ISC2014软件安全:360华为绿盟等大牛云集

由360互联网安全中心与互联网协会网络与信息安全工作委员会主办的亚太信息安全领域最权威的年度峰会——2014中国互联网安全大会(ISC2014)在北京国家会议中心召开。在软件安全分论坛现场,来自360的郑文彬和华为的俞科技均为国家信息安全漏洞库特聘专家,绿盟、安天、安恒等专业安全厂商的技术专家也都是业绩知名的安全“大牛”,他们也都拿出干货满满的技术分享,让现场的软件安全爱好者大呼过瘾。

软件安全论坛现场主要演讲的课题涉及微软操作系统、XP盾甲3.0技术、IE11 0day&Windows 8.1 Exploit、从Oracle数据库安全、JAVA灰盒安全测试技术、软件反漏洞挖掘体系,在每个演讲环节过程中及环节结束,均有数位与会者与演讲嘉宾提问或技术交流,同时在论坛最后还具有一个抽奖环节,现场气氛异常火热,与会者参与热情积极。

首先,安天实验室第一副总工、兼任安天安全研究与应急响应中心主任李柏松发表了题为《从微软操作系统的安全探索 看反病毒与可信计算的辩证关系》的演讲内容。李柏松与大家一起分享了近年来应用较为广泛的微软整体的安全思路,同时对微软操作系统的安全构架及安全机制进行了分析与阐述说明,此外还对可信计算关键技术进行现场演示,以及在现场探讨了反病毒与可信计算的辩证关系。

接下来360首席工程师、360网络攻防实验室主任郑文彬对《XP盾甲3.0技术内幕之内核防护》发表自己的看法。郑文彬是国内外知名Windows安全专家,国家信息安全漏洞库特聘专家,他表示今年四月微软停止对XP继续更新补丁,而这显然给还在使用XP系统的用户增添安全隐患。会议现场,郑文彬对目前可保护XP系统的XP盾甲进行了基本构架、XP盾甲3.0版本里面关于内核防护的增强的经验分享。

Nsfocus(绿盟)研究院安全研究员宋凯发表《IE 11 0day&Windows 8.1 Exploit》的课题。据了解,宋凯拥有近5年的安全研究经验。 下主要关注浏览器安全。在漏洞挖掘相关技术的研究,独自发现几十个IE110day漏洞并报告微软。在分论坛现场,宋凯与与会者分享并介绍了IE漏洞挖掘相关方面内容,并主要针对Object 的利用及隔离堆语言释放的分析语对抗进行了相关阐述。

数据库安全很可能涉及每位用户的照片隐私、银行卡等数据安全。在今天演讲现场,云和恩墨性能管理和数据安全总监罗海雄发表题为《数据安全警示录-从Oracle数据库安全谈起》的演讲。罗海雄是国内SQL大赛的冠军得主,曾经服务于甲骨文公司等著名企业,在演讲中他与大家在Oracle数据库安全方面上进行经验分享,此外,罗海雄表示备份是数据安全的最后一根救命稻草非常重要。

杭州安恒安全研究院负责人吴卓群在现场演讲的题目是《JAVA灰盒安全测试技术分享》。吴卓群从事多年的信息安全工作,对渗透测试、代码审计、漏洞挖掘有丰富的经验。他表示,WEB安全测试手段日渐成熟,常见的手段为通过白盒测试和黑盒测试进行,但这些测试方法存在明显的不足。白盒测试误报率较高,无法测试复杂的业务逻辑。黑盒测试覆盖面较低,无法获取对应出现问题的函数。

华为网络安全技术专家、看雪安全论坛技术专家、中国国家信息安全漏洞库特聘专家俞科技进行了《软件反漏洞挖掘体系介绍》演讲。俞科技拥有12年网络安全攻击与防御经验,本次演讲内容主要对如何对漏洞进行反复挖掘,软件破解以及构建防护体系等相关方面进行深入探讨。

据了解,作为亚太地区安全行业的规模最大、影响力最高的行业盛会,中国互联网安全大会吸引了包括美国首任美国国土安全部部长汤姆•里奇、计算机病毒之父弗雷德•科恩,以及中国工程院院士邬贺铨、公安部网络安全保卫局总工程师郭启全、360董事长周鸿祎、国家计算机网络安全专家云晓春等数百位国内外顶级信息安全专家出席。

该大会于9月24日至25日共举行两天,主办方透露,ISC 2014目标成为互联网安全行业从业者和创业者了解安全行业和技术趋势,学习最新技术和技能的最具影响力平台。

相关新闻

    推荐阅读