文 / 阿里巴巴集团首席风险官 郑俊芳
原标题为：《阿里巴巴集团首席风险官郑俊芳：安全是我们的生命线，将时刻保持敬畏心》

阿里巴巴集团首席风险官 郑俊芳

如果互联网是可视化的，网购、社交、送餐、出行等诸多互联网服务有不同的色彩线，那么，我们能看到，五彩斑斓的网络早已与生活的方方面面不可分割。在互联网给生活带来便捷的同时，就像是每条道路都需设置安全线一样，互联网自身也需建立强大的防护能力，以保障服务和所有用户的安全。

在过去的19年里，阿里巴巴构建起包括新零售、云计算、大文娱、智慧物流等在内的庞大而复杂的生态体系，为数以亿计的用户提供便捷服务，同时，对于安全的探索从未停止。

每天，在阿里生态体系里，数以万计的黑客通过4千万次的恶意访问以寻找安全漏洞，网络黑灰产通过爬虫发起17亿次的恶意访问试图窃取数据，仅在淘宝平台，每天会有近400万次恶意尝试登录。

这些攻击，每天都在真实发生着。

面对如此巨量、复杂的攻击，阿里防住了。

捍卫安全生命线：10年进化数千人护航

过去的一年里，阿里巴巴集团共受到2015次DDOS攻击，最大攻击流量777Gbps。

这个数字意味着什么？打个比方，整个杭州城的网民同时在线所使用的带宽，都远不及此。

实现这样的有效对抗，阿里安全走了10多年，从被动应对，到主动防御，从人肉，到技术、算法。

2005年前后，“阿里安全”还是集团技术团队下设的一支几个人组成的小队，彼时，抵御DDOS攻击的手段还是靠人肉发现和攻防。曾经有过一个阶段，A商家看到B商家销量大好，会买通黑客对B发动DDOS攻击。

DDOS攻击的本质是消耗平台的带宽和服务器资源。阿里技术和安全团队发现服务器运转迟滞，不得不人肉排查。

那是个互联网行业普遍未建立安全能力的时代，人才紧缺，安全技术攻防能力不足。

当时的解决方案是把受到攻击的B店铺采取屏蔽处理，让攻击者失去目标，以恢复服务器正常运转。

虽然危机解除，但教训是惨痛的。没有任何一个商家的利益该被牺牲。于是，2005年，阿里正式设立安全部，如今，阿里生态体系的网络安全有数千人的专业团队在守护。

在今天，对抗DDOS攻击的任务早已交给了“无人值守”的自动化防控产品。阿里也通过阿里的云计算平台将我们的DDOS防御能力提供给了数十万的云上客户，时刻包围着这些云上客户的网站与服务的稳定安全。攻防的根本目的在于让攻击方成本上升而放弃攻击，防控能力越高，黑客付出的成本就越高，举个例子，过去，黑客发动一次攻击要花费1元钱，如今，黑客打开一个保险箱的成本就要100元，而保险箱里可能只有50元，这样“得不偿失”的事，很多黑客放弃了。

力推安全联合：开放能力赋能生态

就像是现实世界里没有绝对完美的面孔一样，网络世界的漏洞永远存在。对于互联网公司而言，建立提早发现并迅速止血的能力，遏断黑客利用漏洞获取用户数据的企图，是一条值得努力追求的路。

2012年起，阿里安全的“听风者”在着力建立另一套防御体系：联合阿里体系外的白帽黑客，建立ASRC（阿里安全应急响应中心）。

简单说来，这是一个平台，能够让外部的白帽黑客在发现漏洞后第一时间通知阿里。

这是国内最早的互联网应急响应平台之一，从最早只是设置一个通报漏洞邮箱，发展成今天国内上千名、国外数百名白帽黑客参与的真正意义的平台，阿里集合各方之力，将建立的能力服务于整个生态，用安全生态的能力赋能生态安全。

