2021年5月14日，由安世加主辦的“EISS-2021企業信息安全峰會之北京站”在北京諾金酒店成功舉辦。峰會以”直面信息安全挑戰，創造最佳實踐案例“為主題，總共吸引了近500位來自各行業的企業安全負責人，安全專家出席。

本屆峰會是安世加在北京連續舉辦的第四次峰會，大會由原先下午兩個分會場增加至四個，分會場主題分別調整為安全運營專場、數據安全專場、零信任專場、開發安全專場，每個分會場誠邀資深安全負責人擔任出品人，議程緊扣行業熱點話題，選題方向更加明確，為與會者帶來更多具有實踐與借鑒意義的干貨分享。

本次峰會盛邀數世咨詢作為協辦方、共有HCL、Synopsys、IBM、奇安信、KEYSIGHT、Palo Alto Networks、FireEye、Tenable、白山云科技、懸鏡、派拉軟件、Fortinet、Forcepoint、思睿嘉得、卓朗科技、飛馳云聯、火線、Westcon、字節跳動及完美世界，共20家企業贊助，并獲得多達48家單位和28家安全媒體的鼎力支持。

主會場

本次峰會的首位演講嘉賓是來自數世咨詢的創始人 李少鵬，他的演講主題是《網絡安全技術與產業趨勢》。

分享的主要內容包括網絡安全產業的過去，現在與未來：1.網安產業演進路徑、2.內涵本質與外延、3.市場規模企業格局、4.技術賽道分類、5.投融資概況、6. 趨勢發展。

第二位演講嘉賓是來自HCL的大中華區高級安全顧問 盧啟良，他的演講主題是《基于機器學習的靜態代碼掃描結果誤報調優實現》。

靜態應用安全測試 (SAST) 被認為是一種識別程序中潛在安全缺陷的有效方法。但通常SAST會產生成百甚至上千的掃描結果，并伴隨大量的誤報。本次演講議題將分享AppScan實現的一種基于概率統計和機器學習的誤報調優新方法—智能結果分析（IFA）。

第三位演講嘉賓是來自Synopsys的軟件安全與質量部門高級安全架構師 楊國梁，他的演講主題是《從安全意識構建到應用安全落地》。

隨著軟件行業越來越成熟，DevSecOps的優點和價值顯而易見，然而對于高管和開發人員來說安全卻并不是理所應當的。安全人員依然需要面臨很現實的問題，就是如何提高內部的安全意識并配合開展安全活動。我們在本次分享中，就想站在安全人員的視角，探討一下如何在內部構建安全意識，有哪些手段能幫助順利推動應用安全的落地，促進DevSecOps。

第四位演講嘉賓是來自小米集團的信息安全與隱私委員會秘書長、IAPP知識社區聯合主席 宋文寬，他的演講主題是《AIoT安全從創新理念到實踐落地》。

演講的主要內容包括：

什么是安全？

對于用戶來說，公開透明、不侵犯隱私的安全感；

對于業務來說，簡單可執行的成熟方案；

對于監管來說，可監督的標準規范和權威認證。

那么如何讓一款產品同時符合用戶、業務以及監管三個維度的安全要求？答案就是默認安全。但是有人的地方就有漏洞，完美的默認安全是無法實現的，為了接近這個目標，就要盡可能地無限縮小攻擊面。

第五位演講嘉賓是來自IBM的大中華區安全事業部資深顧問 張冠群，他的演講主題是《混合云時代的威脅管理》。

混合云是近年來云計算的主要模式和發展方向，這對企業的安全威脅管理帶來很多新的挑戰，需要有一個統一而又開放的平臺來打通威脅管理的數據和流程，通過人工智能和自動化提高響應效率以滿足云時代快速迭代的要求，并滿足隱私數據泄露等相關的合規要求。

小組討論一直是EISS系列峰會倍受關注的熱點之一，本次北京站主會場特設CISO高峰圓桌論壇，誠邀原完美世界的資深安全總監 何藝、獵豹移動的安全負責人 林鵬、理想汽車的安全負責人 徐超、華住集團的信息安全總監 張維垚以及網商銀行的信息安全負責人 張歐共同就當前安全行業所面臨的形式及挑戰進行了熱烈的討論。

在何藝的主持下，五位嘉賓各抒己見，在分享實踐經驗的同時，也提出各自獨到的見解，通過多角度，有深度的思想碰撞讓所有參會者收獲頗多。

上午主會場最后一個環節是安世加優秀作者頒獎，安世加創辦的EISS系列峰會不僅為安全行業提供了優質的線下直面交流的平臺，同時，其運營的同名公眾號也為安全從業者開辟了更為廣闊的學習交流渠道。無論是峰會，沙龍或安全行業的動態與招聘信息，又或者是技術，管理的實踐分享，安世加都致力于為廣大的信安工作者提供更多的咨詢與學習交流的機會。

