6月11-12日,2019腾讯安全国际技术峰会(TenSec)在上海举行。本次峰会由腾讯安全、腾讯安全科恩实验室、腾讯安全平台部联合主办,腾讯安全学院联合主办,邀请国内外安全专家参加云计算、物联网、人工智能等领域。我们讨论了企业安全建设等安全问题。腾讯安全平台部研发安全团队负责人马松松分享了腾讯企业研发安全建设,并介绍了腾讯内部安全工程“五深防”体系。腾讯安全平台部门负责人杨勇在峰会上表示:“工业互联网时代,安防行业进入了一个真正的深水区,这需要安防从业者拥有更多的跨国知识,才能面对更广阔的攻击面和更多的行业。但是安全性是在所有0之前的,而写这一个的方式也越来越复杂,需要全社会的参与,企业也需要承担起责任。”
腾讯安全平台部门负责人杨勇表示,基于安全管理规范和流程构建的安全工程体系,结合腾讯10多年的安全研发经验,腾讯的安全研发从认知、组织、技术四个方面进行。它致力于构建一个控制的,互锁的自动化系统层,以确保安全工程系统得到实施。Massongsong表示,IT大师的总体印象是“孤独英雄”类型,这确实值得称赞,但全面保护需要工程化的系统能力,最大限度地减少人的参与,否则无法与大企业相匹配,尤其是在业务规模增长之后,单靠人类是不可持续的。结合腾讯在安全平台部门十多年的安全建设经验,介绍了内部安全工程的“五深防御”体系。
腾讯安全平台部门将负责网络安全(宙斯盾DDoS防护、DNS劫持监控)、应用安全(洞穴犀牛网络风险监控、金刚终端风险监控、门神网络攻击防护、源安全扫描等)、主机安全构建五个自动化深度防御系统,具有(洋葱反入侵系统,基线监控),数据安全(合规监控,票证)和多维增强能力(基本数据,威胁分析等),以实现控制层。但Masongsong也承认,理想的工程系统在企业实际落地的过程中,往往会遇到安全价值感知、安全业务平衡、安全投资保障等问题。从工程系统到企业特定的安全建设实践,还有很长的路要走。认可是前提,组织是保证,技术是核心,遵守是信念,Massongsong说,认可是企业安全建设的前提,也是企业必须付出的代价。在认识到安全性的重要性的同时,我们也需要认识到,完全消除风险是不可能的,更重要的是企业在安全方面投入了什么,以及取得了什么样的成果。
腾讯安全平台部门研发安全团队负责人Massongsong希望建立一个良好的企业安全体系,需要一个自上而下的组织架构。马松松比喻地说,组织结构“不仅能上天堂,还能知道痛苦,而且有利害关系”。许多国家已经开始制定法律,以增加利益,中国通过了《网络安全法》,并引入了新的《数据安全管理办法(征求意见稿)》。这意味着政府一级对组织保护的关注日益增加。技术是企业安全建设的核心,特别是基础数据的重要性不应被忽视。企业安全的研发需要不断的关注、评估和追求新的技术手段,但安全建设并不是“一次,一招一招”,而是要弄清楚什么是炒作,什么是真正的能力,需要持续运营,多个能力的权衡。他还表示,未来的发展方向是赋予开发者权力,给研发者足够的支持,未来的安全解决方案将更加贴近开发者。最后,Massongsong先生还谈到了遵守在企业安全建设中的重要性。安全建设是一项乏味的长期持续投资,需要长期深化和遵守人员和货物。随着工业互联网进程的加快,企业安全建设的紧迫性随着工业互联网进程的加快,越来越多的传统行业面临着数字化转型,这不仅给企业的发展带来了机遇,也给企业安全建设带来了挑战和风险。一方面,在工业互联网时代,云、管、端都暴露了攻击的入口,数据传输、设备连接、软件供应链等多条链联动,每一个环节都可能成为黑客攻击的目标。另一方面,我们面临的敌人不再是个别黑客,而是分工,完善成熟的黑人产业链。在这种情况下,企业的组织安全建设势在必行。工业互联网时代可以预见,行业将迎来数字化转型和发展,但安全是发展的基石,企业如何做安全建设也越来越复杂,需要全社会参与,而腾讯作为国内最大的互联网企业之一,肩负起社会责任。腾讯安全平台事业部作为腾讯企业内部安全重点团队,已经将腾讯自身安全最佳实践开放了十多年,逐步向腾讯云开放安全功能,成为行业互联时代的数字安全助手。