杜躍進 資料安全不僅是資料不被偷走,而是沒有濫用

2021-09-23 19:46:06 字數 3262 閱讀 6203

一年一度的阿里安全峰會創立於 2014 年,今年已是第三屆,於7月13-14日在北京國家會議中心舉辦。峰會旨在促進亞太區資訊保安行業發展,為本地區資訊保安組織、資訊保安專業人士和決策者搭建乙個資訊交流展示平台,**當前安全行業的最佳實踐、熱點議題、資訊保安人才培養、新 興技術與發展趨勢等。2016 阿里安全峰會設立12個分論壇,數十家領軍企業參與、國內外頂級安全專家演講,在電商金融安全,移動安全,威脅情報,人才培養,電子取證等熱門安全行業問題進行深入**與交流,除此之外大會前一天還進行了頂級電商安全移動安全等方向的專業安全技術培訓。7月

13日2016

阿里安全峰會上,阿里巴巴安全部技術副總裁杜躍進進行了分享,他認為我們不是只是擔心資料被採集了,而是擔心了是不是被濫用。

阿里巴巴安全部技術副總裁

杜躍進以下是演講實錄:

對於資料安全問題,不同的人有不同的理解。所以想借今天這個機會跟大家再來討論一下。在貴陽數博會上我有乙個報告,題目就是這個,我們知道今天我們進入到了乙個資料技術的新時代,這個時代裡面資料本身就是像石油一樣,是我們未來的生產資料。如果大家聽聽那些大資料的報告的話,會發現有非常多美好的夢想,從醫療到智慧型城市,到可以想到的各個領域。我個人覺得那些故事都是可以實現的,資料可以發揮的價值遠遠超出我們的想象,我也聽到了很多人在講,我們的未來安全也是基於資料,沒有資料的話,未來安全這件事,也是沒有希望的,大家都是愛資料的。

我不知道生活中有哪些東西是你又愛又恨的,愛的很深,其實也恨的很深,因此同時我非常恐懼資料,為什麼那麼多的資料都被人拿走了,為什麼那麼多的資料都在別人手裡。有一次我開玩笑說,我們平時需要填很多**,比如申請簽證或者是說辦別的東西的時候,老讓我不斷的填寫一些資料,什麼時候上學,班主任是誰,誰能證明等等。我覺得這些資料不都在你們手裡嗎?為什麼還要問我呢?

所以資料這件事一些人在依賴它,指望它給我們帶來美好的未來;一些人在恐懼它,覺得資料是洪水猛獸,今天我們說資料是洪水猛獸的時候,我們在關注到底拿了什麼資料。此時此刻,中美、中國和歐盟有乙個網路安全的專家工作組正在開會,昨天我參加了他們一天的會議。大家也在看歐盟很多時候把資料分成了不同領域,你是這個領域裡面,你為什麼要採集這個資料,那個領域裡邊為什麼採集這個資料。通常我們下一步都說某乙個社會,某乙個應用又採集了不該採集的資料。讓我們覺得很害怕,你採集這個幹什麼,有沒有道理呢?有道理?但是這個道理是什麼?你為什麼要拿我這個東西,但是這是不是我們真正需要關注的問題呢?

回答這個問題之前,我們看乙個另外的慘痛的現實,其實我們的資料已經到處都是了。你在**上買乙個東西,上午講過了,整個鏈條裡面有很多東西是有黑產在等著偷資料出來的,你在現實社會裡面有非常多的地方要把你的身份證影印一張,你做很多的消費或者是社會活動的時候填個人資料進去,你都沒有辦法不填,這些資料填了之後呢?其實是已經給他了,所以在黑產的手裡,有我們非常大量的真實的身份證資料,有大家的郵箱資料,有郵箱賬戶,甚至是口令,甚至是信用卡的資料已經在那裡。我們平時被迫把資料交出去,不交出去的話其實也不行。不是說會不會被採集,是這些資料已經在那裡了,這部分的資料我們怎麼樣看呢?大家是不是可以沒事把身份證號換換,覺得家庭住址別人知道了不好,再買一套房子換呢,不可能,所以這些資料經常伴隨我們一輩子,這些資料在別人手裡,在很多的壞人手裡,所以我們反過來問大家乙個問題。我們捫心自問一下,我們擔心什麼,你信上帝的話,我們每時每刻所有的東西都在上帝那,為什麼不擔心上帝?覺得上帝不是壞人,不是亂用你的資料,或者你覺得擔心也沒有用。

實際上把剛才的問題放在這個環節看看,我們真的不是只是擔心資料被採集了,而是擔心了是不是被濫用了。現實世界中我們經常會擔心沒有資料,沒有辦法證明自己的清白,我打了一次車,是吧?這個路上,這個司機繞路了,司機說我沒有繞路,這個官司打不清楚了。你要有資料來證明。

