OWASP中国峰会简介

1、 HYPERLINK ./ ./ HYPERLINK ./ 更多资料料请访问问. HYPERLINK (.) (.) HYPERLINK ./ ./OWASSP20010中中国峰会会【主持人人（中国国人民大大学石文文昌教授授】：各各位领导导、各位位来宾、现场和和网上的的各位朋朋友，大大家好！欢迎大大家在百百忙之中中光临本本届OWWASPP中国峰峰会，本本界得到到了公安安部网络络安全包包围局郭郭启全处处长，中中国科学学院软件件研究所所基础软软件国家家工程研研究中心心，系统统安全研研究室负负责人丁丁立平研研究员，OWAASP董董事会RRIP先先生的大大力支持持，还得得到银监监会、国国家电网网、民航

2、航、中铁铁、高校校等部门门和单位位的领导导和专家家的大力力支持。对于各各位的到到来表示示深深的的协议。同时我我们也对对给予本本届峰会会大力支支持的合合作伙伴伴表示由由衷的感感谢，他他们分别别是：安安腾信息息、启明明星辰、梭子鱼鱼网络、深圳昂昂凯神州州数码、武安科科技、南南京瀚海海源（音音译）等等。要感感谢的非非常多。OWASSP作为为一个开开源的非非盈利组组织，一一直致力力于帮助助企业和和组织设设计开发发和维护护安全系系统，本本届峰会会特意邀邀请了政政府、金金融、互互联网、教育、电信、能源等等热门的的代表，国内外外知名的的应用安安全专家家，承销销商代表表共聚一一堂，就就应用安安全及业业务安全全

3、的发展展及技术术创新等等方面的的话题进进行深入入和广泛泛的研讨讨。同时时，也为为广大从从事安全全研究的的技术人人员提供供一个多多元化的的交流平平台，相相信本次次大会必必将取得得圆满成成功。下面，让让我们隆隆重请出出OWAASP中中国主席席RIPP先生为为本届峰峰会致辞辞！【RIPP】：【主持人人】：OOWASSP中国国成长离离不开全全球总部部的领导导和支持持，下面面有请OOWASSP全球球董事会会TommBreennaan先生生致辞！【TommBreennaan】：大家好好！非常常感谢大大家把OOWASSP引进进中国，作为OOWASSP基金金会的大大使之一一我觉得得来这里里跟大家家亲自大大家见

4、见见面，因因为OWWASPP是一个个全球组组织，很很多运用用goooglee翻译可可以看到到关于OOWASSP基金金会的宗宗旨，但但是翻译译的时候候有些东东西可能能丢掉了了，所以以我亲自自来这里里向大家家介绍OOWASSP，你你们要是是有问题题的话请请大家在在会后和和我直接接谈。OWASSP是001年时时候成立立的，是是一帮热热心信息息安全的的人，通通过十年年来现在在OWAASP成成为全球球最权威威的一个个信息安安全的组组织，有有1600多个分分部。OOWASSP上面面有2万万多个名名字，这这2万多多个人都都是热切切关心OOWASSP信息息安全的的，但是是我觉得得这2万万个名字字跟OWWASP

5、P的会员员不一样样，OWWASPP的会员员只有220000个，我我来这里里是想大大家真正正加入OOWASSP，因因为只有有成员会会员你才才可以选选举。OOWASSP有112000多个网网页，有有很多人人去更改改这些网网页，因因为它不不断的更更新，你你们申请请一个免免费的OOWASSP（？英文）你们就就可以去去改那些些网页。而且OOWASSP对教教育非常常重要，十年以以前OWWASPP成立了了，十年年以后OOWASSP发展展壮大了了，再过过十年我我们希望望看到更更多大学学、机构构各方面面的人能能够参与与这个信信息安全全的发展展事业。OWAASP在在十年来来不断的的发展壮壮大，得得到世界界各地政政

6、府和企企业部门门的尊重重，我们们应该继继续把这这个传统统继续下下去，特特别是OOWASSP在中中国分部部和美国国总部，跟世界界其他国国家的分分部，应应该互相相尊重，尊重同同仁，互互相合作作。OWWASPP是一个个开源性性的志愿愿者组织织，非常常希望大大家申请请一个OOWASSP的电电邮，是是免费的的，你也也不用交交会费，这样参参加地方方分部的的会议，参观网网页、更更新网页页，谢谢谢大家！最后我想想讲一讲讲这个幻幻灯片，它是OOWASSP的（？英文文人名）说的，它说软软件在人人们生活活中变的的越来越越重要，同时也也越来越越复杂，也同时时越来越越互相关关联，这这正给供供给者提提供一个个机会，我们的

7、的系统正正在变成成他们的的用武之之地，摸摸着石头头过河不不会让我我们达到到安全。OWAASP有有一个宏宏伟的目目标，那那就是唤唤醒所有有的软件件开发者者，帮助助他们建建立坚固固的代码码，因为为我们的的未来有有待于监监管的代代码，谢谢谢你们们。【主持人人】：下下面进入入这次峰峰会的主主题演讲讲环节，第一位位演讲嘉嘉宾是公公安部网网络安全全保卫局局郭启全全处长给给大家带带来加快快推进信信息安全全等级保保护工作作维护基基础网络络和重要要信息系系统安全全方面的的精彩演演讲。【郭启全全】：尊尊敬的各各位来宾宾，各位位先生，各位女女士们，大家早早上好！很高兴兴来参加加这次OOWASSP中国国峰会。在座有有

8、许多老老朋友，当然还还有许多多新朋友友，感谢谢主办方方举办这这样一个个峰会，对于信信息安全全工作，特别是是信息安安全技术术进行研研究研讨讨，这是是一个很很好的事事情。我我的演讲讲题目有有点复杂杂，但是是最终目目的是要要推动我我们国家家的等级级保护工工作，维维护国家家的信息息安全。我从四四个方面面给大家家介绍一一下。一、近年年来我们们国家信信息安全全等级保保护工作作的情况况及取得得的成效效。第一一，公安安部会同同有关部部门在相相关部门门大力支支持下出出台了一一些等级级保护工工作的政政策和保保护标准准。第二二，组织织了国家家机关的的等级保保护安全全建设整整改的培培训，这这为我们们国家各各单位各各部

