【.com原稿】日前,阿里发布了面向行业用户和企业用户的安全基础设施大图。这张图浓缩了阿里安全20年积累的经验和对安全部署实施的深刻理解。为了让安全行业更准确地认识这个安全基础设施大局的价值,阿里安全资深安全专家铁华和林军接受了记者采访,分享了阿里安全在行业安全能力建设上的思考和探索. 打造新一代数字基础设施安全架构 阿里巴巴安全这张新基建大图所呈现的新一代安全架构理念,其实也在阿里自身的实践中得到了反复验证和完善。林军透露,阿里作为数字经济发展的典型企业,业务规模庞大、复杂。为了与业务相匹配,阿里安全构建了三层安全架构,从安全技术、安全基础设施到安全运营,全面支撑业务安全稳定。操作。 在最底层的安全技术层,聚集了阿里巴巴所有的底层能力,然后通过中间层的安全基础设施层,将能力沉淀为标准体系和支撑流程和产品,形成一个中台,并通过中台建立可信平台应用系统,达到风险防范和免疫的效果。在最高安全运营层面,利用中台能力实现高效响应,快速适应业务,精准应对安全风险。“这三层相互配合,形成了适合阿里新一代的安全架构。”林俊总结道。 在详细讲解三层安全架构时,林俊指出,安全基础设施层的核心价值就像是人体的免疫系统。、企业安全能力等维度得到提升。 他从两个维度进行了更详细的阐述:从技术角度,应该在安全基础设施层建立一个应用可信体系,并基于这个体系抵御外部攻击。为了获得更好的安全效果,阿里安全还借鉴了其他公司的优势,构建了自己的标准,即构建完整的应用安全流程,构建相应的管理体系,确定衡量评价体系,规范实施细节。“这套应用安全标准体系涵盖了供应链、研发生命周期、发布关卡、应用可信度、运营等各个环节,既实现了安全防范,又建立了免疫系统。”从人的角度来看,阿里安全认为需要加强员工意识,提高安全技能。为此,一方面,阿里安全针对前端开发、测试、客户端开发、服务端开发等不同技术岗位,提供不同的课程题库,让员工的安全能力得到阶段性提升;风险事件触达用户,通过安全竞赛等活动帮助用户不断提升安全风险意识。 记者获悉,阿里与清华大学还联合举办安全AI挑战者计划,旨在打造全球顶级安全AI大赛,为未来培养更多新基建安全技术人才。目前,安全AI挑战者已经进入第五阶段,为广大安全爱好者提供数字基础设施安全的试验场,在艰苦的真实环境中提升技术,培养具有真实安全实战能力的安全基础设施人才。 让安全“看得见”,新零售全线提升安全以集团为例,分享应用成果。阿里新零售业务涉及阿里旗下40多个事业部,包括8000多名一线研发人员。阿里安全为新零售事业群制定了安全红线,然后从人员意识和能力入手,设置了完整的培训课程,并融入到现在的安全成长体系中,先后在线采访了40000多名相关人员开展培训,让8000多名一线研发人员通过安全认证考试。 与此同时,阿里安全将之前分散的安全服务产品整合为一个“安全服务中心”,与安全发展进程深度融合。在整个研发过程中,从应用创建到线上发布再到线下,都会涉及到安全对应的产品。“在安全服务中心,研发组长和一线研发人员可以清楚地看到自己生产线的安全能力现状,哪些方面需要改进。” 为企业提供“安全方法论”+配备安全产品 虽然安全是一个千变万化的过程,但它始终如一。铁华指出,从方法论的角度来看,无论安全呈现何种新业态,都将包括制作材料、构建过程和应用交付。这些基本要素,所以阿里新的安全基础架构图提供的安全理论,这套理论,包括整个技术基础架构的方法论,都可以在新的业务业态中尝试和使用。 众所周知,安全是一种综合能力。对于中小企业来说,实现应用安全并非易事。这不是购买一套或两套安防产品就能解决的。安全标准和制度必须由经验丰富的安全专家设计,需要大量的人力物力。也正因为如此,阿里安全的新基建才比较有用,因为对比了这种新一代的安全架构,企业可以准确的了解到自己的安全水平处于哪个阶段,哪些环节需要提升,进而可以直接选择阿里的配套安全产品,投资更小,效果更理想。 “通过这种方法论,用户可以低成本实现安全部署,低门槛实现安全检测、安全流程开发、应用保护等功能,提升整体安全水平。”铁华还告诉记者,阿里安全提供的标准具有通用性,适用范围非常广泛。“虽然每个行业都有自己的特点,但在互联网行业,包括电商、健康、物流、车联网,阿里的安全架构可以覆盖大部分应用场景。未来在智能行业、生物医药,阿里也有规划做更深入的安全研究和开发。”采访最后,铁花表示,阿里安全希望每当用户产生新的系统时,安全不再是一个单独的产品,而是在设计阶段成为默认属性,与系统共生。“未来企业会越来越重视安全,阿里目前在安全方面正在实践,并取得了一些成果,我们将精华提炼分享出来,希望能给行业更多借鉴和借鉴,最终实现整体提升行业安全能力。》【原创稿件,合作网站转载请注明原作者及出处.com】
