完美落幕 | EISS-2020企業(yè)信息安全峰會之上海站 11月27日成功舉辦

責任編輯：yang |來源：企業(yè)網(wǎng)D1Net 2020-12-04 15:59:05 本文摘自：EISS-2020企業(yè)信息安全峰會之上海站

峰會介紹

2020年11月27日，由安世加（原安全+）主辦的“EISS-2020企業(yè)信息安全峰會之上海站”在上海銀星皇冠假日酒店成功舉辦。峰會以”直面信息安全挑戰(zhàn)，創(chuàng)造最佳實踐案例“為主題，總共吸引了近300位來自各行業(yè)的企業(yè)安全負責人，安全專家出席。

本屆峰會是安世加在上海連續(xù)舉辦的第五次會議，大會通過網(wǎng)絡空間的安全治理、信息安全管理助推企業(yè)信息化建設、企業(yè)安全落地痛點實踐等諸多行業(yè)的熱點議題，以及三場重量級、多角度的小組討論對安全行業(yè)的現(xiàn)狀及發(fā)展趨勢進行了深入的分析與探討。

本次峰會盛邀(ISC)²上海分會、OWASP中國為協(xié)辦方、共有Fortinet、聯(lián)軟科技、Imperva、Palo Alto Networks、新思科技、FireEye、CyberArk、思睿嘉得、Tenable、飛馳云聯(lián)、Westcon、NETSOUT等12家企業(yè)贊助，并獲得多達44家單位和27家安全媒體的鼎力支持。

上午主會場

(ISC)²上海分會主席施勇先生為本次峰會作了精彩的開幕致辭，施勇先生表示，在全球疫情嚴峻的這一年，每一位安全從業(yè)人員依舊戮力前行，不忘初心，為行業(yè)發(fā)展貢獻出自己的力量。而EISS-2020企業(yè)信息安全峰會之上海站更是一次行業(yè)的年度總結，希望其繼續(xù)作為信息安全行業(yè)重要的交流與學習平臺，為信安未來開拓出新的思路！

第一講

網(wǎng)絡空間的安全治理

此次峰會的首位演講嘉賓是來自國家計算機網(wǎng)絡應急技術處理協(xié)調中心上海分中心的運行部主任戴沁蕓，她的演講主題是《網(wǎng)絡空間的安全治理》。

無論是關乎城市治理或是國際安危，網(wǎng)絡安全態(tài)勢的重要性正在不斷的升溫，而國際格局也因著信息戰(zhàn)的出現(xiàn)變得更加錯綜復雜，戴沁蕓主任從國家對信息安全的政策治理開始，到信息安全所引發(fā)的大國之間的博弈，通過具體的案例為參會者展示了網(wǎng)絡安全所帶來的全新格局與視野，同時也為本次峰會的正式開啟拉開了序幕。

第二講

網(wǎng)絡+安全雙輪驅動，讓企業(yè)應對新形勢挑戰(zhàn)

第二位演講嘉賓是來自Fortinet中國的華東區(qū)技術經(jīng)理卜嬋敏，她的演講主題是《網(wǎng)絡+安全雙輪驅動，讓企業(yè)應對新形勢挑戰(zhàn)》。

全球疫情的流行使企業(yè)在遠程辦公安全乃至未來五年業(yè)務評估風險方面均產(chǎn)生了影響與變化。SASE（Secure Access Service Edge）安全訪問服務邊緣的理念正在全速被接受與認可。在這個過程中，安全技術、流程與人如何全面整合是本次演講我們要探討的話題。

第三講

零信任實踐：從遠程辦公開始

——疫情再爆發(fā)，我們可以做的更好

第三位演講嘉賓是來自聯(lián)軟科技的高級產(chǎn)品經(jīng)理劉現(xiàn)磊。他分享的主題是《零信任實踐：從遠程辦公開始——疫情再爆發(fā)，我們可以做的更好》。

年初，突如其來的疫情不僅嚴重影響了人們生活，為了復工各企業(yè)IT部門拼盡全力，在后疫情時代，員工深度體驗過遠程辦公后，也使得遠程辦公常態(tài)化被提上日程，寒冬將至，再加上國外疫情再次爆發(fā)，這一次我們是否可以做的更好？

聯(lián)軟科技今年在疫情期間跟諸多企業(yè)在保障遠程辦公的接入安全、數(shù)據(jù)安全等方面進行了多次實踐，跟企業(yè)一起很好的應對疫情，今天聯(lián)軟科技將從零信任的發(fā)展現(xiàn)狀，BYOD/COPE遠程接入辦公、多云訪問等典型場景，分享基于零信任安全架構的遠程辦公安全實踐。

