探索中国CIO人才现状 | 第四季调研报告
阿里巴巴商家事业部首席安全官邓二平:网络安全的新挑战与新机遇
2017-08-15  来源:CISO发展中心

2017年7月,第一届CISO赋能安全峰会暨CISO发展中心启动大会,在北京海航万豪酒店成功举办。阿里巴巴商家事业部的首席安全官邓二平带来题为《数字经济下:网络安全的新挑战、新机遇》的分享,他详细解读了在数字经济时代给我们带来的变化,数字经济时代的特点,以及目前网络安全面临的新挑战和新机遇。以下是CISO发展中心对演讲内容的整理:

图片1

数字经济:引领发展的新动能

数字经济带来的变化

2017年4月份,G20组织在德国汉堡召开了首届数字经济部长会议,会议力推惠普数字化,致力实现全球所有人到2025年都能接入互联网。2016年,在中国的经济报告中,规模3.8万亿美元,数字经济所占的GDP比重30.1%,已远远超出往年的平均水平,对拉动GDP增长有直接影响。美国2016年规模11万亿美元,GDP比重59.2%,增速6.8%。

在整个互联网经济体系中,中国占全球GDP值6.9%,G20集团占5.5%。埃森哲在2012年的分析报告中指出,如果数字经济提高10%,整个国家的GDP增长则可高达0.5%以上,所以我们必须把握好数字经济时代。

什么是数字经济?

关于数字经济的定义,我们将其概括为数字技术、大数据、C2B商业模式三部分。数字科技作为生产力,包含连接技术(移动、5G、IOT等),大计算的技术(云、物、边缘计算等),人工智能(计算机视觉、机器学习),数字应用技术(虚拟现实、4D打印等)。通过数字技术本身能够提升与其相关的产业经济效率。

大数据是数字经济的生产资料。现在许多企业通过线下方式进行沟通和商业交换,在未来所有商业资料都会变成相对应的数据,通过线上就可以传输资料。

C2B商业模式作为数字经济的生产关系,是互联网经济时代新的商业模式,是完全协同的网络化生产关系。其优势在于基于消费者个性需求,拥有柔性化的生产方式、社会化供应的协同生态以及平台式的服务设施。

数字经济的特点

数字经济的特征主要体现在连接化、数据化、平台化、普惠化四个方面。首先是连接化。我们通过移动互联、4G,乃至未来的5G和物联网,实现万物互联,事事可连。将人、事、物全面连接,所有的一切均可通过数字化网络感知和理解,服务于整个经济社会。

第二个方面是数据化。在数字经济下,人事物逐渐数据化,实现数据流动和共享。互联网的数据化主要体现于搜索、电商交易等。生活中主要为人们每天出行,或在家享用娱乐服务时,都在进行数字化的改变。

第三个方面是平台化。C2B商业模式应用以后,传统的线性供应链逐渐淡化,网状的供应链开始凸显。这种协同化网络需要一个平台化的方式提供基础的信息,辅助整合资源,这种情况就需要众多的生态服务、物种来完成和优化整个供应。同时,协同化网络存在许多安全问题,有欺诈、攻防以及个人信息泄露的问题。这就需要相关方相互影响,合作治理。

最后一个方面是普惠化,未来的数字经济为更多人服务,做到在世界的物联网中人人互联,共建共享。

图片2

图片2

数字经济下的安全机遇

未来的数字化经济会像物联网一样,带来更多的设备和类似的连接。在这种情况下,安全会更加重要。在数字经济下,安全是前提和基础。没有安全,虚实的世界之间将无法连接。没有信任,整个网络将无法有效协同。

安全监管工作日益严峻,数字经济四个特征中的安全问题也开始显露:连接化的数字身份问题,数据化的隐私曝光问题,平台化中组织边界消失,普惠化赋能效力问题等。面对这些安全挑战,新的安全机遇应运而生。

数字经济带来的安全新挑战

连接化中的新挑战是数字身份的保护,包括人的生物识别和物连接的场景常态化。第一个是人的生物识别,其最终的目的是达到实人身份认证水平。当前黑产猖獗,资源易被社工获取,一旦泄露将难以再用,对整个系统网络产生了巨大威胁。如果公司内部有员工进行违法操作,试图盗取公司资源,如何通过技术进行实人认证以及仿ID伪造就成为生物识别技术首要突破的问题。

第二方面是物连接的场景常态化,认证体系本身来是基于人的维度进行操作的,随着物联网的扩大,现上升至物的维度。在大计算(云、雾、边缘)时代中,APP TO APP将成为通用场景,实现物与物之间的信息交换,使得环境安全危机加剧,可信环境问题更加凸出。万物互联,将导致M2M的场景暴增。目前大部分公司采用加密的技术保障安全,但密钥体系的薄弱之处在于无法防御恶意软件,无论是存储还是计算时,任何软件都可对其进行攻击。

数字经济数据化  

在虚拟后的数字世界中,数据化对于人类的隐私保护方面是存在局限性的。主要包括数据业务、隐私认知、隐私技术这三方面的局限。

第一个局限体现数据业务方面。许多业务在做大数据的应用时,对数据加工的水平比较初级,技术粗糙。这种近“裸数据”的商业应用会直接导致隐私的泄露。现今大数据应用中的两个佼佼者是风控和精准营销,在商业中更多以营销为主。营销产业需要定位个人的偏好,对人作画像,隐私问题便由此泄露。因此,在类似业务场景下,是不能凭借如此简单的技术对人、事、物做进一步挖掘的。

