近年来，大规模的个人信息泄漏事件不断发生，由此引发的精准诈骗也经常被媒体报道。有着庞大用户群体和海量交易的阿里巴巴却能独善其身，这背后有什么独门秘籍呢？

当我们表明来意时，阿里安全技术平台资深专家玄泰反复提到“御城河”三个字。

阿里安全技术平台资深专家 玄泰

“我们的秘密武器就是御城河。”玄泰沉吟片刻，“它是阿里巴巴独创的数据风险防控体系，围绕着数据在整个阿里生态的流转链路，从数据风险的预防、发现、定位、处置，再到更深层次的立体感知和溯源，形成了一套完备的数据安全解决方案。它向所有阿里生态伙伴开放，覆盖整个电商生态。”

为了强化我们对御城河的理解和感受，玄泰出示了一组惊人的数据。

据玄泰介绍，目前，御城河保护数几百万商家的几千万台终端，1000多家核心服务商的几千个应用，以及主流物流公司的10余万个网点，实时检测系统、应用、账号等30多个维度的数据访问风险。在2017天猫双11当天，御城河进行风险检测就超过65亿次，发现主机、访问、木马等风险1万多个，拦截账号、主机等风险数万个。

何谓“御城河”？

不得不说，阿里安全的工程师还是很会取名字的。御城河，从字面上就有一种高大上的感觉，而且基本一看就能够揣测其意。但它究竟是什么呢？玄泰为我们揭开了这个谜底。

“以订单信息为例，用户在平台购物下单后，会进入复杂的订单处理流程。在一个典型的场景中，订单会首先进入商家订购的三方软件开发商的ERP处理系统，经过处理后传输到商家的仓储WMS系统，再然后对接到物流公司的物流系统。同时商品上也会有打印出来的收货信息，货物经过物流公司的多次转运，最后由快递员送到用户手中。”

“可以看到，数据就像河流一样错综复杂地流过各个生态伙伴的数据使用节点，这些节点就像是城池，也是是黑灰产时刻窥视的攻击目标。御城河取其意，像护城河一样守护这些城池，防止城池中的数据被非法窃取。”

“御城河体系就是基于整个数据链路中的风险来设计的。首先，是风险预防，加高各个城池的城墙。对容易出现的风险点进行加固，涉及服务端的防御、前端的防御、客户端防御等方面。比如服务器防入侵、应用保护、客户端防护、账号保护等等；”

“随之是风险发现，在城池上安装了全方位的视频监控系统。御城河有一套基于大数据的智能风控模型，对每个核心数据流通环节进行风险建模，识别核心数据的访问风险；。”

“之后是对异常或风险进行定位和处置。比如风险原因、影响范围等等；定位之后需要进行处置，即怎么将这些风险消化掉。方式可能会有很多种。比如说，直接线上自动处置掉，也有可能是人工介入处理等等，需要根据不同的风险状态进行决策；”

“再深层次的，就是对整个全局的风险和异常的感知。这一阶段往往是对未来可能发生的风险进行预测。这一系列都是通过御城河在各个链路的产品能力实现的。”

玄泰告诉我们，御城河经过演进，目前已经研发出针对不同行业的多个版本，包括服务商版、商家版、物流版、跨境版、通用版以及针对特殊业务或架构而定制的版本。

事实上，御城河之所以诞生，是为了使命而来，而这个使命就是为了数据安全，其中以防止信息泄露为重。玄泰认为，信息泄露并不能被认为是某种风险，而是由各种风险引发或导致的结果。“比如，服务器被入侵，导致数据被窃取。或者，账号被盗后被别人用来偷了数据。也有可能是，内鬼将自己能够接触到的数据拿去贩卖等等，这些都是导致信息泄露的风险点。”玄泰说。

因此，阿里安全的工程师针对信息泄露的问题进行回溯，去分析、覆盖所有可能的风险。以帮助阿里经济体的生态伙伴进行风险防控。这其中包括端的对抗、后端的漏洞检测修复、运行环境的安全等等，几乎从最底层的系统到应用，再到设备、账号等，均会进行保护。

在玄泰看来，这条链路上的任何一个点出问题，都有可能导致信息泄露，因此，必须实现无缝覆盖。

“御城河”诞生记

既然这么牛，那么御城河是怎么诞生的呢？玄泰娓娓道来。

2013年以前阿里巴巴集团就开始做信息泄露防控，而“御城河”这套体系化的防控体系则始于2014年，而负责这套系统的团队——生态安全也成立于2014年。

“那时候对于怎么解决开放场景下的数据安全问题，没有现成的经验可以借鉴，也没有看到解决这类问题的产品。很多是遇到问题就去解决，偏事后，我们也逐步摸索，希望可以更加系统、智能地去做数据安全。我们做了大量的创新，实现了通过流量和主机层行为的关联分析，发现可疑的入侵行为。提出利用大数据驱动的行为分析技术来监测和定位风险，并将能力SaaS化，供所有生态伙伴使用。在这个过程中，团队申请了6个技术专利。”玄泰说。