2020年上海站，優秀作者曾授予兩位年輕的安全專家，本屆峰會上，優秀作者獎頒給了來自某上市公司的信息安全負責人 肖寒，他撰寫的系列文章《企業信息安全建設實踐之路》是對其工作實踐中的精辟總結與提煉，在分享的同時也為業內提供了有力的借鑒。此外，感謝陌陌安全為本屆優秀作者獨家贊助的千元大獎。

分會場一：安全運營

出品人：林鵬 / 安全負責人 / 獵豹移動

分會場一的首位演講嘉賓是來自金融街的信息安全負責人 唐凱，他的演講主題是《集團多業態安全能力建設實踐》。

集團化多業態是目前許多公司業務發展的模式，在這種業務模式下，同一集團中存在業態差異大，發展水平不一，監管要求各異的多類型業務公司。對于總部信息安全管理人員來說，需要結合公司管理戰略和業務發展的實際情況，對安全管理體系進行對應適配，對于自身組織的信息安全能力進行有選擇的加強。這里，作者結合自己多年實踐經驗，總結了一套集團化多業態安全能力建設的方法。

分會場一的第二位演講嘉賓是來自是德科技的應用工程師 李偉東，他的演講主題是《如何度量分布式混合網絡的應用和安全能力？》。

在云計算越來越成熟的今天，已經有越來越多的企業打算選擇云服務，而云服務提供商最關注的就是網絡安全問題。本次將會介紹是德科技全新推出的業界第一個云原生，可以靈活擴展的CyPerf測試方案，幫助客戶對混合云架構進行安全性驗證。

分會場一的第三位演講嘉賓是來自Tenable中國區的經理 趙陽，他的演講主題是《確保AD域控安全應對網絡高級威脅攻擊》。

放眼全球：90% 的《財富》1000 強企業都使用 Active Directory 作為其企業用戶身份驗證和授權的主要方法，而且大多數企業具有復雜的、不斷發展的Active Directory體系結構。近期包括 SolarWinds數據泄露和Microsoft Exchange 黑客攻擊等事件，突顯了預防權限提升、橫向移動保障 Active Directory 和身份基礎設施的安全至關重要。成功的數據泄露往往都是從對 Active Directory 的攻擊以提升權限開始，改善 Active Directory 的安全是每個使用AD域控的企業需要關注的重要問題。

本次演講會分享全球頂尖AD安全企業的最佳實踐，如何在不需要安裝代理和高級域賬戶權限的情況下，通過自動化手段準確持續檢測AD弱點及實時威脅。

分會場一的第四位演講嘉賓是來自白山云科技的安全解決方案專家 張亞博，他的演講主題是《云原生安全助力“網絡+安全”同步轉型》。

目前國內外所有企業都處在數字化轉型浪潮下，數字化轉型為業務帶來價值的同時，也為企業帶來了不可忽視的信息安全風險。云原生安全幫助企業基于SaaS服務實現網絡和安全的同步轉型，對各個位置的用戶、應用、數據提供一致的保護，為企業數字化轉型保駕護航。

分會場一的第五位演講嘉賓是來自某支付公司的信息安全負責人 邢驍，他的演講主題是《R2-D2:不止是SOAR，數字員工加速自動化安全運營》。

每一位星戰迷都渴望擁有自己的R2-D2，每一位甲方安全運營人員都需要一個得力的機器人自動化助手。本次議題內容主要包括：1.數字員工而不是工作流平臺，SOAR之外我們還可以做的更多。2.如何定制標準化Playbook語言并通過Playbook推動運營。3.如何擁有屬于你自己的R2-D2。

分會場一的第六位演講嘉賓是來自騰訊的安全架構師 江虎，他的演講主題是《云環境安全檢測挑戰與機會》。

業務上云已經是國內外諸多互聯網公司的共識和趨勢，云環境業務架構的多樣性，以及帶來的變化，讓傳統典型的入侵檢測產品變得笨重或難以適應，必然帶來安全產品的改進，但也因為云環境的特殊架構，也給安全工作帶來一些新的機遇。

