助力“互联网+”行动：解读阿里巴巴的网络安全
——基于“互联网+”行动下阿里巴巴集团和蚂蚁金服集团信息安全及战略布局

□ 崔传桢“



助力“互联网+”行动：解读阿里巴巴的网络安全
——基于“互联网+”行动下阿里巴巴集团和蚂蚁金服集团信息安全及战略布局

□ 崔传桢“

习近平总书记在第二届世界互联网大会上指出：中国正处在互联网快速发展的历史进程之中。“十三五”时期，中国将大力实施网络强国战略、国家大数据战略、“互联网+”行动计划。

阿里巴巴集团和蚂蚁金服集团的安全系统在电商和互联网金融中目前是规模最大、战线最长的。其防控体系覆盖了两大集团旗下的电商平台、金融平台、云计算大数据平台以及物流平台等全部业务，领域众多、内容庞大。阿里巴巴和蚂蚁金服集团在数据安全方面也进行了很多尝试，围绕数据生命周期，通过建立体系化的防控手段应对数据安全风险，从组织保障、制度流程、技术手段、人员能力等多个层面实现数据安全保障。

阿里巴巴集团和蚂蚁金服集团在信息安全方面已经走在了前列。为进一步了解阿里巴巴集团和蚂蚁金服集团在信息和网络安全方面的防控体系及战略管理，本刊赴阿里巴巴和蚂蚁金服总部，与阿里巴巴集团首席风险官刘振飞、安全技术副总裁杜跃进以及蚂蚁金服多位安全专家探讨、探究阿里巴巴和蚂蚁金服的信息和网络安全。

数据动态化加剧 ：DT时代信息安全的挑战

在第二届世界互联网大会上，习近平总书记指出：中国正处在互联网快速发展的历史进程之中。“十三五”时期，中国将大力实施网络强国战略、国家大数据战略、“互联网+”行动计划，发展积极向上的网络文化，拓展网络经济空间，促进互联网和经济社会融合发展。我们的目标，就是要让互联网发展成果惠及13亿多中国人民，更好造福各国人民。保障网络安全，促进有序发展。安全和发展是一体之两翼、驱动之双轮。安全是发展的保障，发展是安全的目的。

2015年12月16日，国家主席习近平在考察乌镇互联网大会“互联网之光”博览会期间，首先来到阿里巴巴集团展台，驻足了约10分钟。阿里巴巴集团董事局主席马云向习近平汇报了阿里巴巴发展的现状以及对未来的思考。

图1 马云向习近平主席介绍阿里巴巴集团情况(图片来自天下网商)

马云在现场自任解说员，向习近平介绍了阿里巴巴电商业务的整体情况。依托阿里巴巴平台，千万卖家得以向全球4亿消费者提供无时差服务，真正体现了“消费的力量”。谈到2015年“双11”全球狂欢节的有关情况时，马云说，中国需要“新实体经济”，互联网为中国经济形态插上了翅膀，“双11”当天创下912.17亿元交易新纪录充分展现了中国强大的内需。马云说，阿里云已完全实现技术自主可控，并且提供了全球首个5K云计算服务。在保证技术领先的基础上，阿里云也已具备世界级安全能力，每天防御超过数亿次Web攻击，保证全球海量客户的信息安全。

信息技术上的演进在其本质上是一个对数据依附不断松绑的过程。而当前云计算和大数据技术的不断突破正在最大程度释放数据的流动性和使用价值。数据的流动正在突破系统、组织和地域边界，成为独立的生产要素和经济资源，在智能决策、业务创新乃至社会化协同层面发挥着巨大作用。如果说云计算技术改变了企业IT交付的模式，而随着越来越多的企业意识到数据的价值，大数据正在改变企业业务应用的模式。

从安全角度来讲，数据时代带来的变革，对于企业的信息安全提出了挑战。信息膨胀和数据爆炸以及数据流动速率的加快和效率的提高，使企业内部传统的相对静态集中的数据处理方式被打破，导致企业的安全边界也进一步模糊甚至消失。传统的安全工作通过识别组织的安全边界针对不同的信息资产(安全对象，包括物理、网络、系统和应用等)部署静态的纵深防御的安全控制，防范数据丢失或者内部数据泄露已无法适应数据业务上实时、动态、频繁的数据流转的处理特点。

此外，考虑到大数据技术本身对于用户个人信息保护提出的挑战，已有的隐私保护框架仍只侧重在用户的隐私权保护，也无法全面覆盖数据安全的管控需要。其他方面还包括：企业所面临的外部威胁愈加严峻，外部攻击更加精细化，由以往的窥探性入侵演变为结合多种攻击手段，有针对性的绕过安全控制，窃取敏感数据的攻击行为；传统安全防护方案无法满足数据业务、技术要求，甚至成为瓶颈，如传统加解密的防护措施成为实时在线计算性能的瓶颈；实时的数据流动受到了传统的安全管控机制的限制，如：安全监控、流程审批等存在的局限性；频繁的数据流转和交换导致数据泄露管理难度加大，通过二次组合非敏感的数据可能形成敏感数据，造成敏感数据泄漏；新的安全挑战亟需新的安全解决方案，如通过数据分析所形成更有价值的衍生数据，如何进行敏感度管理；数据加工过程中需要使用大量敏感数据，如何保障数据在加工过程对使用者不可见；分布式的计算节点易被伪冒攻击，如：欺诈、重放攻击、DDoS等；数据混合计算，如何确保数据资源在存储、计算等过程中的安全隔离；数据由于其流动增值的特点，组织之间的数据流动和交换势必成为大势所趋，因此企业数据安全不再是自己一家的问题，需要生态链各方协同管控。

