561 阿里云技术社区[云栖]

先知平台助力企业级信息安全——阿里云双11特别访谈

摘要：在过去一年多的时间中，阿里云的企业级安全项目“先知平台”已经帮助了众多的企业构建或改进出了各自完备的安全体系。此次阿里云双11访谈先知平台专场中，阿里云云盾安全资深产品专家笑然就为大家简单的介绍了阿里云先知平台的基本情况，并且对其发展历程、产品优势、合作伙伴、发展方向等内容做出了精彩的分享。

以下内容根据访谈视频整理而成。

阿里云企业级安全服务简介

阿里云的安全服务系列已经推出了较长时间，并在去年上线后又出现了一系列新的发展。

整体上，面对企业客户的安全服务主要由先知平台进行承载。具备包括“安全众测”、“等保测评”、“安全培训”、“SDL咨询”等十多种安全服务。

先知安全服务平台背景介绍

阿里云的云盾系列产品在2015年便已经上线，并针对其云上客户提供安全防御和服务。其中一项名为渗透式测试的服务被广泛欢迎。该服务由阿里云内部团队为客户提供。客户可以希望通过该服务检验自身系统的安全性，并规避被黑客入侵的风险。这项服务的定价并不便宜，每个域名可能都在十万元左右，但是仍旧供不应求，存在大量的客户期望排队购买。很多购买服务的客户都可能存在一个疑惑：假若发现了自身的系统中存在问题，例如能从某一个点泄露核心关键数据，或者是存在影响业务运行的重大弱点，在测试中成功被渗透的话，是否会有其他弱点也能导致同样的严重后果呢？

为了能使客户在更低的成本下发现更多安全问题，16年年初，原本的渗透测试服务被阿里云下线，而阿里内部的ASRC（阿里巴巴安全应急响应中心）部门服务则开始对外开放。通过这一举措，阿里巴巴能够利用其在安全方面丰富的运营经验和优秀的安全专家资源，同样服务于广大的企业客户。这也就是先知平台成立的背景。截至目前，先知平台拥有五千余名优秀的安全专家，以及数百个合作安全中心的强强联合。

2016年期间，先知平台主要专注于安全众测场景，旨在为客户提供最好的安全测试服务，17年一月份后，出于客户对安全服务日益迫切的需求，阿里云对先知平台进行了一次全方位的升级，将其改变为一个安全服务平台。先知上全部的安全服务均由阿里云来定义服务内容、流程及其SLA（标准），并对安全专家进行严格的筛选。通过对人员安全的控制和把关，和对相关人员在技术方面的赋能和培训，来保证他们提供的服务符合阿里云先知平台的标准，从而保证交付给客户的服务质量。

优质透明 可信的服务提供

针对企业安全方面，阿里云有着先天的巨大优势，其一是阿里云的品牌优势：这意味着这一项目能够将行业内最顶尖的安全技术专家和安全公司吸引过来。其二是审核优势，在邀请外部安全专家入驻的同时，阿里云自身的审核要求同样十分严格。包括支付宝的实名认证，技能门槛的认证等。满足要求后，还要对安全人员进行整套服务的培训。因为全部的服务流程都有阿里云进行参与，所以对流程的把控也就特别的清晰和明确。

例如安全众测服务中，测试人员通过使用阿里云自己的VPN，来把测试流量转发到客户业务和系统上，从而做到对测试流量的实时监控和记录。整个安全测试的过程和操作对阿里云，对客户都是透明的。不仅对服务过程进行了控制，也在另一个层面控制了整体的服务风险。

独特且精准的漏洞层级划分

迄今为止，先知安全众测已经服务了五百多名客户，在先知官网的首页下方，我们很容易就能看到一套总结好的针对高中低危漏洞定义的标准，该标准基本可以做到通用于全行业，是云安全参与者们在众多项目中智慧的沉淀。简单来说，一个漏洞对客户业务的影响和危害性越大，它的层级划分也就越高。针对部分客户更高和更加个性化的需求，阿里云也都能加以支持，并在测试前将在相应的标准交付控制台，指出其与线上通用标准之间的差别。

明确而实用的系统完善方案

对每一位安全专家提供的漏洞，阿里云的安全工程师都会给企业客户提供明确的修复方案，这不仅包括代码层面的修复，同样也会根据客户的实际情况进行增进。例如，针对之前曾经遭受过SQL注入攻击的企业，就可以考虑应用WAFF进行相应的防御，以制止其他外部层面的攻击。针对代码层面修复，阿里云的安全工程师们同样会对客户的安全产品进行配置，帮助企业建立起自己的安全防御体系。

包括阿里自身在内也是如此：由外部的安全专家为阿里业务提交漏洞和风险项，通过这些内容检测自身的安全防御措施有无短板，确认在安全监测、防御、响应等方面应当如何提升。并最终形成外部发现风险，内部对防御体系进行提升的闭环。并随着自身业务和风险的逐渐增加，继续对其迭代以进行防御和应对。

