一年一度的阿裡安全峰會創立于 2014 年,今年已是第三屆,于7月13-14日在北京國家會議中心舉辦。峰會旨在促進亞太區資訊安全行業發展,為本地區資訊安全組織、資訊安全專業人士和決策者搭建一個資訊交流展示平台,探讨目前安全行業的最佳實踐、熱點議題、資訊安全人才培養、新
興技術與發展趨勢等。2016 阿裡安全峰會設立12個分論壇,數十家領軍企業參與、國内外頂級安全專家演講,在電商金融安全,移動安全,威脅情報,人才培養,電子驗證等熱門安全行業問題進行深入探讨與交流,除此之外大會前一天還進行了頂級電商安全移動安全等方向的專業安全技術教育訓練。
7月13日2016阿裡安全峰會上,阿裡巴巴安全部技術副總裁杜躍進進行了分享,他認為我們不是隻是擔心資料被采集了,而是擔心了是不是被濫用。
<b>阿裡巴巴安全部技術副總裁杜躍進</b>
<b>以下是演講實錄:</b>
大家好,下午很高興和大家分享一個主題,叫做資料安全的緊迫問題。今天,我們不同的人都在講各種各樣的安全問題,但是,我們不能否認,在所有的安全裡,無論哪一個國家,都有一個重中之重的問題,就是資料。
對于資料安全問題,不同的人有不同的了解。是以想借今天這個機會跟大家再來讨論一下。在貴陽數博會上我有一個報告,題目就是這個,我們知道今天我們進入到了一個資料技術的新時代,這個時代裡面資料本身就是像石油一樣,是我們未來的生産資料。如果大家聽聽那些大資料的報告的話,會發現有非常多美好的夢想,從醫療到智慧城市,到可以想到的各個領域。我個人覺得那些故事都是可以實作的,資料可以發揮的價值遠遠超出我們的想象,我也聽到了很多人在講,我們的未來安全也是基于資料,沒有資料的話,未來安全這件事,也是沒有希望的,大家都是愛資料的。
我不知道生活中有哪些東西是你又愛又恨的,愛的很深,其實也恨的很深,是以同時我非常恐懼資料,為什麼那麼多的資料都被人拿走了,為什麼那麼多的資料都在别人手裡。有一次我開玩笑說,我們平時需要填很多表格,比如申請簽證或者是說辦别的東西的時候,老讓我不斷的填寫一些資料,什麼時候上學,班主任是誰,誰能證明等等。我覺得這些資料不都在你們手裡嗎?為什麼還要問我呢?
是以資料這件事一些人在依賴它,指望它給我們帶來美好的未來;一些人在恐懼它,覺得資料是洪水猛獸,今天我們說資料是洪水猛獸的時候,我們在關注到底拿了什麼資料。此時此刻,中美、中國和歐盟有一個網絡安全的專家工作組正在開會,昨天我參加了他們一天的會議。大家也在看歐盟很多時候把資料分成了不同領域,你是這個領域裡面,你為什麼要采集這個資料,那個領域裡邊為什麼采集這個資料。通常我們下一步都說某一個社會,某一個應用又采集了不該采集的資料。讓我們覺得很害怕,你采集這個幹什麼,有沒有道理呢?有道理?但是這個道理是什麼?你為什麼要拿我這個東西,但是這是不是我們真正需要關注的問題呢?
回答這個問題之前,我們看一個另外的慘痛的現實,其實我們的資料已經到處都是了。你在淘寶上買一個東西,上午講過了,整個鍊條裡面有很多東西是有黑産在等着偷資料出來的,你在現實社會裡面有非常多的地方要把你的身份證影印一張,你做很多的消費或者是社會活動的時候填個人資料進去,你都沒有辦法不填,這些資料填了之後呢?其實是已經給他了,是以在黑産的手裡,有我們非常大量的真實的身份證資料,有大家的郵箱資料,有郵箱賬戶,甚至是密碼,甚至是信用卡的資料已經在那裡。我們平時被迫把資料交出去,不交出去的話其實也不行。不是說會不會被采集,是這些資料已經在那裡了,這部分的資料我們怎麼樣看呢?大家是不是可以沒事把身份證号換換,覺得家庭住址别人知道了不好,再買一套房子換呢,不可能,是以這些資料經常伴随我們一輩子,這些資料在别人手裡,在很多的壞人手裡,是以我們反過來問大家一個問題。我們扪心自問一下,我們擔心什麼,你信上帝的話,我們每時每刻所有的東西都在上帝那,為什麼不擔心上帝?覺得上帝不是壞人,不是亂用你的資料,或者你覺得擔心也沒有用。
實際上把剛才的問題放在這個環節看看,我們真的不是隻是擔心資料被采集了,而是擔心了是不是被濫用了。現實世界中我們經常會擔心沒有資料,沒有辦法證明自己的清白,我打了一次車,是吧?這個路上,這個司機繞路了,司機說我沒有繞路,這個官司打不清楚了。你要有資料來證明。
