阿里巴巴集团安全部 杜跃进

以数据为中心的安全

阿里巴巴集团安全部 杜跃进

我们正处于数据技术时代，人类社会正在因为数据而发生重大的变化。从商务到医疗，从金融到交通，从教育到社会治理，我们能想到的每个方面，都在因为数据技术而发生着不可思议的变革。大家都认识到，数据正在成为生产资料，数据和数据技术正在成为最关键的竞争力。

然而，与此同时人们对数据带来的安全问题也越来越担心，数据安全正在成为全世界的一个热点话题。尤其是“徐玉玉”事件以来，大家不但对电信诈骗的严重危害和应对方案展开了非常密集的讨论，而且对导致精准诈骗的信息泄露问题十分关注。不需要刻意关注，所有人都知道今天的信息泄露问题非常严重。

从大时代的角度来说，数据安全问题如果失控，会影响全社会的信心，阻碍人类社会的进步。从拥有数据的行业、企业或者机构来说，数据安全也有非常重要的具体意义：下一个类似“徐玉玉事件”发生的时候，你的机构是否要为其中的信息泄露担责？当你雄心勃勃地推进商业计划的时候，会不会因为自己数据安全做得没别人好而失去机会？

因此无论从国家战略的角度还是从企业自身发展的角度来说，数据安全都是当前最迫切的一个问题。

不过对于数据安全问题，人们存在很多误解。一个误解是认为“大数据安全只和拥有大数据的大企业、大部门相关”。可是随着一系列电信诈骗案件的破获，大家发现造成危害的具有重大价值的个人信息泄露，经常是在很小的环节被窃取或者泄露出去的，而且泄露数据的地方是如此之多，简直如同筛子一样。相对来说，重视安全的大企业因为投入资源多，安全水平反而相对更高。另外，很多看上去普普通通的移动应用APP，背后的用户数据说出来动辄也是几百万几千万的规模，其安全问题则往往是被大家忽视了的。

另外一个误解是把云计算安全等同于大数据安全。实际上云计算安全只是大数据环境中的一部分安全问题，云计算安全就算没问题了，云计算用户自己安全意识差、管理不到位的话，依然无法阻止用户自己内部或者外部带来的数据安全问题。

所以，数据安全是拥有数据的每个行业、部门、机构和企业都需要关注的问题，而且今天我们需要一种全新的“以数据为中心的安全”思维和方法，而不能用传统的“以系统为中心的安全”来解决这个问题。

以数据为中心的安全，需要把安全聚焦在数据本身，围绕数据的生命周期来建设安全能力，包括各个环节相关系统的安全情况、各个环节专门的数据安全产品和策略、安全运营、制度和管理体系设计、专业人员能力建设等。一个组织自己通过以数据为中心的安全，需要解决的是内部人员滥用、业务场景误用和防止外部窃取的风险控制问题（从最近的案例中人们也能看到大量的信息泄露是在网络黑产的诱惑下内部人员倒卖出来的，这是典型的内部滥用问题。如果只靠案发之后才能追溯到信息泄露的源头，这是远远不够的）。

但是这其中的挑战其实非常多，无论从技术还是管理的角度看都是如此。今天的数据是融合在业务中的、在开放的生态环境中流动的，不可能脱离业务把数据剥离出来进行防护，也不可能用静态数据的安全防护方法来解决问题。一些情况下数据的规模、业务的速度以及场景，都导致很多传统的技术方法无法直接发挥效果。

当放到用户角度来看的时候，会发现一个组织内部的数据生命周期是不够的，需要在更大的生态环境中看。这时候导致问题更加复杂。从社会或者行业管理的角度来说，这时候就更加需要一种如何衡量任一组织数据安全能力的方法。有了这种方法并且形成足够的能力，才能够评价行业或者整体的数据安全状况，也才能够对有问题的环节给出具体的改进要求。

基于这些需求，阿里巴巴把自身的经验进行了提炼和总结，形成了一套“数据安全能力成熟度模型”。以此为核心，我们已经牵头在国际标准、国家标准和行业标准都立项成功。同时我们不仅在阿里自己的生态圈中进行推广，也正在进行更大范围的尝试，目的是让这套作法经历更多的磨合、具有更广泛的适用性。这个过程中需要学术界和产业界更多的合作和参与，因为今天在互联网应用创新领域中国是走在最前列的，国际上并没有现成的经验可以解决我们的问题。另一方面，我们今天遇到的问题未来会成为全世界每一个企业或者机构面临的问题，我们希望我们的探索帮助更多的人，让数据时代能够顺利地发展。

当然，最后还是要强调一下“没有绝对的安全”：没有哪一种方法是能够一劳永逸确保安全的。安全是一种对抗，围绕数据安全的对抗也会升级，但是我们必须直面这种对抗，不断提高我们的水平，才能保护用户的利益，建立用户对我们的信任，也才能树立整个社会的信心，确保发展这个最终的目标。