華為的信息安全部 - CSDN

昨天（10月30號），華為第二屆安全沙龍在深圳百草園召開。本次沙龍雖然只邀請了100多人，但包括了四十多個企業，大家都對安全非常重視，希望加強交流。

華為信息安全部部長陸焱致辭：

這是一個最壞的年代，也是最好的年代。

壞
第一，我們面臨的環境有了很大的變化，從傳統安全時代已經進入了社交化、雲化、移動化的時代，這是一個很大的挑戰。第二，要防護的越來越多，不僅僅是企業本身的資產，還要保護客戶的隱私。第三，攻擊越來越自動化、產業化，對抗需要企業之間的合作。
好
從華為的角度來看，06年至09年，是為了安全可以犧牲業務效率的時期，09年到14年則是安全與業務均衡的時期。到了2015年，進入了安全可以創造業務價值的時代。外部大環境，則是斯諾登爆發了國家對安全的重視。

華為舉辦安全沙龍，是為了向同行學習，提升華為安全能力，加強在情報、漏洞、信息方面的分享，共同構築生態圈。通過交流，幫助華為更好的應對轉型，此為本次沙龍取名「問道」之含義所在。

華為商城發展與安全之路
　　　 --華為IT安全部周麟

一、消費者業務發展之路
2003年成立手機事業部，2010年突破1億部發貨量，在全球份額達到50%。12年實施品牌產品渠道三大轉變，推出精品旗艦手機，2014年銷售收入達到數十億（具體數字記不清了）。
華為商城，12年正式運營，14年爆發增長，數字暫時保密。

二、踩過的坑
黃牛黨。自動化搶購，支持帳號批量登錄、驗證碼打碼平臺、發貨地址自動化，訂單批量生成。
羊毛黨。刷優購碼、刷抽獎。曾經一個優惠活動，引來70萬個新註冊號。
DDoS。

三、華為電商IT整體策略
1. 華為私有雲+業界公有雲構築電商基礎平臺，實現快速交付及彈性擴展；
2. 基於IT大平臺設計柔性的架構，DevOps一體化運作快速響應一線需求；
3. 構築基礎安全長城，補齊隱私保護與業務安全能力，實現實例 、合規運營。

四、傳統安全到業務安全的轉變
華為商場安全生態圈的建立很重要，要建立情報共享機制。

電商安全服務和產品化的初步探索
　　　　 --京東信息安全部總監晉亮

一、電商安全部門要做些什麼？

比如提交一個漏洞，研發部門卻不明白到底有什麼影響。因此需要通過演示，讓研發人員認可。但漏洞依然還是會出現，所以需要考慮從本質架構上，從問題產生的根源上梳理，然後和研發部門對接，才可能解決根本問題。並形成讓研發人員使用安全部門提供的工具去解決問題，即產品化的安全服務。

二、後面的路要怎麼走？
1. 狀態感知，更多的數據、更強的分析。
2. 控制技術的提升。即保證安全，又增強體驗。
3. 產品服務的雲化。
4. 從內部價值到外部價值。

公有雲安全挑戰和發展
　--UCLOUD安全中心總監方勇

一、雲服務的第一大挑戰，DDOS怎麼辦？
1. 平臺穩定（封堵） VS 客戶可用（清洗），UCLOUD選取了前者，但封堵效率必需在1分鐘之內，否則就算事故。
2. 清洗商業方案 VS 自研，這兩者UCLOUD是並存的。
3. TILERA vs DPDK , UCLOUD採取了後者。
給電商的建議：封堵效率很關鍵。

二、好多花式客戶怎麼辦?
UCLOUDE 10個數據中心，2萬+企業，2億+客戶的用戶，各式各樣的應用，安全運營是關鍵。多租戶隔離僅僅是開始。
即使抓重點，重點也不少，如何下手？虛擬網、管理網、物理網的網間隔離是重中之重。
給電商的建議：對大二層說不。

三、不夠快怎麼辦？
漏洞響應慢一步，全平臺客戶受影響。跟在客戶/問題後面，就會被客戶/問題帶著跑，雲平臺中突發的問題會淹沒技術支持、研發和安全團隊。
Xen/kvm/docker如何控制逃逸？熱補丁是在和時間賽跑，0Day需要縱深防禦，虛擬補丁、訪問控制、精細審計。
給電商的建議：至少要有熱補丁。

