记中国RSA大会和OWASP 2010中国峰会
【IT168 资讯】2010年10月21日,由美国RSA Conference主办的RSA大会2010信息安全国际论坛(以下简称中国RSA大会)在北京举行;而一天之后,OWASP 2010中国峰会也在北京召开。纷至沓来的两场安全盛会让中国的信息安全界与最前沿的产业动态、趋势做了一次近距离接触。
RSA大会:烙上中国特色
中国RSA大会的召开,标志着RSA Conference这一全球最权威的信息安全年度峰会首次进入中国。本次论坛的五大议题分别是:云计算安全、可信计算、反网络欺诈、法规遵从和密码学,全部是中国信息安全界最关心的、业界最热门的话题。
由于本次论坛是在中国召开,组织者煞费苦心地选择了最早的双因素认证手段——虎符作为论坛的Logo,再加上开场时的中国古代士兵的功夫表演,体现了浓郁的中国特色。
RSA总裁兼EMC执行副总裁亚瑟?科维洛在主题演讲中提到,我们面临着三大安全问题,首先是被动的安全防御导致的多个安全产品的堆砌,使得管理十分复杂。其次是业界对虚拟环境的安全还不够重视,而虚拟环境中的攻击较难处理。第三是我们面临越来越程度复杂的网络犯罪,而且他们的欺诈行为非常成功。比如中国的网络钓鱼今年增加了78%左右,这些攻击中有99%都是针对在线零售网站。由于这些安全问题的存在,严重影响了部署云计算的进程。
中国RSA大会自然少不了国内厂商的参与,网康科技、启明星辰、绿盟科技、卫士通、安恒信息、天威诚信、飞天诚信都在论坛上做了主题演讲。网康科技首席执行官袁沈钢表示,网康科技已经先后6次组团参展美国RSA Conference,此次RSA来到中国,对网康科技来说更是难得的机遇。袁沈钢发表了题为“云计算对合规性及网络质量的挑战”的主题演讲,并参加了信息安全创业者圆桌论坛。
之前,中国的学术机构一直无缘亮相美国的RSA Conference。这次在中国召开的RSA大会,亮点之一便是国内学术机构集体亮相。中国电子学会、中国科学院、北京大学、清华大学、复旦大学、武汉大学均派出代表参与活动并发表演讲。
清华大学计算机系教授、博士生导师郑纬民在接受记者采访时表示,清华大学做了一个存储云(就是一个数据中心),让个人用户、集团用户、公共用户存储数据。在他看来,做好两件事就实现了安全。首先是数据别丢失;其次是数据不能让别人看,不能让别人拿走。对于第二件事情,郑纬民和他的团队采取了如下措施:1、基于交换机实现访问控制,对用户进行权限管理。2、数据加密后再放入存储云,或者传输的时候加密。3、存储云本身的安全。清华大学和复旦大学、华东科技大学、EMC一起开发了“道里系统”,该系统可以防止系统管理员看到用户的数据。4、可追溯。用户访问数据的时候,整个操作过程都被记录下来,有案可查。现在,这个存储云已经是一个比较让人放心的“云”。
回顾本次中国RSA大会,科维洛的观点颇具代表性。他表示,在中国RSA大会召开前一周,欧洲的RSA大会刚刚结束。两个会议的话题基本相同,但欧洲的会议偏商业性,而中国的会议更加偏重技术性。另外,他看好中国RSA大会的前景。他举例说,尽管从十年前开始,日本每年都举办RSA信息安全大会,但是到今天为止仍然是一个只有日本本土人员参加的会议。中国是亚洲第二个举办RSA大会的国家,在未来,科维洛相信中国RSA大会将吸引新加坡、马来西亚等更多周边国家的有关人士来参与,成为亚洲的安全盛会。
OWASP 2010:中国味更浓
OWASP 2010中国峰会有一点和RSA大会2010信息安全国际论坛相同,那就是二者都是第一次在中国举办。不过,由于有着美国RSA Conference的强大背景,中国RSA大会的风头盖过了OWASP 2010中国峰会。但是,凭借着自己的鲜明特色,OWASP 2010中国峰会也获得了圆满成功。
OWASP(Open Web Application Security Project,)的中文名称是“开放式Web应用程序安全项目”,从这个名称可以看出这是一个专注于Web应用程序安全的组织,所以OWASP 2010中国峰会抓住并突出这一点,以“大融合时代应用安全”为主题,围绕Web应用安全的相关领域,在“应用安全威胁”、“安全开发流程”、“代码安全”、“安全测试(渗透测试)”、“各行业应用安全需求及技术”等多个方面开设了培训和演讲专题。OWASP基金会全球董事会董事Brennan表示,OWASP有一个宏伟的目标,就是帮助所有的软件开发者设计更安全的代码,构建更可靠的Web环境。
与中国RSA大会相比,记者感到OWASP 2010中国峰会的中国味道更浓。除了微软、梭子鱼等几家国外企业之外,公安部、中科院、中国信息安全测评中心、中国互联网信息中心、安恒信息、启明星辰、谷安天下、神州数码、华为、中兴、阿里巴巴、携程、盛大等大量国内企事业单位均积极参与了峰会。
目前,国内企业受到的攻击有80%来自内部,而来自外部的20%的攻击中,有85%的攻击是SQL注入、跨站脚本(CSS/XSS)等攻击。所以Web安全越来越受到重视。对于这种安全状况,神州数码Web监控系统产品经理陈克军在与记者的交流中表示,国内安全厂商已经推出合适的产品来保护用户的Web应用安全。
神州数码目前可以提供Web实时监控与检测的产品和服务。该硬件产品主要具有四大功能:1、网页挂马检测。2、网站存活监控。3、关键字检测。4、域名劫持防御。最近神州数码的Web实时监控与检测的产品在江苏经信委中标,主要就是提供关键字检测的能力,防止Web页面被非法篡改。硬件产品的优势在于,检测速度快,每小时可以检测上万个页面,并且可以深达10层页面且准确率达到99%。目前,神州数码重点开拓政府和军队这两个行业。
虽然Web实时监控与检测产品可以在很大程度上解决网页安全,但它还有不足之处,那就是只注重检测,防御的功能比较少,所以神州数码下一步将推出Web应用防火墙(WAF)。陈克军认为WAF仍处在市场培育期,还有大量的市场机会有待神州数码去挖掘。