在阿里巴巴的資料安全中,我們最關鍵要解決的就是這些事情,我們的資料安全包括三大領域,第一領域是我今天要講到的,我要證明我們整個的資料產品,資料是我們的生產資料,我們是資料公司。會不會有侵犯到個人隱私的事情或者是說越權的事情。沒有事情是百分之百絕對的,一旦發現的話,嚴懲不貸。

資料安全裡面還有另外兩塊,我也捎帶說一下,我們手裡面的資料怎麼樣防止被外人偷走,這是我們在座很多很熟悉的傳統的反入侵和資料保護的事情,這裡不展開講了,還有第三塊事情,今天上午有關係的,就是說今天我們要保護的資料,不是乙個靜態的檔案,不是乙個靜態的資料庫存在那裡,今天我們要保護的資料是隨著全業務的生命週期和流程,流到整個業務環節裡面去的,所以今天上午講到isv、商家,物流,這個資料是一定要流出去的,在整個全過程中,超出了阿里巴巴的管轄範圍之外,怎麼樣幫助別人同樣的保護使用者的資料。

所謂安全,不僅僅是說不被人偷走,而是沒有濫用。我們這個領域裡面積累了非常多的東西,我們希望把這樣的東西傳播出來,我們希望這樣的東西有更多的人實踐過,在今年我們至少要推廣到三十家以上的企業,免費推廣到三十家以上的企業共同看看我們這一套方法還有沒有可以改進的地方。我們也在聯合非常多的企業和我們共同一起把它變成標準,我們在國際標準上已經立項了,行業標準和國家標準中也已經立項了,我們為什麼把它變成標準,也是希望這套東西能夠有更多人拿來借鑑。我們希望這樣一種方法可以在國家的政策制定和行業管理裡面得到認可,因為是經過產業界實踐的,等到那一天的時候,我們希望,有人,不是我,不是阿里巴巴,而是有一套科學方法做基礎的第三方的機構,能夠來對任何一方公司來衡量一下資料在你手裡安全不安全。所以回到這裡比較的話,大家與其擔心資料是不是被拿走了,而是此時此刻更需要擔心那麼多企業和組織機構他們手裡面的資料安全不安全,這是更需要解決的。我沒有時間把我們的方法完全講出來,講關鍵的點,在我們內部叫做資料安全成熟度模型,我們之所以不僅僅做成阿里的實踐,而是變成模型,變成標準,推廣到外面去,是因為我們希望達到我們這個會議主題的意思,賦能我們希望把這個資料輸出去,看看能不能衡量任何乙個機構的資料安全做得好不好。

我們在這裡看到了通用的方**的東西,這些東西是過去十多年來網路安全經驗積澱出來的,過去十多年來我們看到很多的企業,我們分析背後的原因,有很多問題十幾年來如一日,至今沒有變,我們應該分析背後的原因,不完全展開講,對於很多長期改不掉安全原因的分析,讓我們提煉出這四個維度,我們用在乙個組織或者機構,資料安全本身能力的考核或者是說評價上面。具體的細節方法和過去非常不一樣的。

這四個維度,包括了:

最後要說一下我非常贊同今天上午很多演講嘉賓的觀點,安全始終都是以業務為核心的。安全的價值在於你能不能幫助業務發展得更好,從很大的乙個角度來說的話,資料安全就是我們最後最終的目標,是樹立消費者對我們的信心。比如說我們不能夠證明資料在我手裡是安全的,安全到最後本質上是信心的樹立,通過消費者信心的樹立,讓我們越來越多的,各種各樣的業務敢於在網際網路上順利的進行。

希望我們的安全人永遠銘記,業務是第一,安全是讓消費者能夠去有信心在我們業務上去做。最後,安全的產品讓大資料流動起來,產生價值,真正能夠造福人類。

謝謝大家。

專案安全 資料安全

一 敏感資料加密 mysql的aes encrypt和des encrypt函式二 資料庫防篡改1.對要防止篡改的列,在儲存或者修改 正常程式通過應用進行儲存和修改 通過乙個演算法得到受保護的列的乙個對應密文 把這個密文儲存到對應的列中 2.在讀取資料的時候,得到防止篡改的列的值,在應用中,再次對這...

android應用安全 資料安全

資料安全包含資料庫資料安全 sd卡資料 外部儲存 安全 ram資料 內部儲存 安全。android中運算元據庫可使用 sqliteopenhelper 或contentprovider 的方式。使用 sqliteopenhelper 運算元據庫時,資料庫存放在 data data databases...

主機安全與加固 資料安全

主機安全 保證主機在資料儲存和處理的保密性,完成性,可用性。包括軟體,硬體,系統軟體的自身安全。common vulnerability scoring system,用來設計描述漏洞的嚴重程度,確定需要應急的緊急度和重要度。種類 滲透測試流程 確定目標,資訊收集,漏洞探測,漏洞利用,內網 內網滲透...