2018年11月30日,由安全+主辦的EISS-2018企業(yè)信息安全峰會——上海站在上海銀星皇冠假日酒店成功舉辦。峰會延續(xù)了往屆企業(yè)信息安全峰會 “直面信息安全挑戰(zhàn),創(chuàng)造最佳實踐”的主題,吸引包括UPAS思睿嘉得、平安集團安全平臺部、蘇寧科技的安全研發(fā)中心、安徽萬君網(wǎng)安的BOSS保鏢監(jiān)控軟件、GTI派拉軟件、舜源科技、聯(lián)軟科技等近400位的企業(yè)信息安全專家齊聚一堂,就企業(yè)數(shù)據(jù)安全實踐、企業(yè)安全管理、態(tài)勢感知、物聯(lián)網(wǎng)安全、云安全、密匙管理、DevSecOps等話題展開深入分享和熱烈的討論。
(ISC)²上海分會主席施勇博士作為本次峰會的大會主席,為峰會做了開場致辭,并代表大會主辦方對與會嘉賓表示熱烈的歡迎。
太平洋集團的資深信息安全經(jīng)理萬強先生,作為本次峰會的第一位演講嘉賓,分享了主題為“太保企業(yè)數(shù)據(jù)安全實踐”的精彩內(nèi)容。 主題通過剖析當前數(shù)據(jù)安全保護的業(yè)務形勢和法律法規(guī)形勢,進而分享了太平洋保險集團的數(shù)據(jù)安全實踐。太保在數(shù)據(jù)全生命周期管理方面有著非常豐富的經(jīng)驗,萬先生詳細分享了期數(shù)據(jù)安全組織、規(guī)范、流程以及數(shù)據(jù)安全工具方面的經(jīng)驗。為與會專家提供了非常有價值的參考。
平安集團的信息安全平臺部總監(jiān)董曉瓊女士的分享主題是“企業(yè)數(shù)據(jù)安全‘智’評”。企業(yè)對信息安全最關(guān)注的是網(wǎng)絡安全、數(shù)據(jù)安全、業(yè)務安全和業(yè)務連續(xù)性。董女士分享了信息安全縱深防體系和信息安全治理架構(gòu),提出了平安集團的信息安全管控機制,并且進一步探討了幾個企業(yè)最關(guān)注的問題:你的安全能力如何?管控機制有效性如何評價?安全能力、變化風險是否可見?最終展示了從“自我評估”到“‘智’我評估”經(jīng)驗?,F(xiàn)場反響強烈,與會嘉賓提問非常積極。
第三位演講嘉賓是來自IBM的大中華區(qū)安全事業(yè)部信息安全解決方案結(jié)構(gòu)師吳異剛先生,他的演講主題是:“‘神經(jīng)中樞’態(tài)勢感知系統(tǒng)的實踐”。 為了領(lǐng)先于威脅,企業(yè)需要能夠“感知”到惡意行為,就像人能通過看、聽、聞、觸覺來感知到危險一樣,這個平臺能夠檢測環(huán)境中的細微差異,如潛伏的入侵者或惡意的內(nèi)部人員;不依賴于少數(shù)訓練有素的專家來發(fā)現(xiàn)攻擊;能收集、正則化、關(guān)聯(lián)數(shù)十億級別的安全事件,并能確定問題的優(yōu)先級; 能識別重要的安全漏洞和風險。吳先生分享了IBM在這些方面的經(jīng)驗和解決方案,為信息安全專家們提供了更多的選擇。
茶歇過后,來自??低暤母笨偛猛鯙I先生為我們分享了主題為“安全管理:物聯(lián)網(wǎng)安全的應急響應”的精彩內(nèi)容。物聯(lián)網(wǎng)成為當前整個IT領(lǐng)域產(chǎn)業(yè)界和學術(shù)界關(guān)注的焦點,但是“美國斷網(wǎng)事件”、“德國斷網(wǎng)事件“等使得物聯(lián)網(wǎng)的安全應急響應工作成為業(yè)界關(guān)注的焦點核心問題。物聯(lián)網(wǎng)的安全應急響工作難點在哪里?面臨哪些挑戰(zhàn)?該如何應對?王先生在演講中進行詳盡介紹。
