騰訊副總裁丁珂：圍繞數據構建原生和全生命周期的縱深防禦技術架構

• 2019 年 10 月 3 日
• 筆記

9月10日，由湖南省人民政府、工業和資訊化部主辦的2019世界電腦大會在湘開幕。本屆大會以「計算萬物，湘約未來」為主題，邀請全球頂尖專家學者、企業家匯聚一堂，圍繞計算領域尖端技術前瞻與產業化發展、實體經濟與數字經濟融合、產業鏈國際合作發展、全球網路安全技術與應用成果等話題進行了深入交流與探討。湖南省委書記、省人大常委會主任杜家毫，湖南省委副書記、省長許達哲出席，中國科學院院士楊學軍，諾貝爾經濟學獎獲得者芬恩·基德蘭德等20多位兩院院士、外籍專家及行業精英參與了本次盛會。

騰訊副總裁丁珂在大會主論壇上發表了主題演講。丁珂表示，科技的飛速發展讓世界進入雲數據時代，資訊安全對抗也進一步升溫，攻擊者的手法、方式、目標都呈現出全新的態勢。騰訊安全圍繞海量數據構建了原生、全生命周期縱深防禦技術架構和安全運維體系，致力於護航產業互聯網安全。同時，丁珂還建議企業應從戰略視角規劃安全能力，在網路安全對抗中佔據主動。

雲數據時代：攻擊技術升維，威脅加重

從上個世紀80年代的主機計算到如今的雲計算，以及正在興起的霧計算和邊緣計算，算力和數據增長已超百萬倍，而世界的計算體系也在這30年間從集中式、同構、數據封閉走向了分散式、異構、數據融合。

計算的趨勢演進帶給人類越來越便利的生活體驗，但如影隨行的是愈加複雜的安全對抗形勢。在丁珂看來，攻擊一方的手法在不斷升級，高技術化和多樣化是其最典型特點，釣魚郵件、惡意軟體、0Day利用、DDoS攻擊、物理設備攻擊、供應鏈攻擊不一而足，「從企業無心的失誤，到專門的黑客攻擊，再到有組織的恐怖行為或國家級別的資訊戰，都在我們身邊真實的發生」。

更可怕的是，這些先進的攻擊手段正在造成愈加嚴重的威脅。據丁珂介紹，近年來，針對硬體和供應鏈的攻擊技術開始擴張，尤其是針對IoT/ICS等工業基礎設施的目標攻擊逐漸成熟。根據美國政府DNI（Director of National Intelligence）報告分析，具備發動資訊戰攻擊能力的國家達到近40個；針對企業和重要機構的高危害攻擊案例每年漲幅更是接近三成。就在今年3月，委內瑞拉遭受的電網攻擊就曾導致全國斷電，給國民經濟運行造成了巨大影響。

除此之外，大規模惡意軟體的泛濫趨勢仍然在持續，不僅以每年翻番的速度增長，更是形成了從攻擊到變現的完整產業鏈條，這些黑色產業可以利用勒索病毒完成金融攻擊，甚至做空一個金融市場。對於企業來說，藉助產業互聯網的機遇實現升級已經成為大勢所趨。但產業升級同樣拓寬了安全的邊界，容易使原本封閉的企業陷入重災區。據FBI估算，全球由於郵件類攻擊(BEC)造成的損失達到52億美元，勒索軟體的直接經濟影響達到50億美元，90%的企業面臨勒索軟體的威脅。

騰訊安全：構建原生、全生命周期的縱深防禦技術架構和安全運維體系

面對全新的安全挑戰，產業互聯網時代的安全能力無疑需要進一步提升，尤其在數字化政務、製造業創新、銀行數字化轉型、智慧零售、智慧城市等產業趨勢下，雲應用安全、雲數據安全、雲基礎設施安全、雲綜合防護等方面的能力建設和升級成為重中之重。

丁珂在大會現場也分享了騰訊安全在雲數據時代的安全實踐——圍繞海量數據的原生、全生命周期的縱深防禦技術架構和安全運維體系。

在基礎架構方面，騰訊安全搭建了包含數據中心面、網路面、硬體面、主機面、租戶面的全棧式雲安全基礎架構體系，從物理世界的機房選址到租戶和租戶之間的數據傳輸等，全程夯實安全基礎；同時通過可信硬體體系與硬體/韌體的安全設計、加固、升級，進一步提升原生安全能力。

在備受關注的數據安全方面，騰訊安全打造了端到端的雲數據全生命周期安全體系，以「數據安全能力中台」為中心，通過數據加密軟硬體服務（HSM/SEM）、數據加密和秘鑰服務（KMS）以及身份憑據與授權（Secret Manager）三大能力，保障數據在識別、使用、消費過程中的安全。在這套數據安全體系中，騰訊安全可提供全數據生命周期支援、完整的雲產品生態集成以及隨取隨用的加密API/SDK服務。

在上述安全能力的支撐下，騰訊安全還設計了自頂向下的安全合規和運營體系，通過「三個基礎、一個中心、兩個門戶支撐三個全生命周期封閉」。由雲基礎設施安全、高防雲主機、雲數據安全構成三個基礎；在此之上，騰訊安全通過雲安全運營中心，助力租戶實現DDoS監測、流量檢測、漏洞掃描、自動化安全測試、資產測繪等功能；最後配合雲平台合規管理和產品安全流程/工具兩大「門戶」實現漏洞收斂、威脅響應、租戶安全三個全生命周期的安全閉環體系。

紮實的攻防能力是騰訊安全建立上述安全體系的籌碼。例如在智慧網聯汽車研究上頗負盛名的騰訊安全科恩實驗室，在今年4月首次披露了特斯拉自動駕駛系統三大漏洞，並協同特斯拉快速響應，7天通過OTA修復；在移動安全方面，騰訊安全玄武實驗室在去年10月發現了「殘跡重用」漏洞可一秒解鎖帶有指紋識別的智慧手機，為移動支付行業消除了這一重大安全隱患。

隨著產業互聯網滲透的加速，企業在轉型中產生的安全需求多種多樣。為了降低安全建設門檻，向客戶提供系統化安全服務，騰訊面全面開放了安全中台能力，打造了一個可對外復用的動態的安全模型，為企業客戶提供模組式、可迭代的安全服務。基於安全中台能力，騰訊不僅可以面向客戶提供基礎安全和平台業務安全能力這些「商品」，同時還為客戶打造了擺滿商品的「貨架」，更進一步提供「配送服務」和全程的質保。在騰訊安全的「貨架」中所陳列的「商品」，既有騰訊安全自身的沉澱，也有來自安全產業鏈夥伴的優秀能力。

「安全不只是企業發展的底線，更將成為制約企業發展的天花板。」丁珂表示，在雲數據時代，安全不僅是企業生存問題，更是發展問題，企業應從戰略視角切入，建立情報Intelligence、攻防Defense、管理Effective Management、規劃Advanced Planning四維安全能力，從而讓安全成為企業發展的核心競爭力之一。