2020-03-16 03:47:18 綠盟科技

歷年央視的3.15晚會，都會受到全國人民的關注。年度的消費陷阱預警、被曝光的種種欺詐手段，這些央視基於消費者真實投訴進行跟蹤調研的精選內容，不僅給予全國14億消費者警示，督促相關部門重視並儘快推進維權的工作，更是在鞭撻商家要警鐘長鳴，時刻有維護消費者權益的意識。

中國是個人口紅利大國。據國家統計局2020年2月28日發佈的《中華人民共和國2019年國民經濟和社會發展統計公報》顯示，2019年年末全國僅城鎮常駐人口就達8.4843億人，全年社會消費品零售總額達411649億元。越是在這樣一個國情下，消費者的各項權益越應得到有效、全方位的保障以及監督。通過制定相關法律，曝光、追責那些擦邊球，並積極打擊侵害消費者權益的違法行為，可以更好的幫助消費者樹立信心和防範意識。

今年央視的3.15晚會已經確認因為全國疫情的原因延後，具體曝光的內容和方向我們還不得而知。所以這篇文章，讓我們瞭解下，綠盟科技這樣一家 To B 安全企業在幫助企業捍衛消費者權益方面，可以做哪些力所能及的事情。

但是，在此之前，我們要先明確，網絡安全與消費者權益的保護之間，有著怎樣的聯繫。

網絡安全與消費者權益

2014年3月15日起正式施行的新《中華人民共和國消費者權益保護法》中明確強調，經營者及其工作人員對收集的消費者個人信息必須嚴格保密，不得洩密、出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施，確保信息安全，防止消費者個人信息洩露、丟失。同時規定，經營者未經消費者同意或者請求，或者消費者明確表示拒絕的，不得向其發送商業性信息。

然而，現實卻是，我們的個人和行為信息已經被廣泛濫用，甚至有著販賣信息的成熟黑產。手機號、身份證號以及家庭住址這些老百姓早年意識中的隱私也早已不知道被轉手過多少次。

無論你處於哪個行業，住在哪個城市，隨著企業、政府機構等大量業務的雲化，互聯網、大數據服務可以說已經融入了我們的生活。物聯網、5G移動通訊，也在快速向我們走來。消費活動作為我們每個人日常生活中的重要一環，消費者權益能否得到有效保障，值得每個網安人為之思考和努力。

作為國內成立較早的一批網絡安全企業，綠盟科技今年4月就將迎來20歲生日。作為一家定位在為企業提供網絡安全產品和服務的企業，近20年的產品技術、需求場景的積累，讓綠盟科技有了豐富、立體的能力外延。也即是說，我們的產品和能力，對 C 端消費者而言，也有著重大的積極意義。

下面，是綠盟君整理的三個典型因為網絡安全原因，消費者權益被侵犯的場景，以及綠盟科技可以為企業客戶所提供的針對性能力支撐。

場景1. 大數據服務以及個人信息濫用

數據可以說是數字時代的石油，而存儲這些原油的，是大數據平臺。隨著企業和機構在大數據基礎設施建設投入的持續增長，數據應用開放的加速，這些原油數據，已經作為重要的生產要素，推動著決策與創新。

但是，這些數據是否被濫用？是否在未綁架可用功能性的前提下，盡了向數據主權所有者告知所有潛在用途的義務？生活中常常會遇到這樣的事情：剛剛在某網站看完心怡的商品，就收到了另一電商網站同品牌的推送；剛剛諮詢完一家4s 店的保養方案，就收到了2公里內另一家4s 店銷售倉促的電話；莫名的電話、郵件，更是因為自己本該在銀行、某機構的數據，居然在一家根本沒有聽說過的第三方數據公司，通過爬蟲爬取來的大數據平臺裡。

我們承認，隨著隱私保護相關政策、法律的陸續出臺，企業和機構對大數據平臺中的數據，以及其所提供的服務，會有相應的安全管理意識；但是數據類型多、體量大、平臺組件安全性未知，都是數據治理重要技術阻礙和被惡意利用的風險點。從監管單位角度，對其數據內容、流轉和應用的合規檢查，也困難重重。

無疑，大數據平臺需要基於內容持續的監控和治理。綠盟敏感數據發現與風險評估系統（IDR）可以結合不同行業業務特性，提供數據發現、分類分級、敏感數據分佈監控、審計、和組件的風險評估等功能。

這些能力，一方面可以為監管和測評機構提供一站式的便攜工具；另一方面能為企業基於數據安全風險（如數據濫用）實現快速定位提供技術支撐，並通過修復優化建議，幫助企業滿足檢查要求的同時，提升系統和數據的安全性。

