“整个亚太区,为保护他们的组织以应对新出现的威胁,网络安全专业人士正面临着不可预测的挑战。”全球最大的信息安全非营利会员组织(ISC)²首席执行官David Shearer,在公布今年亚太区信息安全领袖成就表彰计划获奖者名单时,如是评价。
阿里巴巴集团安全部资深总监黄眉(右二)在(ISC)²2018亚太峰会晚宴上领奖
经过多轮严苛遴选评审,阿里巴巴集团安全部资深总监黄眉凭借2014年以来逐步布局和完善阿里安全体系,乃至对中国互联网企业安全工作作出贡献而获得该表彰。7月9日,黄眉在香港接受了(ISC)²组委会颁奖,这也是迄今中国内地首位来自互联网企业的获奖者。
阿里经验获全球安全行业顶会认可
(ISC)²作为覆盖全球160个国家和地区的信息安全认证机构,会员人数已超过13万,囊括全球顶尖的网络安全从业人员,其每年全球遴选的信息安全领袖成就表彰计划,也是行业顶尖奖项。
阿里安全高级技术专家保杭向记者介绍称,黄眉于2006年加入阿里巴巴,参与了阿里从2009年“双11”至今整个安全体系的构建,担任过2017年“双11”技术总指挥。他带领团队搭建的阿里电商生态安全技术平台,保障了去年“双11”全天无故障、无入侵,在巨量交易场景下,保障了系统的安全平稳过渡。
与会专家认为,黄眉获此奖项,表明行业内最大信息安全组织对阿里巴巴信息安全的实践工作表示了认可。
黄眉介绍,这个奖项背后,其实是阿里巴巴持续的努力:从技术能力、系统思维、标准和人才培养等多维度实践,积极探索安全行业的全球最优解。
首先,阿里安全会借助模式匹配、沙盒分析、专家经验和威胁情报,通过AI人工智能等先进技术,实现端、网、云的全链路日志打点、收集、检测等,有效提升决策准确性;另外,还会通过霸下(七层流量清洗)、MTEE等实现智能化的风险防控和检测以及异常行为的一键处置。
与此同时,阿里安全还建立起了包括阿里猎户座、阿里双子座和阿里米诺斯以及钱盾反诈等八大安全实验室,都旨在提升前沿研究能力,解决安全问题。
阿里安全还注重安全措施的标准化和持续化,实现外规与内规的融合。“今年2月,我们就获得了全国首张集团化电商领域ISO27001 认证,”黄眉介绍说,今年阿里还将通过ISO22301认证和SOC2的服务鉴证。
为提升整个生态的数据保护安全水位,阿里安全沉淀自身实践经验总结出了DSMM(大数据安全成熟度模型),该模型即将成为国家标准(目前已进入报批流程),入围ISO标准体系。
呼吁加大网络安全人才培养
因为安全是持续攻防的过程,所以持续的体系升级和运营至关重要。(ISC)²历来都很看重安全管理人才。黄眉分析称,中国互联网安全领域仍需大量投入,其中就包括关键的人才培养投入。
“当前安全行业的人才净流入仍低于人才净流出,培养一名合格的安全类人才,一般需要至少5年以上,周期非常长,而未来需要有更多其他领域的人才跨界进入安全领域。”黄眉指出,从宏观教育层面,网络安全人才培养的教育体系已经初步形成,但在企业安全人才需求和高校的培养体系间,仍存在一个“鸿沟”,这需要整个安全人才培养体系的升级。
此外,阿里安全实验室还与国内在网络安全方面实力雄厚的著名高校建立了技术与学术研究的合作关系。“阿里有责任帮助业界找到一种更高效的方法,解决安全人才培养问题。”黄眉说。