打造多级安全防控体系

本报记者 滑明飞 杭州报道

近日，阿里小微金融服务集团(下称小微金服)召开“天下无贼”电商技术安全峰会。不同以往常规的嘉宾，此次活动上出现了一群“黑客”，其中包括全球首个完成ios7.1.1越狱的盘古团队和20秒攻破Windows8.1的Keenteam主攻手陈良。

小微金服CRO胡晓明表示，支付安全生态圈并不仅仅是大公司的舞台，“白帽黑客”是散落在“江湖”里的技术大牛，未来，他们也都将在生态圈内贡献自己的安全技术和产品，并与支付宝一起，将这种安全能力输出给生态圈内的上百万家机构。

据21世纪经济报道记者了解，小微金服作为阿里互联网金融的主体，面对频发的网络安全问题，开始启动新一轮互联网安全防控战略。方式则延续阿里一直坚持的开放策略，包括传统安全厂商、硬件厂商以及上述参与此次峰会的“黑客”都将进入这个安全生态。

不同于其它互联网公司，阿里以电商交易为核心构建起的互联网金融模式，其数据更加敏感，因此对网络安全的要求更高。基于电商交易行为的长链条特性，小微金服安全产品技术产品总监曹恺接受21世纪经济报道记者独家专访时表示，传统的安全解决方式更多的是在某几个节点的防控，比如只在账户密码环节布防，一旦被突破后，系统对攻击者就束手无策。而阿里在安全问题上，则采用实时防控模式，层层“设卡”。

随着移动互联网和互联网金融的崛起，网络安全问题呈现出新的特点，比如碎片化交易方式与频次，业务多终端的接入以及业务与支付的多样化，都造成网络安全生态复杂化。

作为拥有国内最大第三方支付工具支付宝的阿里小微金服如何构建网络安全体系？又如何与“白帽黑客”协作共同搭建网络安全生态？

多级防控体系

今年3月份，携程的用户信用卡信息泄密事件一度引发关注；半个月后，互联网OpenSSL出现“Heartbleed”安全 洞，国内多家网站也遭遇攻击。互联网用户信息安全问题再次成为关注的热点。

曹恺表示，用户信息泄密的方式一般可以分为传统的信息丢失(比如通过诈骗直接获取)、网络交易过程中被不法分子劫持和互联网公司服务器受到黑客攻击。

传统的信息泄露，一般是用户不慎将账户密码等信息透露给他人，或不法分子通过非法手段获取信息，比如银行卡，如果无法及时通知银行，不法分子将轻易完成取款。但在互联网中，阿里安全防控采用多级多点监测，即使不法分子突破第一关，获得用户的账号密码，依然面临后续的防控环节。

曹恺表示，网络安全是针对不法分子的攻击路径和方法进行布防。小微金服首先从研发环节开始，对各个套件进行 洞修复；而上线后进行再次审计和优化；第三步，对交易链条中的各个环节点进行实时监控；然后是在运营维护方面进行网络分割，防止存储过于集中；最后则是风险识别。

值得注意的是，小微金服内部有一支蓝军团队，主要任务就是模拟攻防，查找 洞进而修复。据了解，在小微金服集团，安全产品是人数最多的部门。

据了解，用户从进入支付宝页面就进入实时监控范围。曹恺介绍说，第一关是电脑运行环境的监测，即前端拦截，也是目前互联网安全通行的做法。小微金服安全布防的独特之处在于后续环节，当用户进行账号密码输入时，小微金服通过大数据分析，可以判断出操作者是否是本人。

曹恺表示，比如生物识别和行为习惯技术的运用。每个用户在通过键盘输入账号密码时均有独特的行为特征，一套包含18个字节的账号和密码，用户击打键盘，松开后共产生35个节奏，而每个人的节奏是不同的。他举例说，不法分子的破解一般是通过半自动化的方式，这样的输入方式肯定与人工输入不同，很容易发现。之后，在正确输入账号密码后，小微金服后台系统依然跟踪监测。对于每一次操作，数据模型会将其分解成多个维度，比如谁在操作，在什么样的环境下操作等等，利用大数据分析匹配，可以判断出是否存在风险。

一旦发现潜在风险，小微金服将通过发送交易码、账户冻结和人工核实的措施禁止该账户进行操作。

用户信息泄露的另一大方式是互联网公司出现“内鬼”。据曹恺称，小微金服有一套严格的调用数据机制。首先存储的数据均通过加密，并且在物理空间和网络上进行分割。如果有工作人员需要调用数据，要通过严格的审核流程，并且根据阿里内部的级别划分，不同级别的员工获取数据的权限也不同。并且数据运行必须在制定终端上进行。

他表示，阿里巴巴(滚动资讯)集团和小微金服集团各业务部门的数据都是独立存储的，根据调取的数据重要性，审核的部门也不同，最高决策机构为数据安全委员会。

白帽黑客加盟生态

阿里的网络安全防控正在升级，参加“天下无贼”峰会的白帽黑客们将成为阿里小微金服网络安全生态中的一员。

据了解，此次几乎汇聚了所有国内顶级的白帽黑客，有全球首个实现ios7.1.1完美越狱的团队盘古团队，有20秒攻破Windows8.1的Keenteam主攻手陈良，还有第一个提出CSRF Worm概念的黑哥等。

在大部分人的概念中，黑客就是一群专门利用计算机病毒攻击网站系统的“坏人”，但实际上，黑客一词源于英文hacker，指的是计算机技术水平超高的电脑玩家，而且，这个群体有黑白之分：黑帽子专做攻击，是喜欢惹是生非的破坏者，白帽子虽然也精通攻防，但却“不作恶”，他们擅长测试系统的安全性能，并给出修复意见，是网络安全的建设者，用户熟悉的微软windows补丁，其实大多数修补的 洞都不是微软发现的，而是来自全世界白帽子的贡献。

此次阿里将其“收编”也是试图通过一个松散的联盟将这些白帽子黑客为我所用。小微金服方面表示，邀请白帽子助力支付安全生态圈，关键是要将白帽子的力量进一步放大，白帽黑客尽管规模不如大企业，但他们往往在细分领域有自己的所长，而且不受制于企业流程，在创新上有更大的空间，是安全领域里的“自由侠客”。此次合作，阿里将通过资金支持，实现信息的共享和技术提供。支付宝将联合多方共建安全基金，首批投入达到4000万元，上海国信安基地与小微金服联合建设、运营的“安全实验室”已经率先落地，设立了1000万元的“支付宝安全创新基金”，用于无偿资助创新技术与方案。胡晓明还透露，小微金服本身也不排除投资一些中小安全厂商的可能性。

据了解，在这个生态中，还包括传统的安全软件厂商、硬件厂商和应用厂商。具体名单，曹恺并未透露。

但一直信奉开放战略的阿里巴巴显然不满足于自身的网络安全。胡晓明表示，支付宝希望白帽子的安全技术能够有效补充支付宝的安全体系，也希望这套不断完善的安全体系能够输出给更多的金融机构、电子商务网站以及其他生态圈的成员。

据了解，国内的一些中小型互联网平台，包括社区、垂直电商网站等，均在网络安全方面遇到瓶颈，如何突破，需要各平台之间合作，如银行间的黑名单分享。而阿里的想法是通过生态的各个成员不断完善网络安全防控体系，形成产品，向外输入给此类平台，通过上述多级防控体系完善整个互联网的安全问题。(编辑 卢爱芳 辛苑薇)