阿里小微金服“天下無賊”之策

本報記者 滑明飛 杭州報導

近日，阿里小微金融服務集團(下稱小微金服)召開“天下無賊”電商技術安全峰會。不同以往常規的嘉賓，此次活動上出現了一群“黑客”，其中包括全球首個完成ios7.1.1越獄的盤古團隊和20秒攻破Windows8.1的Keenteam主攻手陳良。

小微金服CRO胡曉明表示，支付安全生態圈並不僅僅是大公司的舞台，“白帽黑客”是散落在“江湖”裏的技術大牛，未來，他們也都將在生態圈內貢獻自己的安全技術和品，並與支付寶一起，將這種安全能力輸出給生態圈內的上百萬家機構。

據21世紀經濟報導記者了解，小微金服作為阿里互聯網金融的主體，面對頻發的網絡安全問題，開始啟動新一輪互聯網安全防控戰略。方式則延續阿里一直堅持的開放策略，包括傳統安全廠商、硬件廠商以及上述參與此次峰會的“黑客”都將進入這個安全生態。

不同於其它互聯網公司，阿里以電商交易為核心構建起的互聯網金融模式，其數據更加敏感，因此對網絡安全的要求更高。基於電商交易行為的長鏈條特性，小微金服安全品技術品總監曹愷接受21世紀經濟報導記者獨家專訪時表示，傳統的安全解決方式更多的是在某幾個節點的防控，比如只在賬戶密碼環節佈防，一旦被突破后，系統對攻擊者就束手無策。而阿里在安全問題上，則採用實時防控模式，層層“設卡”。

隨移動互聯網和互聯網金融的崛起，網絡安全問題呈現出新的特點，比如碎片化交易方式與頻次，業務多終端的接入以及業務與支付的多樣化，都造成網絡安全生態複雜化。

作為擁有國內最大第三方支付工具支付寶的阿里小微金服如何構建網絡安全體系？又如何與“白帽黑客”協作共同搭建網絡安全生態？

多級防控體系

今年3月份，攜程的用戶信用卡信息泄密事件一度引發關注；半個月后，互聯網OpenSSL出現“Heartbleed”安全漏洞，國內多家網站也遭遇攻擊。互聯網用戶信息安全問題再次成為關注的熱點。

曹愷表示，用戶信息泄密的方式一般可以分為傳統的信息丟失(比如通過詐騙直接獲取)、網絡交易過程中被不法分子劫持和互聯網公司伺服器受到黑客攻擊。

傳統的信息泄露，一般是用戶不慎將賬戶密碼等信息透露給他人，或不法分子通過非法手段獲取信息，比如銀行卡，如果無法及時通知銀行，不法分子將輕易完成取款。但在互聯網中，阿里安全防控採用多級多點監測，即使不法分子突破第一關，獲得用戶的賬號密碼，依然面臨后續的防控環節。

曹愷表示，網絡安全是針對不法分子的攻擊路徑和方法進行佈防。小微金服首先從研發環節開始，對各個套件進行漏洞修復；而上線后進行再次審計和優化；第三步，對交易鏈條中的各個環節點進行實時監控；然后是在運營維護方面進行網絡分割，防止存儲過於集中；最后則是風險識別。

值得注意的是，小微金服內部有一支藍軍團隊，主要任務就是模擬攻防，查找漏洞進而修復。據了解，在小微金服集團，安全品是人數最多的部門。

據了解，用戶從進入支付寶頁面就進入實時監控範圍。曹愷介紹，第一關是電腦運行環境的監測，即前端攔截，也是目前互聯網安全通行的做法。小微金服安全佈防的獨特之處在於后續環節，當用戶進行賬號密碼輸入時，小微金服通過大數據分析，可以判斷出操作者是否是本人。

