在网络购物最怕什么?买到假货?质量不好?或者款付了货却没到?不、不、不,这些都不可怕,最可怕的是“没购物钱也没了——被黑客偷光光”。
黑客的“爱”让电商很无奈在如今这个电子商务盛行的时代,安全问题显得极为重要。想一想,双十一到来时,电商却遭遇钓鱼网站、DDoS攻击的狙击,不仅消费者必将损失惨重,电商们更是欲哭无泪。安全已经成为电商业务能否健康发展、能否继续存活的重要问题。
购买部署安全产品、上安全解决方案、招聘专业安全人员……电商们正在采取诸多措施提升自己的安全防护能力。但索尼、RSA等国际企业所遭受的恶意攻击让人们发现,产业链里安全防御薄弱的第三方会使得电商的安全体系变成马其诺防线,功亏一篑。这意味着,电商平台做得再安全,一旦入住的某家电商或者产业链里的第三方出现安全防护漏洞,那么堡垒就将被从内部攻破。
电商安全联盟:团结就是力量有鉴于此,2015年9月21日,由阿里巴巴联合众多产业链伙伴共同发起的“电子商务独立软件提供商(ISV)安全联盟”(ISV Security Alliance,简称为ISSA)于北京正式成立。ISSA联盟将重点关注促进ISV行业的业务安全能力建设,提高电子商务服务市场中安全类ISV的安全能力水平,提高ISV所提供的第三方软件的安全性,减少敏感数据泄露风险,保障消费者隐私和商家数据。
ISSA联盟依托电子商务第三方软件相关领域内的企事业单位、科研机构、政府部门和社会团体组成,产学研用相结合,按照“自愿、平等、合作”的原则组建,业务范围会主要制定和推广电子商务第三方软件相关安全规范、安全测试规范等,推动ISV的安全能力建设,促进电子商务的生态安全。
据了解,目前已有百胜、笛佛、数云、百世、管易、又一城、任我行、湖畔、富润、掌上先机等多家企业加入ISV安全联盟,大家将共同制定和实施电子商务第三方软件安全要求规范和安全测试规范,推动ISV安全能力建设以及安全测试工作。
百胜董事长兼CEO黄飞称,在百胜的客户群体里,有很大一部分电商的领头企业,他们依托于阿里提供的电商平台和百胜提供的自有平台进行日常经营,通过加入安全联盟,百胜也建立起了自有的安全保障体系,并引导电商客户共建安全生态。在加入ISSA后,百胜与阿里双方均有专门人员对接安全能力提升建设工作。“相信ISSA建立后,会与大家一起打造更好的安全体系、安全标准,构筑起坚实的电商安全长城。”
业务做得好网络安全是保障一个好消息是,如今的电商安全问题实际上正在从早期的不太可控,到逐渐变得可控,电商安全正在得以缓解。电子商务时代如何才能让消费者安心,这是电商们一直在探寻的问题。保障电子商务贸易活动的公平性,保证交易商品的质量,精炼电子商务交易流程,提高用户在线支付的便捷性,增强用户的业务体验……随着对电子商务认识的愈加深入明晰,电商用户开始认识到安全是满足用户需求、促进电子商务健康前进发展的大前提。
在本次联盟的成立大会上,阿里巴巴安全部副总裁杜跃进表示,ISV安全是电子商务安全生态链中的重要环节,“直接关系到我们未来能走多远、能做多大。只有整个生态链更安全了,我们的市场才有可能更加繁荣持久。因此我们要和ISV一起,把客户的安全放在心上,共同提升安全水平,创造更美好的未来。”
又一城软件总经理麦佩雨提出有了安全产品、安全解决方案,但还需要有更好的安全管理。ISSA能够帮助合作伙伴提升其安全管理能力,加强其安全运维能力,甚至通过安全评测帮助合作伙伴发现其业务系统里潜藏的、被忽视的安全漏洞。
多方合作共同打造电商安全生态圈打造电商安全生态圈不仅涉及到其上下游业务链里的各方,还需要政府等更多层面能力的介入,从更高维度推进电商的安全建设。工信部网络安全管理局付景广处长在参加本次会议时表示,本联盟所关注的数据安全、隐私保护等问题事关行业健康发展和消费者权益保护,也关系到国家互联网+战略能否顺利实施,本联盟的成立是一个很好的起点,后续有望在提高ISV的安全能力,降低信息泄露风险,构建电子商务的安全生态圈方面起到极大的促进作用。
积极推动电子商务平台、安全服务商、ISV、安全评测机构等电子商务行业主体融合发展是ISV安全联盟的重要任务。联盟后续也将陆续组织开展各类风险预警、安全开发、安全运维、安全管理、安全评测相关交流和培训活动,积极推动ISV的安全能力提升,维护ISV行业的健康持续发展。
电商安全永不停息安全是一个持续性的过程,要提升安全管理、提升安全评测、提升安全意识……在与恶意攻击者的对抗中,将不断发现有新的安全问题需要予以解决。
安全不仅是技术问题,还是环节问题、心理学问题、社会工程学问题等等。所以从效率问题到数据化问题、安全问题,阿里会针对各家不同情况帮助其提升安全能力。例如,阿里的“聚石塔”能够在新漏洞发现后,实现快速的安全部署,帮助用户节省安全运维成本。当有重大安全事件、安全漏洞爆发时,也不用担心,阿里通过ISV安全联盟会帮助合作伙伴建立起有效的应急响应机制,甚至在安全漏洞影响爆发之间,就及时有效的解决。
现在人们对于安全的认知在逐渐提升,如今安全与风险控制正在慢慢结合在一起。数据是否加密传输、是否注意到人为因素的管控等等,都是需要考虑的问题。安全的空隙在越来越多,而大数据能够帮助人们及时发现威胁。
据悉,针对电子商务领域的信息安全保护问题,阿里巴巴已发起制定《电子商务第三方软件安全规范》,指导电子商务第三方软件的安全开发、管理和运营,促进电子商务第三方软件安全开发的标准化、规范化。
阿里巴巴作为联盟的重要发起方,也将结合自身在安全领域内积累的技术实力和行业经验,在标准制定、落地实施、认证测试方面给予联盟所有成员重要的技术支持和经验分享。阿里巴巴集团标准化总监朱红儒、生态安全高级专家张世长以及商家业务事业部高级专家王超博等都将在联盟中分别提供制定标准、生态安全、安全运营方面的具体技术支持。