阿里巴巴信息安全的实践和防控体系

1 整体概况

在DT时代，数据安全以及数据隐私的保护已成为整个社会、大数据产业发展的前提和必要条件。阿里巴巴在数据安全方面也进行了很多尝试，围绕数据生命周期，通过建立体系化的防控手段应对数据安全风险，从组织保障、制度流程、技术手段、人员能力等多个层面实现数据安全保障。 具体到企业中不同的环境、不同岗位与部门，均有明确的职责要求以及安全规范和实践。

组织保障方面。以淘宝业务为例，阿里巴巴组建了淘宝数据安全委员会，明确淘宝BU数据安全接口人的工作机制，以数据生命周期为框架，对整个淘宝业务的数据安全进行专项治理。在各BU均具有建制完备的数据安全团队的基础上，阿里巴巴集团的数据安全工作小组成立，在已有BU接口人的工作机制上，完善三级协同管理机制。目前已形成以公司合伙人兼首席风险官直接负责集团数据安全小组，作为阿里巴巴集团数据安全最高决策机构，承担管理策略制定、全局风险把控、全面监督执行等工作。此外还设立了专门的数据安全团队，与每个事业部的安全接口人共同形成了一套完整的、覆盖全公司各部门的专业数据安全管理体系。

图2 杜跃进向中央网信办主任鲁炜介绍阿里巴巴安全工作(图片由阿里巴巴集团提供)

制度设计方面。通过完善规则、落实责任、专业审核、严格审计等手段，使阿里巴巴在数据安全管理方面达到同行业领先水平。阿里巴巴制定了包括“总纲”、“对外披露细则”等40多部数据安全执行规范，和数据相关的各项业务和产品都要经过专业数据安全团队审核，数据安全责任落实到人，对数据使用有严格的审计。

技术手段方面。阿里巴巴通过系统化的安全开发管理、专业化的安全运营、体系化的自主技术产品为依托，在技术层面防控内外部数据窃取破坏的风险。在内部防泄露方面，通过对海量数据进行自动化分级和标识、对网络本身进行级别划分、建立数据操作的专用环境、研发部署各个环节的数据泄露监控产品、建立对产品和人员的数据安全审计平台等方法综合防范内部风险。

人员能力方面。对数据安全岗位的能力需求进行梳理，通过多种多样的形式对岗位人员的能力进行培养和跟踪，确保专门岗位的人员具备相适应的能力水平。

防止外部入侵方面。采取了整套措施。如在集团层面设立反入侵重大专项强化能力、采用国际领先的全生命周期安全管理技术提升整个系统的安全性、组建专门的高水平技术对抗队伍持续进行自身产品漏洞挖掘和入侵测试、通过广泛的社会途径收集产品漏洞和威胁情报、优化整个网络结构减少攻击途径、部署自主研发的系列安全产品、全面启用通信加密防止网络窃听和劫持、建立专业的威胁情报团队进行攻击溯源分析等。

全球率先实现了电商、阿里云全站https化。阿里巴巴集团已经完成了淘宝天猫、阿里云等站点的https改造和HSTS保护，https可保证用户从浏览器到服务端的链路是加密安全的；HSTS (HTTP strict transport security)通俗地说就是“一次https永久https”，防止被中间人对https的跳转劫持(SSL-strip)；在淘宝天猫首页，对旧版浏览器用户给出友好的升级引导和推荐，使用户更容易地解决安全问题，从此安全便捷地体验网上购物的乐趣；阿里巴巴旗下UC浏览器已加入更多安全特性，例如反钓鱼、反劫持、首页保护、默认浏览器保护、搜索引擎保护、浏览器医生智能修复等。

生态安全。在广泛互联的世界里，别人不安全，自己也可能被影响。阿里巴巴成立了针对中国电商生态的“ISV安全联盟”，研究推出相关的安全标准，借助社会化的力量，共同提升ISV(独立软件开发商，为国内主流电商网站和平台上的商家提供软件服务)的安全意识和能力，减少这些环节的用户信息泄露风险；阿里巴巴还在大量专业论坛介绍自己的数据安全经验，帮助业界提升安全水平；阿里巴巴还将自己长期实践形成的经验和积累整理成可以对外提供的产品和服务，以阿里聚安全的品牌对外推出，用自己的安全能力帮助更多的企业。

2 阿里巴巴神盾局

阿里巴巴集团安全部——“神盾局”职责范围很广，在阿里巴巴庞大的交易系统背后，为保障用户的权益做坚实护盾。主要工作包括以下几类：保护知识产权，即打假；保护账户安全，主要防止虚假注册；保护交易安全，主要防止交易欺诈、恶意差评、敲诈勒索和炒信；保护信息安全和禁限售排查；保护隐私防止信息泄露；保护数据安全；大数据风控等等。

杜跃进表示：“阿里安全要做保护用户最关切的安全——包含购物、交易、支付、侵权、金融、防数据泄露、反欺诈、反假货等全交易链条；致力于打造应用层的安全生态环境，面向终端用户也面向行业企业、涵盖终端打通云端，通过多维度大数据构建诚信体系。”

阿里110上线后，可直接受理网购欺诈案件。阿里110一站式举报区别于平日的淘宝客服投诉，消费者在淘宝平台上遇到恶意卖家或被骗取财物，发现账号异常或被盗，遇到信息泄露或钓鱼网站，都可以通过这个平台快速举报并保护账号安全。对于很多用户担心的遗失电子设备后的账号安全问题，或是在公众场合登录过淘宝，也可以通过这个平台同时让所有设备账号下线，取消登录记录。举报受理之后的每一步处理情况用户都可以直接在后台查看，信息更加透明公开；涉及金额较大情节恶劣的案件，由“神盾局”工作人员直接向公安机关举报并立案，缩短了投诉处理流程。

