不知不覺間，“雙十一”購物節(jié)已經(jīng)來到第六個(gè)年頭。無論電商網(wǎng)站還是社交平臺(tái)，我們都可以在最顯著的位置看到各式“雙十一”的折扣廣告;同事、朋友們的交流也從日常的問候變?yōu)榱舜黉N信息的互通有無……然而，隨著我國(guó)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷改善、銀行服務(wù)種類的增多以及智能設(shè)備普及的提升，日趨繁復(fù)的應(yīng)用場(chǎng)景使得人們?cè)谙硎茉诰€購物便捷之余，對(duì)自身財(cái)務(wù)、信息的安全也變得更加關(guān)注。尤其在“雙十一”這樣巨量交易短時(shí)迸發(fā)的特殊事件中，網(wǎng)購服務(wù)鏈中的關(guān)鍵環(huán)節(jié)如何提升自己的安全性、保障最終用戶在獲得良好購物體驗(yàn)的同時(shí)、自身權(quán)益不受侵害，無疑成為了“雙十一”工作的重中之重。如何在這個(gè)千億元人民幣的大狂歡下保證應(yīng)用始終高效與安全，來自F5公司的亞太區(qū)安全架構(gòu)師金飛先生從兩個(gè)不同的角度進(jìn)行了闡述。

應(yīng)用定義的安全架構(gòu)

金飛先生認(rèn)為，在過往的“雙十一”中，尤其是在交易最高發(fā)的前幾個(gè)小時(shí)，用戶往往會(huì)面臨支付緩慢、無法支付或支付后顯示交易失敗等狀況。究其原因則在于在極短時(shí)間內(nèi)，用戶通過各種客戶段發(fā)起的交易請(qǐng)求超過了電商、或者銀行處理能力，加之有不法分子在期間順?biāo)~通過機(jī)器人進(jìn)行搶拍、秒殺，或通過釣魚、頁面欺詐等盜取用戶信息，導(dǎo)致整個(gè)服務(wù)環(huán)節(jié)緩慢且充滿風(fēng)險(xiǎn)。事實(shí)上，這樣超高頻的應(yīng)用需求，剛好符合DDOS攻擊的所有特征，換句話說，“雙十一”這樣的事件，相當(dāng)于一次對(duì)電商、銀行等企業(yè)數(shù)據(jù)中心的DDOS攻擊。不同于曾經(jīng)“肉雞”發(fā)送的握手請(qǐng)求，隨著使用形態(tài)的變化，現(xiàn)在的DDOS攻擊更多來自于應(yīng)用層。所以，傳統(tǒng)的防火墻方式對(duì)流量進(jìn)行粗放式的清洗或拒絕很有可能會(huì)把正常需求拒之門外，從而使最終用戶得不到良好的使用體驗(yàn)。金飛先生表示，在F5看來，現(xiàn)在的網(wǎng)絡(luò)安全應(yīng)該更加重視來自應(yīng)用端的威脅，并且需要真正從應(yīng)用的層面定義一個(gè)企業(yè)的安全架構(gòu)。舉例來講，在“雙十一”中，銀行或電商需要對(duì)應(yīng)用請(qǐng)求進(jìn)行更加智能的判斷與厘清，提前識(shí)別有效請(qǐng)求，甚至在必要的時(shí)候?qū)⒁徊糠挚梢烧?qǐng)求“隔離”或遷移到云端，以更大的運(yùn)算能力處理這些需求，從而保證應(yīng)用全局的安全、快速、高可用。甚至，通過F5的應(yīng)用安全解決方案，電商甚至可以判斷應(yīng)用請(qǐng)求是來自真正的用戶還是“秒殺”機(jī)器人，從而從根源上確保電商與用戶的雙方利益。金飛強(qiáng)調(diào)，不同于傳統(tǒng)網(wǎng)絡(luò)安全，這些基于應(yīng)用行為判定的安全策略，正是F5這樣一直與應(yīng)用“親密接觸”的ADN企業(yè)的強(qiáng)勢(shì)所在。這也正是在“雙十一”中，有很多F5工程師都會(huì)在銀行、電商等用戶的機(jī)房進(jìn)行值守。

端到端防護(hù)保障信息安全

金飛先生認(rèn)為，現(xiàn)在的線上購物環(huán)節(jié)較之五年前復(fù)雜了許多，而環(huán)節(jié)越多也就意味著潛在風(fēng)險(xiǎn)越大。簡(jiǎn)單來講，從第三方下載的APP、到安全性不高的wifi、再到現(xiàn)在主流的注入病毒、頁面欺詐與釣魚網(wǎng)站，用戶信息與財(cái)務(wù)在各個(gè)環(huán)節(jié)都有被不法分子獲取的可能。因此，F(xiàn)5一直倡導(dǎo)在充分了解應(yīng)用行為的基礎(chǔ)上，執(zhí)行端到端的安全策略，從而保障應(yīng)用的安全與高可用。在這種端到端的應(yīng)用鏈中，F(xiàn)5的端到端安全解決方案可以從用戶端的app就開始進(jìn)行安全防護(hù)：通過F5 Websafe在用戶端保護(hù)敏感信息不被竊取，在傳輸時(shí)通過SSL加密保證信息的安全，直到銀行端服務(wù)器通過F5 ASM進(jìn)行進(jìn)一步認(rèn)證才可以對(duì)用戶的資金進(jìn)行授權(quán)交易。而這一系列加密策略的主動(dòng)權(quán)，則完全掌握在用戶自己的手中。此外，F(xiàn)5還提供了專門針對(duì)移動(dòng)設(shè)備的應(yīng)用安全解決方案，通過F5 MobileSafe，金融客戶能過獲得防釣魚、惡意軟件嗅探、防止自動(dòng)交易以及客戶敏感信息保護(hù)等多角度防衛(wèi)機(jī)制，并可以主動(dòng)智能的解除在用戶移動(dòng)設(shè)備上發(fā)現(xiàn)的本地威脅，同時(shí)不會(huì)以任何方式改變用戶體驗(yàn)。金飛先生強(qiáng)調(diào)，F(xiàn)5不希望為用戶提供“黑箱”式的安全解決方案，只有充分考慮用戶的商業(yè)模式，從應(yīng)用的角度規(guī)劃、訂制安全解決方案，才是應(yīng)對(duì)“雙十一”這類事件的最好方法。

最后，金飛先生風(fēng)趣的建議，“理性消費(fèi)、拒絕沖動(dòng)“才是“剁手黨“們避免信息與財(cái)務(wù)損失的最佳方式;盡看折扣就盲目出手，往往更會(huì)得不償失。