4月22日，由科技部现代服务产业联盟、首席技术官联盟主办，CCF 杭州分部、CCF YOCSEF 杭州、杭州市移动互联网技术学会、功虎社区联合承办的 “首届中国首席技术官大会”在杭州海外海皇冠假日酒店成功召开。大会吸引了近千名来自 IBM、腾讯、京东、阿里巴巴等知名互联网企业的技术精英，共同聆听了这场 IT  届的技术盛宴。

本次大会，邀请了浙江省科协副主席陆锦、科技部现代服务业联盟秘书长宋美娜、中国计算机学会秘书长杜子德先生致辞，来自 IBM、京东、腾讯、阿里巴巴、小米等企业的技术专家和负责人，分别针对产业智能化、技术价值、网络安全、大数据开源框架等维度展开分享，OneAPM 首席安全顾问何迪生作为特邀嘉宾，带来了「应用性能与安全的重塑及未来」主题分享。

OneAPM 首席安全官何迪生简介：在信息安全领域拥有20多年的从业经验，曾任职 ISACA(国际信息系统审计师协会) 北京委员会主席，ISSA (信息系统安全协会) 香港分会主席，微软大中华区信息安全总监，微软香港区首席安全信息官，香港警署防犯罪技术部（TPCU）防止犯罪技术和安全咨询顾问，世界贸易组织（WTO ）第六次部长会议首席安全咨询师，第29届北京奥运会 - 奥运城市运行指挥平台安全顾问，目前是 OneAPM 首席安全顾问，OneRASP 产品的总负责人。

移动互联网时代，我们应该重新定义性能（Performance）和安全（Security）

移动互联网时代，越来越多的企业开始关注信息化的可持续发展，其中信息安全已经成为企业关注的重点，数据和信息正在成为企业发展的核心竞争力。但是，现在大多数企业的业务都需要跨越多个IT系统，而且新的应用开发架构和技术，也造成了IT系统的多样性，所以当应用层发生问题时，就会给企业带来非常不利的影响。

何迪生在演讲中表示，传统的运维方式并没有很好的性能管理工具，只能通过手动分析，所以故障定位困难，管理效率低下，而且时效性非常差。所以移动互联网时代，我们需要更精确的监控、定位，然后快速解决性能问题，然后实现端到端的真实用户体验管理，并通过新技术实现对复杂 IT 系统的可视化监控和性能优化，以及对企业安全的防护。

Performance：应用性能策略

在应用性能的管理策略上，何迪生首先分析了一个具体案例：某核心渠道充值业务，平均响应3.53秒，最长达28秒，严重影响业务办理。而且4个部门协调网络、中间件、数据库供应商参与，很难进行定位和优化工作。通过 OneAPM 提供的 Application Insight 逐步实现了对浏览器和移动端的真实用户体验监控，业务交易事务监控，以及针对业务数据的分析。

最终在 OneAPM 的帮助下，这家企业自动识别可视化展现5层应用及业务架构与性能，包括服务器集群、中间件、业务、终端用户体验。自动梳理出20个问题业务，业务、运维、开发人员协同，30分钟内分析定位问题根源，协作与分析定位效率提高90%以上。帮助客户将应用平均业务办理时间缩短60%，核心“缴费业务”性能提升30%，客户满意度提升20%，赢得客户的认可和好评。

何迪生认为应用性能策略的选择对企业来说至关重要，企业必须在云、分布式、SOA 等复杂应用环境下，实现高度的性能管理可视化，帮助梳理业务，轻松管控业务办理全路径下各个环节指标数据，业务、运维、开发协同，快速定位、解决业务性能问题，最终实现端到端的代码级定位。

Strategy：应用层安全策略

何迪生首先阐述了企业安全的现状，来自权威机构Gartner的报告表明，超过80%的攻击发生在应用层，但是周界安全和应用安全投入比例为 23：1，所以针对应用层的防护应该成为企业最为关注的安全问题。

在演讲中，何迪生举一个很简单的案例：英国一家最大的运营商 TALKTALK，在去年被黑客攻击，偷了一百多万的资料，英国警方最后抓到，这个黑客是一个15岁的小孩。它怎么攻击的？它网上下载一个注入攻击工具，然后通过自动化的工具攻击。我们思考一下一个15岁的孩子能干这么大的事情，如果一个专业的人士呢？所以何迪生认为，在移动互联网时代，企业安全防护刻不容缓。

尤其是现在，很多企业在安全领域的投入非常少，多样化的攻击也越来越难以防御，而传统的安全解决方案像 WAF 的部署成本高昂，而且对技术要求非常之高。更重要的是，现如今安全领域的指导人才非常少见，缺乏安全且有效的流程指导方案，而且很多中小企业的研发团队很少考虑安全因素，这就导致了各种安全事件频发，像香港航空某站遭受 SQL 注入攻击，涉及156万乘客信息/268万机票信息/八千多员工信息，中国电信翼支付某系统漏洞，导致泄露400万用户信息、支付交易明细信息（超市购物/加油站加油）以及充值等数据 等等。

为什么选择RASP ？

在2014年9月份，Gartner 的调研员 Feiman 提出的一种全新概念——实时应用自我保护技术RASP（RuntimeApplication Self－Protection），通俗点讲就是 RASP 技术能够像一剂疫苗注入到应用中，与应用一起运行，结合应用的逻辑和数据流，在运行时对访问应用的代码进行检测；对于已知漏洞，相当于为其打了虚拟补丁，起到补偿控制的作用。其次，现有的边界防护技术只能保护来自企业外部的攻击。然而近年的数据表明，来自企业内部的攻击往往更具杀伤力，而 OneRASP 在这个方面拥有独特的先天优势，基于上述原因，所以 RASP 这种最新的安全技术方案很快就得到了市场的认可。

何迪生表示，现在传统安全解决方案，越来越难以精确应对像跨站请求伪造 CSRF、跨站脚本攻击 XSS、DDoS 攻击、SQL 注入以及不安全的直接对象引用等多种模式的攻击。而 OneRASP 集成了从监测到响应的能力，为本来生活提供了精准、持续、全面且可视化的安全防护策略。不仅对威胁等级进行了划分，而且提供了覆盖 OWASP TOP 10 的规则集防护，给企业交易数据、用户敏感信息等这些「核心资产」的保护加上一把「安全锁」。