你会看我数据吗？

讲虚的（时间、意愿）：合规、企业文化、人员组成、内部事件教育。

讲实的（能力）：职责分享、内部稽核。

给电商的提示：选择中立的、专注的、高（忙）速（忙）发（忙）展（忙）的云计算平台；能HTTPS就HTTPS。

八、甲方到丙方如何转换？

安全行业中，甲方（京东、唯品会）、乙方（绿盟、启明），丙方（360、阿里、UCLOUD），对内是甲方，对客户是乙方。心态、行为模式、关注点、技能点有很大变化。

Whatever，客户优先。

给电商的建议：选择服务较好的云计算平台。

九、最后该怎么办？

持续投入钱、人、资源。

给电商的提示：只找做云计算和云安全的服务商。

十、公有云安全的未来？

云安全的弯道超车。目前是一线/二线安全公司（阿里+安恒），还会有许多云安全的创业者，以及系统集成商/IDC。

技术趋势是聚集上层安全、SaaS、轻资产。

业务安全之防守者说
–中国平安安全产品总监戴鹏飞

“我们‘吃’数据，然后提供数据分析服务。”

平安业务的风险点：账户、交易、支付、信息。

一、账户安全

高危IP识别，如泉州、广西部分地区、儋州、东南亚、巴西、俄罗斯等地的IP。

IDC类收集，如服务器段IP注册、典型各类云、僵尸IP，从广告欺诈延伸到羊毛党。

羊毛党有着精细化的分工

手机验证码对抗，如爬取收码平台手机号、授权验证、合作数据验证、电话验证、设备指纹、人机识别、恶意账户、通信关系网络分析。

“中国网站的验证码机制已经反人类了。对黑产无能为力，却给用户带来了烦扰。”

“手机号入网时长，对反欺诈业务有着至关重要的意义。”

2. 交易安全

分为实名、订单泄露、刷单。实名身份校验，由于身份证信息大量泄露，这种检验的意义已经不大。

“在抓捕某电信网络犯罪分子的时候，发现其计算机上有6亿条身份证信息。”

解决方案，可以通过行业黑名单共享和地下情报收集。

总结

内忧：攻防成本；贪吃蛇的教训，死于越来越大；
外患：游击队 VS 全成旅；没数据别BB，貌合神离的各类合作组织；
其他：情报组、爬虫组、重案组、政委下连队、联席作战；数据在手，天下我有（宽表、关系网络）；联防（黑手机、高危身份证、黑名单、多头贷款、黑卡）

浅析账号体系安全

　–携程信息安全部王润辉

一、如何防止金融安全账号体系？

1. 防撞库，人机识别（规则，模型等）
2. 数据搜集，账号标签（指纹、行为、生物信息等）
3. 用户价值体系（信用，行为频度等）

二、为什么会讲密码安全？

1. 因为用户密码较弱，如123456，888888等
2. 用户账户密码各个网站一样，一家泄漏，全部遭殃
3. 被钓鱼网站欺骗输入的密码
4. 被病毒木马盗取

三、密码泄漏的影响？

1. 用户信息泄漏，舆论风险
2. 银行卡盗用风险
3. 账户欺诈风险
4. 账户诈骗风险

四、如何去掉密码？

1. 用户信息识别
2. 登陆方式完善
3. 用户主动选择，提升安全感知
4. 自助信息验证，流程优化
5. 减少密码使用场景

电商O2O防刷
–腾讯安全平台部颜国平

电商行业放血式补贴催生大量羊毛党，有着精细化的分工。薅羊毛工具已经半/全自动化，高额收益，有资金有意愿打磨先进兵器。对企业造成，成本、口碑和公关方面的严重影响。

一、腾讯做的防刷风控系统

防刷系统的技术框架

风险引擎的逻辑构成

腾讯在电商防刷最大的优势不在方法上，而在大数据上。

腾讯在电商防刷的优势-大数据

产品层，打击刷单要形成纵深防御，从注册、登录和活动三个环境，设置防护，增加刷单成本。

刷单检测大数据利器一：IP画像

刷单检测大数据利器二：手机号画像

刷单检测大数据利器三：手机设备画像

“基本上没有黑产接单去破解腾讯的验证码，因为成本高。”

茶话会：

一、如何防止黄牛刷单？

京东安全经理李学庆：到活动的时间点，通过改变页面等参数，让秒杀器失效。或在活动过程中，设置需人工互动的问答关卡。考虑和一些第三方公司合作，弥补防欺诈能力。

携程安全总监凌云：对于机器刷单，各种方法的验证码进行人机识别，另外一种是通过JS脚本识别。对于真人，通过浏览器指纹、异常行为等事先筛选恶意账号，打过标签的账号是无法抢购到商品的。与其他公司数据交换，目前已经有300万黑名单手机号。

岂安罗启武：甲方先要有监控机制，然后再跟进其他的防护手段，要做到平衡、可控。

阿里高级安全专家方超：阿里现在考虑的是安全和体验兼得，对不同的用户进行区分，对于受信的用户、灰色用户，有嫌疑的黑用户不同的关卡。

二、如何应对与同行数据交换的难点？

凌云：数据交换是加密的，做碰撞，撞出来则是黑的，没撞出来数据也看不到。有投资关系的公司，法务问题就宽松一些。

方超：内部的数据权限控制很严格，非本权限的内部人是不能查的。如果某人去查，属一类违规。阿里定义的是互联网+安全，数据交换，法务部门会介绍各个国家的隐私法，指出哪些数据是不可以交换的。数据放在阿里是非常可靠的。
三、如何防止用户隐私泄露？

方超：1. 加强隐私泄露成本 2. 一系列的针对内部的监控措施和举报联动机制。同时，阿里正在参与设计电商保护用户隐私方面的国家安全标准。
颜国平：任何一个产品在上线之前，要走统一的流程规定，如漏洞扫描，以保证产品合规。第二，后台数据保护。如密码数据，加盐，并不会存储在一起。第三，数据总监级别才能看到，登录时需要电子令牌，并通过跳板机，保证数据安全。

凌云：3个案例。1. 某电商平台发生内部员工贩卖信息，离职之前把一个月的购买记录以很便宜的价格卖掉。之后做了一个解决方案，把所有与个人隐私相关的数据加密，包括密码、手机号、地址、邮箱等。解密时，需要审批。2. 发现海南的诈骗电话非常多，后查明海南某快递公司的信息保护没有做好，直接找其整改。做好网络安全防护细节，然后扫描测试，之后，OK。3. 用户查看历史下单记录时，手机号会被马赛克掉。防止由于弱口令撞库等原因被别人登录，盗取用户信息。

李学庆：针对敏感数据去监控并加密，到一定的时间点销毁解密数据密钥。内部泄露的情况，如Github开发平台发生的泄露，会进行处罚甚至开除。

唯品会安全总监黄承：不光是用户信息保护，企业自身的数据也需要保护，业务数据、人员数据、销售数据等。技术防护手段差别不大，已经到达一定阶段。体系化架构上设计，包括标准、合规，这些只是基本思路。数据流转会牵扯业务逻辑，尽量不能干扰业务逻辑。

总结：
1. 业务安全需要建立在整个公司业务生态的环境里；
2. 攻防是一个持续创新和优化对抗的过程，对抗的不是个人而是产业链；
3. 打击黑产不是一家企业能够解决的问题，需要真正的合作。

10月30日议程结束。

“我觉得如果叫业务安全与反欺诈更容易理解这个沙龙。”

－－安全威胁情报推进联盟盟主金将军