资料列表
Preview Name 作者 Date File info
  • 网络无限 唯爱守护
    • 信息时代,网络已渗透到青少年生活的方方面面
    • 孩子们都在网络干什么?
    • 孩子们会在网络遇到什么风险?
    • 青少年信息安全教育刻不容缓 社会、家长、学校都不能缺位
    • “唯爱守护计划”,助力青少年信息安全教育
    • 全国首部青少年网络安全主题绘本
    • 五大版块,唯爱守护
    • 唯品会公益,“唯”爱创未来
唯品会 企业社会责任总监 王永庄
  • 附件: 1 个
  • 大小: 2.94 M
  • 高科技人才如是观
    • 什么是好的科技人才
    • 团队成败五层塔
    • 正循环:Shipping + Fun
    • 优秀团队
    • 核心系统承载的压力
    • 2017-2018 唯品会安全团队面对的挑战
黄彦林 唯品会首席技术官
  • 附件: 1 个
  • 大小: 2.28 M
  • 京东反刷单系统
  • 京东资深研发工程师寿如阳为大家分享了京东广告数据部在反刷单系统上的实践心得。刷单是存在于各电商和O2O平台的顽疾。通过刷单骗取消费者对商品品牌的认知度,严重影响了用户体验。同时刷单使业绩数据失真,进而误导商业决策。刷单对于电商生态弊大于利,因此需要积极管控。刷单对商家的利益点使其快速发展,逐渐走向规模化、市场化、产业化,成为营销和牟利兼具的手段。

    在对抗刷单行为时,寿如阳分享了京东的虚假交易识别系统,并提出打造系统时要注重这样五个方面:第一,系统是高可用、可扩张和低延迟,适应电商平台经常做活动的特点;第二,系统要适应多种业务类型,每个业务的数据类型都不一样,时效性也不一样;第三,系统要具备可复现性,以解决业务上的需求和争端的调解;第四,系统要可扩展,算法要灵活,适应频繁变化的策略;第五,要做到下游服务定制化,对刷单者有威慑。

    • 反刷单的需求与挑战
    • 系统架构设计实践
寿如阳 京东广告数据部架构师
  • 附件: 1 个
  • 大小: 2.22 M
  • 企业单点登录与安全网关实践
  • 齐迹的演讲的是企业单点登录与安全网关实践。当企业规模越来越大之后,里面就会有很多的系统,如果每个系统都有一个帐号密码的话,一个员工会有非常多的账号密码,带来了非常高的密码泄露风险;另外,在员工离职时,HR根本就不知道员工在公司开了多少帐号;每个企业都会有很多系统部署在内网,需要通过VPN的方式进行访问,但是VPN的稳定性差、用户体验差、成本高。VPN的密码泄露对内网的影响也是非常巨大。所以设计一套统一的信任网关对于企业变得极为重要。

    在此,齐迹分享了他的实践经验,他们首先想到要统一帐号,行业里面最典型的做法就是单点登录,用户只需要登录一次,其他信任系统可以直接访问,不需要重复登录,也不需要有很多的帐号密码。他们还引入了LDAP服务,进行域控和防止密码泄露。

齐迹 猪八戒网安全技术负责人
  • 附件: 1 个
  • 大小: 3.52 M
  • 风控产品与产品风控
  • 唯品会高级安全产品经理刘新永为大家带来了风控产品与产品风控的话题讨论,他承接去年议题结论“不战而屈人之兵的防御思路”,继续深入探讨风控系统和业务系统的配合支撑关系,通过一两个案例分析,重点分享唯品会的特色电商风控实践——产品风控。

    会上,刘新永为大家解释了什么是产品风控,产品逻辑本身应该具备严谨性和健壮性,实现业务与安全的平衡,从而达到避免或降低业务风险的风控目标。在开展产品风控时,必须要建立起安全完备的管理流程,在风险评估时,要遵循三大原则:业务和安全的平衡;我们不可能完全消除风险,要做到风险可控;最后非常重要的一点是一定要预备降级措施。

    他还阐释了产品风控当中有两个核心的工作,并把这两个工作总结为一个中心两个基本点。所谓的一个中心指的是账户体系,如果它出了问题,搭建风控安全体系会非常困难;两个基本点指的是账户体系的登录和注册两个流程,它们的安全水平直接决定了业务的质量。

