善攻者，敌不知其所守；善守者，敌不知其所攻——《孙子兵法》

*** 信息安全圈广为流传着那样一句话：全世界仅有二种公司，一种是了解早已被黑客侵入的公司，另一种则是被侵入却浑然不知的公司。

虽然那样的叫法很有可能沽名钓誉，但毫无疑问的是，躲藏在暗地里的黑客无时无刻都是在出其不意启动攻击，盗取公司数据资产、毁坏生产系统；而看不到的买卖，在暗在网上每分每秒都是在开展。

2014年2月，在世界上最早的虚拟货币交易服务平台——日本的Mt. Gox网站，85万只比特币被盗，使用价值约4.五亿美金，交易中心因而破产重整。

2014年夏季，美国摩根大通银行7600 万个人用户和 700 万中小型企业的信息内容被泄漏，涉及到总数超出英国人口的四分之一。

2019年5月，黑客侵入并操纵了英国马里兰州巴尔的摩市大概10,000台 *** 部门电脑上，并索取13个 *** C（使用价值10万美元）。

这种被曝出出去的 *** 信息安全事情，只是是 *** 信息安全攻击的冰山一角。在大家看不到的竞技场，安全性防御团队与黑客的战事从没停息。

做为中国较大 的互联网公司之一，腾讯服务了超出十亿的普通用户，巨大的客户数据信息宛如一笔极大的藏宝，让各界非法黑客犯罪团伙垂涎三尺、摩拳擦掌。

而伴随着腾讯云的迅速发展趋势，愈来愈多的客户进驻腾讯云，许多黑客将攻击的总体目标迁移到腾讯云上。

“腾讯云每日都是在遭受很多攻击，只不过是绝大多数都被大家和企业各安全性团队一同制订的对策和防护系统阻拦了。”腾讯云鼎试验室互联网安全防御团队的责任人youzu那样叙述腾讯官方的安全性趋势，但即便那样，她们也害怕心存侥幸。

（腾讯官方御见安全管家实时监控系统到的安全性威协）

必须防备的，是这些有工作能力提升全自动防护系统的攻击。为了更好地解决黑客随时随地很有可能进行的攻击，云顶试验室的防御团队秣马厉兵，時刻注意着系统软件的报警，一旦报警拉响，就将进到应急备战状态，与黑客进行正脸抵抗。

仅2019年上半年度，云顶试验室与提升腾讯云之一层安全防护的黑客就兵戎相见了多次。

简易而言，腾讯官方的防御力管理体系分成三层，之一层是商品本身安全性与安全防护，第二层是业务流程数据库安全结构加固防御力与入侵防御系统，第三层则是腾讯官方内部网防护、密钥管理与风险性认知。而每一层都是有极为严实的防御措施和繁杂的安全性标准。

（腾讯官方防御力管理体系平面图）

“假如黑客提升了大家的之一层防御力，进到到商品 *** 服务器，他很有可能会留有侧门便捷之后出入，也很有可能运用大家的 *** 服务器从业不法挖币等主题活动”youzu说，“可是如果不及时处理解决，他很有可能会找机遇再次往里提升，那么就很危险了。”

真实的威协还并不是这种正面战场上的抵抗，只是这些不知道埋伏在哪里的风险。为了更好地防止有黑客根据漏洞悄悄埋伏，防御团队的组员enlighten的关键工作中之一便是和小伙伴们一起对腾讯云上的200几款商品开展扫描仪，及时处理并堵漏漏洞，将威协解决在萌芽期情况。

除开要对早已发布的商品开展漏洞收敛性，把好新品发布的最终一道关，也是她们工作中的关键每日任务。安全性不合格商品不发布，它是云顶试验室定好的军规。就算耽搁了商品发布的关键时间范围也在所不辞。

“为这一事情实际上和许多产品研发团队闹过不愉快”enlighten强颜欢笑着说，“可是没法，为了更好地全部腾讯云的安全性，这一坏人大家务必要当。”

即便云顶试验室平常对腾讯云上的全部商品和即将来袭的新品开展严苛把控、收敛性漏洞，将被攻击的风险性降至最少，但伴随着黑客攻击技巧和 *** 的持续转变和升级，也难以确保腾讯云不容易遭受攻击。

