To B 安全公司如何捍衛(wèi) C 端消費者權(quán)益

歷年央視的3.15晚會，都會受到全國人民的關注。中國是個人口紅利大國。年度的消費陷阱預警、被曝光的種種欺詐手段，這些央視基于消費者真實投訴，進行跟蹤調(diào)研的精選內(nèi)容，不僅給予全國14億消費者警示，督促相關部門重視并盡快推進維權(quán)的工作，更是在鞭撻商家要警鐘長鳴，時刻有維護消費者權(quán)益的意識。

今年央視的3.15晚會已經(jīng)確認因為全國疫情的原因延后，具體曝光的內(nèi)容和方向我們還不得而知。在此之前，我們要先明確，網(wǎng)絡安全與消費者權(quán)益的保護之間，有著怎樣的聯(lián)系。

網(wǎng)絡安全與消費者權(quán)益

2014年3月15日起正式施行的新《中華人民共和國消費者權(quán)益保護法》中明確強調(diào)，經(jīng)營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得泄密、出售或者非法向他人提供。經(jīng)營者應當采取技術(shù)措施和其他必要措施，確保信息安全，防止消費者個人信息泄露、丟失。同時規(guī)定，經(jīng)營者未經(jīng)消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發(fā)送商業(yè)性信息。

然而，現(xiàn)實卻是，我們的個人和行為信息已經(jīng)被廣泛濫用，甚至有著販賣信息的成熟黑產(chǎn)。手機號、身份證號以及家庭住址這些老百姓早年意識中的隱私也早已不知道被轉(zhuǎn)手過多少次。

無論你處于哪個行業(yè)，住在哪個城市，隨著企業(yè)、政府機構(gòu)等大量業(yè)務的云化，互聯(lián)網(wǎng)、大數(shù)據(jù)服務可以說已經(jīng)融入了我們的生活。物聯(lián)網(wǎng)、5G移動通訊，也在快速向我們走來。消費活動作為我們每個人日常生活中的重要一環(huán)，消費者權(quán)益能否得到有效保障，值得每個網(wǎng)安人為之思考和努力。

作為國內(nèi)成立較早的一批網(wǎng)絡安全企業(yè)，綠盟科技今年4月就將迎來20歲生日。作為一家定位在為企業(yè)提供網(wǎng)絡安全產(chǎn)品和服務的企業(yè)，近20年的產(chǎn)品技術(shù)、需求場景的積累，讓綠盟科技有了豐富、立體的能力外延。也即是說，我們的產(chǎn)品和能力，對 C 端消費者而言，也有著重大的積極意義。

下面，是綠盟君整理的三個典型因為網(wǎng)絡安全原因，消費者權(quán)益被侵犯的場景，以及綠盟科技可以為企業(yè)客戶所提供的針對性能力支撐。

場景1.基于大數(shù)據(jù)服務而個人信息濫用

數(shù)據(jù)可以說是數(shù)字時代的石油，而存儲這些原油的，是大數(shù)據(jù)平臺。隨著企業(yè)和機構(gòu)在大數(shù)據(jù)基礎設施建設投入的持續(xù)增長，數(shù)據(jù)應用開放的加速，這些原油數(shù)據(jù)，已經(jīng)作為重要的生產(chǎn)要素，推動著決策與創(chuàng)新。

但是，這些數(shù)據(jù)是否被濫用?是否在未綁架可用功能性的前提下，盡了向數(shù)據(jù)主權(quán)所有者告知所有潛在用途的義務?生活中常常會遇到這樣的事情：剛剛在某網(wǎng)站看完心儀的電視，就收到了另一電商網(wǎng)站同品牌的推送;剛剛咨詢完一家4S 店的保養(yǎng)方案，就收到了2公里內(nèi)另一家4S 店銷售倉促的電話;莫名的電話、郵件，更是因為自己本該在銀行、某機構(gòu)的數(shù)據(jù)，居然在一家根本沒有聽說過的第三方數(shù)據(jù)公司，通過爬蟲爬取來的大數(shù)據(jù)平臺里。

隨著隱私保護相關政策、法律的陸續(xù)出臺，企業(yè)和機構(gòu)對大數(shù)據(jù)平臺中的數(shù)據(jù)，以及其所提供的服務，會有相應的安全管理意識;但是數(shù)據(jù)類型多、體量大、平臺組件安全性未知，都是數(shù)據(jù)治理重要技術(shù)阻礙和被惡意利用的風險點。從監(jiān)管單位角度，對其數(shù)據(jù)內(nèi)容、流轉(zhuǎn)和應用的合規(guī)檢查，也困難重重。

無疑，大數(shù)據(jù)平臺需要基于內(nèi)容持續(xù)的監(jiān)控和治理。綠盟敏感數(shù)據(jù)發(fā)現(xiàn)與風險評估系統(tǒng)(IDR)可以結(jié)合不同行業(yè)業(yè)務特性，提供數(shù)據(jù)發(fā)現(xiàn)、分類分級、敏感數(shù)據(jù)分布監(jiān)控、審計、和組件的風險評估等功能。