曹愷表示，比如生物識別和行為習慣技術的運用。每個用戶在通過鍵盤輸入賬號密碼時均有獨特的行為特徵，一套包含18個位元組的賬號和密碼，用戶擊打鍵盤，鬆開后共生35個節奏，而每個人的節奏是不同的。他舉例，不法分子的破解一般是通過半自動化的方式，這樣的輸入方式肯定與人工輸入不同，很容易發現。之后，在正確輸入賬號密碼后，小微金服后台系統依然跟蹤監測。對於每一次操作，數據模型會將其分解成多個維度，比如誰在操作，在什麼樣的環境下操作等等，利用大數據分析匹配，可以判斷出是否存在風險。

一旦發現潛在風險，小微金服將通過發送交易碼、賬戶凍結和人工核實的措施禁止該賬戶進行操作。

用戶信息泄露的另一大方式是互聯網公司出現“內鬼”。據曹愷稱，小微金服有一套嚴格的調用數據機制。首先存儲的數據均通過加密，並且在物理空間和網絡上進行分割。如果有工作人員需要調用數據，要通過嚴格的審核流程，並且根據阿里內部的級別劃分，不同級別的員工獲取數據的權限也不同。並且數據運行必須在制定終端上進行。

他表示，阿里巴巴集團和小微金服集團各業務部門的數據都是獨立存儲的，根據調取的數據重要性，審核的部門也不同，最高決策機構為數據安全委員會。

白帽黑客加盟生態

阿里的網絡安全防控正在升級，參加“天下無賊”峰會的白帽黑客們將成為阿里小微金服網絡安全生態中的一員。

據了解，此次几乎匯聚了所有國內頂級的白帽黑客，有全球首個實現ios7.1.1完美越獄的團隊盤古團隊，有20秒攻破Windows8.1的Keenteam主攻手陳良，還有第一個提出CSRF Worm概念的黑哥等。

在大部分人的概念中，黑客就是一群專門利用計算機病毒攻擊網站系統的“壞人”，但實際上，黑客一詞源於英文hacker，指的是計算機技術水平超高的電腦玩家，而且，這個群體有黑白之分：黑帽子專做攻擊，是喜歡惹是生非的破壞者，白帽子雖然也精通攻防，但卻“不作惡”，他們擅長測試系統的安全性能，並給出修復意見，是網絡安全的建設者，用戶熟悉的微軟windows補丁，其實大多數修補的漏洞都不是微軟發現的，而是來自全世界白帽子的貢獻。

此次阿里將其“收編”也是試圖通過一個鬆散的聯盟將這些白帽子黑客為我所用。小微金服方面表示，邀請白帽子助力支付安全生態圈，關鍵是要將白帽子的力量進一步放大，白帽黑客盡管規模不如大企業，但他們往往在細分領域有自己的所長，而且不受制於企業流程，在創新上有更大的空間，是安全領域裏的“自由俠客”。此次合作，阿里將通過資金支持，實現信息的共享和技術提供。支付寶將聯合多方共建安全基金，首批投入達到4000萬元，上海國信安基地與小微金服聯合建設、運營的“安全實驗室”已經率先落地，設立了1000萬元的“支付寶安全創新基金”，用於無償資助創新技術與方案。胡曉明還透露，小微金服本身也不排除投資一些中小安全廠商的可能性。

據了解，在這個生態中，還包括傳統的安全軟件廠商、硬件廠商和應用廠商。具體名單，曹愷並未透露。

但一直信奉開放戰略的阿里巴巴顯然不滿足於自身的網絡安全。胡曉明表示，支付寶希望白帽子的安全技術能夠有效補充支付寶的安全體系，也希望這套不斷完善的安全體系能夠輸出給更多的金融機構、電子商務網站以及其他生態圈的成員。

據了解，國內的一些中小型互聯網平台，包括社區、垂直電商網站等，均在網絡安全方面遇到瓶頸，如何突破，需要各平台之間合作，如銀行間的黑名單分享。而阿里的想法是通過生態的各個成員不斷完善網絡安全防控體系，形成品，向外輸入給此類平台，通過上述多級防控體系完善整個互聯網的安全問題。(編輯 盧愛芳 辛苑薇)