雷鋒網(wǎng)編輯一直有個(gè)疑惑：黑客為什么不攻擊淘寶？

后來，無知的雷鋒網(wǎng)編輯也和一位程序員小哥哥吐槽過這個(gè)問題，他給我的回答是：黑客當(dāng)然不會(huì)放過任何一個(gè)搞錢的機(jī)會(huì)，而淘寶自然也是被黑客盯上的。

經(jīng)查閱資料得知，2019 年雙十一，2684 億交易額背后，是全天 22 億次的黑產(chǎn)攻擊。

24 小時(shí)，22 億次是什么概念？意味短期內(nèi)會(huì)出現(xiàn)大量攻擊。但這些攻擊最終都逐一被抵擋攔截。

這背后，保障安全性與穩(wěn)定性的，就是阿里安全新一代安全架構(gòu)體系。

2020 年 4 月，新基建被提上議程，建立在新基建基礎(chǔ)之上的網(wǎng)絡(luò)安全也被更多業(yè)內(nèi)人士重視起來，他們不止一次的提到：數(shù)字時(shí)代，安全是塊磚，哪里需要哪里搬。

數(shù)字化基建浪潮下，網(wǎng)絡(luò)構(gòu)筑人類與機(jī)器的邊界，但又不斷讓技術(shù)更吸引人，讓人與機(jī)器更加唇齒相依，走向“萬(wàn)物皆可互聯(lián)”的數(shù)字新時(shí)代。而在人類社會(huì)由“信息化”轉(zhuǎn)向“數(shù)字化”的同時(shí)，也意味著威脅成為了“洞穿”虛擬現(xiàn)實(shí)雙重空間的隱患。從漏洞隱患到高級(jí)持續(xù)性威脅(APT)，一系列的網(wǎng)絡(luò)安全威脅，都將可能成為癱瘓數(shù)字世界的存在。

而阿里也是一眾 BAT 公司里最早在新基建領(lǐng)域投入的公司之一，足見其對(duì)新基建的重視。

新基建更需新安全——地基

那么，新基建是什么？

2020 年初，中央高層會(huì)議提出“加快 5G 網(wǎng)絡(luò)、數(shù)據(jù)中心等新型基礎(chǔ)設(shè)施建設(shè)進(jìn)度”。一時(shí)之間，“新基建”成為與國(guó)計(jì)民生息息相關(guān)的一個(gè)熱門詞匯，新基建將為未來中國(guó)經(jīng)濟(jì)社會(huì)繁榮發(fā)展提供重要支撐，成為業(yè)內(nèi)普遍共識(shí)，也為企業(yè)發(fā)展帶來重大機(jī)遇。

在數(shù)字化與上云的趨勢(shì)下，越來越多的企業(yè)選擇將業(yè)務(wù)與數(shù)據(jù)存儲(chǔ)在云端，進(jìn)而使用更為高效、低成本、安全穩(wěn)定的云端服務(wù)。不過，近幾年間，隨著 DDoS 攻擊、勒索攻擊、數(shù)據(jù)泄露等安全事件頻發(fā)，無論是 5G、云計(jì)算、人工智能、物聯(lián)網(wǎng)等細(xì)分的技術(shù)，還是云平臺(tái)、服務(wù)器及硬件等服務(wù)，無一不是安全的突破口與防護(hù)口。

半佛仙人曾給新基建機(jī)遇下的網(wǎng)絡(luò)安全作了一個(gè)比喻：

數(shù)字經(jīng)濟(jì)時(shí)代，如果我們將網(wǎng)絡(luò)比作道路，將計(jì)算和存儲(chǔ)系統(tǒng)比作土地，那么基于這些建立的 App 和網(wǎng)站這些數(shù)字經(jīng)濟(jì)實(shí)體，就可以類比為商業(yè)建筑。

每一個(gè) App 的搭建過程和建筑工程其實(shí)很類似，會(huì)采購(gòu)大量的原材料，也有很多階段和工序，每個(gè)環(huán)節(jié)都有可能出問題。

所有的互聯(lián)網(wǎng)安全從業(yè)人員，都會(huì)面臨三個(gè)無法回避的事實(shí)：三方軟件必然存在漏洞，升級(jí)成本高；攻擊者關(guān)注的應(yīng)用風(fēng)險(xiǎn)面增加、攻擊手法更加多樣；基于網(wǎng)絡(luò)邊界的防護(hù)必然會(huì)被突破。

而數(shù)字基建的最大意義就在于，為這些“建筑”的搭建過程建立標(biāo)準(zhǔn)化流程，確保建設(shè)之初就運(yùn)行在較高安全基線上。

自從有電商開始，黑客就一直存在，阿里也一直在做自己的安全攻防體系。經(jīng)歷了無數(shù)次與黑灰產(chǎn)的暗中斗爭(zhēng)后，阿里也在不斷打磨內(nèi)部的安全架構(gòu)，加之新基建概念的加持，阿里認(rèn)為，是時(shí)候?qū)⑦@套數(shù)字基建安全架構(gòu)分享出來，供更多企業(yè)實(shí)踐參考。

