腾讯安全专家周斌：“安全”是场要耐得住寂寞的马拉松

若不是“安全”最近频频被提及，也许你很难注意到它的存在。在鲜花和掌声面前，人们往往只看到产品和业务本身，而很少意识到幕后守护者的力量。

在从事了8年多安全工作的周斌看来，“安全”这份工作就像跑马拉松，我们不仅永远要比攻击者更快，而且在漫长的赛道上，我们要耐得住寂寞，面对黑产的诱惑不能偏轨。这场马拉松，辛苦且难。

本期人物

周斌 

腾讯云安全总监，腾讯T4级安全专家，2005年加入腾讯，一直负责安全类的工作，参与过QQ空间、农牧场、QQ会员、应用宝、QQ音乐等项目的安全系统建设，目前主要是负责腾讯云安全相关工作。

今天，来听他讲讲这8年“安全抗战”

鹅厂11载，与安全结下不解之缘

一晃眼，周斌在鹅厂已经走过了11年，从2008年业务安全团队成立至今，整整8年的时光，周斌与安全密不可分。 那时QQ农场风靡全国，玩家们起早贪黑忙偷菜，不亦乐乎。但是外挂也随之出现，大大打击了玩家们的积极性，也给后台服务器带来巨大的并发压力。周斌和团队开始进行反外挂对抗，通过海量数据分析、建模、实时计算、前后联动等模式，成功压制外挂泛滥，避免不必要的扩容成本，也大大提升了玩家们的游戏体验，偷菜偷得更带劲了。接下来两年，周斌和团队成功研发出反外挂系统和垃圾消息过滤系统。

 2013年，随着腾讯云正式面向社会开放，腾讯云的安全能力也正式对外开放。如今业内大牛级人物Killer（董志强）也纷纷加入，组建云鼎实验室。

在周斌看来，腾讯云安全团队的迅速壮大，最大的好处便是可以形成闭环，从开发、测试到服务人员等一应俱全，更好地开放积累多年的云安全能力。周斌坚信，虽然安全工作总是隐身在业务背后，可是安全的价值不可替代，他常说，“业务不出事就是安全最大的价值。”

业务安全，也能给云安全带来灵感

现在，周斌同时负责业务安全和云安全，在他看来，虽然云安全，与QQ、QQ空间等业务安全截然不同，彼此之间却能互相启发。

“做一个完全无损业务的服务难度，远远高于有损业务，这就是两者之间最大的差异。”在腾讯，大部分产品崇尚小步快跑，通过灰度测试等手段实现敏捷发布，但是对于云计算业务而言，防护思路完全不一样，每一个新品、特性的发布，都需要做到百分百的准确。一旦出现问题，客户就会用脚投票。

但是两者之间也有相通之处。周斌称之为，“云安全需要用做业务安全的思路去做云本身的安全，也就是贴身服务，定制化处理。”由于云安全服务的两大核心防护成功率和准确率天然矛盾，无法同时达到双百。如何既满足客户的安全需求，又不影响其业务？就需要依靠大量的经验、数据的积累，建立模型，选择一刀切或是case by case。这是一门手艺活。

挑战：通用化行业解决方案如何匹配越来越细分的

场景需求？

一方面是“互联网+”的落地，推动越来越多行业和企业上云，场景越来越细分、需求越来越多样。单以直播为例，有新闻类直播、电竞直播、体育直播、户外直播等，有的需要政治安全的管控，有的需要内容鉴黄，产生的安全需求不尽相同。

一方面是腾讯云正积极地将腾讯十几年的安全能力产品化，形成安全解决方案。但两者如何实现百分百完全匹配？如何将腾讯的安全能力完全开放？我们正在积极地克服这些挑战。

周斌总结了一套自己的应对之道：先人扛住，再优化。腾讯云安全团队安排了7*24小时的人员值班，在自动策略无法迅速识别时，伙伴们第一时间到位，通过人工运营，给整个技术团队的优化争取时间。相信随着数据和经验的积累、模型的优化，腾讯安全能力将会通过腾讯云安全得到进一步的开放。

