01?當(dāng)前面臨的安全挑戰(zhàn)及趨勢

? ? ? 首先我們先來談一下這個當(dāng)前云的安全挑戰(zhàn)和趨勢，今年隱私計(jì)算應(yīng)該在整個全社會的關(guān)注度是非常高。第一方面就是IT基礎(chǔ)設(shè)施上云，因?yàn)楝F(xiàn)在我們國家是在大力提倡數(shù)字經(jīng)濟(jì)，相應(yīng)的就會有傳統(tǒng)的大量的傳統(tǒng)企業(yè)和新型的這種數(shù)字經(jīng)濟(jì)企業(yè)都會涉及到一個基礎(chǔ)設(shè)施的問題。現(xiàn)在的一個趨勢就是基礎(chǔ)設(shè)施都會逐漸的往云上去走，這種方式其實(shí)是數(shù)字經(jīng)濟(jì)的一個支撐，也會提高相應(yīng)的效率。IT基礎(chǔ)設(shè)施上云可以提高全社會的資源利用率，這也是為什么現(xiàn)在政府和各個企業(yè)，大型企業(yè)都會把基礎(chǔ)設(shè)施往云上去搬的一個核心的原因。

? ? ? 第二個方面，現(xiàn)在有個大的趨勢就是所有的這種IT的技術(shù)都在逐漸互聯(lián)網(wǎng)化，具體來講就是軟件處理能力是否可以根據(jù)業(yè)務(wù)流量進(jìn)行彈性伸縮，能否處理實(shí)時大數(shù)據(jù)處理請求，同時這個安全是不是能夠簡單地作為一種服務(wù)來提供，而不是說由這個基礎(chǔ)設(shè)施的擁有者或者說這個服務(wù)的使用者自己去構(gòu)建一個安全體系。因?yàn)楝F(xiàn)在阿里云架構(gòu)其實(shí)是越來越復(fù)雜，在這種技術(shù)背景下，其實(shí)做安全也會變得越來越復(fù)雜。這種情況下也就孕育而生了安全基礎(chǔ)服務(wù)這樣一個概念，也就是由這個云的基礎(chǔ)能力提供商來提供這樣一個安全的服務(wù)，然后消費(fèi)者只要通過這種服務(wù)的訂閱，就能夠享受到云計(jì)算帶來的這個安全可控的這樣一個效果，這就是核心的技術(shù)互聯(lián)網(wǎng)化。

? ? ? 第三個的顯著的特征是應(yīng)用趨于數(shù)據(jù)化和智能化，也就是應(yīng)用要以數(shù)據(jù)為基礎(chǔ)來提供相應(yīng)的服務(wù)給到用戶。即基于數(shù)據(jù)來做智能化決策。例如淘寶 APP的千人千面，這是當(dāng)前電商、短視頻應(yīng)用的一個普遍趨勢。而應(yīng)用對 使用全域數(shù)據(jù)過程中，數(shù)據(jù)全鏈路安全保護(hù)和以數(shù)據(jù)為中心的安全體系建 設(shè)就提高了全面的更高的要求和挑戰(zhàn)，保護(hù)數(shù)據(jù)安全和隱私在當(dāng)前法律體系下不是“想不想”和“能不能”，而且必須做的事情。

? ? ? 我們再來談一下數(shù)據(jù)流通面臨的這個安全挑戰(zhàn)。既然我們是要把數(shù)據(jù)作為產(chǎn)生價值的一個源頭，那一定就面臨著這個我們圖中所提到的數(shù)據(jù)要素流動和價值釋放，但這一定和數(shù)據(jù)治理和隱私保護(hù)是有一個對立關(guān)系。因?yàn)閿?shù)據(jù)如果是無序的流動，釋放的價值是有，但是他對整個的數(shù)據(jù)生態(tài)的治理和隱私保護(hù)是一個不可控的威脅，滴滴的案例就非常典型。

? ? ? 2021年開始，隨著數(shù)據(jù)安全法和個人信息保護(hù)法的出臺，互聯(lián)網(wǎng)行業(yè)尤其 是數(shù)據(jù)分析行業(yè)對隱私保護(hù)、多方安全計(jì)算逐漸重視。以阿里云的視角，認(rèn) 為隱私增強(qiáng)計(jì)算是未來數(shù)據(jù)安全流通的重要實(shí)現(xiàn)方式，也是所有數(shù)據(jù)共享 技術(shù)的一個基石。

