TMT观察网_独特视角观察TMT行业

【觀點】 

　　口述：貴州大數據安全工程研究中心主任、阿里巴巴集團首席安全專家杜躍進 

　　整理：鯨朔 

5月26日，阿里安全首席安全專家杜躍進在貴陽數博會上講述DSMM（數據安全能力成熟度模型）在貴陽的實踐經驗 

　　今天我們談起數據安全的話題，首先要回答的一個問題就是老百姓到底擔心的是什么。 

　　以前的時候，老百姓總是擔心說數據拿到一家公司里面，會不會被黑客通過技術手段偷走。那現在確實有很多人在偷，但是今天我們再說老百姓擔心的就不光是這個了，因為我們看到很多的已經公開的案例，數據有很多種泄露的方式和途徑。

　　大數據已經喊了這么多年了，但是在很多領域對大數據的應用，包括通過大數據分析研發的新應用、服務，還是很初級的階段，未來還有非常大的發展空間。但是如果老百姓現在已經對大數據應用覺得很恐慌，已經覺得害怕得不得了了，那后面發展不下去。所以數據安全真正要解決的問題是把老百姓的這些顧慮打消掉，當老百姓不得不選擇一個公司和產品，或者當老百姓不得不把自己的數據給到一個公共服務部門的時候，你用什么樣的方法來給老百姓足夠的“安全感”。 

　　數據安全問題怎么解決？ 

　　我首先想到的是，要給老百姓一個選擇權：當我不得不把我非常敏感的醫療數據提供出去來換取服務的時候，我發現這家提供服務的機構其實不靠譜，我可以選擇不給他；假如有選擇的話，我會給另一家更安全的機構。產業界也就會因為一家企業具備更好的數據安全能力，就讓這家企業能夠處理更多更敏感的數據，而且老百姓更愿意選擇我，我就有更多的業務發展機會，這樣就能避免 “劣幣驅逐良幣”的情況（安全上面不投入、做得差的企業反而發展得更快）。能夠讓老百姓感覺安全的東西是什么？我把它叫做數據安全能力成熟度模型（DSMM）。 

　　什么是數據安全能力成熟度模型（DSMM）？ 

　　舉個例子來說，你說別人有飛機你也有飛機，別人有導彈你也有導彈，聽上去很厲害的樣子。可是仔細一看，別人是最先進的隱形戰機，你只有很老舊的螺旋槳飛機，根本不是一回事。在安全上，你有沒有是一回事，你有的東西夠不夠好是另外一回事，夠不夠好就是能力成熟度。 

　　在當今這個時代，數據安全的思路跟過去相比已經發生了巨大的變化。還是舉例來說，一到大型的會議的時候，會場很重要，外邊就會有一道、兩道、三道各種安保環節，先說這里很重要，然后再通過各種方式把這個地方保護起來，在這個地方里面的東西和人就都比較安全，這是傳統的思路，保護的是會場環境的安全。 

　　但是數字經濟時代，這個思路不對了。數據時代你要保護的數據無所不在，沒有辦法圈起來說這個數據全都放在這個現場里面，別的地方不許放，不存在這個情況。數據可能在小公司里面、小產品、小平臺里面，但是一旦泄露或被濫用，給我們造成的危害是一樣的，甚至這些地方更容易被壞人得手。 

　　我們很多的精準信息，都是在社會上很小的地方留下來的，你去買個房子買個車、住個酒店，任何一個地方都會產生跟我們息息相關的數據。而這些數據中越是敏感的數據越是無法改變的，你的基因數據、你的醫療檔案，無法改變；你的指紋、生物特征無法改變，一旦這些數據被竊取，就很麻煩。所以在數據保護的時候，就沒有辦法直接用過去那種圈地保護的模式，而是一種新的模式，讓每一個企業、組織或者有數據的部門自己先來證明我的數據安全能達到什么樣的水平，是米其林三星，還是米其林一星，證明這個之后，企業可以在市場上贏得更多的機會。 

