日前，阿里面向行業(yè)用戶和企業(yè)用戶發(fā)布了一張安全基建大圖。這張圖凝聚了阿里安全過去20年來積累沉淀的經(jīng)驗(yàn)和在安全部署落地中的深刻理解。為了安全產(chǎn)業(yè)能夠更準(zhǔn)確認(rèn)識這張安全基建大圖的價(jià)值，阿里安全資深安全專家鐵花、林峻接受了51CTO記者的采訪，分享了阿里安全對于業(yè)界安全能力建設(shè)的思考與探索。

打造數(shù)字基建的新一代安全架構(gòu)

阿里安全這張新基建大圖中所呈現(xiàn)的新一代安全架構(gòu)理念，其實(shí)早已在阿里自己實(shí)踐中反復(fù)驗(yàn)證并日趨完善。林峻透露，阿里作為數(shù)字經(jīng)濟(jì)發(fā)展的典型企業(yè)，業(yè)務(wù)規(guī)模龐大又復(fù)雜，為了與業(yè)務(wù)匹配，阿里安全搭建了一套三層安全架構(gòu)，從安全技術(shù)、安全基建到安全運(yùn)營來全面支撐業(yè)務(wù)安全穩(wěn)定地運(yùn)營。

在最底層安全技術(shù)層，集合了所有阿里底層的能力，再通過中間層安全基建層將能力沉淀為標(biāo)準(zhǔn)的體系和配套的流程、產(chǎn)品，形成中臺，通過中臺建立可信的應(yīng)用體系，達(dá)到風(fēng)險(xiǎn)預(yù)防免疫的效果。到了最高層安全運(yùn)營層，利用中臺的能力，實(shí)現(xiàn)高效的響應(yīng)，可以針對業(yè)務(wù)做快速適配，可以準(zhǔn)確應(yīng)對安全風(fēng)險(xiǎn)。“這三層互相配合，就形成了適應(yīng)在阿里新一代的安全架構(gòu)。” 林峻總結(jié)道。

在詳解這三層安全架構(gòu)時(shí)，林峻特別指出，安全基建層的核心價(jià)值就如同人體的免疫系統(tǒng)，它建設(shè)的重點(diǎn)不僅僅要實(shí)現(xiàn)應(yīng)用本身的深度安全，更要從員工安全意識，企業(yè)安全能力等多個(gè)維度實(shí)現(xiàn)提升。

他分別從兩個(gè)維度做了更詳細(xì)的闡述：從技術(shù)維度看，在安全基建層要建立應(yīng)用可信體系，并基于這個(gè)體系對抗外部攻擊。為了得到更好的安全效果，阿里安全還博取眾家之長建設(shè)自己的標(biāo)準(zhǔn)，分別是搭建完整的應(yīng)用安全流程、構(gòu)建相應(yīng)的管理體系、確定度量評估體系、規(guī)范執(zhí)行細(xì)節(jié)。“這套應(yīng)用安全標(biāo)準(zhǔn)體系覆蓋了供應(yīng)鏈、研發(fā)生命周期、發(fā)布卡口、應(yīng)用可信、運(yùn)行等所有環(huán)節(jié)，不僅實(shí)現(xiàn)安全預(yù)防，并且建立了免疫體系。”而從人的維度上看，阿里安全認(rèn)為必須要加強(qiáng)員工意識，提升安全技能。為此阿里安全一方面針對不同的技術(shù)崗位如前端開發(fā)、測試、客戶端開發(fā)、服務(wù)端開發(fā)，提供不同的課程題庫，讓員工的安全能力可以階段性地提升，另一方面會及時(shí)將業(yè)界安全風(fēng)險(xiǎn)事件觸達(dá)用戶，并通過安全競賽等活動幫助用戶不斷提升安全風(fēng)險(xiǎn)意識。

記者了解到，目前阿里和清華大學(xué)還聯(lián)合主辦安全AI挑戰(zhàn)者計(jì)劃，旨在打造全球最頂尖的安全AI賽事，面向未來培養(yǎng)更多新基建安全技術(shù)人才。目前安全AI挑戰(zhàn)者已經(jīng)進(jìn)行到第五期，為廣大安全愛好者提供數(shù)字基建安全的試煉場，在高難度的真實(shí)環(huán)境中提升技術(shù)，培養(yǎng)真正有安全實(shí)戰(zhàn)能力的安全基建人才。

