常優(yōu) 騰訊安全專家

　　網(wǎng)絡(luò)安全形勢是一年比一年嚴(yán)峻。可以看到從外部威脅上來講黑客的團伙以前是單打獨斗方式進行網(wǎng)絡(luò)供給，現(xiàn)在發(fā)展成有組織、有秩序的組織，一直在干非常勾當(dāng)。

　　監(jiān)管機構(gòu)把網(wǎng)絡(luò)安全監(jiān)管越來越嚴(yán)密，包括像國內(nèi)外的監(jiān)管機構(gòu)發(fā)布行政上命令，像有些國家企業(yè)單位如果有違法的行為，比如網(wǎng)絡(luò)資產(chǎn)安全損失、安全事故，可能會讓國資委基于情節(jié)對責(zé)任人進行降級或者扣分處理。

　　歐盟GDPR政策出來以后，但凡一些企業(yè)發(fā)生嚴(yán)重數(shù)據(jù)泄露，甚至可以去罰他們的全球營收罰金開出來。

　　企業(yè)的發(fā)展也是因為并購帶來資產(chǎn)管理的風(fēng)險，可以看到美國專門做電信Starwood企業(yè)去做并購，并購發(fā)現(xiàn)兩個企業(yè)管理理念不同導(dǎo)致安全風(fēng)險事件發(fā)生，導(dǎo)致他們的估價受到損失。

　　沒有網(wǎng)絡(luò)安全就沒有國家安全，是習(xí)大大說的?，F(xiàn)在來講，中國對網(wǎng)絡(luò)安全的關(guān)注已經(jīng)達到前所未有的高度。其中的一個關(guān)鍵節(jié)點是2015年習(xí)近平擔(dān)任國家網(wǎng)絡(luò)安全小組組長，從那個時候開始網(wǎng)絡(luò)安全市場越來越繁榮，不管是國家企業(yè)、互聯(lián)網(wǎng)企業(yè)對于網(wǎng)絡(luò)安全的重視也是越來越大。

　　這邊我列了中國跟美國的對比，中國跟美國之間是有競爭的，在網(wǎng)絡(luò)安全里面跟美國有一些對話。從監(jiān)管力度上講，美國的《網(wǎng)絡(luò)安全法》是在2015年發(fā)布，中國是2017年6月份發(fā)布。中國發(fā)布《網(wǎng)絡(luò)安全法》特別有意思，從發(fā)《網(wǎng)絡(luò)安全法》征求意見稿一直到正兒八經(jīng)發(fā)出立法法律條文出來，總共只用了一年的時間。從法律征集文出來到發(fā)布法律只用了一年，這應(yīng)該是我見到或者是曾經(jīng)知道發(fā)布最快的法律條文。

　　在2019年5月份公安部發(fā)了《網(wǎng)絡(luò)安全等保標(biāo)準(zhǔn)要求》美國比較激進一些，成立網(wǎng)絡(luò)安全通訊中心專門職能負責(zé)，美國國家安全機構(gòu)成立了反擊網(wǎng)絡(luò)黑客司令部，像軍方的組織去負責(zé)未來在美國的網(wǎng)絡(luò)站。這些不是我瞎說的，在新聞報道里面都能看到。

　　中國跟美國之間有比較大的不一樣的地方，大家對安全的理解和執(zhí)行是完全不同的。中國在安全服務(wù)交付上以網(wǎng)絡(luò)設(shè)備方式交付，有做安全廠商的知道小米以安全盒子方式交付，美國比較開放一些更愿意以安全服務(wù)形式交付。

　　安全預(yù)算，之前看中國有一個報道的數(shù)據(jù)，中國跟美國在IT服務(wù)器領(lǐng)域投入是差不多的。中國跟美國兩個國家在IT領(lǐng)域的投入是差不多的，大概在千億美金的體量。中國的安全預(yù)算在整個IT總預(yù)算里面比例非常小，才2%不到，美國已經(jīng)達到17.2%水平。

　　舉個簡單的例子，中國的政府GOV網(wǎng)站加密覆蓋率才不到10%，美國在2015年推行必須得政府網(wǎng)站全加密政策。從2018年來看美國GOV網(wǎng)站加密覆蓋率達到85%，加完密之后網(wǎng)絡(luò)級高的人對數(shù)據(jù)竊取可能性會降低很多。