9、门开开展信息息安全工工作起到到很好的的指导作作用。第第三，我我们成立立等级保保护安全全建设指指导专家家委员会会，指导导各单位位各部门门开展信信息安全全工作，开展等等级保护护工作。这个专专家委在在一年多多来充分分发挥作作用，为为我们重重要行业业部门开开展安全全建设整整改工作作提供有有力支持持。第四四，我们们和国家家电网、国土资资源部等等部门，现在正正在大力力推广相相关部门门的经验验。第五，召召开了全全国公安安机关网网安部门门等级保保护工作作培训会会。应该说通通过近年年来各方方的努力力，特别别是在有有关行业业部门信信息安全全企业和和专家的的大力支支持，国国家的等等级保护护工作取取得了重重要成效效。

10、一是出台台了一系系列等级级保护工工作配套套的政策策和标准准，构建建完成了了国家等等级保护护政策的的体系和和标准体体系，为为全国开开展等级级保护工工作提供供了政策策标准和和保障。二是组织织大规模模的信息息系统定定级备案案工作，明确了了保护重重点，会会议主题题要保护护我们的的应用安安全。实实际对于于这些信信息系统统，一是是要保护护网络和和系统自自身的安安全，它它的应用用安全，实际也也就是它它的业务务安全，它为全全社会提提供服务务、提供供支撑的的安全是是一体的的，密不不可分的的。三是各单单位各部部门按照照公安部部的工作作部署和和要求，全面开开展了安安全建设设整改和和等级测测评工作作，开展展以等级级保

11、护为为核心的的安全防防范工作作，查找找安全系系统存在在的安全全问题。特别是是我们一一些重要要行业部部门，在在新建网网络和重重要系统统的时候候，已经经按照国国家的信信息安全全等级保保护制度度要求，从管理理、从技技术两个个方面对对于重要要系统进进行安全全建设的的方案设设计。有有效提高高了国家家基础网网络和重重要信息息系统的的安全保保护能力力。所以等级级保护工工作，在在座有政政府行业业部门的的，有企企业、有有专家，等级保保护工作作离不开开各个行行业和专专家的支支持，大大家都是是这项工工作的参参与者和和实施者者。等级级保护工工作为信信息安全全企业提提供一次次难得的的发展机机遇和发发展平台台，也为为我们

12、的的产业发发展提供供了一次次难得机机遇。说到网络络安全，现在不不法分子子对我们们的网络络的威胁胁越来越越严重，对次我我们要做做好网络络安全保保护工作作，网络络安全防防御工作作，在此此我提出出我个人人的观点点和意见见。一是是要深入入开展等等级保护护工作，提高我我们网络络主动防防御的能能力。就就是只有有把我们们的等级级保护工工作深入入开展下下去，提提高我们们主动防防御的能能力，这这样才能能真正提提高我们们的安全全防护能能力。二二是要加加强应急急软件，提高我我们的网网络应急急组织能能力，三三是要加加强我们们的信息息通道机机制，提提高我们们的通道道共享能能力。三三是建立立各方参参与机制制，有效效发挥各

13、各方力量量。四是是提高我我们的应应急处置置能力。这样几几个能力力是今后后我们政政府主导导、各方方参与、技术研研究、产产品研发发的努力力方向。谈到国家家等级保保护政策策和标准准，近几几年，应应该说近近十年公公安部根根据国务务院的授授权会同同有关部部门，出出台一系系列国家家有关等等级保护护政策，这些等等级保护护政策是是我们国国家信息息安全保保障信息息安全的的主要政政策。这这些政策策都是公公开的，大家可可以从网网站上查查到，从从我们的的宣传材材料上拿拿到。现现在我们们国家等等级保护护政策已已经构成成比较完完备的政政策体系系，无论论是644号文还还是433号文，它们的的出台为为各单位位各部门门开展等等

14、级保护护提供了了相关的的政策文文件，为为我们全全国开展展等级保保护提供供了政策策保障。这几年公公安部在在信息安安全企业业以及专专家大力力支持下下，我们们国家形形成比较较完备的的等级保保护的标标准体系系，这个个标准体体系为各各单位各各部门开开展等级级保护工工作，特特别是我我们的信信息安全全建设整整改工作作提供了了标准保保障。这这些标准准引导我我们企业业搞信息息安全技技术的研研究，为为我们国国家信息息安全技技术发展展提供了了指引。根据相相关等级级保护标标准，当当前各单单位各部部门开展展等级保保护安全全建设整整改工作作，围绕绕我们国国家的基基础网络络和重要要先进系系统安全全保护出出台的有有关定级级、

15、测评评、安全全设计、和保护护的相关关标准，在这个个图当中中有所体体现。这这些材料料大家从从网上可可以拿到到，这些些标准支支撑了我我们国家家等级保保护安全全建设整整改工作作。由于大规规模的系系统定级级工作基基本完成成，我们们国家的的网络和和系统的的家底我我们基本本摸清，明确了了我们应应该保护护的重点点对象，既然重重点对象象已经清清楚了，我们下下一步主主要工作作是要利利用三年年时间，对我们们已经定定级的信信息系统统开展安安全建设设整改工工作。有有几个关关键词，什么叫叫安全建建设整改改工作？就是要要建设安安全设施施，落实实安全措措施，落落实安全全责任，落实安安全管理理制度。使我们们国家基基础网络络先

