第二届“国家网络安全宣传周”公众体验展于6月1日-3日在北京举行。本次展会期间,阿里巴巴集团最低调神秘的安全部门——阿里神盾局首次公开亮相,成为各界关注焦点。阿里神盾局是个什么样的组织?在阿里内部是什么角色?这些外界高度好奇的问题,首次得到了权威解答。
阿里神盾局是什么?
“神盾局”到底是做什么的?美剧《神盾局特工》里,“神盾局”是一个吸纳了各种神秘特工的无国界正义组织。而在阿里,“神盾局”是一个站在庞大的交易生态系统背后,负责为4亿消费者、上千万商家提供安全护盾的特殊部门。
2005年,阿里巴巴集团成立安全部,并逐步建立全面的账户安全、信息保护、反欺诈等管理机制,利用大数据构建强大的实时风险防御能力。时至今日,阿里集团安全部不但全面覆盖阿里旗下的各种复杂业务场景,而且与众多政府职能部门紧密合作,向商业伙伴输出安全风控能力,从网上购物、物流信息、设备安全到云计算,为数以亿计的用户提供无微不至的安全防护。因为安全部小二们平时低调神秘,又各个身怀绝技,阿里安全部被集团内部誉为“神盾局”。
阿里神盾局做什么?
美剧里的神盾局,除了追查蜈蚣组织以外,还管全球的“闲事”,大到处理遗留的核武器,小到侦破一个信息泄露案,反正就是哪里有特别难的案子哪里就有他们。阿里的神盾局同样管得够宽。
首先是保护知识产权。这项工作,说得直白点就是打假,也是阿里神盾局最为重要的工作之一。阿里巴巴每年投入大量资源打假,2014年前三季度,阿里安全部协助各级执法部门共破获各类“双打”案件1000余起,抓获犯罪嫌疑人近400人,涉案金额近6亿元。
第二,保护账户安全。主要是防止虚假注册,说来这个跟诈骗和卖假货都有关系。为了防止虚假注册,淘宝网针对卖家的实名审核越来越严格,从“实名认证”向“实人认证”,本人拿着身份证拍照还不够,根据用户不同情况,要求根据指定手势拍照、手持当地报纸拍照,其中指定手势库有数十种随机手势,不定期的进行手势更新,最大限度避免造假者钻漏洞。
除了搞笑版本,也有高科技的招数。2015年和马云一起亮相汉诺威的“刷脸支付”,背后的技术就是人脸识别,类似这样可以用于“实人认证”的黑科技还有很多,比如字迹识别、指纹识别、声纹识别等等。也许不久的将来,申请开店,只要刷个脸、说句话,就能轻松证明“我就是我”。
第三,保护交易安全,主要是防止交易欺诈、恶意差评、敲诈勒索、打击炒信。炒信在阿里的平台上是绝对不允许的,一些希望“走捷径”的卖家为了获得虚假信用也是各种想尽办法,在这个领域,”神盾局”为了维护诚信始终在跟不良商家斗智斗勇。除了打击不诚信的商家,阿里也想尽办法保护合法经营的商家,维护平台的公正,营造诚信价,帮助商家应对恶意差评带来的敲诈勒索,也是阿里神盾局的重要工作之一。
第四,保护信息安全和禁限售排查。万能的淘宝虽然万能,但违法犯罪的事情不能做,比如药品、假烟、枪支等等,还要及时发现删除淘宝以及阿里云上涉及黄赌毒的违禁内容。
第五,保护隐私防止信息泄露。刚在网上下单,就有假冒客服发来钓鱼链接“让你退款”,信息泄露是今年来出现的新问题。一个订单流经无数环节,卖家、物流,信息到底是在哪个环节泄漏出去的?阿里神盾局的白帽子们运用根种技术跟踪分析,切断泄露之路,和警方紧密配合,积极打击黑产。今年以来,已帮助多名用户追回被骗钱款。2015年5月,来自河南的一位消费者就在阿里神盾局的帮助下,找回了在未产生交易的情况下,丢失的166万现金。
第六,大数据风控。这是阿里神盾局的“核弹级武器”,保护全球最大的电商网站,需要世界级的风险控制体系,通过对高达数百P海量数据的加工、计算、分析和处理,从而能监控、能定位,更能进行数据分析和挖掘,准确预测阿里巴巴平台上的欺诈、盗号、假货等风险,净化交易环境,实时保护阿里巴巴平台上的用户。
如果想象不出数百P的数据到底有多大,这里有个数据可以帮助你理解,2012年全美学术研究的图书馆藏书信息量仅约为2P。
举个简单的例子,在淘宝上下单确认购买,可能只需要不到一秒,其中留给大数据安全检测的时间更是只有区区几百毫秒(1秒=1000毫秒),就在你按下按钮的一瞬间,阿里神盾局的大数据风控系统已经作了近百项安全检测,完成账户安全、买卖家安设备安全、信用安全、行为安全等多多方的识别与控制,实时帮助用户避免购物过程可能遇到的风险。
而阿里神盾局的大数据平台,能够10分钟内对10亿以上的商品数据进行全量扫描,通过阿里多年自研的图像识别技术、商标标签技术、光学字符识别技术等,从数百个纬度对这些商品信息进行分析,第一时间发现违规违禁商品。
如果用普通的A4纸把这些商品信息打印成册,假设一页一个商品,我们10分钟内分析完成的商品手册叠起来会有44000米高,相当于将近5个珠穆朗玛的高度。
支撑阿里神盾局运转的超级英雄
看了以上阿里神盾局的种种“高能”,你可能有个疑问?阿里神盾局到底有哪些高能科学家?
