□ 崔傳楨“

?

助力“互聯(lián)網(wǎng)+”行動(dòng)：解讀阿里巴巴的網(wǎng)絡(luò)安全
——基于“互聯(lián)網(wǎng)+”行動(dòng)下阿里巴巴集團(tuán)和螞蟻金服集團(tuán)信息安全及戰(zhàn)略布局

□ 崔傳楨“

習(xí)近平總書記在第二屆世界互聯(lián)網(wǎng)大會(huì)上指出：中國(guó)正處在互聯(lián)網(wǎng)快速發(fā)展的歷史進(jìn)程之中?！笆濉睍r(shí)期，中國(guó)將大力實(shí)施網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略、國(guó)家大數(shù)據(jù)戰(zhàn)略、“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃。

阿里巴巴集團(tuán)和螞蟻金服集團(tuán)的安全系統(tǒng)在電商和互聯(lián)網(wǎng)金融中目前是規(guī)模最大、戰(zhàn)線最長(zhǎng)的。其防控體系覆蓋了兩大集團(tuán)旗下的電商平臺(tái)、金融平臺(tái)、云計(jì)算大數(shù)據(jù)平臺(tái)以及物流平臺(tái)等全部業(yè)務(wù)，領(lǐng)域眾多、內(nèi)容龐大。阿里巴巴和螞蟻金服集團(tuán)在數(shù)據(jù)安全方面也進(jìn)行了很多嘗試，圍繞數(shù)據(jù)生命周期，通過建立體系化的防控手段應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)，從組織保障、制度流程、技術(shù)手段、人員能力等多個(gè)層面實(shí)現(xiàn)數(shù)據(jù)安全保障。

阿里巴巴集團(tuán)和螞蟻金服集團(tuán)在信息安全方面已經(jīng)走在了前列。為進(jìn)一步了解阿里巴巴集團(tuán)和螞蟻金服集團(tuán)在信息和網(wǎng)絡(luò)安全方面的防控體系及戰(zhàn)略管理，本刊赴阿里巴巴和螞蟻金服總部，與阿里巴巴集團(tuán)首席風(fēng)險(xiǎn)官劉振飛、安全技術(shù)副總裁杜躍進(jìn)以及螞蟻金服多位安全專家探討、探究阿里巴巴和螞蟻金服的信息和網(wǎng)絡(luò)安全。

數(shù)據(jù)動(dòng)態(tài)化加劇 ：DT時(shí)代信息安全的挑戰(zhàn)

在第二屆世界互聯(lián)網(wǎng)大會(huì)上，習(xí)近平總書記指出：中國(guó)正處在互聯(lián)網(wǎng)快速發(fā)展的歷史進(jìn)程之中?！笆濉睍r(shí)期，中國(guó)將大力實(shí)施網(wǎng)絡(luò)強(qiáng)國(guó)戰(zhàn)略、國(guó)家大數(shù)據(jù)戰(zhàn)略、“互聯(lián)網(wǎng)+”行動(dòng)計(jì)劃，發(fā)展積極向上的網(wǎng)絡(luò)文化，拓展網(wǎng)絡(luò)經(jīng)濟(jì)空間，促進(jìn)互聯(lián)網(wǎng)和經(jīng)濟(jì)社會(huì)融合發(fā)展。我們的目標(biāo)，就是要讓互聯(lián)網(wǎng)發(fā)展成果惠及13億多中國(guó)人民，更好造福各國(guó)人民。保障網(wǎng)絡(luò)安全，促進(jìn)有序發(fā)展。安全和發(fā)展是一體之兩翼、驅(qū)動(dòng)之雙輪。安全是發(fā)展的保障，發(fā)展是安全的目的。

2015年12月16日，國(guó)家主席習(xí)近平在考察烏鎮(zhèn)互聯(lián)網(wǎng)大會(huì)“互聯(lián)網(wǎng)之光”博覽會(huì)期間，首先來(lái)到阿里巴巴集團(tuán)展臺(tái)，駐足了約10分鐘。阿里巴巴集團(tuán)董事局主席馬云向習(xí)近平匯報(bào)了阿里巴巴發(fā)展的現(xiàn)狀以及對(duì)未來(lái)的思考。

圖1 馬云向習(xí)近平主席介紹阿里巴巴集團(tuán)情況(圖片來(lái)自天下網(wǎng)商)

馬云在現(xiàn)場(chǎng)自任解說員，向習(xí)近平介紹了阿里巴巴電商業(yè)務(wù)的整體情況。依托阿里巴巴平臺(tái)，千萬(wàn)賣家得以向全球4億消費(fèi)者提供無(wú)時(shí)差服務(wù)，真正體現(xiàn)了“消費(fèi)的力量”。談到2015年“雙11”全球狂歡節(jié)的有關(guān)情況時(shí)，馬云說，中國(guó)需要“新實(shí)體經(jīng)濟(jì)”，互聯(lián)網(wǎng)為中國(guó)經(jīng)濟(jì)形態(tài)插上了翅膀，“雙11”當(dāng)天創(chuàng)下912.17億元交易新紀(jì)錄充分展現(xiàn)了中國(guó)強(qiáng)大的內(nèi)需。馬云說，阿里云已完全實(shí)現(xiàn)技術(shù)自主可控，并且提供了全球首個(gè)5K云計(jì)算服務(wù)。在保證技術(shù)領(lǐng)先的基礎(chǔ)上，阿里云也已具備世界級(jí)安全能力，每天防御超過數(shù)億次Web攻擊，保證全球海量客戶的信息安全。

信息技術(shù)上的演進(jìn)在其本質(zhì)上是一個(gè)對(duì)數(shù)據(jù)依附不斷松綁的過程。而當(dāng)前云計(jì)算和大數(shù)據(jù)技術(shù)的不斷突破正在最大程度釋放數(shù)據(jù)的流動(dòng)性和使用價(jià)值。數(shù)據(jù)的流動(dòng)正在突破系統(tǒng)、組織和地域邊界，成為獨(dú)立的生產(chǎn)要素和經(jīng)濟(jì)資源，在智能決策、業(yè)務(wù)創(chuàng)新乃至社會(huì)化協(xié)同層面發(fā)揮著巨大作用。如果說云計(jì)算技術(shù)改變了企業(yè)IT交付的模式，而隨著越來(lái)越多的企業(yè)意識(shí)到數(shù)據(jù)的價(jià)值，大數(shù)據(jù)正在改變企業(yè)業(yè)務(wù)應(yīng)用的模式。

從安全角度來(lái)講，數(shù)據(jù)時(shí)代帶來(lái)的變革，對(duì)于企業(yè)的信息安全提出了挑戰(zhàn)。信息膨脹和數(shù)據(jù)爆炸以及數(shù)據(jù)流動(dòng)速率的加快和效率的提高，使企業(yè)內(nèi)部傳統(tǒng)的相對(duì)靜態(tài)集中的數(shù)據(jù)處理方式被打破，導(dǎo)致企業(yè)的安全邊界也進(jìn)一步模糊甚至消失。傳統(tǒng)的安全工作通過識(shí)別組織的安全邊界針對(duì)不同的信息資產(chǎn)(安全對(duì)象，包括物理、網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用等)部署靜態(tài)的縱深防御的安全控制，防范數(shù)據(jù)丟失或者內(nèi)部數(shù)據(jù)泄露已無(wú)法適應(yīng)數(shù)據(jù)業(yè)務(wù)上實(shí)時(shí)、動(dòng)態(tài)、頻繁的數(shù)據(jù)流轉(zhuǎn)的處理特點(diǎn)。

此外，考慮到大數(shù)據(jù)技術(shù)本身對(duì)于用戶個(gè)人信息保護(hù)提出的挑戰(zhàn)，已有的隱私保護(hù)框架仍只側(cè)重在用戶的隱私權(quán)保護(hù)，也無(wú)法全面覆蓋數(shù)據(jù)安全的管控需要。其他方面還包括：企業(yè)所面臨的外部威脅愈加嚴(yán)峻，外部攻擊更加精細(xì)化，由以往的窺探性入侵演變?yōu)榻Y(jié)合多種攻擊手段，有針對(duì)性的繞過安全控制，竊取敏感數(shù)據(jù)的攻擊行為；傳統(tǒng)安全防護(hù)方案無(wú)法滿足數(shù)據(jù)業(yè)務(wù)、技術(shù)要求，甚至成為瓶頸，如傳統(tǒng)加解密的防護(hù)措施成為實(shí)時(shí)在線計(jì)算性能的瓶頸；實(shí)時(shí)的數(shù)據(jù)流動(dòng)受到了傳統(tǒng)的安全管控機(jī)制的限制，如：安全監(jiān)控、流程審批等存在的局限性；頻繁的數(shù)據(jù)流轉(zhuǎn)和交換導(dǎo)致數(shù)據(jù)泄露管理難度加大，通過二次組合非敏感的數(shù)據(jù)可能形成敏感數(shù)據(jù)，造成敏感數(shù)據(jù)泄漏；新的安全挑戰(zhàn)亟需新的安全解決方案，如通過數(shù)據(jù)分析所形成更有價(jià)值的衍生數(shù)據(jù)，如何進(jìn)行敏感度管理；數(shù)據(jù)加工過程中需要使用大量敏感數(shù)據(jù)，如何保障數(shù)據(jù)在加工過程對(duì)使用者不可見；分布式的計(jì)算節(jié)點(diǎn)易被偽冒攻擊，如：欺詐、重放攻擊、DDoS等；數(shù)據(jù)混合計(jì)算，如何確保數(shù)據(jù)資源在存儲(chǔ)、計(jì)算等過程中的安全隔離；數(shù)據(jù)由于其流動(dòng)增值的特點(diǎn)，組織之間的數(shù)據(jù)流動(dòng)和交換勢(shì)必成為大勢(shì)所趨，因此企業(yè)數(shù)據(jù)安全不再是自己一家的問題，需要生態(tài)鏈各方協(xié)同管控。