阿里钱盾新功能：可识别真假手机以及翻新机。阿里钱盾是阿里安全推出的免费手机安全软件，除了提供病毒查杀、骚扰拦击、内存清理手机加速、WIFI监测等基础功能之外，重点是向用户提供从淘宝交易到支付宝全流程的保护。

报告显示，移动互联网病毒规模不断增长。2015年度阿里聚安全共查杀病毒逾3亿次，18% 的Android设备感染过病毒。阿里聚安全病毒样本库显示，2015年度新增病毒1005万，月均涨幅12%；数据显示广东用户感染病毒最多，占全国总感染量的14%，其他感染量靠前的还有江苏、浙江等。

通过阿里聚安全的数据分析，发现18个行业的Top10应用，95%都存在仿冒软件，平均每个应用有66个仿冒，且大部分都有恶意扣费行为，建议用户在官方渠道下载正版软件；此外2015年，诈骗事件层出不穷，短信如“积分兑换”，“银行客户端升级”，“车辆违规”，“老公出轨”等，诱导用户安装短信拦截木马进一步行骗。短信拦截木马全年感染200万用户，并已形成社工、木马开发、多渠道传播、洗钱分赃等一条完整的非法产业链。

据阿里聚安全2015互联网安全年报显示，漏洞数量也急剧攀升， Android系统漏洞以10倍的同比增长、iOS系统漏洞同比上涨128%，97%热门应用存在漏洞风险。

在万物互联的时代，至2015年全球连接到互联网上的设备达到49亿台，物联网安全隐患已初现端倪。 年报显示，80%的物联网设备暴露了硬件调试接口极易被黑客利用；而90%以上的固件存在安全隐患，并对物联网产生严重威胁。94%传统Web安全漏洞同样影响物联网云端Web接口，如跨站脚本、文件修改、命令执行及SQL注入等。

阿里聚安全数据风控年报还披露了由“黄牛”、“打码手”、“羊毛党”组成的专业化黑产团伙，通过上下流的复杂链条环环相扣、紧密协作，严重破坏商业活动。黑产从业人员数据量巨大，分布在产业链各个环节，产业规模达数千亿。

3 信息安全防控体系

随着网络与信息技术的普及发展，互联网已深入社会、经济、文化、政治的方方面面，成为与网民生活息息相关、全新的文化生活空间，极大地影响了人们的生活、行为方式及价值观念，也对现有的法律、道德体系形成挑战。网络空间中存在的暴力、色情、欺诈、非法商品，为社会带来严重的负面影响，侵害人们的身心健康。

经过多年发展，阿里巴巴集团业已建立基于大数据和云计算、面向未来的立体信息安全防控体系。

阿里巴巴集团十分重视与社会各界间的合作，构建了由各级网络主管部门、行业协会、第三方企业、社会公众共同参与的安全防控体系。其中，阿里巴巴集团安全部牵头成立了国内首个互联网安全志愿者联盟，9年间累计参与15亿人次，仅2015年举报各类网络违法违规线索260万余条，开展的公益项目连续获得中国青年志愿服务项目银奖。

为提高网络信息安全防控效率，阿里巴巴集团成立了打击网络欺诈、侵权、假货、炒信、账号安全的专门团队，与信息安全防控体系形成共振，联合打击网络违法违规的全链条活动，取得了良好的效果，极大地震慑了网络违法违规分子，维护了安全、和谐的平台环境。

阿里巴巴集团不仅重视商品信息发布后的监测，还非常重视信息发布前的检测防范，形成事前与事后相结合的全面防控手段。如在商家注册、开店、认证环节进行防范，努力将不良分子阻断在平台之外，做到了事前防范。阿里巴巴集团建立了文本过滤、图片识别、风险审核的内容安全监控体系，全面覆盖文本、图片、音频、视频等不同信息类型，能有效识别网络不良信息内容，降低用户违规风险。

4 信息安全防控体系的三大变化

阿里巴巴集团成立16年以来，始终注重网络信息安全。但随着网络技术的发展，网络信息安全形势发生了重大变化，阿里巴巴集团信息安全防控体系也随之进行了多次调整，其中最突出的三大变化为：

1)从被动管控过渡为主动防控

传统的信息安全防范措施是被动的防控体系，其效果受用户行为的制约，治标不治本，运动式、周期性、反复化违规现象明显。为此，阿里巴巴集团信息安全部门变被动管控为主动防控，深入灰黑产业进行摸排，了解灰黑产业链条和“生存”现状，进行精准、精确、精致化打击，开展违法违规的源头治理，极大地提高了信息安全防控效果，减少了二次违规率。另一方面，阿里巴巴集团信息安全部门积极主动开展网络信息安全宣传活动，引导广大网民自觉遵守法律法规，通过对网民进行网络信息素养教育，倡议网民自觉维护网络环境，减少违法违规信息的生产发布。

2)从线上打击演变为线上线下相结合

网络空间是虚拟的，但运用网络空间的主体是现实的，许多网络违法违规行为的根源在现实社会中，仅作线上防控并未从根源上解决问题；加之网络账号注册十分便捷，线上治理对网络违法违规分子的震慑有限。为此，阿里巴巴集团在确保用户信息安全的前提下，通过网络化用户行为分析，结合异常交易记录监控，确定违法犯罪行为，实现案件线索输出，配合执法机关打掉了一批网络犯罪分子。

3)加强对大数据、云计算的应用

随着互联网技术的发展，数据正在以比以往任何时候更快的速度增长，人类社会将全面由IT时代迈向DT时代，数据在各种业务类型中应用越来越多。阿里巴巴集团信息安全防控也更多地借助大数据、云计算、深度学习等技术，全面监测用户行为、交易记录异常状况，实现违法违规行为的自动识别。

