安全平行切面改變了網安產品技術架構，將引發行業變革

“安全平行切面是為數不多由中國人研發、能夠在國際舞臺上正面競爭的網路安全理念和方法論，它或將引發網路安全行業的一場重大變革。”

在CNCC 2023“可信切面，構築數字免疫屏障論壇”上，賽博英傑創始人、CCF理事、副秘書長、CCF YOCSEF秘書長譚曉生如此斷言。

「安全平行切面」到底是一個什麼技術？它擁有怎樣的魔力，使得業界最頂尖的專家給予如此高的評價？

該體系理念在2019年首次由螞蟻集團副總裁、首席技術安全官韋韜提出，那時這個“新生兒“尚未經過錘鍊和驗證，知道她的人並不多。

據韋韜介紹，安全平行切面透過切面、切點、平行艙等手段將安全可信的管控能力動態部署到目標系統執行空間內部，它能夠實現對系統內部的資料自由觀測，從而推動安全智慧和管控效能的跨越式提升。切面技術的應用可以在資料安全治理等方面提供近十倍的效能提升，而在高危漏洞爆發等重大網路災害應急方面能提供百倍以上的效能提升。

2021年“雙十二”購物節期間，轟動全球的Log4j2漏洞爆發，螞蟻憑藉安全平行切面體系頂住了超40萬次網路攻擊，零誤攔、零漏攔完成了“雙十二”安全保障工作，對比之前對FastJson高危漏洞的響應，安全平行切面將Log4j2的應急人力效能提升了兩百倍。不僅如此，在高度移動化的業務形態中，移動安全切面對支付寶APP上的三方SDK和超過300萬小程式進行了安全監測和管控，每天進行超4.5億次線上隱私合規和安全風險檢測。移動端安全切面還透過共建專案支援了淘寶、高德地圖等APP的安全治理，幫助其發現多個線上潛在安全漏洞、隱私合規風險，有效地保護了使用者權益。

安全平行切面在此一役中獲得了很好的驗證和成功，這也大大增強了她的“父親”韋韜的信心，他認為，是時候讓她在這個行業中歷練了。2021年12月24日，螞蟻集團與資訊產業資訊保安測評中心釋出了《安全平行切面白皮書》1.0版本，安全平行切面正式開始出現在行業視野之中。

《安全平行切面白皮書》1.0版本

韋韜認為，只靠螞蟻集團的力量無法讓安全平行切面獲得更廣闊的前景，在後續的2年多實踐中，螞蟻集團內部的安全技術人才不斷鑽研，持續利用切面技術在網路安全的痛點和重點領域做出突破。與此同時，2023年7月17日安全平行切面聯盟正式成立，首批14個成員單位、5家技術授權單位，涵蓋行動通訊運營商、電商、金融、數字地圖、網路安全、新型研發機構等領域，其中４家企業是世界５００強，形成了實力強勁的聯盟團隊。

聯盟成立後，對外持續釋出了諸多運用切面技術獲得的實踐突破，並在2023切面聯盟首次Meetup活動中展示了在技術風險域與質量自動化建設方面運用切面技術獲得的最新業務突破，例如：

案例1

在資金支付類業務穩定性保障場景下的技術突破：RDATA切面流量應用已完成2000+應用、20萬容器的全量部署，並實現1分鐘內完成千萬級流量採集，有效支撐了資金核對、環境底盤、質量領域、流量錄製回放、可觀測、安全等領域的觀測需求，在20+細分業務場景中輔助業務取得了突破性的進展，透過全鏈路流量統一採集，實現資金支付業務的穩定性、交易準確性和可靠性三重保障。

案例2

在質量監控建設的技術突破：BKLIGHT切面質控應用已覆蓋線上1200+應用，為1500+研發同學提供異常場景構造服務，日均可達萬級、累計千萬級的異常構造，實現累計上億次的冪等檢查、攔截超百個冪等問題，曾獲得螞蟻集團內部殊榮”魯班獎“。透過基於切面底座的全鏈路異常測試，顯著提高測試效率和準確性，精確定位問題，並持續進行質量監控。