? ? ? 說到這里也簡單的談一下，就是歐洲的這個GDPR。我們國家的這個數(shù)據(jù)安全立法及這個相應(yīng)的政策，其出發(fā)點(diǎn)還是要促進(jìn)經(jīng)濟(jì)的發(fā)展，同時要保護(hù)公民和相關(guān)的市場主體數(shù)據(jù)權(quán)益和隱私的基本權(quán)利。總體來說還是要促進(jìn)發(fā)展的這樣一個目的。但是歐盟這個GDPR，我們覺得這個可能還是以這個限制為主，他這個刺激數(shù)字經(jīng)濟(jì)發(fā)展的這個作用就不是很顯著，或者說歐盟的這邊，他的這個立法精神可能跟我們是有有一些不同的這個觀點(diǎn)吧。所以我們在這個領(lǐng)域，其實(shí)可以在這個這個角度上可以去激發(fā)更多的創(chuàng)新，然后讓我們這個國內(nèi)的技術(shù)走到這個世界更前沿。

? ? ? 現(xiàn)在全社會都在廣泛討論隱私計(jì)算，以我們阿里云的視角的我們認(rèn)為隱私計(jì)算是數(shù)據(jù)安全流通的未來的方向和所有的數(shù)據(jù)共享技術(shù)的一個未來的基石。也就是說確保數(shù)據(jù)在流通過程中“可用不可見”已成為數(shù)據(jù)流通與價值挖掘的關(guān)鍵挑戰(zhàn)。其實(shí)這個里面就暗含了一點(diǎn)就是數(shù)據(jù)不可見是從國家層面要保護(hù)隱私，但是從市場經(jīng)濟(jì)的主體來說做到數(shù)據(jù)不可見是對其數(shù)據(jù)權(quán)益做的一個保護(hù)。這樣才能夠做到他愿意把這個數(shù)據(jù)去拿出來去跟這個另外一方產(chǎn)生計(jì)算的價值，否則的話他就不愿意因?yàn)槟贸鋈ァＲ驗(yàn)閿?shù)據(jù)拿出去以后他沒法去對這個數(shù)據(jù)的權(quán)益做控制，所以從利益的角度他也不愿意拿出數(shù)據(jù)做分享。所以Gartner在今年的前沿科技戰(zhàn)略趨勢中也將這個隱私增強(qiáng)計(jì)算作為未來幾年科技發(fā)展的九大趨勢之一，也就是看到了目前在人工智能應(yīng)用以及各種這個網(wǎng)絡(luò)數(shù)字經(jīng)濟(jì)活動中數(shù)據(jù)發(fā)發(fā)揮的決定性的作用。而數(shù)據(jù)的打通，勢必又要用到這個隱私增強(qiáng)計(jì)算這樣一個底層的支撐，所以這也是其作為九大趨勢的一個很重要的原因。同時在今年Gartner全球云廠商的評估中把這個以SGX的這種可信執(zhí)行環(huán)境計(jì)算能力為代表的技術(shù)作為這個云計(jì)算安全的重要的分項(xiàng)。

? ? ? ?Gartner分析師有提出一個假設(shè)，就是在2025年將有50%的大型企業(yè)采用隱私增強(qiáng)計(jì)算處理不受信任環(huán)境中的數(shù)據(jù)以及多方數(shù)據(jù)分析用例。其實(shí)這個不受信任環(huán)境，他指的方面很多，我們直觀的可能認(rèn)為是說企業(yè)會把數(shù)據(jù)放到了另外一個企業(yè)的環(huán)境里面去計(jì)算，但是其實(shí)更重要一點(diǎn)，現(xiàn)在目大型的企業(yè)里面，人員的這個數(shù)據(jù)安全管理也是一個非常棘手的問題。就像之前有某廠商有員工個人竊取用戶數(shù)據(jù)泄露，導(dǎo)致這個大型企業(yè)這個相應(yīng)的這個數(shù)據(jù)安全聲譽(yù)受到一定的這個影響，也就是說我們內(nèi)部的機(jī)房其實(shí)也是一個不受限的環(huán)境。在我們這個云上來看來，我們對內(nèi)部的這個管控也不能僅僅基于對這個人員的這個操作規(guī)范管控，我們還要更多的基于從技術(shù)和硬件的角度，能夠規(guī)范數(shù)據(jù)的這個使用和可見范圍，這個是非常重要的一個點(diǎn)。

