【IT168 评论】去年，铁道部购票网站12306遭到黑客恶意“撞库”攻击，造成超过10万条数据泄露，引发了2014年中国互联网领域最大的安全案件。正是在这次事件中，许多人听说了“撞库”攻击的名字，也意识到了信息安全的重要性。

　　无独有偶，在今年3.15晚会上，信息安全再一次被推到了舆论的风口浪尖。节目中央视曝光了WIFI安全隐患 ,揭露了黑客如何轻松截获手机隐私的方法，更是让广大网友瞠目结舌。在互联网高速发展的今天，移动社交、网上购物已经成为了广大年轻人的主要消费模式，网友应该如何保证自己的网络信息、财产安全，电商网站又是如何防止黑客攻击的呢?日前，我们有幸采访到了京东集团安全管理部负责人晋亮。

▲京东集团安全管理部负责人晋亮

　　作为中国最大的自营式电商企业，京东占据了中国自营式电商市场49%的份额，也是最为广大网友熟悉的电商品牌之一。同时作为一家技术驱动的公司，京东自成立伊始就投入巨资开发完善可靠、能够不断升级、以电商应用服务为核心的自有技术平台。在晋亮先生所在的安全部门，有几十名技术人员负责京东平台的系统和架构安全，让网友在舒适的购物体验下，拥有安全的购物环境是他们的职责所在。

　　据晋亮先生介绍，如今经过多年的发展，京东已经对网购风险形成了系统性的防护。对于任何一位用户来说，无论你是企业用户还是个人用户，无论是钻石、金牌或者是新注册用户，在您注册京东商城的那一刻起，您的关键个人信息都会在传输、存储和页面展现等关键过程进行安全保护。用户在注册、登陆等行为时会通过加密通道传输个人数据，防止被拦截和窃取;用户关键信息在数据库中会以安全的加密方式进行存储;另外在在京东商城的页面里，也会进行一些模糊化的处理，比如说打码等手段。即使个别用户能被一些恶意的攻击者登录进去，相关的具体隐私信息也不会被泄露。

　　与此同时，对于之前我们提到的“撞库”攻击，京东增强了防范力度，“京东具备有效的风控系统来分析和防护类似的安全风险，我们会通过一系列的技术手段去实时的识别类似的攻击行为并进行防御和处理，，直接规避相应的风险。现在更多的撞库攻击更多的是用一些外部泄漏的数据去进行线上的比对，这种行为特征在技术上是比较好识别的。我们的风控系统系统可以实时识别这些特征行为，并进行相应的防护。”

　　除此之外，对于许多拥有京东卡、京东E卡、京券或者东券的用户来说，更会担心这些虚拟财产会被黑客盗用。京东的技术人员早就想到了这一点，并在登录帐号下设置了支付密码、数字证书等保护手段，任何人想要动用这些财产必须经过更深层次的安全验证。而正如我们之前提到的，京东商城由于具备多级的安全控制手段，因此即便黑客获得到了用户的登录密码，也无法动用用户的虚拟资产，进而保证了账户安全性。

　　相对于黑客攻击，晋亮和他的同事们更担心的则是络诈骗。如今，网络诈骗已经成为信息安全所要面对的主要问题，而且花样层出不穷，实在令人防不胜防。对此，京东在订单提交页面中也出现了信息提示，并标明“京东平台及销售商不会以订单异常、系统升级等为由，要求您点击任何链接进行退款操作”等字样，起到了一定的警示作用。据晋亮介绍，由于采用了多种防范机制及提醒措施，“京东用户遭遇的诈骗量已经降到非常低的水平”。

　　不仅如此，京东还组建了自己的安全应急响应中心平台(JSRC——JD Security Response Center)。这个平台由专人负责，对外接受白帽子漏洞的提交，也开展一些合作性的众测工作。而在另外一方面，京东对于第三方平台(比如乌云漏洞平台)中暴露出的问题也实现了积极、快速的响应。

　　对于电商来说，网络安全是生存之本，是保证业务运营的基石。那么对于新兴电商品牌来说，能够在京东身上汲取到什么经验呢?在晋亮看来，或许京东对于业内更多的影响在于理念输出，包括京东组织的技术开放日，包括京东在架构设计上的理念和针对安全问题的思考。晋亮尤其看重架构的作用——“对于一些新的电商企业，可能从它建立一开始，就应该更多的考虑安全的相关问题。包括在做整个系统的架构时，就应该把安全问题提到日程上来。否则的话，到真正出现问题以后，就会发现更加难以处理”。

　　谈到未来，晋亮认为建立行业合作生态环境是安全领域的重中之重。“互联网的商业模式有限，并且使用互联网的人群重复性很高，在这种模式相同和人群相同形势下，我们遇到的问题和享有的机会都是相同的。”事实上，京东已经在不同场合、不同方向开始行动了。去年12月，京东与英特尔共同建立联合创新实验室。而在今年京东也正在和腾讯等企业合作，共同防御网络诈骗。“我们要充分利用各互联网公司的特色资源来合作解决互联网中隐藏的风险，共同打造绿色购物的生态圈。”晋亮对此充满信心。