2023年10月26日第二十屆中國計算機大會（CNCC2023）召開，大會首日將安全平行切面作為重點話題，設立了“可信切面，構築數字免疫屏障論壇”（以下簡稱論壇），網路安全命運的齒輪再一次因安全平行切面而旋轉。

在論壇上，螞蟻集團與IDC聯合釋出了《安全平行切面白皮書2.0》，白皮書明確定義：安全平行切面的核心思想是將程式語言環境下的Aspect-oriented Programming (AOP面向切面程式設計)推廣應用到安全架構建設中，構建與業務正交融合的安全橫切面，在不修改業務邏輯的情況下，透過橫切面上的切點將安全能力系統化地融入到業務內部。（掃描文末二維碼或點選文章左下角閱讀原文下載完整版白皮書.pdf）

IDC在白皮書中對安全平行切面發表了較高評價：安全平行切面是支撐未來企業安全架構的重要技術方向，也是提升安全防護水平的全新方法體系。其重構了安全與業務的協同關係，讓安全真正融入到業務本身，實現業務行為的可知、可見、可控。因此，安全平行切面有望為網路安全、資料安全、個人資訊保護等領域帶來跨越式變革。

“跨越式變革”這五個字評價極高，在論壇上，各位網路安全大咖對安全平行切面的觀點印證了這個評價。

中國計算機學會（CCF）理事、副秘書長、CCF YOCSEF秘書長、北京賽博英傑科技有限公司創始人、正奇學苑網路安全創業營創始人譚曉生在致辭中直言：“我是安全平行切面的一個大粉絲”。

他說：過去我向很多創業者推薦過安全平行切面，並不是因為韋韜是我的好友。我是寫程式碼出身，大學畢業以來做過新華書店的圖書系統，也做過郵電、運營商專案，使用者業務邏輯的複雜性和技術實現架構之間的衝突是那二十年裡我們面臨過最大的痛苦。後來我開始負責360的安全系統，像360這樣的網際網路公司，防火牆、IDS根本無法滿足其業務的複雜性和極高的安全要求，只能自己養一批安全開發人員來做貼近自己業務的安全防禦。所以在我從業網路安全這個領域以來，總結出了網路安全的2大主要難解問題：一是使用者環境複雜性問題，二是安全與業務耦合的問題。

“在過去三十多年從業經驗裡，我一直都在努力地尋找一個能解決這兩大問題的技術架構和業務邏輯解耦的方法，直到聽韋韜講了安全平行切面的概念，看了相關的資料，我覺得這是一個挺好的思路。網路安全行業一直以來都在投入和效果之間尋找一個最佳平衡點，安全平行切面是一個很好的方式，韋韜建立了安全平行切面聯盟，並把自己的程式碼分享給了大家，降低了業界採用安全平行切面的複雜度，在學術和產業兩個角度都非常有價值。安全平行切面是由中國人研發、為數不多的能夠在國際舞臺上正面競爭的網路安全理念和方法論，它或將引發網路安全行業的一場重大變革。”

長江學者，中國科學技術大學公共事務學院教授、網路空間安全學院教授、科技人文高等研究院副院長左曉棟帶來了《對網路安全體系架構的思考》。

左曉棟認為，網路安全需要創新，但創新要符合網路安全的本質，所謂“經典永流傳”。所以研究可信切面和數字免疫相關的話題之前，需要去了解和思考什麼才是網路安全體系結構，儘管這個話題實際上可能並不存在絕對的標準答案。左曉棟被譽為中國網路安全領域的“語文課代表”，他對國內外網路安全長篇大論、晦澀以及抽象的法律法規、標準、要求生動地解讀與梳理，一直極大的幫助著網路安全的從業者和學者。

