2016年6月24-25日，由51CTO.com主辦的【WOT2016企業安全技術峰會】在北京珠三角JW萬豪酒店召開。自2012年以來，WOT品牌大會秉承專注技術、服務技術人員的理念已經成功舉辦九屆，不僅積累了大量的專家資源，更獲得了廣大IT從業者和技術愛好者的認可和好評，并成為業界重要的技術分享及人脈拓展平臺。

本次【WOT企業安全技術峰會】分為11大技術主題，分別是企業安全管理與運維、工控安全與物聯網安全、大數據安全、移動Web與安全、云安全、CISSP開放創新論壇、金融與電子商務安全、威脅情報與攻擊防護、漏洞挖掘與分析、安全測試與應急處理、技術管理專場。51CTO.com作為本次大會的主辦方，將通過快速報道、現場專訪與后期視頻等多種形式,向廣大用戶全方位展示這場盛宴。

下面是大會主會場上來自阿里巴巴總監陳樹華先生給帶來的主題為互聯網+帶來的安全挑戰與機遇的現場演講實錄。

[[167794]]

阿里巴巴總監 陳樹華

我在阿里巴巴負責整個集團業務安全相關的東西，傳統安全更高一個維度，業務角度看整個集團，淘寶業務，支付寶等一系列的互聯網業務。我們面向用戶的時候，我們面向企業的時候所面臨的一些問題。因為我們在這個過程中。第一是面臨大量的黑產一個攻擊，也面臨著零零散散各種各樣的問題，這個過程當中經過大量的時間，包括整個互聯網變革過程中，推進的過程當中，今天我們發現安全可能到了一個臨界點，需要新的東西和變革的東西加入進去。所以，今天我的分享主題是關于整個互聯網引進過程中，我們對于安全的一些思考。

今天已經有大量業務，不光是傳統企業，還是原有的PC起來的互聯網企業，所有業務都是繼續在向互聯網化被變革，移動互聯網變革，也是互聯網變革。不管怎么講，從我們的醫療、汽車、現在比較熱的網購和支付等，所有這些都是向互聯網化方向去轉變。在這個轉變過程中，對于我們今天的互聯網企業或者傳統企業來講，其實都是面臨著一個非常大一個挑戰。很顯然的一點，我們現有的安全解決方案不足以基礎所面臨的問題，下面我們會細一點講。

隨著整個互聯網化引進過程一個引進，我們可以看到，因為在以前剛剛開始的時候，我們安全問題是來自于PC，那個時候只有PC，還沒有網絡。隨著網絡誕生之后，安全問題就是慢慢變成一個網絡安全。

現在先看一下這個平臺上面出現的問題，這個里面都是會存在。比如說，舉一個簡單的例子，我們去做一次購物。整個基礎設施，都面臨著安全問題。在上面一層還是會面臨刷單業務，我們會到外面吃飯。很多餐飲軟件里注冊的餐館都會有刷單現象。對于我們來講，就是一個安全問題。大量的人在不同的業務里面去做刷信譽。這個東西就是安全問題。比如說，打車，大家怎么理解？特別是在某打車軟件打價格戰的時候，做安全的人都知道，大量的補貼，幾十億往里面補貼過程中，有多少資金是真正的落到司機身上？真正落消費者身上，是很小一部分，那時候的打車軟件是沒有安全防護措施的。

GPS信息偽造。

整個互聯網業務里涉及到大量的資金，以及大量信息。所以互聯網業務發展造成對于底層，有一個巨大沖擊，可能大家挖一個漏洞，沒有有價值的東西。今天任何一個漏洞，帶來的價值超過我們想象。我們也是可以看到，移動端來看，IOS系統一個漏洞。2015年比2014增長1.28倍。安桌增量更恐怖，黑客對于漏洞熱衷程度非常高。

今天應用市場應用97%都是有漏洞的，總漏洞量非常大，有1萬5000多，平均每一個應用上面達到87個漏洞，很多都是高危漏洞。這幾個東西增速可以看到，互聯網業務自己本身一個巨大的價值，可以看到系統漏洞這一塊兒，有一個前所未有的一個主力的要求。