阿里巴巴信息安全的實(shí)踐和防控體系

1 整體概況

在DT時(shí)代，數(shù)據(jù)安全以及數(shù)據(jù)隱私的保護(hù)已成為整個(gè)社會(huì)、大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的前提和必要條件。阿里巴巴在數(shù)據(jù)安全方面也進(jìn)行了很多嘗試，圍繞數(shù)據(jù)生命周期，通過建立體系化的防控手段應(yīng)對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)，從組織保障、制度流程、技術(shù)手段、人員能力等多個(gè)層面實(shí)現(xiàn)數(shù)據(jù)安全保障。 具體到企業(yè)中不同的環(huán)境、不同崗位與部門，均有明確的職責(zé)要求以及安全規(guī)范和實(shí)踐。

組織保障方面。以淘寶業(yè)務(wù)為例，阿里巴巴組建了淘寶數(shù)據(jù)安全委員會(huì)，明確淘寶BU數(shù)據(jù)安全接口人的工作機(jī)制，以數(shù)據(jù)生命周期為框架，對(duì)整個(gè)淘寶業(yè)務(wù)的數(shù)據(jù)安全進(jìn)行專項(xiàng)治理。在各BU均具有建制完備的數(shù)據(jù)安全團(tuán)隊(duì)的基礎(chǔ)上，阿里巴巴集團(tuán)的數(shù)據(jù)安全工作小組成立，在已有BU接口人的工作機(jī)制上，完善三級(jí)協(xié)同管理機(jī)制。目前已形成以公司合伙人兼首席風(fēng)險(xiǎn)官直接負(fù)責(zé)集團(tuán)數(shù)據(jù)安全小組，作為阿里巴巴集團(tuán)數(shù)據(jù)安全最高決策機(jī)構(gòu)，承擔(dān)管理策略制定、全局風(fēng)險(xiǎn)把控、全面監(jiān)督執(zhí)行等工作。此外還設(shè)立了專門的數(shù)據(jù)安全團(tuán)隊(duì)，與每個(gè)事業(yè)部的安全接口人共同形成了一套完整的、覆蓋全公司各部門的專業(yè)數(shù)據(jù)安全管理體系。

圖2 杜躍進(jìn)向中央網(wǎng)信辦主任魯煒介紹阿里巴巴安全工作(圖片由阿里巴巴集團(tuán)提供)

制度設(shè)計(jì)方面。通過完善規(guī)則、落實(shí)責(zé)任、專業(yè)審核、嚴(yán)格審計(jì)等手段，使阿里巴巴在數(shù)據(jù)安全管理方面達(dá)到同行業(yè)領(lǐng)先水平。阿里巴巴制定了包括“總綱”、“對(duì)外披露細(xì)則”等40多部數(shù)據(jù)安全執(zhí)行規(guī)范，和數(shù)據(jù)相關(guān)的各項(xiàng)業(yè)務(wù)和產(chǎn)品都要經(jīng)過專業(yè)數(shù)據(jù)安全團(tuán)隊(duì)審核，數(shù)據(jù)安全責(zé)任落實(shí)到人，對(duì)數(shù)據(jù)使用有嚴(yán)格的審計(jì)。

技術(shù)手段方面。阿里巴巴通過系統(tǒng)化的安全開發(fā)管理、專業(yè)化的安全運(yùn)營(yíng)、體系化的自主技術(shù)產(chǎn)品為依托，在技術(shù)層面防控內(nèi)外部數(shù)據(jù)竊取破壞的風(fēng)險(xiǎn)。在內(nèi)部防泄露方面，通過對(duì)海量數(shù)據(jù)進(jìn)行自動(dòng)化分級(jí)和標(biāo)識(shí)、對(duì)網(wǎng)絡(luò)本身進(jìn)行級(jí)別劃分、建立數(shù)據(jù)操作的專用環(huán)境、研發(fā)部署各個(gè)環(huán)節(jié)的數(shù)據(jù)泄露監(jiān)控產(chǎn)品、建立對(duì)產(chǎn)品和人員的數(shù)據(jù)安全審計(jì)平臺(tái)等方法綜合防范內(nèi)部風(fēng)險(xiǎn)。

人員能力方面。對(duì)數(shù)據(jù)安全崗位的能力需求進(jìn)行梳理，通過多種多樣的形式對(duì)崗位人員的能力進(jìn)行培養(yǎng)和跟蹤，確保專門崗位的人員具備相適應(yīng)的能力水平。

防止外部入侵方面。采取了整套措施。如在集團(tuán)層面設(shè)立反入侵重大專項(xiàng)強(qiáng)化能力、采用國(guó)際領(lǐng)先的全生命周期安全管理技術(shù)提升整個(gè)系統(tǒng)的安全性、組建專門的高水平技術(shù)對(duì)抗隊(duì)伍持續(xù)進(jìn)行自身產(chǎn)品漏洞挖掘和入侵測(cè)試、通過廣泛的社會(huì)途徑收集產(chǎn)品漏洞和威脅情報(bào)、優(yōu)化整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)減少攻擊途徑、部署自主研發(fā)的系列安全產(chǎn)品、全面啟用通信加密防止網(wǎng)絡(luò)竊聽和劫持、建立專業(yè)的威脅情報(bào)團(tuán)隊(duì)進(jìn)行攻擊溯源分析等。

全球率先實(shí)現(xiàn)了電商、阿里云全站https化。阿里巴巴集團(tuán)已經(jīng)完成了淘寶天貓、阿里云等站點(diǎn)的https改造和HSTS保護(hù)，https可保證用戶從瀏覽器到服務(wù)端的鏈路是加密安全的；HSTS (HTTP strict transport security)通俗地說就是“一次https永久https”，防止被中間人對(duì)https的跳轉(zhuǎn)劫持(SSL-strip)；在淘寶天貓首頁(yè)，對(duì)舊版瀏覽器用戶給出友好的升級(jí)引導(dǎo)和推薦，使用戶更容易地解決安全問題，從此安全便捷地體驗(yàn)網(wǎng)上購(gòu)物的樂趣；阿里巴巴旗下UC瀏覽器已加入更多安全特性，例如反釣魚、反劫持、首頁(yè)保護(hù)、默認(rèn)瀏覽器保護(hù)、搜索引擎保護(hù)、瀏覽器醫(yī)生智能修復(fù)等。

生態(tài)安全。在廣泛互聯(lián)的世界里，別人不安全，自己也可能被影響。阿里巴巴成立了針對(duì)中國(guó)電商生態(tài)的“ISV安全聯(lián)盟”，研究推出相關(guān)的安全標(biāo)準(zhǔn)，借助社會(huì)化的力量，共同提升ISV(獨(dú)立軟件開發(fā)商，為國(guó)內(nèi)主流電商網(wǎng)站和平臺(tái)上的商家提供軟件服務(wù))的安全意識(shí)和能力，減少這些環(huán)節(jié)的用戶信息泄露風(fēng)險(xiǎn)；阿里巴巴還在大量專業(yè)論壇介紹自己的數(shù)據(jù)安全經(jīng)驗(yàn)，幫助業(yè)界提升安全水平；阿里巴巴還將自己長(zhǎng)期實(shí)踐形成的經(jīng)驗(yàn)和積累整理成可以對(duì)外提供的產(chǎn)品和服務(wù)，以阿里聚安全的品牌對(duì)外推出，用自己的安全能力幫助更多的企業(yè)。

2 阿里巴巴神盾局

阿里巴巴集團(tuán)安全部——“神盾局”職責(zé)范圍很廣，在阿里巴巴龐大的交易系統(tǒng)背后，為保障用戶的權(quán)益做堅(jiān)實(shí)護(hù)盾。主要工作包括以下幾類：保護(hù)知識(shí)產(chǎn)權(quán)，即打假；保護(hù)賬戶安全，主要防止虛假注冊(cè)；保護(hù)交易安全，主要防止交易欺詐、惡意差評(píng)、敲詐勒索和炒信；保護(hù)信息安全和禁限售排查；保護(hù)隱私防止信息泄露；保護(hù)數(shù)據(jù)安全；大數(shù)據(jù)風(fēng)控等等。

杜躍進(jìn)表示：“阿里安全要做保護(hù)用戶最關(guān)切的安全——包含購(gòu)物、交易、支付、侵權(quán)、金融、防數(shù)據(jù)泄露、反欺詐、反假貨等全交易鏈條；致力于打造應(yīng)用層的安全生態(tài)環(huán)境，面向終端用戶也面向行業(yè)企業(yè)、涵蓋終端打通云端，通過多維度大數(shù)據(jù)構(gòu)建誠(chéng)信體系。”

阿里110上線后，可直接受理網(wǎng)購(gòu)欺詐案件。阿里110一站式舉報(bào)區(qū)別于平日的淘寶客服投訴，消費(fèi)者在淘寶平臺(tái)上遇到惡意賣家或被騙取財(cái)物，發(fā)現(xiàn)賬號(hào)異常或被盜，遇到信息泄露或釣魚網(wǎng)站，都可以通過這個(gè)平臺(tái)快速舉報(bào)并保護(hù)賬號(hào)安全。對(duì)于很多用戶擔(dān)心的遺失電子設(shè)備后的賬號(hào)安全問題，或是在公眾場(chǎng)合登錄過淘寶，也可以通過這個(gè)平臺(tái)同時(shí)讓所有設(shè)備賬號(hào)下線，取消登錄記錄。舉報(bào)受理之后的每一步處理情況用戶都可以直接在后臺(tái)查看，信息更加透明公開；涉及金額較大情節(jié)惡劣的案件，由“神盾局”工作人員直接向公安機(jī)關(guān)舉報(bào)并立案，縮短了投訴處理流程。

