騰訊安全：2019騰訊標準化白皮書(73頁).pdf

1、 標準化是指在經濟、 技術、 科學和管理等社會實踐中， 對重復性 的事物和概念， 通過制訂、 發布和實施標準達到統一， 以獲得最佳秩 序和社會效益。標準化的重要意義是改進產品、過程和服務的適用 性，防止貿易壁壘，促進技術合作。 近年來，隨著互聯網技術革新，數字科技與傳統產業的融合加 深， 標準化成為改善各種技術協同、 網絡安全等問題， 提高效率的重 要手段和方法。 騰訊高度重視標準化研究與應用的工作，為適應外部環境的挑 戰，5G、人工智能、區塊鏈等新興技術發展，滿足內部產品和服務 的需求， 騰訊于 2016 年起組建專業的標準化團隊， 在跟蹤政策標準、 獲取資質認證、參與標準研究、牽頭標準制定

2、等方面取得了豐碩的 成果。 基于前期的工作成果， 我們梳理了騰訊標準化體系， 總結了標準 化經驗，編制了騰訊標準化白皮書（2019 版） ，論述了騰訊在標 準化領域的理念、探索和實踐。騰訊希望與業界共創互聯網標準化 工作的方法論和最佳實踐，不斷提升中國互聯網企業的標準化能力。 騰訊標準出品 特別鳴謝 1、 騰訊標準化體系 . 1 1.1 概述 . 2 1.2 使命 . 2 1.3 任務 . 3 1.4 原則 . 4 1.5 價值 . 5 1.5.1 對國家的價值 . 5 1.5.2 對社會的價值 . 6 1.5.3 對產業的價值 . 6 1.5.4 對企業的價值 . 7 1.6 職責 . 7

3、2、 騰訊標準研究案例 . 10 2.1 安全 . 11 2.1.1 防范網絡詐騙標準 . 11 2.1.2 大數據業務安全風險標準 . 12 2.1.3 “零信任技術”安全標準 . 14 2.1.4 網絡安全應急標準體系. 16 2.1.5 野生動植物保護標準 . 17 2.1.6 移動應用 SDK 安全標準 . 19 2.2 多媒體技術 . 21 2.2.1 多媒體壓縮標準 . 21 2.2.2 多媒體系統架構標準 . 23 2.2.3 多媒體網絡傳輸和通信標準 . 24 2.2.4 多媒體開放項目（OCP）媒體加速標準 . 24 2.3 5G 技術 . 25 2.3.1 5G 網絡架構標

4、準 . 25 2.3.2 5G 技術+云游戲標準 . 26 2.3.3 5G 技術+V2X 車聯網標準 . 28 2.3.4 5G 技術+工業互聯網標準. 29 2.4 娛樂 . 31 2.4.1 網絡游戲未成年人守護標準 . 31 2.4.2 數字版權管理標準 . 32 2.4.3 實時游戲標準 . 33 2.5 金融 . 34 2.5.1 “區塊鏈+票據”標準 . 34 2.5.2 互聯網支付安全標準 . 36 2.5.3 人臉識別支付受理設備安全標準 . 37 2.6 云 . 40 2.6.1 量子計算與測量標準 . 41 2.6.2 基于 PCI DSS 云用戶數據安全企業標準 . 4

5、1 2.6.3 基于 ISO27001:2013 云用戶網絡安全管理體系企業標準 41 2.6.4 云安全態勢感知標準 . 42 2.7 智慧產業 . 44 2.7.1 人工智能技術與應用標準 . 44 2.7.2 物聯網安全徽標認證系列標準 . 46 3、 騰訊標準應用案例 . 48 3.1 基于標準的產品與服務 . 49 3.1.1 騰訊御見安全中心 . 49 3.1.2 騰訊 UEM（統一終端管理） . 51 3.1.3 騰訊樂固產品 . 51 3.1.4 騰訊游戲安全運維 . 52 3.1.5 騰訊云密鑰管理服務 KMS . 54 3.1.6 多媒體技術實踐平臺 . 55 3.1.7

