谈谈数据安全

　　近期有两个很熟的卖家跟我提到同一个事情——黑客。余杭一个卖箱包的哥们，买了一台服务器放在办公室，上面跑财务软件，但是有一天被黑客攻击了，连开机密码都被改了，这哥们欲哭无泪。上海一个卖女装的哥们，自己做的CRM系统被人黑了，用户信息被骗子拿到，有个客户被骗了几千块钱。他们都有一个共同的疑问，数据放在哪里是安全的?

　　其实互联网上没有绝对安全的净土，但有些网站是相对安全的，例如万能的淘宝网，绝对不会把你的密码明文存放在数据库里面，淘宝也招安的一大批安全方面的专家，让他们来帮助我们抵挡攻击。曾经有一段时间我们经常收到美国黑客的“光顾”，后来他们知道攻不下我们了，也跟我们的安全专家变成了熟人，再过来的时候，我们就叫“How old are you?”——怎么老是你。

　　有了这样的保障还是不能完全屏蔽安全的问题，例如会有人说，聚石塔里面开放了很多数据，这些数据第三方开发者拿到之后，会不会对我造成威胁?这是一个好问题，能想到这个问题的人肯定是有些水平的。那淘宝怎么应对这样一个问题呢?有一些手段。第一个手段就是聚石塔是一个内部授信的系统，它部署在阿里巴巴的机房里面，应用之间走的是内网通道，数据的交互和传输都是在我们的地盘完成的，不去外边玩儿，当然不会泄露出去。第二个就是第三方开发者的信息备案，你要来我这里玩儿，请遵守我们的游戏规则，你做的事情只能在许可的范围内，一旦我发现你把数据往外边搬了，那我们也会把你往外边搬，绝不客气。如果你用这些数据做一些不法勾当，我们有法务专家伺候你。第三个有人会担心数据会不会消失，这个用备份的手段就可以搞定了，一条数据，我们给你存了多份，即便是杭州的机房被外星人攻击了，我们的异地机房里面也有你的数据，随时给你恢复正常。

　　当然这些担心也是我们自找的，假设我们不把数据开放出去，也不会有这些担心了。但是不开放的话，用户只能在淘宝后台管理自己的商品和会员，每天有一千条交易就管不过来了，这时淘宝就会成为一个瓶颈。但是如果我们把数据开放到公网的话，用户可以做更多的操作了，网络安全又面临严峻的考验。所以我们是万不得已才采用了云计算的平台来做这个生态圈，数据开放，但只能开放到我们的云朵上，淘宝、卖家和第三方开发者都在这个平台上玩，又安全，又稳定，又有这么多宝贝一样的数据，大家好才是真的好。

　　另外也说说互联网本来就是让数据更透明了，凡是能在网页上显示的内容，其实都有人能够批量获取到，例如“XX通”这个一个工具，它会通过扫描网页来给用户提供信息，你在淘宝网、外站、甚至你的办公网络的数据都可能被人扫描到。相比较而言，聚石塔实在是一个保险箱了。

　　聚石塔，聚的是各种宝石，镇的是各路妖魔。