2月25日,CSDN(微博)在北京舉行了TUP第20期活動:互聯(lián)網(wǎng)安全。本次研討會匯集了來自安天、安恒和xsign等公司和組織的眾多技術(shù)高手,就算法策略、安全防御與漏洞補(bǔ)殺、用戶身份認(rèn)證和移動安全等話題和與會者進(jìn)行了深度探討。與會者包括來自互聯(lián)網(wǎng)/IT公司技術(shù)高管CIO/CTO/CSO、運(yùn)維管理人員、程序員、網(wǎng)絡(luò)安全研究人員。共計(jì)兩百多人參與了此次研討會。
2012年冬春,互聯(lián)網(wǎng)安全的多事之際。我們見證了大規(guī)模的網(wǎng)站密碼泄露事件,多個(gè)語言或框架的安全漏洞也被曝光,新平臺的安全問題也浮出水面。要做互聯(lián)網(wǎng),重視安全問題已經(jīng)刻不容緩。如何保證互聯(lián)網(wǎng)網(wǎng)站安全平穩(wěn)地運(yùn)行,用戶的隱私權(quán)益得到充分的保障?來自安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心的研發(fā)經(jīng)理童志明、來自安恒信息安全服務(wù)的部門經(jīng)理劉志樂、來自xsign的移動安全專家張亞一,以及pr0zel windows安全研究員李敏怡,分別闡述了自己的觀點(diǎn)并帶來了相應(yīng)解決方案和技術(shù)講解。本文總結(jié)了嘉賓的演講內(nèi)容并提供了演講資源下載,《Web應(yīng)用開發(fā)中的安全算法使用策略》、《“泄密門“帶給我們的警示》。
安天童志明:Web應(yīng)用開發(fā)中的安全算法使用策略
安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心經(jīng)理童志明發(fā)表《Web應(yīng)用開發(fā)中的安全算法使用策略》主題演講。
童志明談到,在當(dāng)前0day橫行,幾乎沒有網(wǎng)站和應(yīng)用可以絕對保證自己數(shù)據(jù)庫系統(tǒng)的安全的情況下,如何合理的利用現(xiàn)有的安全算法,可以獲得更多安全的保障,是我們需要討論的問題。
在演講中,童志明通過對APM實(shí)現(xiàn)的展開進(jìn)行深入的討論,讓目前還在明文保存密碼的網(wǎng)站和使用相關(guān)算法策略并不合理(比如那些聯(lián)合使用HASH或者加入單一SALT的情況)的網(wǎng)站,能夠了解如何科學(xué)使用這些數(shù)學(xué)方法,降低安全應(yīng)用的門檻;同時(shí),他通過大量案例的分析,希望打消那些中小網(wǎng)站試圖自己研究一個(gè)算法的努力。放棄這些已經(jīng)被經(jīng)過理論和實(shí)踐檢驗(yàn)過的算法實(shí)現(xiàn),而徒耗心力和人月,是不值得的。
安恒劉志樂:“泄密門”帶給我們的警示
安恒信息安全服務(wù)的部門經(jīng)理劉志樂做了名為《“泄密門“帶給我們的警示》的主題演講。
劉志樂指出,目前75%的安全隱患來自于Web應(yīng)用系統(tǒng)所存在的安全漏洞,三分之二的WEB站點(diǎn)都相當(dāng)脆弱,易受到攻擊。Web應(yīng)用安全嚴(yán)峻的現(xiàn)狀。
他在常見Web應(yīng)用安全漏洞的說明,主要從兩方面來闡述:一方面從權(quán)威的OWASP統(tǒng)計(jì)顯示2010年名列前十的安全漏洞;另一方面,通過從漏洞產(chǎn)生原因、危害以及加固建議三個(gè)方面來描述目前常見的高危WEB應(yīng)用安全漏洞。
接下來劉志樂從整體的安全產(chǎn)品防護(hù)、安全服務(wù)兩個(gè)方面來闡述如何對Web應(yīng)用系統(tǒng)進(jìn)行安全防護(hù)。安全產(chǎn)品防護(hù)主要是描述WEB應(yīng)用安全產(chǎn)品的部署防護(hù),安全服務(wù)主要是描述Web應(yīng)用系統(tǒng)的安全服務(wù)體系概述、安全服務(wù)內(nèi)容以及安全服務(wù)主要實(shí)施技術(shù)和工具。
最后,劉志樂在演講中對敏感信息泄露的防范提供了幾點(diǎn)建議:將敏感信息統(tǒng)一定位在安全目錄下;正確設(shè)置訪問權(quán)限;敏感目錄和敏感文件名不要默認(rèn)命名等等。
xsign張亞一:2011年Android惡意軟件分析
xsign成員張亞一做了《2011年Android惡意軟件分析》的演講。
張亞一指出,2011年是Android惡意軟件試水的一年,以隱私、廣告和推廣為主題的產(chǎn)業(yè)鏈慢慢浮現(xiàn)。同時(shí)Android惡意軟件的演進(jìn)速度也明確加快。在演講中他就通過分享幾個(gè)Android病毒管中窺豹式地分析了2011年惡意軟件的發(fā)展?fàn)顩r。
在演講結(jié)束后的討論中,與會者踴躍提問,提出自己遇到的實(shí)際問題,尋求技術(shù)指導(dǎo)與交流探討。嘉賓們也做了耐心的講解與深入的探討交流,現(xiàn)場氣氛熱烈而融洽,并針對本次講座的主題與業(yè)界熱點(diǎn)話題,發(fā)表見解并分享自己工作中的技術(shù)心得和經(jīng)驗(yàn)積累。
這種在開放式的交流,與會者與演講嘉賓無疑加深了對目前安全現(xiàn)狀的了解和安全問題的認(rèn)識。
往期活動報(bào)道:
什么是TUP?
Technology 技術(shù)
User Experience 用戶體驗(yàn)
Product 產(chǎn)品
分享產(chǎn)品背后的技術(shù)和用戶體驗(yàn)故事
TUP是由全球最大的中文IT技術(shù)社區(qū)CSDN和最具影響力的IT技術(shù)期刊《程序員》發(fā)起組織的線下活動,以業(yè)界知名專家講座和論壇形式在北京、上海等主要城市定期舉行,主要針對IT產(chǎn)品研發(fā)相關(guān)的技術(shù)、設(shè)計(jì)、運(yùn)營、運(yùn)維、管理專業(yè)人士,目的是與技術(shù)界人士共同關(guān)注IT產(chǎn)品研發(fā)背后的成敗經(jīng)驗(yàn),關(guān)注技術(shù)、用戶體驗(yàn)和產(chǎn)品設(shè)計(jì),信仰開放、創(chuàng)新、交流和社區(qū)。
推薦閱讀
童志明:Web應(yīng)用開發(fā)中的安全算法使用策略
2月25下午,CSDN(微博)在北京麗亭華苑酒店舉行了TUP第二十期活動——互聯(lián)網(wǎng)安全。本次活動邀請了眾多安全界專家,安天實(shí)驗(yàn)室反病毒引擎研發(fā)中心經(jīng)理童志明,安恒信息安全服務(wù)部門經(jīng)理劉志樂,C/C++/ASM程序員,xsign>>>詳細(xì)閱讀
本文標(biāo)題:從開發(fā)到用戶 關(guān)注互聯(lián)網(wǎng)安全
地址:http://www.sdlzkt.com/a/kandian/20120305/36968.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報(bào)
品牌展示