完美落幕 | EISS-2021企業(yè)信息安全峰會之深圳站 10月15日成功舉辦

2021年10月15日，由安世加主辦的“EISS-2021企業(yè)信息安全峰會之深圳站”在深圳四季酒店成功舉辦。峰會以“直面信息安全挑戰(zhàn)，創(chuàng)造最佳實踐案例”為主題，總共吸引了近300位來自各行業(yè)的企業(yè)安全負責(zé)人，安全專家出席。

本屆峰會是安世加在深圳連續(xù)舉辦的第三次峰會，通過數(shù)字化轉(zhuǎn)型與數(shù)智化安全、云原生安全應(yīng)用實踐、安全數(shù)字化建設(shè)分享等新穎和熱議的話題對當(dāng)下安全行業(yè)的發(fā)展進行了深入的分析與探討，旨在共同探索企業(yè)信息安全的未來與發(fā)展！

第二位演講嘉賓是來自Imperva的資深安全專家 劉沛旻，他的演講主題是《新法規(guī)下的數(shù)據(jù)庫安全思考》。

2021年國家連續(xù)通過了《數(shù)據(jù)安全法》和《個人信息保護法》兩個數(shù)據(jù)安全重磅法規(guī)，同時近年來數(shù)據(jù)庫環(huán)境也發(fā)生巨大的變化，物理環(huán)境在向私有云和DBasS發(fā)展、結(jié)構(gòu)化數(shù)據(jù)存儲在向非結(jié)構(gòu)化數(shù)據(jù)存儲發(fā)展，傳統(tǒng)的數(shù)據(jù)安全防護思路還能夠滿足新的環(huán)境和新的法規(guī)要求嗎？會面臨怎樣的新挑戰(zhàn)？Imperva將以實際項目經(jīng)驗出發(fā)，為您提供新環(huán)境、新法規(guī)下的，可落地的數(shù)據(jù)庫安全建設(shè)思路。

第三位演講嘉賓是來自火線安全的聯(lián)合創(chuàng)始人 曾垚，他的演講主題是《基于攻防社區(qū)的企業(yè)安全風(fēng)險管理》。

軟件安全漏洞頻發(fā)、資產(chǎn)管理存在未知盲點、業(yè)務(wù)邏輯漏洞發(fā)現(xiàn)難度高等諸多因素導(dǎo)致企業(yè)業(yè)務(wù)攻擊面不斷增大，漏洞發(fā)現(xiàn)成本持續(xù)增加，無法積累安全能力。火線安全將分享如何通過優(yōu)質(zhì)的社區(qū)資源，幫助企業(yè)打造可持續(xù)化的安全風(fēng)險發(fā)現(xiàn)能力，降低安全風(fēng)險發(fā)現(xiàn)成本。

第四位演講嘉賓是來自華潤網(wǎng)絡(luò)的安全總監(jiān) 李斌，他的演講主題是《云原生安全應(yīng)用實踐》。

本次演講主要介紹云原生環(huán)境面臨的安全風(fēng)險，以及在K8S集群環(huán)境下的容器鏡像安全、第三方組件安全、容器運行時安全檢測方案和應(yīng)用實踐。

第五位演講嘉賓是來自某研發(fā)技術(shù)型企業(yè)的企業(yè)數(shù)據(jù)安全負責(zé)人 Vesen，他的演講主題是《安全數(shù)字化建設(shè)分享》。

本次分享主要以什么是數(shù)字化、為什么要做數(shù)字化及怎么做安全數(shù)字化建設(shè)三個點展開。

第六位演講嘉賓是來自瑞數(shù)信息的華南區(qū)技術(shù)經(jīng)理 黃志敏，他的演講主題是《應(yīng)用數(shù)據(jù)安全主動防御》。

隨著業(yè)務(wù)數(shù)據(jù)不斷豐富和細化，應(yīng)用數(shù)據(jù)安全需求也越發(fā)突出，如極速增長的微服務(wù)、移動端APP等應(yīng)用。數(shù)據(jù)顯示，敏感數(shù)據(jù)泄露事件39%由web漏洞導(dǎo)致、61%的數(shù)據(jù)泄露涉及登錄、81%的數(shù)據(jù)泄露來自于外部以及85%的數(shù)據(jù)泄漏來自于人的因素。攻擊手法如常見的各類爬蟲攻擊、針對API的攻擊、利用自動化工具實現(xiàn)的撞庫攻擊等；《中華人民共和國數(shù)據(jù)安全法》（2021年9月1日施行）、《中華人民共和國個人信息保護法》（2021年11月1日施行）中提到了對外開放性數(shù)據(jù)的安全治理。瑞數(shù)為眾多一線客戶提供了應(yīng)用數(shù)據(jù)安全的主動防御，全渠道覆蓋數(shù)據(jù)安全防護需求，通過API防護產(chǎn)品、動態(tài)應(yīng)用防護產(chǎn)品來應(yīng)對日益嚴峻的應(yīng)用數(shù)據(jù)安全現(xiàn)狀。

