安全平行切面 ：面向企业数字生命体的安全基础设施 韦 韬 等 热点专题 中兴通讯技术 2022 年 12 月 第 28 卷第 6 期 Dec . 2022 Vol . 28 No. 6安全平行切面 ：面向企业数字 生命体的安全基础设施 Aspect-Oriented Security : Security Infrastructure for Enterprises as Digital Lifeforms 韦韬/WEI Tao ，顾为群 /GU Weiqun ，刘宇江 /LIU Yujiang （ 蚂蚁集团 ，中国 杭州 310013 ） (Ant Group , Hangzhou 310013 , China )DOI：10.12142 /ZTETJ .202206011 网络出版地 址：https://kns.cnki.net/kcms/detail// 34.1228.TN.20221209 .1058.003.html 网络出版日期 ：2022 -12-10 收稿日期 ：2022 -10-16 摘要 ：现代数字化企业是一种不断演变进化的生命体 。它的架构复杂性会爆炸性增长 ，不断引入的外部数字化产品服务和行业技术体系演化 ， 会推动其形成内部数字化基因的代差积累 。为了应对严峻的网络安全攻击威胁 ，符合严格的数据安全合规要求 ，保障企业数字生命体的健康发 展，现代企业安全基础设施必须更加适应这种动态复杂性 。阐述了安全平行切面 ，其核心思路是把安全能力融入企业基础设施中并与业务解耦 ， 使安全能力深入业务逻辑 ，同时实现双方的独立高速发展 ，在更高维度上实现持续的动态安全防护 。 关键词 ：安全平行切面 ；内生安全 ；原生安全 ；企业安全架构 ；企业数字生命体 Abstrac t:A modern digital enterprise is a living organism that is constantly evolving . The complexity of its architecture will grow explosively , and the continuous introduction of external digital products and services and the evolution of industrial technologies will promote the accu ⁃ mulation of internal digital genes . In order to deal with severe threats of network security attacks , comply with strict data security compli ⁃ ance requirements , and ensure the healthy development of enterprise digital lifeforms , modern enterprise security infrastructure must be more adaptable to this dynamic complexity . The aspect-oriented security is described . The core idea is to integrate security capabilities into enterprise infrastructure and decouple them from business , so that security capabilities can penetrate into business logic , and at the same time both parties can achieve independent and rapid development , and ensure continuous dynamic security in a higher dimension . Keywords :aspect-oriented security ; endogenous security ; security-native ; enterprise security architecture ; enterprise as digital lifeforms 随着“十四五 ”规划的发布 ，中国正式提出 “加快建设 数字经济 、数字社会 、数字政府 ，以数字化转型整体 驱动生产方式 、生活方式和治理方式变革 ”的发展目标 。