阿里錢盾新功能：可識(shí)別真假手機(jī)以及翻新機(jī)。阿里錢盾是阿里安全推出的免費(fèi)手機(jī)安全軟件，除了提供病毒查殺、騷擾攔擊、內(nèi)存清理手機(jī)加速、WIFI監(jiān)測(cè)等基礎(chǔ)功能之外，重點(diǎn)是向用戶提供從淘寶交易到支付寶全流程的保護(hù)。

報(bào)告顯示，移動(dòng)互聯(lián)網(wǎng)病毒規(guī)模不斷增長(zhǎng)。2015年度阿里聚安全共查殺病毒逾3億次，18% 的Android設(shè)備感染過病毒。阿里聚安全病毒樣本庫(kù)顯示，2015年度新增病毒1005萬(wàn)，月均漲幅12%；數(shù)據(jù)顯示廣東用戶感染病毒最多，占全國(guó)總感染量的14%，其他感染量靠前的還有江蘇、浙江等。

通過阿里聚安全的數(shù)據(jù)分析，發(fā)現(xiàn)18個(gè)行業(yè)的Top10應(yīng)用，95%都存在仿冒軟件，平均每個(gè)應(yīng)用有66個(gè)仿冒，且大部分都有惡意扣費(fèi)行為，建議用戶在官方渠道下載正版軟件；此外2015年，詐騙事件層出不窮，短信如“積分兌換”，“銀行客戶端升級(jí)”，“車輛違規(guī)”，“老公出軌”等，誘導(dǎo)用戶安裝短信攔截木馬進(jìn)一步行騙。短信攔截木馬全年感染200萬(wàn)用戶，并已形成社工、木馬開發(fā)、多渠道傳播、洗錢分贓等一條完整的非法產(chǎn)業(yè)鏈。

據(jù)阿里聚安全2015互聯(lián)網(wǎng)安全年報(bào)顯示，漏洞數(shù)量也急劇攀升， Android系統(tǒng)漏洞以10倍的同比增長(zhǎng)、iOS系統(tǒng)漏洞同比上漲128%，97%熱門應(yīng)用存在漏洞風(fēng)險(xiǎn)。

在萬(wàn)物互聯(lián)的時(shí)代，至2015年全球連接到互聯(lián)網(wǎng)上的設(shè)備達(dá)到49億臺(tái)，物聯(lián)網(wǎng)安全隱患已初現(xiàn)端倪。 年報(bào)顯示，80%的物聯(lián)網(wǎng)設(shè)備暴露了硬件調(diào)試接口極易被黑客利用；而90%以上的固件存在安全隱患，并對(duì)物聯(lián)網(wǎng)產(chǎn)生嚴(yán)重威脅。94%傳統(tǒng)Web安全漏洞同樣影響物聯(lián)網(wǎng)云端Web接口，如跨站腳本、文件修改、命令執(zhí)行及SQL注入等。

阿里聚安全數(shù)據(jù)風(fēng)控年報(bào)還披露了由“黃?！?、“打碼手”、“羊毛黨”組成的專業(yè)化黑產(chǎn)團(tuán)伙，通過上下流的復(fù)雜鏈條環(huán)環(huán)相扣、緊密協(xié)作，嚴(yán)重破壞商業(yè)活動(dòng)。黑產(chǎn)從業(yè)人員數(shù)據(jù)量巨大，分布在產(chǎn)業(yè)鏈各個(gè)環(huán)節(jié)，產(chǎn)業(yè)規(guī)模達(dá)數(shù)千億。

3 信息安全防控體系

隨著網(wǎng)絡(luò)與信息技術(shù)的普及發(fā)展，互聯(lián)網(wǎng)已深入社會(huì)、經(jīng)濟(jì)、文化、政治的方方面面，成為與網(wǎng)民生活息息相關(guān)、全新的文化生活空間，極大地影響了人們的生活、行為方式及價(jià)值觀念，也對(duì)現(xiàn)有的法律、道德體系形成挑戰(zhàn)。網(wǎng)絡(luò)空間中存在的暴力、色情、欺詐、非法商品，為社會(huì)帶來(lái)嚴(yán)重的負(fù)面影響，侵害人們的身心健康。

經(jīng)過多年發(fā)展，阿里巴巴集團(tuán)業(yè)已建立基于大數(shù)據(jù)和云計(jì)算、面向未來(lái)的立體信息安全防控體系。

阿里巴巴集團(tuán)十分重視與社會(huì)各界間的合作，構(gòu)建了由各級(jí)網(wǎng)絡(luò)主管部門、行業(yè)協(xié)會(huì)、第三方企業(yè)、社會(huì)公眾共同參與的安全防控體系。其中，阿里巴巴集團(tuán)安全部牽頭成立了國(guó)內(nèi)首個(gè)互聯(lián)網(wǎng)安全志愿者聯(lián)盟，9年間累計(jì)參與15億人次，僅2015年舉報(bào)各類網(wǎng)絡(luò)違法違規(guī)線索260萬(wàn)余條，開展的公益項(xiàng)目連續(xù)獲得中國(guó)青年志愿服務(wù)項(xiàng)目銀獎(jiǎng)。

為提高網(wǎng)絡(luò)信息安全防控效率，阿里巴巴集團(tuán)成立了打擊網(wǎng)絡(luò)欺詐、侵權(quán)、假貨、炒信、賬號(hào)安全的專門團(tuán)隊(duì)，與信息安全防控體系形成共振，聯(lián)合打擊網(wǎng)絡(luò)違法違規(guī)的全鏈條活動(dòng)，取得了良好的效果，極大地震懾了網(wǎng)絡(luò)違法違規(guī)分子，維護(hù)了安全、和諧的平臺(tái)環(huán)境。

阿里巴巴集團(tuán)不僅重視商品信息發(fā)布后的監(jiān)測(cè)，還非常重視信息發(fā)布前的檢測(cè)防范，形成事前與事后相結(jié)合的全面防控手段。如在商家注冊(cè)、開店、認(rèn)證環(huán)節(jié)進(jìn)行防范，努力將不良分子阻斷在平臺(tái)之外，做到了事前防范。阿里巴巴集團(tuán)建立了文本過濾、圖片識(shí)別、風(fēng)險(xiǎn)審核的內(nèi)容安全監(jiān)控體系，全面覆蓋文本、圖片、音頻、視頻等不同信息類型，能有效識(shí)別網(wǎng)絡(luò)不良信息內(nèi)容，降低用戶違規(guī)風(fēng)險(xiǎn)。

4 信息安全防控體系的三大變化

阿里巴巴集團(tuán)成立16年以來(lái)，始終注重網(wǎng)絡(luò)信息安全。但隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)信息安全形勢(shì)發(fā)生了重大變化，阿里巴巴集團(tuán)信息安全防控體系也隨之進(jìn)行了多次調(diào)整，其中最突出的三大變化為：

1)從被動(dòng)管控過渡為主動(dòng)防控

傳統(tǒng)的信息安全防范措施是被動(dòng)的防控體系，其效果受用戶行為的制約，治標(biāo)不治本，運(yùn)動(dòng)式、周期性、反復(fù)化違規(guī)現(xiàn)象明顯。為此，阿里巴巴集團(tuán)信息安全部門變被動(dòng)管控為主動(dòng)防控，深入灰黑產(chǎn)業(yè)進(jìn)行摸排，了解灰黑產(chǎn)業(yè)鏈條和“生存”現(xiàn)狀，進(jìn)行精準(zhǔn)、精確、精致化打擊，開展違法違規(guī)的源頭治理，極大地提高了信息安全防控效果，減少了二次違規(guī)率。另一方面，阿里巴巴集團(tuán)信息安全部門積極主動(dòng)開展網(wǎng)絡(luò)信息安全宣傳活動(dòng)，引導(dǎo)廣大網(wǎng)民自覺遵守法律法規(guī)，通過對(duì)網(wǎng)民進(jìn)行網(wǎng)絡(luò)信息素養(yǎng)教育，倡議網(wǎng)民自覺維護(hù)網(wǎng)絡(luò)環(huán)境，減少違法違規(guī)信息的生產(chǎn)發(fā)布。

2)從線上打擊演變?yōu)榫€上線下相結(jié)合

網(wǎng)絡(luò)空間是虛擬的，但運(yùn)用網(wǎng)絡(luò)空間的主體是現(xiàn)實(shí)的，許多網(wǎng)絡(luò)違法違規(guī)行為的根源在現(xiàn)實(shí)社會(huì)中，僅作線上防控并未從根源上解決問題；加之網(wǎng)絡(luò)賬號(hào)注冊(cè)十分便捷，線上治理對(duì)網(wǎng)絡(luò)違法違規(guī)分子的震懾有限。為此，阿里巴巴集團(tuán)在確保用戶信息安全的前提下，通過網(wǎng)絡(luò)化用戶行為分析，結(jié)合異常交易記錄監(jiān)控，確定違法犯罪行為，實(shí)現(xiàn)案件線索輸出，配合執(zhí)法機(jī)關(guān)打掉了一批網(wǎng)絡(luò)犯罪分子。

3)加強(qiáng)對(duì)大數(shù)據(jù)、云計(jì)算的應(yīng)用

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，數(shù)據(jù)正在以比以往任何時(shí)候更快的速度增長(zhǎng)，人類社會(huì)將全面由IT時(shí)代邁向DT時(shí)代，數(shù)據(jù)在各種業(yè)務(wù)類型中應(yīng)用越來(lái)越多。阿里巴巴集團(tuán)信息安全防控也更多地借助大數(shù)據(jù)、云計(jì)算、深度學(xué)習(xí)等技術(shù)，全面監(jiān)測(cè)用戶行為、交易記錄異常狀況，實(shí)現(xiàn)違法違規(guī)行為的自動(dòng)識(shí)別。

阿里云的安全

1 阿里云的架構(gòu)