上午主會場最后一個環(huán)節(jié)是由來自安信證券的CSO 李維春、深圳紅途創(chuàng)新的創(chuàng)始人 劉新凱、深圳廣電集團的網(wǎng)絡(luò)技術(shù)部副主任 孟峰和行業(yè)資深CSO 周智堅組成的CSO高峰論壇。

什么是安全的數(shù)字化？在數(shù)字化轉(zhuǎn)型背景下，企業(yè)又當(dāng)如何做好安全工作？四位嘉賓圍繞數(shù)字化和安全這兩個關(guān)鍵字，各抒己見，以自身豐富的行業(yè)實踐經(jīng)驗為與會者提供有力的借鑒。

下午分會場一的首位演講嘉賓是來自平安科技的安全運營資深經(jīng)理 王治綱，他的演講主題是《平安DevSecOps之“道”與“術(shù)”》。

本次分享主要分為三點：痛點與挑戰(zhàn)、“明道”與“煉術(shù)”、On the road。面對外部因素和內(nèi)部因素，平安如何運用平安DSO之道：一個中心、三大要素和平安之術(shù)：八種武器來實現(xiàn)DevSecOps的實踐落地。

下午分會場一的第二位演講嘉賓是來自Fortinet的南中國區(qū)技術(shù)顧問 Kenny Yu，他的演講主題是《SASE構(gòu)建安全驅(qū)動的全球互聯(lián)》。

隨著互聯(lián)網(wǎng)新時代的到來，傳統(tǒng)網(wǎng)絡(luò)架構(gòu)與聯(lián)網(wǎng)方式已經(jīng)發(fā)生了翻天覆地的變化。新背景下的防護概念SASE也應(yīng)運而生。然而SASE方案的主流供應(yīng)商數(shù)據(jù)中心多部署在海外，其完全的云交付方式，也需要更多時間才能被企業(yè)逐漸接受。如今，借助Fortinet，企業(yè)可以輕松定制構(gòu)建適合自己的SASE安全環(huán)境，解決傳統(tǒng)SASE海外云交付落地難與自主可控的問題，為新時代背景下的企業(yè)數(shù)據(jù)安全保駕護航。

下午分會場一的第三位演講嘉賓是來自Tenable的中國區(qū)總經(jīng)理 趙陽，他的演講主題是《確保AD域控安全應(yīng)對網(wǎng)絡(luò)高級威脅攻擊》。

放眼全球：90% 的《財富》1000 強企業(yè)都使用 Active Directory 作為其企業(yè)用戶身份驗證和授權(quán)的主要方法，而且大多數(shù)企業(yè)具有復(fù)雜的、不斷發(fā)展的Active Directory體系結(jié)構(gòu)。近期包括 SolarWinds數(shù)據(jù)泄露和Microsoft Exchange 黑客攻擊等事件，突顯了預(yù)防權(quán)限提升、橫向移動保障 Active Directory 和身份基礎(chǔ)設(shè)施的安全至關(guān)重要。成功的數(shù)據(jù)泄露往往都是從對 Active Directory 的攻擊以提升權(quán)限開始，改善 Active Directory 的安全是每個使用AD域控的企業(yè)需要關(guān)注的重要問題。

本次演講會分享全球頂尖AD安全企業(yè)的最佳實踐，如何在不需要安裝代理和高級域賬戶權(quán)限的情況下，通過自動化手段準確持續(xù)檢測AD弱點及實時威脅。

下午分會場一的第四位演講嘉賓是來自Gigamon的南中國區(qū)（含香港、澳門地區(qū)）銷售總監(jiān) 南武戎，他的演講主題是《構(gòu)建全新安全體系的基石-Gigamon安全平臺解決方案》。

面對層出不窮的安全事件，企業(yè)如何及時應(yīng)對與解決？本次演講主要內(nèi)容包含安全面臨的挑戰(zhàn)，技盟安全交付平臺的介紹、安全交付的場景及技盟方案所提供的優(yōu)勢所在。