阿里云的安全

1 阿里云的架构

阿里云创立于2009年，是中国最大的云计算平台，为全球200多个国家和地区的创新创业企业、政府机构等提供服务。阿里云致力于提供最安全、可靠的计算和数据处理能力，让计算成为普惠科技和公共服务，为万物互联的DT世界提供源源不断的新能源。阿里云在全球各地部署高效节能的绿色数据中心，利用清洁计算支持不同的互联网应用。目前，阿里云在中国(华北、华东、华南、香港)、新加坡、美西等地域设有数据中心，未来还将在美东、欧洲、中东、俄罗斯、日本等地设立新的数据中心。

展望国际，云计算成为近年来发展的持续热点。美国、英国、德国、韩国等世界发达国家无不把云计算发展作为国家战略的一部分，与过去追求规模与速度的发展方向不同，各国开始谋求高效率、高质量的发展战略。各跨国大型企业也在关注云计算发展动态并及时调整公司发展策略，亚马逊在不断改进公有云服务的同时将视线转向混合云领域；IBM为应对云计算对服务领域的巨大变革，在过去一年时间内大力斥资云计算等领域的投资发展；微软大力部署数据中心建设，并将云计算作为数据库产品的重中之重。

作为国内最大的公共云计算服务提供商，阿里云为客户提供稳定、可靠、安全、合规的云计算基础服务，获得了Freebuf 2015互联网年度“安全云”称号。

合规是检验云服务商安全能力的基本方法。阿里云拥有ISO 27001认证和信息安全等级保护测评三级评定，是全球首家获得CSA STAR云安全国际金牌认证的云服务供应商，首批获得工信部数据中心联盟组织的可信云认证等多项权威合规资质认证。

阿里云计算平台设计、架构和实现是安全的，符合国际和中国国家标准。

阿里云分布于全球的10余个数据中心建设均满足GB 50174《电子信息机房设计规范》A类和TIA 942《数据中心机房通信基础设施标准》中T3+标准。阿里云基础设施层面的物理与环境方面，包括物理边界控制、访问、人员管理、供电以及温控等严格遵从国内外数据中心建设标准。与此同时，阿里云采用多地域多可用区架构，多线BGP网络接入，每个云数据中心均部署了强大的DDoS防护措施，确保服务的可用性。

阿里云对生产网络与非生产网络进行了严格的安全隔离和访问控制。使用自动化监控系统对云平台网络设备、服务器、数据库、应用集群以及核心业务进行全面实时监控。阿里云的内部运营采用了严格的身份与访问管理，使用统一的账号管理和身份认证系统管理员工账号生命周期，细粒度的权限管理和访问控制。阿里云在生产网络边界部署了堡垒机，办公网内的运维人员只能通过堡垒机进入生产网进行运维管理。堡垒机的审计也是实时的。

阿里云为客户提供云加密服务，通过在阿里云中使用经国家密码管理局检测认证的硬件密码机，保护云上业务数据的机密性。借助加密服务，客户可以实现对加密密钥的完全控制和进行加解密操作，经过加密的数据，即便是阿里云运维人员也无法读取。

此外，阿里云提供云盾以及三方安全解决方案，防止黑客入侵。与加密服务配合，可以确保云端数据的安全。

阿里云为客户提供经第三方权威测评及认证机构现场审核过的云服务。这些测评和认证可以为客户提供更多有关阿里云制定的安全策略、流程和程序、实施的安全控制措施以及安全运营的信息。

2015年阿里云与淘宝、天猫等构建的“混合云”支撑了“双11”912亿元的交易额，每秒交易峰值达14万笔；10月Sort Benchmark公布2015年排序竞赛最终成绩：阿里云用377s就完成了100TB的数据排序，在含金量最高的2项比赛中，打破全部4项世界纪录；在匈牙利布达佩斯举办的2015世界电信展上，阿里云获得了以“真实技术能力和社会影响力”为评判标准的2015世界电信展卓越企业奖，成为本次展览上唯一获此奖的中国企业。

2 阿里云安全国际认证和云安全服务(CSA STAR)

阿里云已获得全球首张云安全国际认证金牌(Cloud Security Alliance’s Security Trust and Assurance Registry，CSA STAR)，这是英国标准协会(简称 BSI)向全球云服务商颁发的首张金牌，也是中国企业在信息化、云计算领域安全合规方面第1次取得世界领先成绩。云安全国际认证是一项全新而有针对性的国际专业认证项目，旨在应对与云安全相关的特定问题。其以 ISO/IEC 27001认证为基础，结合云端安全控制矩阵(cloud control matrix，CCM)的要求，运用BSI提供的成熟度模型和评估方法，为提供和使用云计算的任何组织，从沟通和利益相关者的参与，策略、计划、流程和系统性方法，技术和能力，所有权、领导力和管理，监督和测量5个维度，综合评估组织云端安全管理和技术能力，最终给出“不合格、铜牌、银牌、金牌”4个级别的独立第三方外审结论。

阿里云已取得ISO/IEC 27001国际认证。ISO 27001是一项被广泛采用的全球安全标准，采用以风险管理为核心的方法来管理公司和客户信息，并通过定期评估风险和控制措施的有效性来保证体系的持续运行。为了获得认证，公司必须表明它有一个系统的和持续的方法来管理信息安全风险，保障公司及客户信息的保密性、完整性和可用性。该认证的取得不但验证了阿里云云端技术框架、内部管理矩阵同国际信息安全最佳实践的符合性，同时也是对阿里云云产品和服务从设计到交付的透明度、云安全服务的自动化运营服务模式的肯定。

3 阿里云安全解决方案：以游戏行业为例

2015年上半年，中国游戏市场实际销售收入达到605.1亿元人民币，同比增长21.9%。行业快速发展的同时，互联网环境的安全形势日益严峻。地下黑色产业链越发成熟，利用攻击手段进行恶意敲诈、行业对手的恶意竞争、游戏虚拟环境中各种价值诱惑、行业链条中的利益欺诈等等，都成为阻碍行业正常发展的安全问题。