四、挖斷光纖怎麼辦？
面對光纖挖斷、網絡抖動、骨幹故障、緊急割接等物理問題，三種解決方案，POP點、同城打通、異地打通。
給電商的建議：重點建設同城多活、異地多活，依賴異地打通為補充。

五、WEB應用安全怎麼辦？
目標：通用、平臺型漏洞防護
串聯 VS 旁路 VS 路由（查打分離）
漏報 VS 誤報，允許漏洞，規避誤報
我要商業版的WAF？（混合雲、應用市場）
給電商的建議：通用版WAF和商業版WAF並舉。

六、保鏢、保安還是保姆？
公有雲中，服務提供商和客戶在安全在職責上的邊界在哪裡？做保姆是態度和技術問題，保鏢或保安要產品和運營去思考。
給電商的建議：保安+保鏢。

七、你會看我數據嗎？
講虛的（時間、意願）：合規、企業文化、人員組成、內部事件教育。
講實的（能力）：職責分享、內部稽核。
給電商的提示：選擇中立的、專注的、高（忙）速（忙）發（忙）展（忙）的雲計算平臺；能HTTPS就HTTPS。

八、甲方到丙方如何轉換？
安全行業中，甲方（京東、唯品會）、乙方（綠盟、啟明），丙方（360、阿里、UCLOUD），對內是甲方，對客戶是乙方。心態、行為模式、關注點、技能點有很大變化。
Whatever，客戶優先。
給電商的建議：選擇服務較好的雲計算平臺。

九、最後該怎麼辦？
持續投入錢、人、資源。
給電商的提示：只找做雲計算和雲安全的服務商。

十、公有雲安全的未來？
雲安全的彎道超車。目前是一線/二線安全公司（阿里+安恆），還會有許多雲安全的創業者，以及系統集成商/IDC。
技術趨勢是聚集上層安全、SaaS、輕資產。

業務安全之防守者說
　 --中國平安安全產品總監戴鵬飛

「我們『吃』數據，然後提供數據分析服務。」

平安業務的風險點：帳戶、交易、支付、信息。

一、帳戶安全

高危IP識別，如泉州、廣西部分地區、儋州、東南亞、巴西、俄羅斯等地的IP。
IDC類收集，如伺服器段IP註冊、典型各類雲、殭屍IP，從廣告欺詐延伸到羊毛黨。

手機驗證碼對抗，如爬取收碼平臺手機號、授權驗證、合作數據驗證、電話驗證、設備指紋、人機識別、惡意帳戶、通信關係網絡分析。
「中國網站的驗證碼機制已經反人類了。對黑產無能為力，卻給用戶帶來了煩擾。」

「手機號入網時長，對反欺詐業務有著至關重要的意義。」

二、 交易安全
分為實名、訂單洩露、刷單。實名身份校驗，由於身份證信息大量洩露，這種檢驗的意義已經不大。
「在抓捕某電信網絡犯罪分子的時候，發現其計算機上有6億條身份證信息。」
解決方案，可以通過行業黑名單共享和地下情報收集。

總結
內憂：攻防成本；貪吃蛇的教訓，死于越來越大；
外患：遊擊隊 VS 全成旅；沒數據別BB，貌合神離的各類合作組織；
其他：情報組、爬蟲組、重案組、政委下連隊、聯席作戰；數據在手，天下我有（寬表、關係網絡）；聯防（黑手機、高危身份證、黑名單、多頭貸款、黑卡）

淺析帳號體系安全

　--攜程信息安全部王潤輝

一、如何防止金融安全帳號體系？
1. 防撞庫，人機識別（規則，模型等）
2. 數據搜集，帳號標籤（指紋、行為、生物信息等）
3. 用戶價值體系（信用，行為頻度等）

二、為什麼會講密碼安全？
1. 因為用戶密碼較弱，如123456，888888等
2. 用戶帳戶密碼各個網站一樣，一家洩漏，全部遭殃
3. 被釣魚網站欺騙輸入的密碼
4. 被病毒木馬盜取

