5G發展走入快車道，帶動IoT（物聯網）快速發展，將為消費、交通運輸、生產製造、教育、醫療等各方面的數字化改造提供資訊互聯的硬核技術支援。在數字經濟發展的機遇下，一邊是海量增加的的數字化基礎裝置，一方面是可能存在的應用風險，安全如何保障？

業內專家指出，在數字基建的安全保障方面，目前整個安全行業還沒有衡量安全技術能力的“尺子”。

昨日，阿里安全資深安全專家杭特在接受媒體採訪時提到，目前很多安全從業者專注於各類破解賽、奪旗賽、廠商漏洞貢獻排行榜等活動，這固然能衡量一些公司或個人的水平，但距離形成可沉澱的安全技術能力還不可相提並論，“這些比賽成績不能真正作為衡量核心安全技術能力的那把‘尺子’。”

杭特建議，整個安全行業須從源頭建立安全“標尺”，對核心安全技術進行定義和評級，讓核心技術能力可沉澱、可複製、可度量，尤其要發展那些高效自動化的核心安全技術，從源頭推動數字經濟整體安全水位的提升。

“人肉戰術”無法解決海量威脅

物聯網裝置數量將達到千億甚至萬億級，從x86的windows/linux/mac、arm的iOS/Android，再到各種體系結構的感測器及自研軟硬體系統，各類系統的差異性很大。諸多差異的物聯網裝置系統被成千上萬安全能力不高的開發者，依靠大量複用開源軟體供應鏈和少量自研軟體創造出來，面臨著潛在安全威脅。

一是開發過程的安全難以保障，再者系統差異性大，安全研究人員面對紛雜的系統，要想研究其安全，依靠手工分析，安全成本和運營成本都相當高。

杭特介紹，這些系統的安全短板並不在硬核的高技巧漏洞（10分），而是不起眼的低階漏洞（3-6分），但低階漏洞並不意味著能被快速、低成本發現。他與安全從業者交流時，常遇到有人說“我們團隊有XX個國際頂級白帽黑客，屢獲大獎的那種，搞定這些小漏洞還不是很輕鬆”，但把那些五花八門的物件列表和具體裝置推到對方面前，“比賽專家”卻屢屢陷入沉默。他們的心裡話一般是“這些以前沒弄過，學習需要成本，數量還那麼多”。而黑客卻能因運氣或者專一，順利突破這些系統。

不是安全人員挖不出有用的漏洞，而是人肉挖掘在規模化物件面前，天花板太低、成本太高。同樣，個人能力再強，面對海量的裝置，個人的力量仍是渺小的，這也是杭特強調當前奪旗賽、破解賽、漏洞貢獻排行榜並不能真正衡量安全技術能力，無法作為安全技術“標尺”，真正解決實際安全問題的原因。

因此，他建議，保障數字經濟的安全，迫切需要建立一套明晰的安全“標尺”，尤其要發展高效自動化的核心技術，應對海量安全威脅。

滴滴出行安全專家楊軍鋒對該建議表示認同。他指出，大部分企業面對的都是沒什麼技術含量的攻擊，高階攻擊佔比可能不到5%，低端威脅造成高昂的運營成本，自動化技術絕對是出路。

打造“標尺” 發展核心安全技術

要想建立安全技術的“標尺”，首先要解決的是對“核心安全技術”的定義。杭特曾心痛地揭開網路安全行業的“怪現象”：網路安全行業現在看起來欣欣向榮，但關鍵性技術能力積累卻不容樂觀，有的奉行拿來主義，有的靠人肉運維，有的靠蹭流行技術熱點，有的在產品上做面子工程。

如何評判出真正的核心安全技術？他提出，核心技術必須可沉澱、可複製、可度量。

因此，靈光一現的技術不算核心技術。這類技術只能算一種技巧，一旦公開會被迅速複製，缺乏競爭門檻。除非能在某個領域積累數十上百個的“發現”，且這些發現能被“保密”很久。

不能應用於廣泛目標的安全技術也不是核心技術。如果應用目標非常狹窄，一旦目標消失，則該技術將無用武之地。而且，要區分“技術領先”究竟是因為提前佔領了賽道，關注的人較少，還是真正具有技術含量。

不能規模化、自動化的技術不是核心技術。杭特提出，單純靠人力無法解決未來的海量威脅，攻防技術頂尖的“人才”，如果能把能力固化到“有你沒你區別不大”，那麼沉澱出來的技術才是核心技術。

不能數值化衡量的技術也不是核心技術。他認為，這代表著技術演進的方向和進度，是安全技術領域不能繁榮發展的根本原因。核心技術一般都需要大量資源和時間來積累，能力的提升需要在數值上看到與最終目標“差距的縮小”。

杭特建議，必須依靠產、學、研聯動，圈定方向，制定核心安全技術“尺子”。只有有了技術“尺子”，才可以明晰工業界核心技術的演進方向。很多核心技術是工業界的痛點，但這些痛點學界未必清楚。

通過“尺子”可以讓產學研在核心技術方向、相應的挑戰上達成共識，便於形成合力發展。“尺子”還可以統一產、學、研的溝通語言及交付標準。“尺子”即交付驗收的標準指標，避免合作過程中“雞同鴨講”，一方提業務指標，一方提技術指標。

圖示：以安全細分技術模糊測試Fuzzing的“尺子”為例，不同的列代表不同的技術層級，等級越高，難度越大。level1最簡單，level10最困難，不同行代表不同的細分技術挑戰。

今年3月，阿里釋出數字基建的新一代安全架構，核心理念就是從源頭構築安全，確保數字經濟實體在建設之初就執行在較高安全基線上。

數字經濟才剛剛開始，5G+萬物互聯時代可見的安全風險只是冰山一角，對安全技術的挑戰會越來越大。杭特認為，如果業界在安全核心技術上不夠清醒，對“可沉澱、可複製、可度量”的能力投入不夠，無論繼續主搞“人肉戰術”，未來無論是應對風險管控還是可能的網路戰，我們都無法交出令人滿意的答卷。

“當我們的尺子造好，核心技術發展好，安全新基建的原子能力將進一步放大，通過乘法效應將安全業務提升到更高的水位，真正保衛數字經濟。”他強調道。