企业业务安全思考

企业业务安全

业务安全的目的在于，让业务正常开展，持续提供预期的服务。业务安全工作，是围绕着业务构建一系列安全风控的制度、工作流、系统、工具、风控规则、运营体系。

业务安全模型：

业务安全模型

其中，业务安全问题应该是薅羊毛问题、爬虫问题、黑灰产问题、坏账问题、水军问题、刷单问题等。比如电商平台的刷单，在电商平台之前，刷单不会成为业务安全问题，刷单这个行为也不会出现。因为电商平台（B2B）的出现，商家为了打造爆款，取得消费者信任，出现了刷单这个行为，而这个行为，破坏了电商平台的业务。消费者借鉴电商平台给出的销量数据，但是从平台的商家买到的是名不符实的产品。这样，电商平台受到的损害更大。商家收到钱了，不行商家可以在别的平台开一家新店，但是电商平台没法改头换面。代码实现的问题，责任在程序员，业务设计问题，责任不在程序员。而密码找回，权限问题，跳步骤问题等等，这些我不认为是业务安全的问题，它的业务设计、功能设计等都是正常的，有问题的是应用安全问题，是代码实现有漏洞。

企业业务安全案例

私服

魔兽世界因源代码泄露，导致魔兽私服的产生。其根源是数据信息安全方面的问题。但是魔兽私服，直接导致玩家流失，直接造成业务安全问题，修复数据安全问题无法解决这个业务安全问题。原神私服，其本质并不是一个私服，只是一个抽卡模拟器。它没有后端的服务，无法实现正常原神的游戏功能。黑灰产人员，他卖的只是自己破解魔改之后的原神客户端而已，是一种对玩家的欺诈。私服问题，游戏公司的通用措施都是诉诸法律。可能会假装玩家去提醒玩家私服的资金安全性，游戏合法性，游戏体验性等问题。为什么说可能呢，因为提醒本身也是一种引流，可能导致未接触到这个信息的玩家，反而通过官方引流，去到了私服里去。

机器人签到奖励问题

每个版本，原神都有微博签到奖励原石的活动。而且，米游社里，也有每日签到跟原石兑换的活动。原石是抽卡资源。抽卡充值直接影响米哈游的营收。但是初期其这两项活动，都没有做人机验证。所以导致有一次，微博的签到奖励发完了。正常玩家最后一天签到完成之后，普遍在微博反映，原石发完了，怎么回事，以前从没有发完过。其实就是被机器人刷了。米游社的原石兑换也是如此，正常玩家在19：00都抢不到，秒没。这些工作室在获得兑换码之后，会放到淘宝去卖。

社区水军抹黑

任何游戏，任何公司，都可能遭遇水军抹黑。遭遇舆情事件，品牌形象受损。这种情况，如果发生在自己控制的社区中。是有可能，通过揭露水军身份，证明抹黑行为，反而实现舆论的翻身仗的。通过注册社区的信息，可以关联到其游戏中的信息。比如其游玩时间，熟练度，等级，战力，充值金额，年龄，IP，同身份账户，游戏异常行为等等。将这些信息，汇总整合，正面回应抹黑舆论，并指出其抹黑行为，能够打一个翻身仗。社区设计，也可以设计成，社区用户的一些非敏感信息，能被其他用户通过主页看到，辅助用户对其身份及言论进行相关判断。

外挂作弊

不论是单机游戏还是MMO游戏，都会遇到外挂作弊问题，而且这个问题会永恒存在。因为客户端是在用户本地电脑上的，可能被破解的。技术是在攻防之间不断进化的。原神的游戏模式，是单机模式。外挂对其他玩家，跟自己业务模式的影响很小。所以它对外挂的处理措施就比较轻，通常都是封号了事。但是MMO外挂的破坏性就非常大，游戏公司通常会联合警方直接捣毁外挂团伙。技术上，要不断提高作弊难度，比如加壳，比如绑定反作弊引擎。还可以根据具体情况实现不同的反作弊手段。而且这些手段一定要是服务端判断的。比如梦幻西游的人机验证，比如CS的战绩作废等等。

账号买卖

正常的账号买卖不对业务造成影响。而且游戏公司也管不到这个，也没有法律管这个。但是异常的账号买卖就对业务造成影响。异常账号一般是通过机器人练的资源，或内鬼生成的账号。机器人问题跟前面的反作弊一样，内鬼问题则是办公安全方面的问题。

工作室问题

工作室是机器人的升级版。但是其危害比机器人其实大出了一个量级。因为机器人只造成零散的影响，但是工作室一定对整个游戏生态都造成非常大的影响。最明显的就是，机器人可以封账号，但是面对工作室，封帐号一点用都没有，需要构建更体系化的业务安全措施。

业务安全的建设落地

1、应急跟需求：处理应急跟公司需求。

2、状态调研及评估：调研安全建设状态，评估建设完成度。

3、决策工作内容：结合调研结果，结合公司整体的建设方案，来决定工作内容，内容顺序，落地方案。根据优先级，去对具体业务做针对性的理解。理解其业务流程，功能设计，预期结果，再结合自身对互联网及黑灰产的认知，具体分析其业务安全是否存在问题。业务安全方面的建设，要紧密围绕着业务进行。然后分析出来的具体问题及实现措施，可能落到其他安全方面，也可能落到非安全领域。应用安全等方面出现问题，都会对业务造成影响。业务出现问题了，其根源可能不是业务安全问题。存在业务安全问题，其他安全方面都很好，业务一定会出现问题。

总结

1、业务安全是新的词，不是新的需求。

2、业务安全问题的根源，在业务设计产品设计。

3、业务安全没有通用方法论，是紧密围绕业务的。

4、互联网时代的业务安全，可借鉴传统风控做互联网优化。

5、业务安全非常考验思路跟知识广度。