阿里安全峰会：着眼消费领域，构建安全生态_云安全

2015年注定是网络安全年，互联网的快速发展带来的诸多安全问题日益凸显，从国家、企业到个人，对网络安全的关注度越来越高。7月6日，全国人大官网刚刚公布网络安全法草案，今天互联网业界又有大动作。

7月9日－10日，由阿里巴巴集团和蚂蚁金服集团共同发起的2015阿里安全峰会“天下无贼”在北京召开。本次峰会云集了国内信息安全领域1000多名顶尖级别的信息安全从业者，将围绕移动安全、云安全、电商金融业务安全、黑客攻击防御等用户最关心的核心安全问题进行研讨。

阿里巴巴安全部副总裁杜跃进在峰会上首次提出阿里安全的“天下无贼”之策：紧贴业务，致力于打造应用层的安全生态环境，做真正保护消费者利益的安全。

云集千名网络安全大咖，阿里要凝聚全生态力量做安全

本次峰会不仅云集了中国工程院院士沈昌祥等国内信息安全领域顶尖专家学者，阿里巴巴、腾讯、百度、小米等互联网企业的安全专家，启明星辰等国内信息安全企业，还邀请到一群闻名于“江湖”的“白帽黑客”，比如前绿色兵团成员艾奇伟，20秒攻破Windows8.1的Keenteam主攻手陈良。

阿里巴巴安全部副总裁杜跃进表示，网络安全生态圈不只是大公司的舞台，网络安全需要更多的参与者，包括政府、企业、机构，也包括“白帽黑客”这些散落在“江湖”的技术大牛。“我们希望凝聚各方面的力量，从不同角度分析判断网络安全问题，贡献他们的安全技术和产品，并与阿里巴巴一起，将这种安全能力输出给生态圈内的每一个用户，这也是我们发起这次峰会的初衷。”

阿里“神盾局”的安全研究团队，也吸纳了很多在安全攻防的“白帽子”界响当当的名字，安全攻防领域资深专家肖力、《白帽子讲安全》作者吴瀚清、网络安全领域知名专家魏兴国等等，他们捍卫着整个阿里巴巴体系安全攻防的基础，每天防御拦截数亿次的黑客攻击。

据悉，在为期两天的峰会上，参会者将围绕移动安全、云安全、电商金融业务安全、黑客攻击防御等话题进行为期两天的研讨。本次峰会研讨取得的保护互联网基础设施方法和技术，将为互联网企业安全能力的提升和保障提供重要的借鉴思路，从而更大限度保障互联网用户和消费者的安全。

“黑产”组织团伙化、地域化、跨境化，需全行业联合打击

9日上午的主论坛上，中国工程院院士沈昌祥、清华大学网络科学与网络空间研究院教授段海新、阿里巴巴安全研究员吴翰清等嘉宾分别就网络安全的现状与挑战、网络安全的未来态势进行了主题报告。在随后的分论坛中，发言者还包括百度、腾讯、小米等互联网公司的安全人员。

这些业界专家普遍认为，互联网业务安全正在面临新的挑战。首先，网络安全参与者的增长速度，显然没有麻烦制造者的增长速度快，随着移动互联网的兴起，由手机等移动设备曝出的网络安全问题日益凸显。阿里神盾局日前发布的移动安全报告显示，漏洞、病毒和仿冒正成为移动互联网的主要安全隐患，移动互联网整体安全形势严峻。

其次，网络违法犯罪的手段更加隐蔽，打击难度增大。传统的利用互联网基础系统漏洞牟利的犯罪，也就是网络黑色产业链，正在加速向灰色产业链转型，越来越青睐通过各种新型手段寻找业务规则漏洞来获取利益。阿里巴巴安全部观察发现，目前困扰互联网服务公司的安全问题，最典型的就是垃圾账号注册和活动作弊，都是瞄准业务规则漏洞实施攻击。

此外，随着黑色产业链获利的逐年递增，整个黑产也向着产业化、精细分工的方向发展。“黑产”组织团伙化、地域化、跨境化特征明显，在某些黑色产业链中，位于顶端的几个团伙，就掌握了该黑产市场80%的份额。阿里巴巴日前查处的垃圾注册团队，该团伙的3名成员就控制了近500万的垃圾帐户。

阿里巴巴高级安全专家郭睿在谈到打击网络黑产问题时指出，只有多方共同治理，极大提高黑色产业链的成本，才能从根本上解决问题。为此，阿里巴巴非常乐意向行业伙伴输出安全能力和技术，共同打击网络黑产。

保护隐私，阿里发起制定“电商第三方软件安全规范”

多位与会专家认为，个人信息保护是一个公认的难题，电子商务的交易链中有很多环节接触到消费者信息，做到全面的防护看起来就像一个不可能完成的任务。其中最大的漏洞，就是不少商家自行或委托开发的软件，缺乏安全防护能力。而现在，这个漏洞有望被堵上了。

在峰会现场，阿里巴巴宣布了一项旨在保护消费者信息安全的最新举措：发起制定《电子商务第三方软件安全规范》，指导电子商务第三方软件的安全开发、管理和运营，促进电子商务第三方软件安全开发的标准化、规范化。

“阿里巴巴在过去15年沉淀了完善的安全风控技术和流程，但平台上快速发展的卖家，有些还缺乏信息安全防控意识和能力，所以阿里主动把多年积累的安全能力，通过行业标准的形式向整个平台输出。未来只有审核符合安全标准、具备安全能力的ISV（独立软件开发商）才能为阿里平台上的商家服务，同时基于这种标准，我们也将逐步引入专业的安全服务上为ISV服务，把客户信息保护做到更高的层面。” 阿里巴巴安全部副总裁杜跃进介绍。

目前《电子商务第三方软件安全规范》已完成初稿，很快将推广至阿里平台的全部核心服务商。