Contrast Security APAC的副總裁Jeff CHEN先生,在本次大會的分享主題是“通過IAST和RASP改變應用安全的發(fā)展態(tài)勢”。 傳統(tǒng)的應用安全解決方案(包括SAST、DAST、WAF等)已經(jīng)運用20多年了,自其問世以來,并沒有取得重大的技術(shù)進步。如今,交互式應用安全測試(IAST)和運行時應用自我防護(RASP)等變革性技術(shù)的出現(xiàn),正在迅速改變著應用安全行業(yè)。在本次大會上,Jeff向與會嘉賓們簡要介紹IAST和RASP的運行方式、應用領(lǐng)域、其與傳統(tǒng)應用安全解決方案的區(qū)別以及預期會帶來的益處。
來自于美麗聯(lián)合集團的信息安全總監(jiān)止介先生,在本次大會的演講主題是“蘑菇街人機識別體系實踐”。蘑菇街遇到的人機識別問題挑戰(zhàn)以及應對思路,涵蓋反爬、圖形驗證碼、滑塊驗證碼、TCP/IP、設(shè)備指紋、模擬器識別等核心人機識別項目,主要分享我們在項目上的經(jīng)驗和最終落地的方案,以及我們在項目上的機器學習的應用。
午餐過后,企業(yè)信息安全峰會下午分為兩個分會場,分別是:
分會場一:企業(yè)安全應用
分會場二:信息安全新技術(shù)
分會場一: 企業(yè)安全應用
分會場一(企業(yè)安全應用)的第一位演講嘉賓是國家電網(wǎng)全球能源互聯(lián)網(wǎng)研究院信息通信研究所的業(yè)務安全技術(shù)研究室主任石聰聰先生,他的演講主題是:“全業(yè)務泛在電力物聯(lián)網(wǎng)及其安全防護思考”。石先生介紹了電力物聯(lián)網(wǎng)的演進,并列舉了一系列典型的業(yè)務場景,由此引申出目前面臨的風險和挑戰(zhàn)。通過深入淺出的方式講述了可管可控、精準防護、可視可信、智能防御的安全防護總體策略以及針對遇到的挑戰(zhàn)所做出的一些安全設(shè)計,對于安全從業(yè)者有很大的啟發(fā)。
第二位演講嘉賓是Imperva的中國區(qū)資深技術(shù)顧問劉沛旻先生,他在本屆大會的演講主題是:“云環(huán)境下的應用和數(shù)據(jù)安全實踐”。云環(huán)境下的安全趨勢還是相當具有挑戰(zhàn)性的,不論是部署模式、自動化、快速部署、服務化,還是缺少匹配的安全運維人員,都是不容小覷的。劉先生介紹了Impreva在混合環(huán)境下的應用和數(shù)據(jù)安全結(jié)構(gòu)方面的經(jīng)驗,并推薦了相應的解決方案,為安全從業(yè)者在安全管理方面提供有力的支持。
第三位演講嘉賓是蘇寧科技的安全研發(fā)中心技術(shù)總監(jiān)劉佳進先生,他在大會中的分享主題是“蘇寧業(yè)務發(fā)展中風控演進之道”。“網(wǎng)絡黑色產(chǎn)業(yè)鏈”對于電商業(yè)務安全來講一直是一個挑戰(zhàn),劉先生分享了蘇寧在識別黑產(chǎn)工具,電商核心場景風險和企業(yè)防守若是方面的經(jīng)驗和挑戰(zhàn)。通過回顧了蘇寧風控的發(fā)展歷程,講解了風控體系建設(shè)的成功之道。
第四位演講嘉賓是來自某公司的風險負責人趙銳先生,在本次大會的分享主題是:“CSO基礎(chǔ)之密匙管理的藝術(shù)”。風險管理有三要素,其中最重要而又最基礎(chǔ)的要素是什么?趙先生通過提出并且回答這個關(guān)鍵問題,引出了風險管理中資產(chǎn)的保密性、完整性和可用性。并進一步闡述了密鑰的生命周期管理經(jīng)驗。
