2月25日，阿里巴巴正式推出了企业安全产品——阿里聚安全，为企业提供“淘宝同款”的安全防护技术。

作为世界最大电商平台，阿里巴巴集团于2005年便成立了阿里安全部，针对其自身庞杂的业务要求，阿里安全部一直面临各类前所未有的挑战。此次，阿里转战网络安全行业并非心血来潮也不是蓄谋已久，由于自身业务驱动而打磨出的“阿里聚安全”切实能为企业和开发者解决棘手的安全问题，而“IT时代的安全不能满足DT时代的需要”，因此面向企业的聚安全应运而生。

那么，所谓的“淘宝同款”安全产品究竟是啥?FreeBuf受邀参加了此次”阿里聚安全“产品发布会。

“阿里聚安全”到底是什么？
 

 

阿里聚安全是面向企业用户的开放式安全平台，覆盖移动安全、业务风控、内容安全、实人认证多个维度。任何用户都可在阿里聚安全网站使用阿里系账户登录，然后进行免费的安卓APP安全扫描及兼容性测试。

“淘宝同款”的安全技术支持有哪些？

阿里巴巴将多年积累的安全大数据和安全风险分析引擎凝聚于阿里聚安全，提供了围绕风险发现、安全防护以及持续监控三大模块的产品服务。

风险发现
 

 

(图为现场展示区“聚安全”对安卓手机上一款热门APP的漏洞检测结果)

安全扫描组件采用的木马检测引擎是最年轻的AV-Test冠军;评估组件采用了静态污点分析和动态模糊测试结合的技术，得以最大程度地覆盖潜在漏洞并快速定位漏洞。

防护能力

应用加固和安全组件让阿里聚安全具备了应用级和代码级的双重保护能力，由此抵御逆向分析、二次打包以及动态调试等攻击行为。

持续监控

这一模块以可视化的方式实时监测全流程的风险。

阿里长期以来持续建设的纵深防御安全体系在聚安全中也得到了充分地诠释，聚安全继承了阿里安全部“最强安全大脑”，即数据驱动的监控-分析-识别-审理-处置的风控技术体系，能从每日数百亿级的交易中识别包括盗号、欺诈、恶意行为等十种业务风险。

内容安全识别检测
 

 

万物互联，人人都是内容的发布者，从而造就了输出上的参差不齐。阿里基于管控经验而建立起的风控和分析体系，将情报沉淀为样本并优化算法，因此聚安全具备了有力的信息安全检测能力。

实人认证

 

互联网时代，网络身份的虚拟性为现实世界带来重重困扰。即使是在现实生活中，你也有可能在路上认错熟人;如果有人获取了你的身份证，同样可以进行很多不法活动。如何方便快捷地证明你是你，越来越像一个哲学问题。

阿里在网络身份认证方面也不断摸索，经历了最初的实名登记、银行打款认证以及手持身份证认证，现在已升级为实人认证。实时大数据管理、生物识别、无线安全技术作为支撑，目前阿里人脸识别技术在实战中准确率已经超过了肉眼识别。

八层安全模型
 

 

发布会上，阿里安全技术产品总监陈树华将DT时代的安全挑战分为八个层次的业务安全问题：硬件、系统、传输、数据、应用、服务、用户、内容。聚安全则采用了八层安全模型对其一一破解。而出现隔层问题、跨层问题以及复杂性问题时，他们又在层次模型基础之上提出全链路防护体系，构成了大数据风险引擎。

据阿里聚安全技术人员介绍，聚安全作为一款面向企业的安全产品其亮点有三：

1、与传统或新兴安全厂商不同的是，阿里聚安全是完全脱胎于“实战”;

2、这是一个纵深覆盖各个层面的安全产品。而目前其他同类型产品可能仅关注一点，如检测漏洞、防欺诈、防病毒等等;

3、阿里的资源投入也是其他产品望其项背的，无论从人才还是技术上面而言。

阿里安全的初心：独善其身，更要兼济天下
 

 

发布会伊始，阿里集团首席风险官刘振飞提到阿里做安全的朴素“初心”：

建设大生态安全，做安全服务输出。要独善其身，更要兼济天下。

实际上，此次发布的聚安全已经是5.0版本。自2014年8月聚安全项目启动以来，阿里始终以一个低姿态进行着不断地尝试与摸索，在没有任何宣传的情况下，聚拢了1000余个APP项目，服务的移动端超过5亿台。

在接受记者采访时，刘振飞表示阿里并没有对聚安全要实现的商业价值进行要求或规划，处于DT时代，无论大小企业共同面临着不可控的终端、开放的环境、海量的用户三大挑战，在一切都是不可控的情况下，过去封闭的安全观也需要产生变化，转向现在呈现出的动态安全观，合力打造开放网络环境。

阿里巴巴将自家庭院的防护栏共享，正积极投身于创建更加安全的生态环境。

(责任编辑：腰编辑)