阿里云創(chuàng)立于2009年，是中國(guó)最大的云計(jì)算平臺(tái)，為全球200多個(gè)國(guó)家和地區(qū)的創(chuàng)新創(chuàng)業(yè)企業(yè)、政府機(jī)構(gòu)等提供服務(wù)。阿里云致力于提供最安全、可靠的計(jì)算和數(shù)據(jù)處理能力，讓計(jì)算成為普惠科技和公共服務(wù)，為萬(wàn)物互聯(lián)的DT世界提供源源不斷的新能源。阿里云在全球各地部署高效節(jié)能的綠色數(shù)據(jù)中心，利用清潔計(jì)算支持不同的互聯(lián)網(wǎng)應(yīng)用。目前，阿里云在中國(guó)(華北、華東、華南、香港)、新加坡、美西等地域設(shè)有數(shù)據(jù)中心，未來(lái)還將在美東、歐洲、中東、俄羅斯、日本等地設(shè)立新的數(shù)據(jù)中心。

展望國(guó)際，云計(jì)算成為近年來(lái)發(fā)展的持續(xù)熱點(diǎn)。美國(guó)、英國(guó)、德國(guó)、韓國(guó)等世界發(fā)達(dá)國(guó)家無(wú)不把云計(jì)算發(fā)展作為國(guó)家戰(zhàn)略的一部分，與過去追求規(guī)模與速度的發(fā)展方向不同，各國(guó)開始謀求高效率、高質(zhì)量的發(fā)展戰(zhàn)略。各跨國(guó)大型企業(yè)也在關(guān)注云計(jì)算發(fā)展動(dòng)態(tài)并及時(shí)調(diào)整公司發(fā)展策略，亞馬遜在不斷改進(jìn)公有云服務(wù)的同時(shí)將視線轉(zhuǎn)向混合云領(lǐng)域；IBM為應(yīng)對(duì)云計(jì)算對(duì)服務(wù)領(lǐng)域的巨大變革，在過去一年時(shí)間內(nèi)大力斥資云計(jì)算等領(lǐng)域的投資發(fā)展；微軟大力部署數(shù)據(jù)中心建設(shè)，并將云計(jì)算作為數(shù)據(jù)庫(kù)產(chǎn)品的重中之重。

作為國(guó)內(nèi)最大的公共云計(jì)算服務(wù)提供商，阿里云為客戶提供穩(wěn)定、可靠、安全、合規(guī)的云計(jì)算基礎(chǔ)服務(wù)，獲得了Freebuf 2015互聯(lián)網(wǎng)年度“安全云”稱號(hào)。

合規(guī)是檢驗(yàn)云服務(wù)商安全能力的基本方法。阿里云擁有ISO 27001認(rèn)證和信息安全等級(jí)保護(hù)測(cè)評(píng)三級(jí)評(píng)定，是全球首家獲得CSA STAR云安全國(guó)際金牌認(rèn)證的云服務(wù)供應(yīng)商，首批獲得工信部數(shù)據(jù)中心聯(lián)盟組織的可信云認(rèn)證等多項(xiàng)權(quán)威合規(guī)資質(zhì)認(rèn)證。

阿里云計(jì)算平臺(tái)設(shè)計(jì)、架構(gòu)和實(shí)現(xiàn)是安全的，符合國(guó)際和中國(guó)國(guó)家標(biāo)準(zhǔn)。

阿里云分布于全球的10余個(gè)數(shù)據(jù)中心建設(shè)均滿足GB 50174《電子信息機(jī)房設(shè)計(jì)規(guī)范》A類和TIA 942《數(shù)據(jù)中心機(jī)房通信基礎(chǔ)設(shè)施標(biāo)準(zhǔn)》中T3+標(biāo)準(zhǔn)。阿里云基礎(chǔ)設(shè)施層面的物理與環(huán)境方面，包括物理邊界控制、訪問、人員管理、供電以及溫控等嚴(yán)格遵從國(guó)內(nèi)外數(shù)據(jù)中心建設(shè)標(biāo)準(zhǔn)。與此同時(shí)，阿里云采用多地域多可用區(qū)架構(gòu)，多線BGP網(wǎng)絡(luò)接入，每個(gè)云數(shù)據(jù)中心均部署了強(qiáng)大的DDoS防護(hù)措施，確保服務(wù)的可用性。

阿里云對(duì)生產(chǎn)網(wǎng)絡(luò)與非生產(chǎn)網(wǎng)絡(luò)進(jìn)行了嚴(yán)格的安全隔離和訪問控制。使用自動(dòng)化監(jiān)控系統(tǒng)對(duì)云平臺(tái)網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用集群以及核心業(yè)務(wù)進(jìn)行全面實(shí)時(shí)監(jiān)控。阿里云的內(nèi)部運(yùn)營(yíng)采用了嚴(yán)格的身份與訪問管理，使用統(tǒng)一的賬號(hào)管理和身份認(rèn)證系統(tǒng)管理員工賬號(hào)生命周期，細(xì)粒度的權(quán)限管理和訪問控制。阿里云在生產(chǎn)網(wǎng)絡(luò)邊界部署了堡壘機(jī)，辦公網(wǎng)內(nèi)的運(yùn)維人員只能通過堡壘機(jī)進(jìn)入生產(chǎn)網(wǎng)進(jìn)行運(yùn)維管理。堡壘機(jī)的審計(jì)也是實(shí)時(shí)的。

阿里云為客戶提供云加密服務(wù)，通過在阿里云中使用經(jīng)國(guó)家密碼管理局檢測(cè)認(rèn)證的硬件密碼機(jī)，保護(hù)云上業(yè)務(wù)數(shù)據(jù)的機(jī)密性。借助加密服務(wù)，客戶可以實(shí)現(xiàn)對(duì)加密密鑰的完全控制和進(jìn)行加解密操作，經(jīng)過加密的數(shù)據(jù)，即便是阿里云運(yùn)維人員也無(wú)法讀取。

此外，阿里云提供云盾以及三方安全解決方案，防止黑客入侵。與加密服務(wù)配合，可以確保云端數(shù)據(jù)的安全。

阿里云為客戶提供經(jīng)第三方權(quán)威測(cè)評(píng)及認(rèn)證機(jī)構(gòu)現(xiàn)場(chǎng)審核過的云服務(wù)。這些測(cè)評(píng)和認(rèn)證可以為客戶提供更多有關(guān)阿里云制定的安全策略、流程和程序、實(shí)施的安全控制措施以及安全運(yùn)營(yíng)的信息。

2015年阿里云與淘寶、天貓等構(gòu)建的“混合云”支撐了“雙11”912億元的交易額，每秒交易峰值達(dá)14萬(wàn)筆；10月Sort Benchmark公布2015年排序競(jìng)賽最終成績(jī)：阿里云用377s就完成了100TB的數(shù)據(jù)排序，在含金量最高的2項(xiàng)比賽中，打破全部4項(xiàng)世界紀(jì)錄；在匈牙利布達(dá)佩斯舉辦的2015世界電信展上，阿里云獲得了以“真實(shí)技術(shù)能力和社會(huì)影響力”為評(píng)判標(biāo)準(zhǔn)的2015世界電信展卓越企業(yè)獎(jiǎng)，成為本次展覽上唯一獲此獎(jiǎng)的中國(guó)企業(yè)。

2 阿里云安全國(guó)際認(rèn)證和云安全服務(wù)(CSA STAR)

阿里云已獲得全球首張?jiān)瓢踩珖?guó)際認(rèn)證金牌(Cloud Security Alliance’s Security Trust and Assurance Registry，CSA STAR)，這是英國(guó)標(biāo)準(zhǔn)協(xié)會(huì)(簡(jiǎn)稱 BSI)向全球云服務(wù)商頒發(fā)的首張金牌，也是中國(guó)企業(yè)在信息化、云計(jì)算領(lǐng)域安全合規(guī)方面第1次取得世界領(lǐng)先成績(jī)。云安全國(guó)際認(rèn)證是一項(xiàng)全新而有針對(duì)性的國(guó)際專業(yè)認(rèn)證項(xiàng)目，旨在應(yīng)對(duì)與云安全相關(guān)的特定問題。其以 ISO/IEC 27001認(rèn)證為基礎(chǔ)，結(jié)合云端安全控制矩陣(cloud control matrix，CCM)的要求，運(yùn)用BSI提供的成熟度模型和評(píng)估方法，為提供和使用云計(jì)算的任何組織，從溝通和利益相關(guān)者的參與，策略、計(jì)劃、流程和系統(tǒng)性方法，技術(shù)和能力，所有權(quán)、領(lǐng)導(dǎo)力和管理，監(jiān)督和測(cè)量5個(gè)維度，綜合評(píng)估組織云端安全管理和技術(shù)能力，最終給出“不合格、銅牌、銀牌、金牌”4個(gè)級(jí)別的獨(dú)立第三方外審結(jié)論。

阿里云已取得ISO/IEC 27001國(guó)際認(rèn)證。ISO 27001是一項(xiàng)被廣泛采用的全球安全標(biāo)準(zhǔn)，采用以風(fēng)險(xiǎn)管理為核心的方法來(lái)管理公司和客戶信息，并通過定期評(píng)估風(fēng)險(xiǎn)和控制措施的有效性來(lái)保證體系的持續(xù)運(yùn)行。為了獲得認(rèn)證，公司必須表明它有一個(gè)系統(tǒng)的和持續(xù)的方法來(lái)管理信息安全風(fēng)險(xiǎn)，保障公司及客戶信息的保密性、完整性和可用性。該認(rèn)證的取得不但驗(yàn)證了阿里云云端技術(shù)框架、內(nèi)部管理矩陣同國(guó)際信息安全最佳實(shí)踐的符合性，同時(shí)也是對(duì)阿里云云產(chǎn)品和服務(wù)從設(shè)計(jì)到交付的透明度、云安全服務(wù)的自動(dòng)化運(yùn)營(yíng)服務(wù)模式的肯定。

