新零售一體化安全解決方案-v1.0外部版

新零售一體化安全解決方案目錄安全現(xiàn)狀解決方案客戶收益成功案例“新零售”介紹馬云說：線上的企業(yè)必須走到線下去，線下的企業(yè)也必須走到線上去，線上線下加上現(xiàn)代物流，才能實現(xiàn)真正的新零售?！靶铝闶邸备拍疃x“新零售”的優(yōu)勢安全威脅態(tài)勢危害性巨大、直接控制服務(wù)器權(quán)限：HeartBlood(Openssl高危)、Struts2系列(s2-045、s2-048等)平臺系統(tǒng)多數(shù)使用的通用Web組件如apache、iis、phpcms等幾乎每天都有新型漏洞爆發(fā)工具腳本化、流水線的黑產(chǎn)行業(yè)極大降低了入侵成本、加快了入侵速度(爆發(fā)當天全網(wǎng)掃描)每天都在面臨新型0day攻擊商家熟知的業(yè)務(wù)痛點有人冒充客戶購物、退貨或冒充自己進行溝通商品價格被修改，上架的商品被刪除，商品信息被修改等交易對賬失敗，商家或客戶資金或交易數(shù)據(jù)異常物流信息被篡改，導致客戶無法正常收到購買的商品交易平臺無法正常訪問或訪問速度很慢，從而導致客戶無法交易或者流失因受攻擊，商品交易后，商家無法及時發(fā)送郵件或短信給買家APP漏洞利用，賬號被盜用黑客入侵，后臺數(shù)據(jù)被篡改系統(tǒng)遭受DDoS/CC攻擊熟知的業(yè)務(wù)痛點，卻不為知的安全接口攻擊，導致資源被耗盡典型風險-用戶、售賣數(shù)據(jù)泄露用戶資料拖庫訂單泄露銷售業(yè)績泄露數(shù)據(jù)泄露容易被競爭對手進行商業(yè)分析而造成不可預(yù)估的經(jīng)濟損失觸犯《網(wǎng)絡(luò)安全法》個人隱私保護的高壓線甚至導致消費客戶被詐騙而負刑事責任機器爬蟲、惡意掃描對應(yīng)用系統(tǒng)的安全威脅典型風險-業(yè)務(wù)欺詐互聯(lián)網(wǎng)數(shù)據(jù)化時代下、業(yè)務(wù)場景成為黑產(chǎn)重點攻擊目標業(yè)務(wù)層面的場景攻擊：感覺明顯、損失巨大攻擊角度：Bot偽裝、風險欺詐惡意好評、刷榜營銷作弊、搶紅包惡意下單、刷單克隆網(wǎng)站商品搶售典型風險-短信注冊&惡意登錄網(wǎng)站偵查攻擊還原登錄網(wǎng)站的注冊頁面、抓包了解接口訪問偽裝腳本構(gòu)造短信注冊接口

批量化發(fā)送拿到數(shù)據(jù)危害短信注冊接口被大量調(diào)用、短信費用耗光、一天數(shù)千元競爭對手獲取網(wǎng)站真實客源、定向推銷通過注冊&撞庫響應(yīng)，掌握用戶是否在網(wǎng)站注冊、實施定向詐騙典型風險-比價爬蟲網(wǎng)站偵查攻擊還原了解網(wǎng)站結(jié)構(gòu)、商品頁面準備爬蟲爬蟲批量化訪問商品

爬取商品價格、打標比價數(shù)據(jù)危害競爭敵手爬取商品價格、制定價格策略惡性競爭網(wǎng)站被惡意爬蟲海量頁面爬取、資源消耗、變卡變慢目錄安全現(xiàn)狀解決方案客戶收益成功案例方案設(shè)計思路新零售一體化安全方案“云·管·端”全方位完善的云端縱深防御線上線下一體化全生命服務(wù)周期云：云端后臺整體安全防護；管：網(wǎng)絡(luò)傳輸攻擊防護，實現(xiàn)HTTPS化、防DDoS、CC攻擊及應(yīng)用層攻擊；端：移動應(yīng)用（APP）端提供全生命周期的安全服務(wù)，APP漏洞發(fā)現(xiàn)、加固；云上業(yè)務(wù)整體態(tài)勢感知，實現(xiàn)潛在威脅可視化；針對數(shù)據(jù)庫SQL注入、風險操作等數(shù)據(jù)庫風險操作行為進行記錄與告警；云主機全量漏洞管理、基線檢查和入侵告警等線上線下全方位態(tài)勢感知，構(gòu)建全景威脅可視化云下生產(chǎn)系統(tǒng)主機漏洞管理、基線檢查和入侵告警等；事前：安全威脅可預(yù)警及可預(yù)先決策防御事中：威脅風險控制，減少攻擊面；事后：合規(guī)審計、攻擊溯源；一體化安全架構(gòu)設(shè)計目錄安全現(xiàn)狀解決方案客戶收益成功案例項目建設(shè)效益-保障企業(yè)合法運營第十條建設(shè)、運營網(wǎng)絡(luò)或者通過網(wǎng)絡(luò)提供服務(wù)，應(yīng)當依照法律、行政法規(guī)的規(guī)定和國家標準的強制性要求，采取技術(shù)措施和其他必要措施，保障網(wǎng)絡(luò)安全、穩(wěn)定運行，有效應(yīng)對網(wǎng)絡(luò)安全事件，防范網(wǎng)絡(luò)違法犯罪活動，維護網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。第二十一條

