京东618的促销品类数据分析图 京东618管理规定
淘宝搜:【天降红包222】领超级红包,京东搜:【天降红包222】
淘宝互助,淘宝双11微信互助群关注公众号 【淘姐妹】
电商网站在为广大用户提供网购便利的同时,在安全方面也不可以掉以轻心。那么作为一家高流量的电商,京东是怎样做安全防护的?在618备战期间又需要特别注意哪些事项?京东安全的现状和未来是怎样的?为此,InfoQ采访了京东安全方向第一人李学庆,采访内容如下。
\\此外,ArchSummit全球架构师峰会深圳站将于2016年7月7日~8日在深圳・华侨城洲际酒店召开,京东商城物流研发部首席架构师者文明策划了《低延迟系统架构设计》专题,将会为大家分享目前各大互联网企业在低延迟系统架构设计上都有哪些新思路,欢迎关注。
\\InfoQ: 电商安全有几个层面?(分类如数据安全、账号安全、业务*安全)
\\\\\李学庆:电商安全从大类可分为业务安全、应用安全、系统安全、网络安全、数据安全、办公安全。
\\
- 业务安全:风控安全、帐号安全、支付安全、交易安全\
- 应用安全:网站安全、组件安全、框架安全\
- 系统安全:帐号安全、补丁管理、安全加固\
- 网络安全:DDoS攻击、DNS攻击、链路劫持、DNS劫持、异常行为流量感知\
- 数据安全:数据存储、数据传输、数据控制\
- 办公安全:准入(网络安全)、授权(帐号安全)、内网(系统安全)、设备(终端安全)、流程(安全治理)\
InfoQ:电商网站需要注意哪些安全隐患?(后台被攻击?DDos,DNS挟持等等)
\\\\\李学庆:从电商角度来看,首先要确保外部业务不会出现重大安全漏洞,例如基础漏洞、管理后台、弱口令、逻辑漏洞、配置不当等等,对于外部的安全风险做到可控、可快速清除。展开来说,外部业务要建立一套完整的扫描机制,这个扫描机制不是我们传统的上一套扫描器就可以的,需要我们在基础扫描引擎上进行扩展,增加端口、后台监控、banner监控、页面监控、水平权限监控、爆破探测、应用配置监控、重大漏洞监控等等,然后通过一定的依赖关系进行串联,形成一套完整的外部监控体系。
\\其次的安全隐患就是通过各渠道导致的数据泄漏问题,如果第一步做到足够坚固,那由于应用层在外部导致的泄漏风险基本可以降到最低,其他的风险源可以通过数据的走向梳理数据链,在关键节点做加固、监控、和审计。最后需要关注的是网络流量问题,也就是DDOS攻击。对于抗D来说京东通过不同层级分解的方案应对不同类型和量级的流量攻击,并初步具备流量的溯源能力。当然我们也在把DDOS的演练工作慢慢推向例行,把漏洞导致的DOS和模拟外部攻击的流量对上线的不同业务进行攻击测试,也就是后面我们会让系统上线就具备抗D的能力。
\
InfoQ:具体到京东的618时期尤其凸显的安全挑战?
\\\\\李学庆: 对于今年618我们早在4月就开始启动,今年安全团队也将有近50人规模的安全保障,跨部门对接上百人,我们联合相关业务板块共同保障京东商城金融、一号店的PC端、移动端等所有平台的安全。信息安全部今年落地了10个方向的安全预案,对于重大的安全风险提前进行了安全演练。
\
InfoQ:能否比较详细地谈谈京东的“安全决策蜂窝模型”?
