信息來(lái)源：FreeBuf

上個(gè)月FreeBuf在成都參加云棲大會(huì)的時(shí)候，阿里云從頭到尾一直在提的一個(gè)詞匯就是“賦能”。這個(gè)詞當(dāng)時(shí)的意思非常簡(jiǎn)單：企業(yè)都把數(shù)據(jù)搬遷到云端了，以后安全問(wèn)題其實(shí)也就是云計(jì)算的安全問(wèn)題了，由于安全問(wèn)題比較復(fù)雜，非阿里云一家之力可完成，所以找來(lái)了眾多安全企業(yè)一起來(lái)做安全。而在阿里云看來(lái)，這種模式對(duì)安全企業(yè)而言是種進(jìn)步，而且還為安全企業(yè)提供了便利，也就是阿里云邏輯中的“賦能”。

來(lái)這次2016阿里安全峰會(huì)之前，大致上看到峰會(huì)的SLOGAN“聚力、賦能”的時(shí)候，我們就想，應(yīng)該就是談?wù)劙⒗镌诰喸炱脚_(tái)的過(guò)程中，是如何為安全企業(yè)提供便利這回事吧。倒是未想見(jiàn)，這次阿里不僅將“聚力賦能”貫穿全場(chǎng)，而且還將其范圍做了極大的擴(kuò)張。

聚力——不只是聚安全企業(yè)之力

其實(shí)這次在北京國(guó)家會(huì)議中心共同發(fā)起這場(chǎng)阿里安全峰會(huì)的，除了阿里巴巴集團(tuán)之外，還有螞蟻金服集團(tuán)。這家公司來(lái)頭不小，支付寶即是其旗下產(chǎn)品，自可見(jiàn)它在安全領(lǐng)域的重要性。

我們知道，支付寶主要是安裝在手機(jī)端的應(yīng)用，是現(xiàn)代人購(gòu)物甚至投資理財(cái)?shù)闹匾ぞ?。這東西如果不安全，那的確得出大亂子了。螞蟻金服安全產(chǎn)品技術(shù)資深總監(jiān)，馮春培在談到自家應(yīng)對(duì)安全問(wèn)題的策略時(shí)，提到了“應(yīng)急中心AFSRC威脅情報(bào)平臺(tái)”的建立，這個(gè)平臺(tái)結(jié)合了白帽子、安全公司、高校，還有第三方平臺(tái)等多方力量。這其實(shí)就體現(xiàn)出一種“聚力”，即不止是憑借一己之力來(lái)抵擋安全風(fēng)險(xiǎn)。

螞蟻金服技術(shù)資深總監(jiān)馮春培

不過(guò)其實(shí)這還不能凸顯這次阿里要說(shuō)的“聚力”。螞蟻金服還提到了IFAA聯(lián)盟。這個(gè)聯(lián)盟的成員不僅有一般的安全企業(yè)，還有中興這樣的手機(jī)廠(chǎng)商，高通、Intel這樣的芯片廠(chǎng)商。為什么需要這些成員的加入？如支付寶這類(lèi)應(yīng)用的安全問(wèn)題，從芯片底層（如TrustZone）到操作系統(tǒng)，再到應(yīng)用層本身，每個(gè)層級(jí)都有參與者，而且也都需要他們的協(xié)力，才能針對(duì)支付寶起到比較完整的保護(hù)作用，缺了任何一環(huán)都是不行的。

百度首席安全科學(xué)家在談《移動(dòng)生態(tài)中的安全缺位》時(shí)也談到了這個(gè)問(wèn)題，如Android系統(tǒng)的問(wèn)題，實(shí)際上并不僅限于系統(tǒng)本身，比如ARM芯片中的TrustZone黑匣子，“一樣沒(méi)有辦法拯救世界”。光這一個(gè)問(wèn)題，涉及到的企業(yè)就包括谷歌、ARM、高通等不同層面的科技企業(yè)。這便體現(xiàn)出“聚力”的擴(kuò)展性。

