陈宇森,长亭科技 CEO,曾在阿里巴巴安全技术峰会做技术演讲,美国 BlackHat 世界黑帽大会做技术展示。同时是 2016 年 ISC 大会云安全专场联合出品人。
免试保送进入浙江大学竺可桢学院求是科学班,计算机方向,美国西北大学访问学者。从学生时代开始进入网络安全攻防领域,拥有多年实战经验。曾获得大量网络安全攻防比赛冠军,其中包括 360 杯大学生安全竞赛总决赛冠军、CNCERT 中国网络安全攻防大赛冠军、首都网络信息安全日攻防竞赛冠军等。
在工作之外,喜欢旅游、拍照和电子竞技,和公司其他几位爱好 dota2 的同事一起获得过 bilibili 直播组织的互联网公司 dota2 大赛第一名。一个看法就是即使工作再忙,也要给生活留点空间,做好生活和工作的平衡才能健康可持续发展。
时间:04月18日
地点:307A在安全领域,甲乙双方对安全的看法始终存在着一定的鸿沟。
那么如何在当今严峻的网络信息安全形势下,如何做好一个公司的网络安全建设工作,如何从零到一的建立一个好的安全体系,拉起一个有战斗力的安全团队,始终是一个充满挑战性的问题。
我们将邀请拥一些既拥有乙方背景,又有甲方工作经验的安全专家给大家分享他们在网络信息安全建设中的经验和故事,让大家从一系列最佳实践中,了解如何去把网络安全这个棘手却又不得不做的工作处理好,让自己公司的数据和业务,安全稳定地运行。
软件安全问题由来已久,品种繁多。但无外乎两大类。一类是实现的问题,在编码过程中才出现。另一大类是设计问题,在详细设计甚至概要设计里就有了。这个演讲将带着大家通过分析一些历史上的真实案例,来认识设计类型的漏洞,以及思考减少这类问题的方法。
很多初创的甲方公司高层认为安全就是找漏洞和修漏洞,很多乙方的工程师也没有企业安全管理的真正经验,B 站在这期间,也是摸着石头过河。因此本专题将通过分享 B 站在安全建设初期上的经验,希望能给一些安全还没起步的公司和刚跳到甲方的安全工程师一点启发,在安全建设上少走一些弯路。
此议题要探讨的安全问题,不需要专业的漏洞挖掘技术。一个对生活有心的技术小白也可能发现此类漏洞。当攻击者想要突破某个安全防御的时候,可能不用硬碰硬,就有很多其他正常功能可以帮他绕过你的防御。同时,也分享本人发现的一些漏洞案例来谈谈在安全设计时,怎么尽量避免此类风险。
本演讲将分享金融行业企业安全建设的实践和思考,包括:金融行业企业安全的本质、原则,与业务的关系,安全度量,如何管理上级,处理横向部门的关系,特别是安全运营之路的经历和理解。安全运营内容包括面临的问题、安全运营架构、支撑工具和所需资源,对安全运营的难点,安全检测为什么会失效,安全运营成熟度,在实践中的一些方法和遇到的问题进行思考。本议题将会对这些细碎的内部安全问题进行梳理并提出一套行之有效的解决方案。
互联网金融行业近期在我国发展迅猛。然而,高速发展的另一面是野蛮生长带来的各种风险。据统计,目前涉嫌违规的互联网金融网站达 2420 家。而网络诈骗、P2P 迷局、e 租宝事件甚至裸贷风波等都与互联网金融有着千丝万缕的联系。业内权威指出,安全是当前我国联网金融行业的最大痛点。其中最重要的一道防线是基于大数据和机器学习的反欺诈能力。
腾讯正利用不可比拟的大数据优势构建反欺诈的数据体系:超过 10 亿用户的社交网络数据用于分析预测用户的关系连接,社区属性乃至社交角色等重要画像信息;通过不正常帐号识别、反不良信息、恶意刷榜和各类网络攻击所长期积累的低劣账户及黑产设备信息;还有着自身丰富的金融服务场景,如微信支付、QQ 钱包、公众号、理财通所拥有的可信金融数据。建立在这些数据系统的管理、分析和推理之上,黑产链知识库是腾讯利用人工智能技术反欺诈的“大脑”。
常见欺诈,比如身份造假,欺诈团体,代办包装,黑产中介,贷后失联等恶意的有效识别和预防不仅要求能对动态高速产生的用户内容中的关键实体信息及实体链接自动抽取,还要能连接并整合海量静态的不同源异构数据做联合事实推断。本演讲将结合学术界最新的知识库自动构建、深度学习、知识推理技术勾勒出腾讯在面向互联网金融安全的黑产链知识库的构建和应用的目前进展和未来方向。
