导语:本届峰会围绕“内、外部产品安全技术、安全产品设计、业务安全、安全监控与响应、安全风控平台、互联网与金融、安全项目管理、威胁情报、信息安全管理与培训”10大议题方向回顾并分享了近一年来唯品会在电商信息安全建设中的诸多实践经验及

2017年5月20日,由唯品会信息安全部主办,唯品会安全应急响应中心承办的“因唯安全,所以信赖——深度揭秘唯品会信息安全建设实践 2017唯品会第二届电商安全峰会”在苏州成功举办。

1495355424935030.png

本届峰会共邀请到11位来自唯品会内部的一线行业大咖带领现场超400位与会嘉宾,围绕“内、外部产品安全技术、安全产品设计、业务安全、安全监控与响应、安全风控平台、互联网与金融、安全项目管理、威胁情报、信息安全管理与培训”10大议题方向回顾并分享了近一年来唯品会在电商信息安全建设中的诸多实践经验及卓越成果。

十大议题,十个方向,全面展示唯品会信息安全建设实践

2.png

议题一:外部产品安全技术——《安全之弹性管控》

演讲人:朱应龙

唯品会信息安全主任工程师,信息安全行业老兵

作为全球最大的特卖电商以及中国第三大电商平台,守护近3亿注册会员的信息安全是唯品会义不容辞的责任,为了给用户提供更加安全的服务,唯品会信息安全主任工程师朱应龙分享了如何利用企业基础信息、终端行为、网络行为、安全日志等信息,实现用户和设备的快速定位、历史轨迹追踪、层次化安全响应,风险适度管理,从而以实现企业弹性安全管控的理想状态。

3.png

议题二:安全产品设计——《业务与安全的冲突和平衡》

演讲人:刘新永

唯品会高级安全产品经理

在最重视体验的电商企业和业务驱动的组织生态中,唯品会高级安全产品经理刘新永从产品设计的角度出发,以真实的业务与安全的冲突案例引申出对冲突的根源探索,总结出了在面对业务与安全的冲突抉择时经常遇到的逻辑悖论,从业务roi与黑灰产roi的对比分析中探索解决业务与安全冲突的决策思路,并通过案例剖析实践方法,为达到业务与安全的平衡目标提供了具有实操性的方案要领。

4.png

议题三:业务安全——《安全运营的艺术》

演讲人:梁肇星

唯品会资深信息安全工程师,专注业务安全和风控分析以及运营

唯品会资深信息安全工程师梁肇星通过业务安全运营实践中遇到的典型案例,介绍了唯品会业务安全运营的成长过程,探索用快速,准确,高效的方法去定位和解决问题,进而总结出了业务安全运营自动化在实践中运用的经验和意义。

5.png

议题四:安全监控与响应——《我们如何经营创新》

演讲人:孟诚

唯品会监控响应团队资深信息安全工程师

会上,唯品会安全监控响应团队资深信息安全工程师孟诚表示:“创新是现今的热词,也是持续保持一个企业、一个团队竞争力必不可少的基石”。但在传统的管理体制中“对创新鼓励不足,对犯错惩罚不小”的问题却经常存在,这使得大多数人宁愿选择不犯错,也不愿冒险创新。对于这一问题的解决,孟诚从如何具备创新思维、如何选拔创新人才、如何营造创新的气氛以及如何建立一种新的评价体制等四个方面阐述了如何经营创新。

6.png

7.png

议题五:安全风控平台——《唯品风控进化史》

演讲人:杨哲、邵帅华

唯品会风控团队高级架构师,在金融、支付领域耕耘十几年,对风控系统建设有丰富的经验

唯品风控团队资深数据工程师

业务安全日益严峻,各种薅羊毛技能此起彼伏,风控工作不进则退。唯品会风控团队高级构架师杨哲和风控团队资深数据工程师邵帅华总结了一路走来遇到的种种问题,比如盗号、恶意拒退、薅羊毛、刷单等,更为严峻的是,当前的风控常常存在:风险点广,利益丰厚,黑产链复杂,攻击手段自动化,防御措施被动的难题,唯品会在遇到上述问题之后,利用自己的实战经验总结出了一套切实有效的解决方案。

8.png

议题六:内部产品安全技术——《伤口撕开,给你看》

演讲人:沈海涛

唯品会资深安全工程师(feng),熟悉企业应用安全,目前关注企业架构安全

Java 反序列化漏洞由来已久,在 2015 年也曾集中爆发过一波。该漏洞以其危害程度高,影响范围广,让人记忆深刻。本次峰会中,唯品会资深信息安全工程师沈海涛全方位分析了VSRC遇到的一个Java反序列化漏洞。深度分析了Java反序列化漏洞在业务场景中的影响,如:敏感信息泄露,信息伪造,拒绝服务,代码执行。针对这种危害性极大的问题,唯品会也给出了相应的解决办法。

