6月11-12日,2019年度腾讯安全国际技术峰会(TenSec)在上海举办。本次峰会由腾讯安全发起、腾讯安全科恩实验室与腾讯安全平台部联合主办,腾讯安全学院协办,邀请了国内外安全专家,共同探讨了云计算、物联网、人工智能、企业安全建设等多领域的安全问题。腾讯安全平台部研发安全团队负责人马松松分享了腾讯企业研发安全的建设,介绍了腾讯内部安全工程化的“五重纵深防御“体系。

腾讯安全平台部负责人杨勇在峰会上表示:“产业互联网时代,安全行业进入了真正的深水区,它要求安全从业者有更多的跨界知识,来面对更加广阔的攻击面和更多的产业。但安全是所有0前面的那个1,如何写好这个1只会越来越复杂,需要全社会共同参与,企业更要承担起责任。”

腾讯

腾讯安全平台部负责人 杨勇

“五重纵深防御“,构建安全工程化体系

基于安全管理规范和流程,结合腾讯十多年研发安全经验,腾讯研发安全致力于建设层层管控、环环相扣的自动化系统,从认知、组织、技术和坚持四个方面着手,确保安全工程化体系落到实处。

马松松提到,大众印象中的IT高手更多是“孤胆英雄”式的,这固然值得崇拜,但全面的保护需要工程化的系统能力,尽量降低人力单独参与,否则无法匹配大规模的业务,尤其是在业务量级上升之后,单纯靠人力是不可持续的。他结合腾讯安全平台部十多年的安全建设经验,介绍了内部安全工程化的“五重纵深防御“体系。

腾讯

腾讯安全平台部建立起涵盖网络安全(宙斯盾DDoS防护、DNS劫持监控)、应用安全(洞犀Web风险监控、金刚终端风险监控、门神Web攻击防护及源码安全扫描等)、主机安全(洋葱反入侵系统、基线监控)、数据安全(合规监控、全程票据),并具备多维提升能力(基础数据、威胁分析等)的五重自动化纵深防御系统,实现层层管控、环环相扣。

但马松松坦言,理想的工程化体系在企业实际落地过程中,往往也会遇到问题,如安全价值感知、安全业务平衡、安全投入保障等。从工程化体系到企业具体的安全建设实践,仍然有相当长的一段路要走。

认知是前提,组织是保障,技术是核心,坚持是信念

马松松表示,认知是进行企业安全建设的前提,也是企业必须付出的成本。一方面要认识到安全的重要性,但一方面也要意识到风险是不可能被彻底消灭的,更值得关注的是企业为了安全应该做哪些投入、将取得何种成效。

腾讯

腾讯安全平台部研发安全团队负责人 马松松

想要建设良好的企业安全体系,自上而下的组织架构是必须的保障。马松松形象地比喻,组织架构要“既能上达天庭,也要下知疾苦,更要利益攸关“。许多国家都已开始立法增加利益攸关程度,我国更是通过了《网络安全法》,新出台了《数据安全管理办法(征求意见稿)》,这也意味着从政府层面对组织保障的重视在不断加强。

技术是确保企业安全建设的核心,尤其是基础数据的重要性时刻不能遗忘。企业安全研发需要不断关注、评估、追求新的技术手段,但要切记,安全建设没有“一劳永逸、一招制敌”,要分清楚哪些是炒作哪些是真正的能力,需要不断运营、在多项能力中取舍平衡。他还提到,未来的发展方向在于赋能研发人员,要给研发人员足够的支持,未来兴起的安全解决方案将离开发者更近。

最后,马松松还提到了坚持对于企业安全建设的重要性,搞安全建设可能是枯燥的长期持续投入,需要人和事情的长期深耕与坚持。

产业互联网进程加快,企业安全建设迫在眉睫

随着产业互联网进程的加快,越来越多传统行业面临数字化转型,这为企业发展带来机遇的同时,也为企业安全建设带来了挑战与风险。

一方面,产业互联网时代,云、管、端都暴露出了攻击入口,而数据传输、设备连接、软件供应链等多个链条环环相扣,各个环节都可能成为黑客攻击的对象。另一方面,我们面临的对手也更为强大,不再是单个黑客,而是分工细化成熟的黑产产业链。

在此种环境下,系统性的企业安全建设可谓是迫在眉睫。

产业互联网时代,可以预见的是产业会迎来数字化转型和发展,但安全是发展的基石,如何做好企业安全建设只会越来越复杂,需要全社会的共同参与,腾讯作为国内大的互联网企业之一更是要承担起社会责任。

腾讯安全平台部作为专注腾讯企业内部安全的团队,也把十余年腾讯自身安全最佳实践对外开放赋能,并逐步把安全能力向腾讯云上开放,做好产业互联时代的数字化安全助手。

【凡本网注明来源非中国IDC圈的作品,均转载自其它媒体,目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。】

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党