7月17日，夜雨积水、淅沥小雨依然没能阻挡黑客爱好者的热情，北京富力万力酒店2层首府会场人群熙熙攘攘，2015乌云白帽子大会在这里正式拉开帷幕，本届大会主题为“突破（NO WALL）”，会期两天。总的来看，17日首日主要有企业网络安全建设、企业安全攻防与应急响应、DDoS解决思路、安卓应用加固和金融安全等几个主要话题。

企业网络安全建设

去哪儿、唯品会关于企业网络安全建设话题的演讲，为我们分享成功了互联网公司网络安全建设历程同时，也让我们意识到当下互联网公司都面临的问题：首先就是互联网环境的严峻形势让企业看到网络安全建设势在必行，而另一方面，如何进行安全建设，却鲜有案例遵循，而且困难重重。

去哪儿安全总监郭添森总结去哪儿网的安全工作建设分三个阶段：第一阶段安全融入基础IT，第二阶段安全融入企业业务，第三阶段安全融入企业文化。唯品会高级工程师王润辉在分享网络安全建设经验时，也让我们意识到企业网络安全建设过程必须面对的问题：网络安全是一个“没有产出”的部门，如何得到公司的重视？网络安全牵扯到许多业务部门，如何进行协调？网络安全水平的追求是无止境的，如何控制在这方面的投入？此外，还有在企业网络安全建设过程中，已经形成了很严重的网络安全人才的缺口，这一点也成为各方的共识。

企业安全攻防

企业安全攻防则是17日大会的另一个核心话题，共进行了“两轮”攻防演讲，首轮是WAF的绕过与防护。乌云白帽子“MayIkissYou”详细的分析了《多角度对抗WAF的思路与实例》，腾讯安全架构师张海清《Web安全架构浅谈》在分享WAF防护的演讲中，让我们看到，作为航母级别的互联网企业，腾讯在网络安全建设方面做出的巨大投入与成果：自研web server应用、运维自动化、软件开发调用自研安全API等等，让我们看到巨型企业在网络安全、网络应用等等方面都需要DIY，才能适应自身的体量。第二轮“掐架”是关于“黑”进公司网络与反渗透，由乌云白帽子“booooom”《如何从外围进入各大公司内网》和“Piaca”《企业应急响应与反渗透之真实案例分析》组成。

DDoS解决思路

上午江苏公安厅网安总队童瀛《从案件看国内DDoS的最新方式》让我们看到，解决DDoS不只技术这一条路子走，还需要从案件角度分析，从案件的蛛丝马迹下手，从侧面找出实施DDoS的攻击方。童瀛呼吁网络安全人才走正路，并认为网络安全攻击成本很低，但是给受害者带来的危害却很大，所以建议中小企业要健全网络安全应急响应机制，告诫网民要主动回避恶意网站。

安卓应用加固

上海交通大学计算机系在读博士杨文博在《Android应用程序通用自动妥壳方法研究》演讲中指出，安卓应用加壳保护技术存在一个问题，就是加壳保护不负责安全漏洞的审查，如果应用程序存在漏洞依旧无法保证安全。而且，从技术角度看，再严密的加壳都能被破解，不过在实际破解过程中存在一个“破解投入”的问题，同样作为应用加固厂商也要从整体考虑，既要保证加固保护技术能够对抗绝大部分的“破解”，还要考虑开发这种加固保护做出的投入。

P2P金融安全

万达电商安全主任工程师林鹏在《解析P2P金融安全》中指出互联网金融安全领域占比最高的漏洞是业务设计缺陷，另外P2P金融作为一个新兴行业，其账号密码的重置是一个重灾区，并认为集团边界、DDoS等是金融领域主要攻击的入口，也是比较容易失守的几个点，对这几个方面的防护决定了P2P金融安全的高度。