三、密碼洩漏的影響？
1. 用戶信息洩漏，輿論風險
2. 銀行卡盜用風險
3. 帳戶欺詐風險
4. 帳戶詐騙風險

四、如何去掉密碼？
1. 用戶信息識別
2. 登陸方式完善
3. 用戶主動選擇，提升安全感知
4. 自助信息驗證，流程優化
5. 減少密碼使用場景

電商O2O防刷
　 --騰訊安全平臺部顏國平

電商行業放血式補貼催生大量羊毛黨，有著精細化的分工。薅羊毛工具已經半/全自動化，高額收益，有資金有意願打磨先進兵器。對企業造成，成本、口碑和公關方面的嚴重影響。

一、騰訊做的防刷風控系統

騰訊在電商防刷最大的優勢不在方法上，而在大數據上。

產品層，打擊刷單要形成縱深防禦，從註冊、登錄和活動三個環境，設置防護，增加刷單成本。

「基本上沒有黑產接單去破解騰訊的驗證碼，因為成本高。」

茶話會：

一、如何防止黃牛刷單？

京東安全經理李學慶：到活動的時間點，通過改變頁面等參數，讓秒殺器失效。或在活動過程中，設置需人工互動的問答關卡。考慮和一些第三方公司合作，彌補防欺詐能力。

攜程安全總監凌雲：對於機器刷單，各種方法的驗證碼進行人機識別，另外一種是通過JS腳本識別。對於真人，通過瀏覽器指紋、異常行為等事先篩選惡意帳號，打過標籤的帳號是無法搶購到商品的。與其他公司數據交換，目前已經有300萬黑名單手機號。

豈安羅啟武：甲方先要有監控機制，然後再跟進其他的防護手段，要做到平衡、可控。

阿里高級安全專家方超：阿里現在考慮的是安全和體驗兼得，對不同的用戶進行區分，對於受信的用戶、灰色用戶，有嫌疑的黑用戶不同的關卡。

二、如何應對與同行數據交換的難點？

凌云：數據交換是加密的，做碰撞，撞出來則是黑的，沒撞出來數據也看不到。有投資關係的公司，法務問題就寬鬆一些。

方超：內部的數據權限控制很嚴格，非本權限的內部人是不能查的。如果某人去查，屬一類違規。阿里定義的是網際網路+安全，數據交換，法務部門會介紹各個國家的隱私法，指出哪些數據是不可以交換的。數據放在阿里是非常可靠的。

三、如何防止用戶隱私洩露？

方超：1. 加強隱私洩露成本 2. 一系列的針對內部的監控措施和舉報聯動機制。同時，阿里正在參與設計電商保護用戶隱私方面的國家安全標準。

顏國平：任何一個產品在上線之前，要走統一的流程規定，如漏洞掃描，以保證產品合規。第二，後臺數據保護。如密碼數據，加鹽，並不會存儲在一起。第三，數據總監級別才能看到，登錄時需要電子令牌，並通過跳板機，保證數據安全。

凌云：3個案例。1. 某電商平臺發生內部員工販賣信息，離職之前把一個月的購買記錄以很便宜的價格賣掉。之後做了一個解決方案，把所有與個人隱私相關的數據加密，包括密碼、手機號、地址、郵箱等。解密時，需要審批。2. 發現海南的詐騙電話非常多，後查明海南某快遞公司的信息保護沒有做好，直接找其整改。做好網絡安全防護細節，然後掃描測試，之後，OK。3. 用戶查看歷史下單記錄時，手機號會被馬賽克掉。防止由於弱口令撞庫等原因被別人登錄，盜取用戶信息。

李學慶：針對敏感數據去監控並加密，到一定的時間點銷毀解密數據密鑰。內部洩露的情況，如Github開發平臺發生的洩露，會進行處罰甚至開除。

唯品會安全總監黃承：不光是用戶信息保護，企業自身的數據也需要保護，業務數據、人員數據、銷售數據等。技術防護手段差別不大，已經到達一定階段。體系化架構上設計，包括標準、合規，這些只是基本思路。數據流轉會牽扯業務邏輯，儘量不能干擾業務邏輯。

總結：

1. 業務安全需要建立在整個公司業務生態的環境裡；

2. 攻防是一個持續創新和優化對抗的過程，對抗的不是個人而是產業鏈；

3. 打擊黑產不是一家企業能夠解決的問題，需要真正的合作。