阿裡集團首席風險官劉振飛：阿裡安全九字方針“輕管控、重檢測、快響應”

一年一度的阿裡安全峰會創立于 2014 年，今年已是第三屆，于7月13-14日在北京國家會議中心舉辦。峰會旨在促進亞太區資訊安全行業發展，為本地區資訊安全組織、資訊安全專業人士和決策者搭建一個資訊交流展示平台，探讨目前安全行業的最佳實踐、熱點議題、資訊安全人才培養、新 興技術與發展趨勢等。2016 阿裡安全峰會設立12個分論壇，數十家領軍企業參與、國内外頂級安全專家演講，在電商金融安全，移動安全，威脅情報，人才培養，電子驗證等熱門安全行業問題進行深入探讨與交流，除此之外大會前一天還進行了頂級電商安全移動安全等方向的專業安全技術教育訓練。

7月13日2016阿裡安全峰會上，阿裡巴巴首席風險官劉振飛表示，和傳統網絡安全相比，目前網絡安全形勢的特點是“無邊界、不可控”：一方面，數億使用者随時随地使用網際網路産品和服務，根本沒有邊界；另一方面，裝置和人不再可控，惡意注冊、虛假交易頻頻發生；海量網絡内容不可控；甚至是産品也不可控，市面上95%的app被仿冒應用困擾。此外，新時期的安全還要面對着猖獗的黑灰産業鍊，這些鍊條為巨額利益回報驅動，給正常的業務經營造成很大損害。劉振飛介紹，基于現狀，阿裡安全推行九字方針，即“輕管控、重檢測、快響應”，首先要保障使用者體驗和客戶體驗，讓消費者和商家在使用産品的時候體驗要好，一定要輕管控；重檢測是剛剛說的大資料的能力，要能及時發現惡意行為，快速探測出可疑的人士，還能夠第一時間給予處理和打擊。

阿裡集團首席風險官劉振飛

以下為演講實錄：

劉振飛 ：首先歡迎各位上司，各位嘉賓，各位同仁，各位合作夥伴參加2016安全峰會，彙聚安全人的力量，為全世界賦能，這是我們開這次大會的目的。

大會從成立第一天開始，我們設計的時候就希望是一個非常開放的平台，能夠讓我們安全圈子裡各個公司的同行，無論是業務競争多激烈，大家在一起能夠共同分享在這個領域的最新安全趨勢。是以，今天來自于bat、360等各個領域的很多安全公司，和fireeye等衆多國内外的安全同仁彙聚一堂，共同探讨如何做好安全工作，為全社會賦能。這兩天我們設立了12個分論壇，數百位非常資深的安全專家分享，這裡不分門派，也不分門檻，大家充分交流，同時我們也有創新沙龍，讓很多中小企業展示他們最新的創新的點子。

“聚力·賦能”，是阿裡巴巴一直的理念，我們希望共同推動整個安全行業更加開放，能夠更加互通，更加合作。根據統計，去年咱們網民已經超過了6.88億，與此同時，大量的黑灰産業以及很多的從業人員進入，冒充普通使用者惡意欺詐，以前從最單純的黑客攻擊，發展成具有集團化的黑灰産業鍊。這個産業估計每年的收入應該是有超過一千億，這對我們整個安全行業是一個非常大的威脅。在座的各位來自于不同的公司，不同的行業，可能有些還是競争對手，但是面對我們共同的敵人，越來越猖獗的黑灰産業，如果這個生态中黑灰産業得不到遏制，我們所有人都是受害者。因為我們都有一個共同的客戶，就是最終的消費者，如果消費者認為我們是不安全的，就沒有人願意消費，沒有人願意使用我們的産品和服務。如果消費者對我們的産業、服務、安全性有懷疑的時候，我們行業就不會健康發展。是以，我們一定要團結起來，把我們的安全經驗互相分享，建立一個平台，我們打造這個平台是希望能夠有一個常态的機制，不僅是産業界，而且學術界，包括相關的政府監管部門坐在一起，大家共同讨論如何更好的維護我們的生态環境，更好的打擊網絡犯罪，網絡黑灰産業。

從it時代進入dt時代的安全挑戰是什麼，傳統的安全想用一面牆把壞人擋在外面，但是在網際網路、萬物網際網路的高速發展情況下，傳統的靜态安全已經不起作用了，因為每年都有億萬的消費者使用我們的産品和服務。裝置和人不再可控，去年我們發現了很多的黑灰産從業人員，混在正常消費者當中去惡意注冊、虛假交易。我知道有的同行做推廣，不能超過24小時，超過24小時業務規則就會被破解，嚴重影響了業務發展。大家都知道直播現在很熱，一旦出現了違禁内容，企業可能要承擔法律責任，如何能夠實時的識别，也是一個非常大的挑戰，對我們所有從業人員來講，市面上95%的app曾經被仿冒，直接危害我們的消費者群體。是以今天無邊界，不可控，海量使用者，這是我們認為在dt時代做安全的一個重要的挑戰。

