信息來源：FreeBuf

上個月FreeBuf在成都參加云棲大會的時候，阿里云從頭到尾一直在提的一個詞匯就是“賦能”。這個詞當時的意思非常簡單：企業(yè)都把數(shù)據(jù)搬遷到云端了，以后安全問題其實也就是云計算的安全問題了，由于安全問題比較復雜，非阿里云一家之力可完成，所以找來了眾多安全企業(yè)一起來做安全。而在阿里云看來，這種模式對安全企業(yè)而言是種進步，而且還為安全企業(yè)提供了便利，也就是阿里云邏輯中的“賦能”。

來這次2016阿里安全峰會之前，大致上看到峰會的SLOGAN“聚力、賦能”的時候，我們就想，應該就是談談阿里在締造平臺的過程中，是如何為安全企業(yè)提供便利這回事吧。倒是未想見，這次阿里不僅將“聚力賦能”貫穿全場，而且還將其范圍做了極大的擴張。

聚力——不只是聚安全企業(yè)之力

其實這次在北京國家會議中心共同發(fā)起這場阿里安全峰會的，除了阿里巴巴集團之外，還有螞蟻金服集團。這家公司來頭不小，支付寶即是其旗下產品，自可見它在安全領域的重要性。

我們知道，支付寶主要是安裝在手機端的應用，是現(xiàn)代人購物甚至投資理財?shù)闹匾ぞ?。這東西如果不安全，那的確得出大亂子了。螞蟻金服安全產品技術資深總監(jiān)，馮春培在談到自家應對安全問題的策略時，提到了“應急中心AFSRC威脅情報平臺”的建立，這個平臺結合了白帽子、安全公司、高校，還有第三方平臺等多方力量。這其實就體現(xiàn)出一種“聚力”，即不止是憑借一己之力來抵擋安全風險。

螞蟻金服技術資深總監(jiān)馮春培

不過其實這還不能凸顯這次阿里要說的“聚力”。螞蟻金服還提到了IFAA聯(lián)盟。這個聯(lián)盟的成員不僅有一般的安全企業(yè)，還有中興這樣的手機廠商，高通、Intel這樣的芯片廠商。為什么需要這些成員的加入？如支付寶這類應用的安全問題，從芯片底層（如TrustZone）到操作系統(tǒng)，再到應用層本身，每個層級都有參與者，而且也都需要他們的協(xié)力，才能針對支付寶起到比較完整的保護作用，缺了任何一環(huán)都是不行的。

百度首席安全科學家在談《移動生態(tài)中的安全缺位》時也談到了這個問題，如Android系統(tǒng)的問題，實際上并不僅限于系統(tǒng)本身，比如ARM芯片中的TrustZone黑匣子，“一樣沒有辦法拯救世界”。光這一個問題，涉及到的企業(yè)就包括谷歌、ARM、高通等不同層面的科技企業(yè)。這便體現(xiàn)出“聚力”的擴展性。

另外聚力的范圍，這次在阿里看來是遠不止上面談到的這些科技企業(yè)的：這場峰會的前半程有不少政府部門領導的發(fā)言，包括網信辦、公安部網絡安全保衛(wèi)局、工信部通信保障局、國標委工業(yè)標準二部的幾名負責人。他們發(fā)言的主題大抵上沒有脫離“聚力”的范疇，即便在政府看來，網絡安全既然已經得到習近平主席的重視，自然該由政府來牽頭向前，不過總的來說，仍舊需要不同的部門、企業(yè)、教育機構的配合才能完成。

其實阿里巴巴集團自己在很多業(yè)務方面，就有“聚力”存在的依據(jù)，比如淘寶這樣的電商。從淘寶所在的阿里云，到淘寶自身，再到商家、ISV服務商、物流。每一環(huán)的安全都很重要，這可以算是阿里巴巴提出“聚力”的立足點。

阿里巴巴集團CEO張勇

所以今天峰會主論壇上，一波小高潮的內容即在于阿里巴巴宣布電子商務生態(tài)安全聯(lián)盟的成立。按照阿里自己的說法，電商生態(tài)安全聯(lián)盟，實際上是為了普及、推行某種安全標準，整體提升電商生態(tài)的安全能力。這種“聯(lián)盟”的形態(tài)正是“聚力”的實際表現(xiàn)形式。

然而另一方面，這在阿里看來，也是為整個行業(yè)“賦能”的方式。將這套標準和經驗，推廣到30家企業(yè)，不僅是為這些企業(yè)的賦能，也是為整個電商領域的賦能。

賦能——不只是為安全企業(yè)賦能

“賦能”和“聚力”原本就是一對相輔相成的概念，就好像集合一群人之力去做事，這一群人之力實際上也是在為每個個人賦能。所以我們才說，電子商務生態(tài)安全聯(lián)盟的成立，既是“聚力”，也是“賦能”。