下午分會場一的第五位演講嘉賓是來自騰訊的企業(yè)IT高級安全研究員 薛逸釩，他的演講主題是《高級對抗下藍軍攻擊技術(shù)思考》。

在當(dāng)前網(wǎng)絡(luò)環(huán)境下，隨著安全體系建設(shè)逐漸完善，WAF/HIDS/EDR等安全產(chǎn)品應(yīng)用逐漸廣泛，滲透測試的難度不斷加大，如何選擇一條合適的攻擊路線以及攻擊手法尤為重要。

本議題以外網(wǎng)攻擊者的角度介紹滲透測試中會遇到的挑戰(zhàn)以及如何去應(yīng)對高強度防御體系下的網(wǎng)絡(luò)環(huán)境攻防，如何以高效、穩(wěn)定的方式開展一次紅隊行動。

下午分會場一的第六位演講嘉賓是來自TCL的軟件安全部長 林舜大，他的演講主題是《AIOT智能家電網(wǎng)絡(luò)安全策略分享》。

TCL自2019年春季發(fā)布會發(fā)布AI×IoT戰(zhàn)略以來，以持續(xù)為全球用戶提供智慧健康生活相關(guān)的產(chǎn)品與服務(wù)為己任，聚焦AI×IoT應(yīng)用落地，帶來“懂得”消費者的創(chuàng)新產(chǎn)品和極致的智慧科技體驗，持續(xù)在AIoT的新賽道上一路馳騁，同時也專注于AI、IoT和云服務(wù)等安全的研發(fā)和應(yīng)用，為AI×IoT戰(zhàn)略落地提供有力的安全保障，總結(jié)了在AI×IoT戰(zhàn)略實施以來的一些安全策略和大家分享。

下午分會場一的第七位演講嘉賓是來自安信證券的安全團隊負責(zé)人 李家攀，他的演講主題是《攻防對抗形式下的安全運營實踐》。

近幾年，隨著國家攻防演練活動的開展，越來越多的企業(yè)也逐漸通過攻防演練這種方式來發(fā)現(xiàn)現(xiàn)有防御體系中的問題，不斷提升自身的安全能力。如何在攻防對抗新形勢下開展以攻促防工作？本次演講將會分享安信證券安全團隊相關(guān)實踐經(jīng)驗。

下午分會場最后一個環(huán)節(jié)是由來自德勤的風(fēng)險咨詢部總監(jiān) 葉天斌、AKULAKU的安全總監(jiān) 熊耀富、金山辦公軟件的安全負責(zé)人 劉振全、OnePlus的安全負責(zé)人 劉宗勛和某醫(yī)藥公司的安全專家 陳勇組成的小組討論：企業(yè)安全實踐方法論。

討論圍繞三個問題展開：如何看待企業(yè)面臨的數(shù)據(jù)勒素，是否有解決之道、企業(yè)里是否有自動化安全運營工具，主要應(yīng)用的場景、數(shù)安法、個保法出臺后，對企業(yè)信處安全工作有哪些影響。五位嘉賓以自身企業(yè)的視角，通過實踐經(jīng)驗的闡述，為與會者提供了有價值的借鑒經(jīng)驗。

下午分會場二的首位演講嘉賓是來自樂信集團的信息安全中心總監(jiān) 劉志誠，他的演講主題是《非結(jié)構(gòu)化數(shù)據(jù)安全管控實踐》。

本次分享包括：企業(yè)中非結(jié)構(gòu)化數(shù)據(jù)的存儲分布、非結(jié)構(gòu)化數(shù)據(jù)安全的重要性、非結(jié)構(gòu)化數(shù)據(jù)管理的中間件、非結(jié)構(gòu)化數(shù)據(jù)生命周期等內(nèi)容。

下午分會場二的第二位演講嘉賓是來自Palo Alto Networks的中國區(qū)新興市場技術(shù)總監(jiān) 金志勇，他的演講主題是《創(chuàng)新技術(shù)助力企業(yè)數(shù)字化轉(zhuǎn)型時期的安全落地》。

用戶的數(shù)字化轉(zhuǎn)型為企業(yè)發(fā)展提供動能，但隨之帶來的安全挑戰(zhàn)也日益凸顯。包括：零信任如何落地，傳統(tǒng)安全設(shè)備能否有效抵御未知威脅，公有云/私有云一體化中面臨挑戰(zhàn)，容器安全，如果在使用場景的不斷擴展情況下提升自動化運維的效率等。Palo Alto Networks提供獨特創(chuàng)新的功能和專業(yè)服務(wù)幫助企業(yè)實現(xiàn)安全零信任架構(gòu)的落地，使得您在網(wǎng)絡(luò)、端點、云的場景實現(xiàn)便捷的安全落地，保護您在任何位置的用戶，應(yīng)用和數(shù)據(jù),助力您業(yè)務(wù)的發(fā)展。