对于游戏行业而言，有下列几个典型的安全问题：游戏服务不可用DDoS：利用空连接、假人攻击、流量攻击、CC攻击等多种方式攻击游戏服务器，导致游戏服务的登录、场景、战斗等服务不可用。游戏是典型的对可用性要求非常高的应用，特别是MOBA、MMO和棋牌类游戏，哪怕延时过大都会对游戏玩家造成影响，更不用说服务直接瘫痪，玩家会迅速流失。破坏游戏平衡性——外挂：外挂是游戏中常见的作弊方式，使用者通过外挂能够获得怪物秒杀、自动回血、无限金币等很多超能力，极大地破坏了游戏的整体公平性。网络游戏的魅力在于营造了一个类似现实的虚拟世界，如果虚拟世界中失去了公平，就会引起玩家的失望和愤怒，进而迅速流失。账号安全及流量作弊——欺诈：大量注册小号，获取新号奖励和大量金币，再设法转给大号；利用自动化工具，通过扫库撞库等方式进行盗号；利用模拟器等运行游戏进行流量作弊，获取非正常利润；将游戏APP反编译加入间谍软件、后门木马再重新打包，盗取玩家的验证码、资金和流量等。游戏的生态世界非常复杂，里面有研发、推广、运营、渠道、充值、玩家等等多个角色，多个环节都可能存在为获取超额利益而进行的欺诈行为。

针对以上挑战，阿里云提出了以云计算平台为基础的游戏行业安全解决方案。

1)解决方案架构解读

高防IP防御全局类服务。全局类服务(如登录服务、充值服务等)一旦出现故障就会影响到游戏的全部玩家，因此需尽力保证全局性服务的高可用，建议使用高防IP进行防御。高防IP服务具备超海量攻击清洗能力，曾成功防御全球最大的453G DDoS攻击，同时可将源站隐藏，保证正常的业务请求不会受到影响。

ESN防御大区类服务。ESN(安全网络)是一种全新的多节点网络安全防御服务，全部节点均位于BGP网络中，避免了跨运营商的延时问题，且每个节点提供攻击防护能力；支持APP端使用SDK接入，每个端基于设备唯一标识进行Hash获取防护节点IP，使得攻击者无法掌握所有防护节点，大大增加攻击成本；使用SDK后会对整个链路通信进行加密，可以实现对正常玩家和异常攻击进行区分(很难批量模拟正常流量)，防御难度大大降低。

聚安全加固游戏APP。外挂制作通常是通过分析角色信息、怪物结构、背包结构、技能结构等，逆向回溯出游戏明文发包函数，根据明文发包函数调用关系及报文信息，分析出打怪、购买物品等游戏功能函数(甚至逆向出明文数据包)，从而实现定点挂机、自动打怪等。而且现在很多数据在通信时都进行了加密，因而反编译APP获取源代码结构、破解数据包加密算法成为了制作外挂的第1步。聚安全是阿里巴巴针对移动安全的整体技术解决方案，通过内置安全SDK和APP加壳的方式，可以严格保护开发者密钥和用户数据等；对Java代码和so文件指令进行混淆、保护Dex文件被破解；可针对APP调试行为进行实时检测，杜绝对APP的破解和逆向分析企图。

识别游戏业务中的各种业务欺诈。通过云盾反欺诈服务，可以识别和防御可能存在的垃圾注册、暴力破解和撞库行为；如果APP运行在模拟器环境中，可被准确检测到；可全面掌握全网的手游APP仿冒应用分布情况和安装设备数，进行重点打击和下架处理。

渗透测试评估入口安全性。可以针对游戏通行证验证系统、充值类接口、渠道SDK接口等Web类服务，通过模拟黑客攻击的方式，进行专业的渗透测试，评估出可能存在的重大安全漏洞。

2)解决方案特点和优势

海量DDoS攻击防护能力。阿里云高防IP服务提供电信、联通和BGP接入，可防御超过450G的大流量DDoS攻击；同时高防IP服务提供了业界最大规模的7层应用防护集群，CC攻击防护性能达到1000WQPS以上。

大型游戏全应用防护能力。大型游戏应用的架构复杂，对外直接提供服务的各类登录服务、战斗服务、场景服务等可能就达数十甚至上百个IP；同时由于Local DNS存在TTL缓存时间，DNS的流量牵引方式并不适合大型游戏的DDoS防护。而ESN的SDK接入和BGP节点特性，非常适合大型游戏应用，可以通过配置多个ESN获得大型游戏的全应用防护能力。

完美解决手游外挂问题。阿里聚安全创造性地开发了安全组件SDK+安全加壳的技术，这种内外结合的方式可以对手游进行有效保护。目前阿里聚安全移动安全整体方案除了应用在手淘、支付宝、天猫等阿里自有APP业务，还拥有了诸多外部客户，目前无一例APP被破解，很好地保护了企业和用户的安全。

全面的防黑和反欺诈能力。游戏架构中的Web应用和接口不多，但却往往涉及到钱和资金，是游戏最重要却又最薄弱环节。通过阿里的专家渗透测试服务，可以有效评估这类应用的安全性。此外，通过云盾反欺诈服务，可以有效识别在用户注册、账户登录、渠道推广等多个环节的欺诈作弊行为，显著降低无效的市场费用投入。

杭州电魂网络科技股份有限公司成立至今，短短6年间已成为国内最具实力的网络游戏研发及运营企业之一。电魂网络使用了阿里云盾的多项安全服务，对电魂网络旗下多款游戏进行了DDoS、CC和黑客入侵等多项防御，有效地保护了电魂网络游戏平台的安全，保障了数百万玩家的轻松、畅快的游戏。

