探索中国CIO人才现状 | 第四季调研报告
聚焦企业安全战略,CISO赋能安全峰会成功举办
2017-07-17  来源:CISO发展中心

2017年7月15日,第一届CISO赋能安全峰会暨CISO发展中心启动大会,在北京海航大厦万豪酒店成功举办。来自政府相关部委领导、学术界代表以及国际知名分析师,以及100多位企业CIO、CISO、CSO、企业安全负责人等安全决策者等等共聚一堂,分享并探讨了有关网络安全领域最新热点、政策法规、研究成果以及企业安全的最新实践成果。

合影

认知,责任与生态,为企业安全战略赋能

CISO发展中心的理事长韦韬为CISO赋能安全峰会暨CISO发展中心启动大会致辞,作为百度的首席安全科学家,韦韬主要负责安全技术研究和安全攻防。他认为,近些年,随着整个传统企业触网的延伸,互联网企业和传统企业的边界正在消融,而融合也意味着,网络安全的威胁也将越来越大,安全管理团队也面临更严峻的挑战,他从三个层面阐述了对企业安全领域的期望。

首先是提升对安全的认知,借用猎豹CEO傅盛在《认知三部曲》中阐述的理念,如果希望在企业中能够有效推进安全战略,一个非常前提条件是管理层认知提升。而CISO发展中心的成立,也是希望能够将更多的安全理念、安全管理经验通过这个平台,惠及到更多CSO、CIO、安全负责人等等,各个企业可以在这个平台上向优秀的企业学习安全管理经验,从而帮助企业构筑一条稳健的安全防线。

其次是肩负起安全的责任,今年,6月1号《网络安全法》正式执行,这意味着企业在网络安全层面也要承担起更大的责任,随着网络实名制不断落实到各个平台,一旦出现安全问题,就会危机百万甚至千万用户的数据隐私及安全。所以每个企业的安全负责人都应该全力以赴,保障企业客户以及整个网民的信息安全。

韦韬认为,网络安全和传统安全有着本质区别,很多传统的企业在安全防护方面主要依靠公安部门或者国家的安全部门,企业自身并不会做全体系的安全防护。但是,网络安全领域已经发生了非常显著的改变,完全依靠政府搞不定网络安全问题,每个企业肩上的安全责任必然会越来越重。

最后是打造安全的生态,CISO发展中心成立一个非常核心的目标就是共同推动建设安全生态圈,目前光靠甲方的安全力量还不足以应对来自于互联网黑产的威胁。特别是随着传统企业触网,整个的AI推动着全行业转型变革,当全行业物联网化以后,网络的安全威胁将会更加严重。而整个安全领域没有「万能药」,安全的核心是对抗,对抗是持续性的和多维度的,而对抗非常大的基础,需要专业的安全队伍来支持。所以我们需要共同建立一个安全生态圈,既要保障企业内部的安全,也要保障业务的安全。韦韬表示,希望把CISO发展中心打造一个开放、合作、共赢的平台,从而真正推进行业的安全发展。

大会全景_副本

安全大咖云集,深度解读安全领域新热点技术

国家信息中心信息与网络安全部国强阐述了「互联网+政务服务」 统一身份认证若干问题,并希望与更多的企业一起利用互联网扁平化、交互式、快捷性优势,推进政府决策科学化、社会治理精准化、公共服务高效化。公安部信息安全等级保护评估中心李明博士,对新形势新要求下,落实等级保护制度要点进行了分析;来自中国电子技术标准化研究院的蔡磊,分享了个人信息保护合规框架与实践经验。

普华永道的合伙人李睿女士首先分析了全球信息安全状况,并从网络安全和隐私保护两个层面阐述了企业安全问题。她表示,近年来中国内地及香港企业检测到的信息安全事件数量大幅上升,而调查显示内部人员仍是网络安全的最大威胁,消费者数据是中国企业最易受到攻击的薄弱点,以网络钓鱼欺诈为主要途径,商务邮件受攻击、勒索软件对商业的威胁日益加大。所以,李睿建议信息安全的投资方向与重点,应该是集中在完善其数字化生态系统的整体战略层面。最后,她还介绍了企业受商业数字化的影响,应该如何完善安全防护,降低风险的措施。

Gartner 研究总监刘轶分享了物联网时代下硬件安全的崛起 ,他认为物联网时代的到来,硬件安全面临新的挑战,企业的安全应该是集合了Physical Protection、Identification、Remote Attestation、System & DataIntegrity等等的一个综合性防护体系。

百度首席安全科学家、CISO发展中心的理事长韦韬分享了《人工智能遇上网络安全》,他认为网络安全的新战场将会在黑产对抗、反勒索软件、反Insider-based APT和物联网/车联网等四个维度展开。当AI遇到网络安全时,首先没有Sliver Bullet,在执行层面,AI可以显著提升安全工具规则的运维效率,在感知层,能够利用生物特征认知,更好的实现活体识别。总的来说,人工智能在网络安全领域的应用,执行层上面已经实用化,已经达到非常好的效果,在感知层上面已经开始大规模的推广,针对本身,包括人脸识别和图象识别。认知层和战略层还是一个比较长远的事情,目前还在不断的研究之中。

