一年一度的阿里安全峰会创立于 2014 年,今年已是第三届,于7月13-14日在北京国家会议中心举办。峰会旨在促进亚太区信息安全行业发展,为本地区信息安全组织、信息安全专业人士和决策者搭建一个信息交流展示平台,探讨当前安全行业的最佳实践、热点议题、信息安全人才培养、新 兴技术与发展趋势等。2016 阿里安全峰会设立12个分论坛,数十家领军企业参与、国内外顶级安全专家演讲,在电商金融安全,移动安全,威胁情报,人才培养,电子取证等热门安全行业问题进行深入探讨与交流,除此之外大会前一天还进行了顶级电商安全移动安全等方向的专业安全技术培训。
7月13日2016阿里安全峰会上,阿里巴巴安全部技术副总裁杜跃进进行了分享,他认为我们不是只是担心数据被采集了,而是担心了是不是被滥用。
阿里巴巴安全部技术副总裁杜跃进
以下是演讲实录:
大家好,下午很高兴和大家分享一个主题,叫做数据安全的紧迫问题。今天,我们不同的人都在讲各种各样的安全问题,但是,我们不能否认,在所有的安全里,无论哪一个国家,都有一个重中之重的问题,就是数据。
对于数据安全问题,不同的人有不同的理解。所以想借今天这个机会跟大家再来讨论一下。在贵阳数博会上我有一个报告,题目就是这个,我们知道今天我们进入到了一个数据技术的新时代,这个时代里面数据本身就是像石油一样,是我们未来的生产资料。如果大家听听那些大数据的报告的话,会发现有非常多美好的梦想,从医疗到智慧城市,到可以想到的各个领域。我个人觉得那些故事都是可以实现的,数据可以发挥的价值远远超出我们的想象,我也听到了很多人在讲,我们的未来安全也是基于数据,没有数据的话,未来安全这件事,也是没有希望的,大家都是爱数据的。
我不知道生活中有哪些东西是你又爱又恨的,爱的很深,其实也恨的很深,因此同时我非常恐惧数据,为什么那么多的数据都被人拿走了,为什么那么多的数据都在别人手里。有一次我开玩笑说,我们平时需要填很多表格,比如申请签证或者是说办别的东西的时候,老让我不断的填写一些数据,什么时候上学,班主任是谁,谁能证明等等。我觉得这些数据不都在你们手里吗?为什么还要问我呢?
所以数据这件事一些人在依赖它,指望它给我们带来美好的未来;一些人在恐惧它,觉得数据是洪水猛兽,今天我们说数据是洪水猛兽的时候,我们在关注到底拿了什么数据。此时此刻,中美、中国和欧盟有一个网络安全的专家工作组正在开会,昨天我参加了他们一天的会议。大家也在看欧盟很多时候把数据分成了不同领域,你是这个领域里面,你为什么要采集这个数据,那个领域里边为什么采集这个数据。通常我们下一步都说某一个社会,某一个应用又采集了不该采集的数据。让我们觉得很害怕,你采集这个干什么,有没有道理呢?有道理?但是这个道理是什么?你为什么要拿我这个东西,但是这是不是我们真正需要关注的问题呢?
回答这个问题之前,我们看一个另外的惨痛的现实,其实我们的数据已经到处都是了。你在淘宝上买一个东西,上午讲过了,整个链条里面有很多东西是有黑产在等着偷数据出来的,你在现实社会里面有非常多的地方要把你的身份证复印一张,你做很多的消费或者是社会活动的时候填个人数据进去,你都没有办法不填,这些数据填了之后呢?其实是已经给他了,所以在黑产的手里,有我们非常大量的真实的身份证数据,有大家的邮箱数据,有邮箱账户,甚至是口令,甚至是信用卡的数据已经在那里。我们平时被迫把数据交出去,不交出去的话其实也不行。不是说会不会被采集,是这些数据已经在那里了,这部分的数据我们怎么样看呢?大家是不是可以没事把身份证号换换,觉得家庭住址别人知道了不好,再买一套房子换呢,不可能,所以这些数据经常伴随我们一辈子,这些数据在别人手里,在很多的坏人手里,所以我们反过来问大家一个问题。我们扪心自问一下,我们担心什么,你信上帝的话,我们每时每刻所有的东西都在上帝那,为什么不担心上帝?觉得上帝不是坏人,不是乱用你的数据,或者你觉得担心也没有用。
实际上把刚才的问题放在这个环节看看,我们真的不是只是担心数据被采集了,而是担心了是不是被滥用了。现实世界中我们经常会担心没有数据,没有办法证明自己的清白,我打了一次车,是吧?这个路上,这个司机绕路了,司机说我没有绕路,这个官司打不清楚了。你要有数据来证明。
