過去幾年間，互聯(lián)網(wǎng)行業(yè)經(jīng)歷了翻天覆地的變化，網(wǎng)絡(luò)從沒有像今天這樣深入地影響著人們的生產(chǎn)和生活。而隨著信息量激增，安全問題也日益受到重視。今天，51CTO記者特別采訪了WOT2016企業(yè)安全技術(shù)峰會(huì)特邀講師、OWASP中國(guó)北京區(qū)負(fù)責(zé)人陳亮，就著相關(guān)話題為我們做深入解析。

陳亮，OWASP中國(guó)北京區(qū)負(fù)責(zé)人，南京銥迅首席安全顧問，山東安云市場(chǎng)戰(zhàn)略官。

據(jù)他介紹，OWASP中國(guó)會(huì)員數(shù)量大概是3700人，還在陸續(xù)增加中。這些會(huì)員要經(jīng)過一個(gè)很嚴(yán)格的篩選，其中有些是針對(duì)學(xué)生的，各個(gè)機(jī)構(gòu)都有OWASP的研究人員在其中。除此之外，還有一個(gè)專家池系統(tǒng)，實(shí)戰(zhàn)經(jīng)驗(yàn)都很強(qiáng)，這也是相比其他機(jī)構(gòu)的一個(gè)優(yōu)勢(shì)。

對(duì)國(guó)內(nèi)安全現(xiàn)狀的看法

談起對(duì)國(guó)內(nèi)安全現(xiàn)狀的看法，陳亮認(rèn)為最核心的問題還是安全意識(shí)的薄弱性。很多企業(yè)現(xiàn)在面臨一個(gè)很大的問題是很多時(shí)候不懂得自己的安全規(guī)劃應(yīng)該如何去做，多數(shù)情況下是被廠商去綁架。甲方不了解真正自己的安全需求是什么，乙方不了解甲方的真正想達(dá)到什么樣的效果，最后導(dǎo)致目標(biāo)與結(jié)果南轅北轍，以至于出現(xiàn)很多安全問題和安全事故。在陳亮看來，最核心的問題還是CIO和CISO的意識(shí)不夠強(qiáng)大，很多人對(duì)CIO和CISO的職責(zé)和界定也并不是特別了解。

比方在日本，他們的這種高層的信息安全主管，會(huì)定期地進(jìn)行一些考試。考試非常嚴(yán)格，之前是有十個(gè)領(lǐng)域，現(xiàn)在劃分成八個(gè)領(lǐng)域。在中國(guó)這方面的人才可能只有1/3左右，但并不是說日新月異的淘汰與輪替，或者說挖一個(gè)高級(jí)人才就能給企業(yè)帶來真正的很大的一個(gè)收益。因?yàn)槠髽I(yè)往往不了解它自己的安全去應(yīng)該怎么做，這恰恰是需要去深思的。

陳亮認(rèn)為信息安全的規(guī)劃必須由企業(yè)自己去考慮，而不是讓廠商來幫忙做主。或者說應(yīng)該聯(lián)合廠商，發(fā)一個(gè)需求，然后廠商來完成，最后通過評(píng)審，通過之后，這才是一個(gè)相對(duì)合理的做法。

“就像一些安全策略的配置一樣，甲方不了解為什么要打這個(gè)安全策略，但乙方會(huì)告訴他這個(gè)里面安全策略能給你帶來什么樣的保護(hù)，但其實(shí)安全策略打得越多，整個(gè)的性能、資源占用都會(huì)受到影響。”

開源與閉源

談到開源和閉源的話題，陳亮認(rèn)為開源本身不是為了商業(yè)目的，而是為了讓大家都積極地投入進(jìn)來。隨著越來越多的人投入到研究中來，發(fā)現(xiàn)BUG、修補(bǔ)漏洞，軟件會(huì)變得越來越完善。國(guó)際上特別流行的一句話叫做先業(yè)務(wù)后安全，業(yè)務(wù)是最主要的支撐部門。以業(yè)務(wù)為驅(qū)動(dòng)的開源項(xiàng)目往往先用起來，之后發(fā)現(xiàn)問題，然后不斷地調(diào)整加固。

他提到，現(xiàn)在最有價(jià)值的漏洞是業(yè)務(wù)邏輯漏洞。作為攻擊者常常需要換位思考，了解業(yè)務(wù)核心邏輯是什么，發(fā)現(xiàn)并繞過漏洞也好，越權(quán)訪問也好，就會(huì)變得非常容易。而蘋果系統(tǒng)比較難遭攻擊的原因就在于其自身是閉源的，而安卓手機(jī)遇到的問題就很多，可見設(shè)置的門檻越高，越不容易被拿下。

如何更好地保護(hù)個(gè)人隱私

在這個(gè)信息爆炸的時(shí)代，每個(gè)人都在或多或少地與網(wǎng)絡(luò)發(fā)生關(guān)聯(lián)。而今年來，網(wǎng)絡(luò)泄密事件層出不窮，作為普通網(wǎng)民如何更好地保護(hù)個(gè)人隱私呢？就著這個(gè)問題，陳亮給出了他的看法。他認(rèn)為首先要有安全意識(shí)，要有懷疑態(tài)度，不能輕易地去相信。有些人聽說積分兌換、銀行系統(tǒng)升級(jí)等就信以為真，其實(shí)往往這些不會(huì)通過短信發(fā)送給你。第二，不能一套密碼打天下。很多人銀行密碼被竊，包括賬號(hào)被盜，往往都是因?yàn)橹皇褂靡惶缀?jiǎn)單的密碼，這樣非常容易成為撞庫(kù)的受害者。第三，是不要相信一些小道消息。比如說“搶紅包”，常常給一個(gè)紅包的圖片，超鏈接到詐騙網(wǎng)站。

書籍推薦

對(duì)于有志于從事和安全或者運(yùn)維相關(guān)工作的人，陳亮推薦他們可以看看日韓方面的書籍。他在日韓圖靈這一塊主要負(fù)責(zé)新安全書籍校驗(yàn)的，所以每本書都看了至少三四遍，校驗(yàn)時(shí)也發(fā)現(xiàn)了一些問題，但是基本上這些書籍還是很適合從業(yè)人員來看。他推薦了《WEB安全權(quán)威指南》，是日本方面從事信息安全、腳本挖掘、漏洞掃描等方面的指定教科書。如果想從事軟件逆向方面的工作，可以看韓國(guó)的，凱利是必然的一個(gè)門檻。在運(yùn)維方面，必過的一個(gè)語言就是python，因?yàn)楝F(xiàn)在自動(dòng)化運(yùn)維的趨勢(shì)越來越明顯。

演講議題

采訪最后，筆者問及陳亮作為WOT峰會(huì)的特約講師，會(huì)在6月的WOT安全峰會(huì)上分享哪些內(nèi)容。他表示如果時(shí)間充裕的話，會(huì)講一下OWASP最新梳理的Mobile Top 10，這也是很多企業(yè)在移動(dòng)安全方面比較關(guān)注的一個(gè)話題。OWASP在這方面從事了很長(zhǎng)時(shí)間的研究，希望能有時(shí)間分享給大家。