安全+主辦的EISS-2018企業信息安全峰會——上海站成功舉辦
責編:gltian |2018-12-04 15:19:302018年11月30日,由安全+主辦的EISS-2018企業信息安全峰會——上海站在上海銀星皇冠假日酒店成功舉辦。峰會延續了往屆企業信息安全峰會 “直面信息安全挑戰,創造最佳實踐”的主題,吸引近400位的企業信息安全專家齊聚一堂,就企業數據安全實踐、企業安全管理、態勢感知、物聯網安全、云安全、密匙管理、DevSecOps等話題展開深入分享和熱烈的討論。
[大會現場圖片]
大會主會場
(ISC)2上海分會主席施勇博士作為本次峰會的大會主席,為峰會做了開場致辭,并代表大會主辦方對與會嘉賓表示熱烈的歡迎。
太平洋集團的資深信息安全經理萬強先生,作為本次峰會的第一位演講嘉賓,分享了主題為“太保企業數據安全實踐”的精彩內容。 主題通過剖析當前數據安全保護的業務形勢和法律法規形勢,進而分享了太平洋保險集團的數據安全實踐。太保在數據全生命周期管理方面有著非常豐富的經驗,萬先生詳細分享了期數據安全組織、規范、流程以及數據安全工具方面的經驗。為與會專家提供了非常有價值的參考。
平安集團的信息安全平臺部總監董曉瓊女士的分享主題是“企業數據安全‘智’評”。企業對信息安全最關注的是網絡安全、數據安全、業務安全和業務連續性。董女士分享了信息安全縱深防體系和信息安全治理架構,提出了平安集團的信息安全管控機制,并且進一步探討了幾個企業最關注的問題:你的安全能力如何?管控機制有效性如何評價?安全能力、變化風險是否可見?最終展示了從“自我評估”到“‘智’我評估”經驗。現場反響強烈,與會嘉賓提問非常積極。
第三位演講嘉賓是來自IBM的大中華區安全事業部信息安全解決方案結構師吳異剛先生,他的演講主題是:“‘神經中樞’態勢感知系統的實踐”。為了領先于威脅,企業需要能夠“感知”到惡意行為,就像人能通過看、聽、聞、觸覺來感知到危險一樣,這個平臺能夠檢測環境中的細微差異,如潛伏的入侵者或惡意的內部人員;不依賴于少數訓練有素的專家來發現攻擊;能收集、正則化、關聯數十億級別的安全事件,并能確定問題的優先級; 能識別重要的安全漏洞和風險。吳先生分享了IBM在這些方面的經驗和解決方案,為信息安全專家們提供了更多的選擇。
茶歇過后,來自海康威視的副總裁王濱先生為我們分享了主題為“安全管理:物聯網安全的應急響應”的精彩內容。物聯網成為當前整個IT領域產業界和學術界關注的焦點,但是“美國斷網事件”、“德國斷網事件“等使得物聯網的安全應急響應工作成為業界關注的焦點核心問題。物聯網的安全應急響工作難點在哪里?面臨哪些挑戰?該如何應對?王先生在演講中進行詳盡介紹。
Contrast Security APAC的副總裁Jeff CHEN先生,在本次大會的分享主題是“通過IAST和RASP改變應用安全的發展態勢”。 傳統的應用安全解決方案(包括SAST、DAST、WAF等)已經運用20多年了,自其問世以來,并沒有取得重大的技術進步。如今,交互式應用安全測試(IAST)和運行時應用自我防護(RASP)等變革性技術的出現,正在迅速改變著應用安全行業。在本次大會上,Jeff向與會嘉賓們簡要介紹IAST和RASP的運行方式、應用領域、其與傳統應用安全解決方案的區別以及預期會帶來的益處。
來自于美麗聯合集團的信息安全總監止介先生,在本次大會的演講主題是“蘑菇街人機識別體系實踐”。蘑菇街遇到的人機識別問題挑戰以及應對思路,涵蓋反爬、圖形驗證碼、滑塊驗證碼、TCP/IP、設備指紋、模擬器識別等核心人機識別項目,主要分享我們在項目上的經驗和最終落地的方案,以及我們在項目上的機器學習的應用。
