第二届华为安全沙龙纪实(含PPT)

（议题PPT下载请跳到最后）

十月深秋，坂田君是清凉的；群贤毕至，百草园是热闹的。

华为安全沙龙以瞄准业界热点、注重沟通氛围、分享心得干货为目标，致力于打造安全业界的品牌沙龙，搭建一个诚恳、开放的安全平台。

10月30日，以“问道电商”为主题的第二届华为安全沙龙温馨启幕，会场由原来的“沙发”改成“板凳”，把原本100人的场子，改成容纳了近200人，40余家单位。BAT，JD，UCloud，平安征信，VIP，Ctrip，长亭科技，Freebuf，CUBESEC，岂安科技，盘古，神话，i春秋，安全牛，Sobug，洋葱，青藤云安全，江南天安，深圳安络，各大SRC等等等，可谓大神云集，美女扎堆，技术扎实，思路开阔。

1． 华为电商发展与安全之路——华为 Z0

作为传统通信企业，华为进入垂直电商相对低调，但是小步快跑，且随着华为手机业务的高速增长，规模迅速壮大。Z0抛砖引玉，回顾了华为电商的发展历程，分析了电商业务的当前安全状况，黄牛党枕戈待旦，羊毛党蠢蠢欲动，形势严峻。

2．电商安全服务和产品化的初步探索——京东 晋亮

作为B2C电商行业领导者，京东电商安全备受业界关注，来自京东的安全总监晋亮，对京东电商安全做了简短回顾，从被业务诘难到融入业务，为业务提供支持和指导，京东安全在发展的同时调整方向，以为业务解决问题作为安全的核心价值。

晋亮在议题中提纲挈领，概括了京东电商安全总体框架，分析各业务节点的安全风险和风控措施。

3．公有云安全挑战和发展——Ucloud 方勇

国内公有云后起之秀，有着天然的重视安全基因。方勇分享了Ucloud在抗DDoS、租户隔离、漏洞响应、容灾备份、应用安全、数据安全等方面实践经验，并对电商与公有云平台的融合给出了精辟建议。

Ucloud采用SDN技术实现租户的二层网络隔离，对任何一个租户来说，UCloud提供的都是一个属于租户的独立私有网络。

极具用户服务意识的Ucloud根据用户/客户需求，把公有云的安全服务分为保镖（信任、全方位）、保安（边界、做巡检）、保姆（节点、轻服务）三种角色，云服务商和用户/客户之间，应该达成一种安全服务类别的标准或协议，以更好地明确安全职责边界。

PS:素包子的PPT每页都有个生动的比喻。大道至简！

4．业务安全之防守者说——平安 戴鹏飞

来自平安的戴鹏飞，非常诚意地、细节地、内幕地、爆料地分享了业务安全的方方面面、坑坑洼洼、黑黑白白，IP识别、验证码对抗、设备识别、人机识别、关系网络、订单泄露等干货一一拿来，技术一竿子见底，案例一棒子通天，真枪实弹，拳拳到肉，小伙伴们大呼过瘾。

话不多说，放图片

IP识别常用技术：爬取、共享、收集、探测。

爆料订单泄露的各个点：平台好一点（17%），物流占五分之一强（22%），用户责任大（用户：说我是吧！）28%，商家重灾区（商家：怪我咯~）33%。

做了多年的业务安全，戴鹏飞感慨深沉，黑产气势汹汹暗流涌动，防御捉襟见肘成本高筑，这一场攻防之战没有尽头。

5．浅析账号体系安全——携程 王润辉

小胖胖本次议题直截了当，抛出“凶狠”话题：杀死密码！对于这个话题，我只能说，小伙伴，你怎么看？

与其说去密码，其实去传统“口令”的说法应该更合适一点。

6．电商O2O刷单风控实践——腾讯 颜国平

BAT这样的国内互联网“第一世界”企业，一般不出手则罢，一出手就是“重拳”，一挥手就是“重装师”。何谓数据在手天下我有，就是在信息时代，利用数据把看不见的东东，描绘得比看见的还精确。

腾讯防刷风控引擎，对IP、手机、设备画像，识别好人与坏淫。话说“画像”一语，已成安全热词，一个简单的词语，已经容纳并超脱了大数据、算法、模型、性能等属性。

数据就像颜料，互联网平台级厂商对画像有先天优势，各种数据信手拈来，可以尽情描绘。没有数据的厂商，空有一只笔，啥颜料都没有，只好望而兴叹。

7．茶话会——干货分享

关于人机识别：

1）技术：验证码、JS识别代码、小号标签、IP离散度计算

2）合作：第三方服务、黑名单交换、情报联盟

3）业务：业务主导识别目标、用户体验分级

关于数据交换：

1）隐私：明确哪些是隐私数据，数据交换过程中，如果两个公司互持股份，则交换的法律风险将大大减少

2）加密：双方数据加密，通过碰撞确定hash是否存在库中（如诈骗手机号），不识别具体号码

3）离线库：为杜绝数据泄露和法律风险，做离线库查询是一条值得走的路子

关于隐私保护：

1）权限：权限大小和授权机制都必须严格，通过内部审计推动管理层面的规范

2）第三方：对第三方供应商、合作者要有安全设计机制，对事件和投诉要进行回溯追责

第二天议题（31日）回归攻防技术。长亭科技联合创始人也是蓝莲花CTF战队的deadcat带来了《CTF and Real world》。Deadcat从各种CTF的介绍，到比赛中涉及到的各种环节。还带来了不少Defcon上CTF的趣闻，比如今年的冠军队韩国，是如何举国培训。如何由100人的候选人经过层层选拔最终只剩下20人。蓝莲花纵然在世界的范围内未必是可以做到最好的进攻，但在CTF比赛中，战队的防守是所有队伍中丢分最少的第二个队伍。看来这就是CTF比赛的精髓，也是蓝莲花的制胜武器之一。

除此，还有freebuf联合创始人Ruby的《电商企业的漏洞挖掘大全》讲述漏洞盒子对电商企业安全的保障的见解和实践过的经验。最后以渗透测试服务著称的魔方安全团队更是贴合当下流行的“情报”概念，提出以攻为守的情报分析。透过渗透测试的经验积累，形成更系统化的“信息”收集，从而快速满足电商对威胁处置的要求。

疯言疯语：

电商，在面临传统的黑客之外还有黄牛党、羊毛党的蜂拥而至。各种对抗的招式里面，其本质也是一种攻防的对抗，不断提升攻击的成本，通过安全数据分析，比自己更了解自己，才能洞悉对手。同时也更需要在情报、漏洞、信息方面的分享才能降低防守成本。

议题相关PPT下载：

链接: http://pan.baidu.com/s/1mgw9tJM 密码: cund

---

欢迎关注zsfnotes的公众号

原文始发于微信公众号（张三丰的疯言疯语）：第二届华为安全沙龙纪实(含PPT)