這些能力，一方面可以為監(jiān)管和測評機構(gòu)提供一站式的便攜工具;另一方面能為企業(yè)基于數(shù)據(jù)安全風險(如數(shù)據(jù)濫用)實現(xiàn)快速定位提供技術(shù)支撐，并通過修復優(yōu)化建議，幫助企業(yè)滿足檢查要求的同時，提升系統(tǒng)和數(shù)據(jù)的安全性。

場景2.網(wǎng)站數(shù)據(jù)泄露、掛馬以及釣魚

數(shù)據(jù)泄露，對企業(yè)而言，可能讓高管被迫辭職，收購價格大幅跳水，甚至檢察院介入調(diào)研。那么，對于被泄露信息的人，又意味著什么?回答這個問題，你可以盡情發(fā)揮你的想象力。個人隱私自不必說，但還可能是你注冊其它賬戶時最常用的郵箱和登錄憑證，也有可能是你在這個站點不小心“違規(guī)”上傳的重要機密數(shù)據(jù)。

從互聯(lián)網(wǎng)時代開始，Web 服務就以各種形式參與到我們的消費生活中。不局限于網(wǎng)購，從基礎的電郵、社交，到金融、在線醫(yī)療，再到疫情下另一個風口——遠程辦公/授課。但是，這些提供 Web 服務的網(wǎng)站(或者是 Web 后端)，是否正在施行有效的安全措施，以應對可能發(fā)生的安全事件，我們作為消費者卻不得而知。然而，如果你去任何安全媒體網(wǎng)站，檢索“數(shù)據(jù)泄露”這個關鍵詞，你會發(fā)現(xiàn)，很多知名的網(wǎng)站，很多存儲著對于用戶而言非常重要信息的網(wǎng)站，做的并沒有我們以為的那么好。

可以說，利用網(wǎng)站漏洞進行攻擊，進而竊取數(shù)據(jù)，對攻擊者而言是個獲取數(shù)據(jù)的重要方式。網(wǎng)站的源代碼，數(shù)據(jù)庫，注冊信息都是他們的對象。所以 Web 安全防護是一個非常必要的能力。這個能力的核心載體，就是 WAF(Web應用防火墻)。

Web承載的交互應用是數(shù)據(jù)庫的門戶。綠盟科技的WAF能檢查HTTP請求的各個字段，用精煉的規(guī)則對攻擊實施過濾，以提供細粒度的 HTTP 訪問控制。此外，還支持識別并更正Web應用錯誤的業(yè)務流程，以識別可能存在的數(shù)據(jù)泄露行為。

當然，Web 給消費者權(quán)益帶來的威脅不局限在數(shù)據(jù)泄露。被篡改后的網(wǎng)站，隱藏其中的非法鏈接、惡意代碼、木馬病毒等，又是另一種。

“僵木蠕”(即僵尸網(wǎng)絡、木馬病毒、蠕蟲病毒)，特別是后兩者，感染后都可以對我們個人電腦的(文件)系統(tǒng)造成破壞。重要文件的丟失、泄露、或被惡意隱藏，電腦被遠程控制，都是可能且真實發(fā)生過的。

近期，網(wǎng)上開始流傳名為“新冠病毒”、“最新病毒預防手冊”、“武漢實錄”等木馬病毒，在社交軟件、電子郵件中大量傳播。攻擊者利用廣大群眾關注疫情、渴望獲得第一手資訊的心理，誘導用戶下載、運行。這些惡意軟件不僅可以竊取用戶個人信息，回傳電腦中存儲的重要文件，甚至可以使其淪為網(wǎng)絡犯罪的工具(比如挖礦)。當然，如果你是 BYOD 辦公，那么這些病毒一旦入侵企業(yè)內(nèi)部網(wǎng)絡環(huán)境，后果更是不堪設想。

那么，什么類型的網(wǎng)站更容易成為被篡改的目標，并掛上惡意鏈接和病毒呢?2019年初，綠盟科技應急響應團隊就檢測到國內(nèi)近700多家政府、教育、企事業(yè)單位網(wǎng)站被黑客批量篡改，植入惡意鏈接，訪問鏈接后會跳轉(zhuǎn)到指定 網(wǎng)站。

網(wǎng)頁篡改可大致分為顯式篡改和隱式篡改兩種。如果說顯式篡改是為了炫技，或者出于宗教和政治輿論目的的話，那么隱式篡改(如掛馬、暗鏈等)就是直接出于經(jīng)濟利益的考量。隱式篡改也是對消費者危害最大的攻擊形式。

