12月7-8日，為期兩天的第二屆Real World CTF國際網(wǎng)絡(luò)安全大賽于北京精彩上演?！?a href="http://gzjcsc123.com/">阿里云”和網(wǎng)絡(luò)安全行業(yè)企業(yè)“長亭科技”強強聯(lián)合，舉辦“Real World CTF x阿里云安全挑戰(zhàn)賽”，吸引了業(yè)內(nèi)外高度關(guān)注。

　　阿里云長期以在線公共服務(wù)的方式，為企業(yè)提供安全、可靠的計算服務(wù)。阿里云安全以專業(yè)的安全團隊、領(lǐng)先的技術(shù)及服務(wù)，為云上、云下用戶保駕護航，為推動中國網(wǎng)絡(luò)安全與信息化發(fā)展貢獻技術(shù)力量，并通過提供創(chuàng)新的安全產(chǎn)品與服務(wù)讓用戶輕松享有阿里巴巴同等級的安全能力。

　　肖力，作為阿里云智能安全事業(yè)部總經(jīng)理，也是阿里巴巴首位安全工程師，在企業(yè)安全體系架構(gòu)建設(shè)和云計算安全領(lǐng)域，積累了多年的實踐與管理經(jīng)驗。他對此次安全挑戰(zhàn)賽，對企業(yè)的“云上轉(zhuǎn)型”，以及新時代所需的安全工程師，有自己獨到的認識與見解。

　　安全挑戰(zhàn)賽 直擊真實攻防戰(zhàn)場

　　作為全球范圍內(nèi)首個以云上真實售賣級產(chǎn)品進行安全挑戰(zhàn)的大賽，注定帶來前所未有的安全理念與賽事盛況。此次安全挑戰(zhàn)賽，阿里云拿出云上最核心的三款產(chǎn)品云服務(wù)器、數(shù)據(jù)庫、大數(shù)據(jù)技術(shù)服務(wù)，接受所有廣大“白帽子”挑戰(zhàn)，直接演繹真實環(huán)境的攻防對抗，磨礪極客水平的同時，發(fā)現(xiàn)真實環(huán)境的真實漏洞，真正提升云上安全水位。

　　“真正的高手是在真正的戰(zhàn)場上磨練出來的。在真正的攻防環(huán)境中，安全的成敗很多都是一些細微因素導(dǎo)致的，真正的安全也是通過攻防實戰(zhàn)打造的?！毙ちφJ為，此次拿出真實的云環(huán)境讓安全的愛好者“白帽子”們以攻擊者的視角，來驗證阿里云云產(chǎn)品的安全性和穩(wěn)定性，能有效提高阿里云安全水位，從而可以使用戶享受更安全的云服務(wù)，同時促進云計算產(chǎn)業(yè)的良性運行和健康成長。

　　另一方面，此次安全挑戰(zhàn)賽將真實環(huán)境直接帶進賽場，磨礪了選手真實作戰(zhàn)的水平，是挖掘云安全領(lǐng)域人才、培養(yǎng)云安全研究生力軍的積極嘗試和探索。

　　云原生安全 護航企業(yè)“云上轉(zhuǎn)型”

　　隨著企業(yè)數(shù)字化轉(zhuǎn)型的發(fā)展，全面上云的拐點已至。企業(yè)上云后將帶來基礎(chǔ)設(shè)施云化、核心技術(shù)互聯(lián)網(wǎng)化、應(yīng)用數(shù)據(jù)化和智能化，企業(yè)架構(gòu)正在因云原生技術(shù)紅利而發(fā)生變革。