讓安全“看得見”，新零售全線提升安全水準(zhǔn)

那么阿里安全的這套新一代安全架構(gòu)在應(yīng)用中究竟成效如何呢？

林峻以阿里旗下的新零售事業(yè)群為例，分享了應(yīng)用成果。阿里新零售業(yè)務(wù)涉及到阿里旗下40多個(gè)事業(yè)部，包括了8000多名一線研發(fā)人員。阿里安全針對新零售事業(yè)群制定了安全紅線，然后先從人員意識和能力開始做起，設(shè)置了完整的培訓(xùn)課程，并融入到現(xiàn)在的安全成長體系里，先后在線上對4萬多名相關(guān)人員進(jìn)行培訓(xùn)，并讓8000多名一線研發(fā)人員通過安全認(rèn)證和考試。

與此同時(shí)，阿里安全將過去分散的安全服務(wù)產(chǎn)品整合成一個(gè)“安全服務(wù)中心”，與安全開發(fā)流程做了深度整合，在研發(fā)的全流程里，從應(yīng)用創(chuàng)建到線上發(fā)布再到下線，都會有安全相應(yīng)產(chǎn)品介入。“在安全服務(wù)中心，研發(fā)組長和一線研發(fā)人員都能夠清楚看得到自己的產(chǎn)線目前安全能力處于怎樣的水平，應(yīng)該從哪些方面加強(qiáng)提升。”

為企業(yè)提供“安全方法論”+適配安全產(chǎn)品

雖然安全是一個(gè)不斷變化的過程，但是萬變不離其宗，鐵花指出，從方法論角度看，不論安全呈現(xiàn)出怎樣的新業(yè)態(tài)，都會包含生產(chǎn)資料、建設(shè)過程、應(yīng)用交付這些基本元素，所以阿里的安全新基建大圖提供的安全理論，這整套的理論包括技術(shù)基建整套方法論都可以在新的業(yè)態(tài)里去嘗試和使用。

眾所周知，安全是一種綜合能力，對于中小企業(yè)而言，想實(shí)現(xiàn)應(yīng)用安全其實(shí)并不容易，這不是購買一兩套安全產(chǎn)品就能解決的，要想構(gòu)建一套適配企業(yè)業(yè)務(wù)的安全標(biāo)準(zhǔn)和體系，必須要有資深的安全專家來做設(shè)計(jì)，需要投入大量的人力物力。正因如此，阿里安全的新基建大圖才更有用武之地，因?yàn)閷Ρ冗@套新一代安全架構(gòu)之后，企業(yè)可以準(zhǔn)確意識到自己的安全水平處于哪個(gè)階段，還有哪些環(huán)節(jié)需要提升，然后可以直接選擇阿里配套的安全產(chǎn)品，投入更小效果更理想。

“用戶使用這套方法論，可以低成本地實(shí)現(xiàn)安全部署，低門檻地實(shí)現(xiàn)安全檢測、安全流程開發(fā)、應(yīng)用防護(hù)等功能，提升整體安全水平。”鐵花還告訴記者，阿里安全提供的標(biāo)準(zhǔn)是具備普適性的，適用范圍非常廣泛。“雖然每個(gè)行業(yè)都有自己的特色屬性，但是在互聯(lián)網(wǎng)行業(yè)，包括電商、健康、物流、車聯(lián)網(wǎng)，阿里這套安全架構(gòu)可以覆蓋絕大多數(shù)的應(yīng)用場景。未來像智慧工業(yè)、生物醫(yī)藥，阿里也有計(jì)劃去做更深入的安全研發(fā)。”

采訪最后，鐵花表示，阿里安全希望每當(dāng)用戶生成新的系統(tǒng)時(shí)，安全不再游離在外是一個(gè)單獨(dú)的產(chǎn)品，而是在設(shè)計(jì)階段就成為默認(rèn)的屬性與系統(tǒng)共生。“未來企業(yè)會越來越重視安全，目前阿里正在實(shí)踐中，并已經(jīng)在安全方面取得一些成效，我們將其中精華提煉分享出來，希望給行業(yè)更多借鑒和參考，最終實(shí)現(xiàn)業(yè)界安全能力的整體提升。”
責(zé)編AJX