所以，除了 WAF 外，出于對瀏覽網(wǎng)站的消費者權(quán)益的保護，網(wǎng)頁防篡改也是必備的能力。

綠盟網(wǎng)頁防篡改系統(tǒng)(HWAF)具備易安裝、易管理、易維護和易擴展的特點。結(jié)合 WAF，在保障網(wǎng)站安全、穩(wěn)定運行的同時，可以更立體的實現(xiàn)安全防護，更好的從網(wǎng)絡安全角度，保障消費者(無論是作為用戶還是游客)的合法權(quán)益。

Web 還有一種重要的侵犯消費者權(quán)益，擾亂市場環(huán)境的行為，那就是仿冒(釣魚)網(wǎng)站。對其有效、及時的發(fā)現(xiàn)和監(jiān)控，是關停前的基礎與關鍵。

電商作為線上消費的核心渠道，仿冒（釣魚）情況較為嚴重。綠盟威脅情報中心（NTI）基于持續(xù)的資產(chǎn)監(jiān)測和識別能力，可快速發(fā)現(xiàn)和定位仿冒（釣魚）網(wǎng)站。部分仿冒（釣魚）知名電商的網(wǎng)站，外觀上“肉眼難辨”。一旦消費者訪問和登錄這些仿冒（釣魚）站點之后，其賬號以及支付憑證等關鍵數(shù)據(jù)將被仿冒（釣魚）站點擁有者獲取。后續(xù)消費者的資產(chǎn)可能面臨著被盜刷、刷單以及引流等變現(xiàn)操作。

基于綠盟科技大數(shù)據(jù)分析平臺，結(jié)合安全情報專家對情報數(shù)據(jù)進行深度挖掘分析，綠盟威脅情報中心可以準確定位和識別仿冒（釣魚）網(wǎng)站，并通過NTI Portal界面、API接口、訂閱推送等多種方式將威脅情報與安全設備、客戶和安全廠商進行共享，協(xié)同防御，保護客戶網(wǎng)絡安全。

場景3.智慧家庭中的隱私和財產(chǎn)安全

最后談談之前幾年3.15已經(jīng)提及較多的物聯(lián)網(wǎng)，特別是智慧家庭中的安全隱患。

物聯(lián)網(wǎng)、5G 可以說在技術(shù)應用上有很強的結(jié)合。隨著5G 的廣泛應用，各家智慧家庭生態(tài)的逐漸成型，想必可以聯(lián)網(wǎng)的攝像頭、門鎖、臺燈、開關、電視等物聯(lián)網(wǎng)設備，會更深入的融入甚至改變我們的日常生活。

因為網(wǎng)絡安全問題，物聯(lián)網(wǎng)設備所引入的風險有其特殊性——不局限在數(shù)字世界。

家用攝像頭因為系統(tǒng)升級困難、固件安全漏洞、云端平臺在登錄時對身份的認證機制存在缺陷等問題，往往造成家人生活狀態(tài)(隱私)泄露;聯(lián)網(wǎng)機頂盒、電視利用其安全漏洞進行劫持，強制彈出廣告或者惡意站點;智能門鎖因為手機 APP、后臺等脆弱性被惡意監(jiān)控，掌握家人生活作息，甚至進行實現(xiàn)遠程控制輔助入室盜竊。

消費級的物聯(lián)網(wǎng)設備需要在出廠前，在兼顧成本、售價處在合理范圍的前提下，應考慮哪些和網(wǎng)絡安全相關的安全性檢查和措施?為了維持安全的基線，在資產(chǎn)側(cè)，如對固件的安全檢測、系統(tǒng)升級，后臺接入前的準入控制，移動端應用代碼層的混淆、審計等，都是非常有必要采取的措施。

當然，這些只是基于消費級物聯(lián)網(wǎng)設備的。城市級、行業(yè)級的物聯(lián)網(wǎng)，需要更復雜、立體的安全方案做支撐?；诰G盟智能安全運營平臺iSOP，結(jié)合NTI威脅情報數(shù)據(jù)對物聯(lián)網(wǎng)場景進行分析，綠盟科技物聯(lián)網(wǎng)保護傘解決方案可以對家庭網(wǎng)絡及企業(yè)物聯(lián)網(wǎng)邊緣設備進行安全防護，為消費者和企業(yè)提供安全解決方案。

對于采購和使用消費級物聯(lián)網(wǎng)產(chǎn)品的消費者，綠盟科技也給出如下安全建議：

1第一時間更改默認口令。如有可能，最好定期更換(建議使用口令管理軟件)。

2關注個人隱私。如攝像頭安裝的位置，角度。不需要使用時可以考慮關閉電源。

3使用手機 APP 進行監(jiān)控盡量使用移動網(wǎng)絡。切忌使用公共免費 WIFI。

4 智能音響、語音助手要關注隱私相關設置，可能的話定期刪除語音記錄。

5采購時要選擇支持升級與安全更新的設備，并在第一時間升級更新。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。