16、进系系统管理理能力提提高，防防患能力力提高，隐患和和事故减减少，有有效维护护我们国国家信息息化健康康发展，维护国国家安全全社会秩秩序和公公共利益益，这就就是我们们搞等级级保护的的主要目目标，也也是我们们今后三三年各单单位各部部门按照照这个目目标去努努力。这有一个个图，这这个图是是我们国国家信息息系统安安全等级级保护基基本要求求，这是是个国家家标准，这个国国家标准准指导我我们各单单位各部部门这几几年，从从管理和和技术两两个方面面，各有有5大方方面重点点，加起起来有1150多多个点，这几年年各单位位各部门门按照我我们的基基本要求求开展安安全技术术建设和和安全措措施建设设。二级级以上的的系统要要纳入

17、我我们的整整改范围围，我们们搞这个个安全建建设整改改主要的的思路，是在我我们原有有的保护护技术、保护设设施的基基础之上上，按照照国家标标准查找找安全问问题，查查找安全全隐患，查找安安全的差差距，查查找与国国家标准准的差距距，然后后制定安安全建设设整改方方案，缺缺什么补补什么。在此，为了指指导各单单位各部部门开展展下一步步工作，我们制制定了相相关的工工作流程程，可以以分几步步走，各各单位各各部门要要制定规规划进行行总体部部署，第第二步是是开展信信息系统统安全现现状分析析。第三三步，确确定安全全保护策策略，第第四步，开展信信息系统统安全建建设整改改工作。我们国家家开展信信息安全全保护工工作，包包括

18、今天天的会议议要研究究我们的的应用安安全，研研究我们们相关信信息安全全的技术术，研究究产品，那么这这个政府府指导、政府引引领、政政府监督督检查指指导、在在各部门门和专家家企业的的共同努努力下，我们最最终的目目标要使使我们的的重要信信息系统统达到相相关的保保护能力力，对于于我们的的二级系系统、三三级系统统、四级级系统都都提出了了相关保保护能力力的要求求。这些些要求总总的来讲讲就是无无论里面面怎么描描述，概概括起来来讲就是是通过搞搞等级保保护，通通过实施施等级保保护制度度，这样样一个强强制的国国家基本本制度，咱们国国家信息息安全的的国策，使我们们的重要要系统达达到这样样一个目目标：第第一，抵抵抗供

19、给给能力强强了，身身板硬朗朗了。第第二，如如果被供供给，使使它的损损失降到到最低，能迅速速恢复。这是我我们搞等等级保护护对于系系统来讲讲核心的的目标。由于时间间关系给给大家介介绍到这这，大家家如果想想获得更更多的内内容，请请登陆 HYPERLINK .DJJBH.NETT。谢谢谢各位！【主持人人】：下下面请中中国科学学院软件件研究所所丁丽萍萍研究员员为我们们带来新新型网络络环境下下的计算算机取证证技术研研究的演演讲，有有请！【丁丽萍萍】：各各位来宾宾大家好好！计算算机取证证的研究究就是在在计算机机系统以以及相关关外部设设备中获获取一些些犯罪证证据，这这个学科科是法学学和计算算机科学学的一个个交

20、叉学学科，从从技术的的领域来来说最新新的研究究就是基基于系统统和外围围的设备备，最底底层到了了BIOOS的取取证，再再往上是是操作系系统的取取证，然然后是应应用层的的取证，最后是是相关的的设备。BIOSS曾经做做出一个个基于某某个形象象BIOOS木马马的植入入以及对对木马的的防患。基于操操作系统统的取证证最早是是我在做做的，基基于操作作系统无无非是基基于日志志的取证证，系统统调用的的取证等等等。应应用层的的取证就就是Offficce取证证，e-maiil取证证，网络络跟踪，和版权权保护的的取证等等等。相相关设备备的取证证也很多多，比如如打印机机，打印印机中可可能留存存犯罪分分子曾经经打印过过的

21、东西西，比如如数码相相机，比比如电话话，比如如各种信信用卡。既然它是是个交叉叉学科，我们不不能光从从技术上上研究，从法律律上要回回顾一下下国家和和计算机机相关的的法律有有这样几几个。中华人人民共和和国计算算机系统统安全保保护条例例，计算机机信息网网络国际际联网的的暂行规规定，刑法的的2855、2886、2287三三条，和和中华华人民共共和国电电子签名名法，这部法法承认了了电子证证据具有有司法效效率，所所以使得得这个领领域的研研究更加加得到国国家的认认可。从从技术方方面，最最早提出出的主动动防御策策略促进进了这个个领域的的发展，在033-055年出现现一些国国家级的的课题和和研究的的文章，200

22、00年公公安部确确定以办办理计算算机犯罪罪案件为为主线，以电子子数据证证据为核核心，目目前提出出了计算算机取证证的研究究。044年在北北京召开开首届计计算机取取证技术术研讨会会，当时时我还是是警察，这届研研讨会非非常的热热烈，大大家热情情非常高高，说要要成立一一个协会会和交流流的平台台。后来来我们就就成立了了一个电电子学会会下的计计算机取取证专家家委员会会。第二二届取证证技术研研讨会是是在新疆疆，以网网络反恐恐为主题题召开的的。第三三届即将将在上海海举行。我的话题题是新型型网络下下的计算算机取证证，就是是云计算算、互联联网、“三网融融合”的网络络模式下下计算机机取证如如何发展展。云计算为为计算

23、机机取证带带来一些些机遇和和挑战，云计算算自身存存在一些些安全威威胁，计计算机取取证里面面因为有有安全威威胁，而而且防护护措施无无法防护护的时候候，事情情已经发发生了，事后我我们要提提取这个个事情怎怎么发生生的。所所以我们们必须首首先了解解在云计计算环境境下安全全威胁有有哪他。云计算算环境下下安全威威胁是三三个方面面，一个个是云计计算服务务者自身身的，第第二个是是云计算算引发的的，第三三个是云云计算的的便利带带来的威威胁。云云计算给给计算机机取证带带来很大大便利，我们可可以基于于IaaaS提供供的条件件，建立立专门的的取证服服务器，当案件件发生需需要取证证时，克克隆该服服务器并并使得克克隆后的