第五位演講嘉賓是來自招銀云創(chuàng)合規(guī)崗的陳欣煒先生,他的分享主題是:“金融云合規(guī)體系構(gòu)建”。通過分享了合規(guī)的總體定義、總覽、監(jiān)管體系、合規(guī)檢查以及合規(guī)展望,陳先生為我們展示了金融行業(yè)合規(guī)風險管理的挑戰(zhàn),并且提出了行之有效的解決之道。
第六位演講嘉賓是來自安徽萬君網(wǎng)安的高級安全工程師徐向陽先生,他為我們帶來的演講主題是:“企業(yè)數(shù)據(jù)防泄露的那些事”。徐先生通過分析數(shù)據(jù)泄露的危害和原因,進一步深度剖析企業(yè)數(shù)據(jù)泄露的風險,為與會嘉賓分享了BOSS保鏢企業(yè)內(nèi)網(wǎng)安全管理軟件在企業(yè)管理中的核心作用。
第七位演講嘉賓是來自阿里巴巴歸零實驗室的安全技術(shù)專家任宏偉先生,他的演講主題是:“藍軍演練平臺的建設(shè)實踐”。任先生分享了如何搞藍軍演練平臺建設(shè),價值點如何體現(xiàn),如何證明其價值?安全團隊、藍軍的價值是什么?如何體現(xiàn)并得到領(lǐng)導、兄弟團隊認可?這些非常重要的經(jīng)驗。并且進一步闡述了藍軍遇到的核心問題,以及是如何解決的?最后進一步介紹平臺的架構(gòu)和核心能力。
分會場一最后的環(huán)節(jié)是小組討論,來自法雷奧的中國區(qū)IT經(jīng)理郭青峰先生,安徽萬君網(wǎng)安的BOSS保鏢軟件技術(shù)官徐亮亮先生、德勤的風險咨詢合伙人張震先生,藥明生物的信息安全官林磊先生、Adidas的亞太信息安全高級顧問馬一烈女士,就話題“企業(yè)安全戰(zhàn)略實踐方法論”展開了深入的討論,就與會信息安全專家關(guān)注的熱點話題給與答疑解惑,現(xiàn)場討論熱烈。
分會場二 信息安全新技術(shù)
分會場二(信息安全新技術(shù))第一講的演講嘉賓是來自愛奇藝的安全總監(jiān)王超先生,他的演講主題是:“SDL與安全能力服務化”。王先生分享了愛奇藝基于DevSecOps的SDL流程,并深入講解了安全能力服務化中:效率優(yōu)先、方便用戶和數(shù)據(jù)化運營的經(jīng)驗。在最后展示了愛奇藝安全大架構(gòu)給與參會嘉賓交流和學習。
第二講的演講嘉賓是來自Tenable的中國區(qū)總經(jīng)理趙陽先生,他為我們分享的主題是:“Cyber Exposure:理解與降低企業(yè)安全風險”。如今企業(yè)計算環(huán)境,幾乎所有的傳統(tǒng)技術(shù)都已經(jīng)發(fā)生改變,CISO都要面對4大難題:我們是否有被利用的風險?風險補救的優(yōu)先級?如何才能減少被利用的風險?和同行相比安全再怎么水平?通過分析和解答以上問題,趙先生提出了Cyber Exposure能幫助企業(yè)提升安全的可視能力、優(yōu)先分析能力、度量能力。
第三講的嘉賓是Forcepoint的中國區(qū)技術(shù)總監(jiān)馮文豪先生,他在本次峰會的分享主題是:“數(shù)據(jù)為核人為本——以新視角看待數(shù)據(jù)安全”。信息安全面臨諸多挑戰(zhàn),企業(yè)本應以數(shù)據(jù)為核、人為本,但是往往缺面臨追逐數(shù)據(jù)缺不了解用戶的行為,分析了用戶行為卻不了解背景信息。馮先生提出以人為本的信息安全體系,應用在落實數(shù)據(jù)保護策略等諸多場景非常有效的助力企業(yè)信息安全建設(shè)。
