文/阿里巴巴安全技術(shù)副總裁 杜躍進(jìn)

網(wǎng)絡(luò)安全的未來往哪里走？挑戰(zhàn)在哪里？方案往哪里走？我們不應(yīng)該像過去一樣只看社會的安全，未來，將分割開來看一個交易系統(tǒng)的安全，分割開來看一個數(shù)據(jù)的安全，這將是一個演變。

在所有表象復(fù)雜的現(xiàn)象里面，有三個特點(diǎn)：聯(lián)通、智能、融合。首先，聯(lián)通是指大范圍內(nèi)的聯(lián)系，從信息價值觀來說非常有價值，但從安全的角度來說非?？膳?，因?yàn)檫@種連接是無時無刻的、無縫隙的。這與使用的設(shè)備、場景沒有關(guān)系，這是一個始終關(guān)聯(lián)的，無死角的網(wǎng)絡(luò)；第二個特點(diǎn)是智能，智能意味著機(jī)會，這要從安全的角度來看。對攻擊者來說，智能意味著機(jī)會。任何一件東西，當(dāng)他變得智能的時候，里面就開始有了人為的內(nèi)容，人的邏輯變成了程序存在于里面，而他就有了被攻破的可能；第三個特點(diǎn)是融合。不同領(lǐng)域的相互影響越來越強(qiáng)，原來我們與工業(yè)控制系統(tǒng)、通信網(wǎng)絡(luò)均無交集，但在未來，所有的這些領(lǐng)域相互之間都將有關(guān)系。

隨之帶來的挑戰(zhàn)有以下幾項(xiàng)：第一、突破時空限制和管理邊界。國家有邊界，各個部門各司其職。但現(xiàn)在很多事物都沒有固定的邊界。公安領(lǐng)域里的派出所分管每個片區(qū)，但網(wǎng)絡(luò)安全事件歸誰管呢？第二、異構(gòu)環(huán)境。過去并不像今天這樣，所有用戶使用的環(huán)境基本都比較單純，甚至在更早期使用的是同一家的產(chǎn)品。但今天完全不是這樣，越來越多的融合了各種復(fù)雜的關(guān)系，牽一發(fā)而動全身。此外，安全威脅已經(jīng)滲透到每一個領(lǐng)域。就像是一個盒子里面往外流出黑色的汁，不斷流向整個世界，而人們卻都還沒有準(zhǔn)備好。

未來的常態(tài)是什么。很不幸，我們這些搞安全的人，未來依舊天天要面對這樣的事情，會有不斷出現(xiàn)的新的入侵事件，不管公司有多大、有多強(qiáng)，都會不斷出現(xiàn)新的漏洞，這將會一直持續(xù)下去。多少年我不知道，也許是三五年，三五年之后很有可能還是這個樣子。我們今天甚至沒有去嘗試來減少擴(kuò)張時帶來的新趨勢，我們依然試圖去修補(bǔ)他們帶來的弱點(diǎn)，可是修補(bǔ)的速度遠(yuǎn)遠(yuǎn)低于發(fā)展速度。因此，這必然會導(dǎo)致上述的常態(tài)。此外，對手的動力、能力和規(guī)模在未來的很多年將依然不斷的擴(kuò)張。正是這些原因，導(dǎo)致未來幾年這將成為常態(tài)。我要強(qiáng)調(diào)一句話，我們都知道沒有100%的安全，所以我可以允許被入侵，我可以允許有新漏洞，但是我強(qiáng)調(diào)對風(fēng)險損失的控制。我們需要分析一下網(wǎng)絡(luò)安全的新特點(diǎn)，并思考我們未來發(fā)展的新思路。

未來存在的新特點(diǎn)和新挑戰(zhàn)。首先我們已經(jīng)進(jìn)入一個變化的時代，數(shù)據(jù)會變化，應(yīng)用會變化，安全防護(hù)的邊界也在隨時變化。其次，面對的數(shù)據(jù)量非常大，要保護(hù)的對象也非常多，甚至外部環(huán)境所面對的企業(yè)都太多了，因此，我們的工作量將逐漸增大。第三是復(fù)雜，很多事情有著很長的鏈條，作用面大，短板多，而且常常不在個人的控制范圍之內(nèi)。阿里巴巴如此，很多電商也都一樣。還有就是與業(yè)務(wù)的結(jié)合。在過去，安全可以以第三方的方式來做網(wǎng)絡(luò)邊界里面的規(guī)則過濾，惡意代碼的查殺等等，但在今天，安全和業(yè)務(wù)進(jìn)行高度的融合后也帶來了新的挑戰(zhàn)，特別是在多個環(huán)節(jié)中實(shí)現(xiàn)有效的銜接和配合就變得非常重要，因?yàn)槿魏螁我坏念I(lǐng)域、單一的組織、單一的圈子都無法靠個人的力量實(shí)現(xiàn)有效的應(yīng)對。

