1 / 30

互联网用户安全及淘宝应 对

互联网用户安全及淘宝应 对. 张建伟 致庸 spark@secsay.com zhiyong.zjw@taobao.com. 个人介绍. 网名 spark ,花名致庸 9 年安全经验 2011 年进入淘宝网 会员基础产品经理 账号安全产品经 理 2012 年,用户安全产品经理. 内容概述. 用户安全定义 互联网用户安全的挑战 淘宝在用户安全上的投入 分享淘宝的安全产品经验 用户安全对同行的要求. 共识. 不同的业务 相同的用户 共同的安全. 业务 安全. 技术是骨架,内容是血肉,业务是灵魂 企业 的目标是输出 有 价值的业 务并且以 此 盈利

tate-battle
Download Presentation

互联网用户安全及淘宝应 对

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 互联网用户安全及淘宝应对 张建伟 致庸 spark@secsay.comzhiyong.zjw@taobao.com

  2. 个人介绍 • 网名spark,花名致庸 • 9年安全经验 • 2011年进入淘宝网 • 会员基础产品经理 • 账号安全产品经理 • 2012年,用户安全产品经理

  3. 内容概述 • 用户安全定义 • 互联网用户安全的挑战 • 淘宝在用户安全上的投入 • 分享淘宝的安全产品经验 • 用户安全对同行的要求

  4. 共识 • 不同的业务 • 相同的用户 • 共同的安全

  5. 业务安全 • 技术是骨架,内容是血肉,业务是灵魂 • 企业的目标是输出有价值的业务并且以此盈利 • 最大的威胁来自最核心业务 • 不同业务模式导致不同安全问题

  6. 业务安全举例 • 大部分政府网站发布信息为核心业务,他最大的安全就是主页防篡改 • SNS网站通过UGC信息来保持和促进好友间的社交活动,虚假账号、垃圾信息、有害信息是最大的安全问题 • 以信息筛选竞价排名为主要业务的搜索,业务安全问题应该是反排名作弊,排除有害信息 • 钱流动为主要业务的是支付网站,安全第一目标是保证钱不出问题

  7. 业务安全 通过业务风险控制,保证业务的生态平衡

  8. 站在用户角度看 • 有关钱的问题其实都不是问题 • 钱丢了还可以再赚 • “感情,伤不起” • 隐私信息泄露覆水难收,不可逆转

  9. 账号密码泄露 • 密码泄露后看起来可以修改 • 其实不然 • 平均一个人只能记住7个密码 • 根据应用场景最多分成3个级别 • 频繁改密会导致密码混乱 • 密码管理混乱后,后果类似于遗失密码

  10. 其他不可变信息泄露 • 手机号码 • 人脉越广,手机换号成本越高 • 身份证号码 • 换身份证号码的成本是不是更高? • 出生日期 • 更改这个需要时光倒流

  11. 信息泄露是用户所有安全问题的源头

  12. 用户安全 和用户息息相关的安全问题 安全服务的直接目标是用户

  13. 隐私泄露 交易被欺诈 账号老被盗 用户 支付被劫持

  14. 用户安全的问题 • 现象:互联网越发展,用户安全负担越严重 • 原因一:网络应用百花齐放,信息被复制多份,丢失概率增加 • 原因二:个人的基本信息基本不会变化,黑客技术在高速发展,

  15. 龙珠的故事 • 找到散落在世界各地的七颗龙珠,就可以唤出神龙许下愿望。 • 黑客会第一个从企业、运营商、政府拿到所有的数据,集齐“龙珠”

  16. 龙珠终有一天会被黑客集齐 这一天已经来临了? 我们做好准备了吗?

  17. 看看真相 • 网上公布:至少1.6亿账号密码数据 • 统计发现,500种密码覆盖了82%的用户 • 小道消息:黑客手里有N亿条账号密码

  18. 怎么办?

  19. 淘宝现在是怎么办的 • 安全投入 • 安全产品未雨绸缪 • 寻求更多安全合作

  20. 淘宝安全团队 • 安全研究团队 • 安全测试&风险控制团队 • 技术安全团队 • 信息安全团队 • 业务安全团队 • 安全运营团队 • 安全产品团队

  21. 用户安全产品 • 看不见的 • 服务端防御 • 客户端识别 • 模型识别 • 看得见的 • 双因素验证 • 双向认证

  22. 未雨绸缪 • 真正为用户负责 • 对风险的准确预测和评估 • 切实可行的方案 • 2011年5月 • 600万卖家90%以上都开通了双因素身份认证

  23. 淘宝的安全产品思路 • 定性 • 定量 安全风险评估 用户安全 有效的 事件处理 业务风控 实际的

  24. 部分用户安全产品思路 • 如何防盗 • 如何防骗 双向认证 主动防御 反欺骗 特征处理 多因素认证 反盗窃

  25. 这些够了吗? • 远远不够,因为整个大盘是要坏掉的 • 淘宝安全不可能独善其身!

  26. 用户安全对同行的建议或要求 • 安全上多合作,共同打击黑恶势力 • 做好服务端数据加密 • 千万级以上用户数量的网站,为用户提供双因素认证或者更加安全的安全产品保障 • 在用户安全方面有更多深入合作,保护我们共同的用户

  27. 淘宝用户安全团队愿景 • 通过提供安全知识和安全工具,给用户提供掌控自己信息安全的能力 • 通过安全联盟和安全合作,给用户提供安全的互联网环境

  28. 半开放的淘宝用户安全 更深入的行业交流 寻求更好的安全联盟方式 安全合作

  29. 合作联系 • 浩然haoran@taobao.com • 青莲qinglian@taobao.com

  30. 谢谢! 不同的业务 相同的用户 共同的安全

More Related