\\\\\李学庆: 京东安全决策蜂窝模型是为了帮助管理者决策公司安全方向的模型。每个行业的安全方向都是不一样的,所以我们要有个能够参考的模型做标准。
\\
- 战略:CXO从年度的战略方向中需要分析出由于安全风险可能导致的问题,是否需要扩展新的安全技术投入和安全人才的储备。\
- 趋势:从公司的发展方向联合公司相关业务部门共同定义出易出现安全隐患的范围,以及行业内对资产的最新技术和最新漏洞,需要提前从技术角度做好调整。\
- 影响:针对出现的安全风险需要快速定义是否为核心业务,内外部分界,漏洞级别。多个纬度进行判断影响,从而确定决策。\
- 特征:特征阶段可以通过历史风险数据去判断新风险属于重发还是频发,是属于严重还是属于不严重典型类。\
- 业务:对现有业务进行清晰分级,辅助影响和特征\
- 形象:出现安全风险后需要启动公关、内控、党委以及公共事务相关进行不同层面的决策\
- 价值:所有安全风险价值进行直观的分析,用价值的形式进行展现。\
InfoQ:能否回顾下京东这六年来走过的路。
\\\\\李学庆: 到现在为止已经6年头,一步一个扎实的脚印,一步一个坑的踩了过来。
\\可以简单的把京东这六年概括为:
\\
- 萌芽期(2011年):\ 大环境下各家公司对于安全的理解和认识还是一个萌芽阶段,京东在11年以前已经在开发的每个环节增加安全的检查点,例如code review。但整体来说属于初级,大风险能够覆盖。并在我刚去的2个月做了一次大型的安全培训,培训场次60余场,培训人次2000余人,当时最有趣的就是培训完了大家回去都去把电脑密码设置更加复杂,但等到第二天有人打电话过来:*,我睡了一晚上觉,电脑密码忘了。到现在,设置安全密码并定时更换已经成为日常工作中大家最基本的安全常识。\
- 起步期(2012年):\ 2012年开始组建京东的安全部门,当时叫做安全管理部。当年做的最多的就是怎么让大家把安全因素放到开发中并形成流程,所以当年做的最多的就是规范研发体系的开发流程、开发规范、以及重大漏洞的设计方案。做的最成功的可能就是自己定义了一套应对Struts2漏洞的防御方案,并全部嵌入到了上线流程中。\
- 成长期(2013年):\ 2013年最受行业关注的莫过于撞库问题,由于前两年行业中出现的各种数据泄漏,用户通常的习惯又是在多个网站注册相同的用户名和密码,所以导致很多电商网站出现*、批量刷券的问题。我们通过努力,将撞库风险降到最低。并于在2013年推出了京东JSRC,联手行业白帽子一起,帮助京东查缺补漏,直至现在JSRC为京东作出了很大的贡献。\
- 发展期(2014年):\ 通过3年的积累,我们对于基础的安全风险已经可以做到可控,14年我们主要聚焦到怎么保障业务上的安全,很多业务上的安全风险通过不同检测方法、逻辑判断、智能的识别相对完整的做了体系化。\
- 对标期(2015年):\ 对于公司业务发展迅速、上线系统繁多,我们开始考虑到把现有的很多能力通过平台化的形式做好管理,提高效率。所以后边慢慢延伸出来不同纬度的安全管理平台。\
- 扩张期(2016年):\ 2016年是一个京东安全团队一个扩张期,职责变得更大,随着京东业务体量的不断增长,安全团队的责任也越来越大,已从几十人的小团队到现在数百人的团队。\
- 创新期(2017年):\ 今年京东信息安全部聚焦的业务和技术范围更加广阔。我们开始针对移动痛点的自研解决方案,希望可以开放给行业;不断提升威胁感知能力;攻防团队慢慢升级为红蓝对抗;IoT安全方向研究;公有云的安全赋能等等。\
InfoQ:京东应急安全响应中心的工作职责和具体的工作内容包括?
\\\\\李学庆:京东安全响应中心的工作职责是为京东与白帽子之间搭建一个以安全为中心的沟通桥梁。白帽子可以通过挖掘京东的漏洞、情报、扫描插件、0day提交至京东安全响应中心&#【【网址】】),京东安全团队会根据漏洞级别发放等同价值的积分,白帽子可以使用积分兑换想要的商品。
\\自京东安全响应中心开张以来在行业中是首家创办安全小课堂、开创系列*宣传活动、首家启用白帽子为大促保驾护航、京东安全公益以及首家联合行业SRC共同倡议白帽子懂法、守法单位。
\
InfoQ:能否给我们讲讲现在京东的前沿安全趋势?
