2月25日,CSDN在北京舉行了TUP第20期活動(dòng):互聯(lián)網(wǎng)安全。本次研討會(huì)匯集了來(lái)自安天、安恒和xsign等公司和組織的眾多技術(shù)高手,就算法策略、安全防御與漏洞補(bǔ)殺、用戶(hù)身份認(rèn)證和移動(dòng)安全等話(huà)題和與會(huì)者進(jìn)行了深度探討。與會(huì)者包括來(lái)自互聯(lián)網(wǎng)/IT公司技術(shù)高管CIO/CTO/CSO、運(yùn)維管理人員、程序員、網(wǎng)絡(luò)安全研究人員。共計(jì)兩百多人參與了此次研討會(huì)。
圖:活動(dòng)現(xiàn)場(chǎng)座無(wú)虛席。
2012年冬春,互聯(lián)網(wǎng)安全的多事之際。我們見(jiàn)證了大規(guī)模的網(wǎng)站密碼泄露事件,多個(gè)語(yǔ)言或框架的安全漏洞也被曝光,新平臺(tái)的安全問(wèn)題也浮出水面。要做互聯(lián)網(wǎng),重視安全問(wèn)題已經(jīng)刻不容緩。如何保證互聯(lián)網(wǎng)網(wǎng)站安全平穩(wěn)地運(yùn)行,用戶(hù)的隱私權(quán)益得到充分的保障?來(lái)自安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心的研發(fā)經(jīng)理童志明、來(lái)自安恒信息安全服務(wù)的部門(mén)經(jīng)理劉志樂(lè)、來(lái)自xsign的移動(dòng)安全專(zhuān)家張亞一,以及pr0zel windows安全研究員李敏怡,分別闡述了自己的觀(guān)點(diǎn)并帶來(lái)了相應(yīng)解決方案和技術(shù)講解。
安天童志明:Web應(yīng)用開(kāi)發(fā)中的安全算法使用策略
安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心經(jīng)理童志明發(fā)表《Web應(yīng)用開(kāi)發(fā)中的安全算法使用策略》主題演講。
圖:安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心經(jīng)理 童志明
童志明談到,在當(dāng)前0day橫行,幾乎沒(méi)有網(wǎng)站和應(yīng)用可以絕對(duì)保證自己數(shù)據(jù)庫(kù)系統(tǒng)的安全的情況下,如何合理的利用現(xiàn)有的安全算法,可以獲得更多安全的保障,是我們需要討論的問(wèn)題。
在演講中,童志明通過(guò)對(duì)APM實(shí)現(xiàn)的展開(kāi)進(jìn)行深入的討論,讓目前還在明文保存密碼的網(wǎng)站和使用相關(guān)算法策略并不合理(比如那些聯(lián)合使用HASH或者加入單一SALT的情況)的網(wǎng)站,能夠了解如何科學(xué)使用這些數(shù)學(xué)方法,降低安全應(yīng)用的門(mén)檻;同時(shí),他通過(guò)大量案例的分析,希望打消那些中小網(wǎng)站試圖自己研究一個(gè)算法的努力。放棄這些已經(jīng)被經(jīng)過(guò)理論和實(shí)踐檢驗(yàn)過(guò)的算法實(shí)現(xiàn),而徒耗心力和人月,是不值得的。
安恒劉志樂(lè):“泄密門(mén)”帶給我們的警示
安恒信息安全服務(wù)的部門(mén)經(jīng)理劉志樂(lè)做了名為《“泄密門(mén)“帶給我們的警示》的主題演講。
圖:安恒信息安全服務(wù)部門(mén)經(jīng)理 劉志樂(lè)
劉志樂(lè)指出,目前75%的安全隱患來(lái)自于Web應(yīng)用系統(tǒng)所存在的安全漏洞,三分之二的WEB站點(diǎn)都相當(dāng)脆弱,易受到攻擊。Web應(yīng)用安全嚴(yán)峻的現(xiàn)狀。
他在常見(jiàn)Web應(yīng)用安全漏洞的說(shuō)明,主要從兩方面來(lái)闡述:一方面從權(quán)威的OWASP統(tǒng)計(jì)顯示2010年名列前十的安全漏洞;另一方面,通過(guò)從漏洞產(chǎn)生原因、危害以及加固建議三個(gè)方面來(lái)描述目前常見(jiàn)的高危WEB應(yīng)用安全漏洞。
接下來(lái)劉志樂(lè)從整體的安全產(chǎn)品防護(hù)、安全服務(wù)兩個(gè)方面來(lái)闡述如何對(duì)Web應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)。安全產(chǎn)品防護(hù)主要是描述WEB應(yīng)用安全產(chǎn)品的部署防護(hù),安全服務(wù)主要是描述Web應(yīng)用系統(tǒng)的安全服務(wù)體系概述、安全服務(wù)內(nèi)容以及安全服務(wù)主要實(shí)施技術(shù)和工具。
最后,劉志樂(lè)在演講中對(duì)敏感信息泄露的防范提供了幾點(diǎn)建議:將敏感信息統(tǒng)一定位在安全目錄下;正確設(shè)置訪(fǎng)問(wèn)權(quán)限;敏感目錄和敏感文件名不要默認(rèn)命名等等。
xsign張亞一:2011年Android惡意軟件分析
xsign成員張亞一做了《2011年Android惡意軟件分析》的演講。
圖:xsign成員 張亞一
張亞一指出,2011年是Android惡意軟件試水的一年,以隱私、廣告和推廣為主題的產(chǎn)業(yè)鏈慢慢浮現(xiàn)。同時(shí)Android惡意軟件的演進(jìn)速度也明確加快。在演講中他就通過(guò)分享幾個(gè)Android病毒管中窺豹式地分析了2011年惡意軟件的發(fā)展?fàn)顩r。
在演講結(jié)束后的討論中,與會(huì)者踴躍提問(wèn),提出自己遇到的實(shí)際問(wèn)題,尋求技術(shù)指導(dǎo)與交流探討。嘉賓們也做了耐心的講解與深入的探討交流,現(xiàn)場(chǎng)氣氛熱烈而融洽,并針對(duì)本次講座的主題與業(yè)界熱點(diǎn)話(huà)題,發(fā)表見(jiàn)解并分享自己工作中的技術(shù)心得和經(jīng)驗(yàn)積累。
這種在開(kāi)放式的交流,與會(huì)者與演講嘉賓無(wú)疑加深了對(duì)目前安全現(xiàn)狀的了解和安全問(wèn)題的認(rèn)識(shí)。
