背景：5月23-24日，以“煥啟”為主題的騰訊“云+未來”峰會再廣州召開，廣東省各級政府機構領導、海內外業內學術專家、合作伙伴及行業大咖悉數到場，共話云計算與行業數字化新發展。

騰訊企業IT部安全運營中心總監蔡晨，在24日下午的安全分論壇上，介紹了騰訊如何將十幾年在內網安全建設的經驗輸出成為解決方案，助力更多企業實現業務安全。

以下為蔡晨演講全文：

大家早上好！

我是來自于騰訊技術工程事業群企業IT部總監蔡晨，也是騰訊安全專家工程師。我在騰訊13年，都在做企業安全相關的工作，也是一個安全方面的一個老兵。

首先，我要介紹一下，騰訊到底在企業內網或者企業安全上遇到哪些問題或者是哪些挑戰，這些困難是否會引起大家的共鳴。

第二，騰訊在內網安全方面做了十幾年，騰訊跟其他傳統安全廠商或者是企業內網安全的思路和理念到底是否一致？或者說我們的特點是什么。

第三，我今天講很多東西，可能沒有辦法通過幾個月的時間，或者是一兩年的時間就能實現，想告訴大家，現在會有什么樣產品可以幫助到大家。所以這個時候，也是非常感謝騰訊云的黎巍總，我跟黎巍總申請了機會給大家講。

騰訊面臨的終端安全威脅

騰訊的內網或騰訊企業面臨過的安全問題是什么？我把最近一年騰訊面臨的主要三大企業安全問題呈現出來：首先對我們來說最嚴重的一類就是釣魚郵件，去年整個大行業趨勢比較相像，勒索病毒很多企業都受到了攻擊，在騰訊勒索病毒攻擊是非常厲害的。大家知道Wannacry和petya，可能大家不知道Locky，這是對騰訊發起的勒索病毒的攻擊形態，除了勒索病毒的攻擊形態，還有大量的比較高級的后門。比如說Adwind，這是一個高級木馬家族，持續性對騰訊定點的釣魚攻擊，針對高管、財務人員等重要崗位的郵件釣魚，還有帳號，種植木馬等，一年差不多有3百萬封的釣魚郵件。

第二類是軍工級木馬。我們知道很多一些高價值的漏洞，或者是一些沒有被公開的漏洞，甚至是軍工木馬，相當于核武器技術在互聯網開放，這兩年軍工木馬平民化趨勢明顯加快。騰訊內部，內網的安全團隊，包括跟電腦管家的團隊、安平的廠家合作，我們會遇到一些對企業邊界穿透力非常強的DNS隧道木馬，例如去年整個行業影響比較大的Xshell供應鏈式木馬等。可能我們員工從互聯網下載一個運維工具，本身是植入過后門的，這個后門，通過DNS隧道式進行啟發激活，并且進行遠端操控。這種植入方式是越來越普遍。

第三類是廣譜木馬。騰訊大概每一年可以從內網的機器上挖出來大概有5千起普通病毒木馬的情況，可能常規的挖礦、勒索、蠕蟲類的東西，這是我們遇到企業內網比較嚴重的三大類威脅。

騰訊企業終端安全管理全景

除了剛才這些威脅之外，企業內網終端安全包括非常多的內容。像騰訊云的業務、微信的業務、游戲的業務，他們在國內的運營和上線及海外的運營上線都需要過很多的安全合規性的內容。比如說等保3、PCI ，還有歐盟的規則，這些規則對終端方面都有明確的要求。

所以在終端安全方面，我們會根據業務需求，對合規性的要求做定制化的功能支持。

另一方面，企業IT的一些管理者或者我們的企業CIO或者是CTO可能對企業的終端進行摸底的情況，比如說這一家企業有多少的PC，有多少個Windows，有多少Mac OS，以及這些設備在哪里，在什么地方，它安不安全等信息盤點的情況。包括對抗被動式的黑客入侵，我的終端有沒有防黑的加固，對APT有沒有深度的安全檢測，這些都是騰訊終端安全要考慮的內容。

理念（高可見、極速處置、云管云控）

剛才講的是說我們遇到的一些問題和我們面臨的一些業務場景和訴求。究竟騰訊是怎么考慮這些事，其實我們想了想，總結了一下，我們跟人家有不太一樣的地方，其實歸結為三點：

第一點是高度重視數據安全，安全數據是高可見的，因為只有透過浩瀚的數據才對全網進行管控；

第二是遇到緊急的情況，或者是安全危機的情況下，我們一定要有極速處置的能力，才能第一時間把風險隔離掉；

第三，作為一家互聯網企業，我們注重體驗和系統部署的靈活性，比如終端是一個非常輕量的控制模式，我們采用的架構是云管、云控的模式。

高可見是指安全數據的高可見，這一直是我們近年來奮斗的方向和目標。如果跟黑客對抗，你都看不到它，那你相當于跟它不在一個維度上，你沒有看到它，就沒有辦法消滅它，所以它一定會打敗你。

我們數據的高可見有兩個維度，一是說我們的數據夠不夠廣，我們會把終端、內網的所有數據，包括所有的應用系統，還有帳號類的數據全部歸結在一起，騰訊一天內網有400億的規模，數據類型大概200多類；