京东安全响应与运营高级经理李学庆分享了,在京东从事6年安全工作以来,电商工作所经历的历程和经验分享,从2011年开始,安全团队就主要面临订单泄露问题、人员安全意识问题,然后开始在京东内部推动安全技术的落地,随之又陆续面临框架漏洞、边界安全、调度系统、业务安全、合规安全、数据安全、反诈骗、DDoS、HTTPS、安全资产、安全感知等等一系列问题与挑战,他分享自己在遭遇安全挑战时的一些心得与体会,并详细阐述了很多安全问题的解决思路。

lishi

华为首席网络安全专家李雨航为CISO发展中心成立发来贺词,并介绍了华为安全部署。CIO发展中心的创始人杨超为CISO发展中心的理事成员颁发理事证书,并宣布CISO发展中心正式成立,CISO发展中心也致力于旨在通过搭建平台,促进企业及机构之间的网络信息安全信息共享和交流;通过专家资源的输出和共享,增强企业对网络安全威胁的应变能力、为企业信息安全保驾护航;通过培训和认证,体系化培养网络信息安全领域的专业高阶人才,增强企业在网络信息安全领域的人才储备。通过各种专业人才和机构的引入,打造网络信息安全生态圈。

理事证书合影_副本

在峰会的下半场,中国科学院信息工程研究所的陈红霞分享了密文检索技术的研究和应用,她从研究背景、研究进展以及密文检索的应用三个层面展开了阐述。思杰大中华区技术总监宋烨表示,近几年,已有多个研究表明信息安全风险是董事会所关注的前二或前三个问题之一,而企业的安全交付应用和数据,首先应该让 IT 摆脱设备级、平台特定、端点安全,简化安全工作 ;其次,全面的解决方案,应该能够保护任何设备、网络和云端的数据和应用;还有最重要一点,就是应该能面向未来新出现的要求和挑战。后续他介绍了思杰在安全产品方面的优势,以及客户实践的最佳做法。

阿里巴巴商家业务的安全负责人邓二平(开梦),分享了数字经济下,网络安全的新挑战、新机遇。他首先介绍了什么是数字经济,数字经济的重要特征,以及数字经济下的安全机遇。以此同时,数字经济也带来了安全的新挑战,他分别从数字身份、数据隐私、赋能效力和数据供应链进行了阐述,他表示,数字经济时代,对企业安全带来的不仅仅是冲击,还有对未来新的思考,大家应该协同发展,改变现有的工作模式,从而肩负起更大的责任。

中国工商银行科技信息部副总经理张艳分享了银行也面临信息安全挑战与应对策略,她认为银行业安全威胁正在持续升级,大家都面临着攻击手法不断升级,地下黑色产业链已成规模,通用软硬件和企业自身软件漏洞频繁被曝出,信息泄露事件层出不穷以及新技术和新业务带来的安全挑战。张艳分享了工商银行的10大应对措施,包括制定信息安全防御目标及策略、构建全面的信息安全防御体系、培养一支专业的信息安全队伍、采用一体化的安全监测和处置措施防范外部攻击等等。

顺丰集团信息安全与内控处负责人刘新凯介绍了顺丰大数据安全应用实践,他从基础安全设施监控、业务安全风险分析以及合规取证等方面进行了阐述,他认为团队能力是企业安全的关键因素,团队要对对业务系统及业务风险非常了解,拥有大数据技术应用的能力和数据的规划与管理能力;同时要具备较丰富的安全攻防经验、据分析、机器学习的能力、调查取证的能力和实战经验。

北京指掌易易科技有限公司副总裁丁俊⼀分享了《数字化时代如何避免移动端的数据泄露》,他认为移动办公是数字化转型必经之路,我们应该逐步来实现去中心化、智能化、个性化。但是企业信息安全边界正在消失,数据防泄露方面临更更普遍的挑战,而各种场景都有通用的DLP需求,但是DLP安全竖并不应当是最佳选择。随后他介绍了指掌易数字化移动安全工作空间的优势,以及能够带给企业的价值。

北汽集团信息技术部高级主管郭海龙分享了基于安全大数据的汽车云的实践经验,他认为随着云计算的发展,安全已经成为一种基础性服务,无论是公有云、私有云还是混合云,都需要安全服务。安全云具有快速提供服务、弹性扩容、成本低廉、可移植、资源池化、按需自助服务、可度量以及高可用等特点和优势。接下来他分享了安全云架构、安全大数据分析模型以及企业未来的规划。

高峰对话_副本

大会互动环节,普华永道合伙人李睿作为主持人,与百度的首席安全科学家韦韬、阿里巴巴商家业务的安全负责人邓二平、顺丰集团信息安全与内控处负责人刘新凯、京东安全响应与运营高级经理李学庆、中国工商银行科技信息部副总经理张艳、泰康集团数据信息中心助理总经理兼基础设施部总经理杜宇围绕「变化」、「边界」、「信任」展开讨论,并与观众进行了很好的互动,各种精彩观点激烈碰撞,赢得现场观众阵阵掌声。

共筑开放、合作、共赢的安全生态圈

第一届CISO赋能安全峰会的成功举办,不仅为更多的传统企业和互联网企业完成赋能,同时也让更多企业认识到构建互联网时代的安全战略的重要性。参会嘉宾和观众们纷纷表示对CISO发展中心的期许,大家希望平台未来能够链接更多的资源,构筑一个开放、合作、共赢的安全生态圈。