Alibaba’s Practice on Data Security Kathy Pan Alibaba Data Economy Research Center Alibaba Research Institute
Data Volume will Reach 44ZB in 2020 中国的数据量将会从2014年的909EB,发展到2020年的8060EB,占比增长至18% 数据来源:IDC 数字宇宙2014
Different View of Data Security 降维攻击 升维思考 如何理解数据安全的升维与降维:伴随着数据流动的加速,数据边界的模糊,数据的在线化与外部性特征,一个企业对数据安全的考量不能只从自己出发,要有全局的考量,站在行业和国家的角度考虑,考虑到国家对于数据安全和主权的考虑也要思考到数据全球化的方向。 在数据安全方面,我们与攻击者之间的战斗还是需要降维攻击,这种降维不仅仅涉及到如何从大量的安全数据(系统、网络,日志数据等)中发现有价值的信息,设立安全策略和规则,以提前对漏洞做出分析,提前进行系统升级,并对安全事件进行提前防御。要把大量收到的数据泄露的问题体现出来的都是比较低级的问题导致的,
Personal Information Leakage is Critical 1673起 7.07亿 58% 53% 数据泄密事故数 数据记录条数 外部攻击 身份盗用 数据来源:《2015年数据泄露指数调查》 全网个人账号泄露超过21亿条,覆盖全网账号的40%以上。 某P2P金融系统日均垃圾账号申请量超过申请总量的50% 某O2O平台活动现金券被刷最高达到70%
Two Key Points of Alibaba Data Protection User Data 用户的隐私数据 用户基本数据 用户偏好数据 用户行为数据 用户地理数据 用户社交 用户财富 …… Ecosystem 淘宝 商品、买家、商家、浏览、交易、服务… 天猫 聚划算 商户、商品、区域、团购、交易、本地服务… B2B/AE/海外B2C 企业商家、商品、企业买家、浏览、交易、服务… 航旅 机票、酒店、交易、团购… 口碑/O2O 外卖,预定商品,商户,买家,交易,搜索,POI 无线 手机淘宝、来往、淘点点、友盟、设备、地理位置… 数字娱乐 阿里游戏、虾米音乐、阿里视频、云OS… 一淘 全网商品、浏览、资讯… 阿里云 服务器、VM、应用、机房、网络、DB、日志… 高德 服务POI、门址库、定位数据、商圈、导航… 站外数据 CNZZ、友盟、UC… ALI DATA Business Data 商家信息 行业、类目、地域交易 商品、商品条形码 物流 ……
Data Protection Depends on Collaboration 组织 流程 技术
Ailibaba’s Data Security Strategy 02 数据安全规范/流程 数据分级定义 基于数据分级及岗位职责的数据权限审批流程 敏感字段传播规范 04 数据安全审计 数据安全策略 05 数据安全意识 -通过数据安全组织、流程制度、技术手段形成数据安全管理的闭环,加强数据访问及权限审批控制,防范批量数据泄露风险以及敏感信息的非授权访问风险。 01 数据安全组织 03 数据安全工具 CRO 建立数据安全执行小组 - 建立数据安全管理团队 - 建立数据安全管理责任制 - 权限/流程管理工具 - 数据分级 - 敏感数据使用的审计系统 - 敏感数据专用通道(脱敏、隔离…)
Alibaba’s Data Security Organization CRO 集团统一 策略层 数据安全 小组 集团统一,BU可选 管理层 部门 经理 数据安全 管理团队 审计评估 控制层 数据 生成方 数据资源 owner 控制点 owner 执行层 员工
Data Security Solution Protects Full Data Lifecycle
Data Security Technology FrameWork 数据使用 用户隐私规则 商秘保护规则 分布式文件(夹)加密 数据脱敏 域/行级加密 磁盘级加密 数据防泄漏 数据管理 数据分类 数据安全等级 数据标签 数据销毁 身份认证 访问控制 身份管理 认证管理 功能授权 行列授权 网络安全 客户端到集群的传输加密 集群内节点(主服务器与数据处理节点) 之间的传输加密 集群内数据节点之间的调度 及数据结果传输加密 安全域 基础安全 日志/审计 终端安全 数据监控 特权用户监控 数据发现:数据查询、转换和分析,允许用户从Hadoop集群中发现相关联的数据,通过挖掘数据发现其潜在价值,以及通过转换数据达到净化和丰富数据的目标;
Deep Defense Solution Ensures Cloud Data Security 阿里云 ODPS ECS SLB RDS OSS 飞天分布式云操作系统 客户应用、数据 接入、网络 平台、数据 运维管理 云与数据安全纵深防御 3副本冗余存储 内存数据清零 磁盘数据清零 访问控制 数据加密 数据安全 操作系统加固 云平台安全 内核防提权 主机入侵防护 漏洞热修复 多租户隔离 网络接入认证 接入、网络安全 传输通道加密 网络平面隔离 VPC隔离 安全组防火墙 运维管理安全 统一账号管理 三权分立 双因素认证 堡垒机 日志审计
Big Data Analytics Promotes Smarter Data Security 恶意IP库,行为库,样本库,安全漏洞库 在业务可用性保障,数据机密性,数据完整性保障,风险管理可视化 云平台的安全系统数据,大数据威胁平台,每天100TB以上的数据。
Data Security Industry Needs Collaboration of Different Roles 数据安全 企业自律 技术创新 标准规范 政策法规
Protecting Data Security is not for Locking Data,but for Data Flowing ,Sharing and More Value ! Co
《互联网+:未来空间无限》,干部学习读本 《互联网+:从IT到DT》,国民必读手册 从信息经济研究到“互联网+” 马 云 曾 鸣 涂子沛 亲笔作序 金建杭 邬贺铨 杨培芳 姚 洋 鼎力推荐 高红冰 院长后记 阿里研究院八年深耕信息经济研究成果 《互联网+:未来空间无限》,干部学习读本 《互联网+:从IT到DT》,国民必读手册 潘永花 Kathy.pyh@Alibaba-inc.com 13601112943