第四講

信息安全管理助推企業(yè)信息化建設

第四位演講嘉賓是來自某A+H上市公司的信息安全負責人孫琦。他分享的主題是《信息安全管理助推企業(yè)信息化建設》。

從企業(yè)信息化到智能化，絕大多數(shù)企業(yè)正在進行數(shù)字化轉型。大數(shù)據(jù)、AI、數(shù)據(jù)中臺等等名詞早已耳熟能詳，信息安全管理也已被大多數(shù)企業(yè)作所接受。我們將通過直面挑戰(zhàn)、確立目標等環(huán)節(jié)分享如何通過安全管理更好的助推企業(yè)數(shù)字化轉型。

第五講

現(xiàn)代數(shù)據(jù)庫環(huán)境下的安全思考

第五位演講嘉賓是來自Imperva的資深技術專家劉沛旻。他分享的主題是《現(xiàn)代數(shù)據(jù)庫環(huán)境下的安全思考》。

當今的數(shù)據(jù)庫環(huán)境在發(fā)生巨大的變化，物理環(huán)境在向私有云和DBasS發(fā)展、結構化數(shù)據(jù)存儲在向非結構化數(shù)據(jù)存儲發(fā)展，傳統(tǒng)的數(shù)據(jù)庫安全解決方案能滿足這樣的變化嗎？會面臨怎樣的新挑戰(zhàn)？行業(yè)里已經(jīng)有安全廠商提出了使用最時髦的中臺概念來建設數(shù)據(jù)安全中臺，這樣可行嗎？Imperva將以實際項目經(jīng)驗出發(fā)，為您提供現(xiàn)代數(shù)據(jù)庫環(huán)境下可落地的安全思路。

小組討論：云安全

小組討論一直是EISS系列峰會倍受關注的熱點之一，此次峰會上午主會場盛邀CSA上海分會的聯(lián)席主席沈勇、攜程的高級安全總監(jiān) 凌云、愛奇藝的高級安全總監(jiān) 盧明樊以及華住集團的首席安全架構師張維垚共同就《云安全》這個議題展開了熱烈的討論。

四位嘉賓各自分享的近一年來在云安全建設方面的經(jīng)驗心得，同時對未來云安全的發(fā)展變化做了各自獨到見解，通過多角度，有深度的討論讓所有參會者耳目一新。

頒獎

安世加2020年度優(yōu)秀作者獎

上午主會場最后一個環(huán)節(jié)是EISS自創(chuàng)辦以來首次設立的頒獎環(huán)節(jié)，安世加創(chuàng)辦的EISS系列峰會不僅為安全行業(yè)提供了優(yōu)質的線下直面交流平臺，同時，其運營的同名公眾號也為安全從業(yè)者開辟了更為廣闊的學習交流渠道。無論是峰會，沙龍或安全行業(yè)的動態(tài)與招聘信息，又或者是技術，管理的實踐分享，安世加都致力于為廣大的信安工作者提供更多的咨詢與學習交流的機會。

首屆優(yōu)秀作者獎授予了兩位年輕的后起之秀，來自某甲方的安全負責人武天旭及來自360政企安全高級攻防部門的高級滲透工程師謝兆國。安世加希望通過本次頒獎，起到拋磚引玉的作用，愿更多安全從業(yè)者來這個平臺分享經(jīng)驗心得，為行業(yè)帶來更多的新思路。

下午主會場一：企業(yè)安全應用

第一講：企業(yè)安全落地痛點實踐

下午分會場一的首位演講嘉賓是來自某鋼鐵電商企業(yè)的CISO 黃帥，他分享的主題是《企業(yè)安全落地痛點實踐》。

他分享的要點包括企業(yè)（尤其是中小企業(yè)，哪怕是大集團企業(yè)）安全落地工作中碰到的痛點？通過哪些方法合理解決或者平衡消除痛點？從2-3個工作實踐中講解碰到的痛點及解決痛點過程。

第二講：從疫情防控看信息安全建設

下午分會場一的第二位演講嘉賓是來自Palo Alto Networks的大客戶部技術總監(jiān) 李臻，他分享的主題是《從疫情防控看信息安全建設》。

全球在新冠病毒疫情之下都面臨嚴峻挑戰(zhàn)，如何快速切斷傳播途徑、在短期內完成千萬人的核酸篩查？防止醫(yī)療系統(tǒng)癱瘓？和防控自然界的病毒一樣，在數(shù)字世界里也必須及時、有效地抑制各種已知和未知威脅。信息安全建設和疫情防控可以互相借鑒。

第三講：如何在企業(yè)數(shù)字化轉型構建成功的身份管理平臺？

下午分會場一的第三位演講嘉賓是來自CyberArk的中國區(qū)總監(jiān) 熊釗，他分享的主題是《如何在企業(yè)數(shù)字化轉型構建成功的身份管理平臺？》。