24、的服务器器磁盘对对取证服服务器开开放。无无需临时时寻找存存储设备备，并花花时间等等待其启启动并进进入使用用状态，从而大大大降低低成本和和缩短时时间。物联网也也有一些些安全威威胁，它它的安全全威胁是是由网络络世界延延伸到物物质世界界，加大大网络安安全防范范的范围围和治理理难度，安全威威胁通过过网络扩扩展到众众多节点点。大家家知道这这些节点点五花八八门，比比如说一一个汽车车、一个个电冰箱箱，这些些都是物物联网的的节点，你要保保护它的的安全性性就非常常困难。同时我我觉得安安全威胁胁由物联联网自身身放大到到了云计计算这样样一个体体系，因因为物体体的信息息处理是是要传到到服务端端处理的的，所以以安全威威

25、胁更加加复杂，难度更更大。“三网融融合”使得网网络入侵侵取证的的范围更更为广泛泛，取证证由原来来的计算算机网络络扩展到到了电信信网和广广电网，应该研研究网络络融合的的原理，融合后后网络犯犯罪的新新特点，从而找找到计算算机取证证的新技技术、新新方法。我的报告告就这些些，谢谢谢！【主持人人】：下下面由请请中国互互联网络络信息中中心邢士士杰先生生关于互联网网域名安安全挑战战及对策策的精精彩演讲讲。【邢士杰杰】：关关于互联联网域名名安全挑挑战及对对策我讲讲两点，针对域域名服务务的攻击击从来没没有停止止过，而而且在近近几年来来越来越越厉害，比如前前年的5519事事件就是是针对域域名服务务，200多个省省

26、上网受受到影响响，6个个省基本本瘫痪，实际上上域名现现在对于于黑客来来说好像像是打蛇蛇打七寸寸的七寸寸一样。今天我我和大家家交流的的主要是是四个方方面，一一个是快快速回顾顾一下域域名安全全的现状状，第二二个总结结一下我我们在域域名安全全方面面面临的威威胁、挑挑战，然然后是介介绍一下下在CNNNICC新技术术。一、面对对安全问问题，我我们认为为根和顶顶级域这这两个环环节，因因为它有有些专业业的机构构来维护护，而且且基本上上做这个个服务就就是域名名技术圈圈里做的的专家，它的服服务都是是有网站站的。在在DOSS攻击，这一块块比较大大的事故故就是刚刚才我说说的5119和暴暴风门的的事件。为什么么域名安

27、安全攻击击成本很很低？实实际上这这四个所所谓的黑黑客并不不是什么么高手，投资228万元元专门攻攻击倒了了我们一一个DOOS服务务器，最最终引起起连锁反反映，造造成200几个省省的瘫痪痪。为什什么会这这样呢？因为域域名是全全球最成成功的互互联网大大的分布布式系统统，它是是各个环环节都会会牵连的的，而且且是牵一一发而动动全身。这种共共计事件件没有共共计运营营商的DDNS服服务器，它是攻攻击（英英文），它的域域名服务务出现问问题没有有保障，但是由由于暴风风影音客客户量很很大，形形成了多多米诺骨骨牌的效效应，最最后造成成瘫痪。二级和二二级以下下的域名名服务是是由各网网站自建建的或者者免费的的注册服服务

28、商提提供，这这可以说说是重灾灾区，因因为这个个环节的的服务能能力是参参差不齐齐的，而而且大家家重视度度也不是是很高，也有很很多事故故。在这这个环节节里面有有一个子子环节是是注册服服务环节节，就是是注册信信息、域域名记录录在这里里面修改改，今年年初搜索索引擎被被劫持就就是在这这个环节节。我们简单单回顾了了一下各各个环节节的事故故，现在在我们总总结一下下，因为为上个月月我们刚刚好发布布了我国国域名安安全现状状的统计计报告。国内二二级及二二级以下下域名为为重灾区区，检测测到的国国内两个个环节的的服务器器达到77554422台台套，但但相对安安全的服服务器比比例不足足半数。我们对对其中110000多个

29、重重点域名名进行抽抽样，这这些重点点域名包包括政府府、金融融和一些些大的网网站等等等结构，它577%的域域名都有有风险。现在很很多公司司都做CCPN和和内容分分发，或或者服务务器进行行部署，联通机机房、电电信机房房都会有有自己的的服务。因为现现在的主主流软件件在老版版本上有有一些致致命的漏漏洞，但但是现在在还有很很多在使使用这些些老版本本的软件件。针对DNNS攻击击国内的的技术圈圈、行业业圈和企企业都在在想办法法解决这这个问题题。DNNSSEEC是DDNS的的安全扩扩展协议议，诞生生于19995年年，它最最重要的的安全特特征有三三类，通通过签名名技术对对我们的的数据源源进行签签名，也也了这个个

30、签名以以后授权权体系更更加完整整。能够够解决的的安全问问题域名名劫持、缓存中中毒都能能够很好好的解决决。但是是DNSSSECC实施以以后对服服务器有有很大影影响，因因为签名名以后数数据量有有一个很很大的增增长，对对服务器器的负担担很大，对网络络的负担担有重，而且一一旦我信信任了它它以后再再发生问问题可能能造成的的问题就就更大了了。DNSSSEC现现在全球球部署的的进展我我们认为为有四个个方面，一个是是在技术术方面，协议、工具经经验的积积累，第第二是各各个研究究部门都都在积极极投入这这一块。第三，DNSSSECC对DNNS的攻攻击能够够发挥重重要的作作用。第第四，DDNSSSEC有有越来越越多领

