9月23日下午,国内最大的互联网安全360公司主办的2013中国互联网安全大会(ISC)在北京国家会议中心举行,中国信息安全测评中心副总工程师、软件安全实验室主任,OWASP中国区副会长郭涛出席软件安全论坛,并发表主题为《漏洞分析和软件安全保障》的演讲。
图 中国信息安全测评中心副总工程师在软件安全论坛演讲
郭涛首先对当前的信息安全的形势做了简要分析,并列举了一些关于新威胁新安全的话题,通过事件列举,由此引入到APT攻击和斯诺登事件等新的安全威胁事件的探讨,指出信息安全的根源所在是漏洞,并提出诸多信息安全保障的想法。
郭涛介绍,几乎每一个引起身份被盗、网络中断、数据丢失与网站崩溃的安全破坏都有一个根本的原因,即软件本身代码编写粗糙,普遍存在的软件漏洞,成了黑客们攻击利用的目标,而这些安全问题却无法从根本上避免,但在发展阶段修补这些漏洞要便宜很多。研究公司Gartner曾估计,有约70%的安全攻击发生在应用层。
郭涛指出,在传统的信息安全保障观中,漏洞被视为关键要素,而在新型信息安全保障观下,需要构建多层级保障评估方法,并以漏洞为中心,贯串软件/信息系统全生命周期。郭涛还详细阐述了包括传统信息安全保障通用准则、信息系统安全保障、软件确保等在内的基础模型,并针对软件/系统的全生命周期以及代码安全保障体系做了全面介绍。
谈到信息安全形势,郭涛强调,信息安全已成为国家战略的根本,随着移动互联网、物联网的出现,终端数量成倍增长。而在云计算、大数据背景下,特别是社交网络的快速发展,构建完善的信息安全保障尤为必要。
本届中国互联网安全大会由360公司主办,软件安全分论坛由CSDN承办。大会还邀请到国内外众多信息安全领域的专家和爱好者,同时举办移动安全高峰论坛、企业安全高峰论坛、新兴安全高峰论坛等多个高峰论坛。大会邀请到了国家工程实验室、OWASP、Gartner等世界知名互联网安全相关机构的支持和共同参与,会议规模、专业度及影响力均创国内信息安全会议纪录。
