維多利亞州政府3萬名雇員個人信息外泄；萬豪酒店5億客戶數據泄漏；10多款ios應用被發現與安全惡意軟件有染； TLS 1.2 協議現漏洞，近3000網站受影響；英特爾CPU再現高危漏洞，得到官方證實可泄漏私密數據……2019年以來，網絡安全事件頻發。3月份召開的十三屆全國人大二次會議上，國家領導人發表的關于政府工作的報告中三提“信息”，涉及到信息技術發展、信息基礎設施建設和個人信息保護。的確，網絡安全態勢變得越來越復雜，數據泄露、DDoS攻擊等事件愈演愈烈，而即將到來的5G/IPv6/IoT時代也將對互聯網安全格局帶來深刻的影響。

于此同時，為了維護網絡安全，一款款強大的安全工具應運而生，但并不是所有漏洞都能通過自動化工具檢測發現。因此，國內外都在如火如荼地開展網絡安全實戰演練。成立藍軍開展人工滲透測試和紅藍對抗實戰演練，以攻促防，提前發現潛在風險，協助提升業務系統安全性和完善安全系統能力，則可以更有效抵御黑客攻擊。在這樣的背景下，騰訊藍軍誕生了。

騰訊藍軍（Tencent Force）由騰訊TEG安全平臺部于2006年組建，十余年來專注于前沿安全攻防技術研究、騰訊網絡安全實戰演練、騰訊業務系統安全評估等方面，站在APT黑客的視角去（在內部）模擬攻擊，全方位檢驗安全防護策略、響應機制的充分性與有效性，最大限度發現業務系統的潛在風險，提出解決方案及協助改進。

近日，記者采訪了TSRC技術負責人、騰訊藍軍負責人鐘武強，講述了騰訊藍軍這些年的故事。

鐘武強，id小五，TSRC技術負責人、騰訊藍軍負責人，2003年開始接觸黑客攻防技術，從業以來主要負責應急響應、滲透測試、安全評估等工作。

六大措施解決人力不足的困難

用人工滲透測試和紅藍對抗實戰演練，以攻促防，聽起來很美妙，但是剛過了20歲生日的騰訊，擁有豐富的產品線，業務變化非常大，代碼迭代非常快，如果每次發布或者更新都施展人工滲透測試的話，藍軍人力肯定是難以支撐。據鐘武強介紹，騰訊藍軍主要通過六個方面來克服這個困難：

首先是排優先級，優先對重點業務、緊急業務開展滲透，保障重點業務和廣大用戶安全。

第二，讓業務同事詳細梳理和提供項目背景、業務架構、業務已有的安全措施、業務重點關注的風險點等等，有利于藍軍快速全面熟悉業務，以便針對性的制定安全檢查項，或者高效開展滲透。

第三，指導業務同事使用公司自主研發的漏洞掃描器（代號“洞犀”，經過多年優化，漏洞檢測能力很成熟）進行自動化掃描，以及按照安全檢查項進行自檢，讓業務同事一起積極參與進來，在這過程中能夠逐步提升業務同事的安全開發意識，也從根本上有效減少后續漏洞的產生。

第四，借助公司其他兄弟安全團隊的力量，比如說Tencent Blade Team（國際知名安全團隊，專注前沿領域的前瞻安全技術研究），與騰訊藍軍聯手一起滲透業務。而騰訊紅軍少部分成員有時也會臨時轉變角色，和藍軍一起研究如何攻破自己研發的反入侵系統（代號“洋蔥”，經過多年優化，入侵檢測能力很全面），紅藍軍相互學習，共同快速提升。

第五，引進或培養安全專業人才，鐘武強表示，目前騰訊藍軍一直在持續招聘志同道合的人才。

第六，借助外部安全研究員、情報員的力量，鼓勵在安全可靠的前提下和騰訊藍軍并肩作戰，一起發現騰訊外網業務安全隱患和防護缺陷。鐘武強表示，至今已經有國內外數萬名安全技術人員參與進來。

實戰演練中的難忘故事

從成立至今的13年里，從理論到實踐，騰訊藍軍經歷了無數次的攻防實戰演練，對QQ、QQ空間、微信、支付、小程序、騰訊云、游戲等重要業務都開展過滲透測試，發現并消除了大量潛在安全風險。讓鐘武強記憶猶新的是在微信小程序即將正式上線前，微信團隊邀請藍軍從騰訊深圳總部去微信廣州總部駐場，開展特訓營，國內服務器租用服務器托管，十多天里，大家吃住在一起，通力合作，對小程序開展全面的滲透測試，提前發現安全隱患并完成修復，保障了小程序平臺的安全性，為小程序正式發布保駕護航。