【编者按】在一年一度的小微金服（现更名：蚂蚁金服）分享日活动上，大安全产品技术部门的高级总监曹恺，跟大家分享了关于小微金服对于安全边界的理解，以及对于未来安全产品技术发展，小微要怎么样去迎接这样的变化。

前几天，我跟一个做安全的朋友一起聊，我说你们怎么去看互联网的安全？对你来讲，安全最大的问题是什么？我以为他会告诉我关于黑客，或者关于渗透、漏洞、网络攻击，但他跟我讲的是另外一个故事。他说：因为我做B2C，我的竞争对手，包括网络上的黑社会，会特意的把我的货抢拍掉，再恶意退货，让我没货卖给别人。我现在对付他们很麻烦，因为从量刑的角度不足以量刑，但是他让我的生意没办法继续进行下去，这是非常典型的线下的黑社会在想网络上渗透。

现在安全生态的恶化是非常严重的，现实世界和互联网虚拟世界的安全问题变得越来越密不可分。云和移动互联网技术的出现，使传统IDC物理安全边界变得不再可信。以前我们说电脑中病毒把电脑网线拔掉，把电脑锁起来，就安全了。现在不是了，云提供了弹性和资源共享的能力。

未来互联网的安全边界会变得越来越模糊。

正确理解什么是互联网安全

安全是什么？安全的本质或者安全的内涵，我们对安全的理解，随着互联网的业务和传统的经济的渗透结合越来越紧密，对于安全的理解应该有不同的含义。

首先，我个人认为，安全应该是持续的，而不是一时的，入口安全、通路安全应该让位于过程安全。比较早的计算机网络等级体系，网银的安全体系，有个U盾，其实大家不知道，网银的风险比快捷支付、移动支付的风险高的多，最典型的入口和通路安全是现在的POS刷卡，POS有一套非常严密的机制，怎么样保证过程的安全才是真正的安全。

第二，安全应该是动态的，不是静态的。曾经有一个企业的客户问我，找一个最牛的安全专家帮我设计一套系统，这个应该安全了吧。其实它只能解决当时的安全，从动态的角度来看，还是不安全的。为什么这么讲？在几个月前，出现过一个问题，叫心脏流血的故障，我们我做的再安全的系统，如果依赖的基础设施出现了问题，就不安全了。所以，需要去保障安全，我们需要做的是一个系统的体系的保障和预见性的响应。

第三，安全是弹性的。我们以前在网银上面转帐，在PC前做理财，非常大的额度，需要非常严密的保护，让你输几个密码，你都会觉得不烦，输少了还觉得不可靠。安全应该是弹性的，在不同的场景，不同的人，在不同的业务下，应该有不同的安全需求，安全应该做到因人、因时、因地而宜。

第四，安全是相对的。我们认为没有绝对的安全，安全有一个基础，它一定是和业务、和用户体验相辅相成的。要做到和业务、和用户体验的平衡，需要我们很有技巧的去分析不同的因素，业务的发展没有安全就没有存在的意义。

第五，安全是要可感知的，是要用户知道的，而且越来越成为用户体验一个产品、使用一个产品的依据，安全是体验的一部分。支付宝以前做过一个很有意思的调查，关于用户对支付宝品牌认可度的调查，问题有三个：第一，你会不会使用支付宝？第二，你会不会把支付宝推荐给你的朋友？第三，你觉得支付宝安全不安全？结果大多数用户是非常认可支付宝的，但有一两个反例，我们做完这个调查以后，通过电话联系了这个客户，问为什么觉得支付宝不安全？用户的回答很有意思，他说支付宝没有柜台，出了问题没地方去闹。听了以后，我们也不知道说什么，只能说我们的宣传没做好。从这个角度来看，中国老百姓的安全感的确是很差。几年前我在深圳待过，走在街上包都是放在前面的，放在后面怕人偷，中国老百姓缺乏安全感是有实质的社会基础。

第六，安全是综合的，信息安全就是学科。但现在安全是一种综合的跨领域的学术，包括信息安全、系统安全、网络安全，当然也包括风险控制的各种理论，还包括心理学、社会工程学，所以，培养一个安全专家非常难，搭建一套安全体系成本非常高。如果大家有好的安全专家，可以推荐给我们。

分享