电商行业安全解决方案课件

1、电商行业安全解决方案如何成为数据钢铁侠第1页，共22页。电商行业数据安全风险如何成为数据钢铁侠案例和总结目 录content第2页，共22页。安全世界的企业分类法则 知道自己被黑不知道自己被黑安全世界的黑暗森林法则暴露在公网就会被攻击，越出名攻击越猛烈第3页，共22页。倒闭原因直接经济损失网站排名下降网站信誉下降网站被提示风险对于中小企业，数据泄露是黑天鹅事件 对于大型企业，数据泄露需要强大的公关第4页，共22页。数据泄露的不同姿势漏洞导致的拖库 撞库弱口令移动App漏洞主机漏洞应用和业务逻辑漏洞数据明文传输流量劫持、篡改，钓鱼网站中国Top 15电商（Alexa排名）只有6家做了全站HTTP

2、S，其中3家是阿里系的2017年所有IOS应用强制要求必须HTTPSChrome即将把HTTP站点标记为不安全第5页，共22页。脚本小子职业黑产专业黑客黑客组织数据泄露的威胁来源扫射全网扫描0day漏洞 及 弱口令低成本入侵最脆弱的网站定向针对性攻击应用层及业务逻辑漏洞周期长，成功后收益高第6页，共22页。电商行业数据安全风险如何成为数据钢铁侠案例和总结目 录content第7页，共22页。账 号 认 证 授 权 审 计客户阿里云地域（Region）可用区（AZ）骨干传输网基础设施物理资源计算存储网络ECS飞天分布式云操作系统资源抽象和 控制虚拟网络云服务器操作系统业务&应用数据账 号 认 证

3、 授 权 审 计云盾SLBRDSOSS安全管理安全运维安全评估资源管理责任共担，共建安全第8页，共22页。安全原则木桶效应天下武功，唯快 不破安全已演变为威 胁数据的对抗第9页，共22页。阿里巴巴网络安全防护经验安全开发生命周期管理（SDL）安全开发纵深防御人技结合借力生态大数据化安全 风险 逐步 降低安全效果衡量指标：漏洞数安全事件数防DDoS + WAF + 主机入侵防护 云安全盾运营阿里云安全应急响应中心（ASRC）大数据威胁检 测第10页，共22页。最佳实践1：防入侵VPC + 安全组安骑士WAF负载均衡Internet网络应用主机态势感知先知计划数据LogsLogs0day防御规则6

4、小时更新CC防护短信接口防刷顶级Webshell查 杀能力还原安全事件 过程，对攻击 者溯源取证， 可在混合云场 景下输出优质白帽子和安 全厂商的众测服 务为效果买单，漏 洞不曝光安全专家服务安全事件应识别定向攻击， 急处理活动、大促 关键时期保 障护航防扫射攻击防定向攻击第11页，共22页。阿里云RDSECSECSWeb安全组ECSECSAPP安全组公网SLB私网SLBVPN隧道加密VPN Instance运维安全组管理控制台OpenAPI服务管理员OSSHTTPS加密SSL加密HTTPS加密用户HTTPS加密云盾证书服务帮助您 轻松实现全站HTTPS，防劫持、防窃听云盾加密服务让您的 敏感

5、数据加密存储， 未经授权员工及黑客都 拿不到数据加密服务最佳实践2：数据加密CDNDDoS高防WAF证书服务加密服务第12页，共22页。滑动验证风险识别风险用户查询数 据 风 控注册登录活动下单交易建议使用：滑动建议使用：风险建议使用：风险建议使用：风验证识别+滑动验证识别险用户查询防垃圾注册防刷库撞库防活动作弊防刷单炒信防短信攻击最佳实践3：防撞库第13页，共22页。电商行业数据安全风险如何成为数据钢铁侠案例和总结目 录content第14页，共22页。服务端安全威胁：客户端的安全威胁：移动App浏览器黑客发起DDoS/CC 攻击导致业务中断DDoS攻击黑客入侵造成网页篡 改、数据泄露、资金

6、 损失和公关危机黑客入侵垃圾注册、撞库、刷 接口、刷积分、黄牛 党、羊毛党等欺诈行 为造成的业务损失业务欺诈移动App漏洞，仿冒应用流量劫持不仅仅是数据安全第15页，共22页。菜 鸟 物 流智能物流骨干网淘 宝天 猫Aliba Aliexpress电子商务支 付 宝小 贷保 险基 金蚂蚁金服双十一安全挑战数 据 泄 漏黑 客 入 侵数 据 泄 漏业 务 欺 诈D DoS攻 击黑 客 入 侵数 据 泄 漏内 容 安 全业 务 欺 诈D DoS攻 击DDoS攻击3000次Web攻击92万次阿里云云盾https 750万qps流量劫持数据爬取炒信/刷单CC攻击短信接口被刷WAF+安骑士+态 势感知D

7、DoS高 防安全专 家护航双十一 护航第16页，共22页。WAF安骑士证书服务态势感知绿网主机与应用安全网络安全业务/内容安全大数据安全 分析数据安全先知计划数据风控加密服务高防IP安全管家专家服务移动安全终端安全云盾产品与服务Family无论系统是否在阿里云上均可使用第17页，共22页。4大核心能力防御DDoS高防 安骑士 WAF先知计划 证书+加密 数据风控 绿网感知态势感知 威胁情报止血自动响应 安全运营反击僵尸网络压制 溯源取证第18页，共22页。阿里云RDSECSECSWeb安全组ECSECSAPP安全组公网 SLB私网SLB堡垒机运维安全组OSS用户加密服务案例：某电商客户防入侵WAF安骑士态势感知VPC+安全组安骑士主机入侵防护Web应用防火墙加密服务态势感知（安全大屏）网络层主机层 应用层 数据层 安全管理SaaS化安全服务助力客户1小时构建安全纵深防护体系 业界首个云加密服务保护敏感数据，黑客拖库也不怕 全天候全方位感知网络安全态势，安全大屏实时展示第19页，共22页。案例：某电商客户大促防DDoS攻击第20页，共2