在日益快速發(fā)展的企業(yè)數(shù)字化轉型過程中，越來越多的數(shù)據(jù)泄露現(xiàn)象暴露了企業(yè)諸多安全方面的隱患并帶來了警醒。業(yè)務高速和數(shù)字化轉型固然重要，但為這些轉型保駕護航的特權訪問管理更為重要。CyberArk公司將從以下幾個方面帶來他們的觀點：

1、新常態(tài)下的安全趨勢

2、特權訪問管理可以做什么？

3、如何幫助企業(yè)在數(shù)字化轉型中構建一套靈活、高效、穩(wěn)定的特權訪問管理平臺。

第四講：電網(wǎng)數(shù)字化轉型下的網(wǎng)絡安全思考

下午分會場一的第四位演講嘉賓是來自全球能源互聯(lián)網(wǎng)研究院有限公司信息通訊研究所的信息通信研究所安全技術總監(jiān)邵志鵬，他分享的主題是《電網(wǎng)數(shù)字化轉型下的網(wǎng)絡安全思考》。

利用信息通信技術優(yōu)化提升傳統(tǒng)電網(wǎng)，推動電網(wǎng)智能化和企業(yè)數(shù)字化轉型，是國家電網(wǎng)公司建設具有中國特色國際領先的能源互聯(lián)網(wǎng)企業(yè)戰(zhàn)略目標的重要舉措，而網(wǎng)絡安全工作則是數(shù)字化轉型的基礎保障。報告就如何抵御伴隨數(shù)字化轉型而來的網(wǎng)絡安全威脅，進一步發(fā)展公司網(wǎng)絡安全體系，提出了相關思路和觀點。

第五講：合規(guī)視角下的信息安全審計

下午分會場一的第五位演講嘉賓是來自某第三方支付公司的信息安全專家陳圣，他分享的主題是《合規(guī)視角下的信息安全審計》。

本次分享分為三部分。首先從信息安全審計的概況出發(fā)，解釋了什么是信息安全審計，為何要做信息安全審計，它的目標和內容又是什么；其次具體闡述了外部合規(guī)監(jiān)管動態(tài)及審計的實施，包括國內國外兩個層面；最后分享了合規(guī)視角下信息安全審計的風險應對。

第六講：淺談大中型軟件企業(yè)安全建設

下午分會場一的第六位演講嘉賓是來自科大訊飛（Owasp中國安徽區(qū)域負責人）的安全架構師錢君生，他分享的主題是《淺談大中型軟件企業(yè)安全建設》。

在業(yè)界談論互聯(lián)網(wǎng)、金融或運營商安全建設的比較多，談論大中型軟件集成交付為主的企業(yè)安全建設比較少，實際上這類的企業(yè)當下的IT企業(yè)中占有很大的比重，比如東軟、恒生電子、中興、華為、亞信等。

就企業(yè)安全建設來說，它們與互聯(lián)網(wǎng)企業(yè)、金融企業(yè)存在著很大的差異性，本次分享將結合大中型軟件企業(yè)安全建設的過程，討論相關實踐細節(jié)。

小組討論：疫情以后的安全風險和趨勢

下午分會場一的最后一個環(huán)節(jié)是由來自亞薩合萊的亞太區(qū)數(shù)據(jù)合規(guī)官蔡俊磊、某知名零售集團的CISO of APAC Greta Fan、以及某零售行業(yè)跨國公司的亞太信息安全官馬一烈所組成的小組討論，主題為《疫情以后的安全風險和趨勢》。值得一提的是，同是來自外企的三位嘉賓各抒己見，通過自身企業(yè)獨特的背景為參會者帶來不一樣的視野。

下午主會場二：信息安全新技術

第一講：后疫情時代券商數(shù)據(jù)安全體系的實踐與展望

下午分會場二的首位演講嘉賓是來自中銀國際證券的科技合規(guī)安全負責人蔣瓊、她分享的主題是《后疫情時代券商數(shù)據(jù)安全體系的實踐與展望》。

分享首先從政策及法規(guī)層面著手，簡述影響證券行業(yè)信息安全的多類要素；通過實踐的分析展示了方案落地的具體過程，在分享的最后也為行業(yè)未來的發(fā)展提出了更多有價值，同時值得思考的問題。

第二講：現(xiàn)代應用程序開發(fā)安全

下午分會場二的第二位演講嘉賓是來自新思科技的高級工程師（軟件質量與安全部門）楊國梁、他分享的主題是《現(xiàn)代應用程序開發(fā)安全》。

DevSecOps已經(jīng)在現(xiàn)代應用程序開發(fā)的過程中體現(xiàn)出本身的價值，然而大多數(shù)的安全團隊還是缺乏對其實踐方式的了解。新思科技聯(lián)合ESG對北美地區(qū)各類組織中參與應用安全工具和流程的378名專業(yè)人員進行了調研，盤點了當前應用程序開發(fā)安全的現(xiàn)狀。本次演講我們會分享調研報告以及新思科技在DevSecOps的最佳實踐。