6、5G 技術實踐平臺 . 56 3.2 基于標準的測評與認證 . 57 3.2.1 微信 . 57 3.2.2 財付通與微信支付 . 58 3.2.3 公有云和金融云 . 59 3.2.4 政務云. 60 3.2.5 智慧出行 . 61 3.2.6 企業微信 . 62 3.2.7 企業郵箱 . 62 3.2.8 騰訊企點 . 63 3.2.9 騰訊敏捷產品研發平臺 . 63 3.2.10 騰訊樂享 . 64 3.2.11 騰訊藍鯨研發運營一體化 . 64 4、 結語 . 66 1 概述 標準是產業發展和市場競爭的核心要素，騰訊緊跟“中國標準 2035”等國家戰略方針，結合自身工作成果，構建了騰訊

7、標準化工作 體系，概括為“一個使命、二大任務、三項原則、四個價值、五項職 責” 。 使命 致力于“通過互聯網服務提升人類生活品質” ，騰訊希望“通過 標準化助力互聯網服務提質增效” ， 并以此為騰訊標準化團隊的使命。 騰訊將努力構建 “標準化+” 新業態， 助力業務發展、 體現責任擔當、 推動行業共識。 2 l 助力業務發展 標準是規范市場秩序、提高效率、促進貿易的依據，而認證可作 為質量管理的“體檢證”、 市場經濟的“信用證”、 國際貿易的“通行證”， 因此騰訊大力開展標準化工作， 能夠幫助公司不斷提升產品和服務質 量，增強市場和客戶信任度，促進業務邁向國際化。 l 體現責任擔當 “科技向善

8、”成為騰訊愿景的一部分，構建數字時代正確的價值 理念、社會責任和行為規范，善用科技，避免濫用，杜絕惡用。騰訊 已實施了多項重點科技向善的項目，包括 AI 尋人、民漢翻譯、野生 動植物保護、未成年人保護、自殺人群保護、科技興邊富民、網絡犯 罪防護打擊等。通過項目標準化，騰訊與業界共建一個健康包容、可 信賴、可持續的“善良”社會。 l 推動行業共識 標準是在一定范圍內獲得最佳秩序，需經多方協商一致制定。騰 訊將技術創新與業務同標準相結合，通過合作、開放逐步融入全球產 業體系。 1.3 任務 遵循標準化使命，騰訊標準化的主要任務是“推動標準研究，推 進標準應用” 。 3 l 推動標準研究 1) 積極

9、參加國際、國家、行業互聯網相關標準組織及其標準的 制定，承擔相關職責，跟蹤解讀國內外標準化動向； 2) 加強加快重點業務的標準研究，推動標準研制； 3) 運用標準手段，促進前瞻性技術研究。 l 推進標準應用 1) 強化重要標準的宣貫，對內開展標準培訓活動，對外組織行 業內標準研討會議； 2) 積極開展產品和服務的檢測認證工作； 3) 加強標準與產品技術的結合與相互促進，指導標準成果的應 用實踐。 1.4 原則 基于騰訊標準化主要任務，騰訊標準化的原則為“立足戰略、聚 焦業務、開放生態” 。通過標準化實現互操作和協同工作，形成完整 開放的產業生態，提供業務效能、保證高質量發展。 騰訊將從“扎根消

10、費互聯網，擁抱產業互聯網” 、 “開源協同，自 研上云” 、 “科技向善”等公司戰略出發，對于公司 toB、toG 業務發 展需要、技術效率提升和體現社會責任的標準大力推進。 4 騰訊將聚集相關公司業務、技術發展前沿，尤其是騰訊在安全、 娛樂、金融、云、智慧產業等方向，將騰訊自身的技術服務和生態平 臺的特點融合到標準研究中。 騰訊將秉持開放生態，聯合多方機構，依托專業組織和渠道，聯 合政、企、學、研等多方力量，在標準化領域，共同探索互聯網企業 的潛能，構建“標準化+”互聯網新業態。 價值 騰訊以國家對互聯網發展的總體戰略為指導， 遵循國家有關方針 政策，提出互聯網標準化工作方針和技術措施建議，

