過去幾年間，互聯網行業經歷了翻天覆地的變化，網絡從沒有像今天這樣深入地影響著人們的生產和生活。而隨著信息量激增，安全問題也日益受到重視。今天，51CTO記者特別采訪了WOT2016企業安全技術峰會特邀講師、OWASP中國北京區負責人陳亮，就著相關話題為我們做深入解析。

陳亮，OWASP中國北京區負責人，南京銥迅首席安全顧問，山東安云市場戰略官。

據他介紹，OWASP中國會員數量大概是3700人，還在陸續增加中。這些會員要經過一個很嚴格的篩選，其中有些是針對學生的，各個機構都有OWASP的研究人員在其中。除此之外，還有一個專家池系統，實戰經驗都很強，這也是相比其他機構的一個優勢。

對國內安全現狀的看法

談起對國內安全現狀的看法，陳亮認為最核心的問題還是安全意識的薄弱性。很多企業現在面臨一個很大的問題是很多時候不懂得自己的安全規劃應該如何去做，多數情況下是被廠商去綁架。甲方不了解真正自己的安全需求是什么，乙方不了解甲方的真正想達到什么樣的效果，最后導致目標與結果南轅北轍，以至于出現很多安全問題和安全事故。在陳亮看來，最核心的問題還是CIO和CISO的意識不夠強大，很多人對CIO和CISO的職責和界定也并不是特別了解。

比方在日本，他們的這種高層的信息安全主管，會定期地進行一些考試。考試非常嚴格，之前是有十個領域，現在劃分成八個領域。在中國這方面的人才可能只有1/3左右，但并不是說日新月異的淘汰與輪替，或者說挖一個高級人才就能給企業帶來真正的很大的一個收益。因為企業往往不了解它自己的安全去應該怎么做，這恰恰是需要去深思的。

陳亮認為信息安全的規劃必須由企業自己去考慮，而不是讓廠商來幫忙做主。或者說應該聯合廠商，發一個需求，然后廠商來完成，最后通過評審，通過之后，這才是一個相對合理的做法。

“就像一些安全策略的配置一樣，甲方不了解為什么要打這個安全策略，但乙方會告訴他這個里面安全策略能給你帶來什么樣的保護，但其實安全策略打得越多，整個的性能、資源占用都會受到影響。”

開源與閉源

談到開源和閉源的話題，陳亮認為開源本身不是為了商業目的，而是為了讓大家都積極地投入進來。隨著越來越多的人投入到研究中來，發現BUG、修補漏洞，軟件會變得越來越完善。國際上特別流行的一句話叫做先業務后安全，業務是最主要的支撐部門。以業務為驅動的開源項目往往先用起來，之后發現問題，然后不斷地調整加固。

他提到，現在最有價值的漏洞是業務邏輯漏洞。作為攻擊者常常需要換位思考，了解業務核心邏輯是什么，發現并繞過漏洞也好，越權訪問也好，就會變得非常容易。而蘋果系統比較難遭攻擊的原因就在于其自身是閉源的，而安卓手機遇到的問題就很多，可見設置的門檻越高，越不容易被拿下。

如何更好地保護個人隱私

在這個信息爆炸的時代，每個人都在或多或少地與網絡發生關聯。而今年來，網絡泄密事件層出不窮，作為普通網民如何更好地保護個人隱私呢？就著這個問題，陳亮給出了他的看法。他認為首先要有安全意識，要有懷疑態度，不能輕易地去相信。有些人聽說積分兌換、銀行系統升級等就信以為真，其實往往這些不會通過短信發送給你。第二，不能一套密碼打天下。很多人銀行密碼被竊，包括賬號被盜，往往都是因為只使用一套簡單的密碼，這樣非常容易成為撞庫的受害者。第三，是不要相信一些小道消息。比如說“搶紅包”，常常給一個紅包的圖片，超鏈接到詐騙網站。

書籍推薦

對于有志于從事和安全或者運維相關工作的人，陳亮推薦他們可以看看日韓方面的書籍。他在日韓圖靈這一塊主要負責新安全書籍校驗的，所以每本書都看了至少三四遍，校驗時也發現了一些問題，但是基本上這些書籍還是很適合從業人員來看。他推薦了《WEB安全權威指南》，是日本方面從事信息安全、腳本挖掘、漏洞掃描等方面的指定教科書。如果想從事軟件逆向方面的工作，可以看韓國的，凱利是必然的一個門檻。在運維方面，必過的一個語言就是python，因為現在自動化運維的趨勢越來越明顯。

演講議題

采訪最后，筆者問及陳亮作為WOT峰會的特約講師，會在6月的WOT安全峰會上分享哪些內容。他表示如果時間充裕的話，會講一下OWASP最新梳理的Mobile Top 10，這也是很多企業在移動安全方面比較關注的一個話題。OWASP在這方面從事了很長時間的研究，希望能有時間分享給大家。