移动安全的业务价值导向

移动安全的业务价值导向

阿里聚安全高级安全业务拓展专家鲍 曼

互联网时代的安全和传统安全的不同在于，传统安全重在建设封闭可控的环境，但当互联网新技术大量利用，包括智能手机广泛普及的时候，由于互联网无边界、海量用户、设备不可控等特点，使得传统安全无法施展。

当然，互联网安全也会遇到很多新问题，阿里巴巴安全在不断实践中梳理出一些经验。互联网上各种各样的垃圾注册信息、作弊信息、刷单信息等满天飞。我们还可以看到互联网上的安全问题基本上都是围绕着业务发生，在移动端或者PC端都有漏洞、木马、短信钓鱼、仿冒应用等安全问题，甚至在链路上也有盗链的问题存在。

漏洞增长在2015年完全是疯狂式爆发增长。IOS的漏洞增长是1.28倍，安卓的漏洞增长是10倍。阿里巴巴安全针对TOP18行业应用的分析发现，97%的APP可被利用，所以用户为手机装很多应用的时候，安全问题就隐藏在其中。

手机病毒、木马使18%的手机感染各种各样的病毒。我们所耳熟能详的，超过亿万级的应用，基本上都会有各种各样的仿冒，利用客户端用户和移动互联来拓展业务。原本这是一个很好的拓展业务的思路方法，但如果安全能力不够强大，最终会导致难以预料的安全隐患和损失。因此移动互联所带来新的安全问题是传统安全厂商无法解决的。阿里巴巴因为拥有互联网基因，基于电商平台来做，并且有安全的大数据，因此阿里巴巴安全有效利用多种多样的数据分析，结合数据分析技术，围绕着互联网业务研发解决方案。无论是软件还是SASS服务，都是在利用阿里巴巴互联网经验，作为互联网的福利，开始为中小企业以及大型企业对外提供服务，这也是目前阿里聚安全作为集团对外输出平台的主要业务。

国家法律是可以定性量刑，但灰产在国内还没有办法定性量刑。它的每个环节都是精工细做的，每一个人做的事情非常小，细分到图片打码平台等。目前这方面还没有明确可以量刑定罪的法律规定，而且作为从业者也不会觉得有罪恶感，认为其所做的事情只是很小的一部分，上游产业的图片打码平台、收集验证码平台、社工库、软件、代理工具等，最终把黑产产业化，有的市场交易超过千亿人民币的收益。

对于企业来讲，目前的网络安全防护措施并不理想。黑工厂有精细的产业链，每个人负责很小的环节，但最后串成对企业攻击的方案，产生严重的威胁结果。对于大中型企业，无论是移动人才，或者是互联网安全人才的储备，以及攻防技术等各个方面，都在与黑产做一场不公平的斗争。这是信息不对称的结果。而阿里巴巴安全总结多年积累的经验，一方面为企业提供独到的互联网安全福利，另一方面做到合理的性价比，来提供对外的服务。不会造成企业过大的安全支出成本负担。

阿里聚安全重新定义互联网业务安全，从传统转移到开放的环境，不可控的终端，以及海量的用户，传统的以安桌系统为平台的安全防护模式，加强互联网业务是以业务价值为中心。解决整个业务设计软肋，围绕这些业务价值为核心，形成多种多样的安全防护价值解决方案。

其实作为集团从业者，阿里巴巴安全的地位比较被动，在阿里巴巴，安全团队就是业务团队，安全团队的解决方案，绝对不能阻碍业务的发展。比如，业务提出各种各样的促销活动，或者是想做一些新的转型业务模型，后面安全团队绝对不能成为业务发展的软肋。

简单看一下互联网业务的基本模型，因为大家现在基本都用手机工作，在整个模型环节可以看到两个超过级大客户，一个是手机淘宝，一个是支付宝，就是实现端与云之间的沟通。怎么实现端与云之间的沟通，或者是无缝的连接，就要依靠很多的技术支撑。首先，在互联网的业务层次，共有8层，从运营的服务模型吧、视频供应商，还有互联网金融应用等，都是基于互联网的业务模型，才能实现端到云之间的完美沟通。

阿里聚云也提出业务价值的安全，可以看到在硬件层面，有硬件的漏洞、协议漏洞、系统的漏洞等，以及加密的功能。在应用层面还有漏洞扫描、防冒、监测等，包括黄牛刷单，这些都有数据风控的安全，整个安全模式保证端与云之间的沟通是安全的。

如果在手机APP里加载了阿里SDK，就会实现端到云之间的沟通是安全的。这项技术是无形技术芯片，保证APP与链路的沟通不可被攻破。基于这样一个技术，阿里巴巴安全服务两个超级大客户，用户超过4亿多，每天能保证4亿超级大客户安全运维。

未来阿里SDK会涉及到更广泛的领域。包括可穿戴设备、智能家居、智能医疗、智能汽车。在智能汽车方面的业务走得比较快，因为有阿里云OS，一个完全自主研发优化的安卓系统。阿里云OS与上汽联合研发的智能汽车在2016年末，或者是2017年就会推出，这其中包含移动端的安全技术保障，达到全链路的防护体系，最终为用户提供落地扎实的解决方案。

移动安全解决防护技术可以在阿里巴巴.COM的开放平台，感受一些免费的安全加固，如SDK，木马查杀等。移动安全产品是阿里安全开发最多的，实现了三步：第一步是移动APP的检测。第二步是解决发现的问题。有两个核心的产品，一个是安全组件，以SDK形式为客户接入，另一个是APP加固，由此形成完整的移动安全解决方案。第三步是运维兼顾。以企业大屏可视化进一步的延伸。实现企业移动应用的一些可视化。这类APP接入非常简单，基于安全分析再重新设计的APP业务逻辑。

数据风控防护技术方面参与的电商类的企业比较多。核心的大数据和基于风控二次验证的很多技术，都是对客户端用户非常友好。数据风控具有两点，第一是数据风控引擎。第二是对于客户端很友好的软件。阿里聚安全可以控制从帐号入口到资金操作入口的安全风险，并且每一个入口都有专门的解决方案。 抽奖、秒杀、免单、交易、点赞等，都是互联网发展生态里做任何活动都要面临的问题，这些问题阿里聚安全都有相应的解决方案。

实人认证防护技术，保证机主的互联网ID不会被遗失或盗用，阿里巴巴开户电商已经实现这方面技术的不断完善，可以为企业用户提供可靠的安全保障。另外还有实人认证在互联网里是非常重要的解决方案，也就是保证“对的人在用对的软件”，实人技术在阿里巴巴已经用了五年多时间，2015年支付宝也采用了这一技术，因此大家从中可以感受到这一技术应用的效果。

到目前为止阿里聚安全已经服务超过1千家，服务互联网站点1万多家，所服务的终端用户接近于6亿。