阿里绿网与威胁情报

1 阿里绿网对客户的价值：可以应对各种信息安全运营的难点

阿里集团安全部拥有沉淀多年的阿里生态管控和阿里云用户安全服务经验；通过阿里绿网，将安全管理能力输出，共建互联网内容安全生态圈。

阿里绿网依托于阿里巴巴的全生态体系，拥有海量的特征样本及丰富的数据模型分析经验，基于云计算平台，能对海量数据进行快速检测。 阿里绿网是智能化检测的创新，从被动的帮用户处理违规信息转变为用户主动排查信息，培养了用户管理主动网站内容的习惯。要说清楚的是，“阿里绿网”并不是一个网站，也不是手机下载的APP，而是一个专注内容识别的安全产品，是网络色情等违规信息的“过滤器”，是网站“站长”、“版主”、管理员们的得力助手。

2 威胁情报

网络空间的安全形势日趋严峻，既有国家对抗在互联网上延续，也有现实犯罪的网络化迁移。整体而言，网络空间的安全由点状随机分布的事件逐步向立体化的威胁过度。传统的安全体系和思路越来越难适应发展与安全互相约束的要求。

阿里巴巴作为一个定位为世界级的商业基础设施的互联网企业用户，威胁情报有非常现实的业务需求；除了针对大公司担忧的APT攻击，阿里云基础设施的保护、用户的信息泄露、黑色灰色产业的各类情报，都是阿里威胁情报需要积极获取并支撑其他安全团队展开行动。这些基于实际业务需求的威胁情报探索，对威胁情报体系的建设有非常重要的参照价值。

阿里巴巴从业务需求出发，需要的这些威胁情报，无论线索或信源都有很多需要来自外部，这些都需要与政府和其他安全厂商展开积极的威胁情报合作。希望能够逐步磨合出一个威胁情报合作和交换的体系，形成多方的共赢。

阿里聚安全开放平台

互联网蓬勃发展，催生众多创新业务，互联网安全也面临前所未有的挑战。阿里聚安全是一个面向企业和开发者提供互联网业务安全解决方案，全面覆盖移动安全、数据风控、内容安全、实人认证等多个维度，与全社会共享阿里巴巴的专业安全技术和能力。

1)大数据和多维度引擎确保移动业务安全

基于阿里巴巴多年积累的安全大数据和多维度安全风险分析引擎，阿里聚安全为客户提供风险发现、安全防护和持续监控三大模块的产品及服务。

阿里聚安全通过安全扫描和安全评估组件来提供风险发现服务。安全扫描组件采用的木马检测引擎是最年轻的AV-Test冠军；而安全评估组件采用静态污点分析和动态模糊测试结合的技术，最大程度地覆盖应用中潜在的安全漏洞，可以帮助客户快速定位漏洞，并对其进行定级、分析和修复。

在防护能力方面，应用加固和安全组件使得阿里聚安全具备应用级和代码级的双重保护能力，形成内外结合的防护体系，能够抵御逆向分析、二次打包和动态调试等攻击。值得一提的是，该安全组件是业界首家支持所有主流移动平台的安全SDK，经历了数个亿级应用和多次“双11”活动的严酷考验。

针对上线后的应用，持续监控模块提供了全流程的风险管控服务，以可视化的方式为企业实时监测各类风险。

2)数据风控解决方案让黑灰产远离企业

许多互联网业务都是黑灰产眼中的“肥肉”。黑灰产的介入不仅侵犯商业利益，还严重干扰用户的正常使用，而且极有可能拖垮整个业务平台，给企业造成毁灭性灾难。阿里聚安全提供了完整数据风控解决方案，不仅可以实时识别并阻止恶意行为，而且保证正常用户的行为不被打扰。阿里聚安全业务风控解决方案为企业商业系统的健康发展提供了高质量的保障，在企业和黑灰产之间构筑了一道坚不可摧的铜墙铁壁。

3)内容安全“守护神”净化网络空间

2015年，北京三里屯优衣库不雅视频事件、快播公司涉黄事件、百度贴吧事件、斗鱼“造人”在线直播事件在社交平台上传播极广，造成了极为恶劣的社会影响的同时，也引发了企业对“内容安全”的思考。

阿里巴巴的内容安全产品基于多年的管控经验建立了完整的风控和分析体系，将舆情情报沉淀为样本并优化算法，提升了信息安全检测能力。

阿里巴巴拥有业界顶尖的安全和算法专家团队，支持阿里巴巴各业务平台每日上亿的图片检测与分析，可提供完备的内容检测服务，如智能鉴黄、违禁图像识别、图文识别、文本识别等。

依托于阿里巴巴生态的环境，阿里聚安全进行了精细化的场景管理，并将场景化概念应用于服务的各个环节，将每个场景下的检测做到极致。

另外，阿里聚安全还打造了社会化审核平台，建立完善的样本管理体系。借助互联网志愿者的社会化标注力量，为绿网的算法迭代、图片审核提供了强大的助推力。

阿里聚安全可以有效地净化网络环境，为企业的内容安全保驾护航。

4)实人认证——线上线下完全一致

为保障用户身份真实有效和持续一致，并建设网络诚信体系，阿里巴巴的网络身份认证从一开始就不断升级。从最初的实名登记升级为银行打款认证，再到手持身份证认证。现在，淘宝卖家开店认证已全面升级为实人认证。

目前，阿里聚安全实人认证是全网唯一通过公安部与工信部认可的在线手机发卡认证方案。

同时，阿里聚安全以生物识别、无线安全技术为支撑，保障实人认证有效性。目前，阿里巴巴人脸识别技术已在实际场景中大规模应用，实战中相关性能指标在FPR(false positive rate)0.1%情况下，TPR(true positive rate)达96%，识别准确率远远超过人体肉眼识别。

