聊一聊我所理解的业务安全风险

2019-08-09 16:44:16 浏览数 (1)

想要了解业务存在哪些业务安全风险,首先需要对业务非常熟悉,然而不同的业务将会面临不同的业务安全风险。学习业务安全之前要面对不同的行业,熟悉他们的主要业务,然后针对行业分业务来做风险识别,然后针对性的使用技术或者非技术的手段来保证业务的安全稳定。除了业务不同威胁侧重点不同之外,在企业的发展过程中,不同阶段的威胁侧重也不同,对于互联网行业来说,所做业务几乎都是先从一个点开始,做出特点,积累一定的用户量之后就会扩展其他的业务,最后发现所有互联网公司不仅仅是最初成名的业务,而是一个大而全的组织,比如:视频网站搞电商、招聘网站搞培训等等。

互联网企业最核心的是用户,有些是让用户产生价值,企业作为平台,比如:招聘行业、社区和社区电商、社交平台、短视频行业等,还有些是企业创造价值让用户买单,比如:视频行业、教育行业、媒体行业等。

针对用户产生价值的行业,用户数据是最核心,不仅仅是用户的身份信息,更多的是用户动态产生的信息,比如:原创短视频、原创文章、评论说说等,对于这类行业,用户的活跃度决定了平台的价值,所以这类企业对于用户的拉新促活非常重视;而企业产生价值的行业,最核心的是用户数据,以及企业原创的内容,比如:电影电视、原创文章、教育视频,这些内容大多是需要付费或者购买 VIP 才能看,一些 VIP 的账号安全也是比较重要的,所以内容和用户数据都很重要。

对于做业务安全这个方向,需要对业务非常熟悉才行,做的不好容易导致业务受阻,可能造成业务人员辛苦的努力白费,造成的损失是不可逆的。

由于这两年做信安之路公众号的运营,让我对微信公众号这个产品有一定的认识,所以就拿这个来聊一下关于用户生产内容与企业生产内容两种不同的内容生产方式所面临的安全风险。

微信公众号平台相当于一个用户生产内容的平台,主体是腾讯,平台所面临的业务压力就是用户是否活跃,内容是否充足,既然用户是生产内容的主体,那么就可能存在用户为了吸粉,做一些涉及敏感信息的内容或者生产一些虚假的内容,所有用户账户都可以作为流量主,而微信公众平台提供广告发布服务,流量主可以开通广告栏,来打通广告主与流量主之间的隔阂。

在内容方面,微信公众号提供了原创保护的能力、提供对内容的举报功能、提供一些危险关键词的检测功能这些功能就是为了提升内容方面的安全能力,预防盗版、预防涉及违法的内容传播等。

在广告方面,流量主可能为了多获得一些广告的费用,存在刷流量、刷广告点击数的行为,那么微信公众号方面对于同一个人多次点击广告的行为做一些控制,比如多次点击仅一次有效,同一个人点击的次数越多,奖励给流量主的广告费用越少,如果存在流量主引导粉丝点击的行为,如果超出一定的阈值可能会被微信公众号平台惩罚其不允许开放流量主功能或者封禁一段时间不允许开放,这一行为就是对于业务的风险控制行为,也属于业务安全的范畴。

对于微信公众号的号主而言,主要的业务是内容生产、文章推广、粉丝促活等,内容生产这个主要是号主的主要工作内容,在推广促活方面,号主可能会策划一系列的活动,比如转发集赞、留言点赞、转发抽奖等,我之前也做过类似的活动,其中就经历过有些朋友使用一些工具,生成集赞的图片来骗取奖品、还有的朋友购买点赞服务,在活动结束前的一分钟,将点赞数提升几十上百倍,这样的行为对于正常的业务推广而言危害非常大,本来的目标是回馈真正做出贡献的粉丝,如果被这种作弊行为给拦截,那么对于真正有价值的粉丝而言是沉重的打击,久而久之,粉丝的活跃度则越来越低,公众号的价值则越来越低,这也是为什么我们信安之路不在做这类的活动原因。

对于业务安全而言,想要做好,需要深入某个业务方向去理解业务、然后从业务人员哪里了解他们的遇到的痛点,比如活动设计的很好,但就是没啥效果,其中必有原因,往往活动必有薅羊毛,真正的目的被机器人劫持,长此以往钱没少花,效果一般。业务安全是可以直接看到效果的,这个效果是实实在在跟钱相关的,所以领导对此都比较重视,但是即懂安全又懂业务的人才相当短缺,经常会出现懂技术的不想懂业务,懂业务的不想去了解安全,从而造成活动作弊、羊毛党这样的行为持续壮大,企业也因此蒙受重大损失,具体例子很多,我这就不多说什么了。

0 人点赞