    此外,他还特别提到,我们要关注公司的战略走向,当战略执行落地的时候,我们就可以从容面对新的挑战。

刘新永 唯品会高级安全产品经理
  • 附件: 1 个
  • 大小: 2.07 M
  • 移动设备指纹 – Research on mobile device fingerprinting
  • 在电商行业中往往遇见一些常见的安全问题,比如说批量请求的行为;除此之外,我们还会遇到客户端的对抗和设备取证等诸多问题。面对这些问题时,传统的防御体系很难做对抗,对此唯品会资深信息安全工程师dy为大家着重分析了什么是设备指纹,并围绕设备指纹相关构架思路、设备指纹应用场景和价值以及在安全防御过程中所面临的一系列安全问题的解决之道等话题进行了经验分享。

    什么是设备指纹?据dy介绍,在识别一个人的时候,我们可能通过脸部特征或者是笑容特征;而在识别设备的时候,我们可能是通过硬件维度、软件的属性去识别这台设备,也就是指通过一组设备的特征值,唯一且相对稳定的去映射一台设备。

    我们可以将设备指纹技术用在这样几个场景:第一个场景是和批量请求行为对抗;第二个场景是隐式双因素认证,让整个登录流程会变得相当友好;第三个场景是是构建可信的环境体系;第四个是用户被盗时的设备取证;最后一个场景是营销活动中和黄牛的对抗。

    Agenda

    • 一些安全问题与成因
    • 设备指纹研究思路
    • 设备指纹应用场景
    • Future Work
DY 唯品会信息安全部
  • 附件: 1 个
  • 大小: 1.42 M
  • 我要我的云安全--中小企业云上信息安全技术实践
  • “云计算这几年是大势所趋,但是我们上了云之后真的安全了吗?答案是不存在的。”信息安全专家傅奎的议题主要围绕云安全技术展开。运行环境发生变化给安全人员带来了很大的挑战。那么,我们应该如何在云平台上开展安全工作?傅奎分享到,我们可以做这样几步,第一步是是做好基础防护,识边界扎篱笆,把云平台基础的产品用好;第二步是要科学搭建云上的防护框架;此外,我们还要运营好云上的安全产品,和云平台不断沟通、共同成长。

傅奎 千寻位置
  • 附件: 1 个
  • 大小: 3.14 M
  • 大型企业应用安全方案
  • 在演讲中她指出,应用软件安全是企业安全的根本,随着黑客攻击越来越多的利用源代码漏洞,解决源代码的安全问题变得日益重要。大型企业内部往往拥有大量应用程序和源代码、多种编程语言以及各个团队不同的开发流程和语言环境。如何在全企业内部建立统一高效的安全开发流程和管理框架,在开发早期杜绝应用程序设计以及源代码的安全问题,是每个首席安全官急需解决的难题。

    钟卫林结合多年在美国大型银行和互联网公司建立应用安全开发和管理框架的经验,提出了自己的见解。她认为,应该从战略和战术两方面来进行讨论。不管是哪一种方案,不管是哪一种公司风格,不管是哪一种人才储备哪一种技术力量,都要从政策、流程、技术、人才四个方面考虑。

    • 应用软件安全是企业安全的根本
    • 大型企业应用软件安全解决之道
    • 源代码安全是产品安全的根源
钟卫林 源卫科技首席执行官
  • 附件: 1 个
  • 大小: 4.79 M
  • 基于金融知识图谱的反欺诈
  • 卢铮在分享中指出,唯品会引入金融知识图谱的目的主要是为了对抗团伙欺诈。反欺诈其实就是一个机器学习中的二分类问题,金融知识图谱就是作为提取特征的工具,主要起到三层作用,第一层是连接账号、挖掘账号背后的人;第二层是连接欺诈者,挖掘欺诈者背后的人;第三层是把所有人都连接起来。

    卢铮现场讲解金融知识图谱建立、分群、群特征提取的操作方法,目前,唯品金融图的规模是10亿个节点,9亿条边。利用基于金融知识图谱的反欺诈技术,唯品花申请通过率在降1%的情况下,坏帐率可以降20%。

    概述

    • • 背景介绍
    • • 建图
    • • 分群
    • • 图特征提取
    • • 模型训练与效果
卢铮 唯品金融主任算法工程师
  • 附件: 1 个
  • 大小: 1.36 M
  • 通用型漏洞的应急响应
  • 钟武强介绍到,应急流程主要分为三个阶段,第一个阶段是漏洞获悉;第二个阶段是具体的应急工作;第三个阶段则是总结与提升。他特别提到,在应急工作做完之后,应该按照时间线整理整个过程,发现哪些地方值得优化,提升安全能力,避免长期疲于救火。

    • 安全风险分类
    • 漏洞Case 回顾
    • 腾讯TEG安全平台部
钟武强 腾讯安全应急响应中心(TSRC)负责人
  • 附件: 1 个
  • 大小: 2.03 M