2018年11月30日,由安全+主辦的EISS-2018企業(yè)信息安全峰會——上海站在上海銀星皇冠假日酒店成功舉辦。峰會延續(xù)了往屆企業(yè)信息安全峰會 “直面信息安全挑戰(zhàn),創(chuàng)造最佳實踐”的主題,吸引包括UPAS思睿嘉得、平安集團安全平臺部、蘇寧科技的安全研發(fā)中心、安徽萬君網(wǎng)安的BOSS保鏢監(jiān)控軟件、GTI派拉軟件、舜源科技、聯(lián)軟科技等近400位的企業(yè)信息安全專家齊聚一堂,就企業(yè)數(shù)據(jù)安全實踐、企業(yè)安全管理、態(tài)勢感知、物聯(lián)網(wǎng)安全、云安全、密匙管理、DevSecOps等話題展開深入分享和熱烈的討論。
(ISC)²上海分會主席施勇博士作為本次峰會的大會主席,為峰會做了開場致辭,并代表大會主辦方對與會嘉賓表示熱烈的歡迎。
太平洋集團的資深信息安全經(jīng)理萬強先生,作為本次峰會的第一位演講嘉賓,分享了主題為“太保企業(yè)數(shù)據(jù)安全實踐”的精彩內(nèi)容。 主題通過剖析當前數(shù)據(jù)安全保護的業(yè)務形勢和法律法規(guī)形勢,進而分享了太平洋保險集團的數(shù)據(jù)安全實踐。太保在數(shù)據(jù)全生命周期管理方面有著非常豐富的經(jīng)驗,萬先生詳細分享了期數(shù)據(jù)安全組織、規(guī)范、流程以及數(shù)據(jù)安全工具方面的經(jīng)驗。為與會專家提供了非常有價值的參考。
平安集團的信息安全平臺部總監(jiān)董曉瓊女士的分享主題是“企業(yè)數(shù)據(jù)安全‘智’評”。企業(yè)對信息安全最關注的是網(wǎng)絡安全、數(shù)據(jù)安全、業(yè)務安全和業(yè)務連續(xù)性。董女士分享了信息安全縱深防體系和信息安全治理架構(gòu),提出了平安集團的信息安全管控機制,并且進一步探討了幾個企業(yè)最關注的問題:你的安全能力如何?管控機制有效性如何評價?安全能力、變化風險是否可見?最終展示了從“自我評估”到“‘智’我評估”經(jīng)驗。現(xiàn)場反響強烈,與會嘉賓提問非常積極。
第三位演講嘉賓是來自IBM的大中華區(qū)安全事業(yè)部信息安全解決方案結(jié)構(gòu)師吳異剛先生,他的演講主題是:“‘神經(jīng)中樞’態(tài)勢感知系統(tǒng)的實踐”。 為了領先于威脅,企業(yè)需要能夠“感知”到惡意行為,就像人能通過看、聽、聞、觸覺來感知到危險一樣,這個平臺能夠檢測環(huán)境中的細微差異,如潛伏的入侵者或惡意的內(nèi)部人員;不依賴于少數(shù)訓練有素的專家來發(fā)現(xiàn)攻擊;能收集、正則化、關聯(lián)數(shù)十億級別的安全事件,并能確定問題的優(yōu)先級; 能識別重要的安全漏洞和風險。吳先生分享了IBM在這些方面的經(jīng)驗和解決方案,為信息安全專家們提供了更多的選擇。
茶歇過后,來自??低暤母笨偛猛鯙I先生為我們分享了主題為“安全管理:物聯(lián)網(wǎng)安全的應急響應”的精彩內(nèi)容。物聯(lián)網(wǎng)成為當前整個IT領域產(chǎn)業(yè)界和學術界關注的焦點,但是“美國斷網(wǎng)事件”、“德國斷網(wǎng)事件“等使得物聯(lián)網(wǎng)的安全應急響應工作成為業(yè)界關注的焦點核心問題。物聯(lián)網(wǎng)的安全應急響工作難點在哪里?面臨哪些挑戰(zhàn)?該如何應對?王先生在演講中進行詳盡介紹。
