51CTO WOT 2015移動互聯(lián)網(wǎng)開發(fā)者大會即將于2015年7月24-25日在北京富力萬麗酒店隆重召開。本次大會共設(shè)八大技術(shù)分論壇，分別從產(chǎn)品與設(shè)計、平臺與技術(shù)、創(chuàng)新與創(chuàng)業(yè)、移動游戲、算法分析、HTML5、運(yùn)維安全、新浪微博技術(shù)等方面，為廣大移動開發(fā)者解開技術(shù)迷思。

為使大家進(jìn)一步了解本次大會，有針對性地選擇課程內(nèi)容，51CTO記者對即將參加大會演講的技術(shù)專家分別進(jìn)行專訪，為您進(jìn)行各場演講精華的新鮮速遞。本次大會詳細(xì)議程見：http://wot.51cto.com/.

今天帶來“劇透”的是百度云安全資深安全專家郝軼，在本次的WOT移動互聯(lián)網(wǎng)開發(fā)者大會中，郝軼老師將在“運(yùn)維安全專場”為大家?guī)碇黝}為《移動互聯(lián)網(wǎng)安全運(yùn)維管理體系構(gòu)建》的分享。下面就讓我們跟隨記者，去探聽郝軼老師將為我們帶來哪些精彩、勁爆、實用的獨(dú)家內(nèi)容。

【講師簡介】

百度云安全資深安全專家 郝軼

郝軼，百度資深安全專家，擁有14年滲透測試經(jīng)驗，熟悉Windows/Linux/Unix,具有PHP/Java開發(fā)經(jīng)歷，第一個在首屆國家網(wǎng)絡(luò)安全周安全大講堂演講的安全專家；共青團(tuán)中央、中航國際、北京市科委項目評審專家；OWASP(國際開放WEB應(yīng)用安全項目)成員；DAMA（國際數(shù)據(jù)庫管理協(xié)會）成員；曾在Oracle全球最佳實踐單位擔(dān)任DBA；率先組織翻譯了OPENSTACK安全指南和CCM；熟悉國際國家/部分行業(yè)信息安全政策標(biāo)準(zhǔn)：ISO、等級保護(hù)、SOX，并參與部分政策制度建設(shè)。郝軼還具有13年個人站長經(jīng)歷。

移動互聯(lián)網(wǎng)下的信息安全問題

移動互聯(lián)網(wǎng)是移動通信和互聯(lián)網(wǎng)發(fā)展到一定階段的必然發(fā)展方向和融合產(chǎn)物，我們每個人都享受到了由之帶來的便利。但隨著移動互聯(lián)網(wǎng)的迅猛發(fā)展，引發(fā)了一些突出的安全問題。而且，由于其自身具有的一些特點，使得信息安全問題越來越成為人們關(guān)注的熱點。移動互聯(lián)網(wǎng)的特點主要體現(xiàn)在以下幾個方面：

• 終端多樣
• 通訊方式多樣
• 網(wǎng)絡(luò)邊界模
• 軟件迭代速度

這些特點導(dǎo)我們需要保護(hù)的資產(chǎn)類型多樣化、涉及到的協(xié)議多樣化、難以控制邊界以及對安全工作的迭代速度的挑戰(zhàn)。

這引申出了另外一個問題。面對保障移動信息的安全與提升工作效率這兩個企業(yè)最為關(guān)心的話題上，我們的運(yùn)維人員有時很難做到兼顧。郝軼談到，目企業(yè)在安全運(yùn)維中團(tuán)隊和個人遇到的主要問題歸納為以下個方面：

1.安全運(yùn)維中的監(jiān)測、檢測、防護(hù)、加速、分析對任何組織都是非常消耗資源的工作。

2. 信息安全工作是到技術(shù)、資源等方面的綜合博弈，信息安全人才在國內(nèi)一直比較稀缺。

3.移動互聯(lián)網(wǎng)的發(fā)展給了創(chuàng)業(yè)者更多機(jī)會和可能，而人力成本和經(jīng)濟(jì)成本的匱乏，使初創(chuàng)團(tuán)隊的信息安全問題面臨著非常嚴(yán)峻的挑戰(zhàn)。

