新零售一体化安全解决方案-v1.0外部版

新零售一体化安全解决方案目录安全现状解决方案客户收益成功案例“新零售”介绍马云说：线上的企业必须走到线下去，线下的企业也必须走到线上去，线上线下加上现代物流，才能实现真正的新零售。“新零售”概念定义“新零售”的优势安全威胁态势危害性巨大、直接控制服务器权限：HeartBlood(Openssl高危)、Struts2系列(s2-045、s2-048等)平台系统多数使用的通用Web组件如apache、iis、phpcms等几乎每天都有新型漏洞爆发工具脚本化、流水线的黑产行业极大降低了入侵成本、加快了入侵速度(爆发当天全网扫描)每天都在面临新型0day攻击商家熟知的业务痛点有人冒充客户购物、退货或冒充自己进行沟通商品价格被修改，上架的商品被删除，商品信息被修改等交易对账失败，商家或客户资金或交易数据异常物流信息被篡改，导致客户无法正常收到购买的商品交易平台无法正常访问或访问速度很慢，从而导致客户无法交易或者流失因受攻击，商品交易后，商家无法及时发送邮件或短信给买家APP漏洞利用，账号被盗用黑客入侵，后台数据被篡改系统遭受DDoS/CC攻击熟知的业务痛点，却不为知的安全接口攻击，导致资源被耗尽典型风险-用户、售卖数据泄露用户资料拖库订单泄露销售业绩泄露数据泄露容易被竞争对手进行商业分析而造成不可预估的经济损失触犯《网络安全法》个人隐私保护的高压线甚至导致消费客户被诈骗而负刑事责任机器爬虫、恶意扫描对应用系统的安全威胁典型风险-业务欺诈互联网数据化时代下、业务场景成为黑产重点攻击目标业务层面的场景攻击：感觉明显、损失巨大攻击角度：Bot伪装、风险欺诈恶意好评、刷榜营销作弊、抢红包恶意下单、刷单克隆网站商品抢售典型风险-短信注册&恶意登录网站侦查攻击还原登录网站的注册页面、抓包了解接口访问伪装脚本构造短信注册接口

批量化发送拿到数据危害短信注册接口被大量调用、短信费用耗光、一天数千元竞争对手获取网站真实客源、定向推销通过注册&撞库响应，掌握用户是否在网站注册、实施定向诈骗典型风险-比价爬虫网站侦查攻击还原了解网站结构、商品页面准备爬虫爬虫批量化访问商品

爬取商品价格、打标比价数据危害竞争敌手爬取商品价格、制定价格策略恶性竞争网站被恶意爬虫海量页面爬取、资源消耗、变卡变慢目录安全现状解决方案客户收益成功案例方案设计思路新零售一体化安全方案“云·管·端”全方位完善的云端纵深防御线上线下一体化全生命服务周期云：云端后台整体安全防护；管：网络传输攻击防护，实现HTTPS化、防DDoS、CC攻击及应用层攻击；端：移动应用（APP）端提供全生命周期的安全服务，APP漏洞发现、加固；云上业务整体态势感知，实现潜在威胁可视化；针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警；云主机全量漏洞管理、基线检查和入侵告警等线上线下全方位态势感知，构建全景威胁可视化云下生产系统主机漏洞管理、基线检查和入侵告警等；事前：安全威胁可预警及可预先决策防御事中：威胁风险控制，减少攻击面；事后：合规审计、攻击溯源；一体化安全架构设计目录安全现状解决方案客户收益成功案例项目建设效益-保障企业合法运营第十条建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。第二十一条

国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。明确网络运营者的定义及安全要求第二十五条

网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。法律责任：1、不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。2、违反本法第四十七条规定，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。项目建设效益-防止客户隐私泄露法律责任：违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。收货地址邮箱账号消费记录实名认证信息项目建设效益-保障业务安全运营安全业务连续性0元购品牌竞争力羊毛党通过安全建设保障业务安全，实现以下价值：提升业务连续性，防止因攻击而业务中断加强入侵篡改能力，防止“0元购”避免“羊毛党”薅羊毛提升品牌竞争力方案适用场景纯电商平台初创电商平台公司出现安全事故客户，如“0元购”未履行等保建设客户线上线下一体化平台线下初转型线上，缺乏经验客户需要一体化防护方案客户需要弥补传统方案不足的客户目录安全现状解决方案客户收益成功案例阿里云帮助XX餐饮平台快速提升安全能力解决方案APP接入安全组件，保护加密密钥和算法，防止伪造请求刷后台接口。使用云盾BGP防护包对XXX云端入口的120个SLB统一做DDoS防护。通过安骑士保护XXX云上核心服务器，未来可将扩展至IDC。通过业务安全手机情报，对每日数十万新注册用户进行风险拦截。客户收益协助客户解决了头疼的DDoS防护、服务器安全和羊毛党识别等问题，未来在防爬需求上还会有更深入的合作。通过阿里云提供的核心安全能力，XXX安全团队不用再重复造轮子，可以腾出更多精力支撑业务的快速发展。安全痛点XXX是国内专业的餐饮O2O平台，过去多年一直专注于业务的发展，自身的安全体系和能力与业务体量相比，还有较大的差距。基础设施安全方面，对DDoS防护、服务器安全管理有着强需求；业务安全方面，行业存在激烈的竞争，爬虫和薅羊毛的问题普遍存在。云盾为XX集团新零售保驾护航解决方案入侵防护：WAF、安骑士、证书服务、态势感知安全运维：堡垒机、数据库审计网络安全：DDoS防护业务漏洞：先知安全众测业务安全：利用黑产手机威胁情报识别刷单黄牛客户收益建立纵深防护体系，对各种互联网威胁进行有效阻断。有效防止黑产和黄牛刷单，保护消费者利益，完