To B 安全公司如何捍卫 C 端消费者权益

访客 2020年03月16日 15:38 217 0

本文来源:绿盟科技

历年央视的3.15晚会，都会受到全国人民的关注。年度的消费陷阱预警、被曝光的种种欺诈手段，这些央视基于消费者真实投诉进行跟踪调研的精选内容，不仅给予全国14亿消费者警示，督促相关部门重视并尽快推进**的工作，更是在鞭挞商家要警钟长鸣，时刻有维护消费者权益的意识。

中国是个人口红利大国。据国家统计局2020年2月28日发布的《中华人民共和国2019年国民经济和社会发展统计公报》显示，2019年年末全国仅城镇常驻人口就达8.4843亿人，全年社会消费品零售总额达411649亿元。越是在这样一个国情下，消费者的各项权益越应得到有效、全方位的保障以及监督。通过制定相关法律，曝光、追责那些擦边球，并积极打击侵害消费者权益的违法行为，可以更好的帮助消费者树立信心和防范意识。

今年央视的3.15晚会已经确认因为全国疫情的原因延后，具体曝光的内容和方向我们还不得而知。所以这篇文章，让我们了解下，绿盟科技这样一家 To B 安全企业在帮助企业捍卫消费者权益方面，可以做哪些力所能及的事情。

但是，在此之前，我们要先明确，网络安全与消费者权益的保护之间，有着怎样的联系。

网络安全与消费者权益

2014年3月15日起正式施行的新《中华人民共和国消费者权益保护法》中明确强调，经营者及其工作人员对收集的消费者个人信息必须严格保密，不得泄密、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施，确保信息安全，防止消费者个人信息泄露、丢失。同时规定，经营者未经消费者同意或者请求，或者消费者明确表示拒绝的，不得向其发送商业性信息。

然而，现实却是，我们的个人和行为信息已经被广泛滥用，甚至有着贩卖信息的成熟黑产。手机号、***号以及家庭住址这些老百姓早年意识中的隐私也早已不知道被转手过多少次。

无论你处于哪个行业，住在哪个城市，随着企业、政府机构等大量业务的云化，互联网、大数据服务可以说已经融入了我们的生活。物联网、5G移动通讯，也在快速向我们走来。消费活动作为我们每个人日常生活中的重要一环，消费者权益能否得到有效保障，值得每个网安人为之思考和努力。

作为国内成立较早的一批网络安全企业，绿盟科技今年4月就将迎来20岁生日。作为一家定位在为企业提供网络安全产品和服务的企业，近20年的产品技术、需求场景的积累，让绿盟科技有了丰富、立体的能力外延。也即是说，我们的产品和能力，对 C 端消费者而言，也有着重大的积极意义。

下面，是绿盟君整理的三个典型因为网络安全原因，消费者权益被侵犯的场景，以及绿盟科技可以为企业客户所提供的针对性能力支撑。

场景1. 大数据服务以及个人信息滥用

数据可以说是数字时代的石油，而存储这些原油的，是大数据平台。随着企业和机构在大数据基础设施建设投入的持续增长，数据应用开放的加速，这些原油数据，已经作为重要的生产要素，推动着决策与创新。

但是，这些数据是否被滥用？是否在未绑架可用功能性的前提下，尽了向数据**所有者告知所有潜在用途的义务？生活中常常会遇到这样的事情：刚刚在某网站看完心怡的商品，就收到了另一电商网站同品牌的推送；刚刚咨询完一家4s 店的保养方案，就收到了2公里内另一家4s 店销售仓促的电话；莫名的电话、邮件，更是因为自己本该在银行、某机构的数据，居然在一家根本没有听说过的第三方数据公司，通过爬虫爬取来的大数据平台里。

我们承认，随着隐私保护相关政策、法律的陆续出台，企业和机构对大数据平台中的数据，以及其所提供的服务，会有相应的安全管理意识；但是数据类型多、体量大、平台组件安全性未知，都是数据治理重要技术阻碍和被恶意利用的风险点。从监管单位角度，对其数据内容、流转和应用的合规检查，也困难重重。

无疑，大数据平台需要基于内容持续的监控和治理。绿盟敏感数据发现与风险评估系统（IDR）可以结合不同行业业务特性，提供数据发现、分类分级、敏感数据分布监控、审计、和组件的风险评估等功能。 To B 安全公司如何捍卫 C 端消费者权益-第1张图片-网盾网络安全培训

这些能力，一方面可以为监管和测评机构提供一站式的便携工具；另一方面能为企业基于数据安全风险（如数据滥用）实现快速定位提供技术支撑，并通过修复优化建议，帮助企业满足检查要求的同时，提升系统和数据的安全性。

