“安全未来的发展不只是企业发展的底线问题,更将成为制约企业发展的天花板。”11月20日,在腾讯全球数字生态大会·上海峰会,腾讯副总裁丁珂表示。
在现场,丁珂带来了题为《云数据时代的信息安全对抗》的专题分享。
以下为丁珂现场演讲全文:
大家上午好!非常荣幸能够有机会在上海杨浦区给大家做一个“安全”主题的分享,因为这是一个长期以来国家非常关注的问题、也是腾讯产业互联网“云”发展方向上的一个重点投入领域。
大家知道在过去的30年计算机发展过程中,数据的规模和计算速度已经提升了超过200多万倍。同时,在发展的过程中也不断的接触到很多新的名词,例如:云,云上的安全问题有什么、5G,5G会带来哪些安全问题?我会接下来跟大家分享腾讯“云”和“安全”在技术领域的一些突破跟研究。
这幅图在不多的场合下面分享过,今年可能是第二次。上一次,还是在一个专业的论坛里面。主要是讲了现在我们面临到的安全威胁形势。最右边“保护轮廓”,国家、政府层面,都有对应的立法先行和搂底的措施在。比较多的内容我会分享右边的部分,中间是一些网络攻击手段。大家通常会碰到比较多的是“黑客”,其实每一个层面,仅仅是邮件钓鱼、勒索软件等等,还有“挖矿”、会把病毒注入到你的计算机里面。你的计算机还在活着,但是可能80%算力在帮它赚钱。还有“员工无意识”的规范不够,导致泄露的一些机密,但是其实上面三层里面日常生活很少有人感知到:
1.商业间谍和有组织犯罪“黑灰产”。他们用到的攻击方式有“僵尸网络、DDoS”,会调集大规模攻击,你的服务器就down掉了相信大家时不时会碰到这样的消息。
2.恐怖分子/无政府主义黑客。几乎普通人都碰不到的,我在里面提一点,跟云的未来的架构安全有关系,开机的时候,操作系统和bios就已经受到威胁。硬件攻击、操作系统已经注入到你的最高权限,而且有非常强的“顶级漏洞”可以在你的信息目标里面长期潜伏。
最新的态势,回到企业中,攻击主体多种多样。除了黑灰产之外,具备信息国战能力的国家超过40个。技术发展里面有固件类的硬件类的无线类的等等。面对最新的安全挑战,我们会在多个行业里面有对应的技术研究和发展。其实日常工作中,腾讯有七大实验室,我们在日常里面都会对前沿的技术会做一个覆盖和分析。
接下来的一点时间,我分享一下腾讯“云”和“安全”在做的一些工作。有过计算机背景的人可能了解,计算机最初的架构是冯诺依曼架构。但是日常摆放环境是五层架构的数据中心,在IDC、SDN这样一个大环境里面,我们几乎都很少去接触的界面。会有网络面、硬件面,硬件面就是你会接触到的算力到底是落在什么地方。然后你的GPU、CPU自己能调用多少,效率是多少。主机面就是操作系统,然后用户自己还有一个租户面。我作为一个用户,我的资源控制范围之内大概有多少。中间的细节技术我就不讲了,但是右手边三个地方带出来的安全要求层面是完全不一样的层面。
首先我们看到在最面对数据中心的层面,从启动到层层调用和数据的转入转出,有一个“可信计算”的基础。所以其实“云”的发展带来安全上面最大的机会和进步是在哪块?是从你最初的机器建设网络智能网卡这一级,沿途的密钥跟算法权限是对应的,从一开始就是做一个安全规划的。这是一个进步。