5)“一站式”解决方案助力企业业务

阿里聚安全还为企业用户提供了“一站式”方案，既有适合大多数企业的通用型解决方案，也有针对细分行业的解决方案。阿里聚安全的通用解决方案完整覆盖了企业业务开发的整个过程。

在设计阶段，提供安全流程培训服务；在开发阶段，接入高强度的安全组件；在测试阶段使用自动化的漏洞扫描和兼容性测试；业务上线前，再进行应用加固；上线后，则持续对发布的应用进行仿冒监测、运行环境监测和攻击行为监测。在发现仿冒应用和攻击风险时，阿里聚安全还提供情报服务和应急响应。

而对于已经上线的业务，阿里聚安全也提供漏洞扫描和安全评估服务。

除了通用解决方案，阿里聚安全还推出了行业解决方案，涵盖电商、医疗、金融以及手游等领域。

阿里聚安全平台体系

阿里聚安全平台拥有基于硬件、系统、传输、数据、应用、服务、用户、内容的8层安全模型如图3～5所示：

图3 实现全链路防护体系：8层安全模型图

图4 全面输出互联网业务安全能力：大数据风险引擎图

图5 阿里聚安全平台

1)金融类应用面临的安全风险

目前各家金融机构争相推出各自的应用软件，其中各热门应用均遭到不同程度的入侵攻击或二次打包等威胁。 金融类应用主要面临的安全风险是：黑客通过破解客户端逻辑，伪造客户端请求，篡改用户交易流程的手段，窃取用户资金的交易安全风险；通过反调试、注入、界面劫持、钓鱼木马等手段导致敏感信息泄露的风险；黑客通过对正版应用进行二次打包，插入广告、病毒等恶意代码后重新发布，窃取用户数据、威胁账户资产，影响用户权益的信誉安全风险及第三方开发商进行金融类应用开发时，开发过程中的安全问题无法很好监控的流程安全风险。

针对金融类应用的安全风险，阿里聚安全以“风险发现—安全增强—规范开发全流程“的模式为金融应用提供全方位、多层次的安全保护。

2)风险发现：漏洞深入排查，仿冒应用全网覆盖

在风险发现中，阿里聚安全提供漏洞扫描和仿冒监测服务。漏洞扫描服务可帮助金融应用开发者迅速发现应用中的漏洞，及时有效防止用户信息泄露和资金损失。仿冒监测服务能够监测数百个渠道、网盘、论坛等全网范围内的仿冒软件，为正版应用开发者提供仿冒软件的信息，防止用户因下载仿冒应用而导致的资金损失。

通过风险发现方案，金融应用开发者可及时发现应用中存在的安全问题，进而采取安全增强措施提高安全等级，减少损失。

3)安全增强：安全组件、应用加固并行合作，共保金融安全

安全组件SDK从代码层面贯穿编译的整个过程，保护应用的业务安全。具备安全存储、安全加密、安全签名、安全检测等功能特点。阿里聚安全提供SDK类型的安全组件供开发者进行接入，通过实现多层次的安全机制打造安全沙箱环境来防止应用被黑客或木马所攻击。服务端提供应用安全监控服务，帮助开发者了解所发布应用的安全状况与安全趋势。

应用加固服务针对安装包直接加固，无需二次开发。应用加固增加了应用逻辑的分析成本，使得攻击者无法使用手动或自动化工具快速获取应用逻辑。并且防恶意篡改，防内存窃取，防动态跟踪和注入等风险。

4)流程规范：ASDL流程安全开发，避免安全风险

阿里聚安全为金融类应用提供完整的安全开发流程规范，通过在软件开发生命周期的每个阶段执行必要的安全控制活动或任务，避免设计缺陷、逻辑缺陷和代码缺陷，保证软件在开发生命周期内的安全性得到最大的提升，真正做到从应用产生的源头来避免安全风险。

蚂蚁金服集团的信息安全

蚂蚁金服集团首席执行官彭蕾说，在从事金融业务的过程中，蚂蚁金服秉持“稳妥创新、拥抱监管、服务实体、激活金融”的发展方针，建立了一整套完善的风险和安全管理体系，严格管理各类风险，保障业务稳定安全运行。

蚂蚁金融服务集团(以下称“蚂蚁金服”)起步于2004年成立的支付宝。2014年10月，蚂蚁金服正式成立。蚂蚁金服以“让信用等于财富”为愿景，致力于打造开放的生态系统，通过“互联网推进器计划”助力金融机构和合作伙伴加速迈向“互联网+”，为小微企业和个人消费者提供稳健的普惠金融服务。蚂蚁金服旗下有支付宝、蚂蚁聚宝、网商银行芝麻信用、蚂蚁金融云等子业务板块。

成立集团以来，蚂蚁金服业绩闪亮：芝麻信用公测、招财宝破千亿、余额宝规模超7000亿、成立蚂蚁达客、开办网商银行等，加上支付宝和蚂蚁小贷，已成为一个横跨支付、基金、保险、银行、征信、互联网理财、股权众筹、金融IT系统的互联网金融集团。蚂蚁金服目前拥有超过4.5亿互联网支付用户，超过2亿理财投资用户。各个子品牌间分工协作，分层满足用户不同层次的金融服务需求，形成完整的产品矩阵。在全力推进业务发展的同时，蚂蚁金服集团一直在建立和完善自身的信息安全体系，目前蚂蚁金服集团已经通过国际信息安全管理体系认证，获颁ISO 27001:2013信息安全管理认证证书；该标准被公认为全球最权威、最严格，也是全球最被广泛接受和应用的信息安全领域的体系认证标准，通过该认证标志其信息安全管理已进入国际化标准水平；一方面为企业选择蚂蚁金服提供信心和放心的保障，更从第三方角度证明了蚂蚁金服集团的信息安全管理能力；同时，蚂蚁金服在安全能力建设方面不断深耕，除了ISO27001信息安全管理体系认证之外，还通过了4项安全相关认证：一是支付业务认证。二是公安部等级保护认证。2011年12月，支付宝完成了相关信息系统的定级，并通过了公安部等保3级认证。三是安全检测认证。2007年，蚂蚁金服首次获得信息系统安全保障一级认证，并于2010年、2014年均通过复评。四是PCI-DSS。支付宝按照国际标准PCI-DSS 对用户信用卡数据进行保护，建立信用卡数据中心、改造信用卡业务系统、建立/健全配套信息安全基础设施、信息安全策略、信息安全管理规范制度等。 自2009年起，支付宝逐年通过了国际支付卡行业的PCI-DSS最高级别(Service Provider Level 1)的认证。

