安全+主辦的EISS-2018企業資訊保安峰會——上海站成功舉辦
2018年11月30日,由 安全+ 主辦的 EISS-2018 企業資訊保安峰會——上海站 在上海銀星皇冠假日酒店成功舉辦。峰會延續了往屆企業資訊保安峰會 “直面資訊保安挑戰,創造最佳實踐”的主題,吸引近400位的企業資訊保安專家齊聚一堂,就企業資料安全實踐、企業安全管理、態勢感知、物聯網安全、雲安全、密匙管理、DevSecOps等話題展開深入分享和熱烈的討論。
[大會現場圖片]
大會主會場
(ISC) ²上海分會主席施勇博士 作為本次峰會的大會主席,為峰會做了開場致辭,並代表大會主辦方對與會嘉賓表示熱烈的歡迎。
太平洋集團的資深資訊保安經理萬強先生,作為本次峰會的第一位演講嘉賓,分享了主題為“太保企業資料安全實踐”的精彩內容。 主題通過剖析當前資料安全保護的業務形勢和法律法規形勢,進而分享了太平洋保險集團的資料安全實踐。太保在資料全生命週期管理方面有著非常豐富的經驗,萬先生詳細分享了期資料安全組織、規範、流程以及資料安全工具方面的經驗。為與會專家提供了非常有價值的參考。
平安集團的資訊保安平臺部總監董曉瓊女士的分享主題是“企業資料安全‘智’評”。企業對資訊保安最關注的是網路安全、資料安全、業務安全和業務連續性。董女士分享了資訊保安縱深防體系和資訊保安治理架構,提出了平安集團的資訊保安管控機制,並且進一步探討了幾個企業最關注的問題:你的安全能力如何?管控機制有效性如何評價?安全能力、變化風險是否可見?最終展示了從“自我評估”到“‘智’我評估”經驗。現場反響強烈,與會嘉賓提問非常積極。
第三位演講嘉賓是來自 IBM 的大中華區安全事業部資訊保安解決方案結構師吳異剛先生 ,他的演講主題是:“‘神經中樞’態勢感知系統的實踐”。 為了領先於威脅,企業需要能夠“感知”到惡意行為,就像人能通過看、聽、聞、觸覺來感知到危險一樣,這個平臺能夠檢測環境中的細微差異,如潛伏的入侵者或惡意的內部人員;不依賴於少數訓練有素的專家來發現攻擊;能收集、正則化、關聯數十億級別的安全事件,並能確定問題的優先順序; 能識別重要的安全漏洞和風險。吳先生分享了IBM在這些方面的經驗和解決方案,為資訊保安專家們提供了更多的選擇。
茶歇過後,來自 海康威視 的 副總裁王濱 先生為我們分享了主題為“安全管理:物聯網安全的應急響應”的精彩內容。物聯網成為當前整個IT領域產業界和學術界關注的焦點,但是“美國斷網事件”、“德國斷網事件“等使得物聯網的安全應急響應工作成為業界關注的焦點核心問題。物聯網的安全應急響工作難點在哪裡?面臨哪些挑戰?該如何應對?王先生在演講中進行詳盡介紹。
Contrast Security APAC的 副總裁Jeff CHEN 先生,在本次大會的分享主題是“通過IAST和RASP改變應用安全的發展態勢”。 傳統的應用安全解決方案(包括SAST、DAST、WAF等)已經運用20多年了,自其問世以來,並沒有取得重大的技術進步。如今,互動式應用安全測試(IAST)和執行時應用自我防護(RASP)等變革性技術的出現,正在迅速改變著應用安全行業。在本次大會上,Jeff向與會嘉賓們簡要介紹IAST和RASP的執行方式、應用領域、其與傳統應用安全解決方案的區別以及預期會帶來的益處。
來自於 美麗聯合集團 的 資訊保安總監止介 先生,在本次大會的演講主題是“蘑菇街人機識別體系實踐”。蘑菇街遇到的人機識別問題挑戰以及應對思路,涵蓋反爬、圖形驗證碼、滑塊驗證碼、TCP/IP、裝置指紋、模擬器識別等核心人機識別專案,主要分享我們在專案上的經驗和最終落地的方案,以及我們在專案上的機器學習的應用。
