数据安全流通的解决方案（一）

01 当前面临的安全挑战及趋势

      首先我们先来谈一下这个当前云的安全挑战和趋势，今年隐私计算应该在整个全社会的关注度是非常高。第一方面就是IT基础设施上云，因为现在我们国家是在大力提倡数字经济，相应的就会有传统的大量的传统企业和新型的这种数字经济企业都会涉及到一个基础设施的问题。现在的一个趋势就是基础设施都会逐渐的往云上去走，这种方式其实是数字经济的一个支撑，也会提高相应的效率。IT基础设施上云可以提高全社会的资源利用率，这也是为什么现在政府和各个企业，大型企业都会把基础设施往云上去搬的一个核心的原因。

      第二个方面，现在有个大的趋势就是所有的这种IT的技术都在逐渐互联网化，具体来讲就是软件处理能力是否可以根据业务流量进行弹性伸缩，能否处理实时大数据处理请求，同时这个安全是不是能够简单地作为一种服务来提供，而不是说由这个基础设施的拥有者或者说这个服务的使用者自己去构建一个安全体系。因为现在阿里云架构其实是越来越复杂，在这种技术背景下，其实做安全也会变得越来越复杂。这种情况下也就孕育而生了安全基础服务这样一个概念，也就是由这个云的基础能力提供商来提供这样一个安全的服务，然后消费者只要通过这种服务的订阅，就能够享受到云计算带来的这个安全可控的这样一个效果，这就是核心的技术互联网化。

      第三个的显著的特征是应用趋于数据化和智能化，也就是应用要以数据为基础来提供相应的服务给到用户。即基于数据来做智能化决策。例如淘宝 APP的千人千面，这是当前电商、短视频应用的一个普遍趋势。而应用对 使用全域数据过程中，数据全链路安全保护和以数据为中心的安全体系建 设就提高了全面的更高的要求和挑战，保护数据安全和隐私在当前法律体系下不是“想不想”和“能不能”，而且必须做的事情。

      我们再来谈一下数据流通面临的这个安全挑战。既然我们是要把数据作为产生价值的一个源头，那一定就面临着这个我们图中所提到的数据要素流动和价值释放，但这一定和数据治理和隐私保护是有一个对立关系。因为数据如果是无序的流动，释放的价值是有，但是他对整个的数据生态的治理和隐私保护是一个不可控的威胁，滴滴的案例就非常典型。

      2021年开始，随着数据安全法和个人信息保护法的出台，互联网行业尤其 是数据分析行业对隐私保护、多方安全计算逐渐重视。以阿里云的视角，认 为隐私增强计算是未来数据安全流通的重要实现方式，也是所有数据共享 技术的一个基石。

      说到这里也简单的谈一下，就是欧洲的这个GDPR。我们国家的这个数据安全立法及这个相应的政策，其出发点还是要促进经济的发展，同时要保护公民和相关的市场主体数据权益和隐私的基本权利。总体来说还是要促进发展的这样一个目的。但是欧盟这个GDPR，我们觉得这个可能还是以这个限制为主，他这个刺激数字经济发展的这个作用就不是很显著，或者说欧盟的这边，他的这个立法精神可能跟我们是有有一些不同的这个观点吧。所以我们在这个领域，其实可以在这个这个角度上可以去激发更多的创新，然后让我们这个国内的技术走到这个世界更前沿。

      现在全社会都在广泛讨论隐私计算，以我们阿里云的视角的我们认为隐私计算是数据安全流通的未来的方向和所有的数据共享技术的一个未来的基石。也就是说确保数据在流通过程中“可用不可见”已成为数据流通与价值挖掘的关键挑战。其实这个里面就暗含了一点就是数据不可见是从国家层面要保护隐私，但是从市场经济的主体来说做到数据不可见是对其数据权益做的一个保护。这样才能够做到他愿意把这个数据去拿出来去跟这个另外一方产生计算的价值，否则的话他就不愿意因为拿出去。因为数据拿出去以后他没法去对这个数据的权益做控制，所以从利益的角度他也不愿意拿出数据做分享。所以Gartner在今年的前沿科技战略趋势中也将这个隐私增强计算作为未来几年科技发展的九大趋势之一，也就是看到了目前在人工智能应用以及各种这个网络数字经济活动中数据发发挥的决定性的作用。而数据的打通，势必又要用到这个隐私增强计算这样一个底层的支撑，所以这也是其作为九大趋势的一个很重要的原因。同时在今年Gartner全球云厂商的评估中把这个以SGX的这种可信执行环境计算能力为代表的技术作为这个云计算安全的重要的分项。