再一個，看一下手機病毒感染情況。我一直做移動互聯網。這之前互聯網業務起來之前，手機感染病毒非常的低，大家對于一些病毒本身是沒有什么興趣。但是，隨著整個互聯網業務高峰發展，出行的量，看一下現在都是翻番的概念。我記得我14年我們就是1千萬量。到今天已經4000的樣本，翻的速度非常快，一年翻幾倍。看一下用戶，從自己掃描數據看，18%手機裝過病毒。還有比較可怕的，95%那個移動熱門應用是仿冒，就是一樣的，隨后又涉及到信息泄露，還有偽造一系列的東西。

再看一下，整個互聯網本身也是有問題。前面講的都是系統，我們看到了，就是端這一塊，還有操作系統本身。但是，對于互聯網業務本身，這個里面自身也是一樣的存在大量的問題。舉一個簡單的例子，我們說的刷單，整個刷單行業占比交易量非常的大。好多數據比較敏感，不好說。我們可以知道，任何都是有刷單需求，不管什么平臺。大廠商允許新設備，是會允許黃牛參與那個搶貨的過程。所以，一方面有一些企業本身有需求。另外，虛假注冊，以前我們可能注冊一個郵箱，大家覺得沒有什么意義。如果手上100萬個郵箱，意義非常大。就可以操作很多東西。這個問題是非常非常多，是超過原有認知一些問題。

在移動互聯網業務的這些問題背后可以看到，概括了一下，后面有一個黑客產業鏈群，是一個灰色產業，是黑白灰都是有。灰色產業鏈里面大概可以分成產業鏈上游，中游，下游。上游更多是做技術相關的工作，我們今天有大量的驗證碼，提供驗證碼平臺不繞過驗證碼；還有一些人，很多人要買漏洞，整個數據就是會產生交易，還有一些病毒軟件，還有一些工具的黑客團隊。中游整個定義就是銜接上下游之間，里面主要是存在大量的團伙。這些團伙一方面是把前面的大碼平臺向下游推進，讓他們用起來。相當于我們企業里面的一個角色。經過中游的串聯以后，在我們產業鏈下游，直接去實施整個做案，包括經常說的詐騙電話。在航空公司里面下一單以后，然后就有人打你電話里面，退票，速度非常快。因為整個產業鏈都是串聯非常的好，這個是灰色產業鏈一個狀況。

整體來看，站在我們正常一個互聯網公司的角度來看，灰色產業，他們整個分工協作，包括技術積累，是非常非常的好。比我們絕大部分互聯網公司做的好，我們今天很多互聯網公司一個安全運營人員都是沒有。另外一個方面，我們開發者是缺乏對于安全基本認知，怎么寫一個安全代碼，大部分人不知道。兩個力量對比是非常不對稱，也是導致了什么呢？我們互聯網業務出現大的安全的問題。

對這些問題做一個總結，回頭來看整個互聯網業務里面存在這么多問題，今天也是有非常多安全公司解決這些問題。我們依然覺得站在阿里巴巴角度講，今天沒有一個好的安全公司來幫我們解決這些問題，我們總結三點，是非常有挑戰性的。第一，互聯網業務整個業務非常長。舉一個簡單例子，拿淘寶舉例子，我們一個淘寶，從用戶下單，要買東西，可能涉及到注冊，下單。這個單留在店鋪那里，最終確認定單，然后發貨，這個時候涉及到快遞流程。快遞那邊又是一個流程，可能我們自己是感受到買東西付錢，最終收貨。但是，定單信息是非常長的，這個是一個難點。今天安全要防控，所有的點都要防控到。

還是自身舉例，整個過程中，我們買一個東西，網上購物這個過程當中可能涉及到店鋪人員，物流人員，還涉及到倉儲人員，店鋪里面涉及到店鋪小二，還有各種各樣的小二，這個小二是不是安全的？這個都是很挑戰。任何一個定單信息，他們要去拿到定單信息要付出很多的代價。所以，涉及人員很多，我們所面臨風險越多。大家經常聽到的快遞小二把大家的東西拍下來。另外，互聯網公司角度來看，控制能力非常的弱。控制能力弱體現在什么地方？整個互聯網里面我們是講分享，還有一個是協作。這個里面是大量是依賴第三方。比如說物流，全部依賴第三方，這個問題不可控。整個系統的質量也是沒有辦法去決定系統質量。可以提供安全支撐，但是，決定不了它最終結果，整個控制力度非常的弱。

