【观点】

口述：贵州大数据安全工程研究中心主任、阿里巴巴集团首席安全专家杜跃进

整理：鲸朔

5月26日，阿里安全首席安全专家杜跃进在贵阳数博会上讲述DSMM（数据安全能力成熟度模型）在贵阳的实践经验

今天我们谈起数据安全的话题，首先要回答的一个问题就是老百姓到底担心的是什么。

以前的时候，老百姓总是担心说数据拿到一家公司里面，会不会被黑客通过技术手段偷走。那现在确实有很多人在偷，但是今天我们再说老百姓担心的就不光是这个了，因为我们看到很多的已经公开的案例，数据有很多种泄露的方式和途径。

大数据已经喊了这么多年了，但是在很多领域对大数据的应用，包括通过大数据分析研发的新应用、服务，还是很初级的阶段，未来还有非常大的发展空间。但是如果老百姓现在已经对大数据应用觉得很恐慌，已经觉得害怕得不得了了，那后面发展不下去。所以数据安全真正要解决的问题是把老百姓的这些顾虑打消掉，当老百姓不得不选择一个公司和产品，或者当老百姓不得不把自己的数据给到一个公共服务部门的时候，你用什么样的方法来给老百姓足够的“安全感”。

数据安全问题怎么解决？

我首先想到的是，要给老百姓一个选择权：当我不得不把我非常敏感的医疗数据提供出去来换取服务的时候，我发现这家提供服务的机构其实不靠谱，我可以选择不给他；假如有选择的话，我会给另一家更安全的机构。产业界也就会因为一家企业具备更好的数据安全能力，就让这家企业能够处理更多更敏感的数据，而且老百姓更愿意选择我，我就有更多的业务发展机会，这样就能避免“劣币驱逐良币”的情况（安全上面不投入、做得差的企业反而发展得更快）。能够让老百姓感觉安全的东西是什么？我把它叫做数据安全能力成熟度模型（DSMM）。

什么是数据安全能力成熟度模型（DSMM）？

举个例子来说，你说别人有飞机你也有飞机，别人有导弹你也有导弹，听上去很厉害的样子。可是仔细一看，别人是最先进的隐形战机，你只有很老旧的螺旋桨飞机，根本不是一回事。在安全上，你有没有是一回事，你有的东西够不够好是另外一回事，够不够好就是能力成熟度。

在当今这个时代，数据安全的思路跟过去相比已经发生了巨大的变化。还是举例来说，一到大型的会议的时候，会场很重要，外边就会有一道、两道、三道各种安保环节，先说这里很重要，然后再通过各种方式把这个地方保护起来，在这个地方里面的东西和人就都比较安全，这是传统的思路，保护的是会场环境的安全。

但是数字经济时代，这个思路不对了。数据时代你要保护的数据无所不在，没有办法圈起来说这个数据全都放在这个现场里面，别的地方不许放，不存在这个情况。数据可能在小公司里面、小产品、小平台里面，但是一旦泄露或被滥用，给我们造成的危害是一样的，甚至这些地方更容易被坏人得手。

我们很多的精准信息，都是在社会上很小的地方留下来的，你去买个房子买个车、住个酒店，任何一个地方都会产生跟我们息息相关的数据。而这些数据中越是敏感的数据越是无法改变的，你的基因数据、你的医疗档案，无法改变；你的指纹、生物特征无法改变，一旦这些数据被窃取，就很麻烦。所以在数据保护的时候，就没有办法直接用过去那种圈地保护的模式，而是一种新的模式，让每一个企业、组织或者有数据的部门自己先来证明我的数据安全能达到什么样的水平，是米其林三星，还是米其林一星，证明这个之后，企业可以在市场上赢得更多的机会。

这种做法也能转变政府的管理思路。过去做安全，政府会说这家企业你在什么领域很重要，所以在安全上你必须要做到什么什么，但企业通常是往后退的，会说“我不重要，我不重要，你不要管我”，因为说你重要，意味着你的责任和成本都会增大，而你做到了之后，再出事还是要担责任。用能力成熟度的思路来做数据安全治理，则相当于现在政府说，你先证明一下你有多厉害有多好，足够好的话我就让你做更多的事情。