       Gartner分析师有提出一个假设，就是在2025年将有50%的大型企业采用隐私增强计算处理不受信任环境中的数据以及多方数据分析用例。其实这个不受信任环境，他指的方面很多，我们直观的可能认为是说企业会把数据放到了另外一个企业的环境里面去计算，但是其实更重要一点，现在目大型的企业里面，人员的这个数据安全管理也是一个非常棘手的问题。就像之前有某厂商有员工个人窃取用户数据泄露，导致这个大型企业这个相应的这个数据安全声誉受到一定的这个影响，也就是说我们内部的机房其实也是一个不受限的环境。在我们这个云上来看来，我们对内部的这个管控也不能仅仅基于对这个人员的这个操作规范管控，我们还要更多的基于从技术和硬件的角度，能够规范数据的这个使用和可见范围，这个是非常重要的一个点。

      右边的这个图，很形象的说明了我们这个隐私计算技术有哪几个分类同时这些技术又做了一些什么事情。从这张图上面来看，首先我们在左侧有一个数据源，数据源提供的数据都是可用可见的数据，这个数据都是我们所谓的明文数据。通过我们这个差分隐私、同态加密、安全多方计算，零知识证明这几种技术，我们将这些这些明文数据转换成了隐私增强型数据，也就这一部分数据是可计算，但是不可见，最终到了我们这个循环箭头的这里。也就是说，我们隐私计算技术其实是提供了一个管道的功能，将明文数据在管道内进行分装，然后在计算端完成隐私保护计算之后将计算结果输出到相应的这个授权方。在我看来就是隐私计算搭建的是一个数据流通的管道，或者称下一代的信息高速公路，只有这这样对数据在流转过程中的这样一个强保护，才能够促使数据能够有更畅流畅的流转和价值的激发。

      这张图分享一下几个趋势。第一个是Gartner发布的这个隐私技术成熟度曲线，这个曲线其实很有意思，就是一个新的事物，一个新的技术创新产生之后，他一定会经经历这样一个所谓的泡沫曲线，就是说它由这个innovation trigger这个地方创新激发，然后会持续的提高公众对它的一个期望值，当他会达到顶峰的时候，就是一个超出他本身能够承载的范围的一个预期，当然这个预期其实是过高了。在这个顶峰之后，因为技术会比较新，所以他也没有产生特别实际的生产力，这时候公众对他的这个期望值就会有一定的失望，进而会走向下坡路。但是在这个阶段就会有真正的场景以及需求会涌现出来，然后经过不断的打磨然走到Enlightenment，这个上坡的路径的时候就是它真正解决问题的时候。然后由深蓝色也逐渐退化为天蓝色逐渐最后上坡到白色的圆圈的地方就是真正形成生产力。

      反观左侧我们今天要谈的数据安全其实更多的是聚焦在多方数据的流转的趋势上面。在这上面我们现在用这个蓝框标出来的多方计算和差分隐私其实都是在处在创新驱动点。更重要的一点是我们现在更关注是在这个左侧下面这三个。一个是同态加密，再一个是这个数据安全治理，还有一个就是机密计算，现在阿里云一个非常大的发力的点，就是在这个机密计算，因为他是现在非常创新的一个领域，目前在这个去年的测评里面，我们是排到世界第二。所以机密计算和同态加密是未来至少是在目前在欧美产业界是一个强大的发力点。

      目前来说国际上有一个公认的观点，就是要保护数据全生命周期的这样一个安全。经典的来说，其实数据就分为这个存储状态和传输过程中的状态和运算状态，这三个状态都需要进行数据的安全保护，才能够保证数据的全生命周期的这样一个安全。我们国家有更详细的这样一个数据安全模型叫DSMM，我们后面会有专门介绍这个数据安全能力成熟度模型。目前来说其实数据的存储和传输都是在这个能力成熟曲线的平稳阶段，就是已经形成非常稳定的生产力了，所以这部分的话各个厂家其实是没有很大的这个技术上的差别的。但是在这个运行时保护领域其实是一个非常全新的领域，这个是有非常高的区分度的，同时这个数据的这个运行时保护，其实有很多种方法和方式，包括现在以这个密码学为代表的各种各样的，比如说MPC，TEE机密计算都是在解决这类问题。所以在这个领域，大家都在一个共同的赛道上面，在努力地在进行创新，具体的哪个项目哪个技术能够获得胜出，其实还是要以这个市场为导向，就看市场最终接受哪一种技术作为这个落地的最最佳实践。这个我们还是以这个实践为准。在国内也做得非常好的就是信通院，在去年就已经提供了多种机密计算，还有隐私计算的认证标准和认证体系也在不断推进中，包括这个大数据产品能力测评在去年已经推出。然后今年也有多项的这个隐私计算产品的这样一个测评，包括区块链安全的测评等。