针对企业定制化的安全培训

为了能够提高企业客户的安全开发意识，先知平台专门提供了针对性的安全培训服务。并可以根据企业的不同研发方向进行定制化，在各种编程语言的安全开发流程中都有其规范。从而令客户企业的开发人员在开发时就能具备一定的安全意识，降低代码中出现安全错误的几率。阿里云会通过直接现场培训的方式培训客户企业的安全人员，并通过出题测试等方式，来保证培训的效果。

面向小微企业的全方位安全管家

针对某些小企业服务器规模有限，并且没有专业的安全团队进行保障的情况，先知平台特别提供了安全管家服务，用于对云上客户进行常规的安全运行运营，以保证安全效果。对于已经出现安全事件的服务器，安全管家可以针对客户的安全事件进行应急响应，帮助客户查找出现安全事件的原因，并帮助客户清理黑客植入的木马和后门，及时进行业务止血，并在之后给客户做一个安全加固的建议。简而言之，安全管家就是企业的安全运营者，直接对安全运营的效果负责。其收费也不会高于企业自身招聘安全工程师的成本，保证了对客户的经济性。

先知平台的未来发展方向

先知平台的未来不仅由平台自身决定，同样也由云上客户的需求进行制定。先知平台的发展目标就是为云上云下的客户提供效果最好的安全服务，提供企业安全能力，帮助合作企业完成安全体系建设。新的网络安全法执行之后，几乎全部企业都具备通过等保测评的需要，尤其是金融、政务、网约车方面的客户更是如此。阿里云希望通过先知平台来更好的链接企业客户与测评中心，来帮助企业更好更快的通过自身业务的等保测评。通过和国内较强的等保运行中心进行联合的方式，在先知平台上为阿里云客户提供等保测评服务。

以白帽子为标志的优秀安全人员

以白帽子为标志的优秀安全人员是先知平台发展的基础和源动力。实际上，这是一群很可爱的人，他们追求技术，并在平台的连接中与越来越多的企业产生了联系。先知官网首页有一个名人堂。在三月份，平台也在北京举办了先知的白帽大会，对top级别的安全合作伙伴和白帽子进行表彰，代表性的top级别白帽子是GR36，他对web安全的理解非常深刻，并发现了众多级别很高的漏洞。在大会上，他与其他安全人员共同分享了自己的一些经验。此外，安石科技的四爷；NO.XX；男一号等卓越的安全技术专家都与阿里云进行着长期的技术合作，他们技术优秀，并受到客户的广泛好评。

公司级别的合作伙伴方面，上海的安石科技，西安的四叶草，上海驻云科技，银行卡检测中心，中国金融电子化公司，工信部电子工业标准研究院都是阿里云安全的优秀同僚，在这些安全公司和白帽子的加持之下，先知平台有信心也有能力胜任各类企业的信息安全工作。

“双11”期间先知平台的优惠和惊喜

今年是先知安全服务平台首次参加双十一，因此也给出了额度巨大的优惠。安全众测方面，直接把漏洞单价（行业内一个高危漏洞均价5k）做到五折，这还多亏了白帽子们的支持。他们愿意为更多企业提供更好的服务，保证这些企业本身安全措施的效果。公司也会对优秀的白帽子进行激励，包括荣誉和其他的方面。

此外，安全培训和应急响应同样都是五折优惠。如果在双十一期间购入这些服务，对企业来说是可以省很大一部分开销的。等保测评这一服务相对特殊：在测评结果公布时，大多数企业都会面临各种风险和问题。为了降低企业在测评后整改的成本，对于双十一期间购买等保测评服务的企业，阿里云会直接赠送价值一万元的先知安全众测代金券，来帮助客户更好符合等保要求。对普通企业来说，如果希望通过等保，并在双十一期间下单的话，就会获证这一万元的代金券。用代金券进行先知众测，查出的漏洞还能做到全面五折，形成一套连锁的优惠体系。

先知平台建立的初衷，就是要通过提供满足客户需求的服务，提升企业的安全效果，从而最终建立健全企业的安全体系。如果你的企业在信息安全方面有相应的要求。那么这次双十一的机会，可千万不要错过。

========

阿里云双11访谈之容器服务 https://yq.aliyun.com/articles/229366

阿里云双11访谈之视频云 https://yq.aliyun.com/articles/229356

阿里云双11访谈之中间件 https://yq.aliyun.com/articles/229354

阿里云双11访谈之云存储 https://yq.aliyun.com/articles/228482

阿里云双11访谈之ECS弹性计算 https://yq.aliyun.com/articles/228321

阿里云双11访谈之数据智能 https://yq.aliyun.com/articles/228322

阿里云双11访谈之MaxCompute https://yq.aliyun.com/articles/228477

阿里云双11访谈之Elasticsearch https://yq.aliyun.com/articles/228478

阿里云双11访谈之云安全 https://yq.aliyun.com/articles/232109

阿里云双11访谈之云数据库 https://yq.aliyun.com/articles/230063