9月23日下午,國內最大的互聯網安全360公司主辦的2013中國互聯網安全大會(ISC)在北京國家會議中心舉行,中國信息安全測評中心副總工程師、軟件安全實驗室主任,OWASP中國區副會長郭濤出席軟件安全論壇,并發表主題為《漏洞分析和軟件安全保障》的演講。
圖 中國信息安全測評中心副總工程師在軟件安全論壇演講
郭濤首先對當前的信息安全的形勢做了簡要分析,并列舉了一些關于新威脅新安全的話題,通過事件列舉,由此引入到APT攻擊和斯諾登事件等新的安全威脅事件的探討,指出信息安全的根源所在是漏洞,并提出諸多信息安全保障的想法。
郭濤介紹,幾乎每一個引起身份被盜、網絡中斷、數據丟失與網站崩潰的安全破壞都有一個根本的原因,即軟件本身代碼編寫粗糙,普遍存在的軟件漏洞,成了黑客們攻擊利用的目標,而這些安全問題卻無法從根本上避免,但在發展階段修補這些漏洞要便宜很多。研究公司Gartner曾估計,有約70%的安全攻擊發生在應用層。
郭濤指出,在傳統的信息安全保障觀中,漏洞被視為關鍵要素,而在新型信息安全保障觀下,需要構建多層級保障評估方法,并以漏洞為中心,貫串軟件/信息系統全生命周期。郭濤還詳細闡述了包括傳統信息安全保障通用準則、信息系統安全保障、軟件確保等在內的基礎模型,并針對軟件/系統的全生命周期以及代碼安全保障體系做了全面介紹。
談到信息安全形勢,郭濤強調,信息安全已成為國家戰略的根本,隨著移動互聯網、物聯網的出現,終端數量成倍增長。而在云計算、大數據背景下,特別是社交網絡的快速發展,構建完善的信息安全保障尤為必要。
本屆中國互聯網安全大會由360公司主辦,軟件安全分論壇由CSDN承辦。大會還邀請到國內外眾多信息安全領域的專家和愛好者,同時舉辦移動安全高峰論壇、企業安全高峰論壇、新興安全高峰論壇等多個高峰論壇。大會邀請到了國家工程實驗室、OWASP、Gartner等世界知名互聯網安全相關機構的支持和共同參與,會議規模、專業度及影響力均創國內信息安全會議紀錄。