31、域域不断支支持，DDNSSSEC会会越来越越完善。在地区区和国家家领域这这一块，今年年年底有119个国国家和地地区正式式开展域域名，实实际上大大家在部部署过程程成中用用户没有有感觉，所有过过程是平平滑过渡渡的。简单介绍绍一下DDNSSSEC的的情况，主要是是从四个个方面做做的这些些域名服服务，我我们的合合作伙伴伴是北龙龙中网公公司。第第一方面面是核心心技术的的研发，第二个个是通过过推动国国际国内内的行业业标准和和我们的的专业设设备，技技术方面面主要是是在安全全技术、管理技技术和域域名解析析工作方方面做些些工作。因为刚刚才我们们说到，现在面面临攻击击DNSS越来越越多，现现在对域域名服务务器的解

32、解析能力力提了很很高的要要求，尤尤其是在在DNSSSECC部署之之后对解解析能力力有很大大量的增增长。此此外，我我们联手手推行了了国家标标准，我我们刚才才说的很很多问题题和事故故，发现现域名体体系是一一个严重重的体系系，如果果大家没没有一套套标准做做这个事事情是很很难做到到整个系系统是安安全的。所以我我们现在在推了99个标准准，其中中两个已已经实施施了，涉涉及到域域名安全全防护、检测各各个环节节的运营营要求，后续也也会有一一些相应应的认证证体系。此外，通过我我们多年年的研究究，我们们自己有有一套整整体的解解决方案案，涉及及到整个个域名体体系，包包括权威威运行服服务器、DNSS的房攻攻击，和和D

33、NSSSECC的部署署、分析析等方案案。因为为域名安安全这块块不是一一家可以以做的，比如我我们二级级二级以以下是管管理不到到的，所所以我们们准备近近期成立立一个技技术联盟盟，叫域域名技术术运营联联盟，通通过这个个联盟把把大家聚聚集起来来，一起起来解决决这个问问题，出出现问题题我们一一块通报报，有些些新的技技术也可可以分享享。如果果大家有有兴趣可可以参加加这个联联盟。谢谢大家家！【主持人人】：非非常感谢谢邢士杰杰先生的的精彩演演讲！当当前社会会互联网网应用已已经逐步步成为评评判企业业信息化化的重要要指标，网络将将为企业业带来巨巨大便捷捷与利益益的同时时，作为为网络最最多的国国家我们们网络安安全迫

34、在在眉睫。下面请请安恒信信息的FFrannk先生生给大家家做综综观中国国WEBB安全55年发展展历程及及趋势与与挑战，有请请！【Fraank】：各位位嘉宾、各位朋朋友，大大家上午午好！其实讲安安全应该该从055年开始始，055年我在在美国有有一个演演讲，就就是在关关于WEEB安全全的日常常检测。从066年开始始攻击事事件急速速的增加加，在中中国被篡篡改网站站的数量量也急剧剧增加。而且这这里面一一个很重重要的特特点是从从七八年年前会出出现有人人会炫耀耀，其实实那个时时候黑客客产业链链这一块块开始浮浮出水面面。066年大家家开始关关注取证证式的WWEB应应用弱点点扫描，等一下下我会讲讲到这个个历程

35、，比如安安全开发发、安全全开发、安全部部署等一一系列安安全体系系构成了了我们WWEB应应用安全全的整体体。077年是WEEB2.0这样样的名字字开始大大量出现现，实际际当时使使用WEEB2.0的还还不是很很多，包包括国外外的社区区和国内内都出现现类似利利用跨站站，WEEB安全全漏洞给给人家很很多在视视觉和信信用上的的传播。讲到黑客客产业链链这个话话题，实实际在过过去和之之前大家家都收到到过很多多邮件，通过欺欺骗希望望你点击击以后中中招，但但是后来来慢慢发发展到邮邮件和在在线的交交谈依然然是一个个媒体，但是这这个媒体体主要是是送给你你一个（英文），利用用这个使使你挂马马，达到到它间接接的攻击击，

36、而且且这个攻攻击的隐隐蔽性非非常强，它的效效果非常常好。因因为黑客客产业链链必然以以经济为为基础，所以它它需要追追求用最最低的成成本达到到最大的的效益和和最好的的效果。每天有有几十万万访问量量的网站站和在线线业务，比如网网上营业业厅、网网上银行行，所有有这些必必然会成成为它最最直接可可以利用用的途径径。当然然这里面面很复杂杂，而且且他们有有控制人人、有买买卖，有有地下交交易，还还有洗钱钱，这些些都可能能在不同同的国家家发生。08年里里程碑的的事件是是奥运会会是非常常成功的的盛会，但是其其实它背背后有很很多故事事，我是是奥组委委安全专专家组的的成员，在奥运运大厦有有好多次次讨论相相关的攻攻击防范

37、范，实际际在奥运运会开幕幕前的说说十个月月我们已已经开始始对奥组组委相关关的网站站进行相相应的加加固，实实际奥组组委网站站改版很很多次，但是大大家可能能没有意意识到。这当中中也发生生很多有有意思的的事情，奥运会会这次给给大家的的最大的的好处就就是在于于安全意意识的提提高，这这个跟我我们OWWASPP讲的精精神也一一样。08年还还有一件件很重要要的事情情，就是是群注风风暴，全全球大概概有100万个网网站被挂挂马，它它是批量量注入，利用应应用程序序的弱点点，通过过篡改参参数来达达到或控控制修改改后台数数据库，禁止达达到控制制所有相相关攻击击的目的的。那么么通过什什么来发发现它呢呢？最简简单的手手段

38、就是是goooglee，因为为它能够够非常高高效的告告诉你有有多少网网站。它它所达到到的效果果是对于于后台所所有字符符型的字字段里面面插入一一段恶意意代码，这段小小的脚本本就在这这里，这这段脚本本达到的的目的是是用户插插入数据据库，后后台的数数据库因因为是动动态页面面，会有有动态的的信息展展示，展展示的过过程中任任何任何何用户访访问这个个网站，它其实实就会执执行这个个JS，进进而去种种植到本本地实际际上美国国有很多多资深的的安全公公司的资资深网站站也在这这次群注注中落马马。当时时安全小小组发现现一台肉肉鸡在做做这个事事情，这这段自动动化工具具写的比比较精悍悍，但是是非常实实用，而而且大家家注意

