01?當前面臨的安全挑戰及趨勢

? ? ? 首先我們先來談一下這個當前云的安全挑戰和趨勢，今年隱私計算應該在整個全社會的關注度是非常高。第一方面就是IT基礎設施上云，因為現在我們國家是在大力提倡數字經濟，相應的就會有傳統的大量的傳統企業和新型的這種數字經濟企業都會涉及到一個基礎設施的問題。現在的一個趨勢就是基礎設施都會逐漸的往云上去走，這種方式其實是數字經濟的一個支撐，也會提高相應的效率。IT基礎設施上云可以提高全社會的資源利用率，這也是為什么現在政府和各個企業，大型企業都會把基礎設施往云上去搬的一個核心的原因。

? ? ? 第二個方面，現在有個大的趨勢就是所有的這種IT的技術都在逐漸互聯網化，具體來講就是軟件處理能力是否可以根據業務流量進行彈性伸縮，能否處理實時大數據處理請求，同時這個安全是不是能夠簡單地作為一種服務來提供，而不是說由這個基礎設施的擁有者或者說這個服務的使用者自己去構建一個安全體系。因為現在阿里云架構其實是越來越復雜，在這種技術背景下，其實做安全也會變得越來越復雜。這種情況下也就孕育而生了安全基礎服務這樣一個概念，也就是由這個云的基礎能力提供商來提供這樣一個安全的服務，然后消費者只要通過這種服務的訂閱，就能夠享受到云計算帶來的這個安全可控的這樣一個效果，這就是核心的技術互聯網化。

? ? ? 第三個的顯著的特征是應用趨于數據化和智能化，也就是應用要以數據為基礎來提供相應的服務給到用戶。即基于數據來做智能化決策。例如淘寶 APP的千人千面，這是當前電商、短視頻應用的一個普遍趨勢。而應用對 使用全域數據過程中，數據全鏈路安全保護和以數據為中心的安全體系建 設就提高了全面的更高的要求和挑戰，保護數據安全和隱私在當前法律體系下不是“想不想”和“能不能”，而且必須做的事情。

? ? ? 我們再來談一下數據流通面臨的這個安全挑戰。既然我們是要把數據作為產生價值的一個源頭，那一定就面臨著這個我們圖中所提到的數據要素流動和價值釋放，但這一定和數據治理和隱私保護是有一個對立關系。因為數據如果是無序的流動，釋放的價值是有，但是他對整個的數據生態的治理和隱私保護是一個不可控的威脅，滴滴的案例就非常典型。

? ? ? 2021年開始，隨著數據安全法和個人信息保護法的出臺，互聯網行業尤其 是數據分析行業對隱私保護、多方安全計算逐漸重視。以阿里云的視角，認 為隱私增強計算是未來數據安全流通的重要實現方式，也是所有數據共享 技術的一個基石。

? ? ? 說到這里也簡單的談一下，就是歐洲的這個GDPR。我們國家的這個數據安全立法及這個相應的政策，其出發點還是要促進經濟的發展，同時要保護公民和相關的市場主體數據權益和隱私的基本權利。總體來說還是要促進發展的這樣一個目的。但是歐盟這個GDPR，我們覺得這個可能還是以這個限制為主，他這個刺激數字經濟發展的這個作用就不是很顯著，或者說歐盟的這邊，他的這個立法精神可能跟我們是有有一些不同的這個觀點吧。所以我們在這個領域，其實可以在這個這個角度上可以去激發更多的創新，然后讓我們這個國內的技術走到這個世界更前沿。

? ? ? 現在全社會都在廣泛討論隱私計算，以我們阿里云的視角的我們認為隱私計算是數據安全流通的未來的方向和所有的數據共享技術的一個未來的基石。也就是說確保數據在流通過程中“可用不可見”已成為數據流通與價值挖掘的關鍵挑戰。其實這個里面就暗含了一點就是數據不可見是從國家層面要保護隱私，但是從市場經濟的主體來說做到數據不可見是對其數據權益做的一個保護。這樣才能夠做到他愿意把這個數據去拿出來去跟這個另外一方產生計算的價值，否則的話他就不愿意因為拿出去。因為數據拿出去以后他沒法去對這個數據的權益做控制，所以從利益的角度他也不愿意拿出數據做分享。所以Gartner在今年的前沿科技戰略趨勢中也將這個隱私增強計算作為未來幾年科技發展的九大趨勢之一，也就是看到了目前在人工智能應用以及各種這個網絡數字經濟活動中數據發發揮的決定性的作用。而數據的打通，勢必又要用到這個隱私增強計算這樣一個底層的支撐，所以這也是其作為九大趨勢的一個很重要的原因。同時在今年Gartner全球云廠商的評估中把這個以SGX的這種可信執行環境計算能力為代表的技術作為這個云計算安全的重要的分項。