“在大家来看，一切系统软件沒有100%的安全性，仅有还没有发觉的漏洞。”对互联网安全防御组的发展观，youzu那样点评。

2019年上半年度的一天，enlighten刚完毕给一个开发设计团队的学习培训，忽然收到了防护系统的报警，有黑客早已入侵到腾讯云的支撑点自然环境。他顾不得吃惊，迅速响应，联同百度安全服务平台部圆葱团队对攻击开展阻止，与黑客进行了抵抗。

enlighten追忆说：“那时候实际上既诧异又激动，由于这些年来，基础沒有哪一次攻击可以提升第二层防御力抵达支撑点自然环境。感觉这一次遇到敌人了。”

假如一个黑客能悄然无声地提升商品本身安全防范和业务流程数据库安全结构加固防御力到支撑点自然环境，足够表明他的整体实力强悍，而且早已能够导致一些实际性的伤害了。

收到报警后，enlighten和小伙伴们一起快速控制住攻击的趋势，并对攻击开展追溯，寻找侵入的根源，对漏洞开展堵漏。原先该攻击是运用了腾讯云上某一款商品能够提交脚本 *** 的漏洞（该漏洞已被立即修补），侵入后一步步提升，最后抵达了支撑点自然环境。

当enlighten总算忙完，长舒一口气的情况下，却发觉youzu和此外两位朋友看见自身外露了贼兮兮的笑容，才意识到事儿不太对。

原先，它是一次云顶试验室协同腾讯官方內部玄武岩试验室、玄武试验室、公司IT 、TSRC等诸多安全性团队一起机构的一次抵抗演练，目地便是为了更好地仿真模拟具体情况下的防御抵抗，来检测腾讯云的安全防范水准。

在抵抗中被查验出漏洞代表着不安全吗？实际上并不是。

“此次大家结集了企业內部这么多安全性大神在一起，在大伙儿对腾讯官方的安全管理体系都十分掌握的状况下，只是是为了更好地寻找一个能够侵入的商品漏洞就花了整整的两个星期”youzu表述说，“后边为了更好地绕开防御力管理体系，悄然无声提升第二层防御力，又想想成千上万的 *** ，假如一个外界黑客对腾讯官方的安全防御管理体系彻底不了解，他在之一次尝试的情况下便会被发觉。”

內部的安全性防御抵抗演习，不在意胜负，目地取决于找到平常用基本方式沒有发觉的漏洞并立即收敛性，让真实的黑客在攻击时束手无策，进一步确保腾讯云和云端客户的安全性。

恰好是那样经常性的进行实战演练抵抗，提升了腾讯官方內部各安全性团队的心有灵犀、累积了浓厚的实践经验。

除开抵抗演练以外，包括湛泸试验室、百度安全服务平台部等团队，也在腾讯云漏洞发掘、攻击安全防护、入侵防御系统等层面构成了腾讯云安全性的牢靠之盾。”恰好是拥有这一群来源于腾讯官方內部顶级的友方的大力支持，才使我们在与黑客的防御抵抗中自始至终游刃有余。”youzu查拉图斯特拉。

在上年，称得上中国难度系数更大的贵州省互联网安全实战演练防御赛上，百度安全团队凭着靶点攻击挑戰总分之一、腾讯云100%完美防御抢下“攻”与“防”冠军中国，保卫了腾讯云业内领跑的安全性整体实力。

而在2020年刚以往没多久的一场历时二十一天的 *** 信息安全红蓝对抗上，担负某服务平台“守方”人物角色的百度安全团队最后“以一敌百”——抵挡住100支中国顶级团队的全天、全方位攻击，共阻隔TCP攻击近20亿次，阻隔Web攻击近三百万次，禁封IP6.八万，最后获得了0事情通告、0丢分的优异的成绩。

孙膑兵法有云“善攻者，敌不知其所守；善守者，敌不知其所攻。”让黑客束手无策、不知从何下手，这不仅是云顶试验室的追求完美，也是百度安全的心愿。将来，百度安全将朝向互联网经济不断輸出自身的安全性工作能力，为互联网经济的发展趋势服务保障。

零信任： *** 信息安全防御力构思的完全转型

Mount Locker勒索病毒方案对于税务部门总体目标进行攻击

应用 TinyCheck 专用工具得到大量的隐私保护操纵

亚信安全：2020年勒索软件导致的财产损失升高50%

春节假期，这种 *** 信息安全预防 *** 铭记心头！