诸子云 | 活动：11.25广州走进大型互联网电商网络安全建设运营

本次研讨会活动，邀请到了Amber Group、广汽如祺、酷狗音乐、趣丸科技、点猫科技、屈臣氏、美宜佳、银汉科技、广发银行、平安银行、碧桂园、腾讯、中国移动、天翼云、华大基因、中信银行、网易游戏等安全专家参与。

某电商企业安全专家杨静怡、Amber Group合伙人兼Web3安全团队负责人吴家志博士、某出海金融企业业务安全负责人黄平、某互联网公司高级安全专家李磊等安全专家分别进行了分享。

杨静怡提到，在传统业务与安全的关系中，不可避免存在着诸多矛盾以及错误的认知：比如业务认为安全总是在对业务设障，拖缓业务的发展；业务就是业务部门该负责的事情，而安全只需要管好安全，认为安全不可能带来任何业务价值。

事实上，无论是何种形式的安全，其带来的价值可能是多重的。可能是看得见的，也可能是无形之中的。所以安全人一定要坚信，安全是有价值的，并通过分享的几个具体落地案例，来说明电商数据安全如何赋能各种业务场景。

站在安全视角上，思考该如何更好地助力业务发展？首先要避免空谈，不要只单薄地去谈风险。要最大限度去平衡安全与效率或收益的关系，要把数据安全作为整体来考虑，更多关注于数据在各个系统间的流转。然后抓住各个环节的核心风险，站在专业的角度，综合评估，最后为业务提供一个较为安全的业务需求解决方案。

杨静怡介绍，安全与业务的关系应该是合作共赢，而并非对立的，自己也得益于这种关系的转变。现在越来越多的业务方会主动邀请安全在项目初期规划的阶段就介入进去，因为业务方知道这样能够最大程度上规避一些风险点。尤其是对自研比重比较大的企业，这样做的价值可能会更大。

业务与安全在天平的两端，可能永远无法达到完美的对等。安全要做的就是在矛盾中最大限度寻求一种平衡。

吴家志首先指出Web3安全现状的残酷性，当前每天损失达数百万美元。从2016年至2022年，全球相关黑客呈现快速的上升趋势。每年加密货币的被盗价值从一两亿美元迅速增加到三十多亿美元。

Web2和Web3的安全挑战有哪些区别呢？Web2软件错误可能导致关键数据泄露，但不会造成直接经济损失，但Web3软件缺陷可能导致直接经济损失，且没有机会挽回经济损失，秘钥丢了就会一无所有。

Web3安全中有一个重要的问题是私钥管理。私钥就像是一个人的资产控制权，即别人可以在远程直接将资产拿走，并且可能在完全没有察觉的情况下。所以需要严格管理自己的私钥。

此外，Web3安全实践需要安全审查和设置白名单，即不信任+核实。常见错误表现在算法溢出、精准度误差、意外兼容性、访问控制、重入攻击、逻辑错误等。

Web3安全实践除了掌握区块链数据分析外，也需要进行安全研究，有时需要向攻击者学习，研究数以百计的黑客攻击手法，构建识别零日漏洞的安全工具，参与Web3夺旗攻防游戏，提升攻防技能。

黄平介绍，当前，金融行业面临的业务维度风险主要有三个方面，涵盖账户安全、营销作弊和交易安全。

账户安全主要包括账户盗用和身份伪冒。账户盗用的意思显而易见，即是通过各种手段，将别人账户中的资金盗走；身份伪冒比如用别人的身份开设银行账户，然后去申请银行贷款。

营销作弊主要包括裂变拉新、秒杀红包、支付立减。金融企业经常会开展一些营销活动，可能会被一些攻击者盯上，采用薅羊毛之类的非法手段，影响正常的业务营销。

交易安全主要包括虚假交易、赌博、洗钱等。

对于上述业务维度风险，金融企业也做了一些解决方案。比如在风险识别层面，利用专家规则、账户风险模型、交易模型等决策引擎，还会利用设备用户关系、邀请关系、设备IP关系等图谱特征，并采取一些奖励拦截、二次验证登风险处置手段。

黄平提出一个问题：现有模式能否满足业务安全需求？对此，他分享了三个案例。

黄平总结道，在面对复杂多变的业务场景和对抗新型攻击手段，依然存在管控盲区，但黑产最终目标是来批量获利，在业务数据层面存在一些共性，可以通过在业务数据层面的波动来提前发现风险。

从而，黄平提出了金融业务安全的新挑战与目标，主要是构建有效的风险指标（监控）体系，用以感知业务风险盲区。可以着力于三点：1、风险场景全链路覆盖；2、多维度指标监控；3、风险归因分析。

最后，黄平介绍了整体实现效果案例，比如可以收到告警，拉新邀请量某时段徒增。并且可以定位到相关原因，比如新上线账户注销功能，用户可以不停的注销重新KYC获取奖励。

李磊介绍，当前，数字化转型带来上云趋势加速，从传统制造业到互联网企业不一而足。但是，这里存在一个问题：上云，安全准备好了吗？

李磊引用了几组数据，揭示云环境与云安全的相关负面现状。比如云环境中数据泄露的比例为82%；到2025年，云安全全问题中由用户错误配置导致所占比例为99%；2022年数据泄露受害者数量较2021年增长41.5%；2023年云数据泄露的主要归因为人为错误增加55%。

企业云化后反而问题更多？是云本身不安全吗？所有云平台都存在这个情况吗？企业云化安全还有保障吗？对此，李磊分享了云上与云下安全的差异。

企业云化安全管控，应该把握共性下的个性。兼顾共性特征，把握个性差异，把握“症状“，方能“下方”有道。要注意云原生下做安全的天然优势和云原生下做安全的独特挑战。

在企业云化安全管控新优势层面，主要体现在原子能力原生化、原子能力耦合化、管控平台云原生化、日志标准化、运营能力自助化等。

李磊举出OSS案例来论证企业云化安全管控的新挑战。如果桶设置非私有，则无需经过防火墙访问控制放通，数据即可在互联网被任何人无需授权访问；授权管控存在复杂性，一个桶都有三种授权机制，可独立可组合，稍有不慎，数据同样可在互联网被任何人无需授权访问。

在实践层面，数据安全的难点和痛点主要体现在无最佳实践、高复杂性、云厂商也头疼、存在后门、特例存在、特权复杂、治理成本大、控制无法完全落地灯。

云化数据安全治理应当安全左移，1、应用安全实践有“安全左移”概念，数据安全同样适用；2、敏感数据重心落在应用数安范畴。能不落端就不落，落端还需可追着；3、左移多，体验优；左移少，体验差。

最后，李磊进行了相关总结，他认为希望单纯依赖云产品构建云上数安管控体系是不现实的。所有云产品拿来即用的思路也是不可取的。同时，希望引入三方非云平台安全产品，需要考虑云平台环境的融入性和复杂度。

此外，每家云平台都可能存在安全漏洞，只是存在多与少、发现早与晚的问题。但是，更多的时候，其实是作为甲方企业没有安全、合规的使用云而造成的安全漏洞或数据泄露，云平台间接成了”背锅侠“。所以，坚持做好用云安全第一责任人的角色定位是重要的。

云上OCBC安全管控框架中的C控制控权控桶天然具备安全属性，单纯的管理要求或职责转嫁，安全始终会处于一个被动收拾的角色，建议安全团队主动承担或提供标准的平台化安全能力支撑。

活动相关资料欢迎大家在知识星球下载~