第1章 報告介紹

1.1 概述

近年來，零售業(yè)蓬勃發(fā)展，規(guī)模持續(xù)擴大，業(yè)態(tài)不斷創(chuàng)新，網(wǎng)絡(luò)零售快速發(fā)展，在技術(shù)升級與消費升級驅(qū)動下，新零售應(yīng)運而生;新零售強調(diào)通過大數(shù)據(jù)和互聯(lián)網(wǎng)重構(gòu)“人、貨、場”等商業(yè)要素形成新的商業(yè)業(yè)態(tài)。

我國擁有13億的消費人口，如何推動零售業(yè)持續(xù)、穩(wěn)定、健康的發(fā)展是社會各界共同關(guān)心的課題。在以信息技術(shù)為驅(qū)動力，滿足消費者多樣性購物體驗、“線上+線下”相結(jié)合的的新零售模式下，業(yè)務(wù)信息、個人信息、支付信息等都全面實現(xiàn)了采集網(wǎng)絡(luò)化、信息共享化、支付通用化。在國家網(wǎng)絡(luò)安全工作的深入推廣、個人信息保護的高壓態(tài)勢下，敏感數(shù)據(jù)、個人隱私保護成為全社會關(guān)注的重點，報告通過對“新零售”生態(tài)鏈上下游企業(yè)和“消費者信息”的關(guān)系，選擇了8個重要的環(huán)節(jié)，對在國內(nèi)從事各環(huán)節(jié)業(yè)務(wù)的主流企業(yè)進行采樣，包括：

• 電商平臺30家：用戶線上消費的入口，國內(nèi)主流電商平臺;
• 大型商超20家：線下綜合類大型賣場、超市(部分也開展互聯(lián)網(wǎng)轉(zhuǎn)型);
• 消費品牌40家：消費者購買的國內(nèi)外品牌生產(chǎn)廠商;
• 數(shù)字廣告30家：提供營銷數(shù)據(jù)分析和程序化廣告投放的服務(wù)企業(yè);
• 運營服務(wù)30家：為品牌主提供線上店鋪運營和客戶服務(wù)外包的服務(wù)企業(yè);
• 三方支付30家：擁有支付牌照的第三方支付公司;
• 物流倉儲35家：主流的倉儲及配送服務(wù)企業(yè);
• 信息技術(shù)30家：提供公有云服務(wù)的云計算服務(wù)提供商。

為了解“消費者隱私”在新零售生態(tài)內(nèi)的安全狀況，報告對以上8類共計245家“新零售”上下游企業(yè)在2018年618期間的互聯(lián)網(wǎng)資產(chǎn)、安全事件和脆弱性這三類數(shù)據(jù)進行計算分析，洞察產(chǎn)業(yè)鏈生態(tài)中的薄弱環(huán)節(jié)與主要網(wǎng)絡(luò)風(fēng)險。

618大促始于2009年，源于京東店慶月。隨著促銷的常態(tài)化，618逐漸演變成全民購物節(jié)。每年的618大促對于新零售企業(yè)來說，都是一次大考。我們作為中立性網(wǎng)絡(luò)安全與風(fēng)險服務(wù)機構(gòu)，認(rèn)為此期間的數(shù)據(jù)更具代表性，更加體現(xiàn)新零售行業(yè)的網(wǎng)絡(luò)安全狀況，因此，我們將本報告數(shù)據(jù)采集時間定為2018年4月1日-2018年6月20日。

1.2 名詞解釋

• 安全漏洞：主機操作系統(tǒng)和安裝的組件存在的嚴(yán)重的高危漏洞，會使服務(wù)器遭受病毒或黑客入侵，引起信息泄露或篡改。
• 網(wǎng)絡(luò)攻擊：企業(yè)在互聯(lián)網(wǎng)上的應(yīng)用系統(tǒng)或網(wǎng)絡(luò)遭受到DDOS拒絕服務(wù)攻擊，包括TCP攻擊或UDP攻擊的報警信息，拒絕服務(wù)攻擊通過流量攻擊的方式攻擊系統(tǒng)或網(wǎng)絡(luò)，過大的攻擊流量會引起服務(wù)中斷。
• 垃圾郵件：組織郵箱服務(wù)器被列為垃圾郵件發(fā)送域，一旦被反垃圾郵件設(shè)備攔截，將導(dǎo)致用戶可能無法正常使用郵件。
• 惡意代碼：來自國內(nèi)外安全廠商的惡意代碼檢測結(jié)果，系統(tǒng)可能已經(jīng)被植入后門、病毒或者惡意腳本。
• 僵尸網(wǎng)絡(luò)：組織服務(wù)器被攻破，被當(dāng)做“肉雞”不斷向外部發(fā)起掃描或者攻擊行為，服務(wù)器主機可能被入侵，存在后門被遠(yuǎn)程控制。
• 黑名單：域名或者IP地址被權(quán)威黑名單機構(gòu)列入黑名單，用戶的正常網(wǎng)頁訪問可能被瀏覽器攔截或者IP網(wǎng)絡(luò)通訊被防火墻阻斷。