　　這種做法也能轉變政府的管理思路。過去做安全，政府會說這家企業你在什么領域很重要，所以在安全上你必須要做到什么什么，但企業通常是往后退的，會說“我不重要，我不重要，你不要管我”，因為說你重要，意味著你的責任和成本都會增大，而你做到了之后，再出事還是要擔責任。用能力成熟度的思路來做數據安全治理，則相當于現在政府說，你先證明一下你有多厲害有多好，足夠好的話我就讓你做更多的事情。 

　　比如，行業主管部門說，你的數據安全是做的足夠好，能力承受度足夠高的話，你這個領域里邊所有的數據你都可以做；另外一家來說，你不夠好，你只是米其林一星，對不起，有一些數據你不要碰，這個數據我們認為你這個能力成熟度不夠高。 

　　DSMM的成長歷程是怎樣的？ 

　　這套標準的出現跟以前的很多標準是不一樣的。以前的一些標準，就是找些人先關起門來想象一下，寫一個標準，或者干脆就是找來國外的標準翻譯一下修改一下，然后去宣布，大家照這個做，很多標準是不符合實際情況，執行效果也不好的。但DSMM則是先有了豐富和先進的實踐經驗，然后從中提煉出來的，而且是中國自己的。 

　　馬云經常講阿里巴巴是一家數據公司，很早就提出了“DT時代”的概念，所以阿里巴巴很早就意識到，數據本身的安全對數據公司當然是最重要的。但是后來就發現，只有我們做好是沒有用的。假設社會上都失去了信心，你也玩不了了。 

　　但是我們所有人都知道，數據流動才是財富，什么黃金、石油，握在手里是成本，只有流動起來才是財富。怎么樣做到這個呢？就必須是整個社會的水平都提高才可以，所以2015年開始我們把我們的做法總結成一套方法，叫DSMM。 

　　2016年這套方法提交到全國信息安全標準化委員會作為研究項目，做了一年的研究。2017年正式立項，同時在這個過程中同步推到國際標準上去。今年的國際標準化組織ISO的會是在中國開的，中國一共上去兩個標準，其中一個就是DSMM。 

　　DSMM在國際標準方面能夠取得這么快的進展，也是因為我們的實踐優勢。當我們跟外國人講說，今天數據安全一定是在我們這么復雜的業務狀態下，數據到處流轉的時候來做數據安全，這種場景他們見都沒有見過，當我們說我們已經在很多很多的不同的大大小小的企業里邊已經試過這件事情的時候，那他沒有辦法來反駁我們。 

　　因此，這套標準雖然是從阿里出來的，但它并不是只適用于阿里。我們已經在十幾個行業50多個大大小小的企業里面都試過，我們有信心把它推到別的地方。 

　　對于企業來說，他們自己也很需要。一是他們自己也想知道一下，自己心里也要有個譜，我到底行不行。同時他們也看到這個價值，在未來業務競爭的時候，如果是我用一個可被信賴的科學的方法來證明我比別人好，那我就更有機會。老百姓沒有辦法簡單的來判斷一個企業或單位數據安全水平，因為這還是技術性很強的東西，很復雜，所以DSMM這個標準可以幫老百姓來做判斷。 

　　DSMM的意義和價值是什么？ 

　　第一個價值就是告訴我們整個社會、告訴行業主管、告訴消費者，到底我選擇的這個東西靠譜不靠譜。這里要回答的一個問題——中國現在全行業、全社會或者說某個特定行業數據安全的水平到底是什么樣子的？有沒有人能回答。 

　　我們不知道我們社會的一個安全指標是什么，我們到一個新的地方去老想知道社會環境好不好，你能不能給出這個答案。這個答案如果都給不出來，我們大數據產業就沒法搞。我們現在還沒有科學的統計數據來回答這個問題，但是按照我們初步的摸底判斷，總體情況其實是不好的。這個不好我相信不僅僅是中國這樣，而是全世界都這樣。 

　　為什么不好？因為現在數據安全和過去很不一樣，出現了很多新內涵和新特點。過去的時候，沒有全面的適用于今天情況的數據安全評測標準，過去都是說這個樓好不好、安全不安全，這個建筑安全不安全，底層基礎架構的安全不安全，現在是上邊要看，數據也要看，所以它是一個新的東西出來了。 