還有一個挑戰，互聯網業務整個鏈條非常的長，業務場景復雜。這個里面需要對整個技術面設計的非常廣。第一，平臺類型多，今天雖然所有的業務都是移動互聯網轉型，安桌手機又分上百種，還有其他的很多。后面還會出現更多的。另外一個，這個里面涉及到技術很多。我們對于系統研發人員來講，有IOS研發，客戶端開發，云服務類研發，所有這些東西對于業務來講都是風險。另外，我們整體攻防要求非常高。舉一個簡單的例子，比如說，今天很多都是可以提供加固服務。誰說對支付寶錢包這種超級AP做加固的？沒有一家公司敢這樣說。由于業務體量增長，業務復雜性增長，整個應用本身。整個環節它的復雜性，一定是成倍往上漲，根據沒有看透復雜性。提供不出解決方案。

最簡單的微信，日活已經到7億多，涉及到的設備，從各種各樣的智能設備開始，人們到各種各樣的手機，安全企業是難做到這個能力的。第二，如果這個能力做不到，我們安全能力怎么保證，做完對抗性，其實做不到。

前面談了互聯網安全里面兩個挑戰，基于這個挑戰，我們做了一個思考是什么？因為我們在阿里巴巴有一點好處，今天我們可以看到的互聯網，我們基本上自身都是有對于整個互聯網業務，們今天就覺得不管是手淘，還是直播平臺，都是比較好的層次性劃分。這個劃分整個行業里面沒有劃分過來，我們把它定義成8個層次。從傳統的硬件，系統傳輸，往上就是一些基礎數據，對于任何一個應用，一個服務開展都是有具體的基礎數據。基礎數據上面，承載數據就是應用，可能是瀏覽器，可能是AP，可能是PC端的應用。那個應用上面就是提供了直接的面對面服務。今天所有的互聯網業務有一個特點，服務上就是有帳號，就是有用戶。不管是什么也好，一定可以注冊帳號。完成整個登陸以后，這個就是會產生大量內容，這個是今天互聯網里面，我們大概比較了一下，目前所有業務都是8個層次。基于8個層次，我們自己在時間上我們有一個思考，在8個層次里面我們也是有相應的，我們提出8個層次的一個安全模型。今天針對應用層的，會存在一些立項，破解的問題。我們相應提高我們自己的安全解決能力。這個模型有一個好處是什么？對于安全問題一個切分比較明確，每一層安全問題有一個切割。另外，對于安全企業來講有一個好處，這個里面涉及到的技術，是今天整個安全行業所有的技術都是在這個里面涉及到。第二，我們安全公司沒有能力去提供一個完整的解決方案。這個模型基礎上我們可以根據自己的那個企業的狀況，我們可以分層提供。針對內容，敏感詞的識別或者針對用戶安全阿里巴巴分層提供。

最簡單的，我們提供驗證碼的公司，就是會做人機識別相應的動作。往下就是越來越多，往上公司少一點。大家可以很清楚地看到，我們安全企業可以有一些新的點。但是，包括整個生態鏈基于這個模型做自身的解決方案。我舉幾個例子，我們針對這個層次大概講一下架構。

基于這個模型，我們自己內部針對移動端提供一套解決方案。移動端，我們自己本身提供從檢測到防護到監控這一個完整的鏈路，每一個檢測環節提供木馬掃描等一系列的工作，防護這一塊我們有安全的組件，我們可以跟應用加固這些東西。可能有一些東西不完全跟行業里面的那些可以一一對應，比如說安全組件，比較獨特的一些東西。但是，一定是針對我們當前業務運營問題最有效的一個解決方案，包括互聯網企業做參考。就是說，因為所有這些東西一定是基于大量的實踐。現在已經在是那個10來億用戶。

另外，我們會做一些監控，這個監控就是大數據的東西。在我們自己來看，大數據不大數據，那個東西是最基本的東西，沒有什么好談的。基本上就是基于數據做一些前瞻性的風險識別。跟我們做的方法差不多的。

