信息化觀察網(wǎng)

圖說(shuō)：阿里巴巴新一代安全架構(gòu)（上），阿里巴巴安全基建大圖（下）。

社會(huì)發(fā)展階段使然，加之新冠疫情因素疊加，政府組織、各行各業(yè)都在加速數(shù)字化。新基建如火如荼，然而，越是飛速發(fā)展，安全生產(chǎn)就必須更加重視。

兩會(huì)期間，多位全國(guó)政協(xié)委員提案都呼吁盡快出臺(tái)安全基建國(guó)家標(biāo)準(zhǔn)，周漢民、彭靜等政協(xié)委員認(rèn)為，大型互聯(lián)網(wǎng)企業(yè)應(yīng)該在建設(shè)“安全基建”標(biāo)準(zhǔn)方面提供更多實(shí)踐參考。

近日，阿里安全基于20年間實(shí)踐經(jīng)驗(yàn)沉淀總結(jié)的新一代安全架構(gòu)，正式對(duì)外發(fā)布了全新的安全基建大圖及應(yīng)用安全企業(yè)標(biāo)準(zhǔn)。

業(yè)內(nèi)人士評(píng)價(jià)稱，在數(shù)字化進(jìn)程中，許多中小企業(yè)沒(méi)有能力部署、運(yùn)營(yíng)和駕馭一套復(fù)雜的安全體系，阿里安全推出的安全基建大圖及完整構(gòu)建體系，為整個(gè)產(chǎn)業(yè)的安全能力建設(shè)，提供了可快速?gòu)?fù)制的參考樣板。

保障新基建安全 安全教育不可或缺

阿里發(fā)布的新一代安全架構(gòu)主要包括安全技術(shù)、安全基建和安全運(yùn)營(yíng)三層核心。

安全技術(shù)層是安全底層能力的集合，向上支持安全基建層，安全基建層將能力沉淀為標(biāo)準(zhǔn)體系及配套的流程、產(chǎn)品，形成安全中臺(tái)，通過(guò)中臺(tái)建立可信的應(yīng)用體系，達(dá)到風(fēng)險(xiǎn)預(yù)防免疫的效果。

作為三層核心架構(gòu)中的“重心”，安全基建層的作用是在數(shù)字經(jīng)濟(jì)實(shí)體搭建過(guò)程中，建立標(biāo)準(zhǔn)化流程、引入關(guān)鍵技術(shù)，解決數(shù)字經(jīng)濟(jì)實(shí)體搭建的“安全施工標(biāo)準(zhǔn)”問(wèn)題。

阿里安全首席架構(gòu)師錢磊強(qiáng)調(diào)：“從建設(shè)之初就要開始打造免疫力，真正讓新基建的每一塊‘磚’都安全可溯源。”

在安全基建大圖中，應(yīng)用安全企業(yè)標(biāo)準(zhǔn)主要定義了應(yīng)用安全從能力到產(chǎn)品、產(chǎn)品到流程、流程觸達(dá)用戶的要求與建設(shè)方案。其主要包括完備應(yīng)用安全流程、構(gòu)建相應(yīng)管理機(jī)制、建設(shè)度量體系和為規(guī)范確認(rèn)執(zhí)行細(xì)節(jié)等四個(gè)部分。

此外，阿里安全團(tuán)隊(duì)還為新安全基建打造了一套應(yīng)用可信體系。這套體系可保障應(yīng)用本身的安全，比如運(yùn)行環(huán)境安全，任意資源只能以應(yīng)用的身份加入到可信應(yīng)用網(wǎng)絡(luò)中，其上運(yùn)行的代碼、存儲(chǔ)的數(shù)據(jù)經(jīng)過(guò)完整的安全生命研發(fā)周期。另外，還能保障應(yīng)用調(diào)用的安全。

應(yīng)用安全與人的安全意識(shí)緊密相關(guān)。參與安全基建大圖設(shè)計(jì)的阿里安全高級(jí)產(chǎn)品運(yùn)營(yíng)專家岑汐認(rèn)為，歸根結(jié)底還是安全教育的問(wèn)題，應(yīng)該加強(qiáng)打造以安全技術(shù)和安全意識(shí)為中心的基建能力。

阿里安全基建樣本運(yùn)行成效顯著

阿里發(fā)布的數(shù)字基建新一代安全架構(gòu)目前已在阿里新零售事業(yè)群和淘寶直播等新興業(yè)務(wù)場(chǎng)景應(yīng)用落地，并取得了顯著的安全性和穩(wěn)定性成效。

“安全基建在新零售事業(yè)部的實(shí)踐中，共計(jì)發(fā)現(xiàn)并完成整改282項(xiàng)風(fēng)險(xiǎn)，在企標(biāo)、紅線及配套體系產(chǎn)品落地后，萬(wàn)行代碼引入漏洞數(shù)斷崖式下降56%。”阿里安全高級(jí)安全專家林峻認(rèn)為，將安全前置，從源頭發(fā)現(xiàn)安全風(fēng)險(xiǎn)并予以預(yù)防，才是打造安全基建的核心要義。

目前，淘寶直播也已完成了全員安全能力認(rèn)證。阿里安全資深技術(shù)專家鐵花分析稱，這套安全基建的完整建設(shè)方案不僅對(duì)阿里自身有效，對(duì)整個(gè)行業(yè)也具有極高的參考意義：“這是一套即插即用的標(biāo)準(zhǔn)化安全架構(gòu)，可幫助社會(huì)各界在數(shù)字化進(jìn)程中構(gòu)建完整的安全基礎(chǔ)設(shè)施”。

錢磊表示，阿里安全每天為超過(guò)7億消費(fèi)者和千萬(wàn)商家提供全面的安全保障，期待將掌握的安全服務(wù)能力和安全標(biāo)準(zhǔn)輸出，幫助更多企業(yè)進(jìn)行安全能力建設(shè)。