护卫盾网络验证2019软件安全大会在京落幕

科技报讯(记者 钟欣)10月22日,《护卫盾网络验证2019软件安全大会》在北京落下帷幕。在刚刚过去的两天时间内,来自全国各地区约100名软件安全领域技术嘉宾齐聚北京,围绕“软件安全”为主题,纵论软件安全发展大势,展示信息技术创新成果,共商软件安全开放合作途径。



会议针对:数据安全、通讯安全、服务器安全、软件安全防护、软件加密等五大领域进行深度剖析,以及针对收费软件安全方案进行规划、总结。

数据安全
网络数据传输过程中,由于可以通过截获网卡数据包进行分析,且无法避免被截包,那么数据安全在网络通讯过程中的重要性则不言而喻,会议指出,针对数据安全的方法采用RSA不可逆加密通讯,多秘钥、单通道、封包一次性过期、数据签名、公(public)、私(private)秘钥独立保存。由于RSA算法的不可逆特性,即使数据包被截获,也无法还原为明文,大幅度提升数据安全。

通讯安全
通讯安全在软件安全中起到至关重要的作用,如何保证客户端数据能够发送到正确的服务器,且服务器接到命令时能够根据命令类型出正确的答复,并且服务器的答复能够正确的回调给客户端。会议指出:山寨服务器是网络验证系统的一个致命法门,软件做的在安全,如果服务器被山寨,导致正确的命令发送到错误的服务器,由错误的服务器回调给客户端错误的答复,将使网络验证系统直接被攻破。那么如何防范服务器被山寨呢?完善的数据管理安全保障,一对一验证,数据加签、验签、封包过期、答复封包加签、验签,保证每条数据正常发送到点服务器,同时保证服务器答复消息完整反馈给点客户端。

服务器安全
服务器在网络验证中是灵魂所在,如果服务器被攻破,那么在安全的网络验证系统也无法工作,SQL注入攻击(SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据库配置或数据库平台的漏洞所致;后者主要是由于程序员对输入未进行细致地过滤,从而执行了非法的数据查询。)、XSS攻击(可以使用户在浏览器中执行其预定义的恶意脚本,如劫持用户会话,插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器、繁殖XSS蠕虫,甚至破坏网站、修改路由器配置信息等。)会议指出,防范SQL注入攻击主要针对:输入验证、输入转义、最小权限法、参数化查询、错误消息处理、加密处理。防范XSS攻击主要针对:转义用户输入、转义HTML符号(&等)、Javascript非字母非数字转义为小于256的ASCII字符、URL编码、添加用户生成内容。

软件安全防护
客户端安全在整套网络验证系统中无疑是最危险的一关,因为客户端安装在用户电脑,是任何人可直接接触到的存在,多数网络验证系统被攻破的主要原因为基于客户端的调试、修改。会议指出:防范客户端被攻破的主要方法为数据云端化(云常量)客户端只是一个空壳,核心数据存于服务器,暴力手段进入客户端得到的只是一个空壳、安全防调化(防调试)多种防调防附加方案,如软件无法被调试,不法分子则无从下手。

客户端加密
一个优秀的加密壳可将大部分不法分子拒之门外,例如安全性较高的VMP、SE等,也可自行修改程序入口点,让程序安全更进一步。

信息化时代,越来越多的软件具备商业价值,那么版权保护对于作者而言就显得至关重要,如何能够保证开发商能够完整的享受到软件带来的效益呢?软件安全秩序正遭遇强烈冲击和挑战,部分双边多边机制呈现碎片化和无序化趋势,对一些治理进程和治理模式探索产生诸多阻碍,给各相关方维护软件安全利益和开展有效协作带来不利影响。

随着软件安全理念为越来越多的作者接受和认同,我国应认真考虑法律框架下进一步加强协作的有效机制。政府、企业、技术社群、社会组织、作者个人等各利益相关方应共同参与,提升安全责任,完善安全规则,重建开放合作的安全体系,协力构建软件安全命运共同体。

Copyright © 2019-2059 HuWeiDun.Cn All rights reserved.
软著登字第4248884号 冀ICP备19021017号