一万个方法拿到“徐玉玉”的数据，阿里巴巴如何对抗精准诈骗

爸，我昨天嫖娼被抓了，现在派出所，他们要塞钱才能放我出来，这是那个人的账号****，开户行是**，派出所不让打电话，不然会挨揍，不要告诉我妈。

你可能没有儿子，但你可能收到过这样的信息，对，这样肯定骗不到机智的你，我们来看下一条。

爸，我昨天嫖娼被抓了，现在派出所，贾伯伯虽然在外地，但他帮我找了人，他现在急着飞国外，他们要塞钱才能放我出来，这是那个人的账号****，开户行是**，派出所不让打电话，不然会挨揍，不要告诉我妈，你也知道她有心脏病，一个星期前才住了院。

如果骗子操作细致，通过各路信息渠道知道老王有个儿子在外地上学，他的妻子一个星期前因为心脏病住院，他有个朋友姓贾，电话暂时联系不上。那么，老王有可能上当受骗。

电信诈骗似乎无处不在，徐玉玉遭遇电信诈骗的事件绝对不是孤例。在等车的间隙，吃火锅烫菜的时候，或者网购时，你都可能会收到一条诈骗短信，内容各异，目的相同。

如果要为这些那些精准的电信诈骗、网络诈骗等各类诈骗找一个共同的凶手，想必你绝对不会反对这一个——信息泄露。

阿里巴巴集团安全副总裁杜跃进在2016中国国际大数据大会上干脆下了一个定论——信息泄露来自什么地方？来自今天的大数据环境，不一定是在拥有大量数据的地方，而是到处都在漏数据。

不要以为这是耸人听闻。几天前，雅虎才承认5亿账户遭窃，2亿账户信息暗网黑市叫卖，比雅虎泄露更严重的是，超85万台思科设备仍受“零日漏洞”影响，这意味着攻击者可直接从设备内存中盗取数据。

直观的是，各类电信诈骗、网络诈骗等带来钱财损失，有时甚至是生命的代价，还有一类损失看不见，却感受得到。但是之前，一直有一种声音——被骗是因为你蠢。

作为安全行业的资深从业者，杜跃进要给大家辟个谣：

非常重要的数据的泄露，导致非常精准的诈骗，老百姓没有办法应对这些骗局。大家不要觉得被诈骗的人自己不聪明，我在阿里巴巴客服部门专门听反诈骗的东西，发现对很多人而言，被诈骗之后，最大的打击来自心理，很多高级知识分子被骗后，打击更大。而类似徐玉玉的群体，他们收入很低，打击更大一些。

因此，数据安全迫在眉睫。

防盗防漏防猪队友

但是，一个需要强调的问题又来了，数据安全涉及到两个层面：数据存放系统的安全和流动数据本身的安全。

何谓数据流动的安全？

举个栗子。

老王在某通信运营商办理了一项需要详细身份信息的业务，刚好通信运营商自己在做数据统计和用户分析，这项研究他们和A机构一起开展，不久后他们又将这批数据作为资源和B银行一起合作。不过，B银行也不是单独开展业务，它还有C和D两个合作商……

在运营商及A、B、C、D还有数不清的潜在字母合作者手里，至关重要的数据在流动。有一天，老王接到一个来电，通知办理的某项业务有问题，需要他去外地某个机构实地办理，或者登录某个网址、打某个看似客服电话的电话咨询。在这个极有可能是电信诈骗的案例里，老王纳闷了，哪个环节，哪一家把信息给卖了？

杜跃进充分感受到了这一点。

数据安全是“以数据为中心的安全”，而当今以数据为中心的安全和过去非常不同。现在的数据是融在业务里的，数据在流动的过程中要保证它的安全。可是数据在哪里产生、存储、丢失？都和过去不一样，这涉及到数据是不是能防止被外面窃取，甚至包括自己的业务生态圈——你自己之外的数据流转时，安全能否得到保证？

“采集数据是罪恶之源，数据采集了后应该被遗忘，实际上我不认同这样的观点。”

实际上大数据也是解决安全问题的关键。利用大数据和网络空间的坏人对抗时，速度是特别关键的点，这个“速度”来自快速的大数据分析。我们正在进入数据时代，未来各种业务也都离不开大数据的应用。但是，在这种情况下，当你是一家和数据有关的公司或者部门，你会面临两个问题。

杜跃进对雷锋网(搜索“雷锋网”公众号关注)强调：

第一个问题，下一个徐玉玉案出现时，你是不是数据泄露的地方，为此你需要担责？

第二个问题，当你想要和别人合作的时候需要数据，有10个竞争者，数据在你的手里比在别人手里更安全吗？

他介绍，电商生态圈有很多独立软件供应商，他们会处理实施交易数据，但是以前这些独立软件供应商的安全问题比较多，大量数据被黑产直接偷走。用户刚下一个订单，详细的数据就出来了，这样就可以诈骗了。

我们跟这样的合作商合作，也很恼火，客户如果受到损失，就会来找我们，客户也会因为这样的事情失去信心，更加不愿意使用各种网络应用，这会让整个行业失去信心。

数据在你手里就安全？

来看一个让人惊讶的对比数据。

在中国大陆，数据黑产一年的产值在1000亿人民币左右，网络安全产业却只有300亿人民币的规模。

那么，数据是怎么被偷走的？

一种是拖库，一个网站出现了漏洞，攻击者利用漏洞获取网站数据库内保存的各类数据，这些数据可能包括在这个网站注册过的用户的账号、密码、电子邮箱、订单等敏感信息。

还有一种，被拥有数据的公司或者部门员工偷偷贩卖。

你手里不是有新数据吗？随便找一个员工，你给我一点数据，我给你钱，一条十块、五十块怎么样？在有些案例里，一个基层政府部门的员工卖了几千万数据，他可以挣到很多的钱。

杜跃进提了很多问题。

• 数据在你手里，这种滥用行为你能发现吗？

• 你的员工不合规使用了权限，比如，他的女朋友找他查一查某个人的数据，他给查了，你能发现吗？

• 如果你不能发现，你怎么样解决滥用问题？

• 如果你解决不了滥用问题，你怎么得到信任？怎么防止被贩卖？

• 就算贩卖被抓住，你连一个线索都找不到，证明不了你的内部贩卖数据。有没有人来审核他在做这个过程当中侵犯到隐私？

杜跃进借此机会，推销了一把“数据安全成熟度模型”，他强调：也不算广告，因为也不拿它卖钱。

既然不“卖钱”，我们来看一下。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!