來自華泰證券的信息安全專家莊飛為我們帶來第四講的精彩分享,主題為:“DevSecOps在金融機構(gòu)落地實踐”。莊先生通過介紹DevOps安全面臨的挑戰(zhàn)、SDL軟件安全生命周期BSI框架、安全活動干系人、DevSecOps應用安全活動等方面的經(jīng)驗,為與會嘉賓展示了華泰證券安全平臺建設(shè)的戰(zhàn)略框架。
經(jīng)過茶歇時間簡短的休息和線下交流過后,來自CSA的上海分會聯(lián)席主席沈勇先生為我們分享了第五講:“云安全現(xiàn)狀與未來的一些思考”。沈先生首先介紹了CSA及其2018年關(guān)鍵成果,然后分享了對云安全的思考:產(chǎn)品已經(jīng)有很多,但是威脅依然嚴峻。其中市場參與者成熟度是一個關(guān)鍵,現(xiàn)有云安全產(chǎn)品還需要打磨等行業(yè)面臨的挑戰(zhàn)和機遇。
第六講的嘉賓是來自于眾安科技的高級算法師裴新先生,演講主題是:“區(qū)塊鏈安全及隱私保護場景分析”。數(shù)據(jù)即資產(chǎn),數(shù)據(jù)擁有者應具備資深數(shù)據(jù)的可控權(quán)。如何在隱私保護的條件下發(fā)揮數(shù)據(jù)價值,產(chǎn)出統(tǒng)計學或者趨勢性結(jié)果,實現(xiàn)“數(shù)據(jù)開放不共享”。基于區(qū)塊鏈資產(chǎn)協(xié)議的保險通證,為數(shù)據(jù)隱私保護提供新的思路。
第七位演講嘉賓唯品會的信息安全工程師姜鵬序先生,為我們分享的主題是:“唯品會攻擊檢測實踐”。傳統(tǒng)攻擊檢測簡單直接,易于并行,但大都為已知攻擊模式,正則匹配復雜度高,資源消耗高?;谛聢鼍?,提出新的方案,來優(yōu)化異常檢測流程,從而保障業(yè)務安全。
第八位演講嘉賓是來自玄貓安全實驗室的安全研究員Javierlev先生,為我們分享了“區(qū)塊鏈中共識算法的安全隱患”。演講嘉賓首先介紹共識算法的背景以及影響其安全的因素,進一步針對響應的一些熱點安全實踐進行了分析,提出了諸多共識攻擊的安全隱患,為相關(guān)專家提供了有力的參考。
第九為演講嘉賓是來自騰訊云安全的高級產(chǎn)品經(jīng)理劉雙立先生,演講主題是:“數(shù)盾—整治泄密的組合拳”。企業(yè)數(shù)據(jù)風險趨勢不容樂觀,內(nèi)部泄密實踐頻發(fā),數(shù)據(jù)保護法規(guī)要求越來越嚴格。在國內(nèi)外嚴峻的形勢下,騰訊云提出了由點到面、多維度管控的組合拳,從業(yè)務流量、內(nèi)部訪問和外部共享入手,打造完整安全體系。
企業(yè)信息安全峰會,旨在匯聚政、產(chǎn)、學、研、用等各方專家,充分利用參會嘉賓所處行業(yè)合作需求的多元化特點,來促進多方安全力量的有效對話與深入交流,以實質(zhì)性推動合作,每屆會議就發(fā)展戰(zhàn)略集思廣益、提出建議以形成指引,或針對熱門網(wǎng)絡安全技術(shù)與趨勢進行系統(tǒng)化分析,或針對典型需求提供行之有效的解決方案,同時積極聯(lián)合社會各方力量,積極探討和推動網(wǎng)絡空間安全人才培養(yǎng)。
本屆峰會得到了以下單位的贊助和支持,他們是白金贊助單位:奇虎360公司,金牌贊助單位:騰訊安全平臺部、獵豹移動、知道創(chuàng)宇,銀牌贊助單位:螞蟻金服安全應急響應中心、中科大計算機科學與技術(shù)學院、安天實驗室、安徽萬君網(wǎng)安BOSS保鏢監(jiān)控軟件、武漢科銳。此外,會議還得到了中國計算機用戶協(xié)會信息防護分會、湖北省信息網(wǎng)絡安全協(xié)會以及《中國信息安全》、《信息網(wǎng)絡安全》雜志的大力支持。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!