3 阿里云安全解決方案：以游戲行業(yè)為例

2015年上半年，中國(guó)游戲市場(chǎng)實(shí)際銷售收入達(dá)到605.1億元人民幣，同比增長(zhǎng)21.9%。行業(yè)快速發(fā)展的同時(shí)，互聯(lián)網(wǎng)環(huán)境的安全形勢(shì)日益嚴(yán)峻。地下黑色產(chǎn)業(yè)鏈越發(fā)成熟，利用攻擊手段進(jìn)行惡意敲詐、行業(yè)對(duì)手的惡意競(jìng)爭(zhēng)、游戲虛擬環(huán)境中各種價(jià)值誘惑、行業(yè)鏈條中的利益欺詐等等，都成為阻礙行業(yè)正常發(fā)展的安全問題。

對(duì)于游戲行業(yè)而言，有下列幾個(gè)典型的安全問題：游戲服務(wù)不可用DDoS：利用空連接、假人攻擊、流量攻擊、CC攻擊等多種方式攻擊游戲服務(wù)器，導(dǎo)致游戲服務(wù)的登錄、場(chǎng)景、戰(zhàn)斗等服務(wù)不可用。游戲是典型的對(duì)可用性要求非常高的應(yīng)用，特別是MOBA、MMO和棋牌類游戲，哪怕延時(shí)過大都會(huì)對(duì)游戲玩家造成影響，更不用說服務(wù)直接癱瘓，玩家會(huì)迅速流失。破壞游戲平衡性——外掛：外掛是游戲中常見的作弊方式，使用者通過外掛能夠獲得怪物秒殺、自動(dòng)回血、無(wú)限金幣等很多超能力，極大地破壞了游戲的整體公平性。網(wǎng)絡(luò)游戲的魅力在于營(yíng)造了一個(gè)類似現(xiàn)實(shí)的虛擬世界，如果虛擬世界中失去了公平，就會(huì)引起玩家的失望和憤怒，進(jìn)而迅速流失。賬號(hào)安全及流量作弊——欺詐：大量注冊(cè)小號(hào)，獲取新號(hào)獎(jiǎng)勵(lì)和大量金幣，再設(shè)法轉(zhuǎn)給大號(hào)；利用自動(dòng)化工具，通過掃庫(kù)撞庫(kù)等方式進(jìn)行盜號(hào)；利用模擬器等運(yùn)行游戲進(jìn)行流量作弊，獲取非正常利潤(rùn)；將游戲APP反編譯加入間諜軟件、后門木馬再重新打包，盜取玩家的驗(yàn)證碼、資金和流量等。游戲的生態(tài)世界非常復(fù)雜，里面有研發(fā)、推廣、運(yùn)營(yíng)、渠道、充值、玩家等等多個(gè)角色，多個(gè)環(huán)節(jié)都可能存在為獲取超額利益而進(jìn)行的欺詐行為。

針對(duì)以上挑戰(zhàn)，阿里云提出了以云計(jì)算平臺(tái)為基礎(chǔ)的游戲行業(yè)安全解決方案。

1)解決方案架構(gòu)解讀

高防IP防御全局類服務(wù)。全局類服務(wù)(如登錄服務(wù)、充值服務(wù)等)一旦出現(xiàn)故障就會(huì)影響到游戲的全部玩家，因此需盡力保證全局性服務(wù)的高可用，建議使用高防IP進(jìn)行防御。高防IP服務(wù)具備超海量攻擊清洗能力，曾成功防御全球最大的453G DDoS攻擊，同時(shí)可將源站隱藏，保證正常的業(yè)務(wù)請(qǐng)求不會(huì)受到影響。

ESN防御大區(qū)類服務(wù)。ESN(安全網(wǎng)絡(luò))是一種全新的多節(jié)點(diǎn)網(wǎng)絡(luò)安全防御服務(wù)，全部節(jié)點(diǎn)均位于BGP網(wǎng)絡(luò)中，避免了跨運(yùn)營(yíng)商的延時(shí)問題，且每個(gè)節(jié)點(diǎn)提供攻擊防護(hù)能力；支持APP端使用SDK接入，每個(gè)端基于設(shè)備唯一標(biāo)識(shí)進(jìn)行Hash獲取防護(hù)節(jié)點(diǎn)IP，使得攻擊者無(wú)法掌握所有防護(hù)節(jié)點(diǎn)，大大增加攻擊成本；使用SDK后會(huì)對(duì)整個(gè)鏈路通信進(jìn)行加密，可以實(shí)現(xiàn)對(duì)正常玩家和異常攻擊進(jìn)行區(qū)分(很難批量模擬正常流量)，防御難度大大降低。

聚安全加固游戲APP。外掛制作通常是通過分析角色信息、怪物結(jié)構(gòu)、背包結(jié)構(gòu)、技能結(jié)構(gòu)等，逆向回溯出游戲明文發(fā)包函數(shù)，根據(jù)明文發(fā)包函數(shù)調(diào)用關(guān)系及報(bào)文信息，分析出打怪、購(gòu)買物品等游戲功能函數(shù)(甚至逆向出明文數(shù)據(jù)包)，從而實(shí)現(xiàn)定點(diǎn)掛機(jī)、自動(dòng)打怪等。而且現(xiàn)在很多數(shù)據(jù)在通信時(shí)都進(jìn)行了加密，因而反編譯APP獲取源代碼結(jié)構(gòu)、破解數(shù)據(jù)包加密算法成為了制作外掛的第1步。聚安全是阿里巴巴針對(duì)移動(dòng)安全的整體技術(shù)解決方案，通過內(nèi)置安全SDK和APP加殼的方式，可以嚴(yán)格保護(hù)開發(fā)者密鑰和用戶數(shù)據(jù)等；對(duì)Java代碼和so文件指令進(jìn)行混淆、保護(hù)Dex文件被破解；可針對(duì)APP調(diào)試行為進(jìn)行實(shí)時(shí)檢測(cè)，杜絕對(duì)APP的破解和逆向分析企圖。

識(shí)別游戲業(yè)務(wù)中的各種業(yè)務(wù)欺詐。通過云盾反欺詐服務(wù)，可以識(shí)別和防御可能存在的垃圾注冊(cè)、暴力破解和撞庫(kù)行為；如果APP運(yùn)行在模擬器環(huán)境中，可被準(zhǔn)確檢測(cè)到；可全面掌握全網(wǎng)的手游APP仿冒應(yīng)用分布情況和安裝設(shè)備數(shù)，進(jìn)行重點(diǎn)打擊和下架處理。

滲透測(cè)試評(píng)估入口安全性?？梢葬槍?duì)游戲通行證驗(yàn)證系統(tǒng)、充值類接口、渠道SDK接口等Web類服務(wù)，通過模擬黑客攻擊的方式，進(jìn)行專業(yè)的滲透測(cè)試，評(píng)估出可能存在的重大安全漏洞。

2)解決方案特點(diǎn)和優(yōu)勢(shì)

海量DDoS攻擊防護(hù)能力。阿里云高防IP服務(wù)提供電信、聯(lián)通和BGP接入，可防御超過450G的大流量DDoS攻擊；同時(shí)高防IP服務(wù)提供了業(yè)界最大規(guī)模的7層應(yīng)用防護(hù)集群，CC攻擊防護(hù)性能達(dá)到1000WQPS以上。

大型游戲全應(yīng)用防護(hù)能力。大型游戲應(yīng)用的架構(gòu)復(fù)雜，對(duì)外直接提供服務(wù)的各類登錄服務(wù)、戰(zhàn)斗服務(wù)、場(chǎng)景服務(wù)等可能就達(dá)數(shù)十甚至上百個(gè)IP；同時(shí)由于Local DNS存在TTL緩存時(shí)間，DNS的流量牽引方式并不適合大型游戲的DDoS防護(hù)。而ESN的SDK接入和BGP節(jié)點(diǎn)特性，非常適合大型游戲應(yīng)用，可以通過配置多個(gè)ESN獲得大型游戲的全應(yīng)用防護(hù)能力。

完美解決手游外掛問題。阿里聚安全創(chuàng)造性地開發(fā)了安全組件SDK+安全加殼的技術(shù)，這種內(nèi)外結(jié)合的方式可以對(duì)手游進(jìn)行有效保護(hù)。目前阿里聚安全移動(dòng)安全整體方案除了應(yīng)用在手淘、支付寶、天貓等阿里自有APP業(yè)務(wù)，還擁有了諸多外部客戶，目前無(wú)一例APP被破解，很好地保護(hù)了企業(yè)和用戶的安全。

全面的防黑和反欺詐能力。游戲架構(gòu)中的Web應(yīng)用和接口不多，但卻往往涉及到錢和資金，是游戲最重要卻又最薄弱環(huán)節(jié)。通過阿里的專家滲透測(cè)試服務(wù)，可以有效評(píng)估這類應(yīng)用的安全性。此外，通過云盾反欺詐服務(wù)，可以有效識(shí)別在用戶注冊(cè)、賬戶登錄、渠道推廣等多個(gè)環(huán)節(jié)的欺詐作弊行為，顯著降低無(wú)效的市場(chǎng)費(fèi)用投入。

杭州電魂網(wǎng)絡(luò)科技股份有限公司成立至今，短短6年間已成為國(guó)內(nèi)最具實(shí)力的網(wǎng)絡(luò)游戲研發(fā)及運(yùn)營(yíng)企業(yè)之一。電魂網(wǎng)絡(luò)使用了阿里云盾的多項(xiàng)安全服務(wù)，對(duì)電魂網(wǎng)絡(luò)旗下多款游戲進(jìn)行了DDoS、CC和黑客入侵等多項(xiàng)防御，有效地保護(hù)了電魂網(wǎng)絡(luò)游戲平臺(tái)的安全，保障了數(shù)百萬(wàn)玩家的輕松、暢快的游戲。

阿里綠網(wǎng)與威脅情報(bào)

1 阿里綠網(wǎng)對(duì)客戶的價(jià)值：可以應(yīng)對(duì)各種信息安全運(yùn)營(yíng)的難點(diǎn)

