CSO专栏-“稀锁”(cso)联盟 CSO 下午茶

正文

下午茶分享 | 八位嘉宾独家安全干货,不容错过!

导读

 

2017年,《网安法》是各家网络安全厂商、CII单位、安全学者和从业人员热议和研究的重要课题之一。

2018年,安全圈里又会有哪些值得我们关注的新趋势、新发展呢?

一杯浓郁的香咖,一盏精致的甜品,一场精彩的安全分享交流,这是安全圈里一群大伙伴的下午茶。

 

1月19日,2018年的首场「CSO&ISG」下午茶活动,我们邀请到了来自行业机构单位、企业的三十多位CSO、ISG选手一起,来听听各位嘉宾的精彩分享,共同“聚焦新趋势,分享好经验”。

 

 

《企业安全评测引发的几点思考》

上海市信息安全测评认证中心

主任/蒋力群

专项测评拉开安全风险的帷幕。

演讲中,蒋力群以“某金融公司等保测评(渗透测试)”的实际案例为例,分析在各单位中存在的安全风险问题。

其中,“网络安全防护不足、web应用存在高风险漏洞、外包开发管理不严、个人信息防护不严、人员安全意识不足”这六点是主要存在的问题点,需要引起各单位自检自查的注意。

关于改进和完善的计划,他给出了几点建议:

1、强化“一体两翼”的整体意识

2、需要“补齐短板”的重点意识

3、强化“遵章守规”的规范意识

4、强化“统筹兼顾”的协同意识

 

《大数据时代数据权益与隐私保护的几点思考》

上海社会科学院互联网研究中心

张衠

前不久,某支付机构在推出“年度账单”的活动中,因为获取个人信息的一些问题,受到了网信部门的约谈。

其实,在企业的经营过程中,越来越多的使用到用户的相关个人信息。其中,隐私保护与数据权益,这两者之间的关系、存在的利益矛盾需要再平衡。

张衠认为,创新应用和场景之间,面临着合规要求的约束。特别是随着去年年底《信息安全技术个人信息安全规范》的推出,个人信息保护的相关要求更加严格。经营企业在开展业务活动时要充分注意数据权益和隐私保护之间的平衡。

在数据收集中,要获得数据主体的真实同意;在数据处理中,要注重个人数据的识别和数据处理的风险控制;在数据流通过程中,要保障数据主体的控制力。

2018年,将是数据保护的大年。隐私保护与数据权益之间应当追求共生关系,实现两者和谐、共赢,这将是大数据时代的良性发展大趋势。

 

《2018安全发展趋势分析》

卡巴斯基

华东区销售总监/魏文佳

这份预测基于一整年的数据与调查结果,由卡巴斯基实验室40多位遍布全球的专家手工撰写,调研和跟踪超过100个APT事件。

卡巴斯基作为安全界的“老司机”之一,对于安全发展趋势的研究值得深入探讨和参考。

在这份趋势分析报告中,九大类的安全问题:

针对供应链的攻击愈演愈烈、更多针对高端手机的恶意软件、类似BeEF的web框架分析工具、复杂的 UEFI 攻击、破坏性攻击持续增长、越来越多的加密系统将被颠覆、电子商务领域的身份认证危机、更多的路由器和调制解调器攻击、社交媒体的政治化作用凸显。

无论是个人、企业还是政府,都能看到面临的威胁正在日益增长。

未来,在“车联网、医疗网络、金融服务与欺诈、工控、电子货币”方面亦是关注重点。

 

   《文化意识教育:企业安全管理新思路》

易念科技

总经理/王怀宾

培训员工如何识别和防御网络攻击是网络安全行业中投入最少的一个领域。

而与之对应的,由于企业员工疏忽、安全意识薄弱造成企业蒙受着巨大的经济和声誉损失。

作为从事信息安全行业二十年的老兵,王怀宾(Robin)目前投身于国内信息安全意识教育的事业中,创新开创“享安全”云教育服务平台,运用SaaS线上学习模式、游戏化教育、钓鱼测试、实体案例演示体验等新模式,仅在2017年就帮助八大行业、超过百万人次的员工安全意识教育普及活动,受到了各企业和行业机构的欢迎和肯定。

演讲中,Robin主要分享了他在企业安全管理中重视安全意识教育的经验和实践。通过运用云平台,开展安全主题包学习、知识赛、钓鱼邮件测试、案例模拟体验、组织开展安全周活动等环节,帮助企业完成安全意识教育活动,有效提升企业整体的人员安全意识教育水平。

他还介绍了信息安全文化定义与阶段,希望企业可以在企业文化中注重安全文化的组成,把安全工作深入企业文化中。安全不再仅仅是运维人的安全,也是公司全员面对的安全。

 

《区块链在证券行业的应用安全》

光大证券

信息技术部SVP/刘嵩

如果要问,现在最火的新兴技术应用是什么?那也许就非“区块链”莫属。“比特币”作为“区块链”的应用之一,更是引起市场和业界的强烈关注。

据刘嵩介绍,光大证券目前已经开展了一些实践和尝试,对区块链技术应用落地主要为员工积分系统,通过员工积分系统的项目主要实现了光大证券私有区块链网络、移动端应用、投票平台、公司员工积分系统等功能模块的开发建设,后期会逐步构建以公司员工为用户的内部应用场景。