11、總結標準化工作 方法，以構建互聯網新型標準體系為目標，提出標準研制的建議，為 騰訊下一步標準化工作提供參考和指引，幫助產業同業者先行探路， 在已有經驗的基礎上形成共識，促進研究成果轉化和應用。 1.5.1 對國家的價值 騰訊通過參加國際標準化活動，可將中國企業的技術創新成果， 納入國際標準，引導國際技術的發展，為中國企業走出去、提升我國 國際競爭力、促進國家間技術和產業交流等作出貢獻。 5 5 對社會的價值 在經濟發展方面，騰訊通過標準化在保障產品、服務的質量和安 全，促進產業升級和經濟增效。標準是經濟社會活動的技術依據，高 質量的發展離不開高質量標準的支撐，深入實施“標準化+” ，促進標 準

12、化與各地、各產業轉型發展深度融合，服務好國內經濟社會發展。 在政府治理方面， 騰訊通過標準化手段協助解決互聯網新技術和 政務業務的有效結合，促進技術、標準和政務管理的有效銜接，推動 政務領域的信息化安全發展。 通過標準將安全可靠的新技術應用于政 務工作業務過程，提高行政效能，規范工作行為，推進安全前提下的 政務數據共享和政務工作的全面升級，實現服務社會的重要創新。 在服務民生方面，騰訊通過標準化引導方式，保障企業提供的產 品和服務的高安全和高質量，使人民大眾享受到放心、安全、好用的 產品，維護消費者權益，實現消費升級，提升人民生活的幸福感。 對產業的價值 為了更好的引導標準化工作有序開展， 騰

13、訊梳理了互聯網產業發 展面臨的應用場景需求、安全風險和挑戰，研究國內外互聯網應用和 安全相關的標準政策， 給出了騰訊標準化工作建議。 通過標準化工作， 引領大數據、云計算、區塊鏈、人工智能和 5G 等新一代信息技術創 新和應用， 夯實國家網絡安全產業基礎， 保障互聯網產業可持續發展。 6 對企業的價值 對企業發展而言，標準化策略可使騰訊產品和服務快速復制，大 幅度降低產品研發、生產、銷售等各環節的成本，提升產品質量。 通過參與行業標準， 還能實現騰訊產品與上下游產品的互聯互通 和兼容，達到參與市場、贏得市場的目的。 通過主導標準制定，可以保護騰訊自主知識產權和核心技術，提 高了騰訊的核心競爭力

14、。 同時，標準化可助力騰訊實現社會責任和社會價值，以騰訊踐行 科技向善的愿景和使命為例， 我們致力于將自身的優秀技術和實踐經 驗對外輸出，填補和完善相關國際標準，以推動行業共識，構建數字 時代正確的價值理念、社會責任和行為規范。 國家鼓勵更好發揮市場企業主體活力，發揮標準在新技術、新產 品推廣，以及新產業、新動能發展中的引領支撐作用，這就給騰訊發 展帶來了新的機遇。 1.6 職責 基于騰訊過往標準化工作的經驗， “標準化+”的思路需要騰訊標 準團隊能夠承擔以下五項職責：行業洞察、規劃咨詢、項目管理、應 用推廣和體系建設。 7 l 行業洞察：分析標準資訊，支撐戰略決策 標準化既可幫助公司將業務和

15、技術成果輸出， 又可將業界正在前 沿研究的最新情況輸送給公司， 幫助公司了解技術和業務的標準戰略 等情況。無論是由內對外，還是由外對內，都要求具有敏銳的感知能 力，準確判斷什么技術業務可以標準化，現有的標準和研究對公司戰 略執行可能有什么助力。 l 規劃咨詢：制定標準路線，支持業務布局 技術/業務的發展階段對標準化具有不同的需求，需要根據公司 業務方向，進行標準化項目的規劃咨詢，連接所需的資源，制定標準 發展的路線，支持業務/技術的布局。 l 項目管理：具備標準素養，執行專業策略 標準化項目的落地和推動，離不開標準素養。標準素養除了專業 化的標準知識，適宜的標準資源和渠道，還需項目執行和運營能

