561 阿裏雲技術社區[雲棲]

先知平台助力企業級信息安全——阿裏雲雙11特別訪談

摘要：在過去一年多的時間中，阿裏雲的企業級安全項目“先知平台”已經幫助了眾多的企業構建或改進出了各自完備的安全體係。此次阿裏雲雙11訪談先知平台專場中，阿裏雲雲盾安全資深產品專家笑然就為大家簡單的介紹了阿裏雲先知平台的基本情況，並且對其發展曆程、產品優勢、合作夥伴、發展方向等內容做出了精彩的分享。

以下內容根據訪談視頻整理而成。

阿裏雲企業級安全服務簡介

阿裏雲的安全服務係列已經推出了較長時間，並在去年上線後又出現了一係列新的發展。

整體上，麵對企業客戶的安全服務主要由先知平台進行承載。具備包括“安全眾測”、“等保測評”、“安全培訓”、“SDL谘詢”等十多種安全服務。

先知安全服務平台背景介紹

阿裏雲的雲盾係列產品在2015年便已經上線，並針對其雲上客戶提供安全防禦和服務。其中一項名為滲透式測試的服務被廣泛歡迎。該服務由阿裏雲內部團隊為客戶提供。客戶可以希望通過該服務檢驗自身係統的安全性，並規避被黑客入侵的風險。這項服務的定價並不便宜，每個域名可能都在十萬元左右，但是仍舊供不應求，存在大量的客戶期望排隊購買。很多購買服務的客戶都可能存在一個疑惑：假若發現了自身的係統中存在問題，例如能從某一個點泄露核心關鍵數據，或者是存在影響業務運行的重大弱點，在測試中成功被滲透的話，是否會有其他弱點也能導致同樣的嚴重後果呢？

為了能使客戶在更低的成本下發現更多安全問題，16年年初，原本的滲透測試服務被阿裏雲下線，而阿裏內部的ASRC（阿裏巴巴安全應急響應中心）部門服務則開始對外開放。通過這一舉措，阿裏巴巴能夠利用其在安全方麵豐富的運營經驗和優秀的安全專家資源，同樣服務於廣大的企業客戶。這也就是先知平台成立的背景。截至目前，先知平台擁有五千餘名優秀的安全專家，以及數百個合作安全中心的強強聯合。

2016年期間，先知平台主要專注於安全眾測場景，旨在為客戶提供最好的安全測試服務，17年一月份後，出於客戶對安全服務日益迫切的需求，阿裏雲對先知平台進行了一次全方位的升級，將其改變為一個安全服務平台。先知上全部的安全服務均由阿裏雲來定義服務內容、流程及其SLA（標準），並對安全專家進行嚴格的篩選。通過對人員安全的控製和把關，和對相關人員在技術方麵的賦能和培訓，來保證他們提供的服務符合阿裏雲先知平台的標準，從而保證交付給客戶的服務質量。

優質透明 可信的服務提供

針對企業安全方麵，阿裏雲有著先天的巨大優勢，其一是阿裏雲的品牌優勢：這意味著這一項目能夠將行業內最頂尖的安全技術專家和安全公司吸引過來。其二是審核優勢，在邀請外部安全專家入駐的同時，阿裏雲自身的審核要求同樣十分嚴格。包括支付寶的實名認證，技能門檻的認證等。滿足要求後，還要對安全人員進行整套服務的培訓。因為全部的服務流程都有阿裏雲進行參與，所以對流程的把控也就特別的清晰和明確。

例如安全眾測服務中，測試人員通過使用阿裏雲自己的VPN，來把測試流量轉發到客戶業務和係統上，從而做到對測試流量的實時監控和記錄。整個安全測試的過程和操作對阿裏雲，對客戶都是透明的。不僅對服務過程進行了控製，也在另一個層麵控製了整體的服務風險。

獨特且精準的漏洞層級劃分

迄今為止，先知安全眾測已經服務了五百多名客戶，在先知官網的首頁下方，我們很容易就能看到一套總結好的針對高中低危漏洞定義的標準，該標準基本可以做到通用於全行業，是雲安全參與者們在眾多項目中智慧的沉澱。簡單來說，一個漏洞對客戶業務的影響和危害性越大，它的層級劃分也就越高。針對部分客戶更高和更加個性化的需求，阿裏雲也都能加以支持，並在測試前將在相應的標準交付控製台，指出其與線上通用標準之間的差別。

明確而實用的係統完善方案

對每一位安全專家提供的漏洞，阿裏雲的安全工程師都會給企業客戶提供明確的修複方案，這不僅包括代碼層麵的修複，同樣也會根據客戶的實際情況進行增進。例如，針對之前曾經遭受過SQL注入攻擊的企業，就可以考慮應用WAFF進行相應的防禦，以製止其他外部層麵的攻擊。針對代碼層麵修複，阿裏雲的安全工程師們同樣會對客戶的安全產品進行配置，幫助企業建立起自己的安全防禦體係。

包括阿裏自身在內也是如此：由外部的安全專家為阿裏業務提交漏洞和風險項，通過這些內容檢測自身的安全防禦措施有無短板，確認在安全監測、防禦、響應等方麵應當如何提升。並最終形成外部發現風險，內部對防禦體係進行提升的閉環。並隨著自身業務和風險的逐漸增加，繼續對其迭代以進行防禦和應對。

