信息來源：FreeBuf

上個月FreeBuf在成都參加云棲大會的時候，阿里云從頭到尾一直在提的一個詞匯就是“賦能”。這個詞當(dāng)時的意思非常簡單：企業(yè)都把數(shù)據(jù)搬遷到云端了，以后安全問題其實(shí)也就是云計(jì)算的安全問題了，由于安全問題比較復(fù)雜，非阿里云一家之力可完成，所以找來了眾多安全企業(yè)一起來做安全。而在阿里云看來，這種模式對安全企業(yè)而言是種進(jìn)步，而且還為安全企業(yè)提供了便利，也就是阿里云邏輯中的“賦能”。

來這次2016阿里安全峰會之前，大致上看到峰會的SLOGAN“聚力、賦能”的時候，我們就想，應(yīng)該就是談?wù)劙⒗镌诰喸炱脚_的過程中，是如何為安全企業(yè)提供便利這回事吧。倒是未想見，這次阿里不僅將“聚力賦能”貫穿全場，而且還將其范圍做了極大的擴(kuò)張。

聚力——不只是聚安全企業(yè)之力

其實(shí)這次在北京國家會議中心共同發(fā)起這場阿里安全峰會的，除了阿里巴巴集團(tuán)之外，還有螞蟻金服集團(tuán)。這家公司來頭不小，支付寶即是其旗下產(chǎn)品，自可見它在安全領(lǐng)域的重要性。

我們知道，支付寶主要是安裝在手機(jī)端的應(yīng)用，是現(xiàn)代人購物甚至投資理財(cái)?shù)闹匾ぞ?。這東西如果不安全，那的確得出大亂子了。螞蟻金服安全產(chǎn)品技術(shù)資深總監(jiān)，馮春培在談到自家應(yīng)對安全問題的策略時，提到了“應(yīng)急中心AFSRC威脅情報(bào)平臺”的建立，這個平臺結(jié)合了白帽子、安全公司、高校，還有第三方平臺等多方力量。這其實(shí)就體現(xiàn)出一種“聚力”，即不止是憑借一己之力來抵擋安全風(fēng)險(xiǎn)。

螞蟻金服技術(shù)資深總監(jiān)馮春培

不過其實(shí)這還不能凸顯這次阿里要說的“聚力”。螞蟻金服還提到了IFAA聯(lián)盟。這個聯(lián)盟的成員不僅有一般的安全企業(yè)，還有中興這樣的手機(jī)廠商，高通、Intel這樣的芯片廠商。為什么需要這些成員的加入？如支付寶這類應(yīng)用的安全問題，從芯片底層（如TrustZone）到操作系統(tǒng)，再到應(yīng)用層本身，每個層級都有參與者，而且也都需要他們的協(xié)力，才能針對支付寶起到比較完整的保護(hù)作用，缺了任何一環(huán)都是不行的。

百度首席安全科學(xué)家在談《移動生態(tài)中的安全缺位》時也談到了這個問題，如Android系統(tǒng)的問題，實(shí)際上并不僅限于系統(tǒng)本身，比如ARM芯片中的TrustZone黑匣子，“一樣沒有辦法拯救世界”。光這一個問題，涉及到的企業(yè)就包括谷歌、ARM、高通等不同層面的科技企業(yè)。這便體現(xiàn)出“聚力”的擴(kuò)展性。

另外聚力的范圍，這次在阿里看來是遠(yuǎn)不止上面談到的這些科技企業(yè)的：這場峰會的前半程有不少政府部門領(lǐng)導(dǎo)的發(fā)言，包括網(wǎng)信辦、公安部網(wǎng)絡(luò)安全保衛(wèi)局、工信部通信保障局、國標(biāo)委工業(yè)標(biāo)準(zhǔn)二部的幾名負(fù)責(zé)人。他們發(fā)言的主題大抵上沒有脫離“聚力”的范疇，即便在政府看來，網(wǎng)絡(luò)安全既然已經(jīng)得到習(xí)近平主席的重視，自然該由政府來牽頭向前，不過總的來說，仍舊需要不同的部門、企業(yè)、教育機(jī)構(gòu)的配合才能完成。