2013年，阿里发布500万元赏金计划，举办互联网安全沙龙，2017年双十一购物狂欢节之前，阿里巴巴ASRC联合业内12家SRC，进行了一次面向电商生态的安全众测，发现了大量有价值的安全漏洞并推动生态伙伴快速解决，有效拉升了整个生态的安全水位。2018年，阿里发起的SRC运营工作讨论会，腾讯、百度、360、京东、滴滴等互联网公司都在参与共创共享。

去年12月30日，阿里正式加入First(事件应急响应与安全小组)国际组织，与85个国家的414个应急响应相关组织建立联系，谷哥、微软、亚马逊等国际互联网公司都在。

所做的这一切，都在于阿里始终认为，安全领域不需竞争，而必须联合。

阿里安全的能力开放心态正在显露效果。

2014年，一名合作伙伴向阿里紧急求助。一个互联网黑灰产团伙，开始是故意跟这名合作伙伴套近乎，套出了合作伙伴的网络出口IP地址，之后的故事像电影那样，黑灰产团伙画风大变，发来短信称，打钱破财消灾，否则会用DDOS实施攻击，其嚣张程度令人气急，直接发来了攻击时间。

合作伙伴想到防御，但根本无力抵御巨量攻击。随后阿里介入，斩断攻击。

到了2017年，一家合作伙伴也被黑灰产团伙盯上，而这时，阿里的安全能力早已覆盖生态伙伴，攻击消息传来时，阿里安全的技术专家说，不用怕，让他来吧。后来，对方得知阿里在助力防护，索性放弃了攻击。

保持敬畏之心：不辍探索持续进化

从害怕发现漏洞，到主动建立ASRC来找漏洞，解决安全问题于萌芽状态的探索不止于此，2016年，阿里筹建“红蓝攻防体系”以主动挖掘安全风险点。这在当时的阿里内部存在争议。

攻击来得毫无征兆，一天快到中午的时候，阿里安全接到信息，暗网在流传阿里的相关数据，数据做了加密处理，虽然暂时不会对业务产生影响，但发布者同时发布的勒索信息说得明白，预定时间内不付钱，将公布这些数据。

负责处置的数据安全团队到现在还清晰记得当时的场景，安全大于天，在几分钟内，参与处置的安全技术人员挤满了项目室，一个多小时，数据“泄露”的源头被排查出来，这时，他们才知道自己是被蓝军“搞了”。

在专门设立蓝军之前，阿里安全已经反复对系统做过加固检测，但不知道效果如何，这样“有剧本”的“攻击”给整个安全团队提了醒，然后就是更加细致入微的排查。

蓝军还在不断“搞事儿”。一开始，这样的攻防一周都要有一两次，蓝军频频得手，后来，红军防线越来越紧，蓝军又朝着更高层次发动“攻击”，但难度越来越高，现在，蓝军筹划一次攻击的时间可能是一个月甚至更长。

“红蓝对抗”，以及阿里建立的图灵、猎户座、双子座、潘多拉、米诺斯、归零、钱盾和蚂蚁金服光年等八大安全实验室，都是在以技术构筑安全防护墙。

智能数据模型也在无时无刻发挥安全防护的作用。在阿里平台上，全网商品已超过10亿量级，如何对这些商品信息进行识别？如果用普通的A4纸把这些商品信息打印成册，假设一页一个商品，现在，阿里10分钟内分析完成的商品手册叠起来将有44000米高，相当于近5个珠穆朗玛峰高度。

在阿里平台上下单购物，就在你按下按钮的一瞬，阿里安全大数据风控系统已作了近百项安全检测。

安全就是这样，10余年来，数千阿里安全人一砖一瓦搭建起来安全的水位线。但我们深知，互联网时代，安全始终是我们的生命线，这世上没有绝对的安全。因此，每一天每一刻，阿里安全人都在保持敬畏之心，让自己更努力、让技术更进步、让模型更智能，只有不断探索世界级的风险控制体系，我们才能保护这个全球最大的电子商务平台，提供更可靠的服务，保护更多的消费者。