\\\\\ \\李学庆:对于传统安全厂商来说,京东做安全相关的产品具备的优势就是场景。我们也在从这个角度看是否可以做些更具有价值的落地产品。
\\脉象平台:脉象平台是基于京东的资产平台(大海)进行的升级改造。大海平台目前已具有京东重要资产信息,并可随时获取最新的资产数据。在前段时间的struts2漏洞大海系统起到了至关重要的作用,快速定位风险范围,对升级效果的快速检验。整体下来比行业修复漏洞至少快了10个小时。针对现有的漏洞定位已经解决的,但对于数据泄漏的溯源、定位还是个很难的问题,特别采用数据关系链的思路把数据泄漏问题进行溯源定位。
\\京东脉象平台分成三层:基础数据层、关系链层、查询接口层。
\\
- 基础数据层包括京东的基础资产、资产的安全漏洞、资产的威胁情报;\
- 关系链层把所有的资产做关联,从基础资产类、漏洞类、情报类、框架类、用户信息类、订单信息类,每一类都会把相关资产进行关联,并把路径展现清晰;\
- 查询接口层通过不同维度既可以定位漏洞影响范围,同样输入泄漏的用户数据或订单数据;\
脉象平台会把相关数据的使用部门、存储方式、存储服务器资产、是否出现过安全漏洞、对外服务器是否出现过入侵痕迹,使用人的基本信息(是否为新员工),之后从脉象中定位具体范围。
\\最后喊句口号:技术引领,正道成功!所有的付出都将成为个人生涯中的一个重要里程碑!
\
李学庆,京东安全方向第一人,618、双11安全保障总舵手,安全领域中SELC发起者。2011年加入京东商城,担任公司安全攻防、安全响应以及安全体系规划建设工作,京东安全响应中心建设及运营等。曾参与京东涉及的所有行业重大漏洞响应、京东相关的安全事件等。2016年带领安全团队保障京东安全,间接避免京东损失高达4.3亿元。曾根据多年安全行业经验总结并分享“安全决策蜂窝模型”、“信息安全体系建设三部曲”、“安全行业人才培养计划”等内容。
京东618活动真的很热闹吗 京东618火热开启
618京东活动大吗,京东618活动力度大不大,京东618活动有什么优惠,京东618活动力度大吗摘要:不负每一份期待
1.
又是一年618
又是一年618,随着大环境的变化,人们的消费习惯也发生了改变。
消费需求偏好呈现一条微笑曲线,“刚需+性价比”的品牌和高情感附加值、高溢价的品牌,创造了更大的营收;而反之其他品牌,营收会被压缩。同样在消费行为上,消费者主动动态囤货的意识和需求在不断加强,这也对品牌及供应链提出了新的挑战。
在这一消费大环境之下,作为稳固618主场优势的京东,在5月23日全面开启预售的同时,也从品牌情感价值上进行了传播,围绕“618 京东和你在一起”的传播主题,与用户共情。情感价值营销,往往追求的是简单、有力,只有戳到共鸣点的深度洞察,才能产生广泛的共情。京东618的走心营销,便是深度的洞察配合真情流露的融合。
2.
618 京东和你在一起
5月23日京东618预售开启,京东发布品牌片《和你在一起》,片子中讲述了京东小哥“使命必达,全力以赴,不负每一份期待“的信赖感,艰难时刻有人在负重前行,让平凡的路,有了不平凡的意义。
京东选择京东小哥作为主角,也代表京东表达这份决心和行动力;而京东快递小哥是当下最能代表京东、也最具有用户感知的;作为京东与用户最一线的触点,京东小哥不断连接起品牌与用户之间的紧密关系,用朴素的内容呈现出共克时艰,“和你在一起“的力量感。
每个“逆行”而上,坚守在岗位上的京东小哥,都在“用行动守护承诺、传递温暖”。他们身着一抹京东红,脚步间跨越大江南北,背影里映出人间烟火;618,这群京东小哥才是最美的品牌代言人!