16、力， 才能做好做實標準項目。 l 應用推廣：宣貫標準成果，落地行業實踐 騰訊的標準化是隨著業務的安全合規和 toB、toG 需求逐漸發展 而來的，在扎根消費互聯網的前提下，需要將標準化的價值、作用和 意義，以及現有的標準化成果多向一線的團隊宣貫。以點帶面，自上 而下，通過宣傳、培訓、案例、激勵等多種手段，在公司內培養標準 化的意識。同時，推動標準在公司內多落地實施，形成行業實踐。 8 l 體系建設：匯聚標準人才，規范運營機制 互聯網標準化是當前新趨勢， 傳統的標準化思路不完全適合互聯 網企業。騰訊一方面需要匯聚標準人才，探索建設互聯網公司標準化 機制，為同業提供更豐富的經驗和案例。 “標準化+

17、”方法論的踐行，要邊實踐邊完善，要與關鍵業務/技 術緊密結合，打造精品標準，形成模式帶動效應，推動標準研究+資 質認證業務快速的復制，以適應公司業務的高速發展。 9 10 二、 安全 防范網絡詐騙標準 騰訊踐行企業社會責任，發揮安全大數據、核心技術和海量用戶 優勢，聯合公安部、運營商、銀行及各大企業發起“守護者計劃” ，打 通產業鏈上下游，構筑反電信網絡詐騙安全生態體系，旨在為公民信 息安全提供全方位保護，降低公民遭遇電信網絡詐騙的風險。 騰訊研發了反詐騙智慧大腦，持續向電信、金融、食藥安全等領 域的反詐騙工作賦能。反詐騙智慧大腦基于人工智能技術研發，涵蓋 金融反欺詐引擎“靈鯤”、資金流查控系

18、統“神偵”以及事前預警的“網 絡態勢感知”， 與更早之前建立的反電話詐騙系統“鷹眼”、 打擊偽基站 系統“麒麟”、情報分析平臺“神羊”、網址反詐騙系統“神荼”等十余款 反詐騙產品，覆蓋通訊、金融等領域的詐騙黑產作惡的各個環節，能 夠在詐騙的事前、事中以及案情分析等關鍵環節起到作用,為警方以 及金融、食品藥監、通訊等監管部門提供了全方位的人工智能+大數 據反詐騙體系。 其中， “鷹眼”落地全國 20多座城市， 累積挽回用戶損失 10億元。 “神偵”正式運行 3 個月以來凍結詐騙資金 6.5 億元，凍結惡意銀行卡 數萬張?！镑梓搿甭涞厝珖?20 多座城市，令全國總體偽基站騙案發率 下降 70%。

19、“網絡態勢感知”累積監測可疑傳銷平臺 2500 多個。 “神荼” 11 在十多座城市上線，上線地區網絡詐騙案發率日均下降 50%?！办`鯤” 日攔截金融欺詐申請超過 10 萬次，挽回資金過億元。 “賓果”系統集 預防和打擊為一體，根據警方的警情和用戶舉報數據，結合騰訊安全 云庫的樣本積累和司法判例研究， 對各類詐騙犯罪行為特征提取和模 式識別、大數據分析，圍繞仿冒公檢法、刷單、貸款、冒熟等各類主 流詐騙，準確率達到 90%以上。 2018 年，騰訊牽頭的防范通訊信息欺詐指南國家標準研究項 目在全國信息安全標準化技術委員會正式立項，包括互聯網企業、安 全廠商、 電信運營商、 研究機構組成的研究項目

20、團隊對國家反詐政策， 技術和現有標準進行了梳理和調研。在國家標準研究工作的基礎上， 2018 年 7 月，在中國通信標準化協會 CCSA 成功立項行業標準通 訊信息詐騙風險感知技術要求 。 大數據業務安全風險標準 騰訊安全天御業務安全體系，是結合騰訊 20 年黑灰產對抗經驗 及 AI 智能風控能力的一套大數據業務安全風控體系，它依據賬號、 設備、環境等多維度信息，基于深度復雜網絡模型來關聯異構信息， 基于注意力機制抓取流量的惡意顯著特征，實時識別惡意流量，并結 合生成對抗網絡檢測惡意變種， 為客戶提供實時的惡意風險等級評估， 輔助客戶風控決策； 天御不僅能夠實現超 90%的惡意行為識別率， 還