场景2. 网站数据泄露、挂马以及钓鱼

数据泄露，对企业而言，可能让高管被迫辞职，收购价格大幅跳水，甚至检察院介入调研。那么，对于被泄露信息的人，又意味着什么？回答这个问题，你可以尽情发挥你的想象力。个人隐私自不必说，但还可能是你注册其它账户时最常用的邮箱和登录凭证，也有可能是你在这个站点不小心“违规”上传的重要机密数据。

从互联网时代开始，Web 服务就以各种形式参与到我们的消费生活中。不局限于网购，从基础的电邮、社交，到金融、在线医疗，再到疫情下另一个风口——远程办公/授课。但是，这些提供 Web 服务的网站（或者是 Web 后端），是否正在施行有效的安全措施，以应对可能发生的安全事件，我们作为消费者却不得而知。然而，如果你去任何安全媒体网站，检索“数据泄露”这个关键词，你会发现，很多知名的网站，很多存储着对于用户而言非常重要信息的网站，做的并没有我们以为的那么好。

可以说，利用网站漏洞进行攻击，进而窃取数据，对攻击者而言是个获取数据的重要方式。网站的源代码，数据库，注册信息都是他们的对象。所以 Web 安全防护是一个非常必要的能力。这个能力的核心载体，就是 WAF（Web 应用防火墙）。

Web承载的交互应用是数据库的门户。绿盟科技的WAF能检查HTTP请求的各个字段，用精炼的规则对攻击实施过滤，以提供细粒度的 HTTP 访问控制。此外，还支持识别并更正Web应用错误的业务流程，以识别可能存在的数据泄露行为。 To B 安全公司如何捍卫 C 端消费者权益-第2张图片-网盾网络安全培训

当然，Web 给消费者权益带来的威胁不局限在数据泄露。被篡改后的网站，隐藏其中的非法链接、恶意代码、木马病毒等，又是另一种。

“僵木蠕”（即僵尸网络、木马病毒、蠕虫病毒），特别是后两者，感染后都可以对我们个人电脑的（文件）系统造成破坏。重要文件的丢失、泄露、或被恶意隐藏，电脑被远程控制，都是可能且真实发生过的。

近期，网上开始流传名为“新冠病毒”、“最新病毒预防手册”、“武汉实录”等木马病毒，在社交软件、电子邮件中大量传播。攻击者利用广大群众关注疫情、渴望获得第一手资讯的心理，诱导用户下载、运行。这些恶意软件不仅可以窃取用户个人信息，回传电脑中存储的重要文件，甚至可以使其沦为网络犯罪的工具（比如挖矿）。当然，如果你是 BYOD 办公，那么这些病毒一旦入侵企业内部网络环境，后果更是不堪设想。

那么，什么类型的网站更容易成为被篡改的目标，并挂上恶意链接和病毒呢？2019年初，绿盟科技应急响应团队就检测到国内近700多家政府、教育、企事业单位网站被黑客批量篡改，植入恶意链接，访问链接后会跳转到指定色情网站。

网页篡改可大致分为显式篡改和隐式篡改两种。如果说显式篡改是为了炫技，或者出于宗教和政治舆论目的的话，那么隐式篡改（如挂马、暗链等）就是直接出于经济利益的考量。

隐式篡改也是对消费者危害最大的攻击形式。

所以，除了 WAF 外，出于对浏览网站的消费者权益的保护，网页防篡改也是必备的能力。

绿盟网页防篡改系统（HDS）具备易安装、易管理、易维护和易扩展的特点。结合 WAF，在保障网站安全、稳定运行的同时，可以更立体的实现安全防护，更好的从网络安全角度，保障消费者（无论是作为用户还是游客）的合法权益。

Web 还有一种重要的侵犯消费者权益，绕乱市场环境的行为，那就是仿冒（钓鱼）网站。对其有效、及时的发现和监控，是关停前的基础与关键。

电商作为线上消费的核心渠道，仿冒情况较为严重。据绿盟科技威胁情报中心（NTI）观察，目前电商行业平均每周可检测到活跃的仿冒网站达百万级，部分仿冒知名电商的网站，甚至仅从外观能够做到“肉眼难辨”。一旦消费者访问这些钓鱼站点，消费者访问其仿冒对象的账号、支付凭证等关键数据极大可能被悉数获取。后续，盗刷、刷单、引流等变现操作，就是大部分消费者中招后的归宿。

基于绿盟科技大数据分析平台，结合安全情报专家对情报数据进行深度挖掘分析，绿盟科技威胁情报中心可以准确定位和识别仿冒钓鱼网站，并通过NTI Portal界面、API接口、订阅推送等多种方式将威胁情报输出的客户侧，或者直接馈送到安全设备实现快速协同。