其實(shí)阿里巴巴集團(tuán)自己在很多業(yè)務(wù)方面，就有“聚力”存在的依據(jù)，比如淘寶這樣的電商。從淘寶所在的阿里云，到淘寶自身，再到商家、ISV服務(wù)商、物流。每一環(huán)的安全都很重要，這可以算是阿里巴巴提出“聚力”的立足點(diǎn)。

阿里巴巴集團(tuán)CEO張勇

所以今天峰會主論壇上，一波小高潮的內(nèi)容即在于阿里巴巴宣布電子商務(wù)生態(tài)安全聯(lián)盟的成立。按照阿里自己的說法，電商生態(tài)安全聯(lián)盟，實(shí)際上是為了普及、推行某種安全標(biāo)準(zhǔn)，整體提升電商生態(tài)的安全能力。這種“聯(lián)盟”的形態(tài)正是“聚力”的實(shí)際表現(xiàn)形式。

然而另一方面，這在阿里看來，也是為整個行業(yè)“賦能”的方式。將這套標(biāo)準(zhǔn)和經(jīng)驗(yàn)，推廣到30家企業(yè)，不僅是為這些企業(yè)的賦能，也是為整個電商領(lǐng)域的賦能。

賦能——不只是為安全企業(yè)賦能

“賦能”和“聚力”原本就是一對相輔相成的概念，就好像集合一群人之力去做事，這一群人之力實(shí)際上也是在為每個個人賦能。所以我們才說，電子商務(wù)生態(tài)安全聯(lián)盟的成立，既是“聚力”，也是“賦能”。

阿里巴巴集團(tuán)商家事業(yè)部經(jīng)理張闊在談《商業(yè)生態(tài) 安全賦能》的主題時，在為電商賦能的問題上就談得更加具體了。他談到了當(dāng)前互聯(lián)網(wǎng)發(fā)展的趨勢，比如說無線上網(wǎng)做到了隨時隨地，所以阿里為商家提供直播服務(wù)，加上阿里在大數(shù)據(jù)方面的積累以及全渠道的優(yōu)勢，某次AngelaBaby在線上直播，僅一次就讓美寶蓮的化妝品銷量大增。這即是阿里為電商賦能的一種具體表現(xiàn)。

阿里云資深總監(jiān)肖力

至于阿里云為商家，或者企業(yè)提供的安全賦能，以及針對當(dāng)前主流的安全企業(yè)SaaS化的賦能，原本就是阿里云始終在宣傳的。阿里云資深總監(jiān)肖力所做的演講實(shí)際上仍是在重復(fù)這些“賦能”的事實(shí)，只不過似乎是為了回應(yīng)上一次很多企業(yè)客戶擔(dān)心阿里云會不會動他們的數(shù)據(jù)的問題，肖力倒是特意在這次的PPT中多加了一屏：阿里云的數(shù)據(jù)審計(jì)，是經(jīng)過了不少國際安全認(rèn)證的。不知道這樣能不能真的令企業(yè)客戶放心。

360公司副總裁譚曉生

還有360公司副總裁譚曉生針對物聯(lián)網(wǎng)威脅的解讀。物聯(lián)網(wǎng)市場在安全方面原本就處在發(fā)展的初級階段，比如大量的云安全攝像頭都存在嚴(yán)重的安全問題，還有許多接入互聯(lián)網(wǎng)的汽車也有被遠(yuǎn)程控制的風(fēng)險(xiǎn)。然而物聯(lián)網(wǎng)這個行業(yè)，不僅需要IT安全方面的技能，還需要OT安全（Operational Technology）技能，這兩個領(lǐng)域的專家?guī)缀醣舜藢Ψ胶翢o了解。所以物聯(lián)網(wǎng)安全的未來，尤其需要雙方的聚力融合。

今天主會場的絕大部分演講討論，都是圍繞在“聚力、賦能”這個主題周圍的。如上面談到的，從數(shù)據(jù)安全、電商安全、云安全、支付安全多個安全領(lǐng)域分享這種聚力賦能的理念。其中談得最意象化的，和具有總結(jié)意義的，實(shí)際上是下午倒數(shù)第二個發(fā)言的潘柱廷——啟明星辰首席戰(zhàn)略官。

