通信世界网(CWW)4月12日消息 由中国通信学会主办的2012年中国电信业信息与网络安全高层论坛今天正式召开,本次论坛针对“十二五”重要信息系统安全与云安全策略进行讨论,同时针对通信网络与信息安全领域的重点和难点问题进行探究。通信世界网将全程对本次会议进行直播。
创宇研究部总监钟晨鸣
以下为演讲实录:
钟晨鸣:
大家好,我这次讲的话,可能会稍微轻松随意一些。我是知道创宇的,我的网名叫余铉,负责整个研究部,web应用生态系统,用了系统以后,就能更好的理解了,这个生态系统里面,涉及到各个层面上,里面存在的一些安全问题。这个安全问题能保持一些事件,大规模的数据中间,有很多网站。我们如何第一时间内发现这些应用安全动态,有助于我们在我们的这些监控层面,防御层面里面,把相关的景色特征给快速的打上。
我自己来一个定义,在这个里面,基于BS的软件我都把它定义成这个应用,不像我们看到的一些门户网站,微博等等这样一些,包括我们使用的一些安全的产品,只要是基于BS结构,或者是内部的管理的软件,都把它定义成这个应用。
第一部分它的一个生态系统,最底层这个应用开发的自己的框架,PAD,还有其他。基于这个框架之上,基于有些应用,基于这个开发的,有一些是做自己的私有框架,私有团队开发的,包括一些SNS论坛,包括一些国内外比较流行的一些系统。在往上走,第三层,主要倾向于这个倾向,第一个就是使用的比较多的,还有这个是发布了一个评价,再往上走,web用出来以后,用一些比较成熟的API,比如像一些广告,比如地图,我们上点评网上去看一些这些东西的时候,会把地址,通过这个地图搞出来。这四层,每一层都可以解决安全问题,后面就给大家分享,每一层的一些事件。
一个web应用,基础的支撑的层面,操作系统,然后是一个存储,数据库存储,内存存储,文件存储。再上面是web容器,再上面是服务端语言等等,基于这些之后,再往上走就是web应用包的框架,包括bbs,还有jQuerb等等,最顶层是我们的浏览器,肯定都是基于这个,还基于一些浏览器,实际上就是这样一个GS等等。八层里面,数据输入从上到下,每一层有一个非常关键的一点就是一致性,如果每一层对待安全问题的一致性,这里面是比较流行的。
我们看分类,这里面分为三大类,开元、闭源,私有的。到底是哪个安全?实际上都不一定,我想说的是,像开元,世界上影响很大,安全技术肯定是最高的,因为他通过,面向这些大众会比较多,无论是白帽子黑客,还是黑帽子黑客,及时的提交,双方会及时地响应,把这个进行修补,进化的路线很快速,比这些私有的要快速很多,文字的应用性、安全性,还是非常高的。
而且闭源,大客户所使用的,还是功能性上的一些问题,安全各方面反馈的会比较少,因为一些客户使用的这些情况,还不是那么的必备。我这里举一个例子,像某国内的邮箱系统,在广告里面号称我是最安全的,前两天看到的,之后我就笑了,他继续说,因为我们把这个数据进行了特有的加密,并且我们的系统支持访问,也是为国家串改,我们是百分之百的安全的,我就拿和这个系统,进行登录,做了一些测试,很快就发现很多比较严重的攻击,这样的系统国内应该会比较多。很多政府单位都会使用,经常会用做APP类似的攻击,或者直接读文件,一些比较敏感的,使用这样的系统,经常都是一些很多攻击。还有一些私有的企业,有的是经验不够,有的是以前有经验,过了一段时间就没有经验了,之后就发生问题了。
