【IT168 资讯】以“互联网安全新思维”为主题的OWASP2011亚洲峰会在11月8日-9日成功举办。本届大会以“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。中科院软件研究所著名专家、OWASP北京区负责人蒋建春做了《NSACE——面向网络信息安全能力的培训与认证》。
▲中科院软件研究所著名专家蒋建春演讲
蒋建春首先介绍到:“信息技术的重要性,在未来的竞争中谁能掌握信息的优势,谁能获取竞争的优势。这样不仅对国家,对组织,甚至对个人产生至关重要的影响。这里我们看一下为什么他跟传统的IT技术不一样?我们掌握IT技术的时候,这是成为安全研究的必备条件。现在信息系统不像传统系统一样封闭的有明显的边界,现在边界越来越模糊,越来越从封闭走向开放。电信包括未来三网融合典型的特点从封闭走向开放,带来很大的挑战就是安全。”
信息系统的复杂性,信息系统的复杂性有四点:
1、多个系统,从操作系统,应用系统非常复杂;
2、协议,系统多了,协议必然谈到互联的问题;
3、多应用;
4、多用户。
必然带来脆弱性,安全漏洞,大家寻找0day,包括配置的漏洞,普通的漏洞之间关联形成危害的漏洞,这些漏洞也是未来在安全领域里面非常重要的隐患。
讲到安全问题,从三方面可以看到:
1、国家安全
工信部发布了文件对于所有工业化宏观系统进行安全检查,这条话提醒给我们在座各位提供了非常大的发展机遇空间,所有的控制系统将来面临着安全挑战问题,以前我跟很多人谈到这个问题的时候,这离我很远,我的电表是不是暴露我的信息,我们自来水、铁路、交通所有的系统有依赖于计算机控制,而这种控制系统,以前从封闭的协议,现在慢慢产生TCRB协议,TCRB协议存在很多漏洞,这样一些漏洞,包括互联网带来的威胁,逐步逐步向工业化控制系统转移,我将来会在后面这些问题表现越来越具体化。
2、企业安全问题
一些企业一个小事件通过互联网可以放大,如果一个上市公司信息丧失的话,有可能股票价格下跌,这
3、个人安全
智能手机,我们使用了很多安卓操作系统,其实这个系统其实有很多漏洞。我可以进行能源攻击,可以把你的电池消耗掉,假如这里开很重要的会议,可以通过远程的方式把会议的信息窃听。我相信最近几年也发生一些像微博事件这种事情,给我们在座各位非常大的发展空间,我们如何去提高这些相关IT人员或者IT使用安全数字,是我们未来非常重要的艰巨的任务。
这是关于2011年7月份有关的报告,基本上遭受病毒已经有2.17亿,如果估算一下2009年统计安全企业大概有500多家。如果按一千人计算,其实规模非常小的从事安全的人员,所以我们空间非常大。
未来信息化技术面临几大挑战问题,其中安全是最具挑战性的问题之一。
安全与其他几个性能相关的,比如说能耗,可以通过特殊算法可以使得能耗增加消耗一些比如说手机电源有限的情况,在资源受到约束的情况下,整个系统就无法进行正常工作。安全使得性能下降,安全可以使得拓展性降低。安全在整个未来的信息化发展过程中,它是伴着极重要的角色。像美国发布了网络空间的战略政策,这对我们未来各位都有很大的成长空间。
我们项目如何去做?我想我们的使命是什么?我想从三点考虑:
1、提升国民的网络信息安全素质。为什么要这么做?我做一些技术推广或者培训课当中,面临最大问题怎么让人接受你的观点,更多人接受你的观点的时候,你的安全产品,相关的东西才能普及下去,推广下去。
2、培养网络信息安全专业人才。从我们教学体系来说,我们很多偏重于理论方面的教材,我在实际中碰到过这个问题,有一个企业给我打电话给我,说他的网站造到攻击了,他叫安全的,但是没有处理,这是非常典型的。特别强调能够具有实际解决问题能力的人才迫切需求。
3、推广网络信息安全产品技术。研究更多更好的产品技术是我们的使命,但是更重要的如何把有效的产品推广下去,让更多用户得到实惠,需要我们更多人参与,这是我们重要工作之一。
4、通过一些会议的组织形成客户与IT公司共同认识安全共识。
我们怎么去做?我们把安全分为几个层次,在座的属于中间层和高层这一块。我们下层怎么办?如果没有下层的话,下面很多事情无法施展,我们叫做金字塔的模式,下层主要使用IT系统的人员,比如说我们相关的人开发系统,怎么让人正确使用,至少不会把功能进行禁闭。第二层是针对工程开发人员,OWASP是针对Web应用开发的,Web应用整个开发过程怎么样应用,从需求到运营整个生命系统怎么保证安全的?我们需要传递有效的知识。如何把专业人员组织起来,形成更好的体系,保护整个业务系统运转,我们管理层面非常重要的一个层面,这是我们努力的目标。