午餐過後,企業資訊保安峰會下午分為兩個分會場,分別是:
分會場一:企業安全應用;
分會場二:資訊保安新技術。
分會場一: 企業安全應用
分會場一(企業安全應用)的第一位演講嘉賓是 國家電網全球能源網際網路研究院資訊通訊研究所 的 業務安全技術研究室主任石聰聰 先生,他的演講主題是:“ 全業務泛在電力物聯網及其安全防護思考 ”。石先生介紹了電力物聯網的演進,並列舉了一系列典型的業務場景,由此引申出目前面臨的風險和挑戰。通過深入淺出的方式講述了可管可控、精準防護、可視可信、智慧防禦的安全防護總體策略以及針對遇到的挑戰所做出的一些安全設計,對於安全從業者有很大的啟發。
第二位演講嘉賓是 Imperva 的 ofollow,noindex">中國 區資深技術顧問劉沛旻 先生,他在本屆大會的演講主題是:“ 雲環境下的應用和資料安全實踐 ”。雲環境下的安全趨勢還是相當具有挑戰性的,不論是部署模式、自動化、快速部署、服務化,還是缺少匹配的安全運維人員,都是不容小覷的。劉先生介紹了Impreva在混合環境下的應用和資料安全結構方面的經驗,並推薦了相應的解決方案,為安全從業者在安全管理方面提供有力的支援。
第三位演講嘉賓是 蘇寧科技 的 安全研發中心技術總監劉佳進 先生,他在大會中的分享主題是“ 蘇寧業務發展中風控演進之道 ”。“網路黑色產業鏈”對於電商業務安全來講一直是一個挑戰,劉先生分享了蘇寧在識別黑產工具,電商核心場景風險和企業防守若是方面的經驗和挑戰。通過回顧了蘇寧風控的發展歷程,講解了風控體系建設的成功之道。
第四位演講嘉賓是來自某公司的 風 險負責人趙銳先生 ,在本次大會的分享主題是:“ CSO 基礎之密匙管理的藝術 ”。風險管理有三要素,其中最重要而又最基礎的要素是什麼?趙先生通過提出並且回答這個關鍵問題,引出了風險管理中資產的保密性、完整性和可用性。並進一步闡述了金鑰的生命週期管理經驗。
第五位演講嘉賓是來自 招銀雲創合規崗 的 陳欣煒 先生,他的分享主題是:“ 金融雲合規體系構建 ”。通過分享了合規的總體定義、總覽、監管體系、合規檢查以及合規展望,陳先生為我們展示了金融行業合規風險管理的挑戰,並且提出了行之有效的解決之道。
第六位演講嘉賓是來自 攜程 的 高階安全工程師徐楷 先生,他為我們帶來的演講主題是:“ 企業資料防洩露的那些事 ”。徐先生通過分析資料洩露的危害和原因,進一步深度剖析企業資料洩露的風險,為與會嘉賓分享了攜程的風險管理經驗以及風險預警系統。
第七位演講嘉賓是來自 阿里巴巴歸零實驗室 的 安全技術專家任巨集偉 先生,他的演講主題是:“ 藍軍演練平臺的建設實踐 ”。任先生分享瞭如何搞藍軍演練平臺建設,價值點如何體現,如何證明其價值?安全團隊、藍軍的價值是什麼?如何體現並得到領導、兄弟團隊認可?這些非常重要的經驗。並且進一步闡述了藍軍遇到的核心問題,以及是如何解決的?最後進一步介紹平臺的架構和核心能力。
分會場一最後的環節是小組討論,來自 法雷奧 的 中國 區IT經理郭青峰 先生, 德勤 的 風險諮詢合夥人張震 先生, 藥明生物 的 資訊保安官林磊 先生、 Adidas 的 亞太資訊保安高階顧問馬一烈 女士,就話題“ 企業安全戰略實踐方法論 ”展開了深入的討論,就與會資訊保安專家關注的熱點話題給與答疑解惑,現場討論熱烈。
分會場二 資訊保安新技術
分會場二(資訊保安新技術)第一講的演講嘉賓是來自 愛奇藝 的 安全總監王超 先生,他的演講主題是:“ SDL 與安全能力服務化 ”。王先生分享了愛奇藝基於DevSecOps的SDL流程,並深入講解了安全能力服務化中:效率優先、方便使用者和資料化運營的經驗。在最後展示了愛奇藝安全大架構給與參會嘉賓交流和學習。
