1. 拼多多一夜被擼數千萬?羊毛攻防攻略!(2)
      2019-01-22 09:23 作者:瓜叔
      來源:鳥哥筆記
      描述
      三 ,內鬼攻擊 永遠不要考驗人性。 內部人員犯案的例子屢見不鮮,從底層的員工到高管甚至是合伙人,都比比皆是。 對于底層員工,哪怕原本再正直善
      [本文共字,閱讀完需要分鐘]

      三 ,內鬼攻擊


      永遠不要考驗人性。


      內部人員犯案的例子屢見不鮮,從底層的員工到高管甚至是合伙人,都比比皆是。


      對于底層員工,哪怕原本再正直善良兢兢業業,也可能有自己的經濟壓力或是遇到突發的狀況,就像《絕命毒師》中演的那樣,他即使不為自己,但也可能為老婆孩子而冒險。


      對于高層,當一個人面對上千萬上億的誘惑時,沒有多少正常人能把持得住,我們有時候對貪官污吏嗤之以鼻,是因為我們還沒有設身處地的在那個位置上。


      案例太多,大到騰訊公司麻花藤的左膀右臂,小到中小型公司的一線員工。這里就不一一例舉,感興趣的朋友可以自己去查。重點說下預防策略:


      1, 所有操作記錄可追溯


      在后臺應該備份有所有人的操作記錄


      2, 權限精細劃分


      涉及到以下幾類權限時,必須要設置高的權限級別


      • 網站敏感運營數據

      • 業務核心流程

      • 財務相關的操作

      • 涉及利益鏈的某一環節


      高權限賬號要唯一對應,每個賬號要對應到唯一的責任人;


      個別歸屬不明的賬號,如名為Test,Admin等賬號都可能埋伏著安全隱患;


      一定要設置登錄手機驗證碼驗證,以避免其他人冒用;


      員工離職時務必注意賬號的清除;


      定期對賬號進行清查。


      3, 高危操作管理


      根據具體業務流程定義一些行為為高危操作;


      當出現高危操作時設置二次確認機制;


      當多次出現高危操作時設立報警機制。


      4, 敏感系統獨立


      涉及到敏感信息如財務信息的系統,應該在別的域名及服務器下獨立建立,而不要在一個系統上劃分一個板塊。


      綜述


      拼多多的事件,表面上看是一個技術性Bug,但實際上暴露的是整個運營監控體系,風控體系的不到位,一個不嚴密周全的運營活動/流程/制度設計,輕則導致企業上百萬上千萬的損失,重則引發產品信任危機,失去用戶忠誠度,甚至影響到產品的生死存亡。


      中國互聯網公司的高管們,在謀求高速發展的同時,不僅僅是步子邁大了扯沒扯著蛋的問題,而是要回頭看看蛋有沒有跟上自己的腳步。


      畢竟,深淵在那凝視著您咧。


      Copyright © 2017股票入門基礎知識財經365版權所有 證券投資咨詢許可證號為:ZX0036 ); })();