还有很多著名的公共事件,大家都在问数据哪去了,为什么没有录像,如果有录像的话,这件事早就真相大白了。还有很多和个人安全有关的情况,大家都会问,数据哪去了。你希望这些数据被正确的使用,被合法的使用,在这个时候你不希望没有数据。所以平常我们担心数据被采集,不是担心数据本身被拿走了,而是担心这些数据被滥用了。我们担心这些数据被谁滥用了呢?我们其实担心这样几块,假设被张三或者是说直接说数据到了阿里巴巴手里,你担心阿里巴巴的小二看了你买了什么东西,担心看了你的年龄,看了你的住址,看了你跟谁有经济往来等等。你很担心这件事。你也担心阿里巴巴手里的数据被坏人偷走了,坏人偷走会被恶意利用。甚至你可能担心存在阿里巴巴里面的数据会被其他的部门强行要走,你也不知道他干什么。我说的都是大实话,但这都是事实的情况,你可以把阿里巴巴这四个字换成任何一家公司,并不一定要很有名,并不一定要BAT,随便一个互联网上的APP,背后动不动就是几十上百万的用户,这些APP最有可能拿了你的数据,关键是你怕它怎么样用了你的数据,你怕他用你数据做加工的时候,侵犯到了你的隐私,你怕他的员工没有正确运用你的数据做一些其他的事情。所以今天当务之急我们想要用数据发挥价值。我们拥有数据的这个部门可以是公司,政府部门等其他组织,怎么样证明自己有没有滥用别人的数据,有没有保护好别人的数据,你的任何一个员工是不是会在违规操作的时候没有被记录下来,没有被发现。
在阿里巴巴的数据安全中,我们最关键要解决的就是这些事情,我们的数据安全包括三大领域,第一领域是我今天要讲到的,我要证明我们整个的数据产品,数据是我们的生产资料,我们是数据公司。会不会有侵犯到个人隐私的事情或者是说越权的事情。没有事情是百分之百绝对的,一旦发现的话,严惩不贷。
数据安全里面还有另外两块,我也捎带说一下,我们手里面的数据怎么样防止被外人偷走,这是我们在座很多很熟悉的传统的反入侵和数据保护的事情,这里不展开讲了,还有第三块事情,今天上午有关系的,就是说今天我们要保护的数据,不是一个静态的文件,不是一个静态的数据库存在那里,今天我们要保护的数据是随着全业务的生命周期和流程,流到整个业务环节里面去的,所以今天上午讲到ISV、商家,物流,这个数据是一定要流出去的,在整个全过程中,超出了阿里巴巴的管辖范围之外,怎么样帮助别人同样的保护用户的数据。
所谓安全,不仅仅是说不被人偷走,而是没有滥用。我们这个领域里面积累了非常多的东西,我们希望把这样的东西传播出来,我们希望这样的东西有更多的人实践过,在今年我们至少要推广到三十家以上的企业,免费推广到三十家以上的企业共同看看我们这一套方法还有没有可以改进的地方。我们也在联合非常多的企业和我们共同一起把它变成标准,我们在国际标准上已经立项了,行业标准和国家标准中也已经立项了,我们为什么把它变成标准,也是希望这套东西能够有更多人拿来借鉴。我们希望这样一种方法可以在国家的政策制定和行业管理里面得到认可,因为是经过产业界实践的,等到那一天的时候,我们希望,有人,不是我,不是阿里巴巴,而是有一套科学方法做基础的第三方的机构,能够来对任何一方公司来衡量一下数据在你手里安全不安全。所以回到这里比较的话,大家与其担心数据是不是被拿走了,而是此时此刻更需要担心那么多企业和组织机构他们手里面的数据安全不安全,这是更需要解决的。我没有时间把我们的方法完全讲出来,讲关键的点,在我们内部叫做数据安全成熟度模型,我们之所以不仅仅做成阿里的实践,而是变成模型,变成标准,推广到外面去,是因为我们希望达到我们这个会议主题的意思,赋能我们希望把这个数据输出去,看看能不能衡量任何一个机构的数据安全做得好不好。
我们在这里看到了通用的方法论的东西,这些东西是过去十多年来网络安全经验积淀出来的,过去十多年来我们看到很多的企业,我们分析背后的原因,有很多问题十几年来如一日,至今没有变,我们应该分析背后的原因,不完全展开讲,对于很多长期改不掉安全原因的分析,让我们提炼出这四个维度,我们用在一个组织或者机构,数据安全本身能力的考核或者是说评价上面。具体的细节方法和过去非常不一样的。
这四个维度,包括了:
- 第一,组织结构,就是你本身的结构是不是适应于这个公司此刻的业务模式,让你能够在所有需要保护数据的地方是支持的。
- 第二,体制机制,为什么在很多的企业里面,一个管理人员会在特定的时间,用一个非常简单的口令,甚至是不要口令把这个东西给第三方开发人员,你先用一个月吧。背后是体制机制的问题,就是说在此时此刻需要承担的职责是什么。你会用什么来考核他。明天下午我们有一个分论坛会讲到阿里巴巴的数据安全的成熟度模型。我们的数据安全成熟度模型也会公开出来,我们不是说我们是完美的,希望大家帮助我们共同改进。
- 第三,是技术能力。在安全领域里面,终端的数据防泄露,操作日志,全线审计,到全线打通。
- 第四,人员能力。不同岗位的人员和技术水平能够非常好的融合到一起,最后形成整个能力。
最后要说一下我非常赞同今天上午很多演讲嘉宾的观点,安全始终都是以业务为核心的。安全的价值在于你能不能帮助业务发展得更好,从很大的一个角度来说的话,数据安全就是我们最后最终的目标,是树立消费者对我们的信心。比如说我们不能够证明数据在我手里是安全的,安全到最后本质上是信心的树立,通过消费者信心的树立,让我们越来越多的,各种各样的业务敢于在互联网上顺利的进行。
希望我们的安全人永远铭记,业务是第一,安全是让消费者能够去有信心在我们业务上去做。最后,安全的产品让大数据流动起来,产生价值,真正能够造福人类。
谢谢大家。
