互联网用户安全及淘宝应 对

张建伟 致庸 spark@secsay.com zhiyong.zjw@taobao.com

互联网用户安全及淘宝应对

个人介绍 网名 spark ，花名致庸 9 年安全经验 2011 年进入淘宝网

会员基础产品经理 账号安全产品经理

2012 年，用户安全产品经理

内容概述 用户安全定义 互联网用户安全的挑战 淘宝在用户安全上的投入 分享淘宝的安全产品经验 用户安全对同行的要求

共识 不同的业务 相同的用户 共同的安全

业务安全 技术是骨架，内容是血肉，业务是灵魂 企业的目标是输出有价值的业务并且以此盈利 最大的威胁来自最核心业务 不同业务模式导致不同安全问题

业务安全举例 大部分政府网站发布信息为核心业务，他最大的安全就

是主页防篡改 SNS 网站通过 UGC 信息来保持和促进好友间的社交活动，

虚假账号、垃圾信息、有害信息是最大的安全问题 以信息筛选竞价排名为主要业务的搜索，业务安全问题

应该是反排名作弊，排除有害信息 钱流动为主要业务的是支付网站，安全第一目标是保证

钱不出问题

通过业务风险控制，保证业务的生态平衡

业务安全

站在用户角度看

有关钱的问题其实都不是问题 钱丢了还可以再赚

“ 感情，伤不起” 隐私信息泄露覆水难

收，不可逆转

账号密码泄露 密码泄露后看起来可以修改 其实不然

平均一个人只能记住 7 个密码 根据应用场景最多分成 3 个级别 频繁改密会导致密码混乱 密码管理混乱后，后果类似于遗失密码

其他不可变信息泄露 手机号码

人脉越广，手机换号成本越高 身份证号码

换身份证号码的成本是不是更高？ 出生日期

更改这个需要时光倒流

信息泄露是用户所有安全问题的源头

和用户息息相关的安全问题安全服务的直接目标是用户

用户安全

用户支付被劫持

账号老被盗

隐私

泄露

交易被欺诈

用户安全的问题 现象：互联网越发展，用户安全负担越严重 原因一：网络应用百花齐放，信息被复制多份，

丢失概率增加 原因二：个人的基本信息基本不会变化，黑客

技术在高速发展，

龙珠的故事 找到散落在世界各地的七颗龙珠，就可以唤出神龙许下愿望。

黑客会第一个从企业、运营商、政府拿到所有的数据，集齐“龙珠”

这一天已经来临了？我们做好准备了吗？

龙珠终有一天会被黑客集齐

看看真相 网上公布：至少 1.6亿账号密码数据 统计发现， 500种密码覆盖了 82% 的用户 小道消息：黑客手里有 N亿条账号密码

怎么办？

淘宝现在是怎么办的 安全投入 安全产品未雨绸缪 寻求更多安全合作

淘宝安全团队 安全研究团队 安全测试& 风险控制团队 技术安全团队 信息安全团队 业务安全团队 安全运营团队 安全产品团队

用户安全产品 看不见的

服务端防御 客户端识别 模型识别

看得见的 双因素验证 双向认证

未雨绸缪 真正为用户负责 对风险的准确预测和评估 切实可行的方案 2011 年 5月

600万卖家 90% 以上都开通了双因素身份认证

淘宝的安全产品思路

定性 定量

实际的

有效的

业务风控

用户安全

事件处理

安全风险评估

部分用户安全产品思路

如何防盗 如何防骗

反盗窃

反欺骗特征处理

双向认证

多因素认证

主动防御

这些够了吗？ 远远不够，因为整个大盘是要坏掉的 淘宝安全不可能独善其身！

用户安全对同行的建议或要求 安全上多合作，共同打击黑恶势力 做好服务端数据加密 千万级以上用户数量的网站，为用户提供双因素认证或者更加安全的安全产品保障

在用户安全方面有更多深入合作，保护我们共同的用户

淘宝用户安全团队愿景 通过提供安全知识和安全工具，给用户提供掌

控自己信息安全的能力

通过安全联盟和安全合作，给用户提供安全的互联网环境

安全合作

半开放的淘宝用户安全

更深入的行业交流

寻求更好的安全联盟方式

合作联系 浩然 haoran@taobao.com 青莲 qinglian@taobao.com

不同的业务相同的用户共同的安全

谢谢！