另外聚力的范圍，這次在阿里看來(lái)是遠(yuǎn)不止上面談到的這些科技企業(yè)的：這場(chǎng)峰會(huì)的前半程有不少政府部門(mén)領(lǐng)導(dǎo)的發(fā)言，包括網(wǎng)信辦、公安部網(wǎng)絡(luò)安全保衛(wèi)局、工信部通信保障局、國(guó)標(biāo)委工業(yè)標(biāo)準(zhǔn)二部的幾名負(fù)責(zé)人。他們發(fā)言的主題大抵上沒(méi)有脫離“聚力”的范疇，即便在政府看來(lái)，網(wǎng)絡(luò)安全既然已經(jīng)得到習(xí)近平主席的重視，自然該由政府來(lái)牽頭向前，不過(guò)總的來(lái)說(shuō)，仍舊需要不同的部門(mén)、企業(yè)、教育機(jī)構(gòu)的配合才能完成。

其實(shí)阿里巴巴集團(tuán)自己在很多業(yè)務(wù)方面，就有“聚力”存在的依據(jù)，比如淘寶這樣的電商。從淘寶所在的阿里云，到淘寶自身，再到商家、ISV服務(wù)商、物流。每一環(huán)的安全都很重要，這可以算是阿里巴巴提出“聚力”的立足點(diǎn)。

阿里巴巴集團(tuán)CEO張勇

所以今天峰會(huì)主論壇上，一波小高潮的內(nèi)容即在于阿里巴巴宣布電子商務(wù)生態(tài)安全聯(lián)盟的成立。按照阿里自己的說(shuō)法，電商生態(tài)安全聯(lián)盟，實(shí)際上是為了普及、推行某種安全標(biāo)準(zhǔn)，整體提升電商生態(tài)的安全能力。這種“聯(lián)盟”的形態(tài)正是“聚力”的實(shí)際表現(xiàn)形式。

然而另一方面，這在阿里看來(lái)，也是為整個(gè)行業(yè)“賦能”的方式。將這套標(biāo)準(zhǔn)和經(jīng)驗(yàn)，推廣到30家企業(yè)，不僅是為這些企業(yè)的賦能，也是為整個(gè)電商領(lǐng)域的賦能。

賦能——不只是為安全企業(yè)賦能

“賦能”和“聚力”原本就是一對(duì)相輔相成的概念，就好像集合一群人之力去做事，這一群人之力實(shí)際上也是在為每個(gè)個(gè)人賦能。所以我們才說(shuō)，電子商務(wù)生態(tài)安全聯(lián)盟的成立，既是“聚力”，也是“賦能”。

阿里巴巴集團(tuán)商家事業(yè)部經(jīng)理張闊在談《商業(yè)生態(tài) 安全賦能》的主題時(shí)，在為電商賦能的問(wèn)題上就談得更加具體了。他談到了當(dāng)前互聯(lián)網(wǎng)發(fā)展的趨勢(shì)，比如說(shuō)無(wú)線(xiàn)上網(wǎng)做到了隨時(shí)隨地，所以阿里為商家提供直播服務(wù)，加上阿里在大數(shù)據(jù)方面的積累以及全渠道的優(yōu)勢(shì)，某次AngelaBaby在線(xiàn)上直播，僅一次就讓美寶蓮的化妝品銷(xiāo)量大增。這即是阿里為電商賦能的一種具體表現(xiàn)。

阿里云資深總監(jiān)肖力

至于阿里云為商家，或者企業(yè)提供的安全賦能，以及針對(duì)當(dāng)前主流的安全企業(yè)SaaS化的賦能，原本就是阿里云始終在宣傳的。阿里云資深總監(jiān)肖力所做的演講實(shí)際上仍是在重復(fù)這些“賦能”的事實(shí)，只不過(guò)似乎是為了回應(yīng)上一次很多企業(yè)客戶(hù)擔(dān)心阿里云會(huì)不會(huì)動(dòng)他們的數(shù)據(jù)的問(wèn)題，肖力倒是特意在這次的PPT中多加了一屏：阿里云的數(shù)據(jù)審計(jì)，是經(jīng)過(guò)了不少?lài)?guó)際安全認(rèn)證的。不知道這樣能不能真的令企業(yè)客戶(hù)放心。