阿里巴巴集團商家事業(yè)部經理張闊在談《商業(yè)生態(tài) 安全賦能》的主題時，在為電商賦能的問題上就談得更加具體了。他談到了當前互聯(lián)網發(fā)展的趨勢，比如說無線上網做到了隨時隨地，所以阿里為商家提供直播服務，加上阿里在大數(shù)據(jù)方面的積累以及全渠道的優(yōu)勢，某次AngelaBaby在線上直播，僅一次就讓美寶蓮的化妝品銷量大增。這即是阿里為電商賦能的一種具體表現(xiàn)。

阿里云資深總監(jiān)肖力

至于阿里云為商家，或者企業(yè)提供的安全賦能，以及針對當前主流的安全企業(yè)SaaS化的賦能，原本就是阿里云始終在宣傳的。阿里云資深總監(jiān)肖力所做的演講實際上仍是在重復這些“賦能”的事實，只不過似乎是為了回應上一次很多企業(yè)客戶擔心阿里云會不會動他們的數(shù)據(jù)的問題，肖力倒是特意在這次的PPT中多加了一屏：阿里云的數(shù)據(jù)審計，是經過了不少國際安全認證的。不知道這樣能不能真的令企業(yè)客戶放心。

360公司副總裁譚曉生

還有360公司副總裁譚曉生針對物聯(lián)網威脅的解讀。物聯(lián)網市場在安全方面原本就處在發(fā)展的初級階段，比如大量的云安全攝像頭都存在嚴重的安全問題，還有許多接入互聯(lián)網的汽車也有被遠程控制的風險。然而物聯(lián)網這個行業(yè)，不僅需要IT安全方面的技能，還需要OT安全（Operational Technology）技能，這兩個領域的專家?guī)缀醣舜藢Ψ胶翢o了解。所以物聯(lián)網安全的未來，尤其需要雙方的聚力融合。

今天主會場的絕大部分演講討論，都是圍繞在“聚力、賦能”這個主題周圍的。如上面談到的，從數(shù)據(jù)安全、電商安全、云安全、支付安全多個安全領域分享這種聚力賦能的理念。其中談得最意象化的，和具有總結意義的，實際上是下午倒數(shù)第二個發(fā)言的潘柱廷——啟明星辰首席戰(zhàn)略官。

其實在差不多到近黃昏的時間時，與會的觀眾都已經差不多意興闌珊了。而潘柱廷還是以有那么點兒道骨仙風的著裝意味，讓場下的觀眾稍稍清醒了些：他說，安全行業(yè)都要學會畫圖，安全的全局圖是分成南北半球的，南半球代表“底層類”，包括“芯片技術”“開發(fā)過程”“底層技術”等等，北半球則有IT架構、戰(zhàn)略、供應鏈、資本、資金等等。

啟明星辰首席戰(zhàn)略官潘柱廷，和他PPT中將安全企業(yè)格局比作棋局對弈的過程

“沒有一家企業(yè)能夠將其中的所有領域通吃?！彼哉麄€安全行業(yè)的構成，理應是“聚力”的。除了這張圖之外，還包括各種針對當前安全市場格局的剖析圖，可以是從各種不同角度畫的圖。在這些圖呈現(xiàn)出來以后，安全企業(yè)自然知道，自己所處的位置，并在不同層面做出相應決策。

這些所謂的格局圖究竟應該由誰來畫，這就是個唯有聚集了整個行業(yè)之力，才能做成的事了。這種比較抽象的，針對聚力賦能的解讀方式，聽起來還真有那么點兒意思。

還有哪些有趣的議題？

第一天的峰會主論壇，絕大部分演講人所述內容基本都與“聚力賦能”掛鉤。不過也有那么些演講者，準備了技術或故事層面的干貨，所以即便與大會主題不大相關，卻也還挺有意思。

**由于首日議程非常密集，小編無法詳細記錄所有精彩議題，敬請理解

比如說：

阿里巴巴集團技術副總裁杜躍進《數(shù)據(jù)安全的緊迫問題》

杜躍進不僅是這次峰會主論壇的演講嘉賓，而且也是主持人。他針對阿里數(shù)據(jù)安全的解讀，似乎更像是一種承諾。我們在上次的云棲大會上曾經談過，Q&A環(huán)節(jié)上，兩名企業(yè)客戶對阿里云是否動過他們的數(shù)據(jù)表示擔憂，雙方你來我往互不相讓。

“我們以前做很多事情，比如辦簽證都得填上一堆表格，要填姓名、身份證號等。我在想，這些數(shù)據(jù)本身不就在你們手上嗎？為什么要讓我來填。”這其實也是絕大部分人的擔憂。

