阿里安全將打造數(shù)字基建的新一代安全架構(gòu)

日前，阿里面向行業(yè)用戶和企業(yè)用戶發(fā)布了一張安全基建大圖。這張圖凝聚了阿里安全過去20年來積累沉淀的經(jīng)驗和在安全部署落地中的深刻理解。為了安全產(chǎn)業(yè)能夠更準確認識這張安全基建大圖的價值，阿里安全資深安全專家鐵花、林峻接受了51CTO記者的采訪，分享了阿里安全對于業(yè)界安全能力建設的思考與探索。

打造數(shù)字基建的新一代安全架構(gòu)

阿里安全這張新基建大圖中所呈現(xiàn)的新一代安全架構(gòu)理念，其實早已在阿里自己實踐中反復驗證并日趨完善。林峻透露，阿里作為數(shù)字經(jīng)濟發(fā)展的典型企業(yè)，業(yè)務規(guī)模龐大又復雜，為了與業(yè)務匹配，阿里安全搭建了一套三層安全架構(gòu)，從安全技術、安全基建到安全運營來全面支撐業(yè)務安全穩(wěn)定地運營。

在最底層安全技術層，集合了所有阿里底層的能力，再通過中間層安全基建層將能力沉淀為標準的體系和配套的流程、產(chǎn)品，形成中臺，通過中臺建立可信的應用體系，達到風險預防免疫的效果。到了最高層安全運營層，利用中臺的能力，實現(xiàn)高效的響應，可以針對業(yè)務做快速適配，可以準確應對安全風險?！斑@三層互相配合，就形成了適應在阿里新一代的安全架構(gòu)。” 林峻總結(jié)道。

在詳解這三層安全架構(gòu)時，林峻特別指出，安全基建層的核心價值就如同人體的免疫系統(tǒng)，它建設的重點不僅僅要實現(xiàn)應用本身的深度安全，更要從員工安全意識，企業(yè)安全能力等多個維度實現(xiàn)提升。

他分別從兩個維度做了更詳細的闡述：從技術維度看，在安全基建層要建立應用可信體系，并基于這個體系對抗外部攻擊。為了得到更好的安全效果，阿里安全還博取眾家之長建設自己的標準，分別是搭建完整的應用安全流程、構(gòu)建相應的管理體系、確定度量評估體系、規(guī)范執(zhí)行細節(jié)?！斑@套應用安全標準體系覆蓋了供應鏈、研發(fā)生命周期、發(fā)布卡口、應用可信、運行等所有環(huán)節(jié)，不僅實現(xiàn)安全預防，并且建立了免疫體系?！倍鴱娜说木S度上看，阿里安全認為必須要加強員工意識，提升安全技能。為此阿里安全一方面針對不同的技術崗位如前端開發(fā)、測試、客戶端開發(fā)、服務端開發(fā)，提供不同的課程題庫，讓員工的安全能力可以階段性地提升，另一方面會及時將業(yè)界安全風險事件觸達用戶，并通過安全競賽等活動幫助用戶不斷提升安全風險意識。

記者了解到，目前阿里和清華大學還聯(lián)合主辦安全AI挑戰(zhàn)者計劃，旨在打造全球最頂尖的安全AI賽事，面向未來培養(yǎng)更多新基建安全技術人才。目前安全AI挑戰(zhàn)者已經(jīng)進行到第五期，為廣大安全愛好者提供數(shù)字基建安全的試煉場，在高難度的真實環(huán)境中提升技術，培養(yǎng)真正有安全實戰(zhàn)能力的安全基建人才。

讓安全“看得見”，新零售全線提升安全水準

那么阿里安全的這套新一代安全架構(gòu)在應用中究竟成效如何呢？

林峻以阿里旗下的新零售事業(yè)群為例，分享了應用成果。阿里新零售業(yè)務涉及到阿里旗下40多個事業(yè)部，包括了8000多名一線研發(fā)人員。阿里安全針對新零售事業(yè)群制定了安全紅線，然后先從人員意識和能力開始做起，設置了完整的培訓課程，并融入到現(xiàn)在的安全成長體系里，先后在線上對4萬多名相關人員進行培訓，并讓8000多名一線研發(fā)人員通過安全認證和考試。

與此同時，阿里安全將過去分散的安全服務產(chǎn)品整合成一個“安全服務中心”，與安全開發(fā)流程做了深度整合，在研發(fā)的全流程里，從應用創(chuàng)建到線上發(fā)布再到下線，都會有安全相應產(chǎn)品介入?！霸诎踩罩行模邪l(fā)組長和一線研發(fā)人員都能夠清楚看得到自己的產(chǎn)線目前安全能力處于怎樣的水平，應該從哪些方面加強提升?！?/p>

為企業(yè)提供“安全方法論”+適配安全產(chǎn)品

雖然安全是一個不斷變化的過程，但是萬變不離其宗，鐵花指出，從方法論角度看，不論安全呈現(xiàn)出怎樣的新業(yè)態(tài)，都會包含生產(chǎn)資料、建設過程、應用交付這些基本元素，所以阿里的安全新基建大圖提供的安全理論，這整套的理論包括技術基建整套方法論都可以在新的業(yè)態(tài)里去嘗試和使用。

眾所周知，安全是一種綜合能力，對于中小企業(yè)而言，想實現(xiàn)應用安全其實并不容易，這不是購買一兩套安全產(chǎn)品就能解決的，要想構(gòu)建一套適配企業(yè)業(yè)務的安全標準和體系，必須要有資深的安全專家來做設計，需要投入大量的人力物力。正因如此，阿里安全的新基建大圖才更有用武之地，因為對比這套新一代安全架構(gòu)之后，企業(yè)可以準確意識到自己的安全水平處于哪個階段，還有哪些環(huán)節(jié)需要提升，然后可以直接選擇阿里配套的安全產(chǎn)品，投入更小效果更理想。

“用戶使用這套方法論，可以低成本地實現(xiàn)安全部署，低門檻地實現(xiàn)安全檢測、安全流程開發(fā)、應用防護等功能，提升整體安全水平?！辫F花還告訴記者，阿里安全提供的標準是具備普適性的，適用范圍非常廣泛?！半m然每個行業(yè)都有自己的特色屬性，但是在互聯(lián)網(wǎng)行業(yè)，包括電商、健康、物流、車聯(lián)網(wǎng)，阿里這套安全架構(gòu)可以覆蓋絕大多數(shù)的應用場景。未來像智慧工業(yè)、生物醫(yī)藥，阿里也有計劃去做更深入的安全研發(fā)?！?/p>

采訪最后，鐵花表示，阿里安全希望每當用戶生成新的系統(tǒng)時，安全不再游離在外是一個單獨的產(chǎn)品，而是在設計階段就成為默認的屬性與系統(tǒng)共生?！拔磥砥髽I(yè)會越來越重視安全，目前阿里正在實踐中，并已經(jīng)在安全方面取得一些成效，我們將其中精華提煉分享出來，希望給行業(yè)更多借鑒和參考，最終實現(xiàn)業(yè)界安全能力的整體提升?！?br /> 責編AJX