常优 腾讯安全专家

摘要：分享腾讯15年安全运维最佳实践，衍生3+2+n防御体系在行业安全解决方案中的落地，提供威胁追踪、全链路回溯、平台治理能力，助力行业客户完成数字化转型。

网络安全形势是一年比一年严峻。可以看到从外部威胁上来讲黑客的团伙以前是单打独斗方式进行网络供给，现在发展成有组织、有秩序的组织，一直在干非常勾当。

监管机构把网络安全监管越来越严密，包括像国内外的监管机构发布行政上命令，像有些国家企业单位如果有违法的行为，比如网络资产安全损失、安全事故，可能会让国资委基于情节对责任人进行降级或者扣分处理。

欧盟GDPR政策出来以后，但凡一些企业发生严重数据泄露，甚至可以去罚他们的全球营收罚金开出来。

企业的发展也是因为并购带来资产管理的风险，可以看到美国专门做电信Starwood企业去做并购，并购发现两个企业管理理念不同导致安全风险事件发生，导致他们的估价受到损失。

没有网络安全就没有国家安全，是习大大说的。现在来讲，中国对网络安全的关注已经达到前所未有的高度。其中的一个关键节点是2015年习近平担任国家网络安全小组组长，从那个时候开始网络安全市场越来越繁荣，不管是国家企业、互联网企业对于网络安全的重视也是越来越大。

这边我列了中国跟美国的对比，中国跟美国之间是有竞争的，在网络安全里面跟美国有一些对话。从监管力度上讲，美国的《网络安全法》是在2015年发布，中国是2017年6月份发布。中国发布《网络安全法》特别有意思，从发《网络安全法》征求意见稿一直到正儿八经发出立法法律条文出来，总共只用了一年的时间。从法律征集文出来到发布法律只用了一年，这应该是我见到或者是曾经知道发布最快的法律条文。

在2019年5月份公安部发了《网络安全等保标准要求》美国比较激进一些，成立网络安全通讯中心专门职能负责，美国国家安全机构成立了反击网络黑客司令部，像军方的组织去负责未来在美国的网络站。这些不是我瞎说的，在新闻报道里面都能看到。

中国跟美国之间有比较大的不一样的地方，大家对安全的理解和执行是完全不同的。中国在安全服务交付上以网络设备方式交付，有做安全厂商的知道小米以安全盒子方式交付，美国比较开放一些更愿意以安全服务形式交付。

安全预算，之前看中国有一个报道的数据，中国跟美国在IT服务器领域投入是差不多的。中国跟美国两个国家在IT领域的投入是差不多的，大概在千亿美金的体量。中国的安全预算在整个IT总预算里面比例非常小，才2%不到，美国已经达到17.2%水平。

举个简单的例子，中国的政府GOV网站加密覆盖率才不到10%，美国在2015年推行必须得政府网站全加密政策。从2018年来看美国GOV网站加密覆盖率达到85%，加完密之后网络级高的人对数据窃取可能性会降低很多。

美国人非常的狡猾，美国有安全背景的政府部门国土安全局推出了《SOC标准服务》。它不是站在产业的高度，而是站在标准和国家安全的高度，推动美国政府安全情报共享。它可以以国家的力量把安全情报放到一起，再让各个地方的政府接入情报，并且共享情报，把情报用到网络防御的设备上，能够造成防御的效果。

美国在2009年推行“爱因斯坦计划”，“爱因斯坦计划”跟习大大之前说的是类似对标的。不好的地方是脱离原来的思想做大屏幕。美国的“爱因斯坦计划”是做任务，产品有很完整的标准。如果有兴趣，大家可以看美国关于标准，有了标准推行产品和推行方案的时候有迹可循。

国内比较尴尬的是在于大部分的安全防御是糖葫芦串似的。这是典型的各种企业防御方案，所有的设备通过串型方式像糖葫芦一样串起来，终端上有恶意软件识别机制以及资产漏洞扫描机制。这样的方案根本解决不了问题，国内发生各种数据泄露或者是朋友圈经常看到的消息是按照以前的方案做安全防御造成的影响。

腾讯在安全防御体系里边思路跟以前不太一样，首先会强调原生安全。安全不再是像灭火器一样，每个部门或者是安全组件商都会有安全设备，而是把安全顶层设计跟业务揉在一起，成为业务的一部分，像房间里边喷水的消防栓一样。腾讯综合防御体系和网络层、运营层防御能力是非常多的。网络安全员面对攻击或者面对漏洞应急的时候不是单兵作战，而是大家联合在一起，把所有的防御体系以及安全策略流程串在一起。每次有应急的时候大家一块上。