　　美國人非常的狡猾，美國有安全背景的政府部門國土安全局推出了《SOC標(biāo)準(zhǔn)服務(wù)》。它不是站在產(chǎn)業(yè)的高度，而是站在標(biāo)準(zhǔn)和國家安全的高度，推動美國政府安全情報共享。它可以以國家的力量把安全情報放到一起，再讓各個地方的政府接入情報，并且共享情報，把情報用到網(wǎng)絡(luò)防御的設(shè)備上，能夠造成防御的效果。

　　美國在2009年推行“愛因斯坦計劃”，“愛因斯坦計劃”跟習(xí)大大之前說的是類似對標(biāo)的。不好的地方是脫離原來的思想做大屏幕。美國的“愛因斯坦計劃”是做任務(wù)，產(chǎn)品有很完整的標(biāo)準(zhǔn)。如果有興趣，大家可以看美國關(guān)于標(biāo)準(zhǔn)，有了標(biāo)準(zhǔn)推行產(chǎn)品和推行方案的時候有跡可循。

　　國內(nèi)比較尷尬的是在于大部分的安全防御是糖葫蘆串似的。這是典型的各種企業(yè)防御方案，所有的設(shè)備通過串型方式像糖葫蘆一樣串起來，終端上有惡意軟件識別機制以及資產(chǎn)漏洞掃描機制。這樣的方案根本解決不了問題，國內(nèi)發(fā)生各種數(shù)據(jù)泄露或者是朋友圈經(jīng)?？吹降南⑹前凑找郧暗姆桨缸霭踩烙斐傻挠绊?。

　　騰訊在安全防御體系里邊思路跟以前不太一樣，首先會強調(diào)原生安全。安全不再是像滅火器一樣，每個部門或者是安全組件商都會有安全設(shè)備，而是把安全頂層設(shè)計跟業(yè)務(wù)揉在一起，成為業(yè)務(wù)的一部分，像房間里邊噴水的消防栓一樣。騰訊綜合防御體系和網(wǎng)絡(luò)層、運營層防御能力是非常多的。網(wǎng)絡(luò)安全員面對攻擊或者面對漏洞應(yīng)急的時候不是單兵作戰(zhàn)，而是大家聯(lián)合在一起，把所有的防御體系以及安全策略流程串在一起。每次有應(yīng)急的時候大家一塊上。

　　舉個前幾天RBP（音）漏洞的例子。從騰訊的角度來看，資產(chǎn)流動對騰訊的傷害不是特別大，在資產(chǎn)上都有終身防御的策略，在漏洞橫向移動的時候可以把你阻斷掉，這是協(xié)同防御的理念。原生安全跟系統(tǒng)防御是騰訊專門做安全防御體系里邊堅守的思路。

　　總結(jié)了一下，合起來代表了三大能力、兩大平臺、N個生態(tài)。這是3+2+7協(xié)同作戰(zhàn)防御體系，后面會講體系是什么樣的意思，畢竟是以數(shù)據(jù)為代表體驗出來的話述。這邊是防御體系框架，框架從下往上看，我畫的比較簡單一點，如果真的把騰訊里每個東西畫出來，這頁都放不下。整體角度來講提供兩個平臺，是騰訊統(tǒng)一接入平臺和騰訊統(tǒng)一運營平臺，這兩個平臺做安全能力輸出，包括像能力協(xié)議解析，實時計算的能力和模型編排能力，再配合上騰訊自己有一套專門的云運營平臺，里面的讀寫情報不停的在滾動。

　　騰訊在防御、監(jiān)測會有各種各樣的產(chǎn)品，產(chǎn)品全都是根據(jù)平臺的輸出能力定位，所有的防御點可以通過統(tǒng)一平臺的防御點去進行聯(lián)動，整體防御體系的框架。騰訊在落地3+2+N架構(gòu)里面面臨很多的挑戰(zhàn)，挑戰(zhàn)可能是傳統(tǒng)的安全廠商沒有見過的場景。

　　第一個，在海量數(shù)據(jù)的接入上，騰訊作為中國比較頂級的互聯(lián)網(wǎng)公司，騰訊的網(wǎng)絡(luò)越來越像運營商網(wǎng)絡(luò)，有可能從北京網(wǎng)絡(luò)入口進去不會從北京的網(wǎng)絡(luò)出口出，而是跑到深圳的網(wǎng)絡(luò)出口。你異地之間網(wǎng)絡(luò)流量的匯聚跟計算變成需要面臨的重大挑戰(zhàn)。現(xiàn)在整個架構(gòu)落地到騰訊里邊，全球50個IDC都覆蓋了防御體系。

