2017网络安全生态峰会 (Day 1)：新安全，共担当

网络安全生态峰会前身为阿里安全峰会，已成功举办三届，是阿里巴巴安全部门每年对外开放交流的最大活动。今年这场峰会品牌和规模升级，首次邀请到中央网信办、工信部、公安部等国家最高监管机构的网安部门指导，定调“新安全，共担当”，讨论新型网络犯罪解剖、网络安全责任、科技赋能社会治理等多方面话题。

“新安全，共担当”不止是口号，更有其现实意义。一方面，全球网络安全事件频发，国家监管部门最近几年非常重视网络安全，出台了多部相关法律法规和解释条文，尤其今年《网络安全法》的生效，意味着互联网行业从野蛮生长步入了监管时代。

另一方面，互联网对线下生活的渗透日益增长，作为网络巨头的阿里巴巴只需要对平台安全负责，但要想线上线下融合、让阿里和蚂蚁平台变成线下零售金融的基础设施，以前的做法不够，必须摸索实践出新的安全形态。

网络安全生态峰会提供了一个能让阿里宣讲自身安全理念模式的极佳场所，能让监管单位、社会各行业、各学术领域交流探讨社会安全治理、安全生态建设的场地，这便是峰会的意义所在。

今年的网络安全生态峰会规模极大，有1个主会场、15个分会场。主会场是第一天全天，15个分会场全部放在第二天。下边就让嘶吼编辑带大家进入第一天现场吧

开场致辞

尽管北京下起了雨，但并未影响观众的热情，九点半现场已经基本坐满，准时开场。

阿里巴巴风险委员会主席邵晓锋和中央网信办、工信部、公安部三大监管机构的网安局副局长先后作开场致辞。邵晓锋从人类社会技术发展的历程去探讨安全问题，三大监管机构的领导则主要聚焦《网络安全法》，强调重要基础设施保护、网络安全审查、企业安全责任、数据出境保护、大数据安全治理等话题。

网络安全护航新金融

阿里巴巴最近宣布实施“五新”战略，本次峰会首位演讲嘉宾蚂蚁金服集团CEO井贤栋演讲的议题便是“五新”里的新金融。他说：“没有强大的安全做保障，就没有新金融的未来。”

当前金融环境主要面临几个问题：安全和用户体验的纠结；线上线下融合风险；安全内涵扩大，资金之外还需关注数据和隐私安全，灰黑产技术升级；生态环节交叉传导，某一环可能导致整个生态出现问题。

面临这种现状，井贤栋认为可以从技术驱动、生态共建、责任担当三个方面进行升级，蚂蚁金服已经做出了不错的成果，比如输出安全服务、钱盾（反诈骗）、刺猬（反伪基站）等能力。

井贤栋还在现场发布了支付宝的新承保服务：你敢扫，我敢赔。如果线下商家、消费者使用支付宝二维码出现问题，支付宝会承包损失。具体细节大家可以关注官方后续的正式发布。

携手打造安全的互联网业务环境

阿里巴巴首席风险官刘振飞集中宣讲了阿里近二十年来发展积累的各种安全能力，包括阿里电商平台安全保障、大数据风控、电商生态安全联盟、钱盾（反诈骗）、刺猬（反伪基站）、团圆（打拐）、互联网安全志愿者联盟等等。

他表示阿里的安全治理理念是做到开放网络下的动态安全。与监管机构、学术界密切合作，线上线下、群防群治，服务生态与合作伙伴建立安全同盟，基于数据、技术的安全能力平台。

共建金融科技安全体系，助力新金融生态健康发展

第三个议题其实是个课题发布预热。课题的研究团队是国家25个高端战略咨询智库里唯一一个科技相关智库——中国科学院，课题名字是《金融科技平台量化安全体系构建原则》。

这个课题将是未来国家监管金融科技行业的主要参考资料，预计十九大前两周发布评价体系，十九大前一周公布首批计算结果，十九大后一周二次发布计算结果。

所以金融科技（包括网贷）行业的安全合规有什么要求呢？现场当然没有爆料了，后续如果有新的信息嘶吼将会及时公布，大家可以先关注下我们。

态势感知的支撑和价值落地

安天实验室首席架构师肖新光是阿里安全峰会（现改名网络安全生态峰会）常客了，今年他分享的议题方向是态势感知。

肖新光老师专业领域很能深入浅出。他吐槽当前行业氛围过于注重界面可视化效果华丽，正在让态势感知庸俗化，更好的表现显示并不会带来生产力。真正的态势感知应当具备“鹰的眼睛、狼的耳朵（复合感知）、熊的力量（支撑体系）、豹的速度（响应）、人的大脑（决策）”，而不是一只孔雀，只有美丽尾羽，没有切实作用。态势感知系统不是展示系统，而是业务系统。

态势感知不是SOC和SIEM的整容版，它们之间最大区别在于：SOC和SIEM是目前已有安全产品产出数据的管理，态势感知是提出安全理念后自上而下的能力落地。态势感知更注重全要素采集和全对象解析。