举个前几天RBP（音）漏洞的例子。从腾讯的角度来看，资产流动对腾讯的伤害不是特别大，在资产上都有终身防御的策略，在漏洞横向移动的时候可以把你阻断掉，这是协同防御的理念。原生安全跟系统防御是腾讯专门做安全防御体系里边坚守的思路。

总结了一下，合起来代表了三大能力、两大平台、N个生态。这是3+2+7协同作战防御体系，后面会讲体系是什么样的意思，毕竟是以数据为代表体验出来的话述。这边是防御体系框架，框架从下往上看，我画的比较简单一点，如果真的把腾讯里每个东西画出来，这页都放不下。整体角度来讲提供两个平台，是腾讯统一接入平台和腾讯统一运营平台，这两个平台做安全能力输出，包括像能力协议解析，实时计算的能力和模型编排能力，再配合上腾讯自己有一套专门的云运营平台，里面的读写情报不停的在滚动。

腾讯在防御、监测会有各种各样的产品，产品全都是根据平台的输出能力定位，所有的防御点可以通过统一平台的防御点去进行联动，整体防御体系的框架。腾讯在落地3+2+N架构里面面临很多的挑战，挑战可能是传统的安全厂商没有见过的场景。

第一个，在海量数据的接入上，腾讯作为中国比较顶级的互联网公司，腾讯的网络越来越像运营商网络，有可能从北京网络入口进去不会从北京的网络出口出，而是跑到深圳的网络出口。你异地之间网络流量的汇聚跟计算变成需要面临的重大挑战。现在整个架构落地到腾讯里边，全球50个IDC都覆盖了防御体系。

天幕接入量是100PB里头，国内最顶级流量接入平台。天幕通过峰值计算完成流量集中式计算跟汇聚。看起来已经具备了5K+计算集群处理，大概100PB流量，并且能够在上面跑。

第二个，小概率事件变成常态。腾讯每天会遇到4000次DDoS攻击，1秒之内对DDoS攻击进行自动防御，防御过程是没有人参与的，全都是由机器自动化完成的。

第三个，对漏洞应急上，腾讯资产比较多，大概会有好几十万个服务器。对漏洞应急不再是盲目的打补丁或者盲目的进行程序的升级，而是会通过天幕体系把漏洞防住，再推进防御策略进行升级。

整个天幕需要融入到腾讯的安全架构里边，腾讯有很多不同的团队、不同的公司、不同的业务组成。天幕产品并没有完整的大的框架，而是所有天幕的产品形态只有一个，甚至腾讯内部推行之后让业务方很短时间内搭建针对于自己业务的专门的防御中台出来，这就是腾讯在落地3+2+N框架里边的挑战。以前也试过厂商提供的安全方案里边不能完成的，也是由腾讯自己进行自研做了安全防御体系建设。

面临挑战积累了三大安全能力：（1）计算能力。腾讯网络复杂，已经能够做到跨IDC、地域，双向流量进行检测，并且进行秒级的处理。（2）腾讯有云，让数据汇聚到一起，每天通过大量的数据计算产生全网推讯的情报，代表了独一无二的核心安全能力。（3）腾讯天幕防御体系不是侵害业务的防御，（英）会对你的业务进行倾向，能够进行业务的接入，我们也使用了旁路的方案阻断系统。这是天幕提供的三大安全能力。

天幕还有两大平台，接入平台负责自动化工作，像高速软件自动化处理都是由机器去完成的。平台会负责专案分析，包括云上的虚拟机，考虑到母机去进行勒索。这些都是安全专家在运营平台上针对于专案的分析。

N是最后的东西，生态不光是由腾讯原生的产品作为支撑，也会联合生态的厂商产品，大家共同在生态里边完成安全防御的贡献，这就是腾讯3+2+N防御体系构建。今年也是把方案推向了一些厂商，图其实不是我们画的，而是由金融行业客户按照护网套路把自己防御体系给画出来。天幕也是在里边起到了大脑的作用，所有的云主机、网络主机层、运营层检测类设备全部可以调用天幕提供的防御，能够在护网里边把防御体系纵深以及防御的效果全都给串起来。

客户自己总结了护网应急三板斧：（1）封IP。（2）禁接口，能够让防御面缩小。（3）断网络，断网不提供服务。天幕在平台上能够帮他们完成应急的三板斧。

天幕在全环境下进行集采，在腾讯内部跑了七八年左右，根据腾讯产业互联网战略能够把腾讯天幕向外输出。不管是你的公有云、私有云、混合云、本地IDC进行接入，只是把流量牵引过来之后进行防御，能够针对护网、应急做最佳实践。