? ? ? ?Gartner分析師有提出一個假設，就是在2025年將有50%的大型企業采用隱私增強計算處理不受信任環境中的數據以及多方數據分析用例。其實這個不受信任環境，他指的方面很多，我們直觀的可能認為是說企業會把數據放到了另外一個企業的環境里面去計算，但是其實更重要一點，現在目大型的企業里面，人員的這個數據安全管理也是一個非常棘手的問題。就像之前有某廠商有員工個人竊取用戶數據泄露，導致這個大型企業這個相應的這個數據安全聲譽受到一定的這個影響，也就是說我們內部的機房其實也是一個不受限的環境。在我們這個云上來看來，我們對內部的這個管控也不能僅僅基于對這個人員的這個操作規范管控，我們還要更多的基于從技術和硬件的角度，能夠規范數據的這個使用和可見范圍，這個是非常重要的一個點。

? ? ? 右邊的這個圖，很形象的說明了我們這個隱私計算技術有哪幾個分類同時這些技術又做了一些什么事情。從這張圖上面來看，首先我們在左側有一個數據源，數據源提供的數據都是可用可見的數據，這個數據都是我們所謂的明文數據。通過我們這個差分隱私、同態加密、安全多方計算，零知識證明這幾種技術，我們將這些這些明文數據轉換成了隱私增強型數據，也就這一部分數據是可計算，但是不可見，最終到了我們這個循環箭頭的這里。也就是說，我們隱私計算技術其實是提供了一個管道的功能，將明文數據在管道內進行分裝，然后在計算端完成隱私保護計算之后將計算結果輸出到相應的這個授權方。在我看來就是隱私計算搭建的是一個數據流通的管道，或者稱下一代的信息高速公路，只有這這樣對數據在流轉過程中的這樣一個強保護，才能夠促使數據能夠有更暢流暢的流轉和價值的激發。

? ? ? 這張圖分享一下幾個趨勢。第一個是Gartner發布的這個隱私技術成熟度曲線，這個曲線其實很有意思，就是一個新的事物，一個新的技術創新產生之后，他一定會經經歷這樣一個所謂的泡沫曲線，就是說它由這個innovation trigger這個地方創新激發，然后會持續的提高公眾對它的一個期望值，當他會達到頂峰的時候，就是一個超出他本身能夠承載的范圍的一個預期，當然這個預期其實是過高了。在這個頂峰之后，因為技術會比較新，所以他也沒有產生特別實際的生產力，這時候公眾對他的這個期望值就會有一定的失望，進而會走向下坡路。但是在這個階段就會有真正的場景以及需求會涌現出來，然后經過不斷的打磨然走到Enlightenment，這個上坡的路徑的時候就是它真正解決問題的時候。然后由深藍色也逐漸退化為天藍色逐漸最后上坡到白色的圓圈的地方就是真正形成生產力。

? ? ? 反觀左側我們今天要談的數據安全其實更多的是聚焦在多方數據的流轉的趨勢上面。在這上面我們現在用這個藍框標出來的多方計算和差分隱私其實都是在處在創新驅動點。更重要的一點是我們現在更關注是在這個左側下面這三個。一個是同態加密，再一個是這個數據安全治理，還有一個就是機密計算，現在阿里云一個非常大的發力的點，就是在這個機密計算，因為他是現在非常創新的一個領域，目前在這個去年的測評里面，我們是排到世界第二。所以機密計算和同態加密是未來至少是在目前在歐美產業界是一個強大的發力點。

? ? ? 目前來說國際上有一個公認的觀點，就是要保護數據全生命周期的這樣一個安全。經典的來說，其實數據就分為這個存儲狀態和傳輸過程中的狀態和運算狀態，這三個狀態都需要進行數據的安全保護，才能夠保證數據的全生命周期的這樣一個安全。我們國家有更詳細的這樣一個數據安全模型叫DSMM，我們后面會有專門介紹這個數據安全能力成熟度模型。目前來說其實數據的存儲和傳輸都是在這個能力成熟曲線的平穩階段，就是已經形成非常穩定的生產力了，所以這部分的話各個廠家其實是沒有很大的這個技術上的差別的。但是在這個運行時保護領域其實是一個非常全新的領域，這個是有非常高的區分度的，同時這個數據的這個運行時保護，其實有很多種方法和方式，包括現在以這個密碼學為代表的各種各樣的，比如說MPC，TEE機密計算都是在解決這類問題。所以在這個領域，大家都在一個共同的賽道上面，在努力地在進行創新，具體的哪個項目哪個技術能夠獲得勝出，其實還是要以這個市場為導向，就看市場最終接受哪一種技術作為這個落地的最最佳實踐。這個我們還是以這個實踐為準。在國內也做得非常好的就是信通院，在去年就已經提供了多種機密計算，還有隱私計算的認證標準和認證體系也在不斷推進中，包括這個大數據產品能力測評在去年已經推出。然后今年也有多項的這個隱私計算產品的這樣一個測評，包括區塊鏈安全的測評等。