? ? ? 右邊的這個圖，很形象的說明了我們這個隱私計(jì)算技術(shù)有哪幾個分類同時這些技術(shù)又做了一些什么事情。從這張圖上面來看，首先我們在左側(cè)有一個數(shù)據(jù)源，數(shù)據(jù)源提供的數(shù)據(jù)都是可用可見的數(shù)據(jù)，這個數(shù)據(jù)都是我們所謂的明文數(shù)據(jù)。通過我們這個差分隱私、同態(tài)加密、安全多方計(jì)算，零知識證明這幾種技術(shù)，我們將這些這些明文數(shù)據(jù)轉(zhuǎn)換成了隱私增強(qiáng)型數(shù)據(jù)，也就這一部分?jǐn)?shù)據(jù)是可計(jì)算，但是不可見，最終到了我們這個循環(huán)箭頭的這里。也就是說，我們隱私計(jì)算技術(shù)其實(shí)是提供了一個管道的功能，將明文數(shù)據(jù)在管道內(nèi)進(jìn)行分裝，然后在計(jì)算端完成隱私保護(hù)計(jì)算之后將計(jì)算結(jié)果輸出到相應(yīng)的這個授權(quán)方。在我看來就是隱私計(jì)算搭建的是一個數(shù)據(jù)流通的管道，或者稱下一代的信息高速公路，只有這這樣對數(shù)據(jù)在流轉(zhuǎn)過程中的這樣一個強(qiáng)保護(hù)，才能夠促使數(shù)據(jù)能夠有更暢流暢的流轉(zhuǎn)和價值的激發(fā)。

? ? ? 這張圖分享一下幾個趨勢。第一個是Gartner發(fā)布的這個隱私技術(shù)成熟度曲線，這個曲線其實(shí)很有意思，就是一個新的事物，一個新的技術(shù)創(chuàng)新產(chǎn)生之后，他一定會經(jīng)經(jīng)歷這樣一個所謂的泡沫曲線，就是說它由這個innovation trigger這個地方創(chuàng)新激發(fā)，然后會持續(xù)的提高公眾對它的一個期望值，當(dāng)他會達(dá)到頂峰的時候，就是一個超出他本身能夠承載的范圍的一個預(yù)期，當(dāng)然這個預(yù)期其實(shí)是過高了。在這個頂峰之后，因?yàn)榧夹g(shù)會比較新，所以他也沒有產(chǎn)生特別實(shí)際的生產(chǎn)力，這時候公眾對他的這個期望值就會有一定的失望，進(jìn)而會走向下坡路。但是在這個階段就會有真正的場景以及需求會涌現(xiàn)出來，然后經(jīng)過不斷的打磨然走到Enlightenment，這個上坡的路徑的時候就是它真正解決問題的時候。然后由深藍(lán)色也逐漸退化為天藍(lán)色逐漸最后上坡到白色的圓圈的地方就是真正形成生產(chǎn)力。

? ? ? 反觀左側(cè)我們今天要談的數(shù)據(jù)安全其實(shí)更多的是聚焦在多方數(shù)據(jù)的流轉(zhuǎn)的趨勢上面。在這上面我們現(xiàn)在用這個藍(lán)框標(biāo)出來的多方計(jì)算和差分隱私其實(shí)都是在處在創(chuàng)新驅(qū)動點(diǎn)。更重要的一點(diǎn)是我們現(xiàn)在更關(guān)注是在這個左側(cè)下面這三個。一個是同態(tài)加密，再一個是這個數(shù)據(jù)安全治理，還有一個就是機(jī)密計(jì)算，現(xiàn)在阿里云一個非常大的發(fā)力的點(diǎn)，就是在這個機(jī)密計(jì)算，因?yàn)樗乾F(xiàn)在非常創(chuàng)新的一個領(lǐng)域，目前在這個去年的測評里面，我們是排到世界第二。所以機(jī)密計(jì)算和同態(tài)加密是未來至少是在目前在歐美產(chǎn)業(yè)界是一個強(qiáng)大的發(fā)力點(diǎn)。