以上這些為我們帶來了種種全新的挑戰(zhàn)，包括技術(shù)挑戰(zhàn)、政策挑戰(zhàn)，此外還有國際局勢的影響。當(dāng)前，整個國際安全合作的環(huán)境越來越差，信任感也越來越差。甚至包括移動安全，現(xiàn)在移動環(huán)境和過去PC環(huán)境有很多區(qū)別，其中之一是移動端的差異性，包括終端類型，操作系統(tǒng)類型，APP類型等等。不能認(rèn)為在學(xué)術(shù)圈單獨(dú)解決一個問題就可以放手，因?yàn)槿澜缬?00多種產(chǎn)品要協(xié)同支持，復(fù)雜生態(tài)中的風(fēng)險感知和風(fēng)險控制怎么做是一個重要的問題。我們用大數(shù)據(jù)完成各種各樣的安全產(chǎn)品，要被迫換一種方式，要把我們的計算走出去，但是數(shù)據(jù)帶不出去，這同樣是未來的挑戰(zhàn)。關(guān)于產(chǎn)業(yè)層面，中小企業(yè)安全，尤其是面對APP的時候，我的觀點(diǎn)是一定走定制安全的路，但一定要考慮成本問題。在未來絕不能忽視中小企業(yè)安全帶來的危害，畢竟一個小企業(yè)背后可能有一千萬用戶。

對信息安全未來的思路和要求。第一是梳理攻擊鏈，在攻擊鏈?zhǔn)崂斫Y(jié)束后，會在關(guān)鍵領(lǐng)域檢測到異常攻擊，必須找到關(guān)鍵點(diǎn)、找到風(fēng)險的方向。在這個過程中偽裝和反偽裝之間將是一個持續(xù)的對抗。不過有了關(guān)鍵點(diǎn)，還不代表就能夠解決問題，關(guān)鍵是將來的對抗。

安全的基石包含：數(shù)據(jù)、情報和可信。一個虛擬的ID對應(yīng)著實(shí)名和實(shí)名背后的人，哪一個重要？有些情況下，Profile比任何東西都重要，他不一定對著人，而是對應(yīng)背后的數(shù)據(jù)。我們只關(guān)注到威脅情報，但是與其對應(yīng)的是信用數(shù)據(jù)，這兩個層面需配合起來使用?？尚诺沫h(huán)境，我們的一個設(shè)備，是不是他自己的設(shè)備，他所用的是不是一個安全的網(wǎng)絡(luò)，他用的應(yīng)用是不是被人冒充了。第三方環(huán)境，第三方簽名、第三方域名解析可信不可信，以及賬戶本身。如果想要解決一個盒子里的問題，即便在這個盒子里面做再大的努力，空間緯度也是不夠的。想要成為一個盒子里安全的最重要的一股力量，必須要看到盒子以外的空間才可以，并擁有配套的計算和分析能力。

關(guān)于融合的安全。到阿里之后我提出安全將發(fā)展成為O2O的模式，這個已經(jīng)跳出傳統(tǒng)。安全分三階段，第一是強(qiáng)身健體，第二個是公共環(huán)境的改善，第三個階段是遏制對手。但是在今天，至少在很多場合里面可以看到這三個階段在越來越多的融合。阿里巴巴投入巨大的力量打擊假貨，但只靠我們自身完成不了，需要與社會各界來合作，共同打擊黑產(chǎn)，打擊假貨的發(fā)源地，打擊各種各樣的犯罪團(tuán)伙。此外，傳統(tǒng)網(wǎng)絡(luò)安全和各類社會安全的融合，也非常重要。

還有一個安全的重心，技術(shù)的局限性我們必須要承認(rèn)，沒有100%的安全。但是未來的安全的解決不能以技術(shù)為中心，還要以人為中心。舉一個例子，剛才講到未來的鏈條會非常長，里面包括人，做數(shù)據(jù)安全的時候，數(shù)據(jù)從哪里泄露出去？歸根結(jié)底是從人泄露出去的。很多人恰恰忽略了“人”這個中心，所以在未來，“人”這個中心需要撿起來。

從明天開始是未來，很多事情是從現(xiàn)在開始就發(fā)生著的，所以我們說未來已來。我們正處在新一代信息技術(shù)或者“互聯(lián)網(wǎng)+”帶來的變革過程中，安全也需要及時跟上這場變革。對抗是持續(xù)的，只是位置、角度和深度會在不斷變化。100%的安全依然不存在，銀彈依然是夢想而已。網(wǎng)絡(luò)安全將越來越融合在業(yè)務(wù)中、融合在社會中，成為大安全的一部分，網(wǎng)絡(luò)安全之解不再是單一領(lǐng)域的技術(shù)和管理問題。我們需要更加開放的思維和更加寬廣的視角。