Contrast Security APAC的副總裁Jeff CHEN先生,在本次大會的分享主題是“通過IAST和RASP改變應用安全的發(fā)展態(tài)勢”。 傳統(tǒng)的應用安全解決方案(包括SAST、DAST、WAF等)已經(jīng)運用20多年了,自其問世以來,并沒有取得重大的技術進步。如今,交互式應用安全測試(IAST)和運行時應用自我防護(RASP)等變革性技術的出現(xiàn),正在迅速改變著應用安全行業(yè)。在本次大會上,Jeff向與會嘉賓們簡要介紹IAST和RASP的運行方式、應用領域、其與傳統(tǒng)應用安全解決方案的區(qū)別以及預期會帶來的益處。
來自于美麗聯(lián)合集團的信息安全總監(jiān)止介先生,在本次大會的演講主題是“蘑菇街人機識別體系實踐”。蘑菇街遇到的人機識別問題挑戰(zhàn)以及應對思路,涵蓋反爬、圖形驗證碼、滑塊驗證碼、TCP/IP、設備指紋、模擬器識別等核心人機識別項目,主要分享我們在項目上的經(jīng)驗和最終落地的方案,以及我們在項目上的機器學習的應用。
午餐過后,企業(yè)信息安全峰會下午分為兩個分會場,分別是:
分會場一:企業(yè)安全應用
分會場二:信息安全新技術
分會場一: 企業(yè)安全應用
分會場一(企業(yè)安全應用)的第一位演講嘉賓是國家電網(wǎng)全球能源互聯(lián)網(wǎng)研究院信息通信研究所的業(yè)務安全技術研究室主任石聰聰先生,他的演講主題是:“全業(yè)務泛在電力物聯(lián)網(wǎng)及其安全防護思考”。石先生介紹了電力物聯(lián)網(wǎng)的演進,并列舉了一系列典型的業(yè)務場景,由此引申出目前面臨的風險和挑戰(zhàn)。通過深入淺出的方式講述了可管可控、精準防護、可視可信、智能防御的安全防護總體策略以及針對遇到的挑戰(zhàn)所做出的一些安全設計,對于安全從業(yè)者有很大的啟發(fā)。
第二位演講嘉賓是Imperva的中國區(qū)資深技術顧問劉沛旻先生,他在本屆大會的演講主題是:“云環(huán)境下的應用和數(shù)據(jù)安全實踐”。云環(huán)境下的安全趨勢還是相當具有挑戰(zhàn)性的,不論是部署模式、自動化、快速部署、服務化,還是缺少匹配的安全運維人員,都是不容小覷的。劉先生介紹了Impreva在混合環(huán)境下的應用和數(shù)據(jù)安全結(jié)構(gòu)方面的經(jīng)驗,并推薦了相應的解決方案,為安全從業(yè)者在安全管理方面提供有力的支持。
第三位演講嘉賓是蘇寧科技的安全研發(fā)中心技術總監(jiān)劉佳進先生,他在大會中的分享主題是“蘇寧業(yè)務發(fā)展中風控演進之道”。“網(wǎng)絡黑色產(chǎn)業(yè)鏈”對于電商業(yè)務安全來講一直是一個挑戰(zhàn),劉先生分享了蘇寧在識別黑產(chǎn)工具,電商核心場景風險和企業(yè)防守若是方面的經(jīng)驗和挑戰(zhàn)。通過回顧了蘇寧風控的發(fā)展歷程,講解了風控體系建設的成功之道。
第四位演講嘉賓是來自某公司的風險負責人趙銳先生,在本次大會的分享主題是:“CSO基礎之密匙管理的藝術”。風險管理有三要素,其中最重要而又最基礎的要素是什么?趙先生通過提出并且回答這個關鍵問題,引出了風險管理中資產(chǎn)的保密性、完整性和可用性。并進一步闡述了密鑰的生命周期管理經(jīng)驗。