比如，行业主管部门说，你的数据安全是做的足够好，能力承受度足够高的话，你这个领域里边所有的数据你都可以做；另外一家来说，你不够好，你只是米其林一星，对不起，有一些数据你不要碰，这个数据我们认为你这个能力成熟度不够高。

DSMM的成长历程是怎样的？

这套标准的出现跟以前的很多标准是不一样的。以前的一些标准，就是找些人先关起门来想象一下，写一个标准，或者干脆就是找来国外的标准翻译一下修改一下，然后去宣布，大家照这个做，很多标准是不符合实际情况，执行效果也不好的。但DSMM则是先有了丰富和先进的实践经验，然后从中提炼出来的，而且是中国自己的。

马云经常讲阿里巴巴是一家数据公司，很早就提出了“DT时代”的概念，所以阿里巴巴很早就意识到，数据本身的安全对数据公司当然是最重要的。但是后来就发现，只有我们做好是没有用的。假设社会上都失去了信心，你也玩不了了。

但是我们所有人都知道，数据流动才是财富，什么黄金、石油，握在手里是成本，只有流动起来才是财富。怎么样做到这个呢？就必须是整个社会的水平都提高才可以，所以2015年开始我们把我们的做法总结成一套方法，叫DSMM。

2016年这套方法提交到全国信息安全标准化委员会作为研究项目，做了一年的研究。2017年正式立项，同时在这个过程中同步推到国际标准上去。今年的国际标准化组织ISO的会是在中国开的，中国一共上去两个标准，其中一个就是DSMM。

DSMM在国际标准方面能够取得这么快的进展，也是因为我们的实践优势。当我们跟外国人讲说，今天数据安全一定是在我们这么复杂的业务状态下，数据到处流转的时候来做数据安全，这种场景他们见都没有见过，当我们说我们已经在很多很多的不同的大大小小的企业里边已经试过这件事情的时候，那他没有办法来反驳我们。

因此，这套标准虽然是从阿里出来的，但它并不是只适用于阿里。我们已经在十几个行业50多个大大小小的企业里面都试过，我们有信心把它推到别的地方。

对于企业来说，他们自己也很需要。一是他们自己也想知道一下，自己心里也要有个谱，我到底行不行。同时他们也看到这个价值，在未来业务竞争的时候，如果是我用一个可被信赖的科学的方法来证明我比别人好，那我就更有机会。老百姓没有办法简单的来判断一个企业或单位数据安全水平，因为这还是技术性很强的东西，很复杂，所以DSMM这个标准可以帮老百姓来做判断。

DSMM的意义和价值是什么？

第一个价值就是告诉我们整个社会、告诉行业主管、告诉消费者，到底我选择的这个东西靠谱不靠谱。这里要回答的一个问题——中国现在全行业、全社会或者说某个特定行业数据安全的水平到底是什么样子的？有没有人能回答。

我们不知道我们社会的一个安全指标是什么，我们到一个新的地方去老想知道社会环境好不好，你能不能给出这个答案。这个答案如果都给不出来，我们大数据产业就没法搞。我们现在还没有科学的统计数据来回答这个问题，但是按照我们初步的摸底判断，总体情况其实是不好的。这个不好我相信不仅仅是中国这样，而是全世界都这样。

为什么不好？因为现在数据安全和过去很不一样，出现了很多新内涵和新特点。过去的时候，没有全面的适用于今天情况的数据安全评测标准，过去都是说这个楼好不好、安全不安全，这个建筑安全不安全，底层基础架构的安全不安全，现在是上边要看，数据也要看，所以它是一个新的东西出来了。