第二講的演講嘉賓是來自 Tenable 的 中國 區總經理趙陽 先生,他為我們分享的主題是:“ Cyber Exposure :理解與降低企業安全風險 ”。如今企業計算環境,幾乎所有的傳統技術都已經發生改變,CISO都要面對4大難題:我們是否有被利用的風險?風險補救的優先順序?如何才能減少被利用的風險?和同行相比安全再怎麼水平?通過分析和解答以上問題,趙先生提出了Cyber Exposure能幫助企業提升安全的可視能力、優先分析能力、度量能力。
第三講的嘉賓是 Forcepoint 的 中國 區技術總監馮文豪 先生,他在本次峰會的分享主題是:“ 資料為核人為本——以新視角看待資料安全 ”。資訊安全面臨諸多挑戰,企業本應以資料為核、人為本,但是往往缺面臨追逐資料缺不瞭解使用者的行為,分析了使用者行為卻不瞭解背景資訊。馮先生提出以人為本的資訊保安體系,應用在落實資料保護策略等諸多場景非常有效的助力企業資訊保安建設。
來自 華泰證券 的 資訊保安專家莊飛 為我們帶來第四講的精彩分享,主題為:“ DevSecOps 在金融機構落地實踐 ”。莊先生通過介紹DevOps安全面臨的挑戰、SDL軟體安全生命週期BSI框架、安全活動干係人、DevSecOps應用安全活動等方面的經驗,為與會嘉賓展示了華泰證券安全平臺建設的戰略框架。
經過茶歇時間簡短的休息和線下交流過後,來自 CSA 的 上海分會聯席主席沈勇 先生為我們分享了第五講:“ 雲安全現狀與未來的一些思考 ”。沈先生首先介紹了CSA及其2018年關鍵成果,然後分享了對雲安全的思考:產品已經有很多,但是威脅依然嚴峻。其中市場參與者成熟度是一個關鍵,現有云安全產品還需要打磨等行業面臨的挑戰和機遇。
第六講的嘉賓是來自於 眾安科技 的 高階演算法師裴新 先生,演講主題是:“ 區塊鏈安全及隱私保護場景分析 ”。資料即資產,資料擁有者應具備資深資料的可控權。如何在隱私保護的條件下發揮資料價值,產出統計學或者趨勢性結果,實現“資料開放不共享”。基於區塊鏈資產協議的保險通證, 為資料隱私保護提供新的思路。
第七位演講嘉賓 唯品會 的 資訊保安工程師姜鵬序 先生,為我們分享的主題是:“ 唯品會攻擊檢測實踐 ”。傳統攻擊檢測簡單直接,易於並行,但大都為已知攻擊模式,正則匹配複雜度高,資源消耗高。基於新場景,提出新的方案,來優化異常檢測流程,從而保障業務安全。
第八位演講嘉賓是來自 玄貓安全實驗室 的 安全研究員Javierlev 先生,為我們分享了“ 區塊鏈中共識演算法的安全隱患 ”。演講嘉賓首先介紹共識演算法的背景以及影響其安全的因素,進一步針對響應的一些熱點安全實踐進行了分析,提出了諸多共識攻擊的安全隱患,為相關專家提供了有力的參考。
第九為演講嘉賓是來自 騰訊雲安全 的 高階產品經理劉雙立 先生,演講主題是:“ 數盾—整治洩密的組合拳 ”。企業資料風險趨勢不容樂觀,內部洩密實踐頻發,資料保護法規要求越來越嚴格。在國內外嚴峻的形勢下,騰訊雲提出了由點到面、多維度管控的組合拳,從業務流量、內部訪問和外部共享入手,打造完整安全體系。
EISS-2018企業資訊保安峰會上海站,在參會嘉賓的熱烈討論中圓滿結束!“安全+”感謝我們的演講嘉賓,我們的贊助商: IBM 、 Contrast Security 、 Tenable 、 IMPERVA 、 FORCEPOINT 、 Gigamon 、 Cormail 、 思睿嘉得 、 UPAS 、 GTI 、 派拉軟體 、 舜源科技 、 聯軟科技 和 Westcon 的鼎力支援,以及業界專家的熱情參與,期待下次峰會見!