除了常规的技术人员,“神盾局”还有知名白帽子、原工检法系统的精英、法律专家、服务于全球各地交易安全的外语天才。
此外,阿里神盾局还有很多众多“身怀绝技”的无名高手。如同金庸先生小说里的绝顶高手“扫地僧”,他们专注于实时的安全威胁感知和响应、系统漏洞的发现与改正、各类安全模型的建立和调整等等。
“六种武器”:阿里神盾局的超强安全产品链
本次亮相国家网络安全宣传周,对阿里神盾局来说,也是一次技术大阅兵。在飞船造型的展会现场,阿里神盾局向公众全面展示阿里的安全防护能力和产品,帮助公众了解如何利用大数据打造纵深防御体系,从云到端,从企业到个人,从交易到支付,为阿里平台的亿万用户提供无所不在的保护。
阿里神盾局除了上述强大的技能之外,还身怀哪几种秘密武器?
关注移动端安全——钱盾/聚安全
阿里钱盾是阿里巴巴集团推出的一款永久免费的手机安全软件,专注于保护移动端用户的网购及资金安全,为用户提供了业内领先的大数据风险分析服务和全球首创的网购全流程安全防护。据了解,阿里钱盾即将推出一项新功能——真假手机及翻新机鉴定。
阿里聚安全是阿里巴巴推出的,面向开发者,以应用安全为核心的开放平台,同时服务阿里的全部移动业务。至今累积为4万多应用发现超60万漏洞, 超16万仿冒。
打造云端的安全——云盾
云盾是阿里巴巴集团多年来安全技术研究积累的成果,结合阿里云计算平台强大的数据分析能力,为客户提供DDoS防护,主机入侵防护,以及web安全防护、安全体检等一整套安全服务,每天为百万云上客户拦截数亿次黑客攻击。值得一提的是双11的交易系统就是在阿里云云盾系统的全面防护下得以正常和稳定的运行。
炫酷的神盾局安全情报中心
阿里神盾局的情报中心是神盾局最炫酷的地方了。这次神盾局特工们把西溪园区的“神盾局情报中心”也搬到展会现场,用经过脱敏的动态数据,让观众更直观的感受到毫秒级的风险监控能力,以及多维度的风险防御策略。
安全实验室
买杯咖啡,按一下手指就能完成付款;用摄像头扫一下脸,就能完成身份验证。支付宝安全实验室重点展示Smile to pay(扫脸付)、指纹支付、声纹支付三个前沿的身份验证技术,让观众亲自体验未来的支付场景。
推出在线报案平台——阿里110
阿里推出110在线报案平台,安全问题一站式解决。消费者如果在淘宝平台上遇到恶意卖家或被骗取财物,能够快速在线报案;如果发现账号异常或被盗,可以快速锁定账号并报案;不小心手机或电子设备丢失,或是在公众场合登陆过淘宝,可以通过这个平台同时让所有设备账号下线,取消登陆记录。遇到信息泄露或钓鱼网站,都可以通过这个平台快速举报,让坏人无处遁形。阿里钱盾还将于近期推出手机端的无线110报警功能。届时,整个平台的交易系统也将和处理平台全部打通。
打造“绝密安全”级别的YunOS-PMOS警用手机
作为由阿里巴巴集团与公安部第一研究所合作研发的专用操作系统,PMOS基于YunOS进行二次开发和深度定制的专用移动操作系统,专门针对对信息安全有需求的用户群体。它通过硬件安全增强方式实现安全引导,防止系统被强行刷机,内核实时的主动防御技术能对操作系统被破解起到有效的防止,通过数据加密、强制访问控制等机制有效地防止数据泄漏或被窃。
PMOS提供双工作模式,个人模式和安全模式完全区分隔离。在安全模式中,系统能提供磁盘加密、单点登录、安全通信等多种安全功能。此外,PMOS还提供了安全输入、防截屏、防短信劫持、网络反钓鱼、防恶意连网等多项功能。通过工信部5级安全认证的PMOS,是目前唯一入围政府采购清单的国产手机操作系统。
云+端的海陆空的大数据防护,加上各个身怀绝技的“扫地僧”,和神盾局秘密研发的各种“生化武器”,看起来更像是是《复仇者联盟》+《神盾局特工》+《银河战舰》的综合体。阿里神盾局的“特工”表示此次展会展出的内容仅仅是阿里神盾局故事的第一季。