设为首页 | 加入收藏   QQ群:85948383/120409214   微信公共账号:plan1000
注册 | 登录
千人计划网人物库频道声明
  人物库频道是一个开放的“海归人物”数据库,范围不限于千人计划专家,内容由个人上传提供,旨在构建一个涵盖生物医药与生物技术,能源、资源与环境,经济、金融与管理,信息科学与技术,高新技术产业,工程与材料,化学化工,数学物理等领域的海归人物展示平台,信息真实性及准确性由信息上传者个人负责。
人物库 >>所属分类 >> 信息科学与技术   

范渊

标签: 范渊,信息安全,黑帽子大会

顶[0] 发表评论(0) 编辑词条
目录

概述编辑本段回目录

范渊范渊
范渊 ,杭州安恒信息技术有限公司技术总监,毕业于美国加州州立大学,计算机科学硕士,拥有十多年在国际著名安全公司的技术研发和项目管理经验,对在线安全、数据库安全和审计、Compliance(如SOX、PCI、ISO17799/27001)有极其深刻的研究。由于在信息安全领域的技术创新的成功实践,成为第一个登上全球顶级安全大会BlackHat(黑帽子)大会进行演讲的中国人。

主要经历编辑本段回目录

2002年,范渊从美国加州大学计算机系研究生毕业后,先后在硅谷多家安全公司任高级研发和主管。

2006年,他在硅谷成立了DBAPPSecurity安全公司,由于研究领域独到、先进,他连续两次登上全球最权威的网络安全大会――美国黑帽子大会演讲,向全球五百强企业IT主管阐述应用安全领域的最新研究和防御方法,成为第一个登上这个网络安全舞台的中国人。

2006年圣诞节,他带着妻子和只有三个月大的儿子,飞回了杭州,落户天堂硅谷。 

2009年10月23日,在分会之“网络安全新技术”会上,网络安全专家范渊发表了关于Web应用与数据库安全剖析的演讲。 

Web安全编辑本段回目录

近几年来,各大高校为了增强信息化系统的社会服务功能和访问的便捷性,都在向Web应用模式转型。为了保证这些Web应用系统的安全,大多高校网也都部署了SSL安全代理、防火墙、IDS/IPS ,以及软件防火墙、防病毒这类安全设备。但是高校网遭遇的恶性攻击事件不仅没有因此减少,反而还出现了大幅飙升的趋势。湖北多所高校网站遭攻击 考生录取记录被篡改”;“北大网站遭黑客篡改 假冒校长抨击大学教育”;“黑客攻击清华大学新闻网 捏造顾秉林粗俗讲话假新闻”;“知名高校挂马现象严重 考生面临安全风险”。如今类似的高校网“中招”事件比比皆是,这些网络攻击不仅能轻易穿透高校网的安全屏障,还能在后台随便篡改数据。据杭州安恒信息技术有限公司技术总监范渊介绍,这些幕后黑手正是通过Web应用系统的漏洞,越过了高校网的安全防护体系。 

在范渊看来,校园网之所以在遭遇攻击后损失重大,主要是因为大部分学校的对外服务网站都与其内网系统相关联,攻击者更容易以应用服务器为跳板实现对校园内部系统的入侵。应用层的安全问题更为复杂,和传统的解决方案相比,我们的解决方案是由7大子系统构成的,目标是构建一个整体多层防护系统。它包含网站WEB应用弱点扫描子系统、网站防攻击子系统、网站防篡改子系统、网站应用安全审计子系统、网站数据库弱点扫描子系统、网站数据库安全审计子系统总共7大部分,从各个层面和各个角度为网站系统建立起一个立体的防御体系。网站的整体安全检测主要依靠网站WEB应用弱点扫描子系统和数据库弱点扫描子系统来完成。通过WEB应用弱点扫描子系统,可以快速检测网站可能存在的SQL注入、跨站脚本、表单绕过等应用弱点,并根据检测结果有针对性的采取安全加固措施。而通过数据库弱点扫描子系统,就能快速识别数据库系统存在的补丁状况、弱配置状况等安全隐患,再通过有效应对去尽可能防范对后台数据的入侵。而监控审计也是防御Web攻击的关键。通过网站应用安全审计子系统和网站数据库安全审计子系统的协作。安恒的解决方案可以深度检测所有HTTP访问数据,并实现对网站访问的7x24小时实时监控,对检测到的异常访问和攻击行为,系统都会报警、通知用户,协助网管人员第一时间采取安全应急措施。而且,系统的日志功能,也为安全审计提供了基础。网站数据库安全审计子系统同时在帮助用户检视所有的针对数据库服务器的访问,除了日常的SQL,还包括通过FTP、TELNET等其他的访问方式,实现了对后台数据库日常操作的监控、危险操作控制以及安全事件的追溯。 

应用安全编辑本段回目录

范渊是OWASP中国区的副会长,OWASP组织是一个国外开放社群、非营利性组织,在全球有130多个分会,近万名会员;主要目标是研议协助解决Web应用安全标准、工具与技术,致力于协助政府、企业了解并改善应用安全。OWASP国际影响力比较大,美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP所发布的十大Web弱点防护守则。目前OWASP有30多个进行中的安全项目,主要包括OWASPTop10、webgoat等,OWASP中国分会致力于这些开源项目的引入以及研究,并通过各种渠道在国内安全行业内共享。同时,也欢迎更多的人参与以及加入OWASP中国分会,共同推动国内应用安全领域方面的研究。 [2]

OWASP最近正在做的事情是OWASP测试指南,也花了很多的精力,我、OWASP的会长和一个八级英语翻译致力于将测试指南完全消化,并且争取将测试指南尽快奉献给大家,不涉及到任何的费用。OWASP测试指南目录章节:前沿、信息收集、配置管理测试、认证测试、会话管理测试、授权测试、数据验证测试、业务逻辑测试、拒绝服务测试、网络服务测试、AJAX测试。还包含开发前、开发中、运行后的维护等,包含了很多的经验在里面,这两天也和大家在交流,OWASP一方面比较新,但另一方面确实会涉及到白服和黑服的防护,以及事后的应急处理,我认为是不可或缺的,测试内容比较多,章节也比较多,花了很多的精力。Web攻击悄然无声,传统的防火墙、防病毒几乎没有触及,对于防火墙来说必须打开STTP80和STTPS,在这个范围内发起的所有攻击都会变得比较容易。Web应用系统所面临的风险有系统层面的、应用层面的、网络层面的、业务层面的,如低版本的IIS、缺乏不定的windows,SQL注入、网页木马、恶意代码、跨站脚本、表单漏洞、上传漏洞、ARP欺骗攻击等等。

附件列表


→如果您认为本词条还有待完善,请 编辑词条

词条内容仅供参考,如果您需要解决具体问题
(尤其在法律、医学等领域),建议您咨询相关领域专业人士。
0

收藏到:  

词条信息

人物视界
人物视界
词条管理员
最近编辑者   
  • 浏览次数: 3700 次
  • 编辑次数: 2次 历史版本
  • 更新时间: 2015-06-02

相关词条