未来的数字应用技术在每个单独的行业中会有特定的应用场景,其发展是纵向化的。金融会有金融特定的场景,医疗及其他零售也有对数据方面特定的维护和数据应用。因此在进行纵向化的过程中,业务方面要力争跟进。

目前数字应用在商业上和技术上尚不成熟,数据交换的机制与环境还不够完善,国家机关对数据的监管力度和关注度日益加大。若某公司非法出售数据,则会收到国家机关的严重处罚。随着国家监管手段的日趋成熟,数字应用部分只有合法站在消费者的角度上对消费者负责,并把消费者的利益扩展到最大化,在这个基础之上数字应用才能发展的更远。

第二个局限体现在隐私保护方面。隐私保护不仅仅是安全问题,还是法律问题,权益是个人信息保护中的关键词。个人信息涉及两个重要环节,第一个是信息能否单独指向个人,第二个是信息一旦泄露是否会导致个人受到歧视等不公平待遇,进而涉及到人身安全受到威胁等一系列潜在问题。

在这些问题的基础上,隐私保护就成为了一个跨学科的挑战,我们在构建隐私技术保护体系和大风控平台时,不仅有隐私防护方面的专家在后台支持,还有法务专家、社会科学专家,甚至心理学专家共同维护。目的是为保证消费者的隐私信息不被盗取的同时,也没有任何被监控与遭受不公平待遇的可能。在此引用一起著名案例,一位孕妇在国外购买某商品,后来这个公司给她邮寄了一款同类商品,结果导致这位孕妇周围的人获取了信息,对她产生了很多干扰。类似案例比比皆是,这更加证明跨行业治理隐私问题的重要性。

同时,隐私也有其相对应的主观性。这里有两个例子证明这一观点:20年前人们在网上并不在意自己的隐私是否泄漏,但随着法律意识的提升,现在我们知道要保护自己的隐私。第二个例子是人们对于狐臭的概念不同,有狐臭的人如果被其他人知道这个信息后,中国人认为自己的隐私收到侵犯,而西方人却不以为然。因此,隐私的主观性会随时间、地域、宗教及民俗等因素发生变化,绝不是单纯的技术性概念。

最后一点,隐私也存在关联性,它可以通过该个体的其他行为方式间接反映出来。例如同性恋者由于生长环境的原因导致该个体的性取向倾向于同性,其外在特征正常,但通过消费记录、购买物品和常去场所可以判定该个体的性取向为同性,这样就通过消费购物与消费者本人形成了关联,从而会对个体造成巨大的影响。

自2016年起,我们在隐私数据保护方面就开始与学术界进行合作,在K匿名、差分隐私等技术已在商业场景里进行了应用,但与此同时也暴露出这些隐私技术的一些局限,如:差分等隐私算法在结构化数据处理,数据集的部署以及解决概率攻击方面存在很多现实的限制与挑战。另外虽然我们采用了“可用不可见”的安全环境,但在实际应用中还无法与业务场景进行解耦,无法提供更好的扩展性。

数字经济平台化

数据供应对于未来整个数字经济影响极其深远,并不亚于数据技术。数据供应方面所涉及的挑战主要有三点:

第一点,数据组织边界逐渐消失,但是管控边界仍然存在。例如平台方为商家们提供服务,也有开发者提供类似支撑,但数据传播到商家的时候就失去了保护作用,进而生态网络整体的安全性收到威胁。不对等的数据权利与安全责任,对于消费者和生态业务所产生的影响是极其深远的。

第二点,安全技术的瓶颈。数字经济中的问题主要体现在加密技术和数据监控难两方面。密文搜索、同态加密、多方计算等商业化能力弱。当用户使用云端处理相应数据时,如何获得该数据核心的控制权?当多个用户端共同完成数据混合加工时,如何各自保障各自数据的安全性以及各自的知识产权、商业秘密等问题?同时,全链路的账号风控以及数据防盗卖追踪等问题,都会使数据监控变得更加棘手。

第三点,黑产问题。据2016年的不完全统计:中国的信息安全市场规模仅在在百亿左右,这远不足以对抗完善的黑产协作网络以及强大的黑产数据。

数字经济面临的最后一个挑战是普惠化。黑产市场规模巨大,是信息安全市场规模的百倍之上。因此,首要危机是普惠对象众多,但信息安全市场的能力相对较低,能力薄弱。

此外,市场上绝大部分企业的安全服务更侧重于安全本身的专业视角,缺乏企业与业务的视角。在应用数据层的安全方面,缺乏PaaS类的安全云服务,应加强应用数据层的安全服务。安全收益的管理水平低也是致命的问题,网络安全的风险大、收益低、内部自驱弱,无论是企业、平台,还是合作伙伴方,都要从市场角度看问题。

数字经济下安全的新机遇

当然,面对数字经济带来了诸多挑战,我们也看到了安全的新机遇。无论是对安全技术与安全管理的理解,还是安全协同,都有了新的思考。

首先,在无边界的经济领域里,我们的系统与网络能否做到提供一个无边界的安全架构。其次,要增加新武器抵御数据流动与数据面临的挑战,提升网络环境的安全系数,加大隐私保护力度。最后是协同,通过SLA的业务化、KPI的过程管理等机制,所有企业携手共同对抗黑产,用更积极开放的心态来承担起我们的责任,感谢大家。