9月16日—17日,由中国信息协会主办,信息化观察网、国润互联信息技术研究院、中国信息协会传媒中心承办的2020第二届中国电子政务安全大会在北京成功召开。腾讯资深安全专家常优出席大会,并带来了题为《腾讯网络边界防御安全实践》的主题发言。本文根据常优在2020第二届中国电子政务安全大会上的演讲内容整理。
腾讯资深安全专家常优
以下是腾讯资深安全专家常优的发言内容:
没有人敢说自己的安全网是百分之百的安全,从互联网发展来看,黑客攻防手段越来越高级,我们的安全防御面积越来越大,系统时刻属于被攻破的状态。
对此,腾讯构建了覆盖网络、数据、业务安全的防护体系,一方面,依托腾讯定制OS,对操作系统部署进行加固,同时可以定位到所有机器上架向架转移变更的情况,保证所有物理机不管怎么迁移都能找到机房对应的业务团队。另一方面,依托腾讯私钥审核的SDL,确保网络安全。
边界防御的重要性不言而喻,不论边界是物理理的还是虚拟的,或是基于实体的还是基于身份的,是单层或多层,边界防御对腾讯而言永远是要做的第一步的工作,只有先做好边界防御,能够迅速提升整体企业安全水位。
另外第二点边界防护系统有一个非常重要的功能,我们能够对TCP协议层做防护,让攻击者没有办法攻击。我们整个的防控系统是部署到所有的IPC边界,我们利用很多AI技术,提供非常精准的防御动作。
腾讯边界防御的系统,其实是非常古老的技术,整个原理就是通过干扰TCP协议,把整个TCP连接在三次握手之前让他断掉,黑色部分是正常TCP三次握手连接的过程,首先是客户端到服务器端。服务器到客户端的链路会比较长一点,这个方式是非常古老的技术,我们在这里面做了很多创新。边界防护系统还有一个非常重要的功能,部署在每个IDC的网络边界处,旁路路部署,不影响业务。不仅实现了网络层TCP协议的管控,可对来访IP拉黑或加白,并完全由安全团队控制。同时,利用AI技术,统筹全局告警,提供最准确的防御动作。
我们除了做日常防护之外,也会对高危的应用做测试,布到防护系统里,遇到攻击后我们就会体现,在补丁漏洞出来前进行防护,我们可以尽快的响应漏洞。另外我们整个的防护系统是纯粹的防御系统,不是具体的产品,是我们防御的系统,产品形态就是VPI。“协同”是腾讯边界防御的最大不同,腾讯安全防护体系建设经过二十多年的更新迭代,拥有众多防御手段,应对黑客的各种攻击。同时,腾讯设置了开发系统追责机制,能够在有效的时间内恢复漏洞。另外防御体系里,我们建成了自己的防护系统,所有的设备都可以追溯到,提升公司网络安全水位。
从腾讯云的角度出发,我们作为云服务提供商需要承担厂家的责任,帮助腾讯云租户安全治理,净化云平台环境。识别用于商业化VPN“翻墙”的违规行为,联合监管机构开展通知和监督,帮助腾讯云降低监管运营风险。在网安法颁布后,云平台依法执行监管的职责,对云主机被入侵后被用于挖矿及对外发起DDoS的行为,快速响应。针对勒索软件攻击类的极高危行为,腾讯云会从平台治理的角度对此类流量进行封禁,集中化执行安全管理。