還有一個緯度就是數據夠不夠深。舉個例子：一個中國黑客團隊開發的木馬家族，木馬是沒有文件的，一旦感染到內存中，常駐內存并不在OS上。如果你的防御監控手段還停留在文件級是看不到它的，這時候需要把終端的監控下沉，下沉到進程API的級別，看木馬注入到哪個層面進行API調用，還有是XShell DNS接受指令的方式，通常我們看的是tcp、http等連接，但是對DNS這一塊，對大多數企業來說，53 UDP通訊不會有相應的檢測規則，當黑客用這種武器跟你對抗的時候，你發現你根本沒有辦法發現黑客的存在。

當然我們收集了大量廣度和深度的數據后，這些東西如何對企業安全人員形成可見的效應。這張圖是我們企業內部安全人員第一時間能夠看到的，比如終端、服務器、我們的應用、出口、我們的網絡到底發生了怎樣的安全事件。這些都有強大的后臺去支撐大量的數據運算和機器學習，由大量的規則檢測模型得出的結果。

根據這些事件，它會把它分成高中低等風險級別，然后安全人員就有序對這些事件進行風險的處置、隔離，或者是風險進一步排查，還有源頭溯源工作。在遇到安全問題或者發現安全有風險的時候，我們希望是，一定要有一種方式或者是一種工具能夠做到極速的處置。

為什么要極速？大家可以看我這張圖上，把時間要求得非常苛刻，5分鐘、10分鐘、30分鐘，原因是這樣的。在我們十幾年跟職業黑客團隊對抗積累的經驗，當高級木馬激活的狀態下，它在30分鐘內有能力將單臺PC數據和文件進行獲取，并且把關鍵的帳號，或者你企業的信息或者是IP地址池都拿到手，向內網的服務器或者是更多的PC進行掃描，120分鐘已經有能力拿下多臺服務器、多臺PC，并且從服役器、PC轉移相關的文件上傳到網上。

所以在騰訊里面，經過十幾年的構建，我們其實是做到了從5分鐘的時間可以把我們所需要的數據采集到云端，在15分鐘的時間內，云端通過各種的安全規則分析，數據的挖掘，數據的串聯，可以把風險識別出來。安全人員在30分鐘內就可以對這些風險進行處置或隔離清理。在接下來的一天和兩天內贏得足夠的時間追查黑客、病毒木馬到底是怎么進來的，或者是信息是怎么泄露出去，然后再溯源相關的工作，這就大大爭取了時間，贏得了跟黑客對抗的生死時速競賽。

云管、云控，作為騰訊這樣一個互聯網企業而言，其實員工的生產力跟工作效力是非常重要的，互聯網的員工希望有一個輕量的客戶端在終端保護到它。我們在騰訊員工的終端上部署的安全系統只做兩件事：一個是數據的匯報，一個是云端接收和策略下發。

但是我們在云端分成兩朵云，一朵云是用來處理基本的策略管理和加固類策略、軟件管理策略。這些都是數據量比較輕的輕DATA，存放在公有云。

一朵云我們會把客戶端匯報的數據進行深度的分析，大數據的分析，或者平臺的一些時間窗的數據，這些數據量比較大，運算量比較大，這種胖DATA會放在私有云。

所以說客戶端是非常瘦的形態，云是非常胖的形態，用這種方式在云端保證用戶的體驗和安全分析決策是非常精準的。

騰訊云+IT企業終端安全管理產品矩陣

在騰訊的終端安全領域，我們提煉出騰訊現行的四款產品，這些產品對終端安全、終端管理有重要意義。

終端使用的安全產品叫iOA，支持Windows跟Mac兩個系統，終端高級APT的防護還有常規的入侵防護，當然它可以兼容其他的殺毒軟件模塊。比如說我們跟電腦管家有很好的聯動和融合的作用，騰訊內部使用殺毒軟件是電腦管家，iOA跟電腦管家有一個聯動。

騰訊有5萬員工，移動端有一個做MDM的產品，IT Login，企業內部使用，嵌入員工使用辦公移動的APP里面；比如說大家看到的KM、MOA等，它所完成的事情除了統一認證，還可以對企業員工使用的移動設備進行遠程管理；比如說設備丟失以后如何擦除，IT login大概接入了18萬移動辦公設備。

對于終端文件的管理，其實騰訊內部不太希望員工各自選用形形色色的云SAAS類的文檔儲存產品，其實我們對內部提供了名字叫做企業云盤的云存儲類的產品。它除了常規的云存儲，還會提供其他的功能，比如文件漫游、同步盤等。能夠滿足員工在多設備、多PC、多移動端、移動場景這些基本的功能場景下的日常的遠程工作或者是移動工作需求，騰訊有13000多人去使用這個產品，大概每一天會新增1T的文件量。

在騰訊內部有一個具備豐富安全大數據的云端，叫TSOC。它收集企業終端、內部網絡、應用，以及行為數據、安全性數據，數據進到TSOC以后，里面有對抗模式，態勢感知，能夠將我們的風險可視化，第一時間給到企業安全管理人員或者是企業安全管理者。能夠幫助他們快速去收斂風險，還有決策企業的風險到底出在哪里，問題在哪里。我們認為騰訊這4款產品對騰訊的企業安全，有非常重要的意義。

下面是我們產品主頁和鏈接，大家有需要歡迎隨時訪問和聯系我們。

騰訊技術工程官號

騰訊前沿技術 | 產品 | 行業信息交流發布平臺

?

總結

以上是生活随笔為你收集整理的腾讯企业IT部安全运营中心总监蔡晨：十年沉淀，腾讯iOA为企业安全保驾护航...的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。