分會場一的第七位演講嘉賓是來自網商銀行的應用安全工程師 龍孝武，他的演講主題是《甲方RASP安全運營實戰》。

他演講的主要內容為如何從0到1完成RASP落地，且在日常安全運營中，如何保證業務更穩定，運營更高效，應急更及時。

分會場一的第八位演講嘉賓是來自貝殼找房的安全管理負責人 李瑋，她的演講主題是《信息安全管理體系實踐》。

她演講的主要內容包括建設信息安全管理體系的目的是什么？公司適合什么樣的體系？這其中哪些是核心關鍵點？如何做好這些？

分會場一最后一個環節是由來自獵豹移動的安全負責人 林鵬、長城汽車的安全負責人 姜明元、某互聯網公司的安全負責人 王真、騰訊的安全架構師 江虎、北京掌數信息的聯合創始人 黃樂共同組成的小組討論：企業安全實踐方法論。

討論以問答方式進行，在林鵬的主持下，五位嘉賓結合自身行業的特質，分享了多年在安全運營方面的實踐經驗。

分會場二：數據安全與隱私保護

出品人：張歐 / 信息安全負責人 / 網商銀行

出品人：劉琦 / 數據安全負責人 / 網商銀行

分會場二的第一位演講嘉賓是來自網商銀行的數據安全負責人 劉琦，同時也是本會場的出品人之一，他的演講主題是《數據安全與隱私保護建設實踐》。

大數據時代，數據與隱私安全的監管環境趨嚴、變化加速。滿足監管條例與行業標準的前提下，如何平衡安全、體驗與效率，是每個企業/安全團隊均在探索的問題。在常見數據安全能力（分類分級，風險審計）的基礎上，如何進階到下一步，進行風險實時攔截，達到數據的默認安全。

分會場二的第二位演講嘉賓是來自FireEye的大中華區技術顧問 鄭聿銘，他的演講主題是《從EDR到XDR，構建主動防御體系》。

隨著互聯網的快速發展，新一代網絡攻擊技術變得更加隱蔽、狡猾和復雜，傳統安全方案越來越難以應對。EDR一直是終端安全領域的熱門技術，而 XDR 的新理念也越來越多的被提及。2020 年， Gartner 將 XDR 命名為第一大安全趨勢，并表示 XDR 解決方案將 “ 提高檢測準確性，并提高安全運營效率和生產率。XDR 在 EDR 的基礎之上，提供了一種攻擊的檢測模型，橫跨各種端點、網絡、 SaaS 應用、云基礎設施等各種可以處理的網絡資源，為所有的網絡層和應用程序堆踐提供可見性，同時具備高級檢測、自動關聯和機器學習能力，可以快速發現事件，響應并阻止現有威脅和緊急威脅，從而幫助企業有效構建主動防御體系。

分會場二的第三位演講嘉賓是來自Forcepoint中國運營中心的技術總監 陳凡，他的演講主題是《“數據為核人為本”--新一代動態數據威脅防護》。

現在的數據比以往任何時候都要多，如何提取有價值的信息、保護組織的核心數據資產是影響企業生存發展的重要因素之一，不僅需要良好的數據安全產品幫助企業保護核心數據提升數據保護效率，也需要制定數據安全管理制度。以人防加技防的方式全面的治理企業核心數據。

分會場二的第四位演講嘉賓是來自平安銀行的信息安全架構師 何琰，他的演講主題是《敏感信息自動發現實踐與應用》。

近年來個人敏感信息保護被提升到前所未有的高度。對作為保護對象的敏感信息進行準確的識別與分級分類，是開展有效安全防護的前提。本主題將圍繞在復雜的金融系統環境下，高效準確的進行敏感信息自動發現與分級分類，及開展敏感信息保護實踐與應用進行分享與探討。

分會場二的第五位演講嘉賓是來自微眾銀行的數據安全負責人 殷躍，他的演講主題是《互聯網銀行數據安全體系建設》。

隨著傳統金融業務的互聯網化，數據的存儲及使用安全性受到了越來越嚴峻的挑戰，任何一次數據泄露、篡改、丟失都可能造成非常嚴重的影響。如何在保障業務發展和研發效率的情況下，守住數據安全底線，需要持續的思考和改進。

分會場二的第六位演講嘉賓是來自自如的信息安全經理 宋良杰，他的演講主題是《基于業務場景下的數據安全保護建設實踐》。

他的演講內容為1.業務場景下的數據安全痛點和風險、 2.建設思路 、3.智能租住生活場景下的數據安全保護實踐、4.建設關鍵點和總結 。

分會場二的第七位演講嘉賓是來自阿里巴巴的安全專家 黃智聰，他的演講主題是《基于機器學習的密碼學誤用的檢測》。

相當一部分數據安全問題來自于密碼學的錯誤使用，例如過時的加解密算法、不安全的加解密模式等。本分享將從Java密碼學API（JCA）的密碼學誤用問題出發，介紹現有的各類檢測器的優缺點，并且分享阿里安全最新設計的基于機器學習模型的檢測系統。