? ? ? 目前來說國際上有一個公認(rèn)的觀點(diǎn)，就是要保護(hù)數(shù)據(jù)全生命周期的這樣一個安全。經(jīng)典的來說，其實(shí)數(shù)據(jù)就分為這個存儲狀態(tài)和傳輸過程中的狀態(tài)和運(yùn)算狀態(tài)，這三個狀態(tài)都需要進(jìn)行數(shù)據(jù)的安全保護(hù)，才能夠保證數(shù)據(jù)的全生命周期的這樣一個安全。我們國家有更詳細(xì)的這樣一個數(shù)據(jù)安全模型叫DSMM，我們后面會有專門介紹這個數(shù)據(jù)安全能力成熟度模型。目前來說其實(shí)數(shù)據(jù)的存儲和傳輸都是在這個能力成熟曲線的平穩(wěn)階段，就是已經(jīng)形成非常穩(wěn)定的生產(chǎn)力了，所以這部分的話各個廠家其實(shí)是沒有很大的這個技術(shù)上的差別的。但是在這個運(yùn)行時保護(hù)領(lǐng)域其實(shí)是一個非常全新的領(lǐng)域，這個是有非常高的區(qū)分度的，同時這個數(shù)據(jù)的這個運(yùn)行時保護(hù)，其實(shí)有很多種方法和方式，包括現(xiàn)在以這個密碼學(xué)為代表的各種各樣的，比如說MPC，TEE機(jī)密計(jì)算都是在解決這類問題。所以在這個領(lǐng)域，大家都在一個共同的賽道上面，在努力地在進(jìn)行創(chuàng)新，具體的哪個項(xiàng)目哪個技術(shù)能夠獲得勝出，其實(shí)還是要以這個市場為導(dǎo)向，就看市場最終接受哪一種技術(shù)作為這個落地的最最佳實(shí)踐。這個我們還是以這個實(shí)踐為準(zhǔn)。在國內(nèi)也做得非常好的就是信通院，在去年就已經(jīng)提供了多種機(jī)密計(jì)算，還有隱私計(jì)算的認(rèn)證標(biāo)準(zhǔn)和認(rèn)證體系也在不斷推進(jìn)中，包括這個大數(shù)據(jù)產(chǎn)品能力測評在去年已經(jīng)推出。然后今年也有多項(xiàng)的這個隱私計(jì)算產(chǎn)品的這樣一個測評，包括區(qū)塊鏈安全的測評等。