此外，蚂蚁金服深知信息安全工作中人的重要性，制定了一系列制度流程来规范内部人员的操作行为，提升信息安全意识；制定了《数据安全管理规范总则》和《数据分级规范》等制度，建立了严格的数据分级标准，以风险为本的指导原则，对所有存量数据按风险等级(机密、敏感、内部、公开)进行管理;建立了独立的数据安全风险监督平台及团队，根据数据安全管理规范，对所有数据操作行为进行监督和审计，把数据使用的安全责任落实到人；颁布了《蚂蚁金服员工信息安全行为规范》及《蚂蚁金服商业行为准则》，并要求员工每年必须通过认证考试，把对员工的信息安全意识教育落到实处。

蚂蚁金服旗下的支付宝，有超过4.5亿实名用户。其中农村用户超过6000万，为370座城市提供综合服务超过4000项。技术方面，目前，支付宝的峰值处理能力已经达到8.59万笔/s。此外，围绕线下的消费与支付场景，支付宝钱包还推出“未来医院”、“未来商圈”、“未来出行”等计划，拓展不同应用场景。在业务发展过程中，蚂蚁金服持续加大研发投入，实现了数据存储和处理核心技术去IOE，确保技术底层自主和安全可控；设立数据决策小组等专门机构，建立健全数据安全组织保障；完善数据安全保护规则，持续提升数据和用户信息保护水平；与全国91个地市级公安机关紧密协同，以数据为线索，打击黑灰产业，推动线下打击专案151起，抓获涉案犯罪嫌疑人452人，显著改善了安全生态。

蚂蚁金服的自主可控技术、分布式金融架构、异地多活的容灾体系达到世界领先水平，严格保证业务连续性，并且可以支撑业务的可持续发展。2012—2014年连续3年，支付宝系统的可用率都在99.99%以上，没有进行过一次停机维护。机房建设时，按标准进行选址，严格出入管理、电力供应、消防、温湿度控制等，避免机房基础设施出现异常导致业务故障。同时，蚂蚁金服也在持续加强业务过程中的安全管理。

在实时交易监控方面，风险管理中心对所有的交易进行7×24h实时监控，从多个维度分析交易风险，并对风险交易进行有效处置。风险管理中心开发并部署了80多套风控模型、8000多条风控规则，通过实时智能风控系统用于可疑交易的识别和处理。

在安全认证方面，蚂蚁金服不断探索互联网环境下的安全认证机制，建设了传统模式和互联网模式结合的核身平台，旨在用平台化的思路，集成传统的和创新的安全产品，为不同应用场景提供可定制化、可运营的解决方案；并利用平台大数据的优势，通过数据分析、数据建模，从账户认证提升到自然人的认证。

核身平台已经实现或接入的产品有：PKI体系产品，如数字证书，支付盾；一次性校验类产品，如密码，短信，OTP；生物特征类产品，如指纹，人脸；大数据类产品，如KBA(knowledge based authentication)；以及证件类、银行卡绑定等等。

目前已经服务于支付宝、网商银行、蚂蚁聚宝、手机淘宝等APP，覆盖支付、理财、O2O、信用、账户管理和实名认证等业务。

其中生物识别和大数据安全产品正在被大规模的使用，人脸识别已经服务于1000万以上用户；在指纹认证方面，蚂蚁金服从2014年开始进行指纹支付的研发，并联合华为、三星、中兴、中国信息通信研究院等单位联合组建了互联网身份认证联盟，该联盟以标准化的形式推出了生物识别技术在互联网金融上的解决方案。目前有30多家厂商加入了该联盟，这些厂商涉及到芯片厂商如ARM，MTK等；手机厂商如三星、华为、中兴等；以及其他的行业上下游企业。该联盟大大地提升了行业的协同效率，目前已经有50多款手机应用了IFAA标准。

结 语

阿里巴巴集团和蚂蚁金服集团，经过多年的积累，从基础防护到大数据、阿里云、阿里绿网、阿里移动安全到威胁情报，已经形成了专业、严密的生态系统安全防护体系。阿里巴巴和蚂蚁金服的安全体系目前还是重点为两大集团的经营和产品及用户提供服务与支持，在没有利益驱动下，阿里巴巴和蚂蚁金服的信息安全做得比较深入系统，也为阿里巴巴集团和蚂蚁金服集团这两大全球前列的互联网公司提供了强大的安全保障。

鸣谢：阿里巴巴集团安全部总监王丽君女士、政府事务专家李斌先生为本文提供支持。

崔传桢

《信息安全研究》杂志执行主编，主要研究方向为国家战略、财政金融管理与创新、网络空间安全、战略与管理创新。cctz@vip.sina.com

Internet +”Power: Analyze the Network Security of Alibaba —The Information Security and Strategic Layout of Alibaba and Ants Gold Dress on the Basis of “Internet +” Background

Cui Chuanzhen