第五位演講嘉賓是來自招銀云創(chuàng)合規(guī)崗的陳欣煒先生,他的分享主題是:“金融云合規(guī)體系構(gòu)建”。通過分享了合規(guī)的總體定義、總覽、監(jiān)管體系、合規(guī)檢查以及合規(guī)展望,陳先生為我們展示了金融行業(yè)合規(guī)風險管理的挑戰(zhàn),并且提出了行之有效的解決之道。
第六位演講嘉賓是來自安徽萬君網(wǎng)安的高級安全工程師徐向陽先生,他為我們帶來的演講主題是:“企業(yè)數(shù)據(jù)防泄露的那些事”。徐先生通過分析數(shù)據(jù)泄露的危害和原因,進一步深度剖析企業(yè)數(shù)據(jù)泄露的風險,為與會嘉賓分享了BOSS保鏢企業(yè)內(nèi)網(wǎng)安全管理軟件在企業(yè)管理中的核心作用。
第七位演講嘉賓是來自阿里巴巴歸零實驗室的安全技術專家任宏偉先生,他的演講主題是:“藍軍演練平臺的建設實踐”。任先生分享了如何搞藍軍演練平臺建設,價值點如何體現(xiàn),如何證明其價值?安全團隊、藍軍的價值是什么?如何體現(xiàn)并得到領導、兄弟團隊認可?這些非常重要的經(jīng)驗。并且進一步闡述了藍軍遇到的核心問題,以及是如何解決的?最后進一步介紹平臺的架構(gòu)和核心能力。
分會場一最后的環(huán)節(jié)是小組討論,來自法雷奧的中國區(qū)IT經(jīng)理郭青峰先生,安徽萬君網(wǎng)安的BOSS保鏢軟件技術官徐亮亮先生、德勤的風險咨詢合伙人張震先生,藥明生物的信息安全官林磊先生、Adidas的亞太信息安全高級顧問馬一烈女士,就話題“企業(yè)安全戰(zhàn)略實踐方法論”展開了深入的討論,就與會信息安全專家關注的熱點話題給與答疑解惑,現(xiàn)場討論熱烈。
分會場二 信息安全新技術
分會場二(信息安全新技術)第一講的演講嘉賓是來自愛奇藝的安全總監(jiān)王超先生,他的演講主題是:“SDL與安全能力服務化”。王先生分享了愛奇藝基于DevSecOps的SDL流程,并深入講解了安全能力服務化中:效率優(yōu)先、方便用戶和數(shù)據(jù)化運營的經(jīng)驗。在最后展示了愛奇藝安全大架構(gòu)給與參會嘉賓交流和學習。
第二講的演講嘉賓是來自Tenable的中國區(qū)總經(jīng)理趙陽先生,他為我們分享的主題是:“Cyber Exposure:理解與降低企業(yè)安全風險”。如今企業(yè)計算環(huán)境,幾乎所有的傳統(tǒng)技術都已經(jīng)發(fā)生改變,CISO都要面對4大難題:我們是否有被利用的風險?風險補救的優(yōu)先級?如何才能減少被利用的風險?和同行相比安全再怎么水平?通過分析和解答以上問題,趙先生提出了Cyber Exposure能幫助企業(yè)提升安全的可視能力、優(yōu)先分析能力、度量能力。
第三講的嘉賓是Forcepoint的中國區(qū)技術總監(jiān)馮文豪先生,他在本次峰會的分享主題是:“數(shù)據(jù)為核人為本——以新視角看待數(shù)據(jù)安全”。信息安全面臨諸多挑戰(zhàn),企業(yè)本應以數(shù)據(jù)為核、人為本,但是往往缺面臨追逐數(shù)據(jù)缺不了解用戶的行為,分析了用戶行為卻不了解背景信息。馮先生提出以人為本的信息安全體系,應用在落實數(shù)據(jù)保護策略等諸多場景非常有效的助力企業(yè)信息安全建設。
來自華泰證券的信息安全專家莊飛為我們帶來第四講的精彩分享,主題為:“DevSecOps在金融機構(gòu)落地實踐”。莊先生通過介紹DevOps安全面臨的挑戰(zhàn)、SDL軟件安全生命周期BSI框架、安全活動干系人、DevSecOps應用安全活動等方面的經(jīng)驗,為與會嘉賓展示了華泰證券安全平臺建設的戰(zhàn)略框架。