      0２ 数据安全建设思路和实践

      首先要提到我们现在国家发布的这个国标DSMM，就是数据安全能力成熟度模型，这个是我们在国内从事数据和数据安全企业的最主要的行为规范，在这里面提出了对技术，包括整个组织架构体系的一个严格的要求。在左侧的这个维度的图里面，我们就可以看到这个能力程度等级，分为五个等级，第一个是最弱的，是非正式执行，就什么都是，就是人治，不是法治的这种模式，最高的就是持续优化，就是说在这个组织内部可以有一个良好的机制，不断的去迭代，不断的去优化这样一个这个数据安全能力。从这个数据生命周期的这个维度上看，数据在我们国家分得更细，分为六个阶段，就是采集，存储，传输，处理，交换和销毁，这六个过程中都需要有非常严格的数据安全管控的策略及其这个不断演进迭代的方式，因为如果在任何一个环节有了这个疏漏造成的数据安全威胁问题，其实你所有的其他的这个阶段都是没法保证整体数据安全。从安全能力维度上看，其实就包括了个人能力，采用什么工具，然后流程是什么，最终还是要归结到这个组织建设要有一套能够自循环的这样一个组织架构来去维护这样一个数据安全。在右侧，其实是一个非常形象的来介绍这个数据安全生命周期这样一个概念，这个过程以我们阿里云的这个应用特点来看的话，就是我们是在端上和这个互联网的经济主体的在日常的生产活动中产生的数据和采集数据，我们会通过数据采集的这个通道，采集进来以后会对数据进行一个存储和一个分类，或者说进行一个数据上的一个安全的分级，再下一步我们就会放到这个云上的一个数据中台，做一个高效的这个弹性计算。那么数据是导出，发布还是销毁，这个是由这个业务的形态和用户来决定。就是说，我们要有一个严格的销毁流程，因为现在国家在立法中也明确提出了，就是用户有权利销毁自己在这个数据应用中产生的数据，这部分我们阿里云也有非常深度的一个耕耘。在六个这个生命周期中，我们都有相应的产品来做给到用户。阿里云的这个安全建设的参考框架是这样，我们是以这个DSMM这个为框架，我们有三个层次的这样一个建设，最基层就是基础设施和应用完全，这个层面上防的就是外部的黑客攻击和恶意的爬取，包括内部恶意人员和这个外部的网络威胁。基于这个的话，我们做的这一套架构是说是云平台的这个数据安全，我们基于物理安全，硬件安全，虚拟化安全和可信计算这四大支柱来提供这样一个最基础的一个基础设施的安全。第二部分是数据防泄漏，数据防泄漏，就是说我们要规范内部使用和外部共享的这样一个过程中，防止数据泄露，在这个层面上面，我们会有这个账号管理认证与授权管理和这个监控操作审计运营这两大这个工具集。同时，我们在整个云上数据的这个全生命周期中，我们提供了这个存储服务，数据服务，大数据服务，同时这些服务都是基于这个对账号认证和管理授权，且所有的操作都是有审计的，以此来构建一个数据防泄漏的这样一个中间的环节的基础。那再往上走，其实我们就是要处理一个合规，隐私与合规要求，那往上走就是安全中心，业务风控，应用安全合规管理，这个就是给到用户的最终一个实际的一个价值点。所以我们的这个建设的思路是由底至上来构建一个全平台的安全。

      阿里云的数据安全能力全景图在上图有一个非常简明扼要的体现。我们这个能力分为五个版块，第一个就是芯片级安全，第二个是数据加密，第三是数据治理，第四是敏感数据的使用，第五是数据防泄漏。每一项都有相应的具体的一个技术的实现方式和大量的云安全的技术团队来做底层的支撑。我这边是负责这个芯片级安全这一部分，就是高等级计算的环境安全。其中包括了机密计算和这个可信计算，在国内其实可信计算代表着这个TCM可信密码模块，机密计算就更多的指的是这个TEE可信执行环境，在这个数据加密领域，我们也提供了这个就相当于是密钥管理的一系列的这个措施，包括软硬件的措施，还有我们允许用户那个来提交自己的BYOK，这样的方式就把安全能力，能够让用户能够真实地做一个感知，第四个需要强调的是我们这个安全使用分享和计算，也就是说我们在身份安全性验证这块，我们有强大的基础的支撑，包括第五个数据防泄漏，我们也有一系列的这个数据风险防控的能力，这是我们的一个安全能力全图。