阿里成立數(shù)據(jù)安全研究院，要像治理霧霾一樣打擊黑灰產(chǎn)。

文網(wǎng)商君

最近，一起被稱為“史上最大規(guī)模數(shù)據(jù)盜竊案”引發(fā)輿論極大關注。據(jù)辦案方浙江紹興越城警方透露，該案涉嫌30億條用戶個人信息被盜，涉及包括BAT在內(nèi)的96家互聯(lián)網(wǎng)公司。作案者為三家關聯(lián)公司，實際控制人為同一人，三家公司中的瑞智華勝（872382.OC），為去年12月剛上新三板的上市公司。

“這個案例告訴我們，所有的人、所有互聯(lián)網(wǎng)公司、包括運營商在內(nèi)的網(wǎng)絡基礎設施建設者、參與者，如果不聯(lián)合鏟除這些網(wǎng)絡黑灰產(chǎn)，讓他們恣意運作在互聯(lián)網(wǎng)中，我們都可能是受害者，” 8月21日，阿里巴巴集團首席風險官鄭俊芳在“2018網(wǎng)絡安全生態(tài)峰會”上，正式宣布成立阿里巴巴數(shù)據(jù)安全研究院，愿將阿里在數(shù)據(jù)保護方面的經(jīng)驗分享出來，為大數(shù)據(jù)產(chǎn)業(yè)和數(shù)字經(jīng)濟的發(fā)展獻計獻策，與多方聯(lián)合共同提升網(wǎng)絡安全水位。

阿里巴巴集團首席風險官鄭俊芳

據(jù)了解，阿里數(shù)據(jù)安全研究院將圍繞DT時代數(shù)字經(jīng)濟的業(yè)務特點以及全球化需求和國家戰(zhàn)略，與阿里內(nèi)部的阿里健康、阿里云、螞蟻金服、釘釘、阿里研究院等展開合作，也會聯(lián)合國內(nèi)外專家學者、智庫、研究機構、產(chǎn)業(yè)實踐代表、高校等機構相關力量，構建起前沿技術、產(chǎn)業(yè)實踐和政策法規(guī)三方相互促進、支撐的互助機制。

“今天的數(shù)據(jù)安全已經(jīng)成為一個獨立而極端重要的領域，在政策法律、產(chǎn)業(yè)實踐、前沿技術等方面都急需創(chuàng)新，”阿里巴巴集團首席安全專家、阿里巴巴數(shù)據(jù)安全研究院負責人杜躍進指出，將持續(xù)研究并探索數(shù)據(jù)安全相關的政策法規(guī)、實踐方法和前沿技術，也將持續(xù)推廣DSMM （全稱“Data Security capability Maturity Model”，即大數(shù)據(jù)安全能力成熟度模型），讓更多企業(yè)更清楚自身的安全水位，不斷提升，進而有效保護企業(yè)數(shù)據(jù)安全。

阿里巴巴集團首席安全專家杜躍進

中國數(shù)據(jù)安全的復雜性

“隨著互聯(lián)網(wǎng)技術和應用的快速普及，傳統(tǒng)的社會問題向互聯(lián)網(wǎng)延伸，網(wǎng)絡問題社會化，社會問題網(wǎng)絡化；網(wǎng)上網(wǎng)下的問題交織，網(wǎng)絡安全問題不但發(fā)生著新的變化，也已經(jīng)成為了互聯(lián)網(wǎng)發(fā)展的瓶頸?！敝袊ヂ?lián)網(wǎng)協(xié)會副理事長黃澄清在峰會開幕致辭中說。

研究機構的公開資料也顯示，“黑灰產(chǎn)”規(guī)模已達千億，從各個主要國家的統(tǒng)計數(shù)據(jù)看，各種利用互聯(lián)網(wǎng)技術實施偷盜、詐騙、敲詐的案件數(shù)每年以超過30%的增速在增長。

圖片來源： 《 2018網(wǎng)絡黑灰產(chǎn)治理研究報告》

阿里巴巴集團首席安全專家、阿里巴巴數(shù)據(jù)安全研究院負責人杜躍進向《天下網(wǎng)商》表示，成立阿里數(shù)據(jù)安全研究院的想法成型于幾個月前，“就是覺得數(shù)據(jù)安全問題越來越重要，而且遠比很多人預想的復雜，涉及很多方面?！?

杜躍進曾擔任國家網(wǎng)絡信息安全技術研究所所長。2014年加入阿里后，就一直在研究安全生態(tài)問題，尤其側(cè)重在數(shù)據(jù)安全，網(wǎng)絡黑灰產(chǎn)與新型網(wǎng)絡犯罪，物聯(lián)網(wǎng)安全這三個議題。

網(wǎng)絡數(shù)據(jù)安全和用戶信息保護是全球面臨的一個挑戰(zhàn)。今年3月，美國社交網(wǎng)絡巨頭Facebook上超過5000萬用戶信息遭泄露的新聞，引爆了世界輿論。5月25日，歐盟正式實施通用數(shù)據(jù)保護條例(General Data Protection Regulation，GDPR)，面向所有收集、處理、儲存、管理歐盟公民個人數(shù)據(jù)的企業(yè)，該條例通過限制這些企業(yè)收集與處理用戶個人信息的權限，試圖將個人信息的最終控制權交還給用戶本人。企業(yè)違規(guī)可能會面臨高達2000萬歐元（約合人民幣1.28億元）或企業(yè)全球年收入的4%的罰款（取兩者中最高的）。

中國電子技術標準化研究院信息安全研究中心主任劉賢剛認為，中國的數(shù)據(jù)安全相比其他國家更加復雜，也面臨更加復雜的挑戰(zhàn)，主要基于幾個特點：第一，中國是世界第一網(wǎng)絡大國，網(wǎng)民數(shù)量眾多，超過第二、第三名的總和；第二，中國已步入成為高度網(wǎng)絡化、數(shù)據(jù)化的發(fā)展階段，大量的工作生活依靠網(wǎng)絡和數(shù)據(jù)來實現(xiàn)，一旦出現(xiàn)數(shù)據(jù)安全問題會產(chǎn)生較大的影響；第三，中國面臨的網(wǎng)絡黑灰產(chǎn)、網(wǎng)絡詐騙等問題比較凸出。

以上述紹興警方抓獲的“史上最大規(guī)模數(shù)據(jù)盜竊案”為例，作案者為新媒體營銷公司，通過操控用戶賬號進行微博、微信、QQ、抖音等社交平臺的加粉、刷量、加群、違規(guī)推廣，非法獲利，旗下一家公司一年營收就超過3000萬元。具體操作手法，則是與覆蓋十余省市的運營商簽訂營銷廣告系統(tǒng)服務合同，鉆運營商監(jiān)管不力的空子，在運營商服務器中布置惡意采集信息程序，從運營商流量池中非法獲取用戶數(shù)據(jù)，為逃避監(jiān)管追查，還將部分數(shù)據(jù)存儲于日本的服務器上。

而掌握上述全面的用戶信息，“黑灰產(chǎn)”團伙還可通過對用戶進行“人物畫像”，實施精準的電信詐騙等多種犯罪行為。今年陜西警方抓獲的電信詐騙團伙，僅以更改考試成績?yōu)榛献域_錢，就設計了380個劇本，進行精準詐騙。

近年來侵犯公民個人信息案件的高發(fā)。去年3月，公安部開展打擊整治黑客攻擊破壞和網(wǎng)絡侵犯公民個人信息犯罪專項行動，僅4個月時間就偵破相關案件1800余起，抓獲犯罪嫌疑人4800余名，查獲各類公民個人信息500余億條。