21、 12 能對欺詐行為做全方面的精細刻畫。 天御反欺詐能力已經在諸如金融、 零售、視頻、電商、社交、出行等多個行業取得了豐碩的應用成果。 比如在金融場景， 天御已覆蓋金融領域超過 80%的標桿客戶， 累計已 識別高惡意交易、 信貸行為等超過 4000 萬次， 挽回客戶損失超過 1000 億元， 為銀行、 證券、 保險等客戶提供金融級身份認證、 金融反欺詐、 交易反欺詐、定制化專家模型等反欺詐服務，全面護航金融機構數字 化轉型。 同時， 還先后為蒙牛、 東鵬特飲等企業提供了包含精準識別、 實時判斷和分級處理等在內的營銷風控服務， 為合作企業節約了千萬 量級的營銷資金。 當前全球黑灰產市場龐大，僅以

22、中國舉例，黑產從業人員已超過 150 萬人次，黑產規模高達 1000 億人民幣，給各行各業的業務安全 都帶來了巨大威脅。 制定一套適用于全球大數據業務安全風控場景的 國際化標準，成為行業共同的訴求?；诖吮尘?，騰訊依托豐富業務 安全風控實踐經驗，發起制定了大數據業務安全風險評估國際標 準并順利通過 IEEE 的立項申請。該標準是 IEEE 通過的第一個以大 數據技術為基礎的業務安全風險管理領域標準。 該標準立項的成功無 疑將為業務安全風險控制國家標準和行業標準的制定提供有益參考， 助力大數據業務安全良好生態的構建。同時，為更好地滿足各行各業 搭建可控、有效大數據業務安全風控系統的發展需求貢獻力

23、量。 13 “零信任技術”安全標準 傳統的網絡接入依靠邊界防火墻等網絡隔離技術將內外網隔離 起來，專注防御邊界安全。邊界外無法直連內網，需要通過 VPN 接 入訪問內外資源；邊界內，假定任何設備都是安全可信的，僅在設備 接入網絡時做一次身份認證， 認證通過后設備訪問內網資源缺少安全 防護措施。同時，隨著移動辦公（越來越多的員工用自己的電腦、用 自己的手機） 、云技術快速發展，純內部系統組成的數據中心不再存 在，業務應用一部分在自有 IDC 里，一部分在云端，分布各地的訪問 者通過各種各樣的設備訪問云端應用， 很大程度上網絡邊界已經非常 模糊了。此時，零信任技術應運而生，可以有效解決傳統邊界防護

24、的 弱點，大大提升安全訪問管控能力和安全性。 騰訊 iOA 零信任安全（Tencent iOA Zero Trust）作為安全管理體 系， 是騰訊自身十多年的內網安全管理實踐與業內前沿的“零信任”安 全理念結合推出的新一代網絡邊界訪問管控解決方案， 以身份安全 、 終端安全和鏈路安全三大核心能力， 為企業移動辦公和應用上云打造 統一、安全和高效的無邊界網絡訪問入口，構建全方位、一站式的零 信任安全體系，加速企業網絡安全管理升級，為政企用戶在互聯網產 業化進程中保駕護航。 14 騰訊 iOA Zero Trust 是一種新型的網絡訪問管控系統，它基于用 戶權限為中心進行訪問控制， 引導安全體系架

25、構從網絡中心化走向身 份中心化，它不再依賴網絡位置判斷是否允許訪問，而是持續性評估 設備、系統、用戶、訪問流的安全性和風險狀態，以達到細粒度、動 態的安全訪問控制。 2019年， 騰訊公司成功牽頭立項零信任安全技術國內行業標準。 騰訊通過標準規范零信任技術的安全框架以及實現零信任網絡的完 整解決方案， 用于指導零信任網絡和系統的設計、 建設、 運營和管理， 以形成業界對零信任安全技術的共識，促進相關技術和產品的發展。 15 網絡安全應急標準體系 騰訊于 2012 年 5 月建立了安全應急響應中心 TSRC（Tencent Security Response Center） ，負責騰訊相關的漏洞