阿里集團(tuán)安全部擁有沉淀多年的阿里生態(tài)管控和阿里云用戶安全服務(wù)經(jīng)驗(yàn)；通過阿里綠網(wǎng)，將安全管理能力輸出，共建互聯(lián)網(wǎng)內(nèi)容安全生態(tài)圈。

阿里綠網(wǎng)依托于阿里巴巴的全生態(tài)體系，擁有海量的特征樣本及豐富的數(shù)據(jù)模型分析經(jīng)驗(yàn)，基于云計(jì)算平臺(tái)，能對(duì)海量數(shù)據(jù)進(jìn)行快速檢測(cè)。 阿里綠網(wǎng)是智能化檢測(cè)的創(chuàng)新，從被動(dòng)的幫用戶處理違規(guī)信息轉(zhuǎn)變?yōu)橛脩糁鲃?dòng)排查信息，培養(yǎng)了用戶管理主動(dòng)網(wǎng)站內(nèi)容的習(xí)慣。要說清楚的是，“阿里綠網(wǎng)”并不是一個(gè)網(wǎng)站，也不是手機(jī)下載的APP，而是一個(gè)專注內(nèi)容識(shí)別的安全產(chǎn)品，是網(wǎng)絡(luò)色情等違規(guī)信息的“過濾器”，是網(wǎng)站“站長(zhǎng)”、“版主”、管理員們的得力助手。

2 威脅情報(bào)

網(wǎng)絡(luò)空間的安全形勢(shì)日趨嚴(yán)峻，既有國(guó)家對(duì)抗在互聯(lián)網(wǎng)上延續(xù)，也有現(xiàn)實(shí)犯罪的網(wǎng)絡(luò)化遷移。整體而言，網(wǎng)絡(luò)空間的安全由點(diǎn)狀隨機(jī)分布的事件逐步向立體化的威脅過度。傳統(tǒng)的安全體系和思路越來(lái)越難適應(yīng)發(fā)展與安全互相約束的要求。

阿里巴巴作為一個(gè)定位為世界級(jí)的商業(yè)基礎(chǔ)設(shè)施的互聯(lián)網(wǎng)企業(yè)用戶，威脅情報(bào)有非常現(xiàn)實(shí)的業(yè)務(wù)需求；除了針對(duì)大公司擔(dān)憂的APT攻擊，阿里云基礎(chǔ)設(shè)施的保護(hù)、用戶的信息泄露、黑色灰色產(chǎn)業(yè)的各類情報(bào)，都是阿里威脅情報(bào)需要積極獲取并支撐其他安全團(tuán)隊(duì)展開行動(dòng)。這些基于實(shí)際業(yè)務(wù)需求的威脅情報(bào)探索，對(duì)威脅情報(bào)體系的建設(shè)有非常重要的參照價(jià)值。

阿里巴巴從業(yè)務(wù)需求出發(fā)，需要的這些威脅情報(bào)，無(wú)論線索或信源都有很多需要來(lái)自外部，這些都需要與政府和其他安全廠商展開積極的威脅情報(bào)合作。希望能夠逐步磨合出一個(gè)威脅情報(bào)合作和交換的體系，形成多方的共贏。

阿里聚安全開放平臺(tái)

互聯(lián)網(wǎng)蓬勃發(fā)展，催生眾多創(chuàng)新業(yè)務(wù)，互聯(lián)網(wǎng)安全也面臨前所未有的挑戰(zhàn)。阿里聚安全是一個(gè)面向企業(yè)和開發(fā)者提供互聯(lián)網(wǎng)業(yè)務(wù)安全解決方案，全面覆蓋移動(dòng)安全、數(shù)據(jù)風(fēng)控、內(nèi)容安全、實(shí)人認(rèn)證等多個(gè)維度，與全社會(huì)共享阿里巴巴的專業(yè)安全技術(shù)和能力。

1)大數(shù)據(jù)和多維度引擎確保移動(dòng)業(yè)務(wù)安全

基于阿里巴巴多年積累的安全大數(shù)據(jù)和多維度安全風(fēng)險(xiǎn)分析引擎，阿里聚安全為客戶提供風(fēng)險(xiǎn)發(fā)現(xiàn)、安全防護(hù)和持續(xù)監(jiān)控三大模塊的產(chǎn)品及服務(wù)。

阿里聚安全通過安全掃描和安全評(píng)估組件來(lái)提供風(fēng)險(xiǎn)發(fā)現(xiàn)服務(wù)。安全掃描組件采用的木馬檢測(cè)引擎是最年輕的AV-Test冠軍；而安全評(píng)估組件采用靜態(tài)污點(diǎn)分析和動(dòng)態(tài)模糊測(cè)試結(jié)合的技術(shù)，最大程度地覆蓋應(yīng)用中潛在的安全漏洞，可以幫助客戶快速定位漏洞，并對(duì)其進(jìn)行定級(jí)、分析和修復(fù)。

在防護(hù)能力方面，應(yīng)用加固和安全組件使得阿里聚安全具備應(yīng)用級(jí)和代碼級(jí)的雙重保護(hù)能力，形成內(nèi)外結(jié)合的防護(hù)體系，能夠抵御逆向分析、二次打包和動(dòng)態(tài)調(diào)試等攻擊。值得一提的是，該安全組件是業(yè)界首家支持所有主流移動(dòng)平臺(tái)的安全SDK，經(jīng)歷了數(shù)個(gè)億級(jí)應(yīng)用和多次“雙11”活動(dòng)的嚴(yán)酷考驗(yàn)。

針對(duì)上線后的應(yīng)用，持續(xù)監(jiān)控模塊提供了全流程的風(fēng)險(xiǎn)管控服務(wù)，以可視化的方式為企業(yè)實(shí)時(shí)監(jiān)測(cè)各類風(fēng)險(xiǎn)。

2)數(shù)據(jù)風(fēng)控解決方案讓黑灰產(chǎn)遠(yuǎn)離企業(yè)

許多互聯(lián)網(wǎng)業(yè)務(wù)都是黑灰產(chǎn)眼中的“肥肉”。黑灰產(chǎn)的介入不僅侵犯商業(yè)利益，還嚴(yán)重干擾用戶的正常使用，而且極有可能拖垮整個(gè)業(yè)務(wù)平臺(tái)，給企業(yè)造成毀滅性災(zāi)難。阿里聚安全提供了完整數(shù)據(jù)風(fēng)控解決方案，不僅可以實(shí)時(shí)識(shí)別并阻止惡意行為，而且保證正常用戶的行為不被打擾。阿里聚安全業(yè)務(wù)風(fēng)控解決方案為企業(yè)商業(yè)系統(tǒng)的健康發(fā)展提供了高質(zhì)量的保障，在企業(yè)和黑灰產(chǎn)之間構(gòu)筑了一道堅(jiān)不可摧的銅墻鐵壁。

3)內(nèi)容安全“守護(hù)神”凈化網(wǎng)絡(luò)空間

2015年，北京三里屯優(yōu)衣庫(kù)不雅視頻事件、快播公司涉黃事件、百度貼吧事件、斗魚“造人”在線直播事件在社交平臺(tái)上傳播極廣，造成了極為惡劣的社會(huì)影響的同時(shí)，也引發(fā)了企業(yè)對(duì)“內(nèi)容安全”的思考。

阿里巴巴的內(nèi)容安全產(chǎn)品基于多年的管控經(jīng)驗(yàn)建立了完整的風(fēng)控和分析體系，將輿情情報(bào)沉淀為樣本并優(yōu)化算法，提升了信息安全檢測(cè)能力。

阿里巴巴擁有業(yè)界頂尖的安全和算法專家團(tuán)隊(duì)，支持阿里巴巴各業(yè)務(wù)平臺(tái)每日上億的圖片檢測(cè)與分析，可提供完備的內(nèi)容檢測(cè)服務(wù)，如智能鑒黃、違禁圖像識(shí)別、圖文識(shí)別、文本識(shí)別等。

依托于阿里巴巴生態(tài)的環(huán)境，阿里聚安全進(jìn)行了精細(xì)化的場(chǎng)景管理，并將場(chǎng)景化概念應(yīng)用于服務(wù)的各個(gè)環(huán)節(jié)，將每個(gè)場(chǎng)景下的檢測(cè)做到極致。

另外，阿里聚安全還打造了社會(huì)化審核平臺(tái)，建立完善的樣本管理體系。借助互聯(lián)網(wǎng)志愿者的社會(huì)化標(biāo)注力量，為綠網(wǎng)的算法迭代、圖片審核提供了強(qiáng)大的助推力。

阿里聚安全可以有效地凈化網(wǎng)絡(luò)環(huán)境，為企業(yè)的內(nèi)容安全保駕護(hù)航。

4)實(shí)人認(rèn)證——線上線下完全一致

為保障用戶身份真實(shí)有效和持續(xù)一致，并建設(shè)網(wǎng)絡(luò)誠(chéng)信體系，阿里巴巴的網(wǎng)絡(luò)身份認(rèn)證從一開始就不斷升級(jí)。從最初的實(shí)名登記升級(jí)為銀行打款認(rèn)證，再到手持身份證認(rèn)證?，F(xiàn)在，淘寶賣家開店認(rèn)證已全面升級(jí)為實(shí)人認(rèn)證。

目前，阿里聚安全實(shí)人認(rèn)證是全網(wǎng)唯一通過公安部與工信部認(rèn)可的在線手機(jī)發(fā)卡認(rèn)證方案。

同時(shí)，阿里聚安全以生物識(shí)別、無(wú)線安全技術(shù)為支撐，保障實(shí)人認(rèn)證有效性。目前，阿里巴巴人臉識(shí)別技術(shù)已在實(shí)際場(chǎng)景中大規(guī)模應(yīng)用，實(shí)戰(zhàn)中相關(guān)性能指標(biāo)在FPR(false positive rate)0.1%情況下，TPR(true positive rate)達(dá)96%，識(shí)別準(zhǔn)確率遠(yuǎn)遠(yuǎn)超過人體肉眼識(shí)別。

