一年一度的阿里安全峰会创立于 2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新 兴技术与发展趋势等。2016 阿里安全峰会设立12个分论坛,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。
7月13日2016阿里安全峰会上,阿里巴巴首席风险官刘振飞表示,和传统网络安全相比,目前网络安全形势的特点是“无边界、不可控”:一方面,数亿用户随时随地使用互联网产品和服务,根本没有边界;另一方面,设备和人不再可控,恶意注册、虚假交易频频发生;海量网络内容不可控;甚至是产品也不可控,市面上95%的APP被仿冒应用困扰。此外,新时期的安全还要面对着猖獗的黑灰产业链,这些链条为巨额利益回报驱动,给正常的业务经营造成很大损害。刘振飞介绍,基于现状,阿里安全推行九字方针,即“轻管控、重检测、快响应”,首先要保障用户体验和客户体验,让消费者和商家在使用产品的时候体验要好,一定要轻管控;重检测是刚刚说的大数据的能力,要能及时发现恶意行为,快速探测出可疑的人士,还能够第一时间给予处理和打击。
阿里集团首席风险官刘振飞
以下为演讲实录:
刘振飞 :首先欢迎各位领导,各位嘉宾,各位同仁,各位合作伙伴参加2016安全峰会,汇聚安全人的力量,为全世界赋能,这是我们开这次大会的目的。
大会从成立第一天开始,我们设计的时候就希望是一个非常开放的平台,能够让我们安全圈子里各个公司的同行,无论是业务竞争多激烈,大家在一起能够共同分享在这个领域的最新安全趋势。所以,今天来自于BAT、360等各个领域的很多安全公司,和FireEye等众多国内外的安全同仁汇聚一堂,共同探讨如何做好安全工作,为全社会赋能。这两天我们设立了12个分论坛,数百位非常资深的安全专家分享,这里不分门派,也不分门槛,大家充分交流,同时我们也有创新沙龙,让很多中小企业展示他们最新的创新的点子。
“聚力·赋能”,是阿里巴巴一直的理念,我们希望共同推动整个安全行业更加开放,能够更加互通,更加合作。根据统计,去年咱们网民已经超过了6.88亿,与此同时,大量的黑灰产业以及很多的从业人员进入,冒充普通用户恶意欺诈,以前从最单纯的黑客攻击,发展成具有集团化的黑灰产业链。这个产业估计每年的收入应该是有超过一千亿,这对我们整个安全行业是一个非常大的威胁。在座的各位来自于不同的公司,不同的行业,可能有些还是竞争对手,但是面对我们共同的敌人,越来越猖獗的黑灰产业,如果这个生态中黑灰产业得不到遏制,我们所有人都是受害者。因为我们都有一个共同的客户,就是最终的消费者,如果消费者认为我们是不安全的,就没有人愿意消费,没有人愿意使用我们的产品和服务。如果消费者对我们的产业、服务、安全性有怀疑的时候,我们行业就不会健康发展。所以,我们一定要团结起来,把我们的安全经验互相分享,建立一个平台,我们打造这个平台是希望能够有一个常态的机制,不仅是产业界,而且学术界,包括相关的政府监管部门坐在一起,大家共同讨论如何更好的维护我们的生态环境,更好的打击网络犯罪,网络黑灰产业。
从IT时代进入DT时代的安全挑战是什么,传统的安全想用一面墙把坏人挡在外面,但是在互联网、万物互联网的高速发展情况下,传统的静态安全已经不起作用了,因为每年都有亿万的消费者使用我们的产品和服务。设备和人不再可控,去年我们发现了很多的黑灰产从业人员,混在正常消费者当中去恶意注册、虚假交易。我知道有的同行做推广,不能超过24小时,超过24小时业务规则就会被破解,严重影响了业务发展。大家都知道直播现在很热,一旦出现了违禁内容,企业可能要承担法律责任,如何能够实时的识别,也是一个非常大的挑战,对我们所有从业人员来讲,市面上95%的APP曾经被仿冒,直接危害我们的消费者群体。所以今天无边界,不可控,海量用户,这是我们认为在DT时代做安全的一个重要的挑战。
那么,既然不能再用管控思维了,安全怎么做?在阿里,安全是业务的一部分,不可分割的一部分,一定要为业务和客户赋能。安全不能只做管控,安全要尽可能的让公司的业务发展和创新降低一个门槛,同时创造一个好的生态发展环境,另外,安全必须要让消费者、商家感受到,一旦碰到风险的时候,我们第一时间能够探测出来,能够进行有效的保护。安全有众多的挑战,这么猖獗的黑灰产业对我们是非常大的威胁。所以我们要有能力去溯源,能够进行打击。同时,安全要能够和监管部门和国家,和政府的相关部门做好协同,增加互信,然后集成全社会的力量保护整个行业的健康发展。