? ? ? 0２?數(shù)據(jù)安全建設(shè)思路和實(shí)踐

? ? ? 首先要提到我們現(xiàn)在國家發(fā)布的這個國標(biāo)DSMM，就是數(shù)據(jù)安全能力成熟度模型，這個是我們在國內(nèi)從事數(shù)據(jù)和數(shù)據(jù)安全企業(yè)的最主要的行為規(guī)范，在這里面提出了對技術(shù)，包括整個組織架構(gòu)體系的一個嚴(yán)格的要求。在左側(cè)的這個維度的圖里面，我們就可以看到這個能力程度等級，分為五個等級，第一個是最弱的，是非正式執(zhí)行，就什么都是，就是人治，不是法治的這種模式，最高的就是持續(xù)優(yōu)化，就是說在這個組織內(nèi)部可以有一個良好的機(jī)制，不斷的去迭代，不斷的去優(yōu)化這樣一個這個數(shù)據(jù)安全能力。從這個數(shù)據(jù)生命周期的這個維度上看，數(shù)據(jù)在我們國家分得更細(xì)，分為六個階段，就是采集，存儲，傳輸，處理，交換和銷毀，這六個過程中都需要有非常嚴(yán)格的數(shù)據(jù)安全管控的策略及其這個不斷演進(jìn)迭代的方式，因?yàn)槿绻谌魏我粋€環(huán)節(jié)有了這個疏漏造成的數(shù)據(jù)安全威脅問題，其實(shí)你所有的其他的這個階段都是沒法保證整體數(shù)據(jù)安全。從安全能力維度上看，其實(shí)就包括了個人能力，采用什么工具，然后流程是什么，最終還是要?dú)w結(jié)到這個組織建設(shè)要有一套能夠自循環(huán)的這樣一個組織架構(gòu)來去維護(hù)這樣一個數(shù)據(jù)安全。在右側(cè)，其實(shí)是一個非常形象的來介紹這個數(shù)據(jù)安全生命周期這樣一個概念，這個過程以我們阿里云的這個應(yīng)用特點(diǎn)來看的話，就是我們是在端上和這個互聯(lián)網(wǎng)的經(jīng)濟(jì)主體的在日常的生產(chǎn)活動中產(chǎn)生的數(shù)據(jù)和采集數(shù)據(jù)，我們會通過數(shù)據(jù)采集的這個通道，采集進(jìn)來以后會對數(shù)據(jù)進(jìn)行一個存儲和一個分類，或者說進(jìn)行一個數(shù)據(jù)上的一個安全的分級，再下一步我們就會放到這個云上的一個數(shù)據(jù)中臺，做一個高效的這個彈性計(jì)算。那么數(shù)據(jù)是導(dǎo)出，發(fā)布還是銷毀，這個是由這個業(yè)務(wù)的形態(tài)和用戶來決定。就是說，我們要有一個嚴(yán)格的銷毀流程，因?yàn)楝F(xiàn)在國家在立法中也明確提出了，就是用戶有權(quán)利銷毀自己在這個數(shù)據(jù)應(yīng)用中產(chǎn)生的數(shù)據(jù)，這部分我們阿里云也有非常深度的一個耕耘。在六個這個生命周期中，我們都有相應(yīng)的產(chǎn)品來做給到用戶。阿里云的這個安全建設(shè)的參考框架是這樣，我們是以這個DSMM這個為框架，我們有三個層次的這樣一個建設(shè)，最基層就是基礎(chǔ)設(shè)施和應(yīng)用完全，這個層面上防的就是外部的黑客攻擊和惡意的爬取，包括內(nèi)部惡意人員和這個外部的網(wǎng)絡(luò)威脅。基于這個的話，我們做的這一套架構(gòu)是說是云平臺的這個數(shù)據(jù)安全，我們基于物理安全，硬件安全，虛擬化安全和可信計(jì)算這四大支柱來提供這樣一個最基礎(chǔ)的一個基礎(chǔ)設(shè)施的安全。第二部分是數(shù)據(jù)防泄漏，數(shù)據(jù)防泄漏，就是說我們要規(guī)范內(nèi)部使用和外部共享的這樣一個過程中，防止數(shù)據(jù)泄露，在這個層面上面，我們會有這個賬號管理認(rèn)證與授權(quán)管理和這個監(jiān)控操作審計(jì)運(yùn)營這兩大這個工具集。同時，我們在整個云上數(shù)據(jù)的這個全生命周期中，我們提供了這個存儲服務(wù)，數(shù)據(jù)服務(wù)，大數(shù)據(jù)服務(wù)，同時這些服務(wù)都是基于這個對賬號認(rèn)證和管理授權(quán)，且所有的操作都是有審計(jì)的，以此來構(gòu)建一個數(shù)據(jù)防泄漏的這樣一個中間的環(huán)節(jié)的基礎(chǔ)。那再往上走，其實(shí)我們就是要處理一個合規(guī)，隱私與合規(guī)要求，那往上走就是安全中心，業(yè)務(wù)風(fēng)控，應(yīng)用安全合規(guī)管理，這個就是給到用戶的最終一個實(shí)際的一個價值點(diǎn)。所以我們的這個建設(shè)的思路是由底至上來構(gòu)建一個全平臺的安全。

? ? ? 阿里云的數(shù)據(jù)安全能力全景圖在上圖有一個非常簡明扼要的體現(xiàn)。我們這個能力分為五個版塊，第一個就是芯片級安全，第二個是數(shù)據(jù)加密，第三是數(shù)據(jù)治理，第四是敏感數(shù)據(jù)的使用，第五是數(shù)據(jù)防泄漏。每一項(xiàng)都有相應(yīng)的具體的一個技術(shù)的實(shí)現(xiàn)方式和大量的云安全的技術(shù)團(tuán)隊(duì)來做底層的支撐。我這邊是負(fù)責(zé)這個芯片級安全這一部分，就是高等級計(jì)算的環(huán)境安全。其中包括了機(jī)密計(jì)算和這個可信計(jì)算，在國內(nèi)其實(shí)可信計(jì)算代表著這個TCM可信密碼模塊，機(jī)密計(jì)算就更多的指的是這個TEE可信執(zhí)行環(huán)境，在這個數(shù)據(jù)加密領(lǐng)域，我們也提供了這個就相當(dāng)于是密鑰管理的一系列的這個措施，包括軟硬件的措施，還有我們允許用戶那個來提交自己的BYOK，這樣的方式就把安全能力，能夠讓用戶能夠真實(shí)地做一個感知，第四個需要強(qiáng)調(diào)的是我們這個安全使用分享和計(jì)算，也就是說我們在身份安全性驗(yàn)證這塊，我們有強(qiáng)大的基礎(chǔ)的支撐，包括第五個數(shù)據(jù)防泄漏，我們也有一系列的這個數(shù)據(jù)風(fēng)險防控的能力，這是我們的一個安全能力全圖。