而在5月31日京东618全面开启的日子,京东基于《和你在一起》与用户更进了一步,发布了第二支品牌篇视频《为每一个你》。从洗碗机上贴上的便签,让妈妈拥有了“洗碗自由”;厨房里炊具以及升腾的烟火,与爸妈“云聚餐”,是“一人食”的仪式感;精打细算的物资清单,藏着一家人的稳稳的幸福;小提琴课上悠扬的琴声,充实了每一个孩子的初夏……
京东通过参与用户日常的“小确幸”时刻,每一份抵达的京东包裹,都承载了用户对生活的热爱。京东以“参与”为核心,与更多消费者产生情感共鸣,强化京东618“京东和你在一起”的品牌记忆。
不难发现,无论是《和你在一起》,还是《为每一个你》,这两个视频其中是有递进的关系、是有承接作用的。京东将重心放在了消费者身上,对于京东而言,用户生活中的每一个小惊喜,都是用户与京东之间持续的连接,聚合成了最美的烟火气。
3.
营销创新背后,是有责任的供应链
处于特殊时刻的618,有着不同的意义,也影响着大众情绪。京东基于用户的情感洞察,随之618的营销动作也基于当下社会发展进行了相对应的调整,今年618不同于以往,已不止是促销,而是将重心置于社会责任感与品牌信赖感之上,传递京东与消费者息息相关、同舟共济的情感联结。
正如京东零售CEO辛利军指出的:“京东对供应链的理解,已经进化到有责任的供应链,从商业价值、产业价值,进一步延伸到社会价值。今年京东618,依托于有责任的供应链,京东不仅要在关键时刻努力成为消费者信赖的代名词,成为品牌、商家稳定发展的合作伙伴,更要尽自身所能,在经济发展、保障民生等方面发挥自身的最大价值。”
- 紧扣618节点,传递品牌情感价值定位
京东618的营销差异,更强化了京东的社会责任感与品牌信赖感,用情感价值内容,去传递京东与用户共克时艰,积极向上的情绪,让人温暖而有力量。京东以真诚的态度,以及“京东和你在一起”的情感价值,去透穿用户心智。
- 差异化品牌表达,加深品牌情感价值感知
在消费决策当中,消费者会用感情去做决定,然后用逻辑将其正当化。越能与用户形成广泛共情的品牌,越能占据消费者的“心智阶梯”,即消费者产生需求时,会第一个想到你。这意味着品牌要不断消费者产生连接,并形成情绪上的共鸣,进而让消费者对品牌产生依赖。
此次京东618两个品牌向视频,以京东、京东小哥和用户生活的连接为叙事中心点,以平等的视角,与社会大众进行沟通,这种差异化的表达,能触动消费者内心最柔软的部分,建立京东与用户之间更紧密的关系,也加深着「京东和你在一起」的品牌情感价值感知。
4.
品牌是一种基于彼此需要的存在感
品牌,归根到底,就是你与用户的关系,存在是因为需要。品牌如何保持“存在感”很关键,即品牌与用户接触的MOT,最终组合成一个用户对你理解的全部。MOT(Moment Of Truth)是由北欧航空公司前总裁卡尔森提出的,他认为关键时刻是客户与企业的各种资源发生接触的那一刻,这个东西很重要。
京东618“京东和你在一起”的情感价值,便是对用户需要的响应,包含了诚意的优惠策略,全链路服务提升消费体验,并通过离用户最近的京东小哥,传递共情向品牌内容,让有责任的供应链响应社会层面的急需。
或许,京东最大的营销资源,不是任何一个媒体上的广告,而是在消费者生活中“参与感”。京东正是通过珍惜每次和消费者连接的机会,将这股力量凝聚在一起,从而在大众心中留下了独一无二的记忆点。
(文章来源:营销之美)
