随着产业互联网时代的到来,安全问题越来越受到大众的关注。教育行业中频发的安全事故,腾讯微校在引以为戒的同时,在迭代中不断地为产品装上一把更牢固的锁。此次抱着以攻促防的目的,腾讯微校携手腾讯蓝军,通过模拟攻击来找寻系统和机具上可能存在的安全漏洞。
“不对啊,我明明收到了中奖信息。”腾讯安全平台部的小M盯着手机短信,百思不得其解。
前些天,小M在圣诞晚会期间收到了中奖信息:(腾讯科技)亲爱的XX,恭喜您在圣诞晚会中获得三等奖!请登录……验证您的员工信息,领取专属于您的圣诞大礼……
但是左等右等,奖品始终没有发放。他一通电话杀到了行政那,本来想问问奖品究竟什么时候发放,没想到却被告知,中奖名单里没有他的名字。
反复求证无果,小M再次点开中奖链接,这回,屏幕上赫然显示出几行单词:
YOU’VE BEEN HACKED!(你被黑了!)
“安全警惕性该提高了。”Lake(腾讯蓝军“头号指挥官”)端着枸杞水从他身后走过,意味深长地拍了拍他的肩膀。
所幸,“肇事者”不是真黑客,而是腾讯蓝军——腾讯安全平台部一支特殊的部队。他们自诩“碟中谍”,正儿八经地拿着腾讯安全平台部给的工资,心安理得地做着黑客的事儿,天天想方设法“搞破坏”,到处攻击腾讯内部的各个系统。
不仅时不时折磨一下亲爱的同事,疯起来时连老板都不放过。没错,连腾讯技术工程事业群总裁的门禁都被他们攻破过,从而反推全公司门禁系统进行了一轮升级和修复。
坑兄弟,我们真的很专业
2017年,腾讯微校(腾讯一个专门做数字校园的团队)找到了蓝军,请他们对微校系统进行防护加固。
J(蓝军成员)对这件事情印象深刻:“当时我们正在全公司范围内推广数据保护项目,微校不光大力配合,他们部门经理还主动找到我们,希望我们能帮他们做安全加固。很难得,安全这一块,是他们整个团队自上而下都在重视的事情。”
“所以,当时我们马上帮他们做了一轮安全加固方案,对信息篡改、用户信息泄露等方面的内容做了测试,出了一个专业报告,给出了建议。”双方就此结下了不解之缘。
近几年来,在教育领域,从《教育信息化2.0行动计划》到《中国教育现代化2035》,再到《2019年教育信息化和网络安全工作要点》,和教育信息化相关的政策不断出台,互联网深入教育行业,带来了整个行业的产业大变革。
随着产业互联网时代的到来,安全问题越来越受到大众的关注。
某大学,辅导员对大四毕业生进行资格审查的时候,发现一名学生的成绩明显不对,经过多方核查,才发现这个学生偷偷修改了自己的成绩。
根据学生辅导员的介绍,该学生有五门成绩不及格,因为担心影响毕业,所以动了歪脑筋,通过自己的技术,入侵学校数据库,在系统上把自己的成绩改到了及格线以上。
这只是一个很小的案例。实际上,不止高校,每个行业或多或少都会存在一些安全风险,并造成经济损失。俄罗斯储蓄银行发布报告称,2018年因网络犯罪导致世界经济损失1.5万亿美元,今年预计该损失将达到2.5万亿美元,增长60%。
面对业界频发的安全事故,腾讯微校在引以为戒的同时,在迭代中不断地为产品装上一把更牢固的锁。
2018年6月到2019年元旦期间,腾讯微校经过了一轮漫长的产品安全升级。从加密、高危服务隔离、自动化运维、最小化授权、登录态隔离、防批量拉取、数据泄漏可追查等十二个方面,对微校系统与硬件进行了多维度检测。产品研发团队花了大量时间盘点系统敏感信息,核查是否得到足够和合规的安全保护,并进行整改加固。
“通俗来讲,我们给微校的系统加了一个网。”微校安全负责人麦子解释,“这个网加了之后,相比之前来说效果怎么样?还会不会有其他问题呢?我们当时就想,不如采取最直接的方式,让蓝军来对我们进行一轮攻击,在真实环境里做渗透测试,也就是传说中的‘以攻促防’。”
为了尽快把测试提上日程,腾讯微校副总经理H亲自出马,来到蓝军的办公点堵人,大打感情牌:“大家同属于TEG,兄弟一样,论亲,谁也亲不过我们。好,就这么说定了,测试安排上。”
蓝军:“……”
“万万没想到的是。”J表示,“身为‘亲兄弟’,微校居然得寸进尺,聊完了软件测试,又要我们‘顺便’把硬件也测一测。”
由蓝军统筹,硬件的安全测试,交给了系腾讯内部,与蓝军一样同属于安平部门的Tencent Blade Team负责。说起来,这也是一支神奇的团队,在过去的两年时间里,已向Apple、Amazon、Google、Microsoft、Adobe等诸多国际知名公司报告并协助修复了200多个安全漏洞。
图:腾讯微校消费机具