在安全管理的Hard模式中，当一个好“玩家”

摘要： 据全球媒体Venture Beat的数据，2016年，全球游戏市场份额达到910亿美元，手游占据了一半，中国的手游玩家数量，已经稳居世界第一。 在游戏行业旺盛的生命力背后，网络攻击也在游戏行业中逐利、蓄意破坏、助长恶性竞争。

据全球媒体Venture Beat的数据，2016年，全球游戏市场份额达到910亿美元，手游占据了一半，中国的手游玩家数量，已经稳居世界第一。

在游戏行业旺盛的生命力背后，网络攻击也在游戏行业中逐利、蓄意破坏、助长恶性竞争。玩家的第二世界，也是 “恶魔的游乐场”。

Steam最近公布的官方数据显示，每个月约有77,000个Steam账户的凭据被盗，每年，全球针对游戏行业的DDoS攻击几乎是成倍增长。

Twitter: 暴雪公司因DDoS攻击而导致无法访问

据全球媒体VentureBeat的数据，2016年，全球游戏市场份额达到910亿美元，手游占据了一半，中国的手游玩家数量，已经稳居世界第一。

在游戏行业旺盛的生命力背后，网络攻击也在游戏行业中逐利、蓄意破坏、助长恶性竞争。玩家的第二世界，也是“恶魔的游乐场”。

Steam最近公布的官方数据显示，每个月约有77,000个Steam账户的凭据被盗，每年，全球针对游戏行业的DDoS攻击几乎是成倍增长。

而作为游戏行业的安全负责人，肩负的责任除了系统的稳定、可用，数据的安全、保密之外，还有每一个玩家的体验。对于游戏行业来说，被攻击所造成的业务中断，不仅意味着资金损失和玩家流失，许多游戏项目也有可能就此终结。

数据显示，遭受攻击2-3天后，游戏公司的玩家数量一般会从几万人，跌落到几百人。

作为一家国内知名手游公司的技术运维和安全负责人，W（化名）6年来每天的工作时，都感觉“手上端着一个天平”，一边是服务本身的稳定，一边是给玩家最好的实时交互体验。

“安全对于一家游戏公司来说可谓非常重要。在极端情况下，安全可能直接决定了游戏业务发展的成败。如果企业内部的安全漏洞被利用，那么所有用户的敏感信息都可能直接对外暴露，这对用户信心和企业形象的打击都是致命的。”

虽说任何行业的技术运维都有难解的问题，但游戏行业的安全，可以说属于安全中的“Hard”模式。

难在哪里？

W提到，一方面，用户访问服务的网络质量和速度至关重要，需要保证24*7在线状态；另一方面，为了保证游戏过程中的体验流畅，低延迟无丢包的网络状态是必需的。

“以个人经历来看，我觉得最困难的事情是在受到攻击的情况下，既要隔离异常流量，又要保证正常用户访问不受影响。以我的经验，从网络架构入手，比在服务端做调整效果更好。”

作为安全掌舵人，W通过一系列内外结合的方式，来降低系统和业务的安全风险。

在游戏反外挂方面，除了在客户端和服务端采用严谨合理的数据加密和验证外，也配合第三方加固产品，提高数据篡改的难度。

在账户安全方面，登录接口的所有数据通讯内容，统一启用强加密和数据校验；支持用户账号绑定移动设备，登录时默认启用短信验证码；用户使用了弱口令密码时，也会做合理提示。

在Web安全方面，所有会话默认启用SSL，配合第三方CC防护检测。

最后，在DDoS防御方面，主要使用云安全防御产品来清洗攻击流量。

从2016年开始，W所在公司的业务规模不断扩大，不断往上跳的用户数，让整个团队肩上有了更重的责任。

W的团队也开始思考，如何去增加更多的业务入口、转发节点，来避免由于单入口故障导致大规模掉线，缓解异常流量对单节点的攻击压力。

在业务规模越大的时候，突如其来的攻击，就会变得越致命。

除了做好自身的架构优化和安全管理，W的团队开始接入第三方的DDoS防护服务，除了减小被攻击几率，W也很重视业务加速功能，自定义隔离策略，CC防护，和异常流量清洗。

在经过为期半年的调研和选型后，W的团队与阿里云游戏盾开始了合作。游戏盾基于数据和算法的风控模式，覆盖了W团队目前所考虑到的几乎所有需求。

“在安全管理上，团队一直是比较接纳新技术的。基于AI和智能算法的DDoS防御，国内只有游戏盾在支持。功能上，相比传统的DDoS防御，服务相对全面。例如，不仅支持异常流量清洗，也实现了业务加速的功能，支持客户接入SDK实现自定义的隔离策略等。在防御体系上，我们是希望通过与游戏盾的合作，领先一步，最终是为了自己的玩家能够有更好的体验吧。”

除了功能的完整度，和技术创新之外，成本也是W选择合作的另外一个因素之一。相比传统的DDoS防御服务按带宽计费，W的团队在计划预算时，认为游戏盾按节点计费的性价比更高。

开始合作后，W感受最直接的，是业务可用率的提高。

“从第三方监控来看，在使用游戏盾前，业务可用率维持在97%左右；使用游戏盾后业务可用率一直在99.5%以上。”

业务加速效果的提升也在W的预料之中：“在全国主要一二线城市监测节点到业务入口的连接时间，比使用游戏盾前缩减了5%-10%，”他说。

谈起选择云安全服务方时的经验，W提到了三个指标：对方技术和产品的实战打磨，对方在云安全保障上的投入，以及服务方后台支持人员的专业程度。

“曾经听过一个理论，当你选择一个ToB的产品或服务时，一个很重要的指标是看他们自己的公司有没有在使用这个产品。这就像是你去一个餐厅吃饭，如果自己的工作人员都不吃自己厨房里做的菜，那么客人们又如何能相信呢？”

他说：“在与阿里云合作之前，已经了解到阿里巴巴的Aliguard技术，早已用在了双十一中，也是自研的技术；阿里云的安全团队，也有了差不多10年的经验。这可以说是一颗定心丸吧。”

W也告诉我们，掌管游戏公司的企业安全，即便有两个专业团队的支持，在自己专业领域知识的提升上，从不能懈怠。

W最近在“修行”的，是漏洞管理的知识：“我经常会读网络安全方面的书籍，对自己的团队，也会有定期的培训。各个服务商提供的安全漏洞知识库也是很好的补充。书籍更多是理论知识的了解，安全漏洞一直在升级改进，分析各种实际案例可以加深这方面的认知。”