用阿里安全首席架構(gòu)師錢磊的話來說就是：

“過去的網(wǎng)絡(luò)安全關(guān)注的是造城墻本身，但是買來的磚頭出現(xiàn)了問題和漏洞，城墻蓋的再好也沒用。另外，城門被攻破后是否就一馬平川，有沒有甕城做安全區(qū)隔也是設(shè)計(jì)者必須考慮的問題。

簡(jiǎn)言之，阿里想做的不僅僅是城墻，更想做的是維護(hù)這座城墻的根基。

只有根基穩(wěn)了，城墻才會(huì)更安全。

阿里新一代安全架構(gòu)——城樓

在阿里，這個(gè)數(shù)字安全架構(gòu)，分為三層。

最下層是安全技術(shù)產(chǎn)品層，包括數(shù)據(jù)安全、密碼學(xué)、攻防、算法等等。

中間層是安全基建層，包括軟件供應(yīng)鏈、研發(fā)生命周期、發(fā)布卡口、應(yīng)用可信等。

最上層是安全運(yùn)營(yíng)層，包括網(wǎng)絡(luò)安全、合規(guī)、風(fēng)控等。

其中，安全基建是核心。

阿里安全高級(jí)安全專家林峻介紹：

安全基建層的核心能力，是為“數(shù)字建筑”的生產(chǎn)建設(shè)標(biāo)準(zhǔn)和監(jiān)理，是為了幫助阿里的系統(tǒng)建設(shè)免疫的能力，它建設(shè)的重點(diǎn)不只是要從應(yīng)用本身做深度持續(xù)的打透，還要提升人才的安全意識(shí)以及安全能力。

具體從兩個(gè)維度來看：

首先是技術(shù)維度，分為五個(gè)部分。

其核心是建立應(yīng)用可信體系，基于這個(gè)體系進(jìn)行對(duì)外攻防，并形成了一套完整的應(yīng)用安全標(biāo)準(zhǔn)。

林峻介紹，阿里的應(yīng)用安全標(biāo)準(zhǔn)是先有實(shí)踐，再往上抽象為標(biāo)準(zhǔn)，形成一定規(guī)范后，再把這些規(guī)范和他們配套的產(chǎn)品重新做整合，進(jìn)而自頂向下進(jìn)行設(shè)計(jì)。

目前，阿里的應(yīng)用安全標(biāo)準(zhǔn)分為四個(gè)部分：

第一部分是完整的應(yīng)用安全流程，將原來分散提供安全服務(wù)的產(chǎn)品整合到一站式安全產(chǎn)品“安全服務(wù)中心”上，深度結(jié)合Devops，做到研發(fā)全流程管控。

第二部分是構(gòu)建相應(yīng)的管理體系，包括建立各層的安全組織，還有觸達(dá)到用戶相關(guān)規(guī)則條例、安全培訓(xùn)，建立用戶的安全心智。

第三部分是建設(shè)度量體系，從 IAAS 層、軟件供應(yīng)鏈、研發(fā)過程，運(yùn)行時(shí)環(huán)境、流量網(wǎng)關(guān)、應(yīng)急響應(yīng)、人員，多個(gè)維度怎么來評(píng)估現(xiàn)階段所面臨的風(fēng)險(xiǎn)、所處的安全水位，量化之后，來評(píng)估安全位置。

第四部分是規(guī)范執(zhí)行細(xì)節(jié)，即規(guī)范在研發(fā)以及日常運(yùn)營(yíng)過程中，每一個(gè)安全項(xiàng)應(yīng)該如何進(jìn)行標(biāo)準(zhǔn)的執(zhí)行，如何有效驗(yàn)收。同時(shí)會(huì)在企標(biāo)基礎(chǔ)上，制定安全紅線，并配套了相關(guān)的安全檢出產(chǎn)品，按照“凡有要求必有檢出”要求執(zhí)行。

第二，供應(yīng)鏈安全，阿里的軟件供應(yīng)鏈安全主要涵蓋了這幾個(gè)場(chǎng)景：隱私、后門漏洞，以及法務(wù)相關(guān)的檢測(cè)軟件供應(yīng)鏈建設(shè)，從源頭保證安全。

具體怎么做？

首先，要對(duì)集團(tuán)內(nèi)使用的二三方包的基礎(chǔ)信息、依賴關(guān)系做相應(yīng)的風(fēng)險(xiǎn)分析，形成具備安全認(rèn)同的供應(yīng)鏈庫(kù)，研發(fā)人員才能從這個(gè)供應(yīng)鏈庫(kù)中選擇組件，進(jìn)行相應(yīng)的研發(fā)。

第三，運(yùn)行時(shí)防護(hù)，其核心是解決掉入侵相關(guān)的風(fēng)險(xiǎn)，主要關(guān)注的是命令執(zhí)行、文件類、網(wǎng)絡(luò)類的漏洞防護(hù)。

