新零售一体化安全解决方案 目录 “新零售”介绍 马云说：线上的企业必须走到线下去，线下的企业也必须走到线上去，线上线下加上现代物流，才能实现真正的新零售。 “新零售”概念定义 “新零售”的优势 安全威胁态势 危害性巨大、直接控制服务器权限：Heart Blood(Openssl高危)、Struts2系列(s2-045、s2-048等) 平台系统多数使用的通用Web组件如apache、iis、phpcms等几乎每天都有新型漏洞爆发 工具脚本化、流水线的黑产行业极大降低了入侵成本、加快了入侵速度(爆发当天全网扫描) 每天都在面临新型0day攻击 商家熟知的业务痛点 有人冒充客户购物、退货或冒充自己进行沟通 商品价格被修改，上架的商品被删除，商品信息被修改等 交易对账失败，商家或客户资金或交易数据异常 物流信息被篡改，导致客户无法正常收到购买的商品 交易平台无法正常访问或访问速度很慢，从而导致客户无法交易或者流失 因受攻击，商品交易后，商家无法及时发送邮件或短信给买家 APP漏洞利用，账号被盗用 黑客入侵，后台数据被篡改 系统遭受DDoS/CC攻击 熟知的业务痛点，却不为知的安全 接口攻击，导致资源被耗尽 典型风险-用户、售卖数据泄露 用户资料拖库 订单泄露 销售业绩泄露 数据泄露 容易被竞争对手进行商业分析而造成不可预估的经济损失 触犯《网络安全法》个人隐私保护的高压线 甚至导致消费客户被诈骗而负刑事责任 机器爬虫、恶意扫描对应用系统的安全威胁 典型风险-业务欺诈 互联网数据化时代下、业务场景成为黑产重点攻击目标 业务层面的场景攻击：感觉明显、损失巨大 攻击角度：Bot伪装、风险欺诈 典型风险-短信注册&恶意登录 网站侦查 攻击还原 登录网站的注册页面、抓包了解接口 访问伪装 脚本构造短信注册接口批量化发送 拿到数据 危害 短信注册接口被大量调用、短信费用耗光、一天数千元 竞争对手获取网站真实客源、定向推销 通过注册&撞库响应，掌握用户是否在网站注册、实施定向诈骗 典型风险-比价爬虫 网站侦查 攻击还原 了解网站结构、商品页面 准备爬虫 爬虫批量化访问商品爬取商品价格、打标 比价数据 危害 竞争敌手爬取商品价格、制定价格策略恶性竞争 网站被恶意爬虫海量页面爬取、资源消耗、变卡变慢 目录 方案设计思路 云：云端后台整体安全防护； 管：网络传输攻击防护，实现HTTPS化、防DDoS、CC攻击及应用层攻击； 端：移动应用（APP）端提供全生命周期的安全服务，APP漏洞发现、加固； 云上业务整体态势感知，实现潜在威胁可视化； 针对数据库SQL注入、风险操作等数据库风险操作行为进行记录与告警； 云主机全量漏洞管理、基线检查和入侵告警等 线上线下全方位态势感知，构建全景威胁可视化 云下生产系统主机漏洞管理、基线检查和入侵告警等； 事前：安全威胁可预警及可预先决策防御 事中：威胁风险控制，减少攻击面； 事后：合规审计、攻击溯源； 一体化安全架构设计 目录 项目建设效益-保障企业合法运营 第十条 建设、运营网络或者通过网络提供服务，应当依照法律、行政法规的规定和国家标准的强制性要求，采取技术措施和其他必要措施，保障网络安全、稳定运行，有效应对网络安全事件，防范网络违法犯罪活动，维护网络数据的完整性、保密性和可用性。 第二十一条?国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。 明确网络运营者的定义及安全要求 第二十五条?网络运营者应当制定网络安全事件应急预案，及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险；在发生危害网络安全的事件时，立即启动应急预案，采取相应的补救措施，并按照规定向有关主管部门报告。 法律责任： 1、不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处一万元以上十万元以下罚款，对直接负责的主管人员处五千元以上五万元以下罚款。 2、违反本法第四十七条规定，由有关主管部门责令改正，给予警告，没收违法所得；拒不改正或者情节严重的，处十万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 项目建设效益-防止客户隐私泄露 法律责任： 违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 收货 地址 邮箱账号 消费 记录 实名认 证信息 项目建设效益-保障业务安全运营 通过安全建设保障业务安全，实现以下价值： 提升业务连续性，防止因攻击而业务中断 加强入侵篡改能力，防止“0元购” 避免“羊毛党”薅羊毛 提升品牌竞争力 方案适用场景 目录 阿里云帮助XX餐饮平台快速提升安全能力 云盾为XX集团新零售保驾护航