信息化觀察網(wǎng)

圖說：阿里巴巴新一代安全架構(gòu)（上），阿里巴巴安全基建大圖（下）。

社會發(fā)展階段使然，加之新冠疫情因素疊加，政府組織、各行各業(yè)都在加速數(shù)字化。新基建如火如荼，然而，越是飛速發(fā)展，安全生產(chǎn)就必須更加重視。

兩會期間，多位全國政協(xié)委員提案都呼吁盡快出臺安全基建國家標準，周漢民、彭靜等政協(xié)委員認為，大型互聯(lián)網(wǎng)企業(yè)應該在建設“安全基建”標準方面提供更多實踐參考。

近日，阿里安全基于20年間實踐經(jīng)驗沉淀總結(jié)的新一代安全架構(gòu)，正式對外發(fā)布了全新的安全基建大圖及應用安全企業(yè)標準。

業(yè)內(nèi)人士評價稱，在數(shù)字化進程中，許多中小企業(yè)沒有能力部署、運營和駕馭一套復雜的安全體系，阿里安全推出的安全基建大圖及完整構(gòu)建體系，為整個產(chǎn)業(yè)的安全能力建設，提供了可快速復制的參考樣板。

保障新基建安全 安全教育不可或缺

阿里發(fā)布的新一代安全架構(gòu)主要包括安全技術、安全基建和安全運營三層核心。

安全技術層是安全底層能力的集合，向上支持安全基建層，安全基建層將能力沉淀為標準體系及配套的流程、產(chǎn)品，形成安全中臺，通過中臺建立可信的應用體系，達到風險預防免疫的效果。

作為三層核心架構(gòu)中的“重心”，安全基建層的作用是在數(shù)字經(jīng)濟實體搭建過程中，建立標準化流程、引入關鍵技術，解決數(shù)字經(jīng)濟實體搭建的“安全施工標準”問題。

阿里安全首席架構(gòu)師錢磊強調(diào)：“從建設之初就要開始打造免疫力，真正讓新基建的每一塊‘磚’都安全可溯源。”

在安全基建大圖中，應用安全企業(yè)標準主要定義了應用安全從能力到產(chǎn)品、產(chǎn)品到流程、流程觸達用戶的要求與建設方案。其主要包括完備應用安全流程、構(gòu)建相應管理機制、建設度量體系和為規(guī)范確認執(zhí)行細節(jié)等四個部分。

此外，阿里安全團隊還為新安全基建打造了一套應用可信體系。這套體系可保障應用本身的安全，比如運行環(huán)境安全，任意資源只能以應用的身份加入到可信應用網(wǎng)絡中，其上運行的代碼、存儲的數(shù)據(jù)經(jīng)過完整的安全生命研發(fā)周期。另外，還能保障應用調(diào)用的安全。

應用安全與人的安全意識緊密相關。參與安全基建大圖設計的阿里安全高級產(chǎn)品運營專家岑汐認為，歸根結(jié)底還是安全教育的問題，應該加強打造以安全技術和安全意識為中心的基建能力。

阿里安全基建樣本運行成效顯著

阿里發(fā)布的數(shù)字基建新一代安全架構(gòu)目前已在阿里新零售事業(yè)群和淘寶直播等新興業(yè)務場景應用落地，并取得了顯著的安全性和穩(wěn)定性成效。

“安全基建在新零售事業(yè)部的實踐中，共計發(fā)現(xiàn)并完成整改282項風險，在企標、紅線及配套體系產(chǎn)品落地后，萬行代碼引入漏洞數(shù)斷崖式下降56%。”阿里安全高級安全專家林峻認為，將安全前置，從源頭發(fā)現(xiàn)安全風險并予以預防，才是打造安全基建的核心要義。

目前，淘寶直播也已完成了全員安全能力認證。阿里安全資深技術專家鐵花分析稱，這套安全基建的完整建設方案不僅對阿里自身有效，對整個行業(yè)也具有極高的參考意義：“這是一套即插即用的標準化安全架構(gòu)，可幫助社會各界在數(shù)字化進程中構(gòu)建完整的安全基礎設施”。

錢磊表示，阿里安全每天為超過7億消費者和千萬商家提供全面的安全保障，期待將掌握的安全服務能力和安全標準輸出，幫助更多企業(yè)進行安全能力建設。