2013年10月25日，腾讯安全平台部举行了第六届的腾讯安全技术峰会（以云安全为主题），FreeBuf作为合作媒体受邀参加，并微博（@黑客与极客live）直播了会议内容。【PPT在最底⇊】

 

到场人数大约80多，其中十几位受邀嘉宾，剩下的是腾讯各个安全组的兄弟姐妹。Apollo主持会议，带领腾讯安全的童鞋以“好！很好！非常好！！”的口号开场；Coolc开场致辞，提到这届大会是有史来邀请外地嘉宾最多的一届。除了参会的阿里、新浪，现场还看到一些熟悉的面孔，比如PP、黄鑫、宫一鸣，还有绿盟、大成天下的负责人等。

腾讯安全平台负责人Coolc先进行了简短开篇：

“当年提到云，都认为是浮云；如今已经感同身受，云就如水和电一样，实实在在地承载着我们的生活。 ”

 

这次会议有四个主题：

主题一：

阿里云-沈锡镛 的《云安全管理实践》。阿里云作为国内最早起步云的企业受邀分享实践经验。主题内容以阿里云的安全模型、框架为主。阿里云除了拥有自身丰富的云平台经验外，还参与国家一些相关标准的制定，以及云安全白皮书、云盾的发布。

关键词：阿里云、云安全、可信云、IaaS、PaaS、SaaS

 

主题二：

天融信-宫一鸣 的《网络安全攻与防》。有的内容与Syscan360大会的议题相同。内容与主题名不一样，（吴鲁加：“站在大网视角的分析、很开眼界”），无论是科普、分析、实验、截图、数据统计、动画（cnnic dns攻击），一一俱全。DDos手法分析描述到：“把技术用到极致，屌丝也可以有春天！”

关键词：DDos，路由，MPLS，Flowsec，anycast，蝗虫

 

主题三：

新浪SAE首席架构师-从磊 的《SAE安全机制》。内容很清晰很细致，无论是SAE的安全架构还是实践方法，PPT都对细节内容做了介绍。从中摘取的关键词也很多。

关键词：安全实践，沙箱，代码保护，codeFS，访问安全，PaaS SDN，消费审计。

 

主题四：

腾讯云-黄岸平 的《腾讯云安全联合团队建设体验》。介绍腾讯云的诞生，一步步走到现在的经验和收获。“开放”是腾讯云与其它云平台最主要的区别，他们相当于提供一台主机，让开发者自由配置和操作。

关键词：腾讯云、开放平台

 

议题都结束后，进入了沙龙问答环节。四个演讲者坐台前接受提问，小编原以为这会是个冷环节。但事实是腾讯安全同学的激情大大超出了想象，甚至演讲者之间都互相提问……

记录几个有意思的问答——

腾讯同学：阿里云的漏洞扫描与防护功能，选择的用户多吗？有没有存在把用户站点扫挂的风险？用户选择的情况怎么样？（阿里云的ppt里提及了这项内容，晚饭时得知阿里云和腾讯云也正准备在不久的未来上架云WAF）

沈锡镛（阿里云）：用户基本都会选择。但是他们选择的重心不是漏洞扫描，而是安全防护。

腾讯同学：对一些屌丝开发者写的比较烂的MySQL语句会不会进行拦截（即使能成功执行并返回）？拦截影响了业务？（SAE的ppt里提及会计算MySQL语句的权值，甚至会过滤阻挡掉一部分的“笨”语句）

从磊（SAE）：会进行阻挡，但会告诉开发者为什么阻挡。（想起前段时间各种XSS平台的流行，在SAE上搭建的时候很多MySQL语句都执行失败）

腾讯同学：安全这一块有什么好的合作模式吗？比如现在阿里云、SAE、腾讯云之间的合作，甚至和安全厂商之间的合作？

宫一鸣（天融信）：由于业务不同，各自的解决办法并不一定适用。但是国外有类似这样的民间组织：各个公司的牛人之间组成个小组，出于人之间的信任，互相分享各自的数据和解决办法，通过数据共享来共同分析；国内应该形成这种氛围，而不是你出问题了我就来笑话你……（这是一条遥远的路…）

腾讯同学：现在乙方的安全水平都比甲方全面、而且比我们还了解攻击，你认为我们有什么好的发展方向和选择？

宫一鸣（天融信）：我认为甲方的安全水平很快就能盖过乙方……

 

上面这个最后的话题微博上也有讨论，小编是真的有话想说：

根本不能够单一的去判断并比较甲乙方安全人员之间的实力。

一、乙方中有不少长期专注于攻防研究、漏洞挖掘的人员，给乙方公司的安全团队提供后端服务；而甲方人员大部分接触的都是乙方售前、产品实施人员，根据印象去评价乙方水平太主观；

二、乙方安全人员日常工作点是面，工作内容中涵盖金融、运营商、政府等各个领域，而这类企业一般不设有自己的安全部门，使得乙方能长期服务，并对整个行业无论在数据、架构、解决方案上都有一定的沉淀和了解；而甲方安全人员更多的是解决自身业务特点的安全问题、实现针对自身业务的细节方案（如腾讯有自己的DDos研究团队，在DDos防火墙硬件不出问题的前提下，能够比乙方定制化更适合自己的DDos解决方案；而很多其它行业则完全需要乙方进行定制、人员培训）

三、客户的安全需求驱动乙方安全人员不断去接受新的攻击方法、实现新的解决方案；甲方的业务驱动甲方安全人员不断地完善自身的安全体系、通过实现某些技术细节来完善平台。这是两种不同的方向，而且也不能去比较其中的“广”和“精”的问题。

四、安全是保障业务稳定为前提，而甲乙方虽然工作内容不同但都是出于相同的目的，实力的评判应当是谁能更好更有效地保障同种业务的能力。

五、工作性质的不同，甲方安全人员更热衷于分享成果（因为自身业务安全问题已经解决）；而乙方则要考虑是否还要进行复用、保密等问题。所以许多同学会认为甲方人员在技术研究上更深入？

       另外，或出于温饱问题，或出于生活所迫，或出于环境喜好，乙方往甲方跳槽的人还是蛮多的；而甲方往乙方跳的也是有的，如宫一鸣老师。

 

 最后，感谢现场提供清晰原画的腾讯Ryan同学及玲子的招待。

（会议PPT点此下载）