总体目标:需要“德和才”,德才兼备、攻防兼备。
从能力方面从三个纬度角度,服务、运维和管理能力,我们的教材希望更贴近第一线的工作。
这是我们整个职业成长发展目标。
我们最底层能够复制小规模的网络,中间能够处理应急的,有一个大规模的,上面能够对未来提供规划、设计的。属于在座从事职业化,基本上按照这个道路发展的。我自己基本上也是这样慢慢起来的。包括我以前做过网络管理员,慢慢把相关知识相关的去铺,这就是我们成长路线图。这是我们的理念,面向岗位学以致用、能力分级、循序渐进,科学规范,注重能力,专家引领,博采众长。我们各方面的专家帮助刚刚对安全感兴趣的人,更快的掌握安全知识。
我们的方法是什么?专家导引专项拓展、技能实训、能力竞赛、问题挑战等等。
比如说一些基础知识,个人电脑、恶意代码防护、windows系统安全、Uiix等等,这只是初级的。
这是有关高级方面,从体系理论规划、设计管理、对案例进行分析的。
能力方面从组织能力、管理能力、技术能力,任何一个单位,只要走向工作岗位,只要有两个人的时候就会有组织。这是从更高级的,我就不愿意细讲了。
因为我们的服务大概在这里,一是实现了规范,二是产品,三是师资,四是调研报告。我们技术单位支持单位比较多,还有我们技术科学院,我是在软件所工作的,我成立了中国信息安全中心,一直做安全方面的工作,还有北京大学。我们小组主要从事安全漏洞的发现,我们共发现了微软相关的漏洞,还有我们自己开发了专业工具,消除一般的普通的软件无法消除的。还有OWASP中国的合作,我们广西师范建立了研究所,我们与互联网安全研究中心有一些合作。
这是我们有关的教材,这是我们公开出版的教材,还有一些内部的教材。这是我们实训,主要通过需求化的技术手段构建实训场景,让更多学员体现,有很多厂商的产品由于各种原因,不可能把整个硬件搬过来,可以提供相应软件虚拟化以后放到实训平台,让更多人学会它使用它,准备好设计的思想。
我们与在座的各位分享一下合作与未来机遇,我们的想法创造机会,比如说我们发现一种威胁,意味着某种产品的出现,这是我们项目中非常强调的一点。开放合作,不是关起门来干的,把自己的知识和能力通过平台传播出去,能够提升自己。强调共同发展,包括厂商、个人、协会、高效、研究机构都可以通过这个平台,我们合作模式有多种,厂商可以把他的技术通过我们的平台有效的变成实训教材传递给相应的人群。
这是关于未来分析的机遇(如图),信息安全数字调研,为什么做这个调研?我们认为大学生在整个素质相对比较高的,其实他们关系到来国民素质的影响。信息安全是计算机专业学生的事,与我无关,其实不是这样的。
半数大学生表示不能识别、防护及清除各类恶意代码。关于需求调研方面,其实需要这方面认为很有必要,其实我们怎么样把有效的知识传递给别人,我昨天与一个人谈到你这些东西怎么样让别人知道它,让他们知道这些威胁以后,才有兴趣购买这些东西,这是我们前面为什么强调金字塔的模式,只要各位从事这个行业中,你就有这个责任培养这个群体,提升整个国民素质,才会有更多发展空间。
对实际的需求非常迫切的对于调研发现。
我们发展空间分成几类:
A类:面向普通人群,公务员、公司员工、电脑文秘、商务人员、学生家长、中小学教师等等。比如说文秘人员敲的东西都是很重要文档,关于方案、政策,一旦他泄漏出去,等于你防火墙和其他东西都白干了,所以这些人非常重要。
B类:面向IT工作人群网络信息安全教育。不是针对IT安全问题,而是解决IT开发问题,比如说管理员,数据开发等等。
C类:面向信息安全专业服务培训。
D类:网络信息安全产品开发工程师。
E类:项目管理人员。
NSACE我们项目对于个人来说或者对于别人来说,对于整个国家从大的方面,小的方面来说,都是非常有利的。
相关链接:
OWASP2011演讲PPT下载专辑http://topic.it168.com/factory/owasp_2011/index.html
OWASP2011专题报道http://safe.it168.com/topic/2011/11-7/OWASP2011/index.html