360公司副總裁譚曉生

還有360公司副總裁譚曉生針對(duì)物聯(lián)網(wǎng)威脅的解讀。物聯(lián)網(wǎng)市場(chǎng)在安全方面原本就處在發(fā)展的初級(jí)階段，比如大量的云安全攝像頭都存在嚴(yán)重的安全問(wèn)題，還有許多接入互聯(lián)網(wǎng)的汽車(chē)也有被遠(yuǎn)程控制的風(fēng)險(xiǎn)。然而物聯(lián)網(wǎng)這個(gè)行業(yè)，不僅需要IT安全方面的技能，還需要OT安全（Operational Technology）技能，這兩個(gè)領(lǐng)域的專(zhuān)家?guī)缀醣舜藢?duì)對(duì)方毫無(wú)了解。所以物聯(lián)網(wǎng)安全的未來(lái)，尤其需要雙方的聚力融合。

今天主會(huì)場(chǎng)的絕大部分演講討論，都是圍繞在“聚力、賦能”這個(gè)主題周?chē)?。如上面談到的，從?shù)據(jù)安全、電商安全、云安全、支付安全多個(gè)安全領(lǐng)域分享這種聚力賦能的理念。其中談得最意象化的，和具有總結(jié)意義的，實(shí)際上是下午倒數(shù)第二個(gè)發(fā)言的潘柱廷——啟明星辰首席戰(zhàn)略官。

其實(shí)在差不多到近黃昏的時(shí)間時(shí)，與會(huì)的觀(guān)眾都已經(jīng)差不多意興闌珊了。而潘柱廷還是以有那么點(diǎn)兒道骨仙風(fēng)的著裝意味，讓場(chǎng)下的觀(guān)眾稍稍清醒了些：他說(shuō)，安全行業(yè)都要學(xué)會(huì)畫(huà)圖，安全的全局圖是分成南北半球的，南半球代表“底層類(lèi)”，包括“芯片技術(shù)”“開(kāi)發(fā)過(guò)程”“底層技術(shù)”等等，北半球則有IT架構(gòu)、戰(zhàn)略、供應(yīng)鏈、資本、資金等等。

啟明星辰首席戰(zhàn)略官潘柱廷，和他PPT中將安全企業(yè)格局比作棋局對(duì)弈的過(guò)程

“沒(méi)有一家企業(yè)能夠?qū)⑵渲械乃蓄I(lǐng)域通吃。”所以整個(gè)安全行業(yè)的構(gòu)成，理應(yīng)是“聚力”的。除了這張圖之外，還包括各種針對(duì)當(dāng)前安全市場(chǎng)格局的剖析圖，可以是從各種不同角度畫(huà)的圖。在這些圖呈現(xiàn)出來(lái)以后，安全企業(yè)自然知道，自己所處的位置，并在不同層面做出相應(yīng)決策。

這些所謂的格局圖究竟應(yīng)該由誰(shuí)來(lái)畫(huà)，這就是個(gè)唯有聚集了整個(gè)行業(yè)之力，才能做成的事了。這種比較抽象的，針對(duì)聚力賦能的解讀方式，聽(tīng)起來(lái)還真有那么點(diǎn)兒意思。

還有哪些有趣的議題？

第一天的峰會(huì)主論壇，絕大部分演講人所述內(nèi)容基本都與“聚力賦能”掛鉤。不過(guò)也有那么些演講者，準(zhǔn)備了技術(shù)或故事層面的干貨，所以即便與大會(huì)主題不大相關(guān)，卻也還挺有意思。

