日前，阿里面向行業用戶和企業用戶發布了一張安全基建大圖。這張圖凝聚了阿里安全過去20年來積累沉淀的經驗和在安全部署落地中的深刻理解。為了安全產業能夠更準確認識這張安全基建大圖的價值，阿里安全資深安全專家鐵花、林峻接受了51CTO記者的采訪，分享了阿里安全對于業界安全能力建設的思考與探索。

打造數字基建的新一代安全架構

阿里安全這張新基建大圖中所呈現的新一代安全架構理念，其實早已在阿里自己實踐中反復驗證并日趨完善。林峻透露，阿里作為數字經濟發展的典型企業，業務規模龐大又復雜，為了與業務匹配，阿里安全搭建了一套三層安全架構，從安全技術、安全基建到安全運營來全面支撐業務安全穩定地運營。

在最底層安全技術層，集合了所有阿里底層的能力，再通過中間層安全基建層將能力沉淀為標準的體系和配套的流程、產品，形成中臺，通過中臺建立可信的應用體系，達到風險預防免疫的效果。到了最高層安全運營層，利用中臺的能力，實現高效的響應，可以針對業務做快速適配，可以準確應對安全風險。“這三層互相配合，就形成了適應在阿里新一代的安全架構。” 林峻總結道。

在詳解這三層安全架構時，林峻特別指出，安全基建層的核心價值就如同人體的免疫系統，它建設的重點不僅僅要實現應用本身的深度安全，更要從員工安全意識，企業安全能力等多個維度實現提升。

他分別從兩個維度做了更詳細的闡述：從技術維度看，在安全基建層要建立應用可信體系，并基于這個體系對抗外部攻擊。為了得到更好的安全效果，阿里安全還博取眾家之長建設自己的標準，分別是搭建完整的應用安全流程、構建相應的管理體系、確定度量評估體系、規范執行細節。“這套應用安全標準體系覆蓋了供應鏈、研發生命周期、發布卡口、應用可信、運行等所有環節，不僅實現安全預防，并且建立了免疫體系。”而從人的維度上看，阿里安全認為必須要加強員工意識，提升安全技能。為此阿里安全一方面針對不同的技術崗位如前端開發、測試、客戶端開發、服務端開發，提供不同的課程題庫，讓員工的安全能力可以階段性地提升，另一方面會及時將業界安全風險事件觸達用戶，并通過安全競賽等活動幫助用戶不斷提升安全風險意識。

記者了解到，目前阿里和清華大學還聯合主辦安全AI挑戰者計劃，旨在打造全球最頂尖的安全AI賽事，面向未來培養更多新基建安全技術人才。目前安全AI挑戰者已經進行到第五期，為廣大安全愛好者提供數字基建安全的試煉場，在高難度的真實環境中提升技術，培養真正有安全實戰能力的安全基建人才。

讓安全“看得見”，新零售全線提升安全水準

那么阿里安全的這套新一代安全架構在應用中究竟成效如何呢？

林峻以阿里旗下的新零售事業群為例，分享了應用成果。阿里新零售業務涉及到阿里旗下40多個事業部，包括了8000多名一線研發人員。阿里安全針對新零售事業群制定了安全紅線，然后先從人員意識和能力開始做起，設置了完整的培訓課程，并融入到現在的安全成長體系里，先后在線上對4萬多名相關人員進行培訓，并讓8000多名一線研發人員通過安全認證和考試。

與此同時，阿里安全將過去分散的安全服務產品整合成一個“安全服務中心”，與安全開發流程做了深度整合，在研發的全流程里，從應用創建到線上發布再到下線，都會有安全相應產品介入。“在安全服務中心，研發組長和一線研發人員都能夠清楚看得到自己的產線目前安全能力處于怎樣的水平，應該從哪些方面加強提升。”

為企業提供“安全方法論”+適配安全產品

雖然安全是一個不斷變化的過程，但是萬變不離其宗，鐵花指出，從方法論角度看，不論安全呈現出怎樣的新業態，都會包含生產資料、建設過程、應用交付這些基本元素，所以阿里的安全新基建大圖提供的安全理論，這整套的理論包括技術基建整套方法論都可以在新的業態里去嘗試和使用。

眾所周知，安全是一種綜合能力，對于中小企業而言，想實現應用安全其實并不容易，這不是購買一兩套安全產品就能解決的，要想構建一套適配企業業務的安全標準和體系，必須要有資深的安全專家來做設計，需要投入大量的人力物力。正因如此，阿里安全的新基建大圖才更有用武之地，因為對比這套新一代安全架構之后，企業可以準確意識到自己的安全水平處于哪個階段，還有哪些環節需要提升，然后可以直接選擇阿里配套的安全產品，投入更小效果更理想。

“用戶使用這套方法論，可以低成本地實現安全部署，低門檻地實現安全檢測、安全流程開發、應用防護等功能，提升整體安全水平。”鐵花還告訴記者，阿里安全提供的標準是具備普適性的，適用范圍非常廣泛。“雖然每個行業都有自己的特色屬性，但是在互聯網行業，包括電商、健康、物流、車聯網，阿里這套安全架構可以覆蓋絕大多數的應用場景。未來像智慧工業、生物醫藥，阿里也有計劃去做更深入的安全研發。”

采訪最后，鐵花表示，阿里安全希望每當用戶生成新的系統時，安全不再游離在外是一個單獨的產品，而是在設計階段就成為默認的屬性與系統共生。“未來企業會越來越重視安全，目前阿里正在實踐中，并已經在安全方面取得一些成效，我們將其中精華提煉分享出來，希望給行業更多借鑒和參考，最終實現業界安全能力的整體提升。”
責編AJX