針對企業定製化的安全培訓

為了能夠提高企業客戶的安全開發意識，先知平台專門提供了針對性的安全培訓服務。並可以根據企業的不同研發方向進行定製化，在各種編程語言的安全開發流程中都有其規範。從而令客戶企業的開發人員在開發時就能具備一定的安全意識，降低代碼中出現安全錯誤的幾率。阿裏雲會通過直接現場培訓的方式培訓客戶企業的安全人員，並通過出題測試等方式，來保證培訓的效果。

麵向小微企業的全方位安全管家

針對某些小企業服務器規模有限，並且沒有專業的安全團隊進行保障的情況，先知平台特別提供了安全管家服務，用於對雲上客戶進行常規的安全運行運營，以保證安全效果。對於已經出現安全事件的服務器，安全管家可以針對客戶的安全事件進行應急響應，幫助客戶查找出現安全事件的原因，並幫助客戶清理黑客植入的木馬和後門，及時進行業務止血，並在之後給客戶做一個安全加固的建議。簡而言之，安全管家就是企業的安全運營者，直接對安全運營的效果負責。其收費也不會高於企業自身招聘安全工程師的成本，保證了對客戶的經濟性。

先知平台的未來發展方向

先知平台的未來不僅由平台自身決定，同樣也由雲上客戶的需求進行製定。先知平台的發展目標就是為雲上雲下的客戶提供效果最好的安全服務，提供企業安全能力，幫助合作企業完成安全體係建設。新的網絡安全法執行之後，幾乎全部企業都具備通過等保測評的需要，尤其是金融、政務、網約車方麵的客戶更是如此。阿裏雲希望通過先知平台來更好的鏈接企業客戶與測評中心，來幫助企業更好更快的通過自身業務的等保測評。通過和國內較強的等保運行中心進行聯合的方式，在先知平台上為阿裏雲客戶提供等保測評服務。

以白帽子為標誌的優秀安全人員

以白帽子為標誌的優秀安全人員是先知平台發展的基礎和源動力。實際上，這是一群很可愛的人，他們追求技術，並在平台的連接中與越來越多的企業產生了聯係。先知官網首頁有一個名人堂。在三月份，平台也在北京舉辦了先知的白帽大會，對top級別的安全合作夥伴和白帽子進行表彰，代表性的top級別白帽子是GR36，他對web安全的理解非常深刻，並發現了眾多級別很高的漏洞。在大會上，他與其他安全人員共同分享了自己的一些經驗。此外，安石科技的四爺；NO.XX；男一號等卓越的安全技術專家都與阿裏雲進行著長期的技術合作，他們技術優秀，並受到客戶的廣泛好評。

公司級別的合作夥伴方麵，上海的安石科技，西安的四葉草，上海駐雲科技，銀行卡檢測中心，中國金融電子化公司，工信部電子工業標準研究院都是阿裏雲安全的優秀同僚，在這些安全公司和白帽子的加持之下，先知平台有信心也有能力勝任各類企業的信息安全工作。

“雙11”期間先知平台的優惠和驚喜

今年是先知安全服務平台首次參加雙十一，因此也給出了額度巨大的優惠。安全眾測方麵，直接把漏洞單價（行業內一個高危漏洞均價5k）做到五折，這還多虧了白帽子們的支持。他們願意為更多企業提供更好的服務，保證這些企業本身安全措施的效果。公司也會對優秀的白帽子進行激勵，包括榮譽和其他的方麵。

此外，安全培訓和應急響應同樣都是五折優惠。如果在雙十一期間購入這些服務，對企業來說是可以省很大一部分開銷的。等保測評這一服務相對特殊：在測評結果公布時，大多數企業都會麵臨各種風險和問題。為了降低企業在測評後整改的成本，對於雙十一期間購買等保測評服務的企業，阿裏雲會直接贈送價值一萬元的先知安全眾測代金券，來幫助客戶更好符合等保要求。對普通企業來說，如果希望通過等保，並在雙十一期間下單的話，就會獲證這一萬元的代金券。用代金券進行先知眾測，查出的漏洞還能做到全麵五折，形成一套連鎖的優惠體係。

先知平台建立的初衷，就是要通過提供滿足客戶需求的服務，提升企業的安全效果，從而最終建立健全企業的安全體係。如果你的企業在信息安全方麵有相應的要求。那麼這次雙十一的機會，可千萬不要錯過。

========

阿裏雲雙11訪談之容器服務 https://yq.aliyun.com/articles/229366

阿裏雲雙11訪談之視頻雲 https://yq.aliyun.com/articles/229356

阿裏雲雙11訪談之中間件 https://yq.aliyun.com/articles/229354

阿裏雲雙11訪談之雲存儲 https://yq.aliyun.com/articles/228482

阿裏雲雙11訪談之ECS彈性計算 https://yq.aliyun.com/articles/228321

阿裏雲雙11訪談之數據智能 https://yq.aliyun.com/articles/228322

阿裏雲雙11訪談之MaxCompute https://yq.aliyun.com/articles/228477

阿裏雲雙11訪談之Elasticsearch https://yq.aliyun.com/articles/228478

阿裏雲雙11訪談之雲安全 https://yq.aliyun.com/articles/232109

阿裏雲雙11訪談之雲數據庫 https://yq.aliyun.com/articles/230063