分會場二的最后一位演講嘉賓是來自 vivo千鏡安全實驗室的安全研究方向負責人 張棟，他的演講主題是《安全與隱私設計創造可信任的產品和服務》。

身處移動互聯網時代，國家、社會、企業、個人面臨的數據安全和隱私保護風險無處不在、防不勝防。

一個系統在數據安全方面的能力應該主要通過系統性、前瞻性的設計來保障，而非發生安全事件后修補。安全與隱私設計（security and privacy by design，SPbD）的目標是在產品產生過程的最上游階段將安全與隱私的能力融入其中，從源頭增強安全和隱私保護能力，從而緩解企業整體的安全風險。

筆者在進行了SPbD的概念、框架分析以及移動生態威脅建模后提出移動生態信任環模型，并通過對業界主要的產品和服務進行分析、企業實際業務實戰，驗證了該模型的有效性。

分會場三：零信任

出品人：何藝 / 資深安全總監 / 原完美世界

分會場三的第一位演講嘉賓是來自原完美世界的資深安全總監 何藝，同時也是本會場的出品人，他的演講主題是《零信任架構技術與落地》。

零信任從概念，到這兩年被廣為人知，再到2020年因疫情而被大大加速整個零信任領域的快速發展，零信任從Google的Beyond corp最佳實踐，再到云安全聯盟的SDP技術快速發展，以及各類零信任技術產品，零信任似乎讓人更難看懂了，本次分享我將會從技術實現上來分享不同技術的零信任和落地選擇，快速掌握全貌。

分會場三的第二位演講嘉賓是來自Palo Alto Networks的中國商業市場技術總監 張晨，她的演講主題是《零信任在企業落地中的最佳實踐》。

零信任作為一種網絡安全架構或者安全理念提出至今，已經成為一種強大的防護策略在整個環境（網絡、端點、云）中實施。Palo Alto Networks通過提供獨特的功能和專業的服務將零信任真正在企業中落地，變得實際可行且易于部署，成為企業發展的強大助力。

分會場三的第三位演講嘉賓是來自派拉軟件的資深專家 趙廣輝，他的演講主題是《零信任身份治理在企業應用中的實踐分享》。

他的演講內容主要分為：企業零信任身份治理驅動因素、企業零信任身份治理規劃設計、企業零信任治理實踐分享。

分會場三的第四位演講嘉賓是來自光大銀行的安全管理處處長 牟健君，他的演講主題是《光大銀行零信任實踐與思考》。

當前形勢下，網絡安全新威脅不斷涌現，傳統的邊界防護安全體系難以為繼，零信任技術架構以其立體化、精細化、動態化的設計理念，經過幾年的沉淀發展，已經成為企業數字化轉型的最佳安全技術實踐之一。光大銀行積極探索零信任架構實踐場景，強化安全管控，提高縱深防御能力，致力打造光大科技安全新名片。

分會場三的第五位演講嘉賓是 安全小飛俠，他的演講主題是《從大型互聯網企業零信任實踐之路談如何構建立體化的防御體系》。

隨著企業規模的不斷擴大，面臨的網絡攻擊威脅也在日益增長，大型互聯網企業由于自身業務特性長期暴露在網絡威脅的一線，因而在踐行新安全理論和架構實踐上容易先人一步，本議題將嘗試從企業零信任實踐之路中一窺如何構建立體化的防御體系。

分會場三的第六位演講嘉賓是來自Fortinet的中國華北區技術總監 胡丹丹，他的演講主題是《零信任讓安全如影隨形》。

近一年多以來，越來越多的企業開始云辦公，線上經營，智能化制造，無接觸生產等數字經濟快速發展，既是疫情倒逼加快數字化智能化轉型，同時也引入安全的伴生需求以及零信任新興技術提出更高的建設要求。Fortinet 通過客戶對基礎架構投資的同時進行簡單優化，從而讓客戶實現應用級的零信任訪問、本地化部署、本土化及合規。此議題將闡述Fortinet的零信任架構以及如何結合安全進行實踐。

分會場三的第七位演講嘉賓是來自某上市公司的信息安全負責人 肖寒，他的演講主題是《淺談零信任在傳統企業的意義》。

他的演講內容主要分為：淺談什么是零信任網絡；

制造企業信息安全現狀說明；我面臨的問題，相信您也遇到過；制造企業建設“零信任”的第一步，應該怎么走。

分會場三的第八位演講嘉賓是來自貝殼找房的安全架構師 崔瀧躍，他的演講主題是《零信任架構在產業互聯網的落地》。

從零信任在產業互聯網的落地角度出發，講述房地交易平臺的業務模式、網絡安全現狀和安全面臨的挑戰。簡述在安全建設過程中為何選擇了零信任架構，零信任在貝殼落地的具體步驟，以及推廣過程中的難點和解決方案。