26、或攻擊的應急處置， 包括發現漏洞與攻擊情報，評估安全風險，以及推動止損、修復等工 作，是中國首家企業自建漏洞收集平臺。在大量的實踐過程中，逐漸 總結出了一套獨立的流程與規則， 將外部渠道收集的漏洞和情報的管 理機制總結成騰訊外部報告漏洞處理流程 。近期，推出了快速構 建企業安全應急中心的開放平臺騰訊 XSRC 開放平臺， 將安全能 力輸出個全行業。后續，將發布開源 TSRC 版本，完善互聯網安全生 態，保障互聯網用戶的隱私和財產安全。從技術和流程上對安全事件 和漏洞進行管控和處置外，騰訊從源頭出發，依據業務特點和已有經 驗制定了相關的安全制度和應急預案。目前已發布了安全漏洞分級 及處罰規定 、

27、 騰訊公司重大運維故障應急處理流程等多項制度規 范應急響應操作。 2018 年 7 月至 2019 年 6 月，騰訊參與了全國信息安全標準化技 術委員會組織的網絡安全應急標準體系研究國家標準研究項目。 該項目由國家計算機網絡應急技術處理協調中心（CNCERT）牽頭， 通過對國家網絡安全應急現狀與標準化需求的調研， 系統梳理國內外 網絡安全應急相關政策法規和標準化制定情況， 研究制定了網絡安全 應急標準體系。 騰訊通過對安全應急響應中心 （TSRC） 的產品技術、 16 平臺服務等進行梳理，在網絡安全應急標準體系研究貢獻實踐經 驗。 野生動植物保護標準 與人口販賣、毒品走私以及非法軍火交易一樣，

28、野生動植物犯罪 已經成為極具危險性和破壞性的國際組織犯罪活動。 保護野生動植物、 打擊野生動植物非法貿易，是加強生態文明建設的重要內容，也是當 今國際社會廣泛關注的熱點問題。 2016 年 11 月， 國務院批準建立“打 擊野生動植物非法貿易部際聯席會議制度”， 旨在增強各部委聯動 （目 前已有 25 個部委） ，加大對違法加工、銷售、運輸、走私等行為的打 擊力度，強化瀕危野生動植物及其制品監督管理。野生動植物違禁品 買賣已經從傳統的線下逐漸轉移到互聯網平臺。便捷的網絡通訊，匿 名的信息發布以及快速的物流運輸使得野生物非法交易可輕易達成， 為政府部門的執法帶來了極大挑戰。因此，如網絡平臺管理方

29、、政府 機關、社會機構等能及時介入，將能更好地強化非法野生動植物的流 通打擊，減少和杜絕野生動植物非法貿易行為。 騰訊在 2015 年發起了“企鵝愛地球”項目，通過在 QQ 和微信設 置專門舉報通道， 發動億萬網民舉報網絡上的非法野生動植物貿易行 為，同時依托安全能力，通過舉報線索對販賣野生物產業鏈進行深入 挖掘，協助警方落案。截至 2018 年底，“企鵝愛地球”舉報平臺已累 17 積處置近 5800 個相關的違規賬號。 2018 年“企鵝愛地球”接入騰訊 110 舉報入口，開通了“販賣野生物及制品”舉報通道，建立了 “非法野生 動物貿易”舉報的快速處置、聯動打擊的新治理機制。 在騰訊企鵝愛地