优势：经验+能力+数据

腾讯云安全面临的挑战，也是全行业各云服务商所面临的共同挑战。而与行业内友商相比，腾讯云也有自己的独特优势，周斌总结为三点：

1、腾讯业务经受了长达十几年的安全考验，团队积累了丰富的经验，对抗攻击的手法和能力并不缺乏。 2、腾讯业务线长，覆盖广泛，场景丰富，各种垂直行业遇到的问题我们都遇到过。 3、在这些经验中，我们积累了丰富的数据，能将数据转化成相应的抗攻击能力。

同时，与传统IDC厂商不同，腾讯云由于品牌效应，更容易成为攻击的目标，为此我们储备了中国最大的BGP防护带宽，高达数百G，是国内云厂商中唯一一家能提供的。周斌分享了最近的一个案例，“就在前两个月，腾讯云的一家游戏类客户通过使用我们的BGP高防服务，通过21线BGP接入，不仅提升了网络质量，极大降低了掉线率，还成功抵御了251G的攻击流量。而玩家们对攻击毫无感知。”

云鼎实验室的成立，也意味着腾讯云安全能力的进一步加强。云鼎实验室将负责腾讯云安全体系建设，云主机与云内流量的安全研究和安全运营，以及云端APP安全方案和虚拟化安全技术研究。云鼎实验室将与云安全中心一起共同为腾讯云的安全保驾护航，满足客户日益强烈的安全需求。

谈到为何近几年云安全的需求高速增长？周斌分析道，“现在的创业者年轻化，他们都经过PC时代个人电脑杀毒软件的洗礼，被‘教育’成功了，所以当他们上云时，自然也会对云安全有需求，一个是免费安全能力的需求，一个是付费安全产品的需求。同时，云上的威胁也越来越多样、复杂。所以整个行业对云安全越来越重视，投入也越来越高。”

对抗黑产，先发致胜，唯快不破

据不完全统计，在我国黑产从业者超过40万人，每年非法牟利金额高达数百亿，整个黑产的产业链条非常完整。例如围绕安卓系统滋生的黑产，通常作案手法是尝试用病毒的方式嵌入用户手机，以获得非法收益。在这个步骤中很重要的一个环节就是运营传播，病毒木马可以伪装成正常的APP或者下载APP后重新打包嵌入木马，一旦用户使用了这些有问题的APP，手机立刻中毒，对于APP开发者、用户都会带来巨大影响。

如何对抗安卓黑产团队呢？与传统安全观不太一样的是，周斌认为，当今黑产猖獗，网络环境复杂多变，不存在绝对的安全，但是，只要我们永远比攻击者跑得更快一步，先发致胜，这就是安全。所以腾讯推出了自主研发的APP加固引擎－乐固，通过客户端对抗和大数据运营来防止恶意情况。这一能力被应用在腾讯大量产品中，历经海量检验，目前也在腾讯云上对客户开放，守护企业的应用。

黑产链条如下所示：

黑与白只在一念之间，职业操守比技能更重要

越是深入了解黑产，就越知道这里面的诱惑有多大。周斌说，要成为一名优秀的安全工程师，职业操守比技能更重要。黑产非法牟利巨大，钱赚得非常轻松，而一旦陷进去一次，就永远无法脱身。所以，周斌一直跟团队强调，“做安全工作的人，一定要牢记心中的那根线，黑与白往往只在一念之间。”一面是短期迅速谋取暴利，一面是在成就面前甘当幕后英雄，这就是周斌提到的“要耐得住寂寞”。

云安全这场马拉松正进入加速阶段，如何在已有产品和能力的基础上进一步开放更多云安全的能力？如何在对抗黑产过程中更快一步？周斌和他的团队正在加快脚步，冲刺前进。

END