5)“一站式”解決方案助力企業(yè)業(yè)務(wù)

阿里聚安全還為企業(yè)用戶提供了“一站式”方案，既有適合大多數(shù)企業(yè)的通用型解決方案，也有針對(duì)細(xì)分行業(yè)的解決方案。阿里聚安全的通用解決方案完整覆蓋了企業(yè)業(yè)務(wù)開發(fā)的整個(gè)過程。

在設(shè)計(jì)階段，提供安全流程培訓(xùn)服務(wù)；在開發(fā)階段，接入高強(qiáng)度的安全組件；在測(cè)試階段使用自動(dòng)化的漏洞掃描和兼容性測(cè)試；業(yè)務(wù)上線前，再進(jìn)行應(yīng)用加固；上線后，則持續(xù)對(duì)發(fā)布的應(yīng)用進(jìn)行仿冒監(jiān)測(cè)、運(yùn)行環(huán)境監(jiān)測(cè)和攻擊行為監(jiān)測(cè)。在發(fā)現(xiàn)仿冒應(yīng)用和攻擊風(fēng)險(xiǎn)時(shí)，阿里聚安全還提供情報(bào)服務(wù)和應(yīng)急響應(yīng)。

而對(duì)于已經(jīng)上線的業(yè)務(wù)，阿里聚安全也提供漏洞掃描和安全評(píng)估服務(wù)。

除了通用解決方案，阿里聚安全還推出了行業(yè)解決方案，涵蓋電商、醫(yī)療、金融以及手游等領(lǐng)域。

阿里聚安全平臺(tái)體系

阿里聚安全平臺(tái)擁有基于硬件、系統(tǒng)、傳輸、數(shù)據(jù)、應(yīng)用、服務(wù)、用戶、內(nèi)容的8層安全模型如圖3～5所示：

圖3 實(shí)現(xiàn)全鏈路防護(hù)體系：8層安全模型圖

圖4 全面輸出互聯(lián)網(wǎng)業(yè)務(wù)安全能力：大數(shù)據(jù)風(fēng)險(xiǎn)引擎圖

圖5 阿里聚安全平臺(tái)

1)金融類應(yīng)用面臨的安全風(fēng)險(xiǎn)

目前各家金融機(jī)構(gòu)爭(zhēng)相推出各自的應(yīng)用軟件，其中各熱門應(yīng)用均遭到不同程度的入侵攻擊或二次打包等威脅。 金融類應(yīng)用主要面臨的安全風(fēng)險(xiǎn)是：黑客通過破解客戶端邏輯，偽造客戶端請(qǐng)求，篡改用戶交易流程的手段，竊取用戶資金的交易安全風(fēng)險(xiǎn)；通過反調(diào)試、注入、界面劫持、釣魚木馬等手段導(dǎo)致敏感信息泄露的風(fēng)險(xiǎn)；黑客通過對(duì)正版應(yīng)用進(jìn)行二次打包，插入廣告、病毒等惡意代碼后重新發(fā)布，竊取用戶數(shù)據(jù)、威脅賬戶資產(chǎn)，影響用戶權(quán)益的信譽(yù)安全風(fēng)險(xiǎn)及第三方開發(fā)商進(jìn)行金融類應(yīng)用開發(fā)時(shí)，開發(fā)過程中的安全問題無(wú)法很好監(jiān)控的流程安全風(fēng)險(xiǎn)。

針對(duì)金融類應(yīng)用的安全風(fēng)險(xiǎn)，阿里聚安全以“風(fēng)險(xiǎn)發(fā)現(xiàn)—安全增強(qiáng)—規(guī)范開發(fā)全流程“的模式為金融應(yīng)用提供全方位、多層次的安全保護(hù)。

2)風(fēng)險(xiǎn)發(fā)現(xiàn)：漏洞深入排查，仿冒應(yīng)用全網(wǎng)覆蓋

在風(fēng)險(xiǎn)發(fā)現(xiàn)中，阿里聚安全提供漏洞掃描和仿冒監(jiān)測(cè)服務(wù)。漏洞掃描服務(wù)可幫助金融應(yīng)用開發(fā)者迅速發(fā)現(xiàn)應(yīng)用中的漏洞，及時(shí)有效防止用戶信息泄露和資金損失。仿冒監(jiān)測(cè)服務(wù)能夠監(jiān)測(cè)數(shù)百個(gè)渠道、網(wǎng)盤、論壇等全網(wǎng)范圍內(nèi)的仿冒軟件，為正版應(yīng)用開發(fā)者提供仿冒軟件的信息，防止用戶因下載仿冒應(yīng)用而導(dǎo)致的資金損失。

通過風(fēng)險(xiǎn)發(fā)現(xiàn)方案，金融應(yīng)用開發(fā)者可及時(shí)發(fā)現(xiàn)應(yīng)用中存在的安全問題，進(jìn)而采取安全增強(qiáng)措施提高安全等級(jí)，減少損失。

3)安全增強(qiáng)：安全組件、應(yīng)用加固并行合作，共保金融安全

安全組件SDK從代碼層面貫穿編譯的整個(gè)過程，保護(hù)應(yīng)用的業(yè)務(wù)安全。具備安全存儲(chǔ)、安全加密、安全簽名、安全檢測(cè)等功能特點(diǎn)。阿里聚安全提供SDK類型的安全組件供開發(fā)者進(jìn)行接入，通過實(shí)現(xiàn)多層次的安全機(jī)制打造安全沙箱環(huán)境來(lái)防止應(yīng)用被黑客或木馬所攻擊。服務(wù)端提供應(yīng)用安全監(jiān)控服務(wù)，幫助開發(fā)者了解所發(fā)布應(yīng)用的安全狀況與安全趨勢(shì)。

應(yīng)用加固服務(wù)針對(duì)安裝包直接加固，無(wú)需二次開發(fā)。應(yīng)用加固增加了應(yīng)用邏輯的分析成本，使得攻擊者無(wú)法使用手動(dòng)或自動(dòng)化工具快速獲取應(yīng)用邏輯。并且防惡意篡改，防內(nèi)存竊取，防動(dòng)態(tài)跟蹤和注入等風(fēng)險(xiǎn)。

4)流程規(guī)范：ASDL流程安全開發(fā)，避免安全風(fēng)險(xiǎn)

阿里聚安全為金融類應(yīng)用提供完整的安全開發(fā)流程規(guī)范，通過在軟件開發(fā)生命周期的每個(gè)階段執(zhí)行必要的安全控制活動(dòng)或任務(wù)，避免設(shè)計(jì)缺陷、邏輯缺陷和代碼缺陷，保證軟件在開發(fā)生命周期內(nèi)的安全性得到最大的提升，真正做到從應(yīng)用產(chǎn)生的源頭來(lái)避免安全風(fēng)險(xiǎn)。

螞蟻金服集團(tuán)的信息安全

螞蟻金服集團(tuán)首席執(zhí)行官彭蕾說，在從事金融業(yè)務(wù)的過程中，螞蟻金服秉持“穩(wěn)妥創(chuàng)新、擁抱監(jiān)管、服務(wù)實(shí)體、激活金融”的發(fā)展方針，建立了一整套完善的風(fēng)險(xiǎn)和安全管理體系，嚴(yán)格管理各類風(fēng)險(xiǎn)，保障業(yè)務(wù)穩(wěn)定安全運(yùn)行。

螞蟻金融服務(wù)集團(tuán)(以下稱“螞蟻金服”)起步于2004年成立的支付寶。2014年10月，螞蟻金服正式成立。螞蟻金服以“讓信用等于財(cái)富”為愿景，致力于打造開放的生態(tài)系統(tǒng)，通過“互聯(lián)網(wǎng)推進(jìn)器計(jì)劃”助力金融機(jī)構(gòu)和合作伙伴加速邁向“互聯(lián)網(wǎng)+”，為小微企業(yè)和個(gè)人消費(fèi)者提供穩(wěn)健的普惠金融服務(wù)。螞蟻金服旗下有支付寶、螞蟻聚寶、網(wǎng)商銀行芝麻信用、螞蟻金融云等子業(yè)務(wù)板塊。

成立集團(tuán)以來(lái)，螞蟻金服業(yè)績(jī)閃亮：芝麻信用公測(cè)、招財(cái)寶破千億、余額寶規(guī)模超7000億、成立螞蟻達(dá)客、開辦網(wǎng)商銀行等，加上支付寶和螞蟻小貸，已成為一個(gè)橫跨支付、基金、保險(xiǎn)、銀行、征信、互聯(lián)網(wǎng)理財(cái)、股權(quán)眾籌、金融IT系統(tǒng)的互聯(lián)網(wǎng)金融集團(tuán)。螞蟻金服目前擁有超過4.5億互聯(lián)網(wǎng)支付用戶，超過2億理財(cái)投資用戶。各個(gè)子品牌間分工協(xié)作，分層滿足用戶不同層次的金融服務(wù)需求，形成完整的產(chǎn)品矩陣。在全力推進(jìn)業(yè)務(wù)發(fā)展的同時(shí)，螞蟻金服集團(tuán)一直在建立和完善自身的信息安全體系，目前螞蟻金服集團(tuán)已經(jīng)通過國(guó)際信息安全管理體系認(rèn)證，獲頒ISO 27001:2013信息安全管理認(rèn)證證書；該標(biāo)準(zhǔn)被公認(rèn)為全球最權(quán)威、最嚴(yán)格，也是全球最被廣泛接受和應(yīng)用的信息安全領(lǐng)域的體系認(rèn)證標(biāo)準(zhǔn)，通過該認(rèn)證標(biāo)志其信息安全管理已進(jìn)入國(guó)際化標(biāo)準(zhǔn)水平；一方面為企業(yè)選擇螞蟻金服提供信心和放心的保障，更從第三方角度證明了螞蟻金服集團(tuán)的信息安全管理能力；同時(shí)，螞蟻金服在安全能力建設(shè)方面不斷深耕，除了ISO27001信息安全管理體系認(rèn)證之外，還通過了4項(xiàng)安全相關(guān)認(rèn)證：一是支付業(yè)務(wù)認(rèn)證。二是公安部等級(jí)保護(hù)認(rèn)證。2011年12月，支付寶完成了相關(guān)信息系統(tǒng)的定級(jí)，并通過了公安部等保3級(jí)認(rèn)證。三是安全檢測(cè)認(rèn)證。2007年，螞蟻金服首次獲得信息系統(tǒng)安全保障一級(jí)認(rèn)證，并于2010年、2014年均通過復(fù)評(píng)。四是PCI-DSS。支付寶按照國(guó)際標(biāo)準(zhǔn)PCI-DSS 對(duì)用戶信用卡數(shù)據(jù)進(jìn)行保護(hù)，建立信用卡數(shù)據(jù)中心、改造信用卡業(yè)務(wù)系統(tǒng)、建立/健全配套信息安全基礎(chǔ)設(shè)施、信息安全策略、信息安全管理規(guī)范制度等。 自2009年起，支付寶逐年通過了國(guó)際支付卡行業(yè)的PCI-DSS最高級(jí)別(Service Provider Level 1)的認(rèn)證。

