活动 | OWASP中国·山西分会2020技术沙龙-安全客

OWASP中国官网：http://www.owasp.org.cn

活动简介

OWASP是一个501c3非盈利的全球组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险做出更清晰的决策。

目前OWASP全球拥有250多个分会近7万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。

近几年，OWASP峰会以及各国OWASP年会均取得了巨大的成功，推动了数以百万的IT从业人员对应用安全的关注以及理解，并为各类企业的应用安全提供了明确的指引。

活动时间

2020年12月26日12:30~17:40

活动地点

山西省太原市小店区平阳路126号万狮京华大酒店3楼维景厅

报名方式

联系人：曹晓俊 18634311517 微信同号（OWASP中国山西区域负责人）、许飞（OWASP中国运营经理）

报名二维码

主办方

主办单位：OWASP中国、OWASP中国山西分会

承办单位：上海天旦网络科技发展有限公司、北京优特捷信息技术有限公司、启明星辰云众可信

协办单位：山西网安信创科技有限公司、新华三山西办事处

媒体合作：Freebuf、安全客、漏洞银行、安世加、网络安全伯乐、玄道夜谈、洛米唯熊、Gamma安全实验室、零度安全攻防实验室、哈拉少安全小队、V安全资讯、远洋的小船、黑白天实验室、EDI安全、连接世界的暗影、湘雪尘奕、Gcow安全团队、渗透Xiao白帽、开普勒安全团队、台下言书、信安小屋、Sec盾、M78安全团队、弥天安全实验室、默色安全、HackingClub，360众测

直播媒体：漏洞银行

OWASP在业界影响力：

OWASP被视为web应用安全领域的权威参考。2009年下列发布的美国国家和国际立法、标准、准则、委员会和行业实务守则参考引用了OWASP。

美国联邦贸易委员会(FTC)强烈建议所有企业需遵循OWASP十大WEB弱点防护守则

国际信用卡数据安全技术PCI标准更将其列为必要组件

为美国国防信息系统局（DISA)应用安全和开发清单参考

为欧洲网络与信息安全局（ENISA), 云计算风险评估参考

为美国联邦首席信息官（CIO)理事会，联邦部门和机构使用社会媒体的安全指南

为美国国家安全局/中央安全局，可管理的网络计划提供参考

为英国GovCERTUK提供SQL注入参考

为欧洲网络与信息安全局（ENISA), 云计算风险评估提供参考

OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准。

OWASP中国拥有近6300名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术在中国的发展。

每个人都可以免费加入OWASP中国，利用免费和开放许可证获得OWASP的相关资源。

活动详情

往期精彩

日程表

技术沙龙议程表
时间	议题	嘉宾	事项
12:30-13:00	签到		入场签到
13:00-13:10	致辞一		领导致辞
13:10-13:20	致辞二		领导致辞
13:20-13:55	议题一	Evan	从数据包分析解决网络安全问题
13:55-14:30	议题二	梁志伟	大数据安全事件分析在实际攻防演练中的应用介绍
14:30-15:05	议题三	田野	主动安全智能进化
15:05-15:20	茶歇	茶歇
15:20-15:55	议题四	徐海	煤矿企业网络安全体系建设探究
15:55-16:30	议题五	菅志刚	国产软件安全开发质量把控的几个“关”“口”
16:30-17:05	议题六	Y4ph3tS	浅析攻防对抗中的宏免杀
17:05-17:20		抽奖
17:20-17:40		合影

议题及主讲嘉宾介绍

主持人:曹晓俊

OWASP中国山西分会负责人，济南大学客座教授、广东东软学院特聘网络安全专家、中北大学网络安全实训讲师、山大商务网络安全外聘讲师、商洛市信息安全协会网络安全顾问。

议题1：从数据包分析解决网络安全问题

通过开源工具Wireshark或者dali对网络数据包进行分析，对比正常数据包特征找到网络中的故障，比如滑动窗口协商、带宽、双工模式协商等问题，具体内容可以根据学校的需求来做，比如判断环路、解决网络延时等。

演讲嘉宾简介：Evan

上海天旦网络分析专家，Dali网络分析工具开发者之一，负责衡水银行、郑州银行、河南农信、光大银行、民生银行的网络故障分析处理工作。精通TCP/IP协议栈分析，参加过多届头部金融系统网络安全演练，主要负责业务故障定位分析。

议题2：大数据的安全事件分析在实际攻防演练中的应用介绍

通过使用大数据存储以及分布式计算技术，统一集中化管理安全事件数据，快速根据实际的场景进行安全事件的快速压缩、清洗、关联分析，识别真正的高危风险，提升用户在日常安全管理、攻防演练中的能力。

演讲嘉宾：北京优特捷信息技术有限公司售前技术总监/机器数据分析专家，擅长各类应用以及安全类的日志分析、场景建模等，在金融领域拥有多年的产品研发、技术服务、项目管理的经验，曾主导多个银行重大项目的建设工作。

议题3：主动安全智能进化

在数字化转型过程中，网络安全形势也日益严峻，传统的网络安全体系无法有效抵御快速进化的网络攻击，我们需要建设“战略清晰”的网络安全保障体系，执行积极主动防御的技术路线。才能符合“整体、动态、开放、共同” 的国家网络安全观的指导方针，才能实现国家提出的“积极防御、综合防范”的信息安全战略目标。安全厂商需要革新安全理念、技术和模式，实现从事后补救到安全前置，从局部分割到全面防护，从被动安全到主动安全的转变，构筑主动、智能、全面的安全防护体系，为数字化转型提供有力的安全保障。

演讲嘉宾：田野，新华三集团安全产品拓展部高级拓展经理，山西代表处网络安全板块总监。

议题4：煤矿企业网络安全体系建设探究

随着互联网技术，5G等新技术的快速发展，煤矿企业正在发生着从安全生产、办公和管理的信息化到智能化的转变，同时也带来了网络安全上新的挑战，网络安全威胁更加多样化、快速化，影响范围更大，加强信息化建设、重视信息安全是煤炭实现安全生产最重要的保障。

演讲嘉宾：徐海

某煤炭行业网络安全研究员，网络安全爱好者，注册信息安全专业人员(CISP)，为微软，CNVD，多个SRC及众测平台提报漏洞。获得公安部“2018年网络安全管理优秀个人”荣誉称号。

议题5：国产软件安全开发质量把控的几个“关口”

软件质量简单而言是指满足需求，随着网络安全态势的日益严峻，安全层面的需求变得逐渐强烈，国产软件在努力解决“卡脖子”问题的同时更要关注自身安全质量，利用好后发优势，实现关键环节的软件安全质量的把控。

演讲嘉宾：北京科技大学计算机系数据挖掘方向硕士研究生，北京科技大学数理学院软件工程工程硕士企业导师，CISAW-数据安全岗位能力培训认证讲师，国家邮政局邮政业安全中心外聘专家，信息系统项目管理师（高级）。十五年信息化建设及网络与信息安全领域工作经历，具备代码开发、产品设计、项目管理、运营维护、安全系统集成等全方位实践及统筹管理经验，目前专注应用安全、软件开发安全领域的体系建设咨询和工具推广。

议题6：浅析攻防对抗中的宏免杀

在攻防对抗中，作为水坑攻击最常见也是攻击成功率非常高的宏攻击已经受到越来越多的关注。本议题将对宏的作用方式以及常见防护软件的绕过方式进行分析，多角度解析绕过方式和作用原理。

演讲嘉宾：Y4ph3tS

360BugCloud安全研究员，DC86025&860539演讲者，魔影安全实验室创始人，08sec成员，OWASP中国成员