騰訊馬鬆鬆談企業安全建設：安全工程化如何落到實處

       6月11-12日，2019年度騰訊安全國際技術峰會（TenSec）在上海舉辦。本次峰會由騰訊安全發起、騰訊安全科恩實驗室與騰訊安全平臺部聯合主辦，騰訊安全學院協辦，邀請了國內外安全專家，共同探討了雲端計算、物聯網、人工智慧、企業安全建設等多領域的安全問題。騰訊安全平臺部研發安全團隊負責人馬鬆鬆分享了騰訊企業研發安全的建設，介紹了騰訊內部安全工程化的“五重縱深防禦“體系。

       騰訊安全平臺部負責人楊勇在峰會上表示：“產業網際網路時代，安全行業進入了真正的深水區，它要求安全從業者有更多的跨界知識，來面對更加廣闊的攻擊面和更多的產業。但安全是所有0前面的那個1，如何寫好這個1只會越來越複雜，需要全社會共同參與，企業更要承擔起責任。”

騰訊安全平臺部負責人 楊勇

       “五重縱深防禦“，構建安全工程化體系

       基於安全管理規範和流程，結合騰訊十多年研發安全經驗，騰訊研發安全致力於建設層層管控、環環相扣的自動化系統，從認知、組織、技術和堅持四個方面著手，確保安全工程化體系落到實處。

       馬鬆鬆提到，大眾印象中的IT高手更多是“孤膽英雄”式的，這固然值得崇拜，但全面的保護需要工程化的系統能力，儘量降低人力單獨參與，否則無法匹配大規模的業務，尤其是在業務量級上升之後，單純靠人力是不可持續的。他結合騰訊安全平臺部十多年的安全建設經驗，介紹了內部安全工程化的“五重縱深防禦“體系。

       騰訊安全平臺部建立起涵蓋網路安全（宙斯盾DDoS防護、DNS劫持監控）、應用安全（洞犀Web風險監控、金剛終端風險監控、門神Web攻擊防護及原始碼安全掃描等）、主機安全（洋蔥反入侵系統、基線監控）、資料安全（合規監控、全程票據），並具備多維提升能力（基礎資料、威脅分析等）的五重自動化縱深防禦系統，實現層層管控、環環相扣。

       但馬鬆鬆坦言，理想的工程化體系在企業實際落地過程中，往往也會遇到問題，如安全價值感知、安全業務平衡、安全投入保障等。從工程化體系到企業具體的安全建設實踐，仍然有相當長的一段路要走。

       認知是前提，組織是保障，技術是核心，堅持是信念

       馬鬆鬆表示，認知是進行企業安全建設的前提，也是企業必須付出的成本。一方面要認識到安全的重要性，但一方面也要意識到風險是不可能被徹底消滅的，更值得關注的是企業為了安全應該做哪些投入、將取得何種成效。

騰訊安全平臺部研發安全團隊負責人 馬鬆鬆

       想要建設良好的企業安全體系，自上而下的組織架構是必須的保障。馬鬆鬆形象地比喻，組織架構要“既能上達天庭，也要下知疾苦，更要利益攸關“。許多國家都已開始立法增加利益攸關程度，我國更是透過了《網路安全法》，新出臺了《資料安全管理辦法（徵求意見稿）》，這也意味著從政府層面對組織保障的重視在不斷加強。

       技術是確保企業安全建設的核心，尤其是基礎資料的重要性時刻不能遺忘。企業安全研發需要不斷關注、評估、追求新的技術手段，但要切記，安全建設沒有“一勞永逸、一招制敵”，要分清楚哪些是炒作哪些是真正的能力，需要不斷運營、在多項能力中取捨平衡。他還提到，未來的發展方向在於賦能研發人員，要給研發人員足夠的支援，未來興起的安全解決方案將離開發者更近。

最後，馬鬆鬆還提到了堅持對於企業安全建設的重要性，搞安全建設可能是枯燥的長期持續投入，需要人和事情的長期深耕與堅持。

       產業網際網路程式加快，企業安全建設迫在眉睫

       隨著產業網際網路程式的加快，越來越多傳統行業面臨數字化轉型，這為企業發展帶來機遇的同時，也為企業安全建設帶來了挑戰與風險。

       一方面，產業網際網路時代，雲、管、端都暴露出了攻擊入口，而資料傳輸、裝置連線、軟體供應鏈等多個鏈條環環相扣，各個環節都可能成為駭客攻擊的物件。另一方面，我們面臨的對手也更為強大，不再是單個駭客，而是分工細化成熟的黑產產業鏈。

       在此種環境下，系統性的企業安全建設可謂是迫在眉睫。

       產業網際網路時代，可以預見的是產業會迎來數字化轉型和發展，但安全是發展的基石，如何做好企業安全建設只會越來越複雜，需要全社會的共同參與，騰訊作為國內最大的網際網路企業之一更是要承擔起社會責任。

       騰訊安全平臺部作為專注騰訊企業內部安全的團隊，也把十餘年騰訊自身安全最佳實踐對外開放賦能，並逐步把安全能力向騰訊雲上開放，做好產業互聯時代的數字化安全助手。