還有很多著名的公共事件,大家都在問資料哪去了,為什麼沒有錄像,如果有錄像的話,這件事早就真相大白了。還有很多和個人安全有關的情況,大家都會問,資料哪去了。你希望這些資料被正确的使用,被合法的使用,在這個時候你不希望沒有資料。是以平常我們擔心資料被采集,不是擔心資料本身被拿走了,而是擔心這些資料被濫用了。我們擔心這些資料被誰濫用了呢?我們其實擔心這樣幾塊,假設被張三或者是說直接說資料到了阿裡巴巴手裡,你擔心阿裡巴巴的小二看了你買了什麼東西,擔心看了你的年齡,看了你的住址,看了你跟誰有經濟往來等等。你很擔心這件事。你也擔心阿裡巴巴手裡的資料被壞人偷走了,壞人偷走會被惡意利用。甚至你可能擔心存在阿裡巴巴裡面的資料會被其他的部門強行要走,你也不知道他幹什麼。我說的都是大實話,但這都是事實的情況,你可以把阿裡巴巴這四個字換成任何一家公司,并不一定要很有名,并不一定要bat,随便一個網際網路上的app,背後動不動就是幾十上百萬的使用者,這些app最有可能拿了你的資料,關鍵是你怕它怎麼樣用了你的資料,你怕他用你資料做加工的時候,侵犯到了你的隐私,你怕他的員工沒有正确運用你的資料做一些其他的事情。是以今天當務之急我們想要用資料發揮價值。我們擁有資料的這個部門可以是公司,政府部門等其他組織,怎麼樣證明自己有沒有濫用别人的資料,有沒有保護好别人的資料,你的任何一個員工是不是會在違規操作的時候沒有被記錄下來,沒有被發現。
在阿裡巴巴的資料安全中,我們最關鍵要解決的就是這些事情,我們的資料安全包括三大領域,第一領域是我今天要講到的,我要證明我們整個的資料産品,資料是我們的生産資料,我們是資料公司。會不會有侵犯到個人隐私的事情或者是說越權的事情。沒有事情是百分之百絕對的,一旦發現的話,嚴懲不貸。
資料安全裡面還有另外兩塊,我也捎帶說一下,我們手裡面的資料怎麼樣防止被外人偷走,這是我們在座很多很熟悉的傳統的反入侵和資料保護的事情,這裡不展開講了,還有第三塊事情,今天上午有關系的,就是說今天我們要保護的資料,不是一個靜态的檔案,不是一個靜态的資料庫存在那裡,今天我們要保護的資料是随着全業務的生命周期和流程,流到整個業務環節裡面去的,是以今天上午講到isv、商家,物流,這個資料是一定要流出去的,在整個全過程中,超出了阿裡巴巴的管轄範圍之外,怎麼樣幫助别人同樣的保護使用者的資料。
所謂安全,不僅僅是說不被人偷走,而是沒有濫用。我們這個領域裡面積累了非常多的東西,我們希望把這樣的東西傳播出來,我們希望這樣的東西有更多的人實踐過,在今年我們至少要推廣到三十家以上的企業,免費推廣到三十家以上的企業共同看看我們這一套方法還有沒有可以改進的地方。我們也在聯合非常多的企業和我們共同一起把它變成标準,我們在國際标準上已經立項了,行業标準和國家标準中也已經立項了,我們為什麼把它變成标準,也是希望這套東西能夠有更多人拿來借鑒。我們希望這樣一種方法可以在國家的政策制定和行業管理裡面得到認可,因為是經過産業界實踐的,等到那一天的時候,我們希望,有人,不是我,不是阿裡巴巴,而是有一套科學方法做基礎的第三方的機構,能夠來對任何一方公司來衡量一下資料在你手裡安全不安全。是以回到這裡比較的話,大家與其擔心資料是不是被拿走了,而是此時此刻更需要擔心那麼多企業群組織機構他們手裡面的資料安全不安全,這是更需要解決的。我沒有時間把我們的方法完全講出來,講關鍵的點,在我們内部叫做資料安全成熟度模型,我們之是以不僅僅做成阿裡的實踐,而是變成模型,變成标準,推廣到外面去,是因為我們希望達到我們這個會議主題的意思,賦能我們希望把這個資料輸出去,看看能不能衡量任何一個機構的資料安全做得好不好。
我們在這裡看到了通用的方法論的東西,這些東西是過去十多年來網絡安全經驗積澱出來的,過去十多年來我們看到很多的企業,我們分析背後的原因,有很多問題十幾年來如一日,至今沒有變,我們應該分析背後的原因,不完全展開講,對于很多長期改不掉安全原因的分析,讓我們提煉出這四個次元,我們用在一個組織或者機構,資料安全本身能力的考核或者是說評價上面。具體的細節方法和過去非常不一樣的。
這四個次元,包括了:
<b>第一,組織結構,</b>就是你本身的結構是不是适應于這個公司此刻的業務模式,讓你能夠在所有需要保護資料的地方是支援的。
<b>第二,體制機制,</b>為什麼在很多的企業裡面,一個管理人員會在特定的時間,用一個非常簡單的密碼,甚至是不要密碼把這個東西給第三方開發人員,你先用一個月吧。背後是體制機制的問題,就是說在此時此刻需要承擔的職責是什麼。你會用什麼來考核他。明天下午我們有一個分論壇會講到阿裡巴巴的資料安全的成熟度模型。我們的資料安全成熟度模型也會公開出來,我們不是說我們是完美的,希望大家幫助我們共同改進。
<b>第三,是技術能力</b>。在安全領域裡面,終端的資料防洩露,記錄檔,全線審計,到全線打通。
<b>第四,人員能力</b>。不同崗位的人員和技術水準能夠非常好的融合到一起,最後形成整個能力。
最後要說一下我非常贊同今天上午很多演講嘉賓的觀點,安全始終都是以業務為核心的。安全的價值在于你能不能幫助業務發展得更好,從很大的一個角度來說的話,資料安全就是我們最後最終的目标,是樹立消費者對我們的信心。比如說我們不能夠證明資料在我手裡是安全的,安全到最後本質上是信心的樹立,通過消費者信心的樹立,讓我們越來越多的,各種各樣的業務敢于在網際網路上順利的進行。
希望我們的安全人永遠銘記,業務是第一,安全是讓消費者能夠去有信心在我們業務上去做。最後,安全的産品讓大資料流動起來,産生價值,真正能夠造福人類。
謝謝大家。