日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
OWASP陳亮:保護隱私不能靠一套密碼打天下

過去幾年間,互聯(lián)網(wǎng)行業(yè)經(jīng)歷了翻天覆地的變化,網(wǎng)絡(luò)從沒有像今天這樣深入地影響著人們的生產(chǎn)和生活。而隨著信息量激增,安全問題也日益受到重視。今天,記者特別采訪了WOT2016企業(yè)安全技術(shù)峰會特邀講師、OWASP中國北京區(qū)負責(zé)人陳亮,就著相關(guān)話題為我們做深入解析。

成都創(chuàng)新互聯(lián)專業(yè)提供成都主機托管四川主機托管成都服務(wù)器托管四川服務(wù)器托管,支持按月付款!我們的承諾:貴族品質(zhì)、平民價格,機房位于中國電信/網(wǎng)通/移動機房,中國電信成都樞紐中心服務(wù)有保障!

陳亮,OWASP中國北京區(qū)負責(zé)人,南京銥迅首席安全顧問,山東安云市場戰(zhàn)略官。

據(jù)他介紹,OWASP中國會員數(shù)量大概是3700人,還在陸續(xù)增加中。這些會員要經(jīng)過一個很嚴格的篩選,其中有些是針對學(xué)生的,各個機構(gòu)都有OWASP的研究人員在其中。除此之外,還有一個專家池系統(tǒng),實戰(zhàn)經(jīng)驗都很強,這也是相比其他機構(gòu)的一個優(yōu)勢。

對國內(nèi)安全現(xiàn)狀的看法

談起對國內(nèi)安全現(xiàn)狀的看法,陳亮認為最核心的問題還是安全意識的薄弱性。很多企業(yè)現(xiàn)在面臨一個很大的問題是很多時候不懂得自己的安全規(guī)劃應(yīng)該如何去做,多數(shù)情況下是被廠商去綁架。甲方不了解真正自己的安全需求是什么,乙方不了解甲方的真正想達到什么樣的效果,最后導(dǎo)致目標與結(jié)果南轅北轍,以至于出現(xiàn)很多安全問題和安全事故。在陳亮看來,最核心的問題還是CIO和CISO的意識不夠強大,很多人對CIO和CISO的職責(zé)和界定也并不是特別了解。

比方在日本,他們的這種高層的信息安全主管,會定期地進行一些考試。考試非常嚴格,之前是有十個領(lǐng)域,現(xiàn)在劃分成八個領(lǐng)域。在中國這方面的人才可能只有1/3左右,但并不是說日新月異的淘汰與輪替,或者說挖一個高級人才就能給企業(yè)帶來真正的很大的一個收益。因為企業(yè)往往不了解它自己的安全去應(yīng)該怎么做,這恰恰是需要去深思的。

陳亮認為信息安全的規(guī)劃必須由企業(yè)自己去考慮,而不是讓廠商來幫忙做主?;蛘哒f應(yīng)該聯(lián)合廠商,發(fā)一個需求,然后廠商來完成,最后通過評審,通過之后,這才是一個相對合理的做法。

“就像一些安全策略的配置一樣,甲方不了解為什么要打這個安全策略,但乙方會告訴他這個里面安全策略能給你帶來什么樣的保護,但其實安全策略打得越多,整個的性能、資源占用都會受到影響?!?/p>

開源與閉源

談到開源和閉源的話題,陳亮認為開源本身不是為了商業(yè)目的,而是為了讓大家都積極地投入進來。隨著越來越多的人投入到研究中來,發(fā)現(xiàn)BUG、修補漏洞,軟件會變得越來越完善。國際上特別流行的一句話叫做先業(yè)務(wù)后安全,業(yè)務(wù)是最主要的支撐部門。以業(yè)務(wù)為驅(qū)動的開源項目往往先用起來,之后發(fā)現(xiàn)問題,然后不斷地調(diào)整加固。

他提到,現(xiàn)在最有價值的漏洞是業(yè)務(wù)邏輯漏洞。作為攻擊者常常需要換位思考,了解業(yè)務(wù)核心邏輯是什么,發(fā)現(xiàn)并繞過漏洞也好,越權(quán)訪問也好,就會變得非常容易。而蘋果系統(tǒng)比較難遭攻擊的原因就在于其自身是閉源的,而安卓手機遇到的問題就很多,可見設(shè)置的門檻越高,越不容易被拿下。

如何更好地保護個人隱私

在這個信息爆炸的時代,每個人都在或多或少地與網(wǎng)絡(luò)發(fā)生關(guān)聯(lián)。而今年來,網(wǎng)絡(luò)泄密事件層出不窮,作為普通網(wǎng)民如何更好地保護個人隱私呢?就著這個問題,陳亮給出了他的看法。他認為首先要有安全意識,要有懷疑態(tài)度,不能輕易地去相信。有些人聽說積分兌換、銀行系統(tǒng)升級等就信以為真,其實往往這些不會通過短信發(fā)送給你。第二,不能一套密碼打天下。很多人銀行密碼被竊,包括賬號被盜,往往都是因為只使用一套簡單的密碼,這樣非常容易成為撞庫的受害者。第三,是不要相信一些小道消息。比如說“搶紅包”,常常給一個紅包的圖片,超鏈接到詐騙網(wǎng)站。

書籍推薦

對于有志于從事和安全或者運維相關(guān)工作的人,陳亮推薦他們可以看看日韓方面的書籍。他在日韓圖靈這一塊主要負責(zé)新安全書籍校驗的,所以每本書都看了至少三四遍,校驗時也發(fā)現(xiàn)了一些問題,但是基本上這些書籍還是很適合從業(yè)人員來看。他推薦了《WEB安全權(quán)威指南》,是日本方面從事信息安全、腳本挖掘、漏洞掃描等方面的指定教科書。如果想從事軟件逆向方面的工作,可以看韓國的,凱利是必然的一個門檻。在運維方面,必過的一個語言就是python,因為現(xiàn)在自動化運維的趨勢越來越明顯。

演講議題

采訪最后,筆者問及陳亮作為WOT峰會的特約講師,會在6月的WOT安全峰會上分享哪些內(nèi)容。他表示如果時間充裕的話,會講一下OWASP最新梳理的Mobile Top 10,這也是很多企業(yè)在移動安全方面比較關(guān)注的一個話題。OWASP在這方面從事了很長時間的研究,希望能有時間分享給大家。


網(wǎng)站標題:OWASP陳亮:保護隱私不能靠一套密碼打天下
本文路徑:http://www.5511xx.com/article/ccieoss.html