尊敬的各位来宾,各位同仁,很高兴今天有幸在这里和大家一起来探讨关于《全球化的网络安全》这个话题。在前面几位嘉宾,尤其倪院士演讲过之后,给大家定义了高度——中国的网络安全一定要做“自主”的内容。从腾讯的角度来看,的确,我们经过16年的发展,有16年的安全经验,也有我们自己的积累。今天我演讲的主题是《互联网+安全=产业链免疫系统》。
互联网+已经成为中国的一个时代代名词,在这样的背景下,可以看到,整个中国经济转型依托“互联网+”,同时还有资本市场,也是牵动着我们人心,特别是这两天。在这个时代背景下,“互联网+”,“+”的是什么?托尼在前两天也刚刚讲过互联网的“+”和“-”,“互联网+”我们自己的定义是连接一切,联系生活上所有的要素,现实生活当中每个人有不同的信息ID,不同的身份,例如你在工作当中可以成为员工和领导,在家庭中你又代表着另一个身份,在同学当中代表着不同的身份。这么多信息ID我们加的是什么?当手机成为我们身体的一部分之后就有了“虚拟的世界”。
工信部发布的数据,到目前为止,4月份一个月手机发放量高达4500万台,去年年底手机上网用户数已经超过PC,预估今年能达到7亿,在如此高井喷情况下,手机成为我们身体的一部分,意味着未来很多硬件都可能成为我们身体的一部分,比如出行时汽车也有可能成为我们身体的一部分,在各个场景下几乎所有的硬件都可以成为身体的一部分,包括腾讯的微信软件。还有更重要的,85年的孩子已经30岁了。
这三个要素告诉我们一件事情,现实世界与虚拟世界的连接是时时刻刻的,是无时不在的,我们每个人信息身份的ID映射虚拟世界空间里也应该有个ID,这个ID用什么来描述呢?大数据。腾讯架构在基于连接一切的平台上,我们把人与人的连接完成了,所以我们在网络当中可以找到任何人ID信息的身份。这样的条件下,所有的内容都基于大数据的连接,未来一切都是大数据,用0和1表示的,互联网公司从信息入口开始进入到消费场景入口,吃穿住行游购娱,再到第三产业升级的入口,第一产业、第二产业到第三产业,经过这么多产业,云、管、端三层,这么多架构下,在端层面、管道层面以及云端全部都要通过数据做成连接。正是在这几个层面的连接,把人和人,人和物,物和物联系在一起,所以“互联网“+”的是现实和虚拟。
今天我们探讨的是全球化的互联网+安全。所以,在这样的时代背景下,我们把各种数据纳接在互联网虚拟平台下,“互联网+安全”一定是产业链的信息系统。正是因为互联网+的时代,连接一切之后,告诉我们整个世界的变化非常得迅速,可以看到每个人都具有改变世界的力量,可以时时刻刻,以事实方式转移到世界里。所以,这种条件下,无论云计算还是物联网都会流到大数据层面上。
产业链的免疫系统。无论中医还是西医都会用这样的名词,什么是免疫系统?中医一直用这三个方法来做,整体观、辩证观和平衡观,西医一直是原子论到整体论的还原。两家从细胞到整体架构都要符合满足整个免疫系统的构造。“互联网+安全”就是要打造既有原则,能细小到每个触点到每个节点上都要构筑安全,同时使用整体观、辩证观和平衡观构建这样的架构。安全已经像水喝电渗透到我们每个人生活方方面面,连接安全、应用安全、信息安全、设备安全,每一个安全的触点和节点都要防护好,做好布局。
“互联网+安全”的风险是什么?基于HTTP的协议,基于大量PC上的应用,基于Web的架构还有很多工作要做,尽管现在在移动端正在蓬勃发展,但基于Web上的应用内容还是非常多的。基于手机的App 95%以上都使用HTTP/HTTPS协议,包括大家使用的微信公众帐号也是一样。HTML5广告页面、应用页面也在使用这些协议,大量HTML5网站也在使用这样的协议。去年开始HTML5大面积应用,有三家公司使用HTML5的技术,最高的数据日应用量超过2000万,大量视频应用已经高速井喷了。这样的条件下,所有的应用背后一定包含着整个安全要素。我们能不能监测得住,防得住,靠得住。这样的条件下,无论是商业的影响、系统的稳定性、DDoS攻击还是信息泄露都是我们每个企业,包括政府到个人都要思考的问题,到底我们怎么样能够把这些痛点解决掉。
去年中纪委、人民银行网站被攻击了,我们投资的公司知道创宇迅速在几个小时内把它解决了,全部都修改过来,如果我们国家机构网站被黑客攻击和信息泄露非常危险。当然,连接的风险也无处不在,未来我们所有的硬件都可能成为身体的一部分。
我们搞了一个GeekPwn黑客活动,当时有黑客员工做了这样的实验,在几秒钟就破掉了特斯拉。看看智能医疗,计算机侵入干扰医疗数据,“××神奇”木马、相册木马等等都给我们生活带来巨大的挑战。产业的生态,行业的标准如何制订?因为互联网来得太快了,我们每一个人,包括互联网从业人员还是传统行业人员都很焦虑。从业人员机会很多,传统行业要防止被颠覆掉,所以,每一天我们花大量时间去学习。正因为发展速度之快,我们很多构建基础的架构不够扎实,民众普遍缺乏安全的知识,移动支付、Wi-Fi等入口缺乏统一安全技术规范,安全数据割裂,还有技术的割裂,产业链合作的基础薄弱,导致我们这么多弱点被不良安全分子攻击。
