招聘网站的流量隐忧：恶意BOT与流量黑盒

对人力资源服务行业来说，流量犹如一把双刃剑。涌动的流量如同黑盒，在繁荣的背后，各种恶意机器流量、黑产SEO、数据黑手和僵尸程序暗潮涌动，想要看清它们绝非易事。

作为国内最早一批提供求职招聘服务的互联网企业，经过20余年的业务发展，该服务商形成了具备异地容灾能力的“两地三中心”机房架构，其上运营着包括招聘、猎头、培训、测评、人事外包等在内的200余项人力资源服务，业务服务器承载的流量复杂且极具多样性。

流量黑盒

庞大的业务体量、日均pv千万级，基础设施压力和运维人员负担可想而知。一方面，来自搜索引擎的虚假流量和来自三方猎头、竞品平台的内容摄取机器人泛滥，严重挤占了服务器资源，为避免影响业务正常运转，运维人员只好不断增加服务器数量，硬件成本被大幅推高；另一方面，分散的地理空间下，异构资源池的安全管理缺乏统一视角，碎片化的安全布局令运维人员疲于奔命，流量处置效率却得不到有效提升。

访问入口、目的与人群的多样性加剧了企业安全人员的流量隐忧，新型的移动端访问入口如app、小程序、h5的访问行为轻量、快速、页面停留时间短但分享率高，与传统pc端流量有很大差异，运维管理人员在识别流量属性与来源，拆解访问路径和访问行为的过程中存在盲点。

更重要的是，复杂的流量迷雾也推高了数据价值挖掘的壁垒，企业管理层需要一种真正看得见、看得清“流量网络”的方案，为业务决策和战略转型提供依据。

轻度上云，流量先行

在数字化转型的进程中，我们选择将互联网出入口率先搬到阿里云上，即使业务仍然部署在IDC，也能便捷享受一体化流量安全带来的“丝滑”防护体验。

——该人力资源机构安全运维负责人

安全产品作为流量的出入口，能够很好地承担流量可视与精准防控的职能。阿里云的混合云安全方案，将公共云安全能力与传统IT架构下的业务部署完美融合，助力用户在业务不上云的情况下，通过云来对暴露面进行收敛，实现进出流量统一防御与管理。

该人力资源服务机构混合云安全架构示意图

• 识别虚假访问，节约推广成本，杜绝“虚假繁荣”；
• 跨数据中心识别并清理恶意攻击流量、恶意BOT和非法访问，减轻基础设施压力和运维人员负担；
• 全局视角看清流量构成，流量来源与访问行为，为企业战略决策提供依据。
• 跨物理空间安全便捷部署与一体化管理，避免重复采购、重复部署和重复规则配置，提升管理效率；
• 按流量规模和业务需求调用安全模块和防护节点，降低安全成本。

“无感”应对恶意BOT

人力资源行业是网络恶意机器人流量的“重灾区”。面对肆虐的恶意脚本和大规模“复杂可持续”攻击者，阿里云为该人力资源服务商制定了全局监控，分级识别清理的防护对抗策略，最大程度降低爬虫对抗对业务的影响。

全局监控逻辑下，观察模式仅对机器流量进行学习和识别，并对流量来源、构成、爬虫类型和爬虫行为进行详细分析，不产生对抗；

针对不同的业务系统防护需求，安全运维人员可自行调用配置防爬策略，JS挑战、滑块和严格滑块形成组合拳，从而对不同风险等级的域名实现精细化防控；

最后通过持续运营对策略进行调整和优化，最大限度识别日常爬虫流量，看清业务流量的实际构成。

数据防泄露的”第一道门“

《数据安全法》已经于9月1日生效，相应的对提供人力资源服务的企业如何进行数据合规治理工作，也释放了明确的信号：对于求职者个人信息、简历、评测、职位信息等核心数据资产和用户隐私信息，做出有前瞻性的数据保护进程安排，守住数据资产“生命线”。