? ? ? 0２?數據安全建設思路和實踐

? ? ? 首先要提到我們現在國家發布的這個國標DSMM，就是數據安全能力成熟度模型，這個是我們在國內從事數據和數據安全企業的最主要的行為規范，在這里面提出了對技術，包括整個組織架構體系的一個嚴格的要求。在左側的這個維度的圖里面，我們就可以看到這個能力程度等級，分為五個等級，第一個是最弱的，是非正式執行，就什么都是，就是人治，不是法治的這種模式，最高的就是持續優化，就是說在這個組織內部可以有一個良好的機制，不斷的去迭代，不斷的去優化這樣一個這個數據安全能力。從這個數據生命周期的這個維度上看，數據在我們國家分得更細，分為六個階段，就是采集，存儲，傳輸，處理，交換和銷毀，這六個過程中都需要有非常嚴格的數據安全管控的策略及其這個不斷演進迭代的方式，因為如果在任何一個環節有了這個疏漏造成的數據安全威脅問題，其實你所有的其他的這個階段都是沒法保證整體數據安全。從安全能力維度上看，其實就包括了個人能力，采用什么工具，然后流程是什么，最終還是要歸結到這個組織建設要有一套能夠自循環的這樣一個組織架構來去維護這樣一個數據安全。在右側，其實是一個非常形象的來介紹這個數據安全生命周期這樣一個概念，這個過程以我們阿里云的這個應用特點來看的話，就是我們是在端上和這個互聯網的經濟主體的在日常的生產活動中產生的數據和采集數據，我們會通過數據采集的這個通道，采集進來以后會對數據進行一個存儲和一個分類，或者說進行一個數據上的一個安全的分級，再下一步我們就會放到這個云上的一個數據中臺，做一個高效的這個彈性計算。那么數據是導出，發布還是銷毀，這個是由這個業務的形態和用戶來決定。就是說，我們要有一個嚴格的銷毀流程，因為現在國家在立法中也明確提出了，就是用戶有權利銷毀自己在這個數據應用中產生的數據，這部分我們阿里云也有非常深度的一個耕耘。在六個這個生命周期中，我們都有相應的產品來做給到用戶。阿里云的這個安全建設的參考框架是這樣，我們是以這個DSMM這個為框架，我們有三個層次的這樣一個建設，最基層就是基礎設施和應用完全，這個層面上防的就是外部的黑客攻擊和惡意的爬取，包括內部惡意人員和這個外部的網絡威脅。基于這個的話，我們做的這一套架構是說是云平臺的這個數據安全，我們基于物理安全，硬件安全，虛擬化安全和可信計算這四大支柱來提供這樣一個最基礎的一個基礎設施的安全。第二部分是數據防泄漏，數據防泄漏，就是說我們要規范內部使用和外部共享的這樣一個過程中，防止數據泄露，在這個層面上面，我們會有這個賬號管理認證與授權管理和這個監控操作審計運營這兩大這個工具集。同時，我們在整個云上數據的這個全生命周期中，我們提供了這個存儲服務，數據服務，大數據服務，同時這些服務都是基于這個對賬號認證和管理授權，且所有的操作都是有審計的，以此來構建一個數據防泄漏的這樣一個中間的環節的基礎。那再往上走，其實我們就是要處理一個合規，隱私與合規要求，那往上走就是安全中心，業務風控，應用安全合規管理，這個就是給到用戶的最終一個實際的一個價值點。所以我們的這個建設的思路是由底至上來構建一個全平臺的安全。

? ? ? 阿里云的數據安全能力全景圖在上圖有一個非常簡明扼要的體現。我們這個能力分為五個版塊，第一個就是芯片級安全，第二個是數據加密，第三是數據治理，第四是敏感數據的使用，第五是數據防泄漏。每一項都有相應的具體的一個技術的實現方式和大量的云安全的技術團隊來做底層的支撐。我這邊是負責這個芯片級安全這一部分，就是高等級計算的環境安全。其中包括了機密計算和這個可信計算，在國內其實可信計算代表著這個TCM可信密碼模塊，機密計算就更多的指的是這個TEE可信執行環境，在這個數據加密領域，我們也提供了這個就相當于是密鑰管理的一系列的這個措施，包括軟硬件的措施，還有我們允許用戶那個來提交自己的BYOK，這樣的方式就把安全能力，能夠讓用戶能夠真實地做一個感知，第四個需要強調的是我們這個安全使用分享和計算，也就是說我們在身份安全性驗證這塊，我們有強大的基礎的支撐，包括第五個數據防泄漏，我們也有一系列的這個數據風險防控的能力，這是我們的一個安全能力全圖。