2015携程信息安全沙龙圆满闭幕

安全沙龙2
8月15日,在这夏末日和的日子里,凌空SOHO12#11F02会议室迎来了携程信息安全部举办的安全沙龙盛宴。与会者们满心期待,如约而至,在志愿者热情、有序的指引下齐聚会场,惊叹于凌空soho雄伟身姿的同时,更深深体会到这次沙龙传递交流的良好氛围。

安全沙龙3

会议开始之前首先由技术保障中心总经理施坚松致开幕辞。

施总讲到携程作为上海最大的互联网公司,有责任和义务举办这样的技术沙龙,作为携程技术保障中心的负责人他非常高兴并且愿意能给上海的信息安全交流提供最好的场地和氛围。

安全沙龙4

会议开始由信息安全部总监凌云做了精彩的开场,详细的分析了当前的信息安全形势以及本次安全沙龙的重要意义。接着介绍了本次安全沙龙的各位讲师和安全议题,伴随着阵阵掌声,沙龙盛宴正式开始。

安全沙龙5

郑伟——携程信息安全部高级安全工程师。浙工大硕士,目前负责携程无线端安全,代码安全。精于算法研究、善于底层挖掘系统漏洞,程序破解领域的攻坚兵。

本次郑伟以《黑客泛滥时代之本地代码安全为题》做了技术分享。就当代黑客趋于傻瓜式,移动端趋向泛滥的现象,探讨了怎样保护我们的客户端代码。他介绍了携程APP加固系统Quark和公共WIFi、信息收集、TCP劫持方面所面临的威胁。整个演讲依次呈现了常见威胁、APP加固方式、对比各企业针对app端的安全防护手段。

本次分享详细介绍了当前业界主流针对apk的几种保护措施、理清了关于APK的保护思路并在最后分析了apk保护的发展前景、提出动态解壳和虚拟机技术的防护理念,将本次盛会带入了第一个高潮。

安全沙龙6

王润辉 —— 唯品会高级安全工程师胖胖_要减肥 乌云认证白帽子,多家SRC安全专家。作为国内电商领域较早一批的安全人员,在与黑客黑产的的攻防实践中积累了丰富的web安全和业务安全经验,并于2013年建立起了公司的风控体系。现主要精力在业务安全、数据分析、建模等,并依然与黑产长期进行各种对抗。

胖胖主要介绍了唯品会安全团队的发展过程,工作内容、形式的变化以及在安全运营方面的薄弱环节。他提出了安全接口、安全底层框架、监控检测验证自动化应与用户信用价值体系建立的思考理念。最后分享了对抗羊毛党的一些心得。

安全沙龙7

林鹏——万达电商安全主任工程师  CCIE (Security) CISSP,曾任网信金融安全专家,当当网安全经理,6年以上安全/运维工作经验,长期参与一线的攻防对抗。现主要关注于入侵防御,大数据安全分析,行为建模,以及安全体系建设。擅长网络安全,日志分析。

第三场由林鹏做《安全平台建设》分享,首先他就上一场有关羊毛党的问题进行了探讨解答,同时也为返现活动刷单导致服务器过载与损失的疑惑指点迷津。他提出基础安全支持业务安全发展,业务安全发展反哺基础安全的观点,通过用户注册、登录、修改密码等用户行为分析和日至分析结果生动的讲解了如何完善的构建信息安全平台。借由此机,凌云总监立刻提议各大已建立黑名单机制的网站如携程、淘宝、唯品会等成立黑名单共享联盟(具体将恶意的IP、用户ID、邮箱地址、手机号码等列入其中)希望更多与会公司参与打造国内安全领域专有的信息安全黑名单共享联盟。此议一出立刻得到在场各大厂商安全人员的一致赞同,反映强烈。

安全沙龙8

赵传兴——UCloud高级安全工程师。负责自身安全与云平台的安全建设与运营,主要包括基于云平台的DDoS防护与系统安全防护。

Ucloud公司的赵传兴向大家展示了云安全,打破了众人已有的对于云存储相对本地存储必然难以管理不安全的误解。他提出三个观点:一,BAT、Ucloud均不使用openstack,以免受制于其社区发展。二,针对不少运维人员习惯把工作信息存在印象笔记中建议网页版开启双因素认证或不再记录。三:云计算环境中,虚拟网络层在普通网络层之上,IP和MAC的地址对应关系是基于人工维护的静态表,因此不存在ARP欺骗反而更稳定。其后,他围绕着WIFI安全、安全域、运维安全管理、抗DDOS和SSH暴力猜解一一展开分析。

安全沙龙9

牛纪雷——阿里巴巴集团安全部安全专家。花名:东厂,现负责云计算安全团队,8年的互联网行业安全从业经验,先后任职于9you网,盛大游戏,1号店等。

在美好的茶歇之后,阿里巴巴云计算团队的安全专家牛纪雷压轴登场。他指出互联网面临的安全问题随企业规模扩大而扩大,并结合自身数年甲方工作经历提出了一些问题与思考。他从即使安全建设已经实施但攻击仍然会发生、同时无法找到木桶效应的短板这一现状进行引入,讲解了系统与网络安全(ACL生命周期管理)方面内容;web安全内容,介绍了各安全工具所擅长解决的问题类型;指出办公网络应实现SSO统一入口与双因素认证,所有后台应收归内网;避免(撞库、恶意领券、信息泄露)等业务安

全问题;提问环节对关安全生态和僵尸ACL的问题进行解惑。

安全沙龙10

安全沙龙111

安全沙龙12

安全沙龙1

会议已然尾声,各位讲师、携程安全部同事以及包含华为、绿盟、优酷等各大公司安全人员、上海交大教授、白帽子、信息安全爱好者在内上百位与会者仍在积极热烈的交流,相互碰撞出火花不断。夕阳洒下金色的光芒,凌空soho这列时代的列车正乘载着国内顶尖的安全精英一起守护着我们携程人的梦想,守护着中国信息安全的未来。。。

 

携程信息安全部邮箱security@ctrip.com

发表评论

电子邮件地址不会被公开。 必填项已用*标注

Copyright © 1999 - 2014 Ctrip. Powered by WordPress.