39、到到它用到到了一点点点的绕绕过。这这个是它它的配置置文件，非常简简明而实实用，高高效而实实用。因因为它是是希望能能够更加加高效，现成配配置这些些东西。经过这一一年多，我觉得得安全的的意识大大家有很很大的提提高，到到09年时时我们在在中国有有一次标标杆性的的事件，就是国国庆六十十周年的的安保。国庆六六十周年年的安保保请公安安部和通通信安全全中心对对全国的的网站进进行抽样样，在随随机抽样样的检测测中大概概有一半半的网站站存在严严重的问问题，就就是可以以随意的的注入画画面等东东西。这这是一些些统计数数据，注注入画面面表单绕绕过是非非常严重重的，事事实上这这些数据据反过来来验证了了数据的的宝贵性性和统

40、计计的准确确性，像像注入、跨站这这类的问问题每年年都排在在非常前前面。在在这个过过程中发发现有一一些网站站甚至是是已经被被挂马或或者已经经被控制制。到了011年，在在WEBB安全方方面有两两块大的的事情，一类是是远程执执行任意意代码事事件，比比如像我我们有些些网站用用BBSS等第三三方模块块，反过过来说明明应用安安全、整整体安全全一定要要提升的的。远程程攻击者者可以在在这个系系统上执执行任何何的命名名，这样样它的远远程攻击击的威胁胁性、严严重性都都是非常常明显的的。还有有一个漏漏洞是。NETT的攻击击信泄露露漏洞，说到这这个想到到了实施施防范里里面的那那些原理理，其实实在攻击击过程当当中我们们

41、很多时时候是利利用返回回不同的的信息达达到我们们的效果果。今年黑帽帽子大会会上有位位专家讲讲到云计计算是安安全的一一场恶梦梦，事实实上本身身我们自自己网络络内的安安全都还还管不好好的情况况下，应应用安全全都管不不好的情情况下，你硬去去相信一一朵云，这朵云云你从来来都没有有见过，这块的的挑战确确实是巨巨大的。还有是是手机互互联网，智能终终端又变变成受害害者之一一。核心心互联网网网上的的挑战也也会非常常严峻，为什么么这样说说呢？现现在随着着经济利利益的驱驱动，其其实最好好的效果果是在于于有大量量的有价价值信息息的，比比如说网网上银行行，比如如说网上上证券交交易，比比如说网网上营业业厅，比比如说电电

42、子政务务相关的的一些东东西，比比如说网网游，这这些都会会成为实实际的目目标。在在这里面面的矛与与盾始终终在对抗抗，在这这当中应应用安全全和数据据安全的的价值会会更大的的促进体体系，因因为不管管是移动动互联网网还是云云计算，不管我我们的核核心业务务在外还还是在内内，实际际上是应应用为王王、业务务为王，不可否否认的是是网络站站面临的的挑战依依然存在在。因为时间间关系，主要讲讲到这里里，谢谢谢大家！【主持人人】：接接下来让让我们欢欢迎阿码码科技产产品线总总监吴明明卫（音音译）先先生为我我们大家家带来题题为trrojaan:ttrussteddinssideer的精精彩演讲讲。【吴明卫卫（音译译）】：

43、大家好好！我是是吴明卫卫（音译译），今今天很高高兴能够够来到北北京参加加OWAASP会会议。今今天的主主题是跟跟木马有有关，黑黑客最喜喜欢的就就是木马马，木马马这个故故事大家家都知道道，它是是一个看看起来不不怎么样样的东西西，你以以为它是是礼物，把它默默默的推推到城里里面，后后来它作作怪。其其实不像像我们现现在的木木马，现现在的木木马是张张牙舞爪爪，是很很明显的的，杀毒毒软件一一看到它它就会发发现它是是病毒。我介绍一一下我自自己，我我在台湾湾出生，在菲律律宾长大大，我老老婆是长长沙人，我自己己认为我我们现在在这个时时代非常常幸福，因为以以前没有有互联网网的时候候自己顶顶多能够够帮助一一个人，学

44、医再再怎么样样厉害顶顶多一次次救一个个人，但但是互联联网可以以帮助很很多人。所以我我很喜欢欢一句话话，就是是“大家做做最好的的自己”，你可可以学很很多观念念，但是是你自己己要有你你自己的的价值观观，做最最好的自自己。引用一下下SANNS的CEOO的一句句话，“走这行行，快学学中文”，相对对我们是是中国人人，那我我们应该该学什么么？我觉觉得我们们应该学学俄文，俄文里里面有很很多无论论是攻击击的武器器还是各各类地下下经济都都可以做做很多切切磋。今今天的演演讲是几几部分：什么是是木马？木马装装模作样样？挂马马：浅谈谈SOLL盲注入入。管他他什么马马？什么是木木马？是是一种恶恶意软件件，在信信息网络络

45、大量出出没。木木马可以以做什么么呢？它它可以做做一些远远程的控控制，可可以充当当跳板，就是发发现一个个人有漏漏洞，但但是我想想打它的的话会被被他看到到我的IIP，所所以我就就要找一一个受害害者当跳跳板。或或者是说说我要进进垃圾网网站，我我就拿别别人的邮邮箱去进进。其实实我觉得得安全有有趣的地地方是在在于它是是在玩弄弄数码落落差+信息安安全意识识的落差差。因为为在食品品安全上上我们知知道怎么么样小心心强盗，怎么样样小心小小偷，我我们知道道怎么样样避免，看起来来鬼鬼祟祟祟的就就会去小小心。但但是在网网络上很很多人不不知道小小心木马马，因为为网络上上面有很很多计算算机的知知识是我我们无法法理解的的。

