互联网安全责任峰会 | 聚焦漏洞补完生态

2018年1月13日由i春秋举办的首届互联网安全责任峰会盛典顺利在京举行。本次活动邀请了资深的互联网运营者、教育者、技术大咖及各界意见领袖参与，大家齐聚一堂，共谋互联网安全责任生态的建设及未来的发展之策。

随着计算机网络的广泛应用，网络安全的重要性尤为突出。因此，网络技术中最关键也最容易被忽视的安全问题，正在危及网络的健康发展和应用，网络安全技术及应用越来越受到世界的关注。为保障国内网络安全，促进有序发展，本届互联网安全责任峰会以“聚焦漏洞补完生态”为主题，分别对互联网运营者安全责任、教育者安全责任、技术英雄安全责任三大方面进行了精彩的实践分享。

首先i春秋校长蔡晶晶先生发表了大会致辞：互联网安全从以前的野蛮生长到现在的责任担当，经历了完美的蜕变。身为网络运营者、教育者及技术研发者责无旁贷，在未来互联网安全高速发展的阶段，愿各行业携手合作，共同建设网络安全美好生态。

信任的质量——网络运营者的责任

由永信志诚高级副总裁潘柱廷主持的网络运营者的责任研讨论坛如期举行，本次研讨论坛邀请了阿里巴巴集团技术副总裁、首席安全专家杜跃进；百度安全副总经理沈鹏飞；京东首席信息安全专家Tony Lee；滴滴出行信息安全部战略副总裁弓峰敏四位互联网安全专家，对互联网运营者安全责任及实践之路进行了精彩的研讨。

来自阿里、百度、京东、滴滴的四位安全领域大咖们在探讨中达成共识。作为网络运营者要重视网络空间的安全工作，更要重视网络安全人才的培养，在有效承担网络安全责任同时，积极与其他网络运营者进行合作，共同维护国内网络安全，从而为国家安全作出贡献。四位领军人物对网络安全责任问题的独到见解将峰会推向了一个又一个的高潮。

原力的指引——教育者的责任

大会邀请到北京大学互联网发展研究中心高级顾问洪延青；上海交通大学网络空间安全学院院长李建华；四川大学网络空间安全学院常务副院长陈兴蜀等各大院校代表。各院校代表均发表了对网络安全人才培养的长远规划和实践性方针。并承诺要不断的提升教育质量，不断的规范管理，不断扩大社会影响力，实现高校人才培养与企业发展的合作共赢。

其中也不乏一些干货的研究分析。国防科技大学电子科学学院信息网络安全教研室冯超从软件漏洞自动挖掘分析与利用进行了精彩分析，分享了二进制软件漏洞研究，针对软件漏洞总结出一套流水线流程：首先第一步是漏洞的挖掘，针对可执行代码，找出以Crash形式呈现的漏洞；第二步是漏洞的分析，分析出漏洞是什么类型的、如何形成的、危害程度如何；然后进行漏洞修复和漏洞防御；最后一步是漏洞的利用，实现代码执行、信息获取、权限提升等，以及对抗漏洞缓解。

同时冯超还针对漏洞挖掘、漏洞分析、漏洞利用，三个主要流程进行了自动化水平分析：漏洞挖掘方面涉及代码审计、虚拟执行环境、各类模糊测试工具、专用测试工具等；漏洞分析则涉及各类调试器、逆向工具、数据流、控制流分析、各类二进制分析平台、自动化的分析插件!exploitable及CERT Triage、目标软件的深入理解、技术与经验等；漏洞利用涉及到大量的技术与经验、目标软件的深入理解、符号执行、约束求解、开源工具AEG、Q、CRAX、REX等。其中不难发现各阶段各模块的可自动化，例如：各类模糊测试工具——自动化的分析插件!exploitable、CERT Triage——开源工具AEG、Q、CRAX、REX等，把这三个串联起来就可以形成一个初步的小流水线，而且这个流水线已经在实施应用。

使命的召唤——技术英雄的责任

为对一直以来关心和支持SRC部落的广大白帽子的感恩回馈，2018年互联网安全责任峰会暨春秋盛典特别邀请到了腾讯安全、滴滴出行、VIPKID安全、陌陌安全、苏宁安全等各大互联网公司SRC相关负责人，并与在场嘉宾分享了企业SRC体系生态的建设。同时表示了对白帽子人才需求的渴望。

此外，在大会上，i春秋与360企业安全集团完成了“千星计划”发布仪式。并且对人才制定培养计划进行了合作签约。“千星计划”是为解决社会网络安全人才培养的问题，把网络安全人才培养带入到工业化、定制化时代，为企业输送安全人才。

由i春秋举办的首届互联网安全责任峰会于13日当天完美落下帷幕，本次峰会不仅就不同群体互联网安全责任的界限和实践进行了探索，还就行业未来的发展进行了深入的探讨。互联网安全责任峰会的专业性和实践性研究价值受到了业内的高度关注。作为一个非常权威的互联网安全分享盛典，互联网安全责任峰会与业内朋友一起分享探索网络安全实践研究成果，强化企业网络安全意识、提升核心防护技术水平，共同维护国内网络空间命运共同体的健康发展，为中国网络安全保驾护航。