第2章 “新零售”八大領(lǐng)域安全矩陣

2.1 八大領(lǐng)域安全風(fēng)險值概況

注：安全值越低則風(fēng)險越高

通過數(shù)據(jù)分析可以發(fā)現(xiàn)在八大領(lǐng)域取樣的企業(yè)中，數(shù)字廣告類企業(yè)平均風(fēng)險值最高為723;消費品牌企業(yè)平均風(fēng)險值最低為394;在《網(wǎng)絡(luò)安全法》、歐盟GDPR法案對個人隱私保護強烈態(tài)勢下，一直崇尚精準(zhǔn)營銷的數(shù)字廣告行業(yè)安全工作受到了挑戰(zhàn)，雖然在“新零售”的八個領(lǐng)域中表現(xiàn)最佳，但723分在全國各行業(yè)中屬于偏低水平，安全能力提升空間還很大。而消費品牌企業(yè)則更加側(cè)重于產(chǎn)品生產(chǎn)、營銷，對安全工作的投入較少，394分體現(xiàn)了這一點。

圖中紅色曲線代表了八類企業(yè)近一個月安全狀況的趨勢圖，其中可以看到物流倉儲及大型商超類在近一個月來安全值增長最快，其他行業(yè)也均為增長趨勢。

2.2 八大領(lǐng)域安全值四維評價

為了能夠深入研究行業(yè)互聯(lián)網(wǎng)風(fēng)險狀況及關(guān)聯(lián)，我們采用RSTP四維評價模式，從風(fēng)險值、資產(chǎn)規(guī)模、風(fēng)險趨勢、流行度等角度的數(shù)據(jù)分析了各領(lǐng)域風(fēng)險狀況及其內(nèi)在關(guān)系。從上表可以看出八大領(lǐng)域中電商平臺的互聯(lián)網(wǎng)資產(chǎn)規(guī)模最大，物流倉儲風(fēng)險值較上月增幅較大，同樣訪問流行度最高的行業(yè)為電商平臺，也意味著電商平臺采集的個人信息最多。

名詞解釋：

• 風(fēng)險值(R)：Risk，評分區(qū)間(0-1000分)，風(fēng)險越高R值越低。
• 資產(chǎn)規(guī)模(S)：Scale，評分區(qū)間(0-10分)，機構(gòu)的資產(chǎn)數(shù)量越多S值越高。
• 風(fēng)險趨勢(T)：Trend，評分區(qū)間(±1000分)，當(dāng)月與前一月R值變化趨勢。
• 流行度(P)：Popular，評分區(qū)間(0-100分)，被訪問次數(shù)越多P值越高。

2.3 八大領(lǐng)域資產(chǎn)S-R風(fēng)險相關(guān)關(guān)系分析

為了研究資產(chǎn)數(shù)量對網(wǎng)絡(luò)風(fēng)險的影響，我們根據(jù)表中的數(shù)據(jù)繪制了象限圖：

從圖中可以看出，抽樣企業(yè)的風(fēng)險值隨著資產(chǎn)數(shù)量增多而降低，圖中虛線代表了平均資產(chǎn)數(shù)量及平均風(fēng)險值;我們認(rèn)為位于第一象限的三方支付是風(fēng)險值最高的領(lǐng)域，在單位資產(chǎn)中風(fēng)險均分較高;而作為資產(chǎn)數(shù)量最多的電商平臺及消費品牌則風(fēng)險值最低，說明互聯(lián)網(wǎng)資產(chǎn)的增多一定程度上增加了互聯(lián)網(wǎng)暴露面，為企業(yè)帶來了更多的互聯(lián)網(wǎng)風(fēng)險，企業(yè)必須采取更加科學(xué)的體系完善安全工作。