午餐過后,企業信息安全峰會下午分為兩個分會場,分別是:
分會場一:企業安全應用;
分會場二:信息安全新技術。
分會場一: 企業安全應用
分會場一(企業安全應用)的第一位演講嘉賓是國家電網全球能源互聯網研究院信息通信研究所的業務安全技術研究室主任石聰聰先生,他的演講主題是:“全業務泛在電力物聯網及其安全防護思考”。石先生介紹了電力物聯網的演進,并列舉了一系列典型的業務場景,由此引申出目前面臨的風險和挑戰。通過深入淺出的方式講述了可管可控、精準防護、可視可信、智能防御的安全防護總體策略以及針對遇到的挑戰所做出的一些安全設計,對于安全從業者有很大的啟發。
第二位演講嘉賓是Imperva的中國區資深技術顧問劉沛旻先生,他在本屆大會的演講主題是:“云環境下的應用和數據安全實踐”。云環境下的安全趨勢還是相當具有挑戰性的,不論是部署模式、自動化、快速部署、服務化,還是缺少匹配的安全運維人員,都是不容小覷的。劉先生介紹了Impreva在混合環境下的應用和數據安全結構方面的經驗,并推薦了相應的解決方案,為安全從業者在安全管理方面提供有力的支持。
第三位演講嘉賓是蘇寧科技的安全研發中心技術總監劉佳進先生,他在大會中的分享主題是“蘇寧業務發展中風控演進之道”。“網絡黑色產業鏈”對于電商業務安全來講一直是一個挑戰,劉先生分享了蘇寧在識別黑產工具,電商核心場景風險和企業防守若是方面的經驗和挑戰。通過回顧了蘇寧風控的發展歷程,講解了風控體系建設的成功之道。
第四位演講嘉賓是來自某公司的風險負責人趙銳先生,在本次大會的分享主題是:“CSO基礎之密匙管理的藝術”。風險管理有三要素,其中最重要而又最基礎的要素是什么?趙先生通過提出并且回答這個關鍵問題,引出了風險管理中資產的保密性、完整性和可用性。并進一步闡述了密鑰的生命周期管理經驗。
第五位演講嘉賓是來自招銀云創合規崗的陳欣煒先生,他的分享主題是:“金融云合規體系構建”。通過分享了合規的總體定義、總覽、監管體系、合規檢查以及合規展望,陳先生為我們展示了金融行業合規風險管理的挑戰,并且提出了行之有效的解決之道。
第六位演講嘉賓是來自攜程的高級安全工程師徐楷先生,他為我們帶來的演講主題是:“企業數據防泄露的那些事”。徐先生通過分析數據泄露的危害和原因,進一步深度剖析企業數據泄露的風險,為與會嘉賓分享了攜程的風險管理經驗以及風險預警系統。
第七位演講嘉賓是來自阿里巴巴歸零實驗室的安全技術專家任宏偉先生,他的演講主題是:“藍軍演練平臺的建設實踐”。任先生分享了如何搞藍軍演練平臺建設,價值點如何體現,如何證明其價值?安全團隊、藍軍的價值是什么?如何體現并得到領導、兄弟團隊認可?這些非常重要的經驗。并且進一步闡述了藍軍遇到的核心問題,以及是如何解決的?最后進一步介紹平臺的架構和核心能力。
分會場一最后的環節是小組討論,來自法雷奧的中國區IT經理郭青峰先生,德勤的風險咨詢合伙人張震先生,藥明生物的信息安全官林磊先生、Adidas的亞太信息安全高級顧問馬一烈女士,就話題“企業安全戰略實踐方法論”展開了深入的討論,就與會信息安全專家關注的熱點話題給與答疑解惑,現場討論熱烈。
分會場二 信息安全新技術
分會場二(信息安全新技術)第一講的演講嘉賓是來自愛奇藝的安全總監王超先生,他的演講主題是:“SDL與安全能力服務化”。王先生分享了愛奇藝基于DevSecOps的SDL流程,并深入講解了安全能力服務化中:效率優先、方便用戶和數據化運營的經驗。在最后展示了愛奇藝安全大架構給與參會嘉賓交流和學習。
