从开发到用户，关注互联网安

       武汉北大青鸟光谷校区：从开发到用户，互联网安。本次研讨会汇集了来自安天、安恒和xsign等公司和组织的众多技术高手，就算法策略、安防御与漏洞补杀、用户身份认证和移动安等话题和与会者进行了深度探讨。与会者包括来自互联网/IT公司技术高管CIO/CTO/CSO、运维管理人员、程序员、网络安研究人员。共计两百多人参与了此次研讨会。

　　图：活动现场座无虚席。

　　2012年冬春，互联网安的多事之际。我们见证了大规模的网站密码泄露事件，多个语言或框架的安漏洞也被曝光，新平台的安问题也浮出水面。要做互联网，重视安问题已经刻不容缓。如何保证互联网网站安平稳地运行，用户的隐私权益得到充分的?来自安天实验室反病毒引擎研发中心的研发经理童志明、来自安恒信息安服务的部门经理刘志乐、来自xsign的移动安张亚一，以及pr0zel windows安研究员李敏怡，分别阐述了自己的观点并带来了相应解决方案和技术讲解。

　　安天童志明：Web应用开发中的安算法使用策略

　　安天实验室反病毒引擎研发中心经理童志明发表《Web应用开发中的安算法使用策略》主题演讲。

　　图：安天实验室反病毒引擎研发中心经理 童志明

　　童志明谈到，在当前0day横行，几乎没有网站和应用可以保证自己数据库系统的安的情况下，如何合理的利用现有的安算法，可以获得更多安的，是我们需要讨论的问题。

　　在演讲中，童志明通过对APM实现的展开进行深入的讨论，让目前还在明文保存密码的网站和使用相关算法策略并不合理(比如那些联合使用HASH或者加入单一SALT的情况)的网站，能够了解如何科学使用这些数学方法，降低安应用的门槛;同时，他通过大量案例的分析，希望打消那些中小网站试图自己研究一个算法的努力。放弃这些已经被经过理论和实践检验过的算法实现，而徒耗心力和人月，是不值得的。

　　安恒刘志乐：“泄密门”带给我们的警示

　　安恒信息安服务的部门经理刘志乐做了名为《“泄密门“带给我们的警示》的主题演讲。

　　图：安恒信息安服务部门经理 刘志乐

　　刘志乐指出，目前75%的安隐患来自于Web应用系统所存在的安漏洞，三分之二的WEB站点都相当脆弱，易受到攻击。Web应用安严峻的现状。

　　他在常见Web应用安漏洞的说明，主要从两方面来阐述：一方面从权威的OWASP统计显示2010年名列前十的安漏洞;另一方面，通过从漏洞产生原因、危害以及加固建议三个方面来描述目前常见的高危WEB应用安漏洞。

　　接下来刘志乐从整体的安产品防护、安服务两个方面来阐述如何对Web应用系统进行安防护。安产品防护主要是描述WEB应用安产品的部署防护，安服务主要是描述Web应用系统的安服务体系概述、安服务内容以及安服务主要实施技术和工具。

　　后，刘志乐在演讲中对敏感信息泄露的防范提供了几点建议：将敏感信息统一定位在安目录下;正确设置访问权限;敏感目录和敏感文件名不要默认命名等等。

　　xsign张亚一：2011年Android恶意软件分析

　　xsign成员张亚一做了《2011年Android恶意软件分析》的演讲。

　　图：xsign成员 张亚一

　　张亚一指出，2011年是Android恶意软件试水的一年，以隐私、广告和推广为主题的产业链慢慢浮现。同时Android恶意软件的演进速度也明确加快。在演讲中他就通过分享几个Android病毒管中窥豹式地分析了2011年恶意软件的发展状况。

　　在演讲结束后的讨论中，与会者踊跃提问，提出自己遇到的实际问题，寻求技术指导与交流探讨。嘉宾们也做了耐心的讲解与深入的探讨交流，现场气氛热烈而融洽，并针对本次讲座的主题与业界热点话题，发表见解并分享自己工作中的技术心得和经验积累。