武汉大学珞珈山水BBS论坛
武汉大学bbs,武汉大学论坛,武汉大学网站,武汉大学bbs论坛,武大bbs,珞珈山水,珞珈山水bbs,武大论坛,洛加山水,加洛山水
[回到开始]
[上一篇][下一篇]
发信人: colormango (芒果), 信区: C.S
标 题: 在腾讯做应用安全(一)
发信站: BBS 珞珈山水站 (Sun Dec 23 19:20:59 2007)
武大的信息安全专业,到今年已经毕业三届了,不过好像没听说有几个毕业生真正在做
安全相关的技术工作的,我那届有两三个在金山做杀毒的。在腾讯的安全部门,就我一个是
武大的;还有一个信安的师弟在QQ医生那个项目组,也算是安全相关吧,不过这个组并不归
属于我们部门。
在腾讯,安全工作主要是在三个层次上进行的:(1)传统的主机与网络层安全,主要
包括网络入侵检测、主机完整性审计、防DDOS攻击、网络及主机防火墙等等;(2)稍往上
的是软件与应用安全,包括客户端软件漏洞挖掘、Web应用漏洞挖掘、通用Fuzzy平台等等;
最上面一层的是业务安全,也就是跟“人”(而不是底层技术)相关的了,比如说盗号行为
分析、密码保护系统等等。
应用安全大体可以分两端:(1)QQ客户端以及附属组件等客户端软件的安全,其中最
大的一个安全威胁便是溢出攻击了。06年底到今年,对于控件溢出漏洞的关注是最突出的,
不独腾讯,包括微软、雅虎、阿里巴巴、迅雷等等,都爆出过漏洞的报告。(2)以WEB应用
为主体的服务器端的安全,目前主要是寻找CGI程序中存在的漏洞,报告并要求业务部门去
修改。国外的Web安全研究早在98年就很热了,专业做web安全的,有不少业绩能达数千万美
元的公司。国内就不一样了,因为真正研究这个技术的人少,虽然问题一直存在,却因为黑
客的关注并不是很多(而且几乎都是在很浅的层次上的),威胁也就变得不那么紧急了。
说实话,我们读书时教的那点信息安全知识,对于日新日异的互联网来说,显得有点学
究和过时,用上的机会不多。特别是应用安全方面,业界还没有形成系统的知识和理论体系
,可以参考的,是一篇又一篇散落在互联网中的文档。我们是边学习边研究,然后又快速地
为眼下的问题找到一个合适的解决方案。这时候,一个老练的程序员是我们最期盼的了,因
为一定方案定下来就得着手开发相应的系统,没有一定的编程功底,是没法胜任的。奇怪得
很,社会上那么多程序员,我们招了一年多,却没有招到几个合适的后台开发。所以我们小
组几个开发不得不一直都很忙,有时一个人同时承担两三个项目的开发工作。
(待续)
※ 修改:·colormango 於 Dec 23 19:36:59 2007 修改本文·[FROM: 219.133.232.*]
※ 来源:·珞珈山水BBS站 http://bbs.whu.edu.cn·[FROM: 219.133.232.*]
[回到开始]
[上一篇][下一篇]