第二个层面,我们叫平台soc层面,综合性管理的层面。以前我们的防火墙是一个个单点,一个个指令的配合,如果你在一个机房里面有几十万甚至近百万的大规模,而且布局是跨机房的时候,安全策略应该怎么样制定呢?配置是每一个点、每一个点能够配出来的吗?显然是不现实的。所以从底层切入式的直连的配置管理,变成需要中心化统筹、分布式处理的策略管理变化。我们在租户管理的时候,数据生命周期到底安不安全?我把数据交给你,你是以什么样的方式确保我的安全呢?我先分享腾讯在可信计算与供应链安全保障体系做的。我们讲到异构处理,其实CPU跟GPU和BIOS都权限不一致,如何确保在微指令中策略是连通,而且整体的配置是可靠安全的呢?这是腾讯在可信计算与供应链安全保障体系里面,硬件方面的进展。
还有就是端到端的数据全生命周期安全体系。数据不仅仅是存储,是要使用的,是动态的。所以在使用动态的过程中是要申请权限的。权限申请管理跟你使用周期是相关的,而且跟使用人、你这个人是什么样的权限,你接下去的人是什么样的权限,我们的解决方案基本上是做到了端对端云数据生命周期安全体系。
在未来的计算跟生产过程中,安全不是静态的问题。你不断的要生成代码、你的业务是动态快速迭代的,被代码驱动甚至是被代码承载的业务形态。在这样的业务形态下,我们的安全如何动态发展?这就带来了一个新的话题:到底给租户在“云”平台上、公有云平台上或者私有云的租户,他在做生产管理的时候,主要是重点指代码的生产管理的时候,从代码的生命周期里面如何一步步开始开发的时候引入安全,然后在发布前有安全的管控。在发布之后、运营中间,发现问题是如何去控制问题的范围,然后提前预测,再让它回归到下一轮的迭代开发中。所以简单的讲,就是我们三个基础支撑、一个中心、两个门户支撑整个用户在使用云的计算、云的服务,发布自己的业务、做自己的代码生成的时候确保全生命周期的安全。
讲了很多基础设施的,我知道这一部分专业的门槛还是蛮高的,因为可能跟学校里面学的计算机的体系,跟外面媒体报道的很多不太一致。而且这些技术是一个爆发式的,在最近三年、五年里面,从“云”的开放发展,从大数据跟AI的结合,包括:量子对抗,然后到5G的发展,层层会带来挑战跟应用。
简单讲一下,我们针对我们的大企业,还有产业行业的话,有扎扎实实,虽然是一个基础、不得不讲,我们的一些专业人员必须要去应对的,但是在我们的客户层面,我们会非常直接的一些基于大数据的安全态势感知,给大家带来直接解决问题。
其中单提了一个基于数字化行为的金融或者风控和监管的能力。我们知道很多的产业现在聚焦金融:
支付行为都已经数字化了,我们的监管是怎么样做的呢?能跟得上吗?它是基于什么样的把控点来做监管?
现在很多的行为,比如:电商的行为。哪些行为合理,哪些过分?怎么监管?
广告,几乎都是在线上的,比如:很多直播类的,你在页面之间跳这样的广告、跳那样的广告,甚至跳一些不太合适的广告到底怎么样监管?
腾讯在这方面,也是几乎给我们合作伙伴,国家政府的很多金融办都借助腾讯安全的技术能力做数字监管。我们同时做了一些反欺诈的监管,互联网公司反“薅羊毛”的一些反欺诈的行为,我们做到金融数字化监管。包括:广告有效性、合规性上面的一些解决方案,所以这是数字化发展后腾讯在上面做到的工作。最近两年看到的趋势非常的迅速。
另外再讲一个,主要是国资大企业、政府机构,还有金融,像这样的大企业,其实我们也有合作。每年有一些攻防类的实战,腾讯现在已经把专家的力量服务化,整体提炼出来能够给大家各种级别的响应。最后一个总结:安全未来的发展不只是企业发展的底线问题,更将成为制约企业发展的天花板。腾讯的理念:“I、D、E、A模型”从数据到攻防到管理和规划,全方位的能力。
谢谢大家,希望大家的企业都安全健康高速的发展。谢谢!
声明:本文来自腾讯云,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。