对序列化的流数据加密
在传输过程中使用TLS加密传输
对序列化数据进行完整性校验
对RMI监听的IP进行限制

10.png

议题七:互联网与金融——《互联网金融安全建设之路》

演讲人:刘锦祥

唯品会资深信息安全工程师,一直在支付行业负责信息安全工作,对互联网金融安全有着自己的理解

曾几何时,传统金融行业一把手的局面已经转换,互联网金融日渐兴起。但,互联网金融的发展并非一帆风顺,而是面临着非常严峻的安全威胁。唯品会资深信息安全工程师刘锦祥从企业信息安全管理者和建设者的角度详细分析了如何跟随企业的成长,逐步建立起互联网金融企业的信息安全屏障。

9.png

议题八:安全项目管理——《“钢铁意志,优雅着陆”项目管理在信息安全工作中的最佳实践》

演讲人:陈雪——唯品会高级安全项目经理

人是安全环控中必不可少的因素。唯品会高级安全项目经理陈雪以自身为例,娓娓道来她的职责内容,对“安全项目经理存在的意义:在于制定并实施安全制度、实现产品安全方面的需求、执行安全策略、衔接各个部门做好安全工作”等内容进行了详尽阐述。

11.png

议题九:威胁情报——《那些年我们追过的威胁情报》

演讲人:吴灵敏

唯品会高级信息安全工程师,一个游走在文艺与安全边界的人

在动态安全时代,威胁情报是对抗动态攻击最有力的手段。威胁情报会不断的收集信息、分析信息、再收集信息,形成一个可以对抗攻击者的堡垒。唯品会高级信息安全工程师吴灵敏从威胁情报体系建设中总结分享了几个有趣的案例,对“如何机智的获取情报,如何与黑灰产对抗,如何错失几百万”等经验做了生动的经验分享。

13.png

议题十:信息安全管理与培训——《电商安全,管理有道》

演讲人:郑欢

唯品会高级信息安全工程师,多年信息安全行业经验,专注信息安全管理与培训工作

电商企业有着独一无二的成长史,快速多变的企业文化与传统企业截然不同,所以电商企业的安全管理也别具特色。唯品会信息安全高级工程师郑欢基于传统安全管理方法论结合新思维、新实践,就安全管理中关键的四个元素——“人”、“制度”、“风险”、“合规”对唯品会的管理实践进行了一一阐述。同时,还介绍了唯品会走心的安全培训理念和以人为本的安全宣贯形式。最后,对安全管理未来更加“高效、精准、可视”的设想进行了展望。

现场嘉宾对话峰会

对话饿了么信息安全总监——王彬

参加完唯品会第二届电商安全峰会有什么感想?

王彬:唯品会提供了一个很好的机会,既能听到有价值的演讲,还能和这么多的大咖坐在一起,我很荣幸。唯品会在互联网电商安全领域走在业界前列,那些曾经走过的路,踩过的坑,拿出来与行业同仁分享,对于我们来说是一笔经验财富。基于今天的分享我们会明智的跳过一些坑。

今天峰会上的10个演讲议题,您对哪个比较感兴趣?

王彬:“钢铁意志 优雅着陆”——项目管理在信息安全工作中的最佳实践。这是我第一次见到安全大会上有项目经理出来分享议题,安全项目经理这个职位确实很重要,也很必要,我特别喜欢这个议题。

怎样评价第二届唯品会电商安全峰会?

王彬:推动互联网电商行业发展,提升整体安全水平

对四叶草安全CEO——马坤

您两次参加唯品会电商安全峰会,有什么不一样的感想?

马坤:第一届峰会时分享的议题就很棒,当时讲了很多电商行业踩过的坑,而这些坑对于我们来说意义非凡,能从中收获颇多。今年峰会更加的集中在了电商安全,唯品会专业团队详细讲解了自己在实际中遇到的问题,并给出了唯品会的解决方案,这点史无前例。

近期,风控一词频出,是不是意味着风控是当前安全中最为重要的一环?

马坤:风控确实很重要,它能保证大多数的业务不被羊毛党和黑产骚扰,但是安全应急响应能力也同样重要。比如前段时间的Strust2事件,怎样最快速的解决问题非常重要,稍有懈怠即会造成巨大损失,所以风控和安全应急响应同样重要。

对上海市信息安全行业协会副秘书长——王怀斌

参加完唯品会安全峰会有什么感想?

王怀滨:VSRC表面上谈技术,但是骨子里谈的是业务和管理,站的角度不同。唯品会对企业管理、业务运营有着非常丰富的经验,所以这一次分享的议题也都是经验之谈。

您怎样理解唯品会电商安全峰会?

王怀滨:唯品会电商安全峰会对安全行业业务链有着指导性的意义。

“因唯安全,所以信赖——深度揭秘唯品会信息安全建设实践 2017唯品会第二届电商安全峰会”已于5月20日当天圆满落幕。会议的召开以“真实的案例、生动的演讲、创新的观点”向参会者展示了我国现阶段电商信息安全发展的最高水平和全新风貌。会上行业大咖与参会嘉宾零距离沟通交流,分享实践经验,共破技术难题,在不断地切磋与探讨中,也让我们看到了电商信息安全发展的前景与未来。而随着时间的不断推移,唯品峰会也在逐渐发展成为中国互联网电商安全领域“规格高、水平好、影响力广、含金量足”的技术性会议之一的道路上脚踏实地,奋勇前行!

源链接

Hacking more

...