這里值得關(guān)注的一個(gè)產(chǎn)品是 RASP 產(chǎn)品。 

不同于市場(chǎng)上的其他 RASP 產(chǎn)品。阿里自研的 RASP 拋棄了之前開源和商業(yè) RASP 產(chǎn)品大而全的方案，專注解決掉入侵相關(guān)的風(fēng)險(xiǎn)，同時(shí)也做得更底層，在 JAVA 運(yùn)行時(shí)環(huán)境做了比較多的適配。

第四，安全檢測(cè)。阿里在傳統(tǒng)的檢測(cè)方法上作了升級(jí)。以白盒為例，市面上的白盒產(chǎn)品能實(shí)現(xiàn)跨應(yīng)用的調(diào)用以及跨二三方包的調(diào)用分析，阿里不僅能分析阿里幾萬(wàn)個(gè)應(yīng)用的數(shù)據(jù)流和執(zhí)行流如何工作，而且能請(qǐng)求落庫(kù)，整個(gè)鏈路是可以完整串聯(lián)起來。

除此之外，阿里還部署了 IAST 灰盒檢測(cè)。其在預(yù)發(fā)環(huán)境、測(cè)試環(huán)境等方面發(fā)揮作用，實(shí)現(xiàn)多層產(chǎn)品，層層檢測(cè)的效果。

第五，應(yīng)用可信的落地。

在阿里，應(yīng)用可信的落地包括四方面內(nèi)容：即安全認(rèn)證、運(yùn)行時(shí)防護(hù)、API 安全以及人的因素。

其實(shí)，人的因素是最為重要的一個(gè)環(huán)節(jié)。

林峻提到：

“代碼應(yīng)用網(wǎng)絡(luò)的風(fēng)險(xiǎn)是可以通過技術(shù)度量的，甚至在架構(gòu)上面來解決一些問題，但人的介入，無論是編碼行為還是蓄意入侵，它的變數(shù)比純粹的代碼和基礎(chǔ)設(shè)施是要更復(fù)雜一些的?！?/p>

阿里清華聯(lián)手為新基建培養(yǎng)人才——固基

在所有的變數(shù)里，人才是最不穩(wěn)定的一個(gè)因素，所以，阿里對(duì)人才的重視程度也可見一斑。

在安全基建中，阿里提到其人才的培養(yǎng)主要從兩個(gè)維度來培養(yǎng)：

首先是意識(shí)維度。

一方面是內(nèi)容培養(yǎng)，包括歷史案例、業(yè)界的風(fēng)險(xiǎn)事件的分析，從理論上培養(yǎng)人才的風(fēng)險(xiǎn)意識(shí)。

另一方面是觸達(dá)。有了理論知識(shí)的鋪墊，接下來的任務(wù)就是實(shí)踐。為此，阿里的做法是：他們會(huì)將內(nèi)容通過各種渠道觸發(fā)給研發(fā)小二，包括自己的工作環(huán)境、使用的系統(tǒng)等，通過他們?cè)陂_發(fā)流程中所能觸達(dá)到的相關(guān)系統(tǒng)進(jìn)而透出。

同時(shí)，阿里也會(huì)根據(jù)他們的習(xí)慣，做周期性的策略設(shè)計(jì)，包括平臺(tái)側(cè)的內(nèi)容更新、機(jī)器人提醒、周月報(bào)等時(shí)刻提醒。當(dāng)然，為了培養(yǎng)主動(dòng)性，阿里也設(shè)立了一些活動(dòng)，比如答題沖頂賽，安全主題挑戰(zhàn)賽、定期安全分享等，逐步培養(yǎng)人才主動(dòng)學(xué)習(xí)、主動(dòng)發(fā)現(xiàn)風(fēng)險(xiǎn)、解決風(fēng)險(xiǎn)、上報(bào)風(fēng)險(xiǎn)。

其次是能力維度。

能力維度的培養(yǎng)也分為兩方面。一方面通過分享行業(yè)最新最前沿的安全資訊和內(nèi)容，讓研發(fā)人才知曉；

另一方面，基于阿里經(jīng)濟(jì)體在研發(fā)流程中需要具備的安全能力培養(yǎng)。并且，阿里還對(duì)所有人才作了分層，包括前端開發(fā)、測(cè)試、客戶端開發(fā)，通過用戶分層給他們適配不通的課程，設(shè)置不同的題庫(kù)，為他們?cè)O(shè)置安全的成長(zhǎng)體系，持續(xù)培養(yǎng)他們的安全能力。

除此以外，為了讓源源不斷的安全人才“活水”涌進(jìn)阿里，也為新基建培養(yǎng)更多安全人才，阿里安全采用與清華大學(xué)等高校合作的方式，比如開啟“安全AI挑戰(zhàn)者計(jì)劃”、“青色計(jì)劃“面向高校遴選和培養(yǎng)安全人才，最大程度填補(bǔ)和緩解安全人才缺口。

這些有血有肉的人組成的安全架構(gòu)，將成為“數(shù)字基建”的一部分，不僅保護(hù)阿里巴巴這座城，也能成為數(shù)字世界中的無數(shù)城池的榜樣。

雷鋒網(wǎng)雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。