业务安全体系建设-基于电商的思考与实践.docxVIP

业务安全体系建设-基于电商的思考与实践

目录Menu

?业务安全体系概览与构建思路

?电商行业的风险场景分析与应对

?落地案例与经验分享

业务安全体系概览

品牌保护：仿冒网址/二维码识别（识别处置反诈）WeTest质量开放平台

品牌保护：仿冒网址/二维码识别

（识别处置反诈）

WeTest质量开放平台

（性能管理兼容测试崩溃分析）

综合场景应用

私域场景：小程序生态全链路安全

（获客交易售后）

业务应用场景举例广告投放注册登陆拉新裂变活动营销图形验证码（人机识别对抗）手机状态查验

业务应用场景举例

广告投放注册登陆拉新裂变活动营销

图形验证码

（人机识别对抗）

手机状态查验（羊毛党防治）

一键登陆（本机识别）

全栈式风控引擎（羊毛党防治）

流量反欺诈

（渠道流量反作弊）

降本增效

内容合规：内容审核（**办等要求内容安全主体责任）身份合规：二要素实名认证（**部等要求实名认证等）

内容合规：内容审核

（**办等要求内容安全主体责任）

身份合规：二要素实名认证（**部等要求实名认证等）

合规要求

APP应用合规：隐私合规检测（**部等四部委合规要求）

电商行业的风险场景分析与应对

电商行业场景分析

应用合规背景：直接影响应用市场上架等渠道分发

n2020年**部已完成44万款APP的隐私合规检测

n2021年**部预计完成180万款APP的隐私合规检测

n7天之内必须整改，否则要求所有应用商店下架处理

应用合规上架：移动安全隐私合规

涵盖最全监管条例-全面高效进准定位APP隐私合规风险

高

高

效

行为合规检测

对APP违法收集用户隐私的行为进行合规检测

权限合规检测

对APP的敏感权限使用情况进行检测，判断其是否合规

第三方SDK合规检测

对第三方SDK的行为、权限、通信等内容进行合规检测

SaaS服务

移动应用APK

API查询

调用API接口

各类检测引擎

1.加固检测2.静态检测引擎

1.加固检测

2.静态检测引擎

3.动态检测引擎

3.动态检测引擎

4.漏洞检测引擎

4.漏洞检测引擎

专家服务

专家服务

《网络安全法》

《个人信息保护法（草案）》

工信部164号文

…

.

APP隐私合规检测报

APP隐私合规检测报

告

基础信息

（应用名称、包名、版本、文件MD5、加固信息等）

APP行为分析

（读取SIM卡信息、IP、MAC、WIFI信息、进程等)

APP权限分析

（获取读写外部存储、录音、位置、照相权限等)

SDK信息

（SDK名称、厂家、行为、权限、通信等）

个人信息传输存储风险

个人信息泄露漏洞信息

推广获客：流量欺诈

投放金主

手机墙——群控——伪造留存

真实流量虚假流量

真实流量

优质渠道劣质渠道

优质渠道

推广留存

推广留存

激活等流量

真实用户流量工作室

真实用户

巨额渠道投放费用，却没带来相应价值的用户

购买资源提供资源

黑产工作室（设

备、IP、账号、

脚本）

账号安全：注册/登录风险场景

登录机器登陆养号

登录

机器登陆养号

机器虚假注册

账号安全：营销裂变

危害：

1.没有获取真用户

2.无公平性、体验差、用户流失

虚假用户裂变批量获取优惠券

虚假用户裂变

常见黑产工具

1、利用OCR技术绕过传统图文验证码2、利用接码平台绕过短信验证码3、利用中控设备绕过对手机号、IP的限频

羊毛党分工协作，高度产业链化

安全认证体系

安全验证体系

人机图灵验证设备一致性验证身份验证好人验证

验证人机（验证码）验证本机（无感验证）验证本人（要素）