我們?yōu)榱朔治霭舜箢I(lǐng)域資產(chǎn)的詳細(xì)情況，將互聯(lián)網(wǎng)資產(chǎn)分為域名資產(chǎn)、主機資產(chǎn)、IP資產(chǎn)、云資產(chǎn)等幾個維度進行統(tǒng)計結(jié)果如下：

注：信息技術(shù)主要指“云計算”提供商，本次分析并未涵蓋用戶資源池IP地址

從表中可以看出，域名數(shù)最多的為電商平臺，平均每家電商有7個線上域名;主機數(shù)最多的是物流倉儲領(lǐng)域;IP資產(chǎn)最多的則是為企業(yè)提供云服務(wù)的信息技術(shù)類企業(yè);其中提供運營服務(wù)的企業(yè)云資產(chǎn)比例、遷移比例均為最高，運營服務(wù)為很多商家提供售前、售后的外包服務(wù)，工作性質(zhì)基于網(wǎng)絡(luò)開展較多，接觸的業(yè)務(wù)數(shù)據(jù)較為敏感，需要重點考慮其風(fēng)險狀況。

2.4 八大領(lǐng)域流行度P-R風(fēng)險相關(guān)關(guān)系分析

為了研究訪問流行度和網(wǎng)絡(luò)風(fēng)險的關(guān)系，我們根據(jù)表中的數(shù)據(jù)繪制了象限圖：

從圖中可以看出，電商平臺訪問流行度最高;圖中虛線代表了平均訪問量及平均風(fēng)險值，從風(fēng)險趨勢來看，訪問流行度較高的三方支付、大型商超、消費品牌及電商平臺的風(fēng)險值均較低;訪問流行度代表著企業(yè)互聯(lián)網(wǎng)業(yè)務(wù)系統(tǒng)的訪問頻率及用戶規(guī)模，越是活躍的業(yè)務(wù)系統(tǒng)重要性越高，但目前的安全風(fēng)險卻最高。

第3章 “新零售”八大領(lǐng)域網(wǎng)絡(luò)風(fēng)險分析

3.1 “新零售”八大領(lǐng)域網(wǎng)絡(luò)風(fēng)險概況

我們從安全漏洞、網(wǎng)絡(luò)攻擊、隱私保護、惡意代碼、僵尸網(wǎng)絡(luò)、IP黑名單等六個維度的網(wǎng)絡(luò)風(fēng)險數(shù)據(jù)對采樣企業(yè)做了分析。

根據(jù)上表發(fā)現(xiàn)，2018年初至618結(jié)束，消費品牌企業(yè)面臨的互聯(lián)網(wǎng)風(fēng)險最高;88%的消費品牌企業(yè)出現(xiàn)安全漏洞;龐大的線上業(yè)務(wù)量使電商平臺遭受DDOS攻擊占比達(dá)到77%;大型商超的隱私保護問題高達(dá)100%;惡意代碼、僵尸網(wǎng)絡(luò)風(fēng)險相對發(fā)生率較低，數(shù)字廣告的企業(yè)惡意代碼及僵尸網(wǎng)絡(luò)的發(fā)生率極低;其中消費品牌38%的企業(yè)出現(xiàn)惡意代碼，電商平臺為27%，一旦企業(yè)發(fā)生惡意代碼或僵尸網(wǎng)絡(luò)事件，都可能導(dǎo)致業(yè)務(wù)中斷事件;目前提供云服務(wù)的信息技術(shù)類企業(yè)整體已有17%的企業(yè)存在IP地址被列入國際黑名單中，收錄國際黑名單的安全設(shè)備將會阻斷黑名單中IP地址的通訊，對線上業(yè)務(wù)的開展造成很大不良影響;同時消費品牌企業(yè)高達(dá)20%的互聯(lián)網(wǎng)業(yè)務(wù)平臺被列入黑名單，特定瀏覽器將無法正常訪問這些平臺。