数据安全的制度设计和能力建设

阿里巴巴安全技术副总裁杜跃进在阿里的主要工作之一是做数据安全制度设计，他用很长的时间重新阐释数据安全的定义。这个词不是传统的数据安全，不是“大”数据安全，不是云计算安全，不是用大数据做安全，不止和企业有关；这个词不仅是防范外部攻击窃取，不仅是个人信息保护；它不能套用过去的标准和经验，不能照搬国外的做法。

杜跃进认为，数据安全制度设计有三个关键考虑：能力引导（限制采集，还是要求能力）；区别对待（是一刀切，还是分类分级、能者多得）；社会驱动（是疲于奔命监管，还是发挥社会积极性）。

在能力建设上有三大核心要点：以数据为中心的安全（聚焦数据本身、技术环节打通与衔接、综合环节打通与衔接、给出衡量指标）；标准、落地和持续改进（标准制定要和实际情况结合、多行业多场景落地、标准自身的持续改进）；建立合作体系，借力与成本控制（基础研究与技术攻关、产品及平台、安全运营和响应、威胁应对）。

新安全：责任成就未来

演讲者：阿里巴巴副总裁 余伟民 

全球网络安全现状非常严峻，2016年英国统计结果显示，网络案件占全部案件的53%，而在中国，网络案件也在持续增长，占比高达30%。同时，网络灰黑产地带也在迅速蔓延，对网络安全造成了极其严重的影响。

余伟民就全球网络安全事件和国内安全大案件进行了详细讲解，Dyn宕机导致半个美国断网、勒索病毒让全世界“想哭”…特别讽刺的是，尽管安全形势如此严峻的当下，网络黑灰产竟比安全产业跑得快。网络安全产值不到300亿，而黑灰产业已达千亿。

网络安全个性化服务

演讲者：腾讯安全副总裁 丁珂

作为腾讯安全开放能力的负责人，丁珂分享了几则小故事。因为负责网址安全，有朋友找他咨询网站域名被封的事；因为负责安全认证，有朋友找他咨询微信公众号被封的事…类似的事情太多，早些年他会帮忙处理，近两年因为要落实内部制度，基本不管了。

为什么会有这么多朋友来找呢？一个解释是，网站被黑真的太寻常了。丁珂总结了整个互联网大环境暴露的问题有：

网址安全形势严峻

恶意网站制作成本低

安全拦截影响正常业务

缺乏和站长之间的良性沟通机制

云时代企业安全最佳实践

演讲者：阿里云安全总经理 肖力  

企业的运营大多依托于网络，所以也就对安全设置了很严苛的标准，肖力对今日的企业安全做了如下总结：

1. 边界安全已经失效，内网及其虚弱

2. 安全运营是核心

3. 蓝军比你想象的更重要

4.企业安全需要“看见的能力”

Escalation：武器库、竞赛、APT攻击和公众安全

演讲者：360科技集团助理总裁 郑文彬  

最近几年，APT事件频发，几乎各行各业都被渗透遍了。郑文彬从技术视角出发，详解APT背后的重重暗影。

开源大数据平台安全实践

演讲者：百度安全主任架构师 刘杰

大数据是个很热的话题，但大数据平台要怎么构建？要部署什么安全策略？刘杰从自身经历出发，分享了相关实践。

黑产中的黑词检测与扩展应用

演讲者：清华大学教授 段海新  

网络黑产日益猖獗，段海新教授带领的清华大学网络安全研究团队对其进行了深入研究发现，现如今黑产的技术手段及其高超，比如黑掉网站的手法、传播语言等。今天段海新教授又教了大家一种不需要字典就能检索黑产网站的方式。

你知道溜冰壶、冰妹、咕噜咕噜、菠菜是什么意思吗？乍一看应该大多不懂，这些其实是目前黑产正在使用的黑话，只要使用对应黑话在网上搜索，就能找到对应服务的网站。段海新介绍他们团队已经实践过的一种黑话检出方法，把搜索引擎内部标识不安全的URL拿出来分析，提取公用关键词，经过一定量自动化训练后，检出效果非常地好。另外，黑话的相关搜索词也极有可能是黑话。

立体防控金融欺诈

演讲者：蚂蚁金服安全副总裁 芮雄文  

芮雄文今天主要的重点是电信诈骗，欺诈也不是那么简单，欺诈者首先需要获取用户数据，其次需要运用一些高级手法（扫号、木马、钓鱼）。针对于此，蚂蚁金服做了一个立体防控体系：

用户个性化教育

风险举报及服务

欺诈风险识别

欺诈风险管控

线下打击

在识别到可能的风险行为和欺诈用户时，这套系统会及时响应，比如支付宝弹出安全警告、要求用户做额外的验证，以提醒用户注意防范、验证身份。

圆桌对话

今天峰会的最后一个环节为圆桌对话，安恒信息COO张小孟、安天研发副总裁王小丰、绿盟高级副总裁叶晓虎、启明星辰首席战略官潘柱廷、阿里云首席安全研究员吴翰清、蚂蚁金服安全产品技术资深总监冯春培就《网络安全与公众生活》进行了深入讨论，各自发表了看法。

最后

到这里，网络安全生态峰会第一天就结束了，希望嘶吼的报道能让大家有所收获。

不知道到现场的读者们，有没有到嘶吼展台转转，领到福利呢