2018/11/29 内外兼修，保障业务安全 —— 腾讯安全运维实践 2012-09-06

演讲者 lake2 □ 80SEC □ 9+ years security experience □ focus on Web Security lakehu（胡珀） □ join Tencent Security Center in 2007 □ work on Tencent Security Response Center □ System / Response / Assessment / Train 网名lake2，2002年接触网络安全，超过9年的安全经验。80SEC成员之一 07年加入腾讯，一直在安全中心从事网络安全相关工作 先后从事过Web漏洞扫描器、恶意网址检测、主机安全Agent等系统的建设和运营，此外还进行过安全事件响应、安全培训、安全评估、安全规范体系的建立 目前负责腾讯安全应急响应团队

关于腾讯 腾讯，不用过多介绍了吧 图不太贴切，不过也说明腾讯产品线多，盘子大，其他厂商能遇到的安全问题基本都会遇到，安全战线长，带来巨大挑战 （图片来自middle.blog.sohu.com，感谢）

生产环境安全 用户安全 办公网安全 腾讯安全体系 2018/11/29 黑客攻防对抗这一块分为三个区域：办公网、生产环境（各种腾讯业务）、用户桌面 本次的主题也聚焦在腾讯业务这块的安全运维经验与实践上，一般我们从下而上分为三个层： 网络（也就是TCP/IP的网络模型中的 网络层+传输层）——主要面临DDoS攻击、DNS劫持、链路劫持等风险 操作系统（操作系统本身及第三方软件，如MySQL、Apache等）——主要是漏洞以及入侵 应用程序（CGI程序、客户端程序）——主要是漏洞

关于腾讯安全中心 成立于2005 目前人数160+ 负责腾讯整体安全 帐号安全体系 黑客攻击防御 危害信息打击 腾讯安全中心于2005年成立，负责公司级安全问题，主要三大块：账号安全（盗号、垃圾消息、欺诈）、黑客对抗（DDoS、漏洞、入侵）、信息打击（黄赌毒） 今天主要介绍黑客攻防对抗这块的一些工作思路和系统 安全中心一向比较低调 ，在系统运营和研究过程中也发现过业界的一些漏洞，都及时报告厂商（如恶意网址检测捕获的flash 0day） 低调 专业 务实——感谢benjurry以及coolc

安全建设思路与实践 2005-2006 2010- 应急 平台 2007-2009 系统 安全建设的几个阶段 2005-2006，【救火】以事件响应为主，到处救火。团队非常忙，没有沉淀和积累，没有安全体系和流程 2007-2009，【建设】化被动为主动，逐步做安全系统来解决一类问题。系统越来越多，运营问题凸显 2010-至今，【运营】系统沉淀，关注运营效果，平台化，三大平台贯穿安全体系，所有问题都有相应平台来解决

Security Development Lifecycle T-SDL Security Development Lifecycle 安全是一个整体，需要一个过程的纵深防御 参考微软的SDL，腾讯也围绕产品生命周期（培训 -> 需求建立 -> 设计 -> 实施 -> 测试 -> 发布 -> 运营）开展安全工作 在周期中的每个阶段都有一系列方案来规避安全风险，简单看就像这个图里描述的，最终就是一个个的安全系统或平台 感谢微软对安全界的贡献

TSEC安全平台概述 Web漏洞扫描器 客户端审计系统 代码审计系统 主机安全Agent 运维操作审计 账号安全管理 DDoS防御 IDS / WAF DNS监控系统 三个层面大概系统如下： 网络：DDoS防御系统、IDS、WAF、DNS监控 （DDoS攻击、DNS劫持、链路劫持） 系统：主机安全Agent（类似HIDS）、运维操作审计、账号安全管理 （漏洞、入侵、操作审计） 应用：Web漏洞扫描器、客户端审计系统、代码安全审计系统 （漏洞）

Anti-DDoS 网络安全平台：DDoS防御 max protection 15G+ 1000+ / month response time < 5 min DDoS攻击作为互联网最严重的网络安全威胁之一，也威胁着腾讯业务 腾讯自建的DDoS防御架构如图，可防御15G+的流量，5分钟内可发现DDoS并启动响应流程

主机安全Agent 采集 分析 输出 处理 主机安全平台：SecAgent 服务器基础信息 行为特征 数据挖掘 安全风险 安全事件 推动修复 应急响应 处理 30W server cover TB-Level data 200+ rule response time < 5 min 主机安全Agent可以理解为HIDS，负责收集基础信息（进程、网络连接、文件），后端Server规则分析后输出安全风险事件

应用安全平台：Web/Server漏洞检测 漏洞检测系统 远程扫描 代码审计 Web 本地检测 Server SQL Injection XSS CSRF JSON Hijacking OS Injection Etc.. high-risk port low version remote overflow unsecu config weak pwd Etc.. 5W+ domain / 30W server cover PHP / JSP / JAVA / C / C++ suport full scan time < 1 day Web漏洞扫描器：常见Web漏洞检测，覆盖自有域名2W+个，开放平台域名3W+个

漏洞检测系统 应用安全平台：客户端漏洞检测 PC Mobile 代码审计 动态分析 fuzz 静态分析 danger function danger COM overflow DLL Hijacking Etc.. storage password transmission malicious Etc.. PC和手机终端漏洞检测：白盒+黑盒

SOC Sec sys 安全运营中心 大脑：SOC 安全事件 安全趋势 基础数据 业务风险视图 图2是由SOC产生的webshell工单

机动部队：应急响应 应急响应联合团队 前述系统均为纵向领域，还需要一个横向团队来救火，解决突发问题，同时也将处理过程累积下来，提升纵向领域能力

官网 http://security.tencent.com 漏洞反馈平台与奖励计划 分享平台（文章、项目） 腾讯安全应急响应中心 官网 http://security.tencent.com 漏洞反馈平台与奖励计划 分享平台（文章、项目） 600+ vul 30+ new features 20+ bug fixed 从历史经验来看，外部能发现很多安全问题。漏洞反馈平台是专门为收集外部安全专家发现的问题而建 从6月至今实施的效果来看，外部反馈带来了很大帮助：600多个安全问题、30个系统新特性增加、20多个bug修复 同时，腾讯也为业界进行了一系列回馈 总之，感谢所有关心腾讯安全的朋友们！

2018/11/29 与我同在 mrhupo@qq.com 你若暗恋，歌词里的红粉，我唱一曲，何不给点掌声？