　　與傳統(tǒng) IT 相比，公共云的安全能力將幫助企業(yè)減少60%的安全事件，有效降低企業(yè)安全風(fēng)險。企業(yè)逐漸意識到數(shù)據(jù)是最寶貴的資產(chǎn)，作為云平臺，阿里云充分滿足用戶需求，為用戶提供了傳輸加密、存儲加密、計算加密一系列完整的解決方案。傳輸加密和存儲加密業(yè)界已有成熟的解決方案，阿里云也通過各種技術(shù)手段為用戶提供了豐富的傳輸加密和存儲加密能力，并且阿里云主流核心產(chǎn)品均支持存儲加密，且密鑰為用戶完全所有，企業(yè)可以做到對自身數(shù)據(jù)完全可控，防止數(shù)據(jù)泄露。從整個數(shù)據(jù)的生命周期來看，被計算時的數(shù)據(jù)是會流動的資產(chǎn)，如何解決數(shù)據(jù)計算時的加密問題一直是業(yè)界難題。阿里云通過在芯片層提供加密計算能力來保障數(shù)據(jù)被計算時依然處于加密狀態(tài)很好的解決了這一問題，目前企業(yè)可以享受阿里云內(nèi)置安全芯片的底層硬件能力，并基于此構(gòu)建可信環(huán)境，從而幫助用戶以簡單、便捷、低成本的方式實現(xiàn)數(shù)據(jù)在云上的全鏈路加密。

　　肖力帶領(lǐng)團隊一直聚焦于幫助中國的企業(yè)和機構(gòu)，解決數(shù)字化轉(zhuǎn)型中所面對的安全痛點。其產(chǎn)品服務(wù)之所以如此便捷，得益于多年來保障全球最大電商平臺安全實戰(zhàn)經(jīng)驗的積累，使其可以充分理解企業(yè)的安全需求和痛點，并借助最新的基于云的技術(shù)架構(gòu)和能力快速解決問題。目前，肖力帶領(lǐng)的安全團隊每天幫助全中國超過40%的網(wǎng)站，為云上上百萬客戶，抵御50億次攻擊。

　　雙11技術(shù)大圖

　　不同于PC時代，企業(yè)上云后，很多之前無法解決的安全問題會因底層架構(gòu)的變化迎刃而解。例如，傳統(tǒng)IDC時代，企業(yè)為解決大流量高并發(fā)式攻擊導(dǎo)致業(yè)務(wù)癱瘓的安全風(fēng)險，要么付出高昂費用購買長期的大的帶寬資源，要么只能“祈禱”不被攻擊，而到云上，由于云廠商帶寬資源的彈性擴容，企業(yè)不需要隨時儲備多余的帶寬，隨用隨取即可，不僅降低了成本，而且抗攻擊能力大大提升。基于云的這種技術(shù)紅利，阿里云致力于將這種默認的安全能力提供給云上每位用戶。肖力表示，"云原生技術(shù)重塑企業(yè)整體架構(gòu)，云原生安全能力也將促使企業(yè)安全體系迎來全新變革。"其認為在未來，100%的企業(yè)會基于云的能力，把安全做得更好。阿里云也將為中國和全球企業(yè)，提供極致安全，實現(xiàn)安全的“云上轉(zhuǎn)型”。

　　乘云之勢 鑄就全棧式安全工程師

　　隨著云的發(fā)展，越來越多的用戶對網(wǎng)絡(luò)安全的訴求提高，這也對安全工程師有了更高的要求。肖力作為阿里云安全團隊的帶頭人，一直關(guān)注著新生力量的挖掘與成長。

　　肖力認為一個優(yōu)秀的安全工程師，應(yīng)具備兩大特質(zhì)，一是興趣，二是全棧的技術(shù)能力。第一大特質(zhì)是興趣驅(qū)動。興趣愛好不同于工作任務(wù)，會具有更多的主動性。若將網(wǎng)絡(luò)安全看作興趣愛好，在發(fā)現(xiàn)漏洞時，將會以主動研究的姿態(tài)著力修復(fù)，而不是等待上級領(lǐng)導(dǎo)的任務(wù)安排。第二個方面，是極強的學(xué)習(xí)能力及綜合性的技能。單一技能已不能滿足整個安全行業(yè)的發(fā)展需求，和對人才的要求。當今時代需要的是涉及多領(lǐng)域的全技術(shù)棧的安全專家。

　　從安全挑戰(zhàn)賽到真實的云環(huán)境安全保障，從當下企業(yè)數(shù)字化轉(zhuǎn)型到未來安全工程師的培養(yǎng)，在虛擬與真實之間，在現(xiàn)今與未來之間，肖力帶領(lǐng)著阿里云安全團隊，一直在追求極致安全環(huán)境的路上，奮勇爭先。