　　第二，安全和發展一定是相輔相成的，促進整個安全產業的良性發展。舉例來講，中國現在都在做互聯網醫療，這是真正造福百姓的事情。但互聯網醫療現在整個行業情況怎樣呢，醫療數據比較敏感，數據交給誰才可靠呢？打個比方，如果你能夠知道，500家公司有100家公司數據安全基本上合格，有兩家公司做得非常好，我們就可以比較放心的把你敏感的數據放進去。我們能不能拿出這樣的東西來？如果這個東西拿不出來，政府或者是行業怎么來做大數據的發展？ 

　　安全和發展是必須一塊兒來搞的，你要對安全有底，安全是為了發展，那你要對安全有底。我們安全產業應該是做的很大的，按照馬斯洛模型的話，安全是非常靠底的，倒數第二層，越靠底越說明是強需求，強需求越說明市場空間會非常非常之大。 

　　但是現實是我們的安全做的一直都不大，原因是什么？原因是沒有真正的解決用戶的問題。在安全的產業發展上面，在數據安全領域是一個非常好的點。現在不是說給別人提供大數據服務的才要給別人證明自己的數據安全，而是他只要用到消費者數據，他就需要向消費者證明他的安全好不好，需要來評估一下自己的安全在什么樣的狀態，這是一個巨大的安全市場。 

　　DSMM在貴陽的實踐經驗 

　　其實我們從大概2016年左右就開始在外面推廣了，但一開始的時候是我們自己在推廣，很多的企業有數據安全的內需他自己也很著急。他們聽說我們有這東西，他們就找過來。所以第一階段是阿里巴巴我們自己在外邊推廣。 

　　第二階段，我們和很多別人的合作推廣，這個領域里面很多非常敏銳的咨詢機構，包括一些國際非常著名的咨詢機構，他們很早就看到，這個東西很好。國際知名專家有一次也在一個會議上講，已有的標準都解決不了這個問題，所以他們跟我們合作，做了第二階段的推廣，其實就試點。 

　　第三階段的試點，進入到一個非常正式的階段了，就是在貴陽的實踐。為什么選擇貴陽呢？我當時覺得說貴州是大數據的一個高地，貴州自己也很重視大數據安全。我印象中是一個周末，給他們發了一個材料之后，貴陽市政府第二天就開始行動，第二周的周二，就開始跟我們對接，然后我們把整個這套東西講了之后，就在貴陽這邊啟動合作。 

　　這次也不光是阿里巴巴，我們只是經驗的輸出方，我們把頂尖的相關力量都聯合起來了，包括經驗豐富的安全的國家隊，例如認證中心、信息技術安全研究中心等；包括專業標準化團隊，例如電子技術標準化研究院；包括在安全領域里面有長時間的積累的專業測評團隊，例如賽迪；包括學術研究機構，例如中科院軟件所、貴陽師范大學，再加上經驗豐富的企業，例如阿里云等等，這是一個權威共同體一起開展的試點。 

　　在這種情況下來做試點，貴陽市政府發揮什么作用呢？就是剛才我說那個定位了，作為一個政府，需要向全中國講清楚，貴陽數據安全到底怎么樣？你光靠做一做滲透測試講不清楚的，還要有一個更好的方法來講，那他要來講，也要摸摸底。所以，貴陽市政府首批在貴陽選擇了15家企業，有國企、有私企，有典型性的企業代表，對他們做這個數據安全能力成熟度的評估。 

　　做評估這件事情以前都是我們自己的人或者是一些咨詢機構的人，但是未來你要想做一個更加規范的做法，還需要有這個領域專業資格的人。所以我們在全國組織第一批的DSMM專業測評師培訓，結果響應很踴躍，教室都坐不下，最后就嚴格篩選后限定120個人，分了兩期，經過培訓然后進行考試。考試之后，有107個人通過，有了實習測評師的資格。 

　　我們近期把過去50多家企業、14個行業所有的過去試點的情況做了一個詳細的分析，分析的目的就是說這個標準在不同的行業試的結果，發現它好不好用，未來要怎么改進。 

　　未來試點測評還會繼續進行，會是一個政府和專業機構攜手來做的一個事情。這件事如果是做的比較成功了，意義是非常大的。相信在今年，就會產生極其巨大的意義。