第三講：利用安全驗證提高防護能力

下午分會場二的第三位演講嘉賓是來自FireEye的大中華區(qū)顧問尹思凡、他分享的主題是《利用安全驗證提高防護能力》。

隨著信息安全在企業(yè)中扮演著越來越重要的角色，企業(yè)需要重新思考：如何正確量化地評估自身的安全防護能力，如何發(fā)現(xiàn)防護短板并優(yōu)化資源配置，如何確保自身具備防護最新攻擊技術的能力。FireEye提出針對企業(yè)安全能力的量化評估方案，讓企業(yè)對在安全防護中真正做到知己知彼，幫助企業(yè)提高信息安全的成熟度。

第四講：安全事件管理自動化路上的坑與梯

下午分會場二的第四位演講嘉賓是來自CSA上海分會的聯(lián)席主席沈勇、他分享的主題是《安全事件管理自動化路上的坑與梯》。

沈勇先生戲稱此次分享主要和聽眾匯報他在安全事件管理的發(fā)現(xiàn)，分析，遏制，根除，恢復，回顧各個階段力求自動化時，遇到的挑戰(zhàn)和應對方案，一些經(jīng)驗，一些教訓。在結構方面，內容主要按上述6個階段的順序進行匯報。

第五講：從數(shù)據(jù)安全角度出發(fā)重新審視密碼學

下午分會場二的第五位演講嘉賓是來自阿里巴巴本地生活的資深安全架構師 IT老兵、他分享的主題是《從數(shù)據(jù)安全角度出發(fā)重新審視密碼學》。

他分享了目前國際內外數(shù)據(jù)安全相關應用密碼學的最新成果、應用領域、以及當前面臨的安全挑戰(zhàn)與應對策略，帶領大家以密碼學算法的視角重新認識數(shù)據(jù)安全。

第六講：基于紅藍對抗全景防護體系--藍隊防守

下午分會場二的第六位演講嘉賓是來自WIS-HUNTER-AI網(wǎng)絡病毒獵手（殺手锏攻防實驗室）的資深安全架構師賴楊健、他分享的主題是《基于紅藍對抗全景防護體系--藍隊防守》。

紅藍對抗的價值在于挖掘滲透測試不關注的漏洞或者滲透測試無法覆蓋的點, 進攻是最好防守,紅藍對抗，是傳統(tǒng)安全建設工作的外延，旨在通過實戰(zhàn)來強化組織的整體安全性。

檢驗整體安全態(tài)勢和防護水平

紅藍對抗可以檢驗企業(yè)安全防護體系：防護阻斷、檢測感知、響應溯源的能力，同時暴露防御脆弱點和業(yè)務風險盲點，從而針對性的優(yōu)化和提升防護系統(tǒng)和消除業(yè)務風險，完成安全閉環(huán)。

梳理風險盲點和攻防場景

紅隊可以梳理系統(tǒng)每個攻擊面梳理可能的攻擊路徑，將攻擊路徑根據(jù)殺傷鏈的各個環(huán)節(jié)，分離出關鍵場景。可以為防御建設提供有價值的優(yōu)先級和技術建議。

強化安全意識

一次攻防演練往往能讓各方更加直觀的感受到攻擊現(xiàn)場，強化業(yè)務同事、甚至防守方安全人員的安全意識。

總結來說就是人和人協(xié)同，人和機器協(xié)同。

小組討論：企業(yè)安全實踐方法論

下午分會場二最后一個環(huán)節(jié)由來自Fortinet中國的華東區(qū)技術經(jīng)理卜嬋敏、鍋圈食匯的安全負責人孤獨雪狼、賽可出行的安全運營經(jīng)理田國華以及來自得物的安全專家王忠惠組成的小組討論，討論的主題是《企業(yè)安全實踐方法論》。

企業(yè)安全實踐始終是每個安全從業(yè)者最為關注的話題之一，四位嘉賓從甲乙雙方不同的視角出發(fā)，以自身行業(yè)的特質為前提，分別分享了各自對于企業(yè)安全建設的獨特觀點，讓所有與會者收獲頗豐。

精彩瞬間

最后，感謝所有支持本屆EISS企業(yè)信息安全峰會的贊助商、演講嘉賓、單位、媒體以及與會者。在此特殊的時期，仍然能夠以最大的熱情參與本次峰會，即使在最后的小組討論環(huán)節(jié)，依舊座無虛席，正因為有你們的支持，EISS企業(yè)信息安全峰會才能常辦常新，成為安全行業(yè)交流與學習的圣地！2021年，安世加將繼續(xù)秉承一絲不茍信安精神，探索和開創(chuàng)更多的形式，致力于為行業(yè)提供更為優(yōu)質的平臺！2021，坐標北京，與您相約，我們不見不散！