阿里巴巴集團技術副總裁杜躍進

杜躍進的這次主題演講，有意于解答用戶這方面的擔憂，表明阿里這次所推的電商生態(tài)安全圈，將標準推廣到30家企業(yè)，就是阿里證明自己的一種方式，在賦能的過程中，以一套“數(shù)據(jù)安全成熟度模型”來證明阿里數(shù)據(jù)安全的可靠性，并且保證數(shù)據(jù)不會被濫用。這套數(shù)據(jù)安全成熟度模型也會在明天的分論壇上更為詳細地進行解讀。

清華大學段海新教授《端到端安全通信中的那些中間人》

比如說，我們平常用手機上網，可能會在屏幕右下角看到一個提示流量使用了多少的小球，再比如說我們在酒店上網發(fā)微博，微博頁面居然有酒店的廣告。這些就是所謂的“中間人”。

最早的“端到端（end-to-end）”這個概念，其基本理念就是數(shù)據(jù)傳輸需要具有一致性，完整性，可靠性的特點，不可被篡改。不過后來清華大學的張麗霞教授提出了名為“中間盒子”的概念。她認為，“中間盒子”的存在很正常。今天我們在安全領域常用的NAT、防火墻、Proxy都是中間盒子。

清華大學段海新教授

其實即便是HTTPS這種為端到端設計的協(xié)議都沒能真正做到端到端。14種防病毒、家長控制軟件針對TLS監(jiān)聽代理時，會利用自簽名CA證書動態(tài)偽造所有網站的證書，以解密TLS內容；另外還有CDN的行為在我們常人看來也并不合理合規(guī)。所以端到端在當今互聯(lián)網早就是個偽命題了，不過段海新并非要為端到端翻案，“適應不斷的變化，是互聯(lián)網不變的原則”，所以這種中間盒子還是有必要的。

百度首席安全科學家韋韜《移動生態(tài)中的安全缺位》

韋韜主要針對Android和iOS，談到了移動操作系統(tǒng)的安全性問題。其中Android部分的主要問題在其生態(tài)的碎片化問題——大量用戶還在使用Android 4.1甚至更老的操作系統(tǒng)，這必然安全問題。而且實際上谷歌向下推Android更新的過程非常繁瑣，需要經過OEM手機制造商、運營商等多個層級，從漏洞發(fā)現(xiàn)到最終補丁推到用戶的終端手機，可能已經經過了很長時間。

百度首席安全科學家韋韜

iOS的安全問題現(xiàn)如今也越來越嚴峻：按照韋韜所說，iOS的越獄并不像很多人想得那么難——實際難點是如何保證越獄以后，重啟依舊保持越獄狀態(tài)。先前用紅雪一類越獄工具的人，應該都聽過這種不完美越獄的局限性。那么iOS一旦被越獄，取得系統(tǒng)最高權限，自然可以攻破。越獄iPhone甚至是盜號刷單黑產的最佳工具。

另外就是iOS Kernel/移動版Safari還是可以被抓到0day漏洞，利用可進行APT攻擊。實際上iOS設備遭遇惡意程序感染，其破壞性會比Android更嚴重。因為Android的碎片化也一定程度造成惡意程序無法擴散，但iOS設備存在高度統(tǒng)一性，擴散之后的危險性將尤為明確。

FireEye前副總裁卜崢《安全之道》

他提了幾個頗有意思的論點，他所當前安全行業(yè)的市場規(guī)模實際上已經是游戲市場的3倍左右了，但卻沒有像游戲市場那樣像是個巨頭或者寡頭一樣存在的企業(yè)。

FireEye前副總裁卜崢

首先，安全行業(yè)也不想很多傳統(tǒng)行業(yè)那樣，存在“大魚吃小魚”的市場現(xiàn)狀，而是“快魚吃慢魚”。哪家企業(yè)能夠率先抓住安全熱點或技術，自然有機會以超快的速度發(fā)展起來，比如FireEye找準將虛擬技術和威脅檢測融合起來做產品的熱點，所以FireEye在短期內很快上市，而那些老牌企業(yè)也只能在這一熱點中錯失良機。

另外還有其他原因，如沒有一家安全企業(yè)是能夠完全做到大而全的，畢竟安全是個太過龐大，甚至許多安全專業(yè)知識都不互通的行業(yè)；其次更在于安全市場存在著國家的邊界限制，自然也就不大能夠存在巨型安全跨國企業(yè)。

其實從卜崢的發(fā)言也的確再度證明了安全行業(yè)“聚力”以及隨后“賦能”的重要性。猶如很多人經常談到的，安全是個交叉學科，沒有一個人或者一家企業(yè)能夠通吃整個行業(yè)的方方面面。也正因為如此，阿里巴巴集團CEO張勇在峰會開場致辭的時候才說到，“聚力賦能”并不是這一場峰會的主題，而是未來安全行業(yè)很長一段時間內的主題，原因正在于此。

* FreeBuf官方報道，本文作者：歐陽洋蔥，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）