4.在移動互聯(lián)網(wǎng)時代，對信息安全問題響應(yīng)、處理的速度要非常高，所以運(yùn)維組織和個人都需要通過學(xué)習(xí)找到新的突破口，從而得到效率上的提升。

安全運(yùn)維應(yīng)對策略

信息安全對于企業(yè)的影響是深刻的，不僅僅是用戶隱私，資金安全，信息安全的影響已經(jīng)滲透到企業(yè)運(yùn)營的方方面面，比如公關(guān)戰(zhàn)等。對于我們該如何打好這場移動互聯(lián)網(wǎng)下，技術(shù)、資源等綜合方面的信息安全博弈，郝軼也提出了以下的應(yīng)對策略：

1.信息安全工作是系統(tǒng)工程，具體安全控制措施在形式上仍然是監(jiān)測、檢測、評估、加固、應(yīng)急響應(yīng)等，但要充分考慮到保護(hù)對象的變化、通訊協(xié)議的變化、移動互聯(lián)網(wǎng)業(yè)務(wù)的特點。也包括針對于移動互聯(lián)網(wǎng)的特點在安全管理上的策略調(diào)整。

2.充分考慮成本和安全能力的平衡，盡量采用公認(rèn)成熟的外部安全產(chǎn)品或服務(wù)資源。

3. 在移動互聯(lián)網(wǎng)安全運(yùn)維管理體系的構(gòu)建上，可以學(xué)習(xí)ITIL、ISO27000這些經(jīng)驗?zāi)Ｐ停缓蟾鶕?jù)自身工作情況靈活調(diào)整。模型只是知識，而管理是一門實踐。

4.鑒于初創(chuàng)公司在人力、技術(shù)和經(jīng)濟(jì)方面的考量，建議選擇提供一站式網(wǎng)絡(luò)安全服務(wù)的公司。因為這樣的網(wǎng)絡(luò)公司可以為企業(yè)提供7*24小時不間斷的網(wǎng)站運(yùn)行和安全監(jiān)測服務(wù)。

像百度云安全團(tuán)隊通過構(gòu)建云安全服務(wù)對外提供了監(jiān)測、檢測、防護(hù)、加速、分析，這些對任何組織這些非常消耗資源的工作。并在事前、事中，事后等方面全方位考慮到對安全運(yùn)維工作的完善。并同樣針對于軟件安全的全生命周期提供了相應(yīng)的網(wǎng)絡(luò)安全解決方案。不僅如此，還憑借百度在大數(shù)據(jù)方面的優(yōu)勢，能夠第一時間感知各種已知和未知的安全威脅，并且及時部署升級安全策略，讓用戶免受黑客攻擊。

5.對于運(yùn)維組織和個人來講，都需要做出轉(zhuǎn)變來應(yīng)對挑戰(zhàn)。

對運(yùn)維人員個人：為學(xué)日益，個人有興趣、對工作有幫助的任何新知識的獲取都是有益的，但只有練習(xí)才能提升實踐技能。

但是對運(yùn)維組織：組織的目標(biāo)就是通過分工協(xié)作使成員實現(xiàn)各自難以完成的整體目標(biāo)。組織獲得技能全面的人才這個愿望是美好的，但崗位設(shè)計也需要科學(xué)合理。

最后，郝軼還向大家透露，在本屆WOT峰會上，他將與大家分享如何通過一種科學(xué)、系統(tǒng)的方法，來使移動互聯(lián)網(wǎng)下IT服務(wù)管理（ITSM）與信息安全管理體系（ISMS）是大中型組織運(yùn)維和安全相關(guān)工作得到整合實施。

1､在安全運(yùn)維的理論上，我們將共同了解很多模型和知識。

2.在安全運(yùn)維實踐的介紹上，將會討論如何將管理變得簡單。管理是一門實踐，能夠用簡單的方法高效的實現(xiàn)目標(biāo)不是更好么？

3.演講中還將介紹百度云安全在安全技術(shù)控制措施的實現(xiàn)上，如何幫助用戶來實現(xiàn)：零部署、零維護(hù)、零修改。

來自谷歌、騰訊、京東、360、新浪微博、樂蜂網(wǎng)、魅族等企業(yè)的技術(shù)專家匯聚一堂，只為助你打開實現(xiàn)夢想的那一扇窗。盛會虛位以待，只等你快馬加鞭!