電商安全行業再迎新風，第二屆唯品峰會成功舉辦

2017年5月20日，由唯品會信息安全部主辦，唯品會安全應急響應中心承辦的「因唯安全，所以信賴——深度揭秘唯品會信息安全建設實踐 2017唯品會第二屆電商安全峰會」在蘇州成功舉辦。

本屆峰會共邀請到11位來自唯品會內部的一線行業大咖帶領現場超400位與會嘉賓，圍繞「內、外部產品安全技術、安全產品設計、業務安全、安全監控與響應、安全風控平台、互聯網與金融、安全項目管理、威脅情報、信息安全管理與培訓」10大議題方向回顧並分享了近一年來唯品會在電商信息安全建設中的諸多實踐經驗及卓越成果。

十大議題，十個方向，全面展示唯品會信息安全建設實踐

議題一：外部產品安全技術——《安全之彈性管控》

演講人：朱應龍

唯品會信息安全主任工程師，信息安全行業老兵

作為全球最大的特賣電商以及中國第三大電商平台，守護近3億註冊會員的信息安全是唯品會義不容辭的責任，為了給用戶提供更加安全的服務，唯品會信息安全主任工程師朱應龍分享了如何利用企業基礎信息、終端行為、網路行為、安全日誌等信息，實現用戶和設備的快速定位、歷史軌跡追蹤、層次化安全響應，風險適度管理，從而以實現企業彈性安全管控的理想狀態。

議題二：安全產品設計——《業務與安全的衝突和平衡》

演講人：劉新永

唯品會高級安全產品經理

在最重視體驗的電商企業和業務驅動的組織生態中，唯品會高級安全產品經理劉新永從產品設計的角度出發，以真實的業務與安全的衝突案例引申出對衝突的根源探索，總結出了在面對業務與安全的衝突抉擇時經常遇到的邏輯悖論，從業務roi與黑灰產roi的對比分析中探索解決業務與安全衝突的決策思路，並通過案例剖析實踐方法，為達到業務與安全的平衡目標提供了具有實操性的方案要領。

議題三：業務安全——《安全運營的藝術》

演講人：梁肇星

唯品會資深信息安全工程師，專註業務安全和風控分析以及運營

唯品會資深信息安全工程師梁肇星通過業務安全運營實踐中遇到的典型案例，介紹了唯品會業務安全運營的成長過程，探索用快速，準確，高效的方法去定位和解決問題，進而總結出了業務安全運營自動化在實踐中運用的經驗和意義。

議題四：安全監控與響應——《我們如何經營創新》

演講人：孟誠

唯品會監控響應團隊資深信息安全工程師

會上，唯品會安全監控響應團隊資深信息安全工程師孟誠表示：「創新是現今的熱詞，也是持續保持一個企業、一個團隊競爭力必不可少的基石」。但在傳統的管理體制中「對創新鼓勵不足，對犯錯懲罰不小」的問題卻經常存在，這使得大多數人寧願選擇不犯錯，也不願冒險創新。對於這一問題的解決，孟誠從如何具備創新思維、如何選拔創新人才、如何營造創新的氣氛以及如何建立一種新的評價體制等四個方面闡述了如何經營創新。

議題五：安全風控平台——《唯品風控進化史》

演講人：楊哲、邵帥華

唯品會風控團隊高級架構師，在金融、支付領域耕耘十幾年，對風控系統建設有豐富的經驗

唯品風控團隊資深數據工程師

業務安全日益嚴峻，各種薅羊毛技能此起彼伏，風控工作不進則退。唯品會風控團隊高級構架師楊哲和風控團隊資深數據工程師邵帥華總結了一路走來遇到的種種問題，比如盜號、惡意拒退、薅羊毛、刷單等，更為嚴峻的是，當前的風控常常存在：風險點廣，利益豐厚，黑產鏈複雜，攻擊手段自動化，防禦措施被動的難題，唯品會在遇到上述問題之後，利用自己的實戰經驗總結出了一套切實有效的解決方案。

議題六：內部產品安全技術——《傷口撕開，給你看》

演講人：瀋海濤

唯品會資深安全工程師（feng），熟悉企業應用安全，目前關注企業架構安全

Java 反序列化漏洞由來已久，在 2015 年也曾集中爆發過一波。該漏洞以其危害程度高，影響範圍廣，讓人記憶深刻。本次峰會中，唯品會資深信息安全工程師瀋海濤全方位分析了VSRC遇到的一個Java反序列化漏洞。深度分析了Java反序列化漏洞在業務場景中的影響，如：敏感信息泄露，信息偽造，拒絕服務，代碼執行。針對這種危害性極大的問題，唯品會也給出了相應的解決辦法。

對序列化的流數據加密

在傳輸過程中使用TLS加密傳輸

對序列化數據進行完整性校驗

對RMI監聽的IP進行限制

議題七：互聯網與金融——《互聯網金融安全建設之路》

演講人：劉錦祥

唯品會資深信息安全工程師，一直在支付行業負責信息安全工作，對互聯網金融安全有著自己的理解

曾幾何時，傳統金融行業一把手的局面已經轉換，互聯網金融日漸興起。但，互聯網金融的發展並非一帆風順，而是面臨著非常嚴峻的安全威脅。唯品會資深信息安全工程師劉錦祥從企業信息安全管理者和建設者的角度詳細分析了如何跟隨企業的成長，逐步建立起互聯網金融企業的信息安全屏障。

