信息化觀察網(wǎng)

9月16日—17日，由中國(guó)信息協(xié)會(huì)主辦，信息化觀察網(wǎng)、國(guó)潤(rùn)互聯(lián)信息技術(shù)研究院、中國(guó)信息協(xié)會(huì)傳媒中心承辦的2020第二屆中國(guó)電子政務(wù)安全大會(huì)在北京成功召開(kāi)。騰訊資深安全專家常優(yōu)出席大會(huì)，并帶來(lái)了題為《騰訊網(wǎng)絡(luò)邊界防御安全實(shí)踐》的主題發(fā)言。本文根據(jù)常優(yōu)在2020第二屆中國(guó)電子政務(wù)安全大會(huì)上的演講內(nèi)容整理。

騰訊資深安全專家常優(yōu)

以下是騰訊資深安全專家常優(yōu)的發(fā)言內(nèi)容：

沒(méi)有人敢說(shuō)自己的安全網(wǎng)是百分之百的安全，從互聯(lián)網(wǎng)發(fā)展來(lái)看，黑客攻防手段越來(lái)越高級(jí)，我們的安全防御面積越來(lái)越大，系統(tǒng)時(shí)刻屬于被攻破的狀態(tài)。

對(duì)此，騰訊構(gòu)建了覆蓋網(wǎng)絡(luò)、數(shù)據(jù)、業(yè)務(wù)安全的防護(hù)體系，一方面，依托騰訊定制OS，對(duì)操作系統(tǒng)部署進(jìn)行加固，同時(shí)可以定位到所有機(jī)器上架向架轉(zhuǎn)移變更的情況，保證所有物理機(jī)不管怎么遷移都能找到機(jī)房對(duì)應(yīng)的業(yè)務(wù)團(tuán)隊(duì)。另一方面，依托騰訊私鑰審核的SDL，確保網(wǎng)絡(luò)安全。

邊界防御的重要性不言而喻，不論邊界是物理理的還是虛擬的，或是基于實(shí)體的還是基于身份的，是單層或多層，邊界防御對(duì)騰訊而言永遠(yuǎn)是要做的第一步的工作，只有先做好邊界防御，能夠迅速提升整體企業(yè)安全水位。

另外第二點(diǎn)邊界防護(hù)系統(tǒng)有一個(gè)非常重要的功能，我們能夠?qū)CP協(xié)議層做防護(hù)，讓攻擊者沒(méi)有辦法攻擊。我們整個(gè)的防控系統(tǒng)是部署到所有的IPC邊界，我們利用很多AI技術(shù)，提供非常精準(zhǔn)的防御動(dòng)作。

騰訊邊界防御的系統(tǒng)，其實(shí)是非常古老的技術(shù)，整個(gè)原理就是通過(guò)干擾TCP協(xié)議，把整個(gè)TCP連接在三次握手之前讓他斷掉，黑色部分是正常TCP三次握手連接的過(guò)程，首先是客戶端到服務(wù)器端。服務(wù)器到客戶端的鏈路會(huì)比較長(zhǎng)一點(diǎn)，這個(gè)方式是非常古老的技術(shù)，我們?cè)谶@里面做了很多創(chuàng)新。邊界防護(hù)系統(tǒng)還有一個(gè)非常重要的功能，部署在每個(gè)IDC的網(wǎng)絡(luò)邊界處，旁路路部署，不影響業(yè)務(wù)。不僅實(shí)現(xiàn)了網(wǎng)絡(luò)層TCP協(xié)議的管控，可對(duì)來(lái)訪IP拉黑或加白，并完全由安全團(tuán)隊(duì)控制。同時(shí)，利用AI技術(shù)，統(tǒng)籌全局告警，提供最準(zhǔn)確的防御動(dòng)作。

我們除了做日常防護(hù)之外，也會(huì)對(duì)高危的應(yīng)用做測(cè)試，布到防護(hù)系統(tǒng)里，遇到攻擊后我們就會(huì)體現(xiàn)，在補(bǔ)丁漏洞出來(lái)前進(jìn)行防護(hù)，我們可以盡快的響應(yīng)漏洞。另外我們整個(gè)的防護(hù)系統(tǒng)是純粹的防御系統(tǒng)，不是具體的產(chǎn)品，是我們防御的系統(tǒng)，產(chǎn)品形態(tài)就是VPI。“協(xié)同”是騰訊邊界防御的最大不同，騰訊安全防護(hù)體系建設(shè)經(jīng)過(guò)二十多年的更新迭代，擁有眾多防御手段，應(yīng)對(duì)黑客的各種攻擊。同時(shí)，騰訊設(shè)置了開(kāi)發(fā)系統(tǒng)追責(zé)機(jī)制，能夠在有效的時(shí)間內(nèi)恢復(fù)漏洞。另外防御體系里，我們建成了自己的防護(hù)系統(tǒng)，所有的設(shè)備都可以追溯到，提升公司網(wǎng)絡(luò)安全水位。

從騰訊云的角度出發(fā)，我們作為云服務(wù)提供商需要承擔(dān)廠家的責(zé)任，幫助騰訊云租戶安全治理，凈化云平臺(tái)環(huán)境。識(shí)別用于商業(yè)化VPN“翻墻”的違規(guī)行為，聯(lián)合監(jiān)管機(jī)構(gòu)開(kāi)展通知和監(jiān)督，幫助騰訊云降低監(jiān)管運(yùn)營(yíng)風(fēng)險(xiǎn)。在網(wǎng)安法頒布后，云平臺(tái)依法執(zhí)行監(jiān)管的職責(zé)，對(duì)云主機(jī)被入侵后被用于挖礦及對(duì)外發(fā)起DDoS的行為，快速響應(yīng)。針對(duì)勒索軟件攻擊類的極高危行為，騰訊云會(huì)從平臺(tái)治理的角度對(duì)此類流量進(jìn)行封禁，集中化執(zhí)行安全管理。