“毕业后一直从事网络产品的开发，2009年转入Web应用安全产品的开发，并逐渐从纯粹的开发人员到负责一个产品的架构设计以及团队带领与管理。通过这些年的学习与实践，也清晰认识到，网络安全在当下这个社会所面临的巨大威胁。”dreamice在介绍自己时这样谈到。

　　dreamice：大家好，很高兴能借此机会与大家进行交流。作为CU的忠实网友，一直对CU怀着一种特殊的感情，在这里也结识了很多的朋友，非常感谢!

　　Q：最近大家比较关注的PuTTY“后门”事件，可以说是闹的是沸沸扬扬，据称已经有上万台服务器遭PuTTY后门窃取密码，而且数字还在持续增加，你认为类似这种事件对企业会有哪些影响?

　　dreamice：Putty后门事件可以说是继CSDN事件后的又一重大安全事件，留有后门的putty工具通过http的方式将用户登录的用户名，密码以及服务器IP地址发往指定的服务器，整个过程悄无声息。

　　Putty是一个常用的终端登陆工具，相当大一部分管理核心服务器的运维人员和开发人员都在使用该工具，其账号与密码被暴露所带来的风险可想而知。受害的服务器轻则可能被利用为“肉鸡”，重则服务器上的所有数据信息被窃取，其损失是无法估量的，这远远超出了我们的想象。

　　在这里，建议暴露在公网上的服务器，不管你是否用过中文版putty或者其他工具，请到官方正式的网站去谨慎下载使用工具，并立即更换安全密码。

　　Q：企业应该如何做好事先防范和应急响应?

　　dreamice：安全对于一个企业来说是至关重要的。对于IT企业来说，稍有不慎可能泄露核心技术甚至产品源代码，对于金融证券及银行来说，可直接造成巨大的经济损失。企业要防止安全，首先要从源头巩固自身安全，例如服务器关闭不必要应用服务，禁用一些不提供服务的端口，设置访问控制，如提供ssh，ftp管理服务的，设置只允许某台内网机器IP地址登录，且尽量使该管理机器与互联网隔离。另外，服务器的程序开发尽量考虑到安全问题。在当前，程序安全是程序开发人员很少考虑到的，这样就必然留下一些安全隐患。再者，对于一些安全需求比较严格有经济实力的公司，可以考虑有针对性的购买一些安全防护设备来加强防御，同时可以考虑定期进行漏洞扫描或者聘用专业安全人员进行渗透测试，以及时发现安全隐患并进行加固。

　　安全事件的应急响应其实是我们不希望面对而在事情发生后不得不面对的问题。个人觉得重要的主要是三个方面：取证分析、业务恢复以及如何减少损失。

　　Q：您认为web2.0的安全重点是什么?未来的发展趋势如何?

　　dreamice：对于WEB2.0来说，传统的注入、跨站等安全问题依然不容忽视，虽然他拥有众多令人激动的崭新应用，同时也带来了一些新的安全威胁与挑战。采用Ajax技术带来同时也引入了新的安全威胁。网站与浏览器高度的互动机制，采用了更多的javascript代码，使得程序的代码质量控制更加困难，受XSS，CSRF以及SQL注入攻击风险增大。

　　但是，我们不能因为面临的威胁和困难大就拒绝使用新的技术，本身攻击和防护就是“矛与盾”的关系，发现潜在的安全问题，如何去加固与防范安全事件的发生，以此来为新技术的推广了应用保驾护航，这样才能推动技术的革新和发展。我个人是非常看好Web2.0的普及与应用的。

　　Q：企业安全应该如何管理?对国外的一些安全框架您又是如何应用的呢?能不能向大家推荐一些比较优秀的框架。

　　dreamice：对于IT行业以及互联网的不断衍化发展，安全已经成为一个专门的领域。因此，在具备条件的情况下，强烈建议企业能成立专门的安全部门。这些年，不管海外的sony事件，还是国内的某银行事件，以及CSDN与putty事件，都无不为企业在安全问题方面敲响了警钟，如果不加重视，可能对企业造成的是致命的打击。安全不是生产力，但安全是保障生产力的必要条件。

　　对于安全框架来说，目前很多有很多理论概念以及一些实质性的实施，都还不够成熟，大公司如IBM提出了“企业信息安全框架”，在开发方面又诞生了一些基于某些语言开发平台的安全框架。总之，在选择方面，大家尽量考虑成熟的框架，同时也可以借助一些开源的项目，自主搭建安全平台。总之，无论是个人还是企业，安全问题必须引起足够的重视。用一句话来总结：安全不可怕，可怕的是无视安全问题和排斥安全知识。

　　Q：如何从开发上，从源头来把控安全问题?如何做好安全开发流程，安全测试，做好安全需求?

　　dreamice：安全开发也是目前在引起普遍关注的一个重要问题，总体来说，目前实施起来比较难。虽然诞生了一些诸如“代码审计”与“代码安全性检测”的研究项目，但实用性并没有体现出来。安全有时候本身是一把双刃剑，过于严厉的安全就会制约生产力，对效率产生极大的影响。因此，安全的推广也需要足够的专业知识，正式基于这样一种原因，目前绝大多数开发人员缺乏安全知识，开发方面也没有去重视安全问题。如何解决这个问题?必须要从观念上去深入重视安全，甚至作为开发人员能力目标的一项考核指标，并加以持续性的培训，让黑客攻击行为以及一些安全利用行为不再神秘。从项目开展之初就做好安全需求，把安全需求当作一项功能需求对待;在开发流程控制上，注重每一个缓解的安全测试，把安全测试作为测试目标，作为质量的一项衡量指标。要做到这些，对于目前IT行业的现状来说，还有很长一段路要走。

　　Q：从职业发展的角度上，您是怎么看待网络安全这方面的前景，能否给新人一些建议?

　　dreamice：网络安全是近些年一个热门的领域，从物理安全，无线安全，系统安全到应用安全，以及现在的终端安全，它本身并不单一，涉及到非常广阔的领域。在浩瀚的安全领域，具备广阔的从业空间，而且因为安全事件的发生，对安全的担忧，是对安全从业人员有利的催化。可以说，在未来人们越来越重视隐私问题，在网络辐射每一个角落的发展需求下，安全人员具备极大的施展空间。目前职业发展。可以选择安全产品开发，安全服务工程师，安全架构师，信息安全咨询顾问，漏洞挖掘专家等等。

　　对于想进入安全行业的新手来说，建议不要忽视任何一门计算机课程，打下坚实的计算机基础，然后选择一两个最感兴趣的方向，深入做下去。那些黑客大拿，不但具备极高的智商，在知识能力方面都非常全面，很多人从web程序，高级语言，汇编语言，甚至机器代码都非常敏感。这里想表达的并不是指安全就是指黑客，但是我们在面临的问题往往是非常高明的，知识的力量既能带来有利的价值，也能带来极大的破坏。所以，选择一条适合自己的安全发展之路，必须要履行神圣的道德问题。

(责任编辑：)