分會場三的最后一位位演講嘉賓是來自趣加FunPlus的安全架構師 湯青松，他的演講主題是《辦公網零信任安全建設實踐》。

零信任安全和以往的安全產品有很大的不同，往往需要很大的調整公司的網絡架構，在落地實踐中有很多需要定制化去實現；本議題將分享在建設零信任安全建設中遇到的問題和已經解決方法，例如零信任網關反向代理如何在線配置，多集群下如何同步配置，高并發流量情況下如何保障穩定性，以及零信任網關建設后為企業帶來了那些實際的價值。

分會場四：開發安全

出品人：秦波 / 網絡安全部負責人 / 滴滴

分會場四的首位演講嘉賓是來自滴滴的網絡安全部負責人 秦波，同時也是本會場的出品人，他的演講主題是《安全設計基線的自動化》。

他的演講內容主要分為：

1.基線自動化項目背景

+開發流程全景

+安全設計的痛點

2.基線自動化流程

+攻擊面識別引擎

+輸出安全方案

3.基線自動化收益

+效率

+準確率

分會場四的第二位演講嘉賓是來自懸鏡的COO 董毅，他的演講主題是《軟件供應鏈的風險與治理》。

近年來美國對我國的科技戰策略，重點在于打擊、封鎖、截斷核心技術供應鏈，我國因此重視對核心技術供應鏈的重塑與強化。軟件供應鏈作為技術供應鏈中的一個重要成分，其安全不僅影響著企業的生存和發展，同時也成為大國之間相互競爭與制約的重要手段。因此需要從多個角度來看待軟件供應鏈存在的不同安全風險，有針對性地采用多種方法和技術手段來確保軟件供應鏈安全。

分會場四的第三位演講嘉賓是來自支付寶的安全專家 石劉洋，他的演講主題是《大型互聯網平臺SDL實踐：業務風險深度評估》。

復雜業務的安全評估除了需要覆蓋常見的應用安全漏洞，往往還需要深入業務邏輯，探索場景化的泛業務風險。本次分享會從更貼合業務的安全視角，介紹場景化的風險評估方法、工作模式以及實踐案例。

分會場四的第四位演講嘉賓是來自快手的Web安全負責人 廖新喜，他的演講主題是《API安全》。

從OWASP TOP10 到 OWASP API Security Top10，標志著Web安全關注點轉移到API安全。本議題主要從甲方的角度，梳理常見的API 漏洞場景，包括越權、認證、過度數據暴露、注入等，總結其規律，給出通用的收斂路徑，形成漏洞收斂漏斗。

分會場四的第五位演講嘉賓是來自京東的安全資深架構師 Himo Zhu，他的演講主題是《交互式安全測試技術》。

在DevSecOps黃金流程中，IAST是其中關鍵一環，本議題分享了京東IAST的設計理念，以及在CD環節構建綜合IAST測試服務的實踐。

分會場四的第六位演講嘉賓是來自奇安信的產品安全負責人、QAXSRC負責人 武鑫，他的演講主題是《Shift Left在開發安全中的應用》。

Shift Left(左移)，一直是開發安全領域的熱詞。針對安全左移卻有著不同的認識與落地情況，是直接將安全活動前移到需求分析，還是編碼階段?一切都需要結合實際情況進行編排和設計，但并不是無章可循。本議題將聚焦安全左移，通過一些實用的落地實踐安全活動，闡述其在開發安全中的價值與意義。

分會場四的最后一位演講嘉賓是來自騰訊安全平臺部的高級安全工程師 李相垚，他的演講主題是《云原生安全：基于DevOps基礎設施的Web漏洞掃描實踐》。

多年來，安全系統一直在適應軟件研發的流程和模式，為研發出更加安全的產品保駕護航。隨著近幾年DevOps的不斷成熟，自動化安全測試的重要性也逐漸凸顯。但在實踐過程中，這項措施的易用性和好評度都面臨著不少挑戰。本次分享將講述騰訊在Web漏洞掃描實踐過程中遇到的困難和挑戰，在云原生場景下它又將有怎樣新的解法。

最后，再次感謝所有支持本屆EISS企業信息安全峰會的贊助商、演講嘉賓、單位、媒體以及與會者。因為有你們的支持才讓EISS企業信息安全峰秉承出新，力求突破，始終成為安全行業交流與學習的圣地！

下一站，深圳，我們不見不散！