3.2 “新零售”八大領(lǐng)域安全漏洞詳情

3.2.1 “新零售”八大領(lǐng)域安全漏洞概況

我們分析了八大領(lǐng)域安全漏洞的整體情況統(tǒng)計如下：

由上表可知，2018年4-6月，“新零售”各類企業(yè)出現(xiàn)漏洞共計16780個，其中三方支付、消費品牌兩類企業(yè)出現(xiàn)的安全漏洞占比最高;電商平臺、消費品牌平均漏洞數(shù)量最多。所有企業(yè)發(fā)生漏洞的概率高于67%，漏洞數(shù)量多于65個;高危漏洞一直都是危害業(yè)務(wù)系統(tǒng)正常運行、導(dǎo)致數(shù)據(jù)泄漏的元兇。

就目前來看，“新零售”企業(yè)的漏洞問題非常嚴(yán)重，說明新零售企業(yè)整體對于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)的安全漏洞缺乏有效管理、修復(fù)機制，容易被攻擊者利用，可能會對新零售企業(yè)的業(yè)務(wù)安全和用戶敏感信息造成威脅;作為供應(yīng)鏈的整體信息流參與者，不光自己的漏洞，來自第三方的漏洞危害同樣會危及到自身業(yè)務(wù)系統(tǒng)，建議新零售企業(yè)在做好內(nèi)部漏洞管理的同時也要加強第三方企業(yè)漏洞風(fēng)險管理。

3.2.2 采樣企業(yè)中最常見安全漏洞一覽

3.2.3 常見漏洞統(tǒng)計與描述

CVE漏洞比較容易被攻擊者利用，會為攻擊提供更便利的途徑，對新零售企業(yè)的信息系統(tǒng)威脅較大，需要根據(jù)各種漏洞的特點實施修補。

3.3 “新零售”八大領(lǐng)域網(wǎng)絡(luò)攻擊詳情

3.3.1 “新零售”八大領(lǐng)域網(wǎng)絡(luò)攻擊概況

我們分析了“新零售”八大領(lǐng)域在2018年4-6月遭受DDOS攻擊網(wǎng)絡(luò)攻擊情況統(tǒng)計如下：

我們發(fā)現(xiàn)，電商平臺、消費品牌企業(yè)遭受DDOS攻擊的數(shù)量占比較大，企業(yè)占比高于60%;三方支付類企業(yè)遭受DDOS次數(shù)最高，平均達(dá)到820次;信息技術(shù)類企業(yè)遭受DDOS攻擊的平均流量高達(dá)12G，遠(yuǎn)高于其他領(lǐng)域;大流量、高密度的DDOS攻擊會對企業(yè)的線上服務(wù)造成極大不良影響，這類企業(yè)應(yīng)當(dāng)使用流量清洗類服務(wù)以應(yīng)對異常的大流量攻擊，而遭受攻擊頻繁的企業(yè)在使用上述方法的同時，應(yīng)對發(fā)起攻擊次數(shù)高的可疑IP地址實施控制。

3.3.2 采樣企業(yè)常見攻擊統(tǒng)計與描述

3.3.2.1 DDoS攻擊詳情

詳見下表：

根據(jù)上表結(jié)果，TCP半連接攻擊占據(jù)網(wǎng)絡(luò)攻擊的主要部分，對于這種類型的DDoS攻擊，可通過縮短SYN響應(yīng)時間或設(shè)置SYN Cookie過濾TCP包等手段來實施。對于UDP放大攻擊，可以通過限制UDP包大小，或建立UDP連接規(guī)則來達(dá)到過濾惡意UDP包，減少攻擊發(fā)生的效果。可根據(jù)企業(yè)自身的詳細(xì)情況選擇合適的解決方案。

3.3.2.2 惡意代碼詳情

我們同樣研究了惡意代碼對八類企業(yè)的影響：

從統(tǒng)計結(jié)果來看，消費品牌類的惡意代碼比例高達(dá)15%，而電商平臺及物流倉儲類企業(yè)的惡意代碼比例也高達(dá)8%，其中電商平臺平均每個主域名下惡意代碼數(shù)量居然達(dá)到45個，數(shù)字廣告類的惡意代碼數(shù)量則明顯較少;惡意代碼的產(chǎn)生原因多樣，建議企業(yè)多關(guān)注外部威脅情報數(shù)據(jù)，盡早發(fā)現(xiàn)惡意代碼鏈接，盡快處理惡意代碼以免影響到頁面的正常訪問。