其實(shí)在差不多到近黃昏的時間時，與會的觀眾都已經(jīng)差不多意興闌珊了。而潘柱廷還是以有那么點(diǎn)兒道骨仙風(fēng)的著裝意味，讓場下的觀眾稍稍清醒了些：他說，安全行業(yè)都要學(xué)會畫圖，安全的全局圖是分成南北半球的，南半球代表“底層類”，包括“芯片技術(shù)”“開發(fā)過程”“底層技術(shù)”等等，北半球則有IT架構(gòu)、戰(zhàn)略、供應(yīng)鏈、資本、資金等等。

啟明星辰首席戰(zhàn)略官潘柱廷，和他PPT中將安全企業(yè)格局比作棋局對弈的過程

“沒有一家企業(yè)能夠?qū)⑵渲械乃蓄I(lǐng)域通吃?！彼哉麄€安全行業(yè)的構(gòu)成，理應(yīng)是“聚力”的。除了這張圖之外，還包括各種針對當(dāng)前安全市場格局的剖析圖，可以是從各種不同角度畫的圖。在這些圖呈現(xiàn)出來以后，安全企業(yè)自然知道，自己所處的位置，并在不同層面做出相應(yīng)決策。

這些所謂的格局圖究竟應(yīng)該由誰來畫，這就是個唯有聚集了整個行業(yè)之力，才能做成的事了。這種比較抽象的，針對聚力賦能的解讀方式，聽起來還真有那么點(diǎn)兒意思。

還有哪些有趣的議題？

第一天的峰會主論壇，絕大部分演講人所述內(nèi)容基本都與“聚力賦能”掛鉤。不過也有那么些演講者，準(zhǔn)備了技術(shù)或故事層面的干貨，所以即便與大會主題不大相關(guān)，卻也還挺有意思。

**由于首日議程非常密集，小編無法詳細(xì)記錄所有精彩議題，敬請理解

比如說：

阿里巴巴集團(tuán)技術(shù)副總裁杜躍進(jìn)《數(shù)據(jù)安全的緊迫問題》

杜躍進(jìn)不僅是這次峰會主論壇的演講嘉賓，而且也是主持人。他針對阿里數(shù)據(jù)安全的解讀，似乎更像是一種承諾。我們在上次的云棲大會上曾經(jīng)談過，Q&A環(huán)節(jié)上，兩名企業(yè)客戶對阿里云是否動過他們的數(shù)據(jù)表示擔(dān)憂，雙方你來我往互不相讓。

“我們以前做很多事情，比如辦簽證都得填上一堆表格，要填姓名、身份證號等。我在想，這些數(shù)據(jù)本身不就在你們手上嗎？為什么要讓我來填?！边@其實(shí)也是絕大部分人的擔(dān)憂。

阿里巴巴集團(tuán)技術(shù)副總裁杜躍進(jìn)

杜躍進(jìn)的這次主題演講，有意于解答用戶這方面的擔(dān)憂，表明阿里這次所推的電商生態(tài)安全圈，將標(biāo)準(zhǔn)推廣到30家企業(yè)，就是阿里證明自己的一種方式，在賦能的過程中，以一套“數(shù)據(jù)安全成熟度模型”來證明阿里數(shù)據(jù)安全的可靠性，并且保證數(shù)據(jù)不會被濫用。這套數(shù)據(jù)安全成熟度模型也會在明天的分論壇上更為詳細(xì)地進(jìn)行解讀。

清華大學(xué)段海新教授《端到端安全通信中的那些中間人》

比如說，我們平常用手機(jī)上網(wǎng)，可能會在屏幕右下角看到一個提示流量使用了多少的小球，再比如說我們在酒店上網(wǎng)發(fā)微博，微博頁面居然有酒店的廣告。這些就是所謂的“中間人”。

最早的“端到端（end-to-end）”這個概念，其基本理念就是數(shù)據(jù)傳輸需要具有一致性，完整性，可靠性的特點(diǎn)，不可被篡改。不過后來清華大學(xué)的張麗霞教授提出了名為“中間盒子”的概念。她認(rèn)為，“中間盒子”的存在很正常。今天我們在安全領(lǐng)域常用的NAT、防火墻、Proxy都是中間盒子。