第二講的演講嘉賓是來自Tenable的中國區總經理趙陽先生,他為我們分享的主題是:“Cyber Exposure:理解與降低企業安全風險”。如今企業計算環境,幾乎所有的傳統技術都已經發生改變,CISO都要面對4大難題:我們是否有被利用的風險?風險補救的優先級?如何才能減少被利用的風險?和同行相比安全再怎么水平?通過分析和解答以上問題,趙先生提出了Cyber Exposure能幫助企業提升安全的可視能力、優先分析能力、度量能力。
第三講的嘉賓是Forcepoint的中國區技術總監馮文豪先生,他在本次峰會的分享主題是:“數據為核人為本——以新視角看待數據安全”。信息安全面臨諸多挑戰,企業本應以數據為核、人為本,但是往往缺面臨追逐數據缺不了解用戶的行為,分析了用戶行為卻不了解背景信息。馮先生提出以人為本的信息安全體系,應用在落實數據保護策略等諸多場景非常有效的助力企業信息安全建設。
來自華泰證券的信息安全專家莊飛為我們帶來第四講的精彩分享,主題為:“DevSecOps在金融機構落地實踐”。莊先生通過介紹DevOps安全面臨的挑戰、SDL軟件安全生命周期BSI框架、安全活動干系人、DevSecOps應用安全活動等方面的經驗,為與會嘉賓展示了華泰證券安全平臺建設的戰略框架。
經過茶歇時間簡短的休息和線下交流過后,來自CSA的上海分會聯席主席沈勇先生為我們分享了第五講:“云安全現狀與未來的一些思考”。沈先生首先介紹了CSA及其2018年關鍵成果,然后分享了對云安全的思考:產品已經有很多,但是威脅依然嚴峻。其中市場參與者成熟度是一個關鍵,現有云安全產品還需要打磨等行業面臨的挑戰和機遇。
第六講的嘉賓是來自于眾安科技的高級算法師裴新先生,演講主題是:“區塊鏈安全及隱私保護場景分析”。數據即資產,數據擁有者應具備資深數據的可控權。如何在隱私保護的條件下發揮數據價值,產出統計學或者趨勢性結果,實現“數據開放不共享”。基于區塊鏈資產協議的保險通證,為數據隱私保護提供新的思路。
第七位演講嘉賓唯品會的信息安全工程師姜鵬序先生,為我們分享的主題是:“唯品會攻擊檢測實踐”。傳統攻擊檢測簡單直接,易于并行,但大都為已知攻擊模式,正則匹配復雜度高,資源消耗高。基于新場景,提出新的方案,來優化異常檢測流程,從而保障業務安全。
第八位演講嘉賓是來自玄貓安全實驗室的安全研究員Javierlev先生,為我們分享了“區塊鏈中共識算法的安全隱患”。演講嘉賓首先介紹共識算法的背景以及影響其安全的因素,進一步針對響應的一些熱點安全實踐進行了分析,提出了諸多共識攻擊的安全隱患,為相關專家提供了有力的參考。
第九為演講嘉賓是來自騰訊云安全的高級產品經理劉雙立先生,演講主題是:“數盾—整治泄密的組合拳”。企業數據風險趨勢不容樂觀,內部泄密實踐頻發,數據保護法規要求越來越嚴格。在國內外嚴峻的形勢下,騰訊云提出了由點到面、多維度管控的組合拳,從業務流量、內部訪問和外部共享入手,打造完整安全體系。
EISS-2018企業信息安全峰會上海站,在參會嘉賓的熱烈討論中圓滿結束!“安全+”感謝我們的演講嘉賓,我們的贊助商:IBM、Contrast Security、Tenable、IMPERVA、FORCEPOINT、Gigamon、Cormail、思睿嘉得、UPAS、GTI、派拉軟件、舜源科技、聯軟科技和Westcon的鼎力支持,以及業界專家的熱情參與,期待下次峰會見!