那麼，既然不能再用管控思維了，安全怎麼做？在阿裡，安全是業務的一部分，不可分割的一部分，一定要為業務和客戶賦能。安全不能隻做管控，安全要盡可能的讓公司的業務發展和創新降低一個門檻，同時創造一個好的生态發展環境，另外，安全必須要讓消費者、商家感受到，一旦碰到風險的時候，我們第一時間能夠探測出來，能夠進行有效的保護。安全有衆多的挑戰，這麼猖獗的黑灰産業對我們是非常大的威脅。是以我們要有能力去溯源，能夠進行打擊。同時，安全要能夠和監管部門和國家，和政府的相關部門做好協同，增加互信，然後內建全社會的力量保護整個行業的健康發展。

我們也在思考阿裡安全怎麼做？現在就是說面對着這種快速變化的開放的環境，我們用這九個字的安全觀，來自于我們兩個基本認識，第一個認識是，在整個環境不可控的時代，是以阿裡很早把分散在各個地方的安全團隊，整合成集團的力量，為各個bu、各個垂直業務做出瘦身的防護體系。第二個認識剛剛也提到了，我們知道安全最終是大資料的能力，基于過去在安全上的經驗我們建立了大規模的資料模型，現在基于我們的大資料建立了很好的安全防護體系。大家在淘寶上購物的時候，一秒鐘之内下個單，背後我們會做幾百項安全檢查，淘寶上有數十億的寶貝和商品，在十分鐘内做全面的掃描，發現違禁内容和違禁商品清理出去，每天阿裡巴巴集團裡面有海量的使用者通路，現在能夠做到分鐘級檢測出惡意行為，能夠快速的監測和響應。

是以基于這兩個認識和實踐，去年開始，我們提出了 九字方針，叫做輕管控、重檢測和快響應。我們是一個企業，我們首先要保障使用者體驗和客戶體驗，讓消費者和商家在使用産品的時候體驗要好，甚至包括我們在公司工作的，傳統的網察，網關各種嚴格的制度，我們認為不符合網際網路的發展趨勢，是以一定要輕管控。重檢測是剛剛說的大資料的能力，要能及時發現惡意行為，快速探測出可疑的人士，還能夠第一時間給予處理和打擊 ，是以這是我們去年開始在阿裡巴巴内部提出的九字方針，這是指導我們未來很長一段時間的工作方針。基于這九個字，我們未來将在三條線上進行努力，第一個是我們的安全能力能夠通過産品開放出去，隻有阿裡一家把安全做好遠遠不夠，剛剛逍遙子也提到了，我們必須要讓阿裡生态更加健康，我們自己有淘寶、天貓、阿裡雲，同時也有很多商家，物流和營運商等生态夥伴，都是業務環節中的重要的一環。我們希望把我們的能力，通過阿裡聚安全的産品，把我們在移動安全的積累，在資料安全的積累，内容安全的積累集合起來，然後提供給整個同行，我們希望為中國的企業和開發者提供一個非常堅強的，非常便捷的接收方式，保證他們自己的業務。隻有我們自己整個生态能力強了，自己會更加安全。是以這是我們的第一個努力方向，通過阿裡聚安全開放安全能力。

第二件事情是我們今天正式成立了電子商務生态安全聯盟，我們去年成立了isv安全聯盟，經過了一年多的實踐，有很多收獲。因為業務鍊條上任何一個環節有一個小漏洞，都可能導緻資訊洩露。可能有人遇到過，在淘寶上下了單，很快就會接到一個詐騙電話，這使我們非常的痛苦。我們的系統能夠快速響應，但隻靠我們自家的平台做好是不夠的。是以我們必須要讓所有商家、isv服務商和物流夥伴一起動起來，是以我們去年成立了isv聯盟，效果很顯著。今年我們決定進一步能力更新，變成整個電子商務的生态，把我們的商家、物流合作夥伴聯合在一起，共同努力保護整個電商體系的安全工作。同時，我們也在積極推動電子商務領域的國家和國際安全标準。另外，我們為生态提供一個叫做禦城河的資料安全解決方案，現在淘寶上八百多萬台訂單交易的雲主機，都在用這個方案保護，每天能夠協助我們的商家和合作夥伴對核心資料進行兩億多次的掃描，及時發現風險，包括來自于企業内部的風險和非法的通路，及時報警，保護企業和消費者商家的财産安全。

第三個是阿裡這麼多年在電商的安全，在金融支付的安全，雲計算安全等等有很多的積累，這些積累其實是一個寶貴的财富，我們會不斷系統整理，輸出給整個生态，我們也積極把這些想法和國家的相關政府部門、監管部門進行溝通，希望把我們的經驗和積累能夠變成一些别人都可以使用的東西。我們把我們的能力通過标準，通過生态的合作，變成大家可以參考的模型。這些都是現在我們正在做的，我們希望通過自身的努力，包括和國際的标準化組織的協同努力，與監管部門溝通，加強互信與政府合作共赢，最終讓整個生态獲益。

最後我想說，我們整個國家處于高速發展的階段，應該說我們在座所有人運氣不錯，趕上了中國高速發展的美好時代。但是我們也在和一個最猖狂的産業做鬥争，我們面臨的挑戰非常大。希望我們在座的各位，所有人，所有的安全圈的同仁們，我們産業界、學術界、政府的部門能夠共同努力，堅持到底，為最終我們國家的消費者，為國家社會的進步做出應有的貢獻，謝謝大家。