郭涛：漏洞是信息安全问题的根源

　　9月23日下午，国内最大的互联网安全360公司主办的2013中国互联网安全大会(ISC)在北京国家会议中心举行，中国信息安全测评中心副总工程师、软件安全实验室主任，OWASP中国区副会长郭涛出席软件安全论坛，并发表主题为《漏洞分析和软件安全保障》的演讲。

　　图 中国信息安全测评中心副总工程师在软件安全论坛演讲

　　郭涛首先对当前的信息安全的形势做了简要分析，并列举了一些关于新威胁新安全的话题，通过事件列举，由此引入到APT攻击和斯诺登事件等新的安全威胁事件的探讨，指出信息安全的根源所在是漏洞，并提出诸多信息安全保障的想法。

　　郭涛介绍，几乎每一个引起身份被盗、网络中断、数据丢失与网站崩溃的安全破坏都有一个根本的原因，即软件本身代码编写粗糙，普遍存在的软件漏洞，成了黑客们攻击利用的目标，而这些安全问题却无法从根本上避免，但在发展阶段修补这些漏洞要便宜很多。研究公司Gartner曾估计，有约70%的安全攻击发生在应用层。

　　郭涛指出，在传统的信息安全保障观中，漏洞被视为关键要素，而在新型信息安全保障观下，需要构建多层级保障评估方法，并以漏洞为中心，贯串软件/信息系统全生命周期。郭涛还详细阐述了包括传统信息安全保障通用准则、信息系统安全保障、软件确保等在内的基础模型，并针对软件/系统的全生命周期以及代码安全保障体系做了全面介绍。

　　谈到信息安全形势，郭涛强调，信息安全已成为国家战略的根本，随着移动互联网、物联网的出现，终端数量成倍增长。而在云计算、大数据背景下，特别是社交网络的快速发展，构建完善的信息安全保障尤为必要。

　　本届中国互联网安全大会由360公司主办，软件安全分论坛由CSDN承办。大会还邀请到国内外众多信息安全领域的专家和爱好者，同时举办移动安全高峰论坛、企业安全高峰论坛、新兴安全高峰论坛等多个高峰论坛。大会邀请到了国家工程实验室、OWASP、Gartner等世界知名互联网安全相关机构的支持和共同参与，会议规模、专业度及影响力均创国内信息安全会议纪录。