我们也在思考阿里安全怎么做?现在就是说面对着这种快速变化的开放的环境,我们用这九个字的安全观,来自于我们两个基本认识,第一个认识是,在整个环境不可控的时代,所以阿里很早把分散在各个地方的安全团队,整合成集团的力量,为各个BU、各个垂直业务做出瘦身的防护体系。第二个认识刚刚也提到了,我们知道安全最终是大数据的能力,基于过去在安全上的经验我们建立了大规模的数据模型,现在基于我们的大数据建立了很好的安全防护体系。大家在淘宝上购物的时候,一秒钟之内下个单,背后我们会做几百项安全检查,淘宝上有数十亿的宝贝和商品,在十分钟内做全面的扫描,发现违禁内容和违禁商品清理出去,每天阿里巴巴集团里面有海量的用户访问,现在能够做到分钟级检测出恶意行为,能够快速的监测和响应。
所以基于这两个认识和实践,去年开始,我们提出了 九字方针,叫做轻管控、重检测和快响应。我们是一个企业,我们首先要保障用户体验和客户体验,让消费者和商家在使用产品的时候体验要好,甚至包括我们在公司工作的,传统的网察,网关各种严格的制度,我们认为不符合互联网的发展趋势,所以一定要轻管控。重检测是刚刚说的大数据的能力,要能及时发现恶意行为,快速探测出可疑的人士,还能够第一时间给予处理和打击 ,所以这是我们去年开始在阿里巴巴内部提出的九字方针,这是指导我们未来很长一段时间的工作方针。基于这九个字,我们未来将在三条线上进行努力,第一个是我们的安全能力能够通过产品开放出去,只有阿里一家把安全做好远远不够,刚刚逍遥子也提到了,我们必须要让阿里生态更加健康,我们自己有淘宝、天猫、阿里云,同时也有很多商家,物流和运营商等生态伙伴,都是业务环节中的重要的一环。我们希望把我们的能力,通过阿里聚安全的产品,把我们在移动安全的积累,在数据安全的积累,内容安全的积累集合起来,然后提供给整个同行,我们希望为中国的企业和开发者提供一个非常坚强的,非常便捷的接收方式,保证他们自己的业务。只有我们自己整个生态能力强了,自己会更加安全。所以这是我们的第一个努力方向,通过阿里聚安全开放安全能力。
第二件事情是我们今天正式成立了电子商务生态安全联盟,我们去年成立了ISV安全联盟,经过了一年多的实践,有很多收获。因为业务链条上任何一个环节有一个小漏洞,都可能导致信息泄露。可能有人遇到过,在淘宝上下了单,很快就会接到一个诈骗电话,这使我们非常的痛苦。我们的系统能够快速响应,但只靠我们自家的平台做好是不够的。所以我们必须要让所有商家、ISV服务商和物流伙伴一起动起来,所以我们去年成立了ISV联盟,效果很显著。今年我们决定进一步能力升级,变成整个电子商务的生态,把我们的商家、物流合作伙伴联合在一起,共同努力保护整个电商体系的安全工作。同时,我们也在积极推动电子商务领域的国家和国际安全标准。另外,我们为生态提供一个叫做御城河的数据安全解决方案,现在淘宝上八百多万台订单交易的云主机,都在用这个方案保护,每天能够协助我们的商家和合作伙伴对核心数据进行两亿多次的扫描,及时发现风险,包括来自于企业内部的风险和非法的访问,及时报警,保护企业和消费者商家的财产安全。
第三个是阿里这么多年在电商的安全,在金融支付的安全,云计算安全等等有很多的积累,这些积累其实是一个宝贵的财富,我们会不断系统整理,输出给整个生态,我们也积极把这些想法和国家的相关政府部门、监管部门进行沟通,希望把我们的经验和积累能够变成一些别人都可以使用的东西。我们把我们的能力通过标准,通过生态的合作,变成大家可以参考的模型。这些都是现在我们正在做的,我们希望通过自身的努力,包括和国际的标准化组织的协同努力,与监管部门沟通,加强互信与政府合作共赢,最终让整个生态获益。
最后我想说,我们整个国家处于高速发展的阶段,应该说我们在座所有人运气不错,赶上了中国高速发展的美好时代。但是我们也在和一个最猖狂的产业做斗争,我们面临的挑战非常大。希望我们在座的各位,所有人,所有的安全圈的同仁们,我们产业界、学术界、政府的部门能够共同努力,坚持到底,为最终我们国家的消费者,为国家社会的进步做出应有的贡献,谢谢大家。