清華大學(xué)段海新教授

其實(shí)即便是HTTPS這種為端到端設(shè)計(jì)的協(xié)議都沒能真正做到端到端。14種防病毒、家長控制軟件針對TLS監(jiān)聽代理時，會利用自簽名CA證書動態(tài)偽造所有網(wǎng)站的證書，以解密TLS內(nèi)容；另外還有CDN的行為在我們常人看來也并不合理合規(guī)。所以端到端在當(dāng)今互聯(lián)網(wǎng)早就是個偽命題了，不過段海新并非要為端到端翻案，“適應(yīng)不斷的變化，是互聯(lián)網(wǎng)不變的原則”，所以這種中間盒子還是有必要的。

百度首席安全科學(xué)家韋韜《移動生態(tài)中的安全缺位》

韋韜主要針對Android和iOS，談到了移動操作系統(tǒng)的安全性問題。其中Android部分的主要問題在其生態(tài)的碎片化問題——大量用戶還在使用Android 4.1甚至更老的操作系統(tǒng)，這必然安全問題。而且實(shí)際上谷歌向下推Android更新的過程非常繁瑣，需要經(jīng)過OEM手機(jī)制造商、運(yùn)營商等多個層級，從漏洞發(fā)現(xiàn)到最終補(bǔ)丁推到用戶的終端手機(jī)，可能已經(jīng)經(jīng)過了很長時間。

百度首席安全科學(xué)家韋韜

iOS的安全問題現(xiàn)如今也越來越嚴(yán)峻：按照韋韜所說，iOS的越獄并不像很多人想得那么難——實(shí)際難點(diǎn)是如何保證越獄以后，重啟依舊保持越獄狀態(tài)。先前用紅雪一類越獄工具的人，應(yīng)該都聽過這種不完美越獄的局限性。那么iOS一旦被越獄，取得系統(tǒng)最高權(quán)限，自然可以攻破。越獄iPhone甚至是盜號刷單黑產(chǎn)的最佳工具。

另外就是iOS Kernel/移動版Safari還是可以被抓到0day漏洞，利用可進(jìn)行APT攻擊。實(shí)際上iOS設(shè)備遭遇惡意程序感染，其破壞性會比Android更嚴(yán)重。因?yàn)锳ndroid的碎片化也一定程度造成惡意程序無法擴(kuò)散，但iOS設(shè)備存在高度統(tǒng)一性，擴(kuò)散之后的危險(xiǎn)性將尤為明確。

FireEye前副總裁卜崢《安全之道》

他提了幾個頗有意思的論點(diǎn)，他所當(dāng)前安全行業(yè)的市場規(guī)模實(shí)際上已經(jīng)是游戲市場的3倍左右了，但卻沒有像游戲市場那樣像是個巨頭或者寡頭一樣存在的企業(yè)。

FireEye前副總裁卜崢

首先，安全行業(yè)也不想很多傳統(tǒng)行業(yè)那樣，存在“大魚吃小魚”的市場現(xiàn)狀，而是“快魚吃慢魚”。哪家企業(yè)能夠率先抓住安全熱點(diǎn)或技術(shù)，自然有機(jī)會以超快的速度發(fā)展起來，比如FireEye找準(zhǔn)將虛擬技術(shù)和威脅檢測融合起來做產(chǎn)品的熱點(diǎn)，所以FireEye在短期內(nèi)很快上市，而那些老牌企業(yè)也只能在這一熱點(diǎn)中錯失良機(jī)。

另外還有其他原因，如沒有一家安全企業(yè)是能夠完全做到大而全的，畢竟安全是個太過龐大，甚至許多安全專業(yè)知識都不互通的行業(yè)；其次更在于安全市場存在著國家的邊界限制，自然也就不大能夠存在巨型安全跨國企業(yè)。

其實(shí)從卜崢的發(fā)言也的確再度證明了安全行業(yè)“聚力”以及隨后“賦能”的重要性。猶如很多人經(jīng)常談到的，安全是個交叉學(xué)科，沒有一個人或者一家企業(yè)能夠通吃整個行業(yè)的方方面面。也正因?yàn)槿绱耍?/span>阿里巴巴集團(tuán)CEO張勇在峰會開場致辭的時候才說到，“聚力賦能”并不是這一場峰會的主題，而是未來安全行業(yè)很長一段時間內(nèi)的主題，原因正在于此。

* FreeBuf官方報(bào)道，本文作者：歐陽洋蔥，轉(zhuǎn)載請注明來自FreeBuf黑客與極客（FreeBuf.COM）