46、也许许我们理理解了，但是爸爸爸妈妈妈们不理理解，爷爷爷奶奶奶们更不不理解，所以上上面有很很多安全全的东西西很有趣趣。我这边举举个很有有趣的例例子，讲讲一下假假的杀毒毒软件，杀毒软软件是一一个很大大的产业业，非常常赚钱。有时候候你会收收到很多多邮件跟跟你讲学学校的邮邮箱坏掉掉了，邮邮箱需要要重新整整理，让让你填下下你的信信息，也也许它发发1万封，最终有有几个人人上当了了，它就就是抓这这类的机机会。这这类东西西是WIINDOOWS本本身就有有的功能能，它让让你显示示的方式式可以从从右到左左、从左左到右，它显示示的方向向不一样样。这样样的东西西是五年年前就有有，是最最近一两两年开始始热。假假的杀毒毒

47、软件也也超过2250种种，这是是杀毒软软件的网网上客服服系统，你买了了这个假假的杀毒毒软件还还得跟它它的客服服互动。其实平平常慢慢慢在网络络上逛都都有机会会遇到木木马，它它们自己己看到的的机率大大概就是是1%。分享一下下怎么样样做盲注注入，这这是网络络上的一一些画面面，拿出出一些国国产很厉厉害的工工具直接接可以打打到后面面的数据据库。下下一步是是把马放放上去，解码之之后像这这样子的的，基本本上它只只要一行行进去，所有数数据库每每个页面面通通都都会塞，不会一一个网站站塞一只只马，是是每一个个页面每每一个栏栏目都塞塞，让你你清的时时候清到到疯掉。我举一一个例子子，这边边有塞一一匹马，这里也也有一个

48、个马，实实际上它它真的是是重复一一直塞很很多马。最有趣趣的地方方是旁边边也有一一个，所所以是前前赴后继继，各路路好手都都来塞各各种马，当然不不会是二二度伤害害。木马长什什么样我我们可以以看一下下，这是是整个产产业，产产生出来来的木马马基本上上都非常常的很隐隐蔽，有有的是你你明明知知道这个个是木马马，但是是就是砍砍不下去去。刚刚刚我们看看到的这这些都是是木马目目前的现现状，目目前的现现状是乱乱枪打鸟鸟，抓到到的量就就够它这这个产业业。但是是后来他他们发现现这样已已经不能能活了，它每次次只要一一出现杀杀毒软件件的出生生率是百百分之百百，那么么它一定定要开始始走装模模做样的的路线，其实最最危险的的就

49、是披披着羊皮皮的木马马，满口口任意道道德的木木马，它它们总说说自己是是免费软软件。这这可以延延伸到很很多地方方，其实实你会担担心的东东西不只只只有网网络，我我更担心心的是医医疗这类类的东西西，如果果你看病病的时候候医生开开了药给给你，但但是医生生开的药药跟你最最后拿到到的药不不一样，这不是是很好笑笑，是很很可怕，最后都都可能死死掉。为什么黑黑客会把把时间花花在刀口口上？因因为它可可以赚大大钱，而而且现在在有900/100的原则则，就是是大部分分金钱是是10%的人创创造的。其实木木马可以以洗钱，可以创创造很多多伪卡，创造很很多物美美价廉的的虚拟商商品。洗洗钱会不不抓，为为什么它它是Muule？因

50、为没没有翻身身的机会会，它们们是马的的下一代代，所以以FBII抓到的的是洗钱钱机团队队最没有有价值的的。我觉觉得真的的要抓的的话应该该抓上面面大的，中国肯肯定是抓抓无恶不不作的，可是国国外就会会容忍。伪卡这这个画面面大家看看一下，就是它它要买信信用卡，这些都都是它们们偷来的的假的信信用卡，这边是是真的信信用卡的的数据。也有很很多假的的虚拟商商品，也也就是说说明明一一个商品品的价格格要1000块，但是它它只卖你你10块，而且它它非常有有效。也也可以买买DDooS，也也就是说说我自己己没有机机器我就就去买一一个DDDoS的的服务打打人家。我举一些些具体的的例子，譬如说说你今天天很会挂挂马，我我可以

51、一一下子挂挂一万多多网站，这个JJS可以以把所有有看到这这个网站站的人都都通通指指向一个个网站，瞬间创创造1万个人人到那个个网站，所以我我就是流流量产生生者，我我会卖流流量，所所以挂马马的人可可以卖流流量，它它是卖家家。那谁谁会是买买家呢？买家就就是需要要人家变变成僵尸尸网络一一员的人人，比如如它希望望人家中中他的木木马，“你能不不能够帮帮我创造造每小时时1000个？”这样就就会出现现每小时时有1000个僵僵尸。我我们再回回顾一下下刚刚那那个杀毒毒软件，各位看看一下它它的销售售体制，这边是是激励制制度。这这个图是是有多少少个人看看到这个个页面，有多少少个人安安装，有有多少人人买。各各位看一一下

52、他的的收入多多少，他他一个人人一个礼礼拜赚22万多块块美金。它的制制度是第第一名的的销售月月收入33320000美美金，还还有车子子等大奖奖。最后我总总结一下下木马的的明天，这种东东西是可可遇不可可求的，有时候候是要花花几万块块钱，甚甚至十几几万上百百万来买买，可是是有那个个必要吗吗？但是是并不见见得能够够阻止木木马。其其实现在在木马的的猖獗让让整个网网民讲一一些东西西，如果果你要不不认识的的人讲去去你的空空间，但但是他都都不敢去去你的空空间，因因为他怕怕你的空空间挂马马。其实实真正的的木马是是它在你你身边你你都不知知道，这这才是真真正的木木马，而而不是像像现在这这样木马马是很明明显的，谢谢大