到2015年开始，玄泰和他的团队逐步摸索出了一个完整的产品体系。并在2015年年中，对御城河产品体系进行轻量级升级，对生态伙伴则采用全新的方式进行系统安全升级。“很快，年中的时候就把御城河武装到了大半的淘系订单数据链路。”玄泰说。

那么，按照“轻装上阵”的思路开发出来的系统实战效果如何呢？

“哐”，玄泰用了这个非常形象的词来形容全新系统的功效。“我们能看到用户的投诉就‘哐’地往下掉，直线往下掉。而且掉下来之后，就再也没有反弹。”玄泰的言语中透露出一丝自豪。

新系统完全展现了新的开发思路，提供优化后的轻量级产品，建立规范，帮生态伙伴进行基础的安全建设，最为重要的是，生态伙伴一旦有风险，系统马上就能实时发现，而且能够即时找到问题所在。

“如同警察抓小偷一样，只要小偷一伸手就会被抓到，而平常根本没有发现警察出现，用户也没有感知。这种模式非常的轻，而且我们把很多的产品都拆解得更细，不再像过去那样，只能一整套全部使用，可以单独地用。”玄泰的语气中充满是自豪。

然而，这仅仅是个开始。

服务商、商家、物流全链路的保护

据玄泰介绍，2014-2015年，生态安全团队主要集中在做服务商的治理。慢慢地，玄泰和他的团队基本完成了服务商的治理。淘系电商每天经过服务商应用的订单中，98%经过御城河。而且御城河接入的成本大大降低，一般的接入仅需很短时间即可完成。

“2015年随着御城河在服务商领域的大范围使用，针对服务商的投诉占比从绝对数几乎降到了最低。”玄泰说。

但是，在解决服务商的问题之后，商家的问题又出来了。

据介绍，商家的信息泄露主要由几大类风险引发。第一个，商家的正常的客服被黑产收买；第二个，黑产人员经过培训后，应聘到商家，获取权限之后窃取数据；第三个，一些商家是传统企业转型而来，拥有多年来自己开发使用的系统，并且是单独部署的，安全往往比较薄弱。

2016年，阿里安全发布了御城河商家版，免费提供给卖家使用。“我们的系统有非常强的风险发现能力，在发现风险之后，可以实时处置。”玄泰说，“这些风险我们会进行等级划分，不同等级的风险处置方式也会不一样。”

好了，除了服务商和商家的问题，物流商也是一大领域。

“物流产业非常庞大也更为复杂，一开始的时候甚至不知道到底有多少问题。”玄泰说。于是，同年，御城河的物流版上线了。

相较于商家来说，快递公司的数量要少得多，全国范围来看，数得上名的大概也就几十家，但网点、从业人员可以说是非常庞大。但是有了服务商的治理经验，生态安全团队并没有急于一拥而上，而是有自己的策略。这个策略就是，先覆盖快递商，并将主要的精力放在最TOP的快递商上。

“今年我们就花了比较多的精力在快递行业的治理。今年御城河已经和大部分的快递展开合作并且取得了很好的效果。”玄泰说，“接下去，我们的目标就是物流的其他方面，包括仓储和配送。”

“把日常做成双11，把双11做成日常”

对于今年的双11，玄泰坦言，他能讲的东西并不多。

2014年，生态安全团队成立，那一年的双11也是由玄泰负责相关的工作。“那一年的双11从 8月份就开始准备安全预案，当时做得很痛苦。”玄泰说。也就是自那时起，玄泰和他的团队作出了一个决定。

“用2-3年的时间，把日常做成双11，把双11做成日常。”

正是基于这样的决心并落地实施。2016年双11和2017年双11，生态安全团队都感觉“轻松写意”，甚至在2016年双11的时候打算不值班了！“未来希望每年双十一都能喝着茶然后买买买”。

但最终，2016年双11，御城河顺利扛过系统压力。因为系统实现了三个“0”，即“0故障、0降级、0事件”，要知道，这是在那么大订单量的情况下获得的荣誉。

而2017年双11，御城河同样达成了三个“0”这一结果。

“御城河在技术上也是蛮有意思的，我们从14年底开始发布，一直到目前为止，我们只出现了一个P4故障。所有的质量保证，研发阶段就搞定。”玄泰说。

通常来说，在阿里，P4故障都是不记录的。这么牛，是怎么保证的？

在玄泰看来，研发保障质量，这是他对自己团队的要求。“研发还是比较牛的。所有的东西要求他们自己去保障，所以，质量方面、稳定性方面还算是不错的。”玄泰給予自己的小伙伴们极高的评价。

“今年双11值班了，但其实状态相对轻松。”当我们最后想要试图挖出一些料的时候，玄泰淡淡地说。