議題八：安全項目管理——《「鋼鐵意志，優雅著陸」項目管理在信息安全工作中的最佳實踐》

演講人：陳雪——唯品會高級安全項目經理

人是安全環控中必不可少的因素。唯品會高級安全項目經理陳雪以自身為例，娓娓道來她的職責內容，對「安全項目經理存在的意義：在於制定並實施安全制度、實現產品安全方面的需求、執行安全策略、銜接各個部門做好安全工作」等內容進行了詳盡闡述。

議題九：威脅情報——《那些年我們追過的威脅情報》

演講人：吳靈敏

唯品會高級信息安全工程師，一個遊走在文藝與安全邊界的人

在動態安全時代，威脅情報是對抗動態攻擊最有力的手段。威脅情報會不斷的收集信息、分析信息、再收集信息，形成一個可以對抗攻擊者的堡壘。唯品會高級信息安全工程師吳靈敏從威脅情報體系建設中總結分享了幾個有趣的案例，對「如何機智的獲取情報，如何與黑灰產對抗，如何錯失幾百萬」等經驗做了生動的經驗分享。

議題十：信息安全管理與培訓——《電商安全，管理有道》

演講人：鄭歡

唯品會高級信息安全工程師，多年信息安全行業經驗，專註信息安全管理與培訓工作

電商企業有著獨一無二的成長史，快速多變的企業文化與傳統企業截然不同，所以電商企業的安全管理也別具特色。唯品會信息安全高級工程師鄭歡基於傳統安全管理方法論結合新思維、新實踐，就安全管理中關鍵的四個元素——「人」、「制度」、「風險」、「合規」對唯品會的管理實踐進行了一一闡述。同時，還介紹了唯品會走心的安全培訓理念和以人為本的安全宣貫形式。最後，對安全管理未來更加「高效、精準、可視」的設想進行了展望。

現場嘉賓對話峰會

對話餓了么信息安全總監——王彬

參加完唯品會第二屆電商安全峰會有什麼感想？

王彬：唯品會提供了一個很好的機會，既能聽到有價值的演講，還能和這麼多的大咖坐在一起，我很榮幸。唯品會在互聯網電商安全領域走在業界前列，那些曾經走過的路，踩過的坑，拿出來與行業同仁分享，對於我們來說是一筆經驗財富。基於今天的分享我們會明智的跳過一些坑。

今天峰會上的10個演講議題，您對哪個比較感興趣？

王彬：「鋼鐵意志 優雅著陸」——項目管理在信息安全工作中的最佳實踐。這是我第一次見到安全大會上有項目經理出來分享議題，安全項目經理這個職位確實很重要，也很必要，我特別喜歡這個議題。

怎樣評價第二屆唯品會電商安全峰會？

王彬：推動互聯網電商行業發展，提升整體安全水平

對四葉草安全CEO——馬坤

您兩次參加唯品會電商安全峰會，有什麼不一樣的感想？

馬坤：第一屆峰會時分享的議題就很棒，當時講了很多電商行業踩過的坑，而這些坑對於我們來說意義非凡，能從中收穫頗多。今年峰會更加的集中在了電商安全，唯品會專業團隊詳細講解了自己在實際中遇到的問題，並給出了唯品會的解決方案，這點史無前例。

近期，風控一詞頻出，是不是意味著風控是當前安全中最為重要的一環？

馬坤：風控確實很重要，它能保證大多數的業務不被羊毛黨和黑產騷擾，但是安全應急響應能力也同樣重要。比如前段時間的Strust2事件，怎樣最快速的解決問題非常重要，稍有懈怠即會造成巨大損失，所以風控和安全應急響應同樣重要。

對上海市信息安全行業協會副秘書長——王懷斌

參加完唯品會安全峰會有什麼感想？

王懷濱：VSRC表面上談技術，但是骨子裡談的是業務和管理，站的角度不同。唯品會對企業管理、業務運營有著非常豐富的經驗，所以這一次分享的議題也都是經驗之談。

您怎樣理解唯品會電商安全峰會？

王懷濱：唯品會電商安全峰會對安全行業業務鏈有著指導性的意義。

「因唯安全，所以信賴——深度揭秘唯品會信息安全建設實踐 2017唯品會第二屆電商安全峰會」已於5月20日當天圓滿落幕。會議的召開以「真實的案例、生動的演講、創新的觀點」向參會者展示了我國現階段電商信息安全發展的最高水平和全新風貌。會上行業大咖與參會嘉賓零距離溝通交流，分享實踐經驗，共破技術難題，在不斷地切磋與探討中，也讓我們看到了電商信息安全發展的前景與未來。而隨著時間的不斷推移，唯品峰會也在逐漸發展成為中國互聯網電商安全領域「規格高、水平好、影響力廣、含金量足」的技術性會議之一的道路上腳踏實地，奮勇前行！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！