刘嵩认为,区块链的优势有三方面:提高业务运转效率;提高数据可信度;提高数据可用度。

同时,从逻辑、算法、系统等层面解读存在的威胁;为此,他从数据层、应用层等为区块链应用提供安全建议。

区块链技术是一项新兴技术,合理应用这项技术、处置存在的安全风险,可以帮助企业更好的提升效能。

 

《业务安全:如何进一步提升安全工作的价值》

快钱支付

IT风险高级经理/赵锐

安全工作的价值,非事件发生才得以体现的。

貌似长久以来,存在着一条鄙视链,好像安全人是麻烦的制造者:整天提要求、增加开发工作、增加运维要求、增加不确定性、延误业务上线、“光荣的背锅侠”……

其实,一般都认为安全是成本中心,只花钱没有产生效益。但如果把眼光放长远,换一种思考的方式,不要只看开发安全、运维安全,结合公司业务,在公司业务层面提供支持。那么,安全人的困境是否就迎刃而解了呢?

现在马上到了“年终总结”的时候,希望大家把这份“年终总结”做好,充分体现出安全的价值。除了常规的安全业务目标达成、安全地满足业务需求,在年终总结中可以根据自身业务情况分析出可能造成的损失,进行同比、环比,证明业务安全工作的效果,提升安全工作的重要性,彰显和表露安全人的价值体现。

 

《安全管理体系建设的构想与实践》

工银安盛人寿保险

信息科技部安全经理/黄诚欢

企业安全体系构建思路及重点,厘清阶段提升、建设重点、建设目标和工作原则等各方面构架和具体充实的方向和内容,最终目标在于构筑完善的安全体系。

工银安盛人寿自身,在“安全体系构建实践”和“安全意识培训教育活动”两方面做了诸多建设努力。

安全体系构建实践中,制定安全体系建设路线,通过详尽的管理办法、实施细则、工作流程、手册附件加以确保实施。同时强化安全技术纵深防御体系建设,为安全构筑强力支撑。

而对于人员的安全意识教育培训活动,工银安盛人寿也格外重视。建设完善的工银安盛员工安全意识培训教育机制,举办年度安全周主题活动不断强化和提升企业员工的安全意识,构筑一道“人”的安全意识防线。

 

《网络安全法实施环境下的数据安全合规保护》

安恒信息

王瑞

来自安恒信息的王瑞,详细介绍了“常规数据安全防护”“大数据系统数据安全需求”,并介绍了有关“安恒大数据平台安全防护构架”的实践经验。

王瑞认为,常规数据安全防护在有了《网络安全法》的加持以后,仍不可掉以轻心。

企业应加强安全防护、健全内控制度,因为“检查发现,有的互联网公司和公共服务部门存储了大量功名个人信息,但安防技术严重滞后,容易被不法分子窃取和盗用”并且“一些单位内控制度不完善或不落实,少数内鬼为谋取不法利益铤而走险,只是用户信息大批量泄露”。

他建议,建立成熟的“数据安全能力成熟度模型”作为参考,以数据为中心,从组织机构业务范围内的数据生命周期的角度出发,对数据生命各阶段的应具备的安全能力进行评估和规划。

当前,数据安全防护最大难题:人,信任,数据。

建立数据安全逻辑访问边界,以访问控制为核心,以人为主要的防护视角,从“组织人员”“制度流程”“技术措施”三个能力维度的评估与规划。

同时,在数据生命周期各阶段完善不同安全技术手段和工作,针对“身份认证”、“访问控制”、“安全审计”、“数据防护”的针对性安全措施;注意数据安全整体组成。

演讲中,王瑞还介绍了安恒大数据平台安全防护架构,大数据平台访问控制网关的部署、大数据统一授权和访问控制系统部署架构、大数据平台数据加密部署方式等。

 

 

其实在短短半天的密集分享中,我们不难看出,不论是行业主管单位机构、行业研究机构,还是各家企业,对于安全的重视和理解程度正在不断上升。

下午茶活动中,大家互相交流

网络安全问题,已经上升到了国家战略层面,其对国计民生的影响也日益凸显。本次下午茶聚集了CSO&ISG选手,从管理者到执行者,可以说都是受益颇丰。

我们还注意到,除了安全技术、法律合规等问题的深入交流和探讨以外,“安全意识”正在被越来越多的提及。

(工银安盛人寿黄诚欢为大家介绍他们通过举办安全周活动强化员工安全意识教育问题的相关案例)

从蒋力群主任提及的案例剖析(第六点,人员安全意识)、王怀宾推介的安全意识教育活动,以及工银安盛人寿把“安全意识建设”与“安全管理和技术建设”一起作为整体的安全建设,不难看出未来“管理、技术、意识”正在和已经成为安全工作中重要的三个思考维度。

 

【合作伙伴】

安恒信息   卡巴斯基

本次议题内容超级丰富,也特别感谢八位嘉宾的精彩演讲。

关注公众号:信息安全竞赛,了解更多稀锁(CSO)俱乐部、ISG运维赛信息,更多分享、活动和福利等着你。

今年,恰逢ISG竞赛十周年,欢迎ISG的新老学员在后台留言,为我们提供宝贵的意见和建议哦!

 

 

 

分享到: 更多

 

评论

  • 微信
  • 新浪微博

关注官方微信、微博获取更多资讯

点击按钮填写申请表单

安全法知识赛申请

Copyright 2011~ , E365.org版权所有

沪ICP备12023389-1号
沪公网安备 31010502002600号