网络世界里,物理层做得再安全,流程规范做得再安全,但有很多东西,都是不可控的。人是一方面,由“人”引出来的合作漏洞、机房看管疏漏等问题,都会造成各种意想不到的风险。
“在网络安全领域,很小的一个点,人的一个疏忽,就可能把很坚固的网络捅破。”J表示,“而且,技术在不断更新,环境在不断变化,我们现在加固的方案,适用于现在,拿到三年后来看,也许已经跟不上了。”
微校当然也知道这一点。他们不断去做的,就是在注重产品自安全设计的基础上,尽可能地去洞察“人”,并在每一次升级中扩大测试范围。麦子说:“做好安全要无数个点,一般人可能做到了一千个点,而微校会尽力去做到两千个、三千个、四千个……”
“学生在使用校园卡的时候经常有丢卡的情况,就会产生被盗刷和冒充身份的风险。为了防止丢卡的情况发生,我们最初设计了腾讯校园码的产品方案来解决。但手机也存在丢失或者校园码被人截屏的可能性。所以在迭代过程中,我们做了些应对,管理者也可以通过截屏冻结等措施为学生及时止损。近期,我们也提前预设了一整套的风控垫资策略,以防止学生恶意消费等情况的发生。”
微校和蓝军一样,都站在“人”的角度上去思考安全问题。面对日趋复杂的网络环境,个人敏感隐私数据与资产安全面临的威胁及挑战变得越来越大,因此,他们把安全评估的重点放在了学生个人敏感信息与资金流动的每个环节中。
图:腾讯校园码
“世界上没有绝对的安全,但我们努力守护‘动态的安全’。”麦子说,“就算它是一个黑洞,我们也会在过程中,不断进行加固。”
护航高校信息化生态安全
平日里,我们总是说黑客,攻击,听起来很“高大上”,说网络安全,听起来很“高科技”。但现实中,安全其实是由非常多很小、很不起眼的基础细节组成的。从员工日常行为,到服务器本身的安全策略,到业务写代码时保证代码不会出现漏洞,再到运维时不会出现一些风险,这些所有东西合在一起织成了一张网。
这张网,靠各方共同守护,除了产品自身的安全设计和业务发展过程中,把安全渗透产品每一层每一级中,腾讯微校更大程度地借助整个腾讯的开放能力,形成生态上的安全防护体系。
“如果学校愿意运用腾讯的系统能力,安全防护力会提升一些。打个比方,通过微信校园卡进行校内支付,借着微校可以依托腾讯计费的支付体系。腾讯计费支撑着公司内部千亿级交易流水规模,过去十几年为QQ、微信、王者荣耀、腾讯云提供了坚实的保障。此外,腾讯计费打造的奥丁风控平台,实现秒级实时监控和7*24小时容灾体系保障。腾讯微校携手腾讯计费,打造了一整套数字校园消费、对账、结算的智慧交互方案。通过微信就可以完成所有微校校园里面的支付流程,高安全也更便捷。”
除了支付,也包括身份认证能力、图像识别能力、物联管理能力等,微校的系统承载着腾讯这么多年在各个领域里的开发能力,背靠整个腾讯的安全防护体系。
蓝军之外,腾讯安全平台还自主研发了“宙斯盾”DDoS攻击防护系统,“门神”WEB防火墙、“洞犀”WEB漏洞扫描系统、“洋葱”反入侵系统等多款内部安全工具,建立国内首个企业自建应急响应中心TSRC,构建了完备的数据安全内部体系。成立于2005年的腾讯安全平台,对内专注保障QQ、微信、游戏等腾讯全线产品、业务和核心数据的安全,能力涵盖网络保障、漏洞收敛、应用防护、入侵对抗、威胁情报、安全质量提升等多方面。
背靠腾讯安全生态,微校在产品上线不久之后,就取得了国家信息安全保护等级三级认证(简称“三级等保”)。三级等保是民营企业最高的安全认证等级,属于“监管级别”,由国家信息安全监管部门进行监督、检查,认证测评内容分别涵盖5个等级保护安全技术要求和5个安全管理要求,包含信息保护、安全审计、通信保密等近300项要求,共涉及测评分类73类,要求十分严格,对企业的硬件、软件、规章制度等都有严格要求。
据前瞻产业研究院发布的《中国网络安全行业发展前景预测与投资战略规划分析报告》统计数据显示,截止至2018年底,中国网络安全行业市场规模约达到了478亿元,同比增长4.57%。相关数据预计2019年我国网络安全市场规模将达到680亿,较上年增加25%,预计两年内,中国网络安全将形成千亿市场。