近日,由阿里巴巴集团和蚂蚁金服集团共同发起的2015阿里安全峰会“天下无贼”在北京召开。本次峰会云集了国内信息安全领域1000多名顶尖级别的信息安全从业者,将围绕移动安全、云安全、电商金融业务安全、黑客攻击防御等用户最关心的核心安全问题进行研讨。会议发起制定《电子商务第三方软件安全规范》,指导电子商务第三方软件的安全开发、管理和运营。
阿里巴巴安全部副总裁杜跃进表示,网络安全生态圈不只是大公司的舞台,网络安全需要更多的参与者,包括政府、企业、机构,也包括“白帽黑客”这些散落在“江湖”的技术大牛。“我们希望凝聚各方面的力量,从不同角度分析判断网络安全问题,贡献他们的安全技术和产品,并与阿里巴巴一起,将这种安全能力输出给生态圈内的每一个用户,这也是我们发起这次峰会的初衷。”
在峰会现场,阿里巴巴宣布了一项旨在保护消费者信息安全的最新举措:发起制定《电子商务第三方软件安全规范》,指导电子商务第三方软件的安全开发、管理和运营,促进电子商务第三方软件安全开发的标准化、规范化。
“阿里巴巴在过去15年沉淀了完善的安全风控技术和流程,但平台上快速发展的卖家,有些还缺乏信息安全防控意识和能力,所以阿里主动把多年积累的安全能力,通过行业标准的形式向整个平台输出。未来只有审核符合安全标准、具备安全能力的ISV(独立软件开发商)才能为阿里平台上的商家服务,同时基于这种标准,我们也将逐步引入专业的安全服务上为ISV服务,把客户信息保护做到更高的层面。” 阿里巴巴安全部副总裁杜跃进介绍。
目前《电子商务第三方软件安全规范》已完成初稿,很快将推广至阿里平台的全部核心服务商。
数据显示,随着黑色产业链的高速发展,某些黑色产业链中,位于顶端的几个团伙,就掌握了该黑产市场80%的份额。前段时间阿里安全部门曾查处过一个垃圾注册团伙,该团伙的3名成员就控制了多个网络平台上近500万的垃圾帐户。
据悉,2015年初阿里的大数据风控系统曾试水提供对外输出服务,为某知名打车软件APP提供防刷单风控支持,解决垃圾用户恶意领券行为。该系统针对通过批量注册新用户恶意领券套现可能出现的风险, 通过部署H5人机识别服务,在两周内,共识别恶意领券次数45.6万次,领券新用户数量从12万张/天降低到1万张/天,为企业节省发劵成本300多万元。而这套大数据风控体系,将在近期接入阿里聚安全平台向第三方企业客户提供业务风险防控能力。
安全小知识链接:企业数据安全面临哪些挑战
今年两会之后,我国正在加快研究制定“互联网+”行动计划,以推动各行各业依托大数据创新商业模式。“互联网+”时代,企业大数据已经成为企业一个核心组成部分、成为企业的核心资产。越来越多的企业希望从数据获取更多的价值并且快速指导决策。企业数据呈现以客户导向,实时运行,数据驱动的趋势特征;数据类型越来越丰富多样化,包括海量的交易数据、人工合成数据、机器数据以及社交网络数据等;数据边界也从内部业务数据延伸到产业链的范畴。
大数据本身固有的特征可以用4个“V”来概括——Volume(数据体量巨大)、Variety(数据类型繁多)、Value(价值密度低)、Velocity(处理速度快)。大数据给企业带来价值的同时,也会引入新的安全威胁。从支付宝大规模故障,到携程网因“内错误操作”宕机近12小时,都表明大数据时代的安全问题日益凸显。随着企业数据安全事故频发,企业在大数据应用前首先要考虑数据安全威胁。
大数据给企业带来的安全威胁主要表现为以下几方面:
大数据的巨大体量使得企业信息安全管理成本显著增加
4个“V”中的第一个“V”(Volume),数据之大,这些巨大、海量数据的管理问题是对每一个企业大数据运营者的最大挑战:一方面,大量数据的集中存储增加了企业信息泄露风险;另一方面,大数据意蕴藏着更复杂、更敏感、价值巨大的数据,从而引来更多的潜在攻击者。
大数据的繁多类型使得信息有效性验证工作大大增加
4个“V”中的第二个“V”(Variety),数据类型多,数据来自于多维空间,各种非结构化的数据与结构化的数据混杂在一起。大量数据本身就蕴藏着价值,但是企业如何将有用的数据与没有价值的数据进行区分看起来是一个棘手的问题,甚至会引发越来越多的安全问题。
大数据的低密度价值分布使得安全防御边界有所扩展
4个“V”中的第三个“V”(Value),大数据单位数据的低价值。这种广种薄收似的价值量度,使得企业信息效能被摊薄了,大数据的安全预防与攻击事件的分析过程更加复杂,相当于安全管理范围被放大了。
大数据的快速处理要求使得独立决策的比例显著降低
“4个“V”中最后一个“V”(Velocity),决定了利用海量数据快速得出有用信息的属性。大数据分析日益成为一项重要的企业业务决策流程,随着越来越多的决策结果来自于大数据的分析建议,面对海量的数据收集、存储、管理、分析和共享,传统意义上的对错分析和奇偶较验已失去作用。
大数据时代已经到来,大数据已经产生出巨大影响力,并对我们的社会经济活动带来深刻影响。企业只有充分利用大数据技术来挖掘信息的巨大价值,才能形成强有力的竞争优势。面对大数据时代安全挑战,要予以足够重视,采取相应措施做到未雨绸缪。
专注企业数据安全
明朝万达作为国内最早进入数据安全的领导厂商,以先进的、专业的安全技术为支撑,综合采用多种数据加密和防护技术,结合身份认证、访问控制和安全审计技术,实现对多类型数据实体进行安全防护,为信息化系统构建安全可控的使用环境,通过国产信息安全防护产品的应用,提升企业海量数据的信息安全保障能力,并满足各种业务场景中对数据安全管理的要求。
自主研发的Chinasec(安元)数据安全管理平台系列产品,能够依据使用企业的管理模式和数据业务特征,实现对访问者知悉范围控制和应用权限管理,全面保障结构化、半结构化及非结构化数据等多类型数据安全;按照数据重要性等级不同,实施不同模式的防护策略,对数据的生产、流通、传播等过程实现数据内容的事前安全防御、事中应用控制和事后跟踪审计的全生命周期的安全保护。
更多信息安全常识请关注本安全网站。
