随着企业为了更好的支持业务功能，而不断寻找降低IT成本，增加业务敏捷性的方法，他们越来多地把重心放在云计算技术上。据统计， 云计算的投入正在以每年20%的增长率增长。然而，云安全性仍然是阻碍云技术采用的主要障碍，来自LinkedIn信息安全社区报告显示，且相比2015年的45%，2016年认为安全是云采用的头号障碍的企业已经上升至59%。

无独有偶，第二届中国互联网安全领袖峰会，云安全分论坛的主办方腾讯，也表达了这样的信息：在移动互联网和云计算高速发展，云安全的重要性在全球范围内日益凸显。里约奥运会期间，全球黑客一起“运动”，攻击峰值达540G；美国域名服务器提供商Dyn遭遇严重攻击，波及公共服务、社交平台、民众网络服务器等多个领域，致使半个美国的网络几乎陷入瘫痪……面对日益严峻的网络安全问题，整个社会的网络安全都在时刻承受着来自各方面的黑产挑战。

会上，腾讯云安全总监周斌发布了2016年腾讯云安全白皮书，并向与会者介绍了互联网繁荣背后的“黑手”。周斌表示，目前黑产正随着互联网行业产值的一路上行而上行，庞大的黑产链条让现代企业处于十分危险的境地。据保守统计，目前全国黑产从业人员过百万人，专业化程度越来越高，对企业的业务安全带来了更直接的挑战。

以最常见的网络攻击手段DDoS为例，全球范围内的攻击次数正成几何倍数增长。白皮书数据显示，截至2016年10月份，腾讯云累计本年抵御DDoS攻击已接近五十万次，攻击峰值超过400Gbps。那么，对于，频繁发生的安全事件，腾讯又做了怎样的反应？

腾讯云天御系统 ：四个维度全面防护

周斌表示，“我们会把所有的工作分成四个维度解决，我们会把所有的数据，全部云端的场景进行远程的加固，同时在客户端和网络的通信链路层面上为刚才的场景做两层加密的工作。客户端我们会去保证整个客户端的应用程序被反编译，或者逆向的可能性。从Windows到安卓，到其他的平台，我们提供了各种不一样的工具。”具体的四个安全维度如下：

防止数据爬取：腾讯 进行了体验和安全性方面的平衡，把数据分成三个角色，生产者、托管者、数用者。其中包括了像身份认证、传输等等，同时把数据进行合理的划分以后，定义一套数据加密的规则，腾讯会把所有数据集中在一个地方进行存储，然后进行统一加密管理——定义数据的标准就是拦住、杜绝入侵。

UGC信息安全：腾讯搭建了一套安全系统，解决整个业务中UGC的安全问题。腾讯内部所搭建的这一大的分布式系统，支持整个腾讯大量实时的流失计算和分布式计算，支撑整个业务的发展。这套系统中有腾讯自建的TDW，其中有hadoop的集群，应对每天千亿级数据流水进驻，进行数据实时的流失计算，然后汇总到两层，进行进一步的计算；同时，腾讯把离线的结果输出到实时业务安全的离线和准实时的对抗系统中。另外，他们也会把这些系统进入机器学习的模型来进行深度的学习。

防社工诈骗：针对诈骗前、中、后三时期，腾讯做了前期的实时端检测，中间的使用时检测，后续的解脱检测，避免社工问题在任何环节的发生。

防内部风险：腾讯的所有内部的系统都经过完善的风险审计原则，包括通过跳板机进行登录的操作审计，内部DB的审计，以及所有数据的审计，现在所有的数据异常都可以在5分钟之内发现。

目前，腾讯这一系统已经积累了庞大的数据库——积累了超过2TB的画像数据，超过380个数据维度，每天能够处理超过500亿条流水，所有的数据上报接入都是全自动化的过程；后台已经存储了包括了2万个计算程序和40个机器学习算法来为我们离线计算平台服务，离线存储达6PB。基于腾讯内部自己的试验，以及能力的体现，现在腾讯将这一能力以及SaaS服务提供给企业。

在安全能力云化迁移之际，腾讯云已经向外推出了这一天御系统——整合登录保护、注册保护、活动防刷、消息过滤、验证码、反欺诈、鉴黄等重要能力，为各行业提供全面的业务安全解决方案。

移动设备占比增大：移动安全不容忽视

互联网已经从PC时代到移动时代，最终移动互联网在整个网民当中的渗透率已经达到了90.1%，整体互联网网民已经达到了7亿，移动互联网网民已经占到了6.1亿，据艾瑞咨询统计。这一现象也导致了移动领域病毒的猖獗；除了病毒的威胁外，移动应用还面临竞着争对手的仿冒的严峻生存环境；另外，还有手机市场品牌众多出现碎片化，适配问题也越来越多。

面对这些与传统互联网不同的安全问题，企业又要如何面对？那么，像腾讯这样的、拥有众多移动应用的公司，他们是如何解决这些安全问题、适配问题和质量跟踪问题的？“其实大公司有一个好处就是让专业的人去做专业的事情，”腾讯社交网络事业群安全总监吴昊说。

首先腾讯拥有全面的研发体系：需求阶段，安全人员会做一个风险评估，了解功能是否潜在的一些问题，从而进行充分的评估，不断改进；其次，开发阶段，腾讯 拥有整套的研发安全规范，提供安全SDK，如在输入、输出，或者关键点做匹配、适配，最大程度避免因为开发者没有安全的经验导致的低级错误。同时，对代码做混淆和加密，在代码外竖一道防盗门；第三，测试阶段除了进行功能测试和漏洞的扫描，腾讯现在全部是采取真机测试；最后，发布运营阶段，进行服务器加固和安全防护，并在整个运营阶段，进行质量跟踪，渠道监控。在整个研发周期中，安全会从头至尾进行考试、审计和咨询。

其次，业务代码保护：一是，针对业务的APK、SDK，或源码三种形态提供分别对应方式，如在APK进行判断，对二进制文件抹掉关键信息 ，进行加密和接口层透明接管，根据不同的形态去做高强度或者低强度的加密，对于核心通过虚拟机做各种各样的扁平化。二是，自动修复漏洞，对此腾讯提供了一套通用的扫描引擎，分静态和动态，数据安全、通信安全，应用安全，应算方组件安全。安全底层还有一个漏洞威胁情报感知系统，与自己的漏洞进行匹配。最后得出统一报告。第三，通过中控系统管理脚本，通过网络把其发到每一个手机的终端上，从而用户就可以测试你的应用，最终把结果以报告的形式反馈给开发者。

第三，质量追踪：其实很多应用都打包了一个SDK，可以通过接入代理达到负载均衡的目的。对此，腾讯统一了框架，从而进行联网数据、崩溃数据分析。并通过后台分布式的数据库，以及搜索引擎，最终从前台通过开放权限查到每个业务的对应报告。

现在，腾讯云乐固这一平台不仅在腾讯内部连接使用，且以云平台的形式提供给客户使用——通过这个平台，已经有超过了十万款应用的接入，服务了一亿台终端。

携手Radware：共建安全生态系统

在此次大会会上，腾讯云宣布与Radware达成全方面战略合作关系，腾讯云副总裁黎巍和Radware中国区总经理赵军共同启动了战略合作发布仪式。腾讯云与Radware将在海外DDoS防护、国内腾讯云应用层、私有云、服务市场以及加密数据安全合作等领域展开全面合作。双方共同希望通过紧密合作，更好地为客户安全保驾护航。