國家實行網(wǎng)絡(luò)安全等級保護制度。網(wǎng)絡(luò)運營者應(yīng)當按照網(wǎng)絡(luò)安全等級保護制度的要求，履行下列安全保護義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改。明確網(wǎng)絡(luò)運營者的定義及安全要求第二十五條

網(wǎng)絡(luò)運營者應(yīng)當制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，及時處置系統(tǒng)漏洞、計算機病毒、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風險；在發(fā)生危害網(wǎng)絡(luò)安全的事件時，立即啟動應(yīng)急預(yù)案，采取相應(yīng)的補救措施，并按照規(guī)定向有關(guān)主管部門報告。法律責任：1、不履行本法第二十一條、第二十五條規(guī)定的網(wǎng)絡(luò)安全保護義務(wù)的，由有關(guān)主管部門責令改正，給予警告；拒不改正或者導致危害網(wǎng)絡(luò)安全等后果的，處一萬元以上十萬元以下罰款，對直接負責的主管人員處五千元以上五萬元以下罰款。2、違反本法第四十七條規(guī)定，由有關(guān)主管部門責令改正，給予警告，沒收違法所得；拒不改正或者情節(jié)嚴重的，處十萬元以上五十萬元以下罰款，并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。項目建設(shè)效益-防止客戶隱私泄露法律責任：違反本法第二十二條第三款、第四十一條至第四十三條規(guī)定，侵害個人信息依法得到保護的權(quán)利的，由有關(guān)主管部門責令改正，可以根據(jù)情節(jié)單處或者并處警告、沒收違法所得、處違法所得一倍以上十倍以下罰款，沒有違法所得的，處一百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款；情節(jié)嚴重的，并可以責令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、關(guān)閉網(wǎng)站、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照。收貨地址郵箱賬號消費記錄實名認證信息項目建設(shè)效益-保障業(yè)務(wù)安全運營安全業(yè)務(wù)連續(xù)性0元購品牌競爭力羊毛黨通過安全建設(shè)保障業(yè)務(wù)安全，實現(xiàn)以下價值：提升業(yè)務(wù)連續(xù)性，防止因攻擊而業(yè)務(wù)中斷加強入侵篡改能力，防止“0元購”避免“羊毛黨”薅羊毛提升品牌競爭力方案適用場景純電商平臺初創(chuàng)電商平臺公司出現(xiàn)安全事故客戶，如“0元購”未履行等保建設(shè)客戶線上線下一體化平臺線下初轉(zhuǎn)型線上，缺乏經(jīng)驗客戶需要一體化防護方案客戶需要彌補傳統(tǒng)方案不足的客戶目錄安全現(xiàn)狀解決方案客戶收益成功案例阿里云幫助XX餐飲平臺快速提升安全能力解決方案APP接入安全組件，保護加密密鑰和算法，防止偽造請求刷后臺接口。使用云盾BGP防護包對XXX云端入口的120個SLB統(tǒng)一做DDoS防護。通過安騎士保護XXX云上核心服務(wù)器，未來可將擴展至IDC。通過業(yè)務(wù)安全手機情報，對每日數(shù)十萬新注冊用戶進行風險攔截?？蛻羰找鎱f(xié)助客戶解決了頭疼的DDoS防護、服務(wù)器安全和羊毛黨識別等問題，未來在防爬需求上還會有更深入的合作。通過阿里云提供的核心安全能力，XXX安全團隊不用再重復造輪子，可以騰出更多精力支撐業(yè)務(wù)的快速發(fā)展。安全痛點XXX是國內(nèi)專業(yè)的餐飲O2O平臺，過去多年一直專注于業(yè)務(wù)的發(fā)展，自身的安全體系和能力與業(yè)務(wù)體量相比，還有較大的差距?；A(chǔ)設(shè)施安全方面，對DDoS防護、服務(wù)器安全管理有著強需求；業(yè)務(wù)安全方面，行業(yè)存在激烈的競爭，爬蟲和薅羊毛的問題普遍存在。云盾為XX集團新零售保駕護航解決方案入侵防護：WAF、安騎士、證書服務(wù)、態(tài)勢感知安全運維：堡壘機、數(shù)據(jù)庫審計網(wǎng)絡(luò)安全：DDoS防護業(yè)務(wù)漏洞：先知安全眾測業(yè)務(wù)安全：利用黑產(chǎn)手機威脅情報識別刷單黃牛客戶收益建立縱深防護體系，對各種互聯(lián)網(wǎng)威脅進行有效阻斷。有效防止黑產(chǎn)和黃牛刷單，保護消費者利益，完