53、大家！【主持人人】：感感谢吴明明卫先生生给我们们带来的的精彩演演讲。下下面有请请ForrressterrRessearrch首首席分析析师王晨晨曦女士士带来的的应用用安全市市场动态态的精精彩演讲讲。【王晨曦曦】：大大家好！今天很很高兴能能有这个个机会做做演讲，我很感感谢主办办方把我我请来，我是在在中国长长大，很很早之前前就到美美国去读读书，现现在是fforrrestter公公司的副副总裁和和首席分分析师，今天很很高兴回回来做这这个报告告，因为为这是我我分析的的一个主主要区域域，我做做应用分分析和云云计算。我们这这个公司司是试探探第二大大市场分分析公司司，我们们做很多多有关IIT方面面的技术术和

54、分析析，世界界上很多多大银行行都是我我的客户户，还有有很多大大的高科科技的公公司。这是一个个数据，就是（英文）最近出出了一个个报告，是20010年年所有黑黑客922%的数数据泄露露都是利利用网络络应用层层的漏洞洞，所以以应用层层的漏洞洞是非常常非常大大的一个个（英文文）。（？）很很多也很很复杂，原来（英文）这个模模型做起起来比较较方便，现在（英文）把应用用层方面面的安全全做的很很简单。还有移移动的应应用现在在做的也也很多，大家都都知道这这个是什什么吧？这个是是IPAAD，它它上面的的应用跟跟PC的应应用越来来越接近近，所以以在上面面做的安安全性能能也比较较大。传统的安安全是边边界防御御，大家家

55、都知道道防火墙墙，把所所有的服服务器终终端都放放在一个个网络里里面加上上防火墙墙，但是是这个防防火墙不不是很好好，因为为（英文文）数据据都可以以从那种种形式上上出来。所以现现在的趋趋势是从从边界防防御到应应用安全全和数据据安全，所以我我今天讲讲的大标标题就是是应用安安全确实实是我们们安全领领域当中中未来几几年当中中非常重重要的题题目。那么应用用安全到到底指什什么？我我们看一一下软件件生态这这个环境境是什么么样的，软件是是从设计计开始到到写软件件，到测测试软件件，到应应用，这这四个步步骤里面面前三个个是开发发，最后后一个步步骤是部部署，这这是大家家都清楚楚的生态态环境。在开发发过程中中你怎么么做

56、应用用安全？在开发发过程当当中我们们推荐的的是你要要做应用用层的扫扫描，还还要做编编程工具具，还有有（英文文），这这些名字字大家应应该都听听过吧？在部署署的应用用怎么做做？已经经开发完完了，现现在这个个（英文文）已经经做了，你要用用防火墙墙和（英英文），这些都都是安全全的范围围。再加加上其他他的（英英文），开发人人员会不不会写安安全的培培训和咨咨询服务务，这些些加在一一起是应应用安全全领域的的市场。大家猜猜猜看这这个市场场现在大大约有多多大，全全世界这这个市场场加起来来也只不不过6亿美金金左右，不是很很大。从从安全的的产品来来说，这这算一个个很小的的市场，为什么么呢？因因为现在在主要的的钱还是

57、是花在网网络安全全上，还还是花在在边界防防御上，在应用用安全上上花的钱钱还不是是很多。所以我我说这个个领域也也算是在在发展中中的一个个领域。去年我写写了一个个报告，这是在在美国很很广泛的的一个报报告，我我研究了了一下不不同的应应用商品品现在是是怎样被被采用。这个图图可以看看一下这这个（英英文），是对业业务上的的影响力力，（英英文）是是怎么样样广泛的的采用，最高的的线当然然是在对对商业的的影响力力最大。你要知知道一点点，就是是侵入测测试和应应用层扫扫描，这这两种商商品现在在是世界界上采用用最广泛泛的，其其他的比比如编程程的安全全工具现现在应用用不是很很广泛。这是应用用扫描的的一个实实例，你你（英

58、文文）就可可以看到到输入验验证的错错误，可可以攻击击这个服服务器，并提取取精密数数据，这这样的例例子数不不胜数。在北美美欧洲PPCI是是非常大大的应用用安全领领域推动动力，PPCI是是什么呢呢？它是是信用卡卡行业，美国的的（英文文）是最最大的两两个PCCI厂商商，比如如你网上上要做网网站和收收信用卡卡，PCCI对网网上应用用安全有有很严格格的要求求，你如如果不照照它们的的规定来来做就会会给你下下罚金。我们看看一下花花旗银行行有2亿个户户口，每每年应用用安全上上它就花花2000多美金金，这样样来说它它是很核核算的，如果它它不在应应用安全全上花费费，那么么每一个个窃取的的帐号就就要花3300美美金

59、，所所以是非非常值得得的。应用安全全在网络络应用安安全的角角度覆盖盖的风险险大家都都知道，这些都都不是很很有趣的的，很有有趣的是是利用这这样的（英文）赚大钱钱。渣打打银行是是我们的的一个客客户，我我们给它它做里个个网络用用户管理理的项目目，现在在给大家家简单的的谈一下下。它们们全球有有6万余名名员工，是非常常复杂的的网络回回家，它它们在550个国国家都有有业务，所以在在每个国国家的平平台网络络里面的的应用都都是不一一样的，所以是是非常复复杂的一一个环境境。我们们给它们们推荐了了一个网网络扫描描、一个个系统还还有一些些（英文文），它它们用这这个网络络扫描做做了网络络资产清清单，结结果发现现100

60、00多个个防火墙墙没有发发现的漏漏洞，这这些漏洞洞发现了了之后我我们给它它推荐了了优先级级的顺序序去纠正正，当然然也用了了很多长长时间去去纠正这这些漏洞洞，但是是最后它它们所有有的应用用都比以以前的安安全级别别提高很很多。它它最后用用扫描来来监督服服务商和和服务产产品的安安全标准准。但是这个个说起来来容易，但是做做起来是是很难的的，我刚刚才调查查了一下下哪些产产品应用用的比较较广泛，虽说我我在上面面写了很很多不同同的编程程工具、应用测测试工具具，但是是最广泛泛的两个个，就是是应用程程序扫描描和清算算扫描，你如果果只在部部署的应应用上用用这样的的（英文文）意味味着应用用层的扫扫描和编编程结合合的