這個是移動端提供的一個保護。

另外一個，針對整個應用的開發一個流程，我們也是提供保護方法，剛剛講了，就是整個對于應用來講，任何一個第三方都是可以采取那一套，這個是內部一個，應用商運營，這個里面比較多。剛剛開始的階段，這個時候就是做審計，整個業務一個開展架構階段就是會接入進去。我們做完以后，業務本身會進入到開發階段，我們會做相應的安全能力的一個輸入。整個開發了以后就是測試環節，就是一樣的。應用本身就是做自己的測試。我們安全這邊相應會做文本的那個應用漏洞掃描，包括木馬掃描，包括監控。再后面就是上線，然后就是進入到一個商業的監控，上線完以后，整個用戶的情況，應用在用戶端情況。比如說，破解一系列的動作，都是有數據分析做監控。這個是阿里巴巴內部今天在實施的一套的生產流程，一個防護。

前面都是講移動跟端上的一個，就是一個模型的架構的東西。我們再看一下，跟我們互聯網業務相關的一些安全問題的一些架構。互聯網有前面提的，首先看一下業務場景，有抽獎，有秒殺一系列的活動。對應有大量的數據，比如說，注冊時間，登陸時間，還有涉及到的大量的人機識別，還有帳號。這些數據在我們內部，這些活動里面有大量的黑產存在，我們把它行為，包括一些基礎數據進入到大數據分工引擎做統一的識別。統一識別以后我們會出整個結果，這個是比較粗的一個防控那個描述。

這里仔細說一下我們對于互聯網業務風險一個框架。我們從左邊開始看，最左邊就是所有的業務事件，每天處理100億安全事件，一個公司每天都是有100億事件，大概有幾十批安全數據，還有安全數據這個系統里面扭轉。安全事件，通過一步跟同步接口進入到處理平臺以后，我們就會做實時計算等等。在這個里面，在計算的同時，我們的風險模型做識別。我們靠模型跟規則是搞不定，我們是會進入到后期一個分析中心，那邊會做加工，會對數據進行分析。加工不了主要基礎風險，對于風險做進一步處理。有一點說一下，所有數據最終都是到整個底部。這個是自己內部針對上層的，比如說，整個的風險，我們基于這一套系統去做。

前面講的，今天把互聯網業務分8個層次，分別會提供8個層次一個安全模型。這樣子，會帶來比較大的問題是什么？安全能力一個割裂，你8個層次單獨防控，一定解決不了所有的問題。因為很多的問題是會跨越層次的，比如說，最簡單的一個，黃牛刷單，涉及到帳號問題。要刷單，我可以發起那個動作，涉及到活動問題，對于活動規則的問題。活動規則這一塊，另外，我要繞過這個人機策略，如果人機策略繞不過，搶單基本上搶不了。所以，如果我們緊緊基于8個層次提供安全能力，最終導致什么？很多的復雜性問題解決不了，每一個層次數據不流通。最終就是什么？就是會導致安全問題。8個層次基礎上，我們會做一個加強。這個是一個示意圖，我們會從最底層數據到最上面的數據，我們會全部融合起來，我們會做計算。

今天為什么做這個分享？我們今天共同做這個事情。對于阿里巴巴，還是比較大。但是，今天處理所有這些問題的時候，一樣就是非常有挑戰。我們有強大的安全團隊自己做大量的工作。但是， 大家做起來還是非常的吃力。我也是希望我們安全企業可以參與進來一起做這個方面的建設。

總結一下。整個互聯網業務引進過程中，發展到今天，其實我們觀點來看，一定是一個巨大藍海，跟業務安全相關的東西。因為業務安全相關所有問題一定會對所有的企業安全能力有一個工作。這個是算整個業務安全最底層防護，這一層做不好，內網被滲透，內網帳號被泄露，反過來是會對我們產生巨大影響。如果一臺PC滲透，最直接可能就是滲透到我們網絡。這個是最大的一個災難。所以，今天我們業務安全。第一，對于傳統的企業內網安全，一系列的安全工作有一個新要求，要做的更好一點，才可以保證業務安全。業務安全出一個問題，導致那個損失是很大。很多數據不好講。

有一個例子，有一家旅游公司，有一個特點是什么？做活動，一定是一天之內就下線，為什么呢？因為第二天很多黑客都是進來，把紅包都是搶走，這個對于互聯網企業來說，安全已經成為業務一部分，對于業務整個發展也是有非常重要的作用。我希望所有的互聯網企業都推動整個業務安全一個建設工作。我的分享就這么多。謝謝。

以上是51CTO.com記者從【WOT企業安全技術峰會】一線為您帶來的精彩報道。一大波精彩內容報道正在襲來，敬請持續關注！