腾讯云平台安全防护体系

目录

1. 安全服务简介

腾讯云平台通过多层次、多维度的实时监控和离线分析,为应用提供业务安全、信息安全、运维安全三个层面的安全服务。
这些安全服务已可以基本覆盖互联网应用的安全问题,可为应用提供可靠的安全防护,让应用可以精力于产品业务逻辑本身的开发和运营。
如下图所示:
csec_6.png

2. 运维安全

2.1 运维安全防护策略

对于hosting应用,一般会非常关心将代码部署在腾讯服务器上的安全性。腾讯云计算平台针对系统、网络、数据、密码等不同层面制定了安全防护策略,有效保护您的应用。
(1)资源隔离:在业务之间采取访问隔离策略,防止应用间内部恶意访问的安全问题。
(2)安全加固:在操作系统、服务器软件配置上进行了加固,防止系统级别的安全漏洞,并会及时周知开发者进行相应的处理。
(3)网络安全:借助腾讯安全中心强大的防攻击体系,帮助应用抵御网络攻击和入侵。
(4)数据安全:开发者申请了虚拟机或者CEE等资源后,其权限只能访问对应帐号下的数据,不同应用之间的数据是隔离的。
此外,针对内外网之间的数据上传和下载,腾讯云计算平台提供了专门的FTP上传下载通道,并对应用程序进行安全扫描,防止测试代码或容易引起安全漏洞的代码发布到外网。
(5)密码安全:登录腾讯服务器时,需使用HTTP代理登录。使用固定密码+动态密码方式进行密码校验,有效保证密码安全。

2.2 日常安全漏洞扫描

对应用进行安全漏洞扫描,及时发现安全漏洞并告警。
(1)对于hosting应用,安全服务后台对部署在腾讯服务器上的应用程序进行安全扫描,并定期发送审计报告到开发者注册时填写的邮箱中。
对于违反了安全规定的应用,将发送安全工单,第一时间通知开发者对安全漏洞进行修复。
(2)non-hosting应用可以参考第三方应用开发安全规范,了解常见的安全漏洞定义以及修复方案。

2.3 运维安全工单查看

腾讯云平台提供一站式安全平台,用来查看和管理运维安全信息。详见:安全平台说明

3. 业务安全

业务安全包括:
1. OpenAPI审计信息查看,详见:安全平台说明#场景1:OpenAPI审计信息查看
2. 防沉迷,详见:防沉迷接入说明
3. 反外挂,详见:反外挂接入说明

4. 信息安全

安全服务依托于多年的UGC(用户发表内容)安全运营的经验,从文字识别、用户行为分析、信用度体系等各个维度识别恶意消息,保障覆盖率的同时能有效降低误伤率。

4.1 敏感信息过滤

调用敏感词过滤接口(v3/csec/word_filter)即可。

4.2 垃圾信息检查

符合申请条件的应用,可提交申请然后调用垃圾信息检查接口,详见:v3/csec/check_spam

以上信息是否解决您的问题?

Copyright © 1998 - 2017 Tencent. All Rights Reserved.

腾讯公司 版权所有

有问必答 返回顶部