場景2. 網站數據洩露、掛馬以及釣魚

數據洩露，對企業而言，可能讓高管被迫辭職，收購價格大幅跳水，甚至檢察院介入調研。那麼，對於被洩露信息的人，又意味著什麼？回答這個問題，你可以盡情發揮你的想象力。個人隱私自不必說，但還可能是你註冊其它賬戶時最常用的郵箱和登錄憑證，也有可能是你在這個站點不小心“違規”上傳的重要機密數據。

從互聯網時代開始，Web 服務就以各種形式參與到我們的消費生活中。不侷限於網購，從基礎的電郵、社交，到金融、在線醫療，再到疫情下另一個風口——遠程辦公/授課。但是，這些提供 Web 服務的網站（或者是 Web 後端），是否正在施行有效的安全措施，以應對可能發生的安全事件，我們作為消費者卻不得而知。然而，如果你去任何安全媒體網站，檢索“數據洩露”這個關鍵詞，你會發現，很多知名的網站，很多存儲著對於用戶而言非常重要信息的網站，做的並沒有我們以為的那麼好。

可以說，利用網站漏洞進行攻擊，進而竊取數據，對攻擊者而言是個獲取數據的重要方式。網站的源代碼，數據庫，註冊信息都是他們的對象。所以 Web 安全防護是一個非常必要的能力。這個能力的核心載體，就是 WAF（Web 應用防火牆）。

Web承載的交互應用是數據庫的門戶。綠盟科技的WAF能檢查HTTP請求的各個字段，用精煉的規則對攻擊實施過濾，以提供細粒度的 HTTP 訪問控制。此外，還支持識別並更正Web應用錯誤的業務流程，以識別可能存在的數據洩露行為。

當然，Web 給消費者權益帶來的威脅不侷限在數據洩露。被篡改後的網站，隱藏其中的非法鏈接、惡意代碼、木馬病毒等，又是另一種。

“僵木蠕”（即殭屍網絡、木馬病毒、蠕蟲病毒），特別是後兩者，感染後都可以對我們個人電腦的（文件）系統造成破壞。重要文件的丟失、洩露、或被惡意隱藏，電腦被遠程控制，都是可能且真實發生過的。

近期，網上開始流傳名為“新冠病毒”、“最新病毒預防手冊”、“武漢實錄”等木馬病毒，在社交軟件、電子郵件中大量傳播。攻擊者利用廣大群眾關注疫情、渴望獲得第一手資訊的心理，誘導用戶下載、運行。這些惡意軟件不僅可以竊取用戶個人信息，回傳電腦中存儲的重要文件，甚至可以使其淪為網絡犯罪的工具（比如挖礦）。當然，如果你是 BYOD 辦公，那麼這些病毒一旦入侵企業內部網絡環境，後果更是不堪設想。

那麼，什麼類型的網站更容易成為被篡改的目標，並掛上惡意鏈接和病毒呢？2019年初，綠盟科技應急響應團隊就檢測到國內近700多家政府、教育、企事業單位網站被黑客批量篡改，植入惡意鏈接，訪問鏈接後會跳轉到指定色情網站。

網頁篡改可大致分為顯式篡改和隱式篡改兩種。如果說顯式篡改是為了炫技，或者出於宗教和政治輿論目的的話，那麼隱式篡改（如掛馬、暗鏈等）就是直接出於經濟利益的考量。

隱式篡改也是對消費者危害最大的攻擊形式。

所以，除了 WAF 外，出於對瀏覽網站的消費者權益的保護，網頁防篡改也是必備的能力。

綠盟網頁防篡改系統（HDS）具備易安裝、易管理、易維護和易擴展的特點。結合 WAF，在保障網站安全、穩定運行的同時，可以更立體的實現安全防護，更好的從網絡安全角度，保障消費者（無論是作為用戶還是遊客）的合法權益。

Web 還有一種重要的侵犯消費者權益，繞亂市場環境的行為，那就是仿冒（釣魚）網站。對其有效、及時的發現和監控，是關停前的基礎與關鍵。

電商作為線上消費的核心渠道，仿冒情況較為嚴重。據綠盟科技威脅情報中心（NTI）觀察，目前電商行業平均每週可檢測到活躍的仿冒網站達百萬級，部分仿冒知名電商的網站，甚至僅從外觀能夠做到“肉眼難辨”。一旦消費者訪問這些釣魚站點，消費者訪問其仿冒對象的賬號、支付憑證等關鍵數據極大可能被悉數獲取。後續，盜刷、刷單、引流等變現操作，就是大部分消費者中招後的歸宿。

基於綠盟科技大數據分析平臺，結合安全情報專家對情報數據進行深度挖掘分析，綠盟科技威脅情報中心可以準確定位和識別仿冒釣魚網站，並通過NTI Portal界面、API接口、訂閱推送等多種方式將威脅情報輸出的客戶側，或者直接饋送到安全設備實現快速協同。