中國信息安全測評中心副總工程師在軟件安全論壇演講

　　郭濤首先對當(dāng)前的信息安全的形勢做了簡要分析，并列舉了一些關(guān)于新威脅新安全的話題，通過事件列舉，由此引入到APT攻擊和斯諾登事件等新的安全威脅事件的探討，指出信息安全的根源所在是漏洞，并提出諸多信息安全保障的想法。

　　郭濤介紹，幾乎每一個引起身份被盜、網(wǎng)絡(luò)中斷、數(shù)據(jù)丟失與網(wǎng)站崩潰的安全破壞都有一個根本的原因，即軟件本身代碼編寫粗糙，普遍存在的軟件漏洞，成了黑客們攻擊利用的目標(biāo)，而這些安全問題卻無法從根本上避免，但在發(fā)展階段修補這些漏洞要便宜很多。研究公司Gartner曾估計，有約70%的安全攻擊發(fā)生在應(yīng)用層。

　　郭濤指出，在傳統(tǒng)的信息安全保障觀中，漏洞被視為關(guān)鍵要素，而在新型信息安全保障觀下，需要構(gòu)建多層級保障評估方法，并以漏洞為中心，貫串軟件/信息系統(tǒng)全生命周期。郭濤還詳細(xì)闡述了包括傳統(tǒng)信息安全保障通用準(zhǔn)則、信息系統(tǒng)安全保障、軟件確保等在內(nèi)的基礎(chǔ)模型，并針對軟件/系統(tǒng)的全生命周期以及代碼安全保障體系做了全面介紹。

　　談到信息安全形勢，郭濤強調(diào)，信息安全已成為國家戰(zhàn)略的根本，隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的出現(xiàn)，終端數(shù)量成倍增長。而在云計算、大數(shù)據(jù)背景下，特別是社交網(wǎng)絡(luò)的快速發(fā)展，構(gòu)建完善的信息安全保障尤為必要。

　　本屆中國互聯(lián)網(wǎng)安全大會由360公司主辦，軟件安全分論壇由CSDN承辦。大會還邀請到國內(nèi)外眾多信息安全領(lǐng)域的專家和愛好者，同時舉辦移動安全高峰論壇、企業(yè)安全高峰論壇、新興安全高峰論壇等多個高峰論壇。大會邀請到了國家工程實驗室、OWASP、Gartner等世界知名互聯(lián)網(wǎng)安全相關(guān)機構(gòu)的支持和共同參與，會議規(guī)模、專業(yè)度及影響力均創(chuàng)國內(nèi)信息安全會議紀(jì)錄。