信息诈骗已成为社会顽疾,去年诈骗经济损失已经达到了300亿。信息诈骗已经规模化,有组织,产业链有发布、运营平台,去年我们和警方做了雷霆行动,打击了50个组织,有一些从马来西亚引渡回来,黑客从炫耀型到经济犯罪的转型,让我们感觉到经济链条无处不在,我们需要做好防护。
数据安全威胁形势日益严峻,在严峻背景前提下如何来看待数据安全。从门户网站系统、办公自动化、自动系统、管理系统、生态系统,每个系统节点我们如何看待做好防护?中国正在提“工业化4.0”,那么前面3.0是什么?工业化1.0应该是工业化,2.0是工业电气化,3.0是机器化,4.0应该是智能华。所有数据要通过0和1连接起来,安全如何防范?要做大量的工作,我们希望构筑产业链的免疫系统。
腾讯要构建的是我们强大的数据能力,经过16年的发展,腾讯拥有超过5.5亿月活微信用户,上亿用户产品平台就超过5个,我们如何在用户侧、管道侧做到安全,是我们自己构建的核心能力。这种能力不仅仅是腾讯,也是我们要开放给所有的合作伙伴,在生态链当中和我们一起合作的伙伴,所以,在这种条件下,希望不仅仅是一家公司在这个平台下能构建的,希望更多的公司,就像安全联盟一样,我们能够构建起一个整合的平台。我们一起打造安全生态链闭环,我们构建端+云+入口的防护体系,通过动态监测扫描,通过用户安全、服务安全,把用户和服务,刚才强调过几遍,在数据的处理节点上都把安全基础架构做好,并开放腾讯的安全云库。
腾讯去年也投入了重资构建造了优秀的团队,引入最优秀的人才,和更多合作伙伴加大这个领域里的投入,所以我们在创新上自主开发引擎,腾讯自主杀毒引擎拿到全球实验室测试,拿到了认证。
在PC端,我们已经有超过6亿用户,移动端7.8亿用户,正是因为海量的数据平台,我们有这样的护航能力。在企业级,基于Web我们做了很多准备,和投资的公司知道创宇构建了WebSOC,在Web上的监测、防护和整个构建的安全产品体系都防护在网站上做布局。PC端我们通过国产自研的引擎,通过私有云的部署,企业电脑终端的统一管理以及基于SaaS,企业办公平台,MOA移动端的平台,ROM定制专业设备平台,我们在端这侧跨设备进行安全防护。
腾讯也构建了安全云库,从PE的安全扫描到网址的最大安全扫描,到腾讯的安全,我们通讯录每天的安全防护,APK安全调用,我们可以做整体的安全云库,我们也把安全云库开放给合作伙伴,前不久我们刚刚和行业里的巨头启明星辰合作,把我们的核心能力开放给他,他们在做企业级的安全,在做产业级产品布局,把我们的能力开放给他。未来我们还会和更多的合作伙伴一起在这里面做布局。
同时,我们也覆盖了99%的全网络生活场景,互联网布局已经从信息入口进入到场景入口,正在往产业布局里进行,我们在搜索、网络、等也做了布局。
平台化基础上我们做了系统化,防实时攻击检测,漏洞的扫描,性能的检测,通过我们投资的公司在保护政府和企业在提高访问速度上构建的核心能力,也提供系统化整体解决方案,通过分布式的管理和布局,能够打造整体解决方案,并且具备可视化效果,以我们能理解的方式告诉我们的客户,如何做好安全工作,而不是冷冰冰地告诉客户如何做到安全。
腾讯拥有移动安全实验室、漏洞安全实验室、反病毒安全实验室、攻防实验室,还和CFCA共同成立了联合实验室,数据共享、能力输出,并建立行业标准。腾讯也开放了Wi-Fi联盟,促进行业标准建立,提供中国反病毒联盟的白名单,推出可信的认证标准。我们去年和深圳的网警,并且今年和首都网景共同构建天下无贼反信息诈骗联盟,还和公安部一起进行了雷霆行动。去年我们和深圳网警成功阻止了2万人进行2亿信息诈骗金额,我们帮他进行了阻击,防止用户损失。我们和合作伙伴共同构建用户移动支付安全联合计划,在支付前、支付中、支付后,未来所有的移动支付闭环当中。和钱有关的事儿都是大事儿,所以一定用可视化的效果,让他感觉到有信心做安全支付,构建安全的本质就是信心,我们输出安全支付的信心,也有这个能力,通过这个能力打造手机支付全流程的保护。
最后,通过我们的制度化,我们希望建立起行业自律及监管制度,通过行业自律、处罚加码和退出机制,希望能给安全行业里做出价值创造的企业表率,不再做恶,一起成为行业里的标准。
我们也携手公安部联手打击网络犯罪行为,“××神器”出现的时候,我们9个小时就把它搞定,抓出来,在这一点希望腾讯用我们核心能力与众多合作伙伴,并且与在座各位一起来构建,在“互联网+”代名词时代推进经济转型背景下,我们构建完整的免疫系统,能够为行业做价值提升。腾讯作为安全领域里最重要的一个参与者,这是我们的努力目标,也希望与大家一起合作!
谢谢大家!