此外，螞蟻金服深知信息安全工作中人的重要性，制定了一系列制度流程來(lái)規(guī)范內(nèi)部人員的操作行為，提升信息安全意識(shí)；制定了《數(shù)據(jù)安全管理規(guī)范總則》和《數(shù)據(jù)分級(jí)規(guī)范》等制度，建立了嚴(yán)格的數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)，以風(fēng)險(xiǎn)為本的指導(dǎo)原則，對(duì)所有存量數(shù)據(jù)按風(fēng)險(xiǎn)等級(jí)(機(jī)密、敏感、內(nèi)部、公開)進(jìn)行管理;建立了獨(dú)立的數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)督平臺(tái)及團(tuán)隊(duì)，根據(jù)數(shù)據(jù)安全管理規(guī)范，對(duì)所有數(shù)據(jù)操作行為進(jìn)行監(jiān)督和審計(jì)，把數(shù)據(jù)使用的安全責(zé)任落實(shí)到人；頒布了《螞蟻金服員工信息安全行為規(guī)范》及《螞蟻金服商業(yè)行為準(zhǔn)則》，并要求員工每年必須通過認(rèn)證考試，把對(duì)員工的信息安全意識(shí)教育落到實(shí)處。

螞蟻金服旗下的支付寶，有超過4.5億實(shí)名用戶。其中農(nóng)村用戶超過6000萬(wàn)，為370座城市提供綜合服務(wù)超過4000項(xiàng)。技術(shù)方面，目前，支付寶的峰值處理能力已經(jīng)達(dá)到8.59萬(wàn)筆/s。此外，圍繞線下的消費(fèi)與支付場(chǎng)景，支付寶錢包還推出“未來(lái)醫(yī)院”、“未來(lái)商圈”、“未來(lái)出行”等計(jì)劃，拓展不同應(yīng)用場(chǎng)景。在業(yè)務(wù)發(fā)展過程中，螞蟻金服持續(xù)加大研發(fā)投入，實(shí)現(xiàn)了數(shù)據(jù)存儲(chǔ)和處理核心技術(shù)去IOE，確保技術(shù)底層自主和安全可控；設(shè)立數(shù)據(jù)決策小組等專門機(jī)構(gòu)，建立健全數(shù)據(jù)安全組織保障；完善數(shù)據(jù)安全保護(hù)規(guī)則，持續(xù)提升數(shù)據(jù)和用戶信息保護(hù)水平；與全國(guó)91個(gè)地市級(jí)公安機(jī)關(guān)緊密協(xié)同，以數(shù)據(jù)為線索，打擊黑灰產(chǎn)業(yè)，推動(dòng)線下打擊專案151起，抓獲涉案犯罪嫌疑人452人，顯著改善了安全生態(tài)。

螞蟻金服的自主可控技術(shù)、分布式金融架構(gòu)、異地多活的容災(zāi)體系達(dá)到世界領(lǐng)先水平，嚴(yán)格保證業(yè)務(wù)連續(xù)性，并且可以支撐業(yè)務(wù)的可持續(xù)發(fā)展。2012—2014年連續(xù)3年，支付寶系統(tǒng)的可用率都在99.99%以上，沒有進(jìn)行過一次停機(jī)維護(hù)。機(jī)房建設(shè)時(shí)，按標(biāo)準(zhǔn)進(jìn)行選址，嚴(yán)格出入管理、電力供應(yīng)、消防、溫濕度控制等，避免機(jī)房基礎(chǔ)設(shè)施出現(xiàn)異常導(dǎo)致業(yè)務(wù)故障。同時(shí)，螞蟻金服也在持續(xù)加強(qiáng)業(yè)務(wù)過程中的安全管理。

在實(shí)時(shí)交易監(jiān)控方面，風(fēng)險(xiǎn)管理中心對(duì)所有的交易進(jìn)行7×24h實(shí)時(shí)監(jiān)控，從多個(gè)維度分析交易風(fēng)險(xiǎn)，并對(duì)風(fēng)險(xiǎn)交易進(jìn)行有效處置。風(fēng)險(xiǎn)管理中心開發(fā)并部署了80多套風(fēng)控模型、8000多條風(fēng)控規(guī)則，通過實(shí)時(shí)智能風(fēng)控系統(tǒng)用于可疑交易的識(shí)別和處理。

在安全認(rèn)證方面，螞蟻金服不斷探索互聯(lián)網(wǎng)環(huán)境下的安全認(rèn)證機(jī)制，建設(shè)了傳統(tǒng)模式和互聯(lián)網(wǎng)模式結(jié)合的核身平臺(tái)，旨在用平臺(tái)化的思路，集成傳統(tǒng)的和創(chuàng)新的安全產(chǎn)品，為不同應(yīng)用場(chǎng)景提供可定制化、可運(yùn)營(yíng)的解決方案；并利用平臺(tái)大數(shù)據(jù)的優(yōu)勢(shì)，通過數(shù)據(jù)分析、數(shù)據(jù)建模，從賬戶認(rèn)證提升到自然人的認(rèn)證。

核身平臺(tái)已經(jīng)實(shí)現(xiàn)或接入的產(chǎn)品有：PKI體系產(chǎn)品，如數(shù)字證書，支付盾；一次性校驗(yàn)類產(chǎn)品，如密碼，短信，OTP；生物特征類產(chǎn)品，如指紋，人臉；大數(shù)據(jù)類產(chǎn)品，如KBA(knowledge based authentication)；以及證件類、銀行卡綁定等等。

目前已經(jīng)服務(wù)于支付寶、網(wǎng)商銀行、螞蟻聚寶、手機(jī)淘寶等APP，覆蓋支付、理財(cái)、O2O、信用、賬戶管理和實(shí)名認(rèn)證等業(yè)務(wù)。

其中生物識(shí)別和大數(shù)據(jù)安全產(chǎn)品正在被大規(guī)模的使用，人臉識(shí)別已經(jīng)服務(wù)于1000萬(wàn)以上用戶；在指紋認(rèn)證方面，螞蟻金服從2014年開始進(jìn)行指紋支付的研發(fā)，并聯(lián)合華為、三星、中興、中國(guó)信息通信研究院等單位聯(lián)合組建了互聯(lián)網(wǎng)身份認(rèn)證聯(lián)盟，該聯(lián)盟以標(biāo)準(zhǔn)化的形式推出了生物識(shí)別技術(shù)在互聯(lián)網(wǎng)金融上的解決方案。目前有30多家廠商加入了該聯(lián)盟，這些廠商涉及到芯片廠商如ARM，MTK等；手機(jī)廠商如三星、華為、中興等；以及其他的行業(yè)上下游企業(yè)。該聯(lián)盟大大地提升了行業(yè)的協(xié)同效率，目前已經(jīng)有50多款手機(jī)應(yīng)用了IFAA標(biāo)準(zhǔn)。

結(jié) 語(yǔ)

阿里巴巴集團(tuán)和螞蟻金服集團(tuán)，經(jīng)過多年的積累，從基礎(chǔ)防護(hù)到大數(shù)據(jù)、阿里云、阿里綠網(wǎng)、阿里移動(dòng)安全到威脅情報(bào)，已經(jīng)形成了專業(yè)、嚴(yán)密的生態(tài)系統(tǒng)安全防護(hù)體系。阿里巴巴和螞蟻金服的安全體系目前還是重點(diǎn)為兩大集團(tuán)的經(jīng)營(yíng)和產(chǎn)品及用戶提供服務(wù)與支持，在沒有利益驅(qū)動(dòng)下，阿里巴巴和螞蟻金服的信息安全做得比較深入系統(tǒng)，也為阿里巴巴集團(tuán)和螞蟻金服集團(tuán)這兩大全球前列的互聯(lián)網(wǎng)公司提供了強(qiáng)大的安全保障。

鳴謝：阿里巴巴集團(tuán)安全部總監(jiān)王麗君女士、政府事務(wù)專家李斌先生為本文提供支持。

崔傳楨

《信息安全研究》雜志執(zhí)行主編，主要研究方向?yàn)閲?guó)家戰(zhàn)略、財(cái)政金融管理與創(chuàng)新、網(wǎng)絡(luò)空間安全、戰(zhàn)略與管理創(chuàng)新。cctz@vip.sina.com

Internet +”Power: Analyze the Network Security of Alibaba —The Information Security and Strategic Layout of Alibaba and Ants Gold Dress on the Basis of “Internet +” Background

Cui Chuanzhen