30、球項目組的協助下， 國家森林公安成功地偵破了 湖南販賣穿山甲案件、云南昆明販賣虎骨和犀牛角制品、北京販賣象 牙制品案以及河南販賣犀牛角、象牙制品案件等一大批重大的案件， 有效控制了網絡非法野生物貿易的蔓延。 騰訊等互聯網公司攜手世界自然基金會（WWF） 、野生物貿易研 究委員會 （TRAFFIC） 成立了打擊網絡野生動植物非法貿易中國互聯 網企業聯盟。在 TRAFFIC、WWF、國際愛護動物基金會（IFAW）的 推動下， 中國互聯網企業聯盟成員以及谷歌、 微軟、 eBay 等其他來自 北美、歐洲和非洲 21 家領先的電子商務、科技和社交媒體公司，在 美國舊金山市成立了“互聯網企業打擊網絡野生動

31、植物非法貿易全球 聯盟”，承諾共同研究并執行相應的政策和措施來有效遏制網絡野生 動植物非法貿易。 秉持著“科技向善”的理念，騰訊將自身的力量和企業文化更好 融入到環境保護事業中，同時促進業界合作。畢竟，僅僅依靠騰訊公 司一家企業顯然力量有限。同時，網絡非法野生物貿易控制方面工作 仍缺少相關指導性文件來規范、引導相關機制、流程等。因此，亟需 將已有的成功經驗固化形成規范指南， 以指導各網絡平臺廣泛開展控 18 制措施。騰訊已成功牽頭立項互聯網團隊標準網絡平臺非法野生動 植物貿易控制實踐指南 。 移動應用 SDK 安全標準 隨著移動應用市場份額的快速增長， 為了縮短開發時間和提高開 發效率，移動應

32、用開發商將多種類型的軟件開發工具包（ Software Development Kit，簡稱 SDK）集成到他們的應用程序中。這些 SDK 是由廣告、數據、社交網絡、地圖和推送平臺等第三方服務提供商所 開發的工具包，可以提供專業的服務，其中封裝了復雜的邏輯實現以 及請求響應的過程，使其更便于開發人員使用。 然而，SDK 也會對移動應用的用戶隱私和安全性產生威脅。 Taomike(中國最大的移動廣告提供商之一)提供的 SDK 被曝出存在 安全漏洞，被利用將敏感信息上傳到遠程服務器,并在用戶的設備上 開啟后門。除了侵犯用戶隱私以外，有些 SDK 還會采取不安全的實 現方式，增加其宿主應用程序的攻擊

33、面，從而對用戶安全造成威脅。 此外，為了謀取經濟利益，部分惡意開發者滲入到 SDK 開發環 節，以提供第三方服務的方式吸引 App 開發者來使用他們的 SDK。 騰訊守護者計劃安全團隊在協助警方打擊治理過程中，也發現了 app 流量黑產上游的惡意 sdk 制作傳播的威脅源。 2018 年 4 月， 騰訊 TRP- 19 AI 反病毒引擎捕獲到一個惡意推送信息的軟件開發工具包（SDK） “寄生推”， 它通過預留的“后門”云控開啟惡意功能， 私自 Root 用 戶設備并植入惡意模塊，進行惡意廣告行為和應用推廣，以實現牟取 灰色收益。300 多款知名 App 遭遇“寄生推”的病毒感染，其中不乏用 戶

34、超過千萬的巨量級軟件，潛在影響用戶超 2000 萬。 減少SDK 中的安全問題將有效緩解移動應用中用戶所面臨的安 全風險。騰訊以自身 SDK 安全實踐為基礎，牽頭立項行標移動應 用 SDK 安全指南 。標準將提供移動應用開發設計中的 SDK 安全 20 原則，SDK 安全評估和安全監測的方法和手段，梳理常見 SDK 類型 及其業務功能，增強惡意 SDK 的識別、檢測和防范能力。 多媒體技術 騰訊 Media Lab 深耕多媒體壓縮、系統架構與網絡傳輸和通信等 相關領域，目前已有近百項技術提案被多個國際標準采納，并有多人 在國際標準組織中擔任重要職務。 多媒體壓縮標準 Versatile Video Coding (VVC)是正在制定過程中的下一代視頻壓 縮國際標準。 跟上一代標準 HEVC 相比， 可以在相同主觀質量下降低 一半的碼率，極大提高了壓縮性能，是未來 4K、8K 以及虛擬現實 VR360 等視頻業務的基礎。目前實驗室已經向 VVC 提交了 20