阿里安全将打造数字基建的新一代安全架构

日前，阿里面向行业用户和企业用户发布了一张安全基建大图。这张图凝聚了阿里安全过去20年来积累沉淀的经验和在安全部署落地中的深刻理解。为了安全产业能够更准确认识这张安全基建大图的价值，阿里安全资深安全专家铁花、林峻接受了51CTO记者的采访，分享了阿里安全对于业界安全能力建设的思考与探索。

打造数字基建的新一代安全架构

阿里安全这张新基建大图中所呈现的新一代安全架构理念，其实早已在阿里自己实践中反复验证并日趋完善。林峻透露，阿里作为数字经济发展的典型企业，业务规模庞大又复杂，为了与业务匹配，阿里安全搭建了一套三层安全架构，从安全技术、安全基建到安全运营来全面支撑业务安全稳定地运营。

在最底层安全技术层，集合了所有阿里底层的能力，再通过中间层安全基建层将能力沉淀为标准的体系和配套的流程、产品，形成中台，通过中台建立可信的应用体系，达到风险预防免疫的效果。到了最高层安全运营层，利用中台的能力，实现高效的响应，可以针对业务做快速适配，可以准确应对安全风险。“这三层互相配合，就形成了适应在阿里新一代的安全架构。” 林峻总结道。

在详解这三层安全架构时，林峻特别指出，安全基建层的核心价值就如同人体的免疫系统，它建设的重点不仅仅要实现应用本身的深度安全，更要从员工安全意识，企业安全能力等多个维度实现提升。

他分别从两个维度做了更详细的阐述：从技术维度看，在安全基建层要建立应用可信体系，并基于这个体系对抗外部攻击。为了得到更好的安全效果，阿里安全还博取众家之长建设自己的标准，分别是搭建完整的应用安全流程、构建相应的管理体系、确定度量评估体系、规范执行细节。“这套应用安全标准体系覆盖了供应链、研发生命周期、发布卡口、应用可信、运行等所有环节，不仅实现安全预防，并且建立了免疫体系。”而从人的维度上看，阿里安全认为必须要加强员工意识，提升安全技能。为此阿里安全一方面针对不同的技术岗位如前端开发、测试、客户端开发、服务端开发，提供不同的课程题库，让员工的安全能力可以阶段性地提升，另一方面会及时将业界安全风险事件触达用户，并通过安全竞赛等活动帮助用户不断提升安全风险意识。

记者了解到，目前阿里和清华大学还联合主办安全AI挑战者计划，旨在打造全球最顶尖的安全AI赛事，面向未来培养更多新基建安全技术人才。目前安全AI挑战者已经进行到第五期，为广大安全爱好者提供数字基建安全的试炼场，在高难度的真实环境中提升技术，培养真正有安全实战能力的安全基建人才。

让安全“看得见”，新零售全线提升安全水准

那么阿里安全的这套新一代安全架构在应用中究竟成效如何呢？

林峻以阿里旗下的新零售事业群为例，分享了应用成果。阿里新零售业务涉及到阿里旗下40多个事业部，包括了8000多名一线研发人员。阿里安全针对新零售事业群制定了安全红线，然后先从人员意识和能力开始做起，设置了完整的培训课程，并融入到现在的安全成长体系里，先后在线上对4万多名相关人员进行培训，并让8000多名一线研发人员通过安全认证和考试。

与此同时，阿里安全将过去分散的安全服务产品整合成一个“安全服务中心”，与安全开发流程做了深度整合，在研发的全流程里，从应用创建到线上发布再到下线，都会有安全相应产品介入。“在安全服务中心，研发组长和一线研发人员都能够清楚看得到自己的产线目前安全能力处于怎样的水平，应该从哪些方面加强提升。”

为企业提供“安全方法论”+适配安全产品

虽然安全是一个不断变化的过程，但是万变不离其宗，铁花指出，从方法论角度看，不论安全呈现出怎样的新业态，都会包含生产资料、建设过程、应用交付这些基本元素，所以阿里的安全新基建大图提供的安全理论，这整套的理论包括技术基建整套方法论都可以在新的业态里去尝试和使用。

众所周知，安全是一种综合能力，对于中小企业而言，想实现应用安全其实并不容易，这不是购买一两套安全产品就能解决的，要想构建一套适配企业业务的安全标准和体系，必须要有资深的安全专家来做设计，需要投入大量的人力物力。正因如此，阿里安全的新基建大图才更有用武之地，因为对比这套新一代安全架构之后，企业可以准确意识到自己的安全水平处于哪个阶段，还有哪些环节需要提升，然后可以直接选择阿里配套的安全产品，投入更小效果更理想。

“用户使用这套方法论，可以低成本地实现安全部署，低门槛地实现安全检测、安全流程开发、应用防护等功能，提升整体安全水平。”铁花还告诉记者，阿里安全提供的标准是具备普适性的，适用范围非常广泛。“虽然每个行业都有自己的特色属性，但是在互联网行业，包括电商、健康、物流、车联网，阿里这套安全架构可以覆盖绝大多数的应用场景。未来像智慧工业、生物医药，阿里也有计划去做更深入的安全研发。”

采访最后，铁花表示，阿里安全希望每当用户生成新的系统时，安全不再游离在外是一个单独的产品，而是在设计阶段就成为默认的属性与系统共生。“未来企业会越来越重视安全，目前阿里正在实践中，并已经在安全方面取得一些成效，我们将其中精华提炼分享出来，希望给行业更多借鉴和参考，最终实现业界安全能力的整体提升。”
责编AJX