3.4 訪問流行度Top10企業(yè)網(wǎng)絡(luò)風(fēng)險分析

我們排列了訪問流行度最高的十家企業(yè)，分析了其中網(wǎng)絡(luò)風(fēng)險發(fā)生概率較大的企業(yè)如下：

我們可以看到，這些企業(yè)不光訪問流行度較高，資產(chǎn)數(shù)量相對也較高;淘寶的惡意代碼數(shù)量高達(dá)556個，支付寶遭受的網(wǎng)絡(luò)攻擊高達(dá)9374次，惠普、京東的安全漏洞均高于200個，幾乎所有的企業(yè)都有信息泄露的風(fēng)險;這些都是國內(nèi)外知名度較高的企業(yè)，資產(chǎn)數(shù)量眾多、用戶范圍龐大，一旦出現(xiàn)安全事件都會給企業(yè)和消費者帶來巨大的損失。

3.5 資產(chǎn)數(shù)量Top10企業(yè)網(wǎng)絡(luò)風(fēng)險分析

我們選擇了資產(chǎn)數(shù)量最多的十家企業(yè)分析了其網(wǎng)絡(luò)風(fēng)險的情況：

從表中可以看出中通作為資產(chǎn)最多的企業(yè)，網(wǎng)絡(luò)風(fēng)險主要來自于網(wǎng)絡(luò)攻擊，作為資產(chǎn)數(shù)量龐大的支付寶與聯(lián)想也同樣遭受著網(wǎng)絡(luò)攻擊的苦惱，光環(huán)新網(wǎng)、金蝶則網(wǎng)絡(luò)漏洞數(shù)量龐大。

3.6 互聯(lián)網(wǎng)威脅最大的十家企業(yè)網(wǎng)絡(luò)風(fēng)險分析

為了識別企業(yè)安全狀況較差的核心原因，我們統(tǒng)計了互聯(lián)網(wǎng)威脅最大的十家企業(yè)，將我們可以采集到的風(fēng)險進行分析處理：

可以發(fā)現(xiàn)，網(wǎng)絡(luò)攻擊及安全漏洞是導(dǎo)致分值較低主要原因，但是惡意代碼、信息泄露發(fā)生的概率較高也不可忽視;十家企業(yè)六個風(fēng)險維度幾乎都受到了影響。

第4章 報告總結(jié)

“新零售”與我們每個人的生活息息相關(guān)，電商交易系統(tǒng)不僅存有海量的用戶敏感數(shù)據(jù)，而且直接涉及到資金交易。

從分析數(shù)據(jù)可以看出，零售行業(yè)面臨著多種多樣的安全威脅，安全漏洞、網(wǎng)絡(luò)攻擊、垃圾郵件、惡意代碼、僵尸網(wǎng)絡(luò)、黑名單等風(fēng)險無時無刻不威脅著“新零售”生態(tài)鏈的各個環(huán)節(jié)企業(yè)，不光電商平臺、三方支付平臺需要加強信息安全管理，物流倉儲、大型商超、運營服務(wù)、數(shù)字廣告等企業(yè)也應(yīng)該加強安全體系建設(shè)降低安全風(fēng)險。

從分析的結(jié)果來看，問題普遍較為嚴(yán)重的消費品牌一直是我們關(guān)注的盲區(qū)。其實作為產(chǎn)品的直接生產(chǎn)者，生態(tài)鏈的重要環(huán)節(jié)之一最需要建立完善的安全體系，不光要合規(guī)合法，更要時時關(guān)注安全動態(tài)、安全事件。

因此，“新零售”各個環(huán)節(jié)企業(yè)安全水平體現(xiàn)在能否快速響應(yīng)網(wǎng)絡(luò)攻擊，做到快速識別風(fēng)險、及時修補漏洞、提升員工安全意識以及積極引入威脅情報數(shù)據(jù)、完善網(wǎng)絡(luò)安全防范機制等方面。

第5章 數(shù)據(jù)支持

本報告由“安全值”團隊基于大數(shù)據(jù)分析結(jié)果提供，如需要更多、更詳細(xì)的數(shù)據(jù)請與安全值取得聯(lián)系。

安全值是國內(nèi)首個安全評價服務(wù)(SRS)，面向企業(yè)提供免費評估服務(wù)，訪問安全值網(wǎng)站(https://www.aqzhi.com/)，獲取企業(yè)自身安全評估報告。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文