前一阵子提到11月份会参加几个若干和安全有关的会议。

 

第一个会议。2008中国软件安全峰会，http://www.sinoit.org.cn/，电子工业出版社主办。

 

下面是我对一些讲座的个人笔记，供大家参考。许多讲座的PPT可以下载。

 

计算机病毒的发展趋势与反病毒产品测试

国家计算机病毒应急处理中心副主任 陈建民

 

提到目前在攻击者网路流量统计的网站上挂马。因为大量网站都依赖于流量网站的脚步来统计，一旦成功在流量网站上挂马成功的话，那么这个木马的曝光率就是非常高了。

 

国内外软件漏洞处理概况

国家互联网应急中心（CNCERT/CC）运行部副主任 周勇林

 

提到了今年三个重要的安全漏洞。DNS安全漏洞（Dan Kaminsky）, MS08-067安全漏洞，和一个还没有公布的关于TCP/IP的安全漏洞（CNCERT尚不了解漏洞的详细信息）。提到了计划创建一个和美国日本类似的CVE漏洞数据库计划。这对追踪和管理尤其是国产软件的安全漏洞是非常有用的。

 

Web 2.0时代的网络安全

奇虎公司董事长助理 石晓虹

 

其中提到的通过社区反馈来评估URL和软件好坏的思想。这一点和目前流行的Reputation Service（声誉服务）类似。

 

Business Software Assurance（软件安全保证体系）

Fortify亚太地区Practice Director，Justin Derry

 

提出software assurance maturity模型。 The http is http://www.opensamm.org/Home.html 。计划将这个模式变为ISO标准？和微软的SDL的区别在那？

 

漫谈虚拟机技术安全

McAfee研究员 孙冰

 

孙冰是研究虚拟机的大拿了。和他聊了一下，估计很快就要研究微软的Hyper-V了。

 

Fuzz技术与软件安全性测试

著名软件安全专家 王清

 

Peach看来使用的是越来越多了。Smart智能fuzz肯定是以后发展的方向。Dumb fuzz的空间已经不大了。

 

微软安全信息报告第五集 ——中国安全近况概述

微软大中华区首席安全顾问 江明灶

 

里面有专门关于中国地区的基于浏览器的安全漏洞的统计数据。还是非常有意思的。

 

由于时间冲突，没能够听到看雪论坛的关于加密技术的讲座，非常可惜。

发表于 @ 2008年12月06日　08:26:00 | 评论( loading... ) | 编辑| 举报| 收藏

旧一篇:禁用危险的API: banned.h | 新一篇:推荐大牛蛙的博客