未来•已来

支付宝安全的 今天和明天

已来

支付宝安全体系能力



3W+/S、10亿+/天的交易风险识别与管控容量 2W+条规则与模型的部署容量

20+亿/天的风险敏感事件写入与计算容量

屏蔽全球近一半的电商钓鱼网站



低于十万分之一的风险损失率 基于大数据不断学习与优化的威胁监测、用户刻画与行为分析，实时保障几亿实名用户账户



支付宝安全 体系能力



与超过200家合作伙伴的数据与用户触达协作 单次风险识别2000+变量计算能力



平均100ms实时风险识别与管控能力



小时级的风险应急响应与策略部署能力

支付宝安全系统



应用防护系统 业务安全监控系统



DDOS防护系统 风控系统



安全系统 业务安全



应用权限管理 SDL



应用审计系统



代码安全



应用安全框架



权限安全 应用安全



数据库审计系统



数据访问控制



安全扫描系统



安全系统



HIDS



数据安全 系统安全



网络扫描系统



网络区域



访问控制



网络安全



综 合 安 全 分 析 系 统

支付宝无线安全



模拟器检测 恶意进程 代理劫持



Root/越狱 HOSTS篡改



DNS劫持 用户行为



数据安全存 储



安全加密



反逆向



无线木马检 测

无线验证码

应用篡改检 测



无线UMID

安全漏洞检 测

安全签名



安全键盘 无线定位



反调试



代码混淆



反篡改

支付宝业务安全系统



安全 防护 体系



（第一层）系统安全攻防

传统钓鱼攻防



网站扫号攻防



木马攻防

安全产品攻防 （证书被复制）

密码攻防 （暴力破解、重放）



自动创建交易 网络攻防（WAF）

图片验证码 网站漏洞扫描



内部信息安全防控



风险



（第二层）身份认 证



PKI (证书)

OTP (令牌)

第三方盾/令牌



交 易 签 名



个人隐私 认证



（第三层） 风险评估



专家规 则体系



行为评估 用户和账户评估



智能模 型体系



用户终端环境评 估



风险



逐



防控 层



防控



（第四层） 风险管控决策



风险等 级

安全等 级

额度权 限中心



风险认证 风险攻防 风险处罚 额度控制 权限控制

………



风险 核查

案件分析

赔付

深度分析



第三方泄露 钓密码

风险



网站泄露



信息安全（泄露）



盗账户



盗卡



个人欺诈



第三方 钓鱼 欺诈



交易风险 客户风险



第三方 木马 欺诈



交易抵赖



主动欺诈 内容违禁风险 交易抵赖 炒信风险



信用 风险



收单 风险



合规 风险

商户（卖家）风险



信用 风险



套现风险

合规风险 合规风险



洗钱风险



网站恶意攻击



内部批量信息 泄露



公司自身风险



声誉 风险



攻击 方式



批量 扫号



拖库



钓鱼 链接



木马远程



SIM卡复制



短信转移



假客服



邮箱钓鱼



木马钓鱼



商户违规



商户虚 假交易



卖家虚 假交易



卡盗用



虚假交易



批量注册



批量攻击

未来

• 十亿交易量级 • 更多数据种类与数

据量

容量

性能

• 毫秒级的识别响应 • 实时数据计算



快速 灵活



• 快速接入 • 快速发现 • 灵活部署 • 灵活调整



智能 精准



• 数据精准 • 立体识别与布控 • 智能分析与决策

开放•合作•共赢