論壇上，他從對ISO 7498、ISO/IEC 10181、《中華人民共和國網路安全法》、網路安全等級保護相關要求與條例、TCSEC（美國國防部可信計算機評價準則）、NIST SP 800-33：IT安全基礎技術模型、ITSEC（歐洲資訊科技安全性評價準則）、CC（國際通用準則）、中國國家標準GB/T 18336等不同國家的法律、文獻、標準的解讀中，帶領大家一同去思考和認識網路安全架構的本質到底是什麼。

左曉棟指出，GB/T 18336《資訊保安 資訊科技安全評估準則》是目前的國標，並且在不斷更新和修訂。18336國標最初參考了歐洲ITSEC，裡面提到了一個重大概念叫做“安全執行功能”，指為了實現IT系統或產品的保密性、完整性、可用性要求而實施的一系列技術性安全措施。而什麼是可信？只有安全機制是不夠的，必須要有保障，“保障”意味著要對安全執行功能以及這些功能的有效性有信心。也就是說，一個裝置，只有安全功能，做得再好也不一定能滿足你真正的安全需求，所以真正的可信和信任，是對安全功能正確性以及有效性的信任，這是可信最經典的定義，是安全最初的本質。

螞蟻集團副總裁、首席技術安全官、安全平行切面創始人韋韜在論壇中釋出了《安全平行切面白皮書2.0》，白皮書中清楚介紹了安全平行切面的原理、解釋、核心能力、特徵、優勢以及應用價值和場景，他沒有在現場贅述以上內容，而是從“道”的角度讓我們更加深入地瞭解了安全平行切面的靈魂。

韋韜指出，在網路安全領域和空間之內，絕對的安全是無法追求到的，所以在商業的角度上，網路安全不能不計代價，一定要考慮投入產出，商業環境的安全是需要度量的。在我們的想象空間中，安全並非是一道不可逾越的牆，而是一場博弈，攻擊者要付出多大成本、克服多大不確定性、承擔怎樣的後果才能破壞你的安全體系，這個“難度”才是我們在做的安全工作。

韋韜說，安全體系裡面非常顯著的一個特點就是不確定性。隨著時代的演進，網路空間系統也在不斷演進，就像星空一樣。從人類自古至今對星空的研究，我們發現探知事物的本源包括宏觀層面和微觀層面，今天我想和大家多探討一下微觀層面。在網路安全都有哪些問題是微觀層面的問題呢？例如訪問控制，訪問控制的原生安全正規化裡又可以微觀到OVTP可溯正規化（策略層）、NbSP零越正規化（機制層）。我們可以看到微觀的重要性：關鍵細節決定成敗。

“沒有絕對的安全，但我們見過太多因一個細節的疏忽就導致整體安全失敗的慘痛案例。很多以前在架構層面安全考慮不到位的地方，一旦應用開始鋪開後，即使付出巨大代價也不一定能扳回來。所以安全架構設計正是這樣，需要在頂層思考充分，才能支撐關鍵細節不會塌方”。

韋韜隨後詳細的闡述了從原生安全正規化的微觀視角，重新審視著名的網路安全體系架構，如縱深防禦、零信任、Moving Target Defense和密碼學應用體系，闡述各自的架構理想並分析現實的困難與挑戰，特別從OVTP可溯正規化與NbSP零越正規化兩個角度分析現存的優勢與劣勢。繼而展示瞭如何應用安全平行切面來彌補現有安全體系架構的缺陷，並推動數字化企業向“可見可信 可控可戰”的下一代安全體系架構演進。

IDC全球安全研究總監Cathy Huang從分析師的角度，提出了在全球網路安全新變化下，安全平行切面的優勢與價值。

她指出，IDC數字顯示，有51%的企業已經成為了數字化企業，這代表了一個里程碑。數字化轉型的商業價值體現在數字化技術圖景實現了改善客戶體驗、業務運營、供應鏈等場景的動作。未來企業會擴大對數字化轉型的投資規模，而伴隨數字化業務發展，企業面臨更多的網路安全威脅。據IDC調查，“網路安全威脅與合規”是2022-2024 CEO認為最能影響業務的挑戰；受到過勒索軟體攻擊、影響系統訪問並支付贖金的企業比例越來越大，且企業平均支付的贖金金額達到百萬級別。IDC資料顯示，在全球範圍內安全風險和合規已連續三年居於企業支出重點TOP3中。