　　天幕接入量是100PB里頭，國內(nèi)最頂級流量接入平臺。天幕通過峰值計算完成流量集中式計算跟匯聚?？雌饋硪呀?jīng)具備了5K+計算集群處理，大概100PB流量，并且能夠在上面跑。

　　第二個，小概率事件變成常態(tài)。騰訊每天會遇到4000次DDoS攻擊，1秒之內(nèi)對DDoS攻擊進行自動防御，防御過程是沒有人參與的，全都是由機器自動化完成的。

　　第三個，對漏洞應(yīng)急上，騰訊資產(chǎn)比較多，大概會有好幾十萬個服務(wù)器。對漏洞應(yīng)急不再是盲目的打補丁或者盲目的進行程序的升級，而是會通過天幕體系把漏洞防住，再推進防御策略進行升級。

　　整個天幕需要融入到騰訊的安全架構(gòu)里邊，騰訊有很多不同的團隊、不同的公司、不同的業(yè)務(wù)組成。天幕產(chǎn)品并沒有完整的大的框架，而是所有天幕的產(chǎn)品形態(tài)只有一個，甚至騰訊內(nèi)部推行之后讓業(yè)務(wù)方很短時間內(nèi)搭建針對于自己業(yè)務(wù)的專門的防御中臺出來，這就是騰訊在落地3+2+N框架里邊的挑戰(zhàn)。以前也試過廠商提供的安全方案里邊不能完成的，也是由騰訊自己進行自研做了安全防御體系建設(shè)。

　　面臨挑戰(zhàn)積累了三大安全能力：（1）計算能力。騰訊網(wǎng)絡(luò)復(fù)雜，已經(jīng)能夠做到跨IDC、地域，雙向流量進行檢測，并且進行秒級的處理。（2）騰訊有云，讓數(shù)據(jù)匯聚到一起，每天通過大量的數(shù)據(jù)計算產(chǎn)生全網(wǎng)推訊的情報，代表了獨一無二的核心安全能力。（3）騰訊天幕防御體系不是侵害業(yè)務(wù)的防御，（英）會對你的業(yè)務(wù)進行傾向，能夠進行業(yè)務(wù)的接入，我們也使用了旁路的方案阻斷系統(tǒng)。這是天幕提供的三大安全能力。

　　天幕還有兩大平臺，接入平臺負責(zé)自動化工作，像高速軟件自動化處理都是由機器去完成的。平臺會負責(zé)專案分析，包括云上的虛擬機，考慮到母機去進行勒索。這些都是安全專家在運營平臺上針對于專案的分析。

　　N是最后的東西，生態(tài)不光是由騰訊原生的產(chǎn)品作為支撐，也會聯(lián)合生態(tài)的廠商產(chǎn)品，大家共同在生態(tài)里邊完成安全防御的貢獻，這就是騰訊3+2+N防御體系構(gòu)建。今年也是把方案推向了一些廠商，圖其實不是我們畫的，而是由金融行業(yè)客戶按照護網(wǎng)套路把自己防御體系給畫出來。天幕也是在里邊起到了大腦的作用，所有的云主機、網(wǎng)絡(luò)主機層、運營層檢測類設(shè)備全部可以調(diào)用天幕提供的防御，能夠在護網(wǎng)里邊把防御體系縱深以及防御的效果全都給串起來。

　　客戶自己總結(jié)了護網(wǎng)應(yīng)急三板斧：（1）封IP。（2）禁接口，能夠讓防御面縮小。（3）斷網(wǎng)絡(luò)，斷網(wǎng)不提供服務(wù)。天幕在平臺上能夠幫他們完成應(yīng)急的三板斧。

　　天幕在全環(huán)境下進行集采，在騰訊內(nèi)部跑了七八年左右，根據(jù)騰訊產(chǎn)業(yè)互聯(lián)網(wǎng)戰(zhàn)略能夠把騰訊天幕向外輸出。不管是你的公有云、私有云、混合云、本地IDC進行接入，只是把流量牽引過來之后進行防御，能夠針對護網(wǎng)、應(yīng)急做最佳實踐。