經(jīng)過茶歇時間簡短的休息和線下交流過后,來自CSA的上海分會聯(lián)席主席沈勇先生為我們分享了第五講:“云安全現(xiàn)狀與未來的一些思考”。沈先生首先介紹了CSA及其2018年關鍵成果,然后分享了對云安全的思考:產(chǎn)品已經(jīng)有很多,但是威脅依然嚴峻。其中市場參與者成熟度是一個關鍵,現(xiàn)有云安全產(chǎn)品還需要打磨等行業(yè)面臨的挑戰(zhàn)和機遇。
第六講的嘉賓是來自于眾安科技的高級算法師裴新先生,演講主題是:“區(qū)塊鏈安全及隱私保護場景分析”。數(shù)據(jù)即資產(chǎn),數(shù)據(jù)擁有者應具備資深數(shù)據(jù)的可控權(quán)。如何在隱私保護的條件下發(fā)揮數(shù)據(jù)價值,產(chǎn)出統(tǒng)計學或者趨勢性結(jié)果,實現(xiàn)“數(shù)據(jù)開放不共享”?;趨^(qū)塊鏈資產(chǎn)協(xié)議的保險通證,為數(shù)據(jù)隱私保護提供新的思路。
第七位演講嘉賓唯品會的信息安全工程師姜鵬序先生,為我們分享的主題是:“唯品會攻擊檢測實踐”。傳統(tǒng)攻擊檢測簡單直接,易于并行,但大都為已知攻擊模式,正則匹配復雜度高,資源消耗高?;谛聢鼍埃岢鲂碌姆桨?,來優(yōu)化異常檢測流程,從而保障業(yè)務安全。
第八位演講嘉賓是來自玄貓安全實驗室的安全研究員Javierlev先生,為我們分享了“區(qū)塊鏈中共識算法的安全隱患”。演講嘉賓首先介紹共識算法的背景以及影響其安全的因素,進一步針對響應的一些熱點安全實踐進行了分析,提出了諸多共識攻擊的安全隱患,為相關專家提供了有力的參考。
第九為演講嘉賓是來自騰訊云安全的高級產(chǎn)品經(jīng)理劉雙立先生,演講主題是:“數(shù)盾—整治泄密的組合拳”。企業(yè)數(shù)據(jù)風險趨勢不容樂觀,內(nèi)部泄密實踐頻發(fā),數(shù)據(jù)保護法規(guī)要求越來越嚴格。在國內(nèi)外嚴峻的形勢下,騰訊云提出了由點到面、多維度管控的組合拳,從業(yè)務流量、內(nèi)部訪問和外部共享入手,打造完整安全體系。
企業(yè)信息安全峰會,旨在匯聚政、產(chǎn)、學、研、用等各方專家,充分利用參會嘉賓所處行業(yè)合作需求的多元化特點,來促進多方安全力量的有效對話與深入交流,以實質(zhì)性推動合作,每屆會議就發(fā)展戰(zhàn)略集思廣益、提出建議以形成指引,或針對熱門網(wǎng)絡安全技術與趨勢進行系統(tǒng)化分析,或針對典型需求提供行之有效的解決方案,同時積極聯(lián)合社會各方力量,積極探討和推動網(wǎng)絡空間安全人才培養(yǎng)。
本屆峰會得到了以下單位的贊助和支持,他們是白金贊助單位:奇虎360公司,金牌贊助單位:騰訊安全平臺部、獵豹移動、知道創(chuàng)宇,銀牌贊助單位:螞蟻金服安全應急響應中心、中科大計算機科學與技術學院、安天實驗室、安徽萬君網(wǎng)安BOSS保鏢監(jiān)控軟件、武漢科銳。此外,會議還得到了中國計算機用戶協(xié)會信息防護分會、湖北省信息網(wǎng)絡安全協(xié)會以及《中國信息安全》、《信息網(wǎng)絡安全》雜志的大力支持。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!