阿里首席风险官郑俊芳:安全是生命线 将时刻保持敬畏心

杨波

2018年05月09日08:21  来源:人民网-IT频道
 
阿里巴巴合伙人、首席风险官郑俊芳。
阿里巴巴合伙人、首席风险官郑俊芳。

“过去,黑客发动一次攻击要花费1元钱,如今,黑客打开一个保险箱的成本就要100元,而保险箱里可能只有50元,这样‘得不偿失’的事,很多黑客就放弃了。”

4月27日,在北京展览馆举行的第五届“4.29首都网络安全日”系列活动上,阿里巴巴集团合伙人、首席风险官郑俊芳首先给黑客们算了一笔经济账。这是郑俊芳在出任集团首席风险官5个多月后,带领安全团队首次公开亮相。

作为阿里在安全领域的负责人,在本次活动期间,郑俊芳接受了人民网IT频道的独家专访,就履新后如何保护信息安全、打击黑灰产等问题,阐释了自己的观点和建议。

“安全能力是由一砖一瓦垒起来的”

DDos攻击、回捞,在接受采访的过程中,这些对于一般互联网从业者都显得陌生的专业术语,郑俊芳在采访过程中“随口而出”,显然,履新五个月的她已经很快融入了新的角色。

翻开郑俊芳的职场履历:在毕马威工作13年,加入阿里巴巴做到集团副CFO(副首席财务官),2015年12月成为阿里合伙人、平台治理部负责人(首席平台治理官),再到2017年12月出任集团首席风险官,同时掌管着平台治理部和安全部两个部门。

在出任集团首席风险官之前,郑俊芳最为人所知的身份就是阿里巴巴集团的“首席平台治理官”,负责整个阿里平台的知识产权保护和假冒伪劣产品的打击治理工作,在阿里内部,“师太”是郑俊芳的花名。

而在国内排名前列的几家互联网企业,从目前的公开报道中,郑俊芳应该是唯一的一位负责网络安全的女性高管。

从打击假货到打击“黑灰产”,从保护知识产权到保护平台及合作伙伴的信息安全,对于全新的角色、全新的使命、全新的挑战,郑俊芳应该如何应对?

对此,郑俊芳对人民网IT频道表示,“安全能力的建设,其实不是一时半会能建起来的,是我们过去十几年的沉淀,由一砖一瓦垒起来的。” 

郑俊芳举例到:每年的“双11”,大家最紧张的就是零点开始后的那几分钟,会不会突然这个数字不动了,等前十分钟过去,基本上大家可以松口气。

对于安全本身来说,郑俊芳认为,“就像现实世界里没有绝对完美的面孔一样,网络世界的漏洞永远存在。对于互联网公司而言,建立提早发现并迅速止血的能力,遏断黑客利用漏洞获取用户数据的企图,是一条值得努力追求的路。”

面对成本与利益的博弈,提高违法成本是关键

“国内安全产业的年营收规模大约在两三百亿,而国内‘黑灰产’的规模保守估算超过了1000亿。这种规模上的不对称,不仅导致了‘黑灰产’产业链的迅速膨胀,还带来了一系列的恶性循环。”去年,在某个安全峰会召开期间,一位国内安全产业资深从业者向人民网IT频道表述的这番话,道出了国内安全产业的尴尬。

郑俊芳在加入阿里巴巴之前,曾在全球知名的会计师事务所工作多年,具有丰富的财务和审计经验,在她看来,无论是打击假货还是打击黑灰产,首先要算的是一笔“经济账”——成本收益比。

因此,她才举了文章开头的那个案例,如果能从法律上、技术上让安全攻击无利可图、得不偿失,那么黑灰产的规模自然就会“崩塌”。

“我们做安全,就是让绝大部分的有这个能力的人不敢做,或者让他觉得冒险做了之后,要付出的代价太高,这跟打击假货是一样的道理。”郑俊芳说。

而具体到安全攻防上,就在于通过技术等手段,让攻击方成本上升而放弃攻击,“防控能力越高,黑客付出的成本就越高”。

除了技术手段,法律是更为有效的武器。郑俊芳建议,面对国内手段繁多的黑灰产,现有的法律还较难给其一一定性,可以通过现有的实践案例,先推动一些黑灰产能够清晰的进行认定,从而在根本上提高违法成本。

安全是企业生命线,阿里投入海量人力物力

“过去的一年里,阿里巴巴集团共受到2015次DDOS攻击,最大攻击流量777Gbps。这个数字,超过了整个杭州城的网民同时在线所使用的带宽。仅在淘宝平台,每天会有近400万次恶意尝试登录。”

如果把网络安全攻防当做为一个“猫鼠游戏”,如果要迅速地抓住“老鼠”,需要有海量的人力物力投入,对于像阿里这样的平台型企业,更是如此。

郑俊芳向人民网IT频道介绍,目前阿里体系内仅专职安全人员就有几千人,安全业务使用的服务器消耗在集团也是靠前的。此外,对于阿里生态体系的所有企业,比如蚂蚁金服等,安全能力是共享的。

人民网IT频道注意到,在今年的首都网络安全宣传日上,阿里安全还首次带来了阿里安全旗下的八大实验室,并现场向公众展示各种日常安全知识。

郑俊芳表示,猎户座、双子座、潘多拉、图灵、米诺斯、归零、钱盾和蚂蚁金服光年八大安全实验室,都是在以技术构筑安全防护墙,“但我们深知,互联网时代,安全始终是我们的生命线,这世上没有绝对的安全。因此,每一天每一刻,阿里安全人都在保持敬畏之心,让自己更努力、让技术更进步、让模型更智能,只有不断探索世界级的风险控制体系,我们才能保护这个全球最大的电子商务平台,提供更可靠的服务,保护更多的消费者。”

“除了业务安全能力,并通过这些能力来解决现实的问题之外,我们要持续不断的加大我们在基础安全能力的研究。未来我们在这方面的投入只会加大,不会减少,希望我们能把全球最厉害的人能够吸引到我们的领域,能够帮我们做安全整个技术未来前瞻的布局。”郑俊芳说。(杨波)

(责编:杨波、沈光倩)

推荐阅读