第二，安全和发展一定是相辅相成的，促进整个安全产业的良性发展。举例来讲，中国现在都在做互联网医疗，这是真正造福百姓的事情。但互联网医疗现在整个行业情况怎样呢，医疗数据比较敏感，数据交给谁才可靠呢？打个比方，如果你能够知道，500家公司有100家公司数据安全基本上合格，有两家公司做得非常好，我们就可以比较放心的把你敏感的数据放进去。我们能不能拿出这样的东西来？如果这个东西拿不出来，政府或者是行业怎么来做大数据的发展？

安全和发展是必须一块儿来搞的，你要对安全有底，安全是为了发展，那你要对安全有底。我们安全产业应该是做的很大的，按照马斯洛模型的话，安全是非常靠底的，倒数第二层，越靠底越说明是强需求，强需求越说明市场空间会非常非常之大。

但是现实是我们的安全做的一直都不大，原因是什么？原因是没有真正的解决用户的问题。在安全的产业发展上面，在数据安全领域是一个非常好的点。现在不是说给别人提供大数据服务的才要给别人证明自己的数据安全，而是他只要用到消费者数据，他就需要向消费者证明他的安全好不好，需要来评估一下自己的安全在什么样的状态，这是一个巨大的安全市场。

DSMM在贵阳的实践经验

其实我们从大概2016年左右就开始在外面推广了，但一开始的时候是我们自己在推广，很多的企业有数据安全的内需他自己也很着急。他们听说我们有这东西，他们就找过来。所以第一阶段是阿里巴巴我们自己在外边推广。

第二阶段，我们和很多别人的合作推广，这个领域里面很多非常敏锐的咨询机构，包括一些国际非常著名的咨询机构，他们很早就看到，这个东西很好。国际知名专家有一次也在一个会议上讲，已有的标准都解决不了这个问题，所以他们跟我们合作，做了第二阶段的推广，其实就试点。

第三阶段的试点，进入到一个非常正式的阶段了，就是在贵阳的实践。为什么选择贵阳呢？我当时觉得说贵州是大数据的一个高地，贵州自己也很重视大数据安全。我印象中是一个周末，给他们发了一个材料之后，贵阳市政府第二天就开始行动，第二周的周二，就开始跟我们对接，然后我们把整个这套东西讲了之后，就在贵阳这边启动合作。

这次也不光是阿里巴巴，我们只是经验的输出方，我们把顶尖的相关力量都联合起来了，包括经验丰富的安全的国家队，例如认证中心、信息技术安全研究中心等；包括专业标准化团队，例如电子技术标准化研究院；包括在安全领域里面有长时间的积累的专业测评团队，例如赛迪；包括学术研究机构，例如中科院软件所、贵阳师范大学，再加上经验丰富的企业，例如阿里云等等，这是一个权威共同体一起开展的试点。

在这种情况下来做试点，贵阳市政府发挥什么作用呢？就是刚才我说那个定位了，作为一个政府，需要向全中国讲清楚，贵阳数据安全到底怎么样？你光靠做一做渗透测试讲不清楚的，还要有一个更好的方法来讲，那他要来讲，也要摸摸底。所以，贵阳市政府首批在贵阳选择了15家企业，有国企、有私企，有典型性的企业代表，对他们做这个数据安全能力成熟度的评估。

做评估这件事情以前都是我们自己的人或者是一些咨询机构的人，但是未来你要想做一个更加规范的做法，还需要有这个领域专业资格的人。所以我们在全国组织第一批的DSMM专业测评师培训，结果响应很踊跃，教室都坐不下，最后就严格筛选后限定120个人，分了两期，经过培训然后进行考试。考试之后，有107个人通过，有了实习测评师的资格。

我们近期把过去50多家企业、14个行业所有的过去试点的情况做了一个详细的分析，分析的目的就是说这个标准在不同的行业试的结果，发现它好不好用，未来要怎么改进。

未来试点测评还会继续进行，会是一个政府和专业机构携手来做的一个事情。这件事如果是做的比较成功了，意义是非常大的。相信在今年，就会产生极其巨大的意义。