这 标志着中国 “加快数字化发展 ，建设数字中国 ”的目标正式 启航 。习近平总书记指出 ，没有网络安全就没有国家安全 ， 就没有经济社会稳定运行 ，广大人民群众利益也难以得到保 障。当今世界 ，以互联网为代表的新兴技术日新月异 ，对人 类社会的发展进程产生深刻影响 。同时 ，网络安全问题也相 伴而生 。世界范围内的个人隐私侵犯 、知识产权侵犯 、网络 犯罪等时有发生 ，网络监听 、网络攻击 、网络恐怖主义活动 等成为全球公害 。网络安全已经成为中国面临的最复杂 、最 现实 、最严峻的非传统安全问题之一 。网络安全是经济与社 会发展的基础保障 。如何通过创新架构 、创新理念和创新技 术等方式突破现有困境 ，成为当前网络和信息安全建设的重 要工作 。 安全架构是网络和信息安全建设成果的重要体现 。虽然近几年零信任 、纵深防御 、网络安全滑动标尺等安全架构和 理念相继产生 ，但并没有根本性地改变安全建设与业务发展 之间的生产关系 ：长期以来 ，安全架构建设由安全团队独立 完成 ，被认为与企业架构及企业经营业务流程相对独立 ；因 为安全架构需要建立在企业架构相关可用信息之上 ，所以安 全架构建设常常滞后于企业架构的动态演进 。经历数字化转 型后的企业架构就像复杂的企业数字生命体 （以下简称数字 生命体 ）一样 ，会为了适应竞争环境而不断 “进化 ” 。每一 次进化都可能会给安全架构带来巨大冲击 。静态安全架构无 法适应企业架构的动态变化 ，最终导致传统架构下的安全能 力无法动态贴近业务 ，应对更深层的复杂性安全风险 。面对 数字生命体的不断进化 ，本文尝试将数字生命体与 “人类复 杂有机体 ” （以下简称有机体 ）进行比较 ，思考安全架构建 设的困境与愿景 ，探究数字生命体在进化过程中 ，如何通过 创新技术来实现安全架构与企业架构的常态化融合 ，并保持 安全架构的一致性 、连续性 、低侵入性 、有效性 、稳定性和 63安全平行切面 ：面向企业数字生命体的安全基础设施 韦 韬 等 热点专题 中兴通讯技术 2022 年 12 月 第 28 卷第 6 期 Dec . 2022 Vol . 28 No. 6友好性 。 数字生命体中众多面向公网开放的互联网业务就像有机 体的呼吸系统一样 。当前开源软件的大规模引用和软件供应 链安全威胁的加剧 ，使得类似新冠病毒这样的未知 0day攻 击日趋常态化 ，并通过 “呼吸系统 ”感染数字生命体内部 。 结合外部风险态势和蚂蚁集团自身的安全需求 ，我们看到 ： 随着业务复杂度的提升 ，已有的安全架构建设及单点安全能 力显得力不从心 ，在面对内外部环境时不断爆出漏洞 ，在对 抗、溯源 、治理方面仍面临巨大挑战 。因此 ，蚂蚁集团对安 全理念和安全架构进行了全面升级 。其中 ，安全平行切面与 平行舱是安全理念和架构的具体体现 。安全平行切面是中国 在国际安全领域首创的创新安全理念及技术 。 1 安全建设的困境与愿景 据统计 ，2022 年网络与信息安全产业共包含 94个细分 安全领域[1]，比2021 年增加 7个。近几年 ，安全产业细分领 域的快速增加在某种程度上表明 ，企业架构和业务逻辑复杂 性的急剧增加也不断催生新的安全需求 。为满足前期业务快 速发展的需求 ，安全能力大多采用外挂式的架构模型保障业 务发展 。这种外挂式安全架构的部署成本和对业务的侵入性 都较低 ，所以被各类企业所接受 。但是在高强度对抗与复杂 治理场景下 ，外挂式安全架构的业务效果受限于可观测能 力，已经无法满足更深层次的对抗和治理需求 。例如 ，在数 据安全治理领域 ，过往对抗和治理的对象往往是内部结构化 数据的非法泄漏风险 。但如今数据已成为生产要素 ，数据要 素的流动会潜藏数据非授权共享 、个人隐私泄漏 、敏感数据 违规扩散等重大经营风险 。企业不仅仅要在边界层查看数据 流出的一跳链路 ，更需要将整条数据传输链路及传输内容进 行精细化审计和实质性管控 。外挂式安全架构在高强度对抗 与复杂治理场景下已显得力不从心 。 随着网络安全 、数据安全 、个人隐私保护等监管要求的 加强 ，安全能力与业务逻辑相融合所产生的价值愈发凸显 ， 但彼此融合后又面临严峻挑战 ：融合升级后的安全防护效果 优于外挂式安全架构 ，但在对抗方面基本无法发挥作用 。其 中，融合的形式包括安全团队为满足防护需求而开发的各种 软件开发工具包 （SDK） ，以及需要与中间件深度集成的安 全组件 。受限于业务方的研发集成 、发布和升级等工作 ，安 全与业务相互间制约着各自的发展 。例如 ，安全团队需要小 时级甚至分钟级的止血响应 ，而大型业务团队经常面临着十 几个版本的碎片化测试和稳定性灰度上线压力 ，无法满足安 全应急要求 ；更有甚者 ，安全团队辛苦推动各基础设施和应