她說：“我們看到了整個全球（無論是美國、歐洲還是中國）都在努力把安全能力和業務進行更好的匹配，這讓我們關注到安全平行切面的價值。” 她介紹到，安全平行切面的三大應用價值包括：

能力優勢：重構安全與業務的協同關係、讓安全真正融入到業務本身，將安全影響力推進至業務系統的深層空間；

效率優勢：體現了安全能力共享化、資源化的發展趨勢。透過對切面和切點的構建，全面融入應用業務邏輯，具備敏捷化防禦、實施便利等規模化效率優勢；

成本優勢：從全域性運營視角，極大縮減研發成本、運維成本、運營成本以及行業綜合成本。

平安集團首席安全總監陳建站在企業的角度介紹了安全平行切面如何護航企業資訊保安建設。他表示，傳統的外掛式和內嵌式安全，已經無法適應業務的複雜性和快速增長了，過去傳統的內嵌安全希望把安全能力和業務融合在一起，出發點是好的，但實際上在企業真正運作的時候帶來了很大挑戰。比如過去的內嵌安全需要和業務高度耦合、高度關聯，實際上對業務邏輯的影響是比較大的，安全人員的投入也很大；另一個角度來說，當業務需求和安全需求發生衝突的時候，往往安全需求需要讓步，依然會帶來安全上的風險。

陳建說，螞蟻提出來的安全切面方案讓安全有了自己的底座，這個底座就是AOP，這種面向切面程式設計的模式，是可以獨立於業務應用系統之間的，切面既緊密作用於應用系統，又與應用系統解耦，它的解耦性又能讓安全元件始終保持獨立化發展迭代。有了這種底層的架構就可以對業務應用系統進行觀測和干預，透過對資料獲取以後進一步行為的判斷，甚至可以做阻斷，這時候我們安全再要達到這些企業內安全保障目的就相對比較容易。

劉新凱是深圳紅途科技有限公司創始人，加入了安全平行切面聯盟之後，紅途科技運用可信切面在資料安全領域實現了實踐應用。他指出，使用者在資料安全領域正在面臨的幾大挑戰包括資料的準確性（例如資料打標及分級分類）、資料的完整性、資料的實時性、資料與業務的關聯性、資料的系統性。而對於資料安全的提供者來說，我們需要應對不斷提升的業務複雜度、業務的快速變化、資料邊界的不斷擴充、基礎架構和程式呼叫的高複雜度，還有需要協調的人員眾多等壓力和挑戰。

劉新凱說，紅途科技提出“想要做好資料安全，一定要基於全鏈路的資料觀測能力”，而平行切面能夠帶來的一個重要能力之一正是觀測能力。在紅途基於資料觀測能力建設新一代資料安全的過程中，我們認為運用切面技術一個比較好的點是在應用側進行安裝，不涉及開發過程，也和資料無關，所以在整個上線過程中可以做到非常快速，如果大家在環境中已經使用了純微服務架構，啟動速度會非常快，可以在秒級就可以把大規模叢集起來實施部署的能力。劉新凱說：“希望我們基於可信切面形成的資料安全觀測底盤，可以對整個資料安全管理提供更有的價值的服務，也希望能夠給大家減少更多的工作量，實現更多的業務價值！”

關於安全平行切面的精彩話題還有很多，請原諒筆者無法在一篇文章之中盡數其詳，CNCC2023 “可信切面，構築數字免疫屏障”論壇直至結束依然座無虛席，也許是因為在場的每一個人都感受到了來自安全平行切面的力量，感受到了研發者們的熱血，感受到了未來即將帶來的各種激動人心的可能性。

我們將持續關注安全平行切面的發展，也許變革已經開始，正在一點一滴的進行時當中，你我都是其中的一員。

《安全平行切面白皮書2.0》

瀏覽器掃碼下載