**由于首日議程非常密集，小編無(wú)法詳細(xì)記錄所有精彩議題，敬請(qǐng)理解

比如說(shuō)：

阿里巴巴集團(tuán)技術(shù)副總裁杜躍進(jìn)《數(shù)據(jù)安全的緊迫問(wèn)題》

杜躍進(jìn)不僅是這次峰會(huì)主論壇的演講嘉賓，而且也是主持人。他針對(duì)阿里數(shù)據(jù)安全的解讀，似乎更像是一種承諾。我們?cè)谏洗蔚脑茥髸?huì)上曾經(jīng)談過(guò)，Q&A環(huán)節(jié)上，兩名企業(yè)客戶(hù)對(duì)阿里云是否動(dòng)過(guò)他們的數(shù)據(jù)表示擔(dān)憂(yōu)，雙方你來(lái)我往互不相讓。

“我們以前做很多事情，比如辦簽證都得填上一堆表格，要填姓名、身份證號(hào)等。我在想，這些數(shù)據(jù)本身不就在你們手上嗎？為什么要讓我來(lái)填?！边@其實(shí)也是絕大部分人的擔(dān)憂(yōu)。

阿里巴巴集團(tuán)技術(shù)副總裁杜躍進(jìn)

杜躍進(jìn)的這次主題演講，有意于解答用戶(hù)這方面的擔(dān)憂(yōu)，表明阿里這次所推的電商生態(tài)安全圈，將標(biāo)準(zhǔn)推廣到30家企業(yè)，就是阿里證明自己的一種方式，在賦能的過(guò)程中，以一套“數(shù)據(jù)安全成熟度模型”來(lái)證明阿里數(shù)據(jù)安全的可靠性，并且保證數(shù)據(jù)不會(huì)被濫用。這套數(shù)據(jù)安全成熟度模型也會(huì)在明天的分論壇上更為詳細(xì)地進(jìn)行解讀。

清華大學(xué)段海新教授《端到端安全通信中的那些中間人》

比如說(shuō)，我們平常用手機(jī)上網(wǎng)，可能會(huì)在屏幕右下角看到一個(gè)提示流量使用了多少的小球，再比如說(shuō)我們?cè)诰频晟暇W(wǎng)發(fā)微博，微博頁(yè)面居然有酒店的廣告。這些就是所謂的“中間人”。

最早的“端到端（end-to-end）”這個(gè)概念，其基本理念就是數(shù)據(jù)傳輸需要具有一致性，完整性，可靠性的特點(diǎn)，不可被篡改。不過(guò)后來(lái)清華大學(xué)的張麗霞教授提出了名為“中間盒子”的概念。她認(rèn)為，“中間盒子”的存在很正常。今天我們?cè)诎踩I(lǐng)域常用的NAT、防火墻、Proxy都是中間盒子。

清華大學(xué)段海新教授

其實(shí)即便是HTTPS這種為端到端設(shè)計(jì)的協(xié)議都沒(méi)能真正做到端到端。14種防病毒、家長(zhǎng)控制軟件針對(duì)TLS監(jiān)聽(tīng)代理時(shí)，會(huì)利用自簽名CA證書(shū)動(dòng)態(tài)偽造所有網(wǎng)站的證書(shū)，以解密TLS內(nèi)容；另外還有CDN的行為在我們常人看來(lái)也并不合理合規(guī)。所以端到端在當(dāng)今互聯(lián)網(wǎng)早就是個(gè)偽命題了，不過(guò)段海新并非要為端到端翻案，“適應(yīng)不斷的變化，是互聯(lián)網(wǎng)不變的原則”，所以這種中間盒子還是有必要的。

百度首席安全科學(xué)家韋韜《移動(dòng)生態(tài)中的安全缺位》

韋韜主要針對(duì)Android和iOS，談到了移動(dòng)操作系統(tǒng)的安全性問(wèn)題。其中Android部分的主要問(wèn)題在其生態(tài)的碎片化問(wèn)題——大量用戶(hù)還在使用Android 4.1甚至更老的操作系統(tǒng)，這必然安全問(wèn)題。而且實(shí)際上谷歌向下推Android更新的過(guò)程非常繁瑣，需要經(jīng)過(guò)OEM手機(jī)制造商、運(yùn)營(yíng)商等多個(gè)層級(jí)，從漏洞發(fā)現(xiàn)到最終補(bǔ)丁推到用戶(hù)的終端手機(jī)，可能已經(jīng)經(jīng)過(guò)了很長(zhǎng)時(shí)間。