下午分會場二的第三位演講嘉賓是來自薔薇靈動的產(chǎn)品總監(jiān) 熊瑛，他的演講主題是《基于微隔離的數(shù)據(jù)中心零信任實踐》。

在全球抗擊疫情及企業(yè)數(shù)字化轉(zhuǎn)型的雙重驅(qū)動下，零信任理念得以加速推廣并落地。同時，數(shù)據(jù)中心內(nèi)部的東西向流量始終是安全管控的薄弱環(huán)節(jié)，本議題將介紹如何通過微隔離對數(shù)據(jù)中心東西向流量實現(xiàn)基于身份的訪問控制，從而實現(xiàn)數(shù)據(jù)中心零信任的落地。

下午分會場二的第四位演講嘉賓是來自貨拉拉的網(wǎng)絡(luò)安全負責(zé)人 王建強，他的演講主題是《貨運場景下的SDL實踐》。

本次分享主要介紹如何從 0 到 1 的落地 SDL，并在實際的場景下結(jié)合 SDL 整合安全能力，并持續(xù)的向左移，最終提高整體產(chǎn)研交付物的安全質(zhì)量。

下午分會場二的第五位演講嘉賓是來自平安銀行的應(yīng)用安全負責(zé)人 秦偉強，他的演講主題是《甲方安全建設(shè)之有效落地安全測試的探索實踐》。

隨著企業(yè)應(yīng)用安全體系建設(shè)的完善，在應(yīng)用生命周期的各階段都有一些機制保障安全活動的質(zhì)量，比較有效的提升了應(yīng)用的安全質(zhì)量，但是在安全活動的執(zhí)行過程中，存在非常多的“灰犀牛”問題，安全測試就是其中之一，在這里我們將交流分享，如何更有質(zhì)量的落地安全測試。

下午分會場二的第六位演講嘉賓是來自某集團的安全負責(zé)人 姜山，他的演講主題是《企業(yè)數(shù)據(jù)安全建設(shè)的思考》。

數(shù)據(jù)安全是近年來討論的熱點，相關(guān)法律法規(guī)紛紛發(fā)布，對于企業(yè)信息安全建設(shè)從業(yè)者來說這是挑戰(zhàn)也是機遇。數(shù)據(jù)安全和信息安全的關(guān)系、如何逐步開展數(shù)據(jù)安全工作以及如何滿足數(shù)據(jù)安全合規(guī)要求都是我們要思考的問題。

下午分會場二的第七位演講嘉賓是來自虎牙的安全架構(gòu)師 曹政，他的演講主題是《數(shù)字水印落地和實踐》。

隨著數(shù)據(jù)安全意識的提高，現(xiàn)在企業(yè)內(nèi)部很多關(guān)鍵系統(tǒng)都加上了水印，對數(shù)據(jù)外泄起到了初步的震懾作用，但是在面對另有所圖的 "企業(yè)內(nèi)鬼" 來說，傳統(tǒng)的水印，往往存在易PS去除，易調(diào)試去除等問題。我們將分享如何將攻防思維帶入數(shù)字水印技術(shù)，來應(yīng)對各種的繞過挑戰(zhàn)。

下午分會場二的第八位演講嘉賓是來自某金融機構(gòu)的安全專家 劉順，他的演講主題是《基于研發(fā)生命周期的個人信息保護實踐》。

數(shù)據(jù)安全法和個人信息保護法的相繼頒布，與網(wǎng)絡(luò)安全法形成國內(nèi)網(wǎng)絡(luò)安全的總體法律框架，個人信息保護近期可謂是“存在感十足”，本議題將基于整個研發(fā)生命周期，介紹如何把個人信息保護融入研發(fā)安全管控（SDLC）體系，從而確保個人信息的合規(guī)與安全。

下午分會場二的最后一位演講嘉賓是來自微眾銀行的數(shù)據(jù)安全專家 向非能，他的演講主題是《安全基礎(chǔ)工具建設(shè)思路與實戰(zhàn)》。

本次演講主要講解微眾銀行面臨的安全現(xiàn)狀，安全基礎(chǔ)工具需要解決哪些問題以及建設(shè)的思路，另外分享微眾銀行三個安全基礎(chǔ)工具解決的問題、成果以及方案。

注：經(jīng)過授權(quán)的演講嘉賓ppt會陸續(xù)通過公眾號（asjeiss）發(fā)送，敬請繼續(xù)關(guān)注！