一个企业自己做网络安全的成本有多高？

首先，从流程环节来看，这个企业需要有相应的配套安全产品、适配业务的安全标准、还需要相应的安全专家来做相应的策略，进行线上攻防应对。当然，想要取得好的安全业务效果，这些投入不能只是蜻蜓点水，而是需要有“下血本”的打算。

对于本来就不富裕的企业来说，这无疑是雪上加霜。

尽管，资金与人力、能力让许多企业的安全建设进入困境，但几个现状令他们必须选择迎难而上：

首先是来自品牌业务层面的需求，一方面在智能化发展时代，用户对于数据、隐私的需求不断升级；另一方面，犯罪者的攻击手段不断更新，安全事件增加。所以，基于对市场变化需求的满足、自身品牌声誉的维护及业务稳定等需求，新基建安全建设势在必行。

此外，值得一提的是企业内鬼。“日防夜防，家贼难防”，与外来入侵略者相比，内鬼的泄露往往对企业是致命打击。以近期Twitter、思科等企业的内鬼事件来看，内部的安全建设也必须提上日程。

最后，还有来自法律、合规性的规范。从《网络安全法》到数据安全法草案，法律规则已从大方向界定了网络安全相关的标准，而且也从细节上明确划分了责任人。如今，企业出安全事故了，企业会面临处罚，这是非常硬核的驱动力。

新冠疫情及新基建更是催化了上述大环境，企业的安全建设争分夺秒。但巧妇难为无米之炊，由于缺乏经验及资源，大多数企业急需可信、成熟、完整的安全产品解决方案，安全市场需求被进一步刺激。一组数据证实：Gartner预测2020年中国安全市场支出将增长7.5%，达到299亿人民币。

目前，安全市场的产品、服务形形色色，结构日益丰富。多数安全产品较为单一、垂直，不过安全需要整体协同，完整的体系建设会产生更理想的效果。在此背景下，大型互联网企业的经验分享对于安全市场发展的推动来说，显得至关重要。

近日，阿里安全发布了新的安全基建大图及应用安全企业标准。阿里安全的技术专家就该新一代安全架构，向FreeBuf做了详细介绍。这些细节信息，是基于阿里20年的安全经验总结出的“秘籍”，可以为企业的安全基建思路提供新的思考以及更高效的解决方案。

新一代安全架构主要包括安全技术、安全基建和安全运营三层核心。安全技术层是阿里底层能力的集合；安全基建层将能力沉淀为标准的体系和配套的流程、产品，形成中台，通过中台建立可信的应用体系，达到风险预防免疫的效果；安全运营层是直面外部的攻击，利用中台的能力，能够做高效的响应，针对业务做快速的适配，针对风险能够做准确的应对，三层互相配合。

简单来说，阿里安全将多年的经验汇聚并打造了一个“安全专家“，这个专家可以到有需要的企业方传递经验，为企业提供了安全标准与实施指南，企业可以根据自身业务场景做相应的标准挑选，再进行实战。

根据阿里安全高级安全专家林峻的形象比喻，安全基建层相当于是人体的免疫系统，可以做风险预防。其中，“标准“体系的建设是核心，因为只有建立了度量衡，才能更有效地定义、识别及解决问题。在标准的建立过程中，其主要基于自身的实践经验总结，及参考采外部的评估服务，如微软的SDI、BSIMM、等保、openSAMM等。

图说：阿里安全高级安全专家林峻

博取众家之长，其标准涉及了四部分内容：

第一是完整的应用安全流程，将原来分散提供安全服务的产品整合到一站式安全产品“安全服务中心”上，深度结合Devops，做到研发全流程管控。

第二是构建相应的管理体系，包括建立各层的安全组织，还有触达到用户相关规则条例、安全培训，建立用户的安全心智。

第三是度量体系，一方面，将IAAS层、软件供应链、研发过程，运行时环境、流量网关、应急响应、人员等维度的安全水位量化，来评估安全位置；另一方面是规范日常运营执行的细节。

• 企标层面，需要制定安全红线，打造安全检出产品，并执行“凡有要求必有检出”的要求。
• 软件供应链层面，主要涵盖隐私、漏洞等风险，形成安全认同的供应链库。
• 运行时防护，阿里安全自研的RASP产品抛弃了传统大而全的方案，强调解决入侵相关的风险。

第四是安全检测。其白盒产品可以将外部的请求到最后落库整个链路完整串起来。黑盒在扫描的规则上，会有阿里专用的适配规则集。此外还有基于流量的漏洞自动挖掘。整个流程经过层层检测，从源代码扫描、灰盒测试，线上的黑盒以及流量的分析，完成整个检测体系。

俗话说：安全是个动态话题。除了技术不断迭代带来的挑战变化，作为安全领域的重要角色，人也是一个不可忽视的因素。代码是人写出来的，所以人的安全意识与教育上升至关重要。

就像林峻提到的，代码应用网络的风险可以通过技术度量，但人的介入，无论是编码行为还是蓄意入侵，都会令问题更复杂。毕竟技术再灵活也是被动的，而拥有主观意识的人往往是主动而多变的，如攻击方式层出不穷的黑客。

阿里安全在人的层面希望通过意识和能力两个维度去辅助安全建设。其将相关的研发人员分为不同的熟练等级，再适配不同的学习课程，设置安全成长体系，培养他们主动发现风险，解决风险，上报风险的习惯。值得一提的是，阿里安全还联合清华大学发起了安全AI挑战者计划，旨在为未来新基建建设过程中AI面临的安全风险培养人才。

图说：阿里安全资深技术专家铁花

这套方法论，可以支撑缺乏经验和大规模安全产品布局能力的企业，低门槛完成安全防护，提升自己整体安全水位。据透露，安全基建在阿里新零售事业部已经落地，共发现整改了接近300项的风险，线上宣传触达的人数也超有4万人。阿里安全资深技术专家铁花总结表示，这是一套即插即用的标准化安全架构，可帮助社会各界在数字化进程中构建完整的安全基础设施。

解决了令人头疼的安全建设问题，互联网企业的数字化进程又多了一些前进力量。

其实，回归到文章开头提到的问题：为什么许多企业自己做安全难？核心在于此前很多人或者企业意识较为淡薄，所以投入与了解、经验积累几乎为零。近几年，智能化、数字化发展速度非常快，随着技术应用加深，这些当初较为隐性的问题大面积暴露，令人措手不及，无从适应。不过，法律的细节化，加上商业市场的打开，供需市场会逐渐热闹起来。接下来，对于安全意识的引导，拥有丰富经验的企业有必要作为引路人，从产品层面去推动市场教育。

未来，网络安全的状态需要有所变化。铁花表达了自己的愿景：未来安全不只是协同。希望未来在一个系统新生成的时候，安全就是默认的属性，而不是脱离产品与体系存在。的确，截止到目前，整个安全状态还是以问题出现后再去修补为主，然而这种方式只会令自己处于被动位置。如果有一天，安全能成为一种渗透性的意识。成为各岗位人员的共识，成为系统的伴生属性，那么，恶意攻击事件将难以生存。