百度首席安全科學(xué)家韋韜

iOS的安全問(wèn)題現(xiàn)如今也越來(lái)越嚴(yán)峻：按照韋韜所說(shuō)，iOS的越獄并不像很多人想得那么難——實(shí)際難點(diǎn)是如何保證越獄以后，重啟依舊保持越獄狀態(tài)。先前用紅雪一類(lèi)越獄工具的人，應(yīng)該都聽(tīng)過(guò)這種不完美越獄的局限性。那么iOS一旦被越獄，取得系統(tǒng)最高權(quán)限，自然可以攻破。越獄iPhone甚至是盜號(hào)刷單黑產(chǎn)的最佳工具。

另外就是iOS Kernel/移動(dòng)版Safari還是可以被抓到0day漏洞，利用可進(jìn)行APT攻擊。實(shí)際上iOS設(shè)備遭遇惡意程序感染，其破壞性會(huì)比Android更嚴(yán)重。因?yàn)锳ndroid的碎片化也一定程度造成惡意程序無(wú)法擴(kuò)散，但iOS設(shè)備存在高度統(tǒng)一性，擴(kuò)散之后的危險(xiǎn)性將尤為明確。

FireEye前副總裁卜崢《安全之道》

他提了幾個(gè)頗有意思的論點(diǎn)，他所當(dāng)前安全行業(yè)的市場(chǎng)規(guī)模實(shí)際上已經(jīng)是游戲市場(chǎng)的3倍左右了，但卻沒(méi)有像游戲市場(chǎng)那樣像是個(gè)巨頭或者寡頭一樣存在的企業(yè)。

FireEye前副總裁卜崢

首先，安全行業(yè)也不想很多傳統(tǒng)行業(yè)那樣，存在“大魚(yú)吃小魚(yú)”的市場(chǎng)現(xiàn)狀，而是“快魚(yú)吃慢魚(yú)”。哪家企業(yè)能夠率先抓住安全熱點(diǎn)或技術(shù)，自然有機(jī)會(huì)以超快的速度發(fā)展起來(lái)，比如FireEye找準(zhǔn)將虛擬技術(shù)和威脅檢測(cè)融合起來(lái)做產(chǎn)品的熱點(diǎn)，所以FireEye在短期內(nèi)很快上市，而那些老牌企業(yè)也只能在這一熱點(diǎn)中錯(cuò)失良機(jī)。

另外還有其他原因，如沒(méi)有一家安全企業(yè)是能夠完全做到大而全的，畢竟安全是個(gè)太過(guò)龐大，甚至許多安全專(zhuān)業(yè)知識(shí)都不互通的行業(yè)；其次更在于安全市場(chǎng)存在著國(guó)家的邊界限制，自然也就不大能夠存在巨型安全跨國(guó)企業(yè)。

其實(shí)從卜崢的發(fā)言也的確再度證明了安全行業(yè)“聚力”以及隨后“賦能”的重要性。猶如很多人經(jīng)常談到的，安全是個(gè)交叉學(xué)科，沒(méi)有一個(gè)人或者一家企業(yè)能夠通吃整個(gè)行業(yè)的方方面面。也正因?yàn)槿绱耍?/span>阿里巴巴集團(tuán)CEO張勇在峰會(huì)開(kāi)場(chǎng)致辭的時(shí)候才說(shuō)到，“聚力賦能”并不是這一場(chǎng)峰會(huì)的主題，而是未來(lái)安全行業(yè)很長(zhǎng)一段時(shí)間內(nèi)的主題，原因正在于此。

* FreeBuf官方報(bào)道，本文作者：歐陽(yáng)洋蔥，轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客（FreeBuf.COM）