在騰訊內部,有這樣一群人,他們斗惡行善,用精神和行動保障著億萬網民的安全。
健談、開朗、熱情……坐在騰訊安全團隊的面前,記者滿懷驚訝,這個年輕、活潑的團隊一掃外界賦予的神秘色彩,由內而外,散發(fā)著睿智、親切的魅力。
在外界的眼中,騰訊安全團隊是強大的代名詞,他們是伴隨著騰訊、騰訊用戶一起成長的,并且承擔著保衛(wèi)騰訊所有產品和用戶安全的巨大責任。然而,這個神秘團隊背后的堅持、責任卻鮮少有人知道。
魔高一尺 道高一丈
“這是場魔高一尺、道高一丈的斗爭,在很多基礎措施上,我們需要根據對方策略做出有效的部署,有時可能是實時對抗”,騰訊即時通信產品部總經理殷宇這樣描述安全工作的重要和其中的挑戰(zhàn)。
四億活躍用戶、近千款產品和服務對騰訊的安全團隊來講可能是一種甜蜜的負擔,“企鵝”越成長,他們肩上的擔子就會越重。對于騰訊而言,安全團隊有著特殊的使命:保證每個產品的安全,保障所有騰訊用戶的良好體驗??上攵?,“每個”和“所有”對于騰訊安全團隊而言意味著怎樣的責任,與其說他們是在用實際行動去保衛(wèi)騰訊和用戶的安全,不如說他們在用正義的力量與網絡上各種“惡”勢力進行斗爭。
“有時病毒襲來的是一次短兵相接,需要時時繃緊神經來觀察平臺的變化”,騰訊安全團隊成員馬巖向記者介紹,“因此從部署上,我們的首要工作是提高自身技術,當然也會在內外合作上進行探索”。
在2005年左右,針對QQ的木馬病毒著實令安全團隊頭疼了一陣。但令他們欣慰的是,現在再也不會遇到這樣的煩惱了。
在過去的幾年間,騰訊組建了一支超過200人的安全團隊。這200人每天的工作就是7×24小時不間斷的保障騰訊用戶的安全。在他們的努力下,一整套專門針對QQ用戶的安全保護策略已見成效,如集成查殺木馬安全模塊,集成密碼安全控件、不同安全級別的文件傳輸設置、多級密碼保護系統(tǒng)以及好友關系鏈恢復等,皆屬業(yè)內首創(chuàng)。
“我們的技術、策略和手段都已領先業(yè)界”,馬巖非常自信地表示。事實上,他們的勤奮也得到了用戶的認可。去年艾瑞咨詢發(fā)布的《2008年個人即時通訊網絡安全研究報告》顯示,有超過七成的用戶對QQ的安全性表示“滿意”,其中有35.5%的用戶表示“非常滿意”,騰訊安全體系在國內市場上迄今為止最為完善。
不過馬巖也表示,“成績屬于過去,我們一絲一毫不能放松警惕。我們要隨時關注外界的情況,關注新技術的發(fā)展,并跟同行們進行交流”?!耙扔脩粝氲迷缫徊?、遠一步”,這是他們矢志追求的目標,不僅如此,騰訊安全團隊還嘗試著與專業(yè)殺毒廠商展開了合作。從2005年開始,騰訊先后與江民、金山等殺毒廠商合作,以保衛(wèi)QQ等騰訊產品的安全。
天平的兩端
然而,與殺毒廠商的安全工作不同,馬巖他們面對的不僅是敵人,還有用戶。說到底,他們的工作不是為了安全而安全,而是為了體驗而安全。他們需要平衡易用性和安全性這個天生的矛盾。
例如QQ傳輸文件時,系統(tǒng)提示先掃描殺毒,然后傳輸,完成后再次掃描,如果站在安全的角度上看,這樣做才能夠萬無一失,將病毒拒之門外。但是作為用戶,這樣繁瑣的過程已經影響到了他們使用QQ的體驗,這可是QQ產品團隊不愿意看到的。
“這確實是個難題,尤其是對于QQ這么大的用戶量,我們需要考慮更多”,騰訊安全團隊成員李悅這樣談到。既保證用戶的體驗,又保證其使用騰訊產品時的安全,騰訊安全團隊需要盡最大努力保證產品的安全性與易用性的平衡。
在QQ2009的新功能中,有一項是消息記錄漫游:只要用戶上傳了消息記錄,就可以在任何地方登錄QQ時找到聊天記錄。無疑,這對用戶來說,是一個很便捷的改進。但是安全團隊卻需要考慮用戶使用該功能過程中的安全問題,比如隱私會不會泄露等。經過了反復的考慮和討論,他們最終通過技術上的努力以及對用戶體驗的精確把握,將這些擔憂降到了最低。
“在做每個策略時,既要避免一刀切,又要保證每個用戶在使用騰訊產品時的安全?!崩類偼嘎叮麄冊?,做每一個決定時都要仔細權衡。在他們看來,一個良好的用戶體驗是這樣的:用戶在QQ上聊天、玩游戲、購物,在沒遇到安全問題時,我們不會打擾他們。而當他們遇到安全問題時,我們會幫助他們及時有效地解決。要達到這個理念,就需要有多種標準。李悅透露:“未來我們會根據每個用戶的不同情況來判定并解決其安全問題。在不影響用戶體驗的同時最大保障用戶的安全。這對我們是個挑戰(zhàn)。”
責任感
“如果沒有安全問題,我們會很開心,我們可以從事更多的工作,”這是馬巖和李悅等諸多安全斗士們最大的愿望。然而,現實并不如此,眾多的安全問題依然困擾著網民,所以他們始終明白身上肩負的責任,他們在每個細小操作上查找可能隱藏危險的蹤跡。在發(fā)現惡、挑戰(zhàn)惡的過程中,他們也在實踐著“善”的涵義。
在近幾年的觀察和實踐中,騰訊安全團隊發(fā)現,互聯(lián)網的安全環(huán)境還是相對穩(wěn)定的,但用戶的安全上網意識還有待提高。所以,馬巖將“設置操作系統(tǒng)的登錄密碼、只使用正版軟件、盡量訪問正規(guī)的大型網站”等簡單的習慣編寫進了騰訊的安全手冊。他認為,對網民而言,除了企業(yè)需要提供安全保障外,還依賴于用戶良好的上網習慣。同時,借助騰訊的多個平臺,他們在不斷告知騰訊用戶如何安全上網,也在幫助更多的網民了解網絡安全知識。
有意思的是,騰訊安全團隊還總結了2008年的網絡詐騙術,主要有以下四種:狼狽為奸——詐騙加病毒以假亂真,飛來驚喜——假客服巧設匯款,“好奇害死貓”——高額話費黑洞,網絡釣魚——誰動了我的密碼?“其實不法分子慣用的伎倆不多,只要能夠看穿他們的花樣,就不會上當了?!瘪R巖他們堅信,這樣的方式能夠對用戶有所幫助。
甚至,馬巖他們還將工作上的責任感帶到了生活中。在幫助朋友查殺電腦病毒時他都不忘提醒幾個小小的注意事項。以至于朋友們一遇安全問題都會向他請教。而他顯然樂此不疲:“我們有義務對所有網民負責”。
(感謝那些一直與網絡黑暗斗爭的勇者,為保護他們,文中馬巖和李悅均為化名)