甲方视角的安全——记第二届顺丰信息安全峰会

作者:星云, 星期一, 八月 13, 2018
来源:http://www.aqniu.com/news-views/37153.html

2018年8月8日,由顺丰举办的第二届信息安全峰会在深圳召开,大会聚焦了来自个政府、学术、企业等各行各业的安全从业人员,就如今的安全问题以及安全技术进行了沟通和交流。安全牛记者到现场参加了峰会,发现并总结了峰会有三大亮点。


顺丰集团CTO 幺宝刚-开场致辞

1. 信息安全联盟升级——基于甲方的跨行业信息安全联盟

在去年的首届信息安全峰会上,顺丰联合万科物业、腾讯云、申通、韵达和唯品会正式搭建国内首个跨界信息安全联盟。如今,御建未来信息安全联盟已经成立一年。在今年的峰会上,联盟又新增了平安科技(深圳)有限公司、海航科技集团、万科企业股份有限公司、宜信惠民投资管理(北京)有限公司、深圳广播电影电视集团等新成员。

御建未来信息安全联盟最大的特点,在于这是一个甲方的安全联盟。在安全领域,我们总是能看到安全供应商提出新的安全理念、安全管理模式和安全解决方案。而事实上,对于安全,真正有切身体会的还是甲方自身。而御建未来信息安全联盟的目标,就是将不同行业的甲方团结到一起,相互之间进行安全信息的共享,共同对抗网络黑产。

联盟将从甲方的视角出发,从甲方自身最切身的角度,进行联盟成员之间的安全信息和数据共享——包括对于威胁、情报和安全知识的共享。同时,联盟内部也将互相交流行业内的安全需求,对安全解决方案和技术进行经验分享,一同找出新的安全解决方案。

从未来的发展角度,顺丰也希望能够吸引到更多的甲方企业加入到这个联盟当中,相互促进,进一步打造信息产业的安全生态。

2. 顺丰黑科技“隐址件”——隐匿收寄双方信息

然而,对于很多人来说,邮寄除了担心包裹能否寄到之外,最担心的莫过于在邮寄的过程中是否会泄露自己的个人隐私了——毕竟,传统上来说,邮寄需要填写寄件人以及收件人双方的地址和电话。然而,很多人都不希望自己的邮寄地址被对方直接看到,引起不必要的隐私泄露。

那么,我们能不能在不让双方知道自己的地址的情况下完成寄件呢?这件看似天方夜谭的事如今被顺丰变为了现实。

顺丰意识到,填写邮寄地址的真正目的并不是让寄收双方知道对方的地址——而是让快递公司知道收件人的地址,进行投递;而一旦投递失败,快递公司可以将包裹返还寄件人——即真正在这个环节里需要知道双方地址的,只有快递公司这一方。

考虑到了这一点的顺丰,利用如今的互联网环境,完美地解决了隐匿地址这个需求。收件双方只需要在线填写自己的地址,即可完成下单。顺丰作为第三方物流平台,对寄收双方的信息进行隐匿处理;在寄送过程中,仅有快递员可以通过巴枪扫描获取信息的权限,极大程度地保障了寄收双方个人隐私。

而另一方面,传统的寄件方式需要寄件方逐个填写收件人的相关信息,在这一过程中,经常会产生信息漏填、错填等问题,影响邮寄的效率和准确性。而“隐址件”的出现,不仅仅从隐私角度保障了安全,更由于由收件人自己填写地址,由顺丰第三方安全保护,极大程度地减少了下单过程中产生的这些问题。

3. 顺丰安全的进阶之路

“隐址件”固然很有创新性,但是这个功能出现的基础却是顺丰安全技术的一个体现之一。顺丰注重于安全已经有多年,他们甚至和安全供应商一起协作,开发出了各种自己的安全系统和工具。

安全牛记着了解到,顺丰的安全防护体系相当全面。顺丰实时监控自己IT资产的变化,自动化评估自己的IT资产风险,对整个自己的IT资产和服务进行把握;有“丰集”同时追踪漏洞信息,精确发现与自己IT资产相符的威胁。在软件上线之前,“丰洞”有自动化工具对软件进行测试,确保软件上线安全。另外,针对自身系统,顺丰也开发了一套自动化渗透的测试系统“丰光”,能模拟真实的黑客攻击,利用丰富多样的攻击模块,用不同的方式对系统自身以及人员尝试攻击测试。顺丰甚至有自己的NGSOC,即下一代安全运营中心,拥有全方位安全防护视图以及网络安全态势感知平台。顺丰还有自己的安全应急响应中心,至2018年7月底,有633名注册白帽子。

由于物流行业的特性,用户将大量顺丰内部也有针对不同场景,有不同方案的认证管理系统,来降低出现“内鬼”的风险。事实上,顺丰正在努力减少工作当中出现的用户个人信息。以客服举例,过去和客服沟通需要用户提供自己的手机号码等信息,而现在在电话接入过程中,由系统自动检测用户手机号码,并自动查找系统中该号码的关联信息。那么,在客服人员端,客服人员不会看到用户的手机号码,而直接看到了相关的订单的列表,一定程度上帮助用户避免了隐私的泄露。而顺丰现在,依然在不断研发新的系统,进一步保障用户的隐私信息在工作流程中不被泄露。

顺丰集团信息安全与内控负责人刘新凯