2021年11月19日，由安世加主辦的"EISS-2021企業信息安全峰會之上海站"在上海銀星皇冠假日酒店成功舉辦。峰會以"直面信息安全挑戰，創造最佳實踐案例"為主題，總共吸引了近350位來自各行業的企業安全負責人，安全專家出席。

本屆峰會是安世加在上海連續舉辦的第六次峰會，峰會通過數據應用合規路徑探索、中通零信任實踐及未來暢想、安全趨勢新常態等新穎熱議的話題對當下安全行業的發展進行了深入的分析與探討，以求探索企業信息安全的未來與發展！

本次峰會共有Imperva、Akamai、IBM、聯軟科技、漏洞銀行 、Gigamon、Tenable、Palo Alto Networks、火線安全、Aqua Security、永安在線、全知科技、薔薇靈動、思睿嘉得、齊治科技、安勢、守內安及云紛科技，共18家企業贊助，并獲得多達53家單位和35家安全媒體的鼎力支持。

開幕致辭 

(ISC)²上海分會主席，也是本次峰會的主席施勇先生為大會做精彩的開幕致辭。

上午主會場

本次峰會的首位演講嘉賓是來自Imperva的資深技術顧問 吳赟，她的演講主題是《Web應用安全演進-從WAF到WAAP》。

Akamai承載著1/3的互聯網流量，通過對流量深度分析的數據揭示了互聯網上的web應用攻擊方式和趨勢，包括了網站勒索攻擊，ATO，API攻擊，表單劫持攻擊等。而對于傳統WAF防護而言已經是力不從心。Gartner基于客戶的需求提出了WAAP的防護模型，并在2021年替代WAF首度推出了WAAP的象限報告。Akamai作為象限的領導者，通過不斷的產品更新為客戶提供端到端的全棧解決方案。

第二位演講嘉賓是來自平安科技的信息安全部安全產品負責人 董曉瓊，她的演講主題是《數據應用合規路徑探索》。

2021年，隨著數安法、個保法的落地，意味著數字經濟監管趨嚴，每一位數據管理者、應用者、安全從業者們更加深刻的認識到，數據安全的重要性，數據安全管理也進入了管理深化階段，數據開放才會有意義，流動起來才會產生價值，如何實現數據安全、合規使用目標，近距離談談立法下的數據安全管理的變化和合規路徑的探索。

第三位演講嘉賓是來自Imperva的資深技術專家 劉沛旻，他的演講主題是《新法規下的數據庫安全思考》。

2021年國家連續通過了《數據安全法》和《個人信息保護法》兩個數據安全重磅法規，同時近年來數據庫環境也發生巨大的變化，物理環境在向私有云和DBasS發展、結構化數據存儲在向非結構化數據存儲發展，傳統的數據安全防護思路還能夠滿足新的環境和新的法規要求嗎？會面臨怎樣的新挑戰？Imperva將以實際項目經驗出發，為您提供新環境、新法規下的，可落地的數據庫安全建設思路。

第四位演講嘉賓是來自中通快遞的CISO 伏明明，他的演講主題是《中通零信任實踐及未來暢想》。

本次演講將演示零信任在我們的具體實踐中能產生哪些價值，這些價值是在哪些典型場景下具體如何體現的，實踐過程中需要解決哪些問題以及部分問題的具體解決方案，給出不同類型的組織實施零信任戰略的最佳路線建議，暢想未來在零信任理念加持下，做好數字化轉型安全保障的一些思路。

第五個環節是來自攜程的高級安全總監 凌云，某金融科技公司的首席安全官 蔡俊磊，某投資管理公司的首席安全官 趙銳及網商銀行的信息安全負責人 張歐組成的CSO高峰論壇。

企業如何看待數據安全法，個保法？在企業中落地數據安全法和個保法過程中，都有哪些實踐經驗分享？在落地過程中有沒有遇到什么困難？企業又是如何解決的？四位嘉賓各抒己見，通過自身豐富的行業實踐經驗為與會者提供了有力的借鑒。

第六位演講嘉賓是來自IBM的資深安全解決方案架構師 吳異剛，他的演講主題是《運用零信任威脅管理，邁向安全的關鍵一步》。

隨著遠程工作模式的日益普及，以及越來越多的工作負載遷移到云端，內部威脅的范圍呈爆炸式擴大，后果也越來越嚴重。許多組織運用零信任方法，主動管理內部威脅，從而減少業務中斷、增強彈性、保護用戶和資源，這在混合云環境中的效果尤為顯著。所以說，由零信任方法支持的安全功能的適當組合是邁向成功的理想第一步。

上午主會場最后一位演講嘉賓是資深安全專家 Flanker，他的演講主題是《安全趨勢新常態》。

人們習慣于技術飛速發展所帶來的紅利。然而百年未有之大變局下，技術漸漸放慢了它的腳步，我們卻忽然意識到，龐大的未知陰影正在悄然襲來。像水一樣吧。 我的朋友們：給生態以安全，而不是給安全以生態。本次議題，將與大家分享筆者的相關思考與觀察實踐。

下午分會場一

安全運營

下午分會場一的第一位演講嘉賓是來自某零售企業的亞太及中國網絡安全總監 沈瓏，他的演講主題是《企業云安全建設之路》。

面對當今世界迅速而多變的商業環境和挑戰，互聯網數字化浪潮澎湃推動中，疫情的紛雜影響之下，Move to Cloud是眾多跨國企業的核心戰略之一，而如何規劃企業的云安全戰略和路線圖是網絡安全部門思考的重中之重！讓我們一起從戰略，技術及流程等各個環節討論下如何來應對這些挑戰，以及如何滿足多云需求，全球日漸趨嚴的數據保護合規需求！

下午分會場一的第二位演講嘉賓是來自聯軟科技的安全顧問 陳曉，他的演講主題是《新形勢下，企業如何構建數據安全防護體系》。

在數據化背景下，敏感數據泄露風險一直存在，隨著網絡安全法、數據安全法、個人信息保護法的頒布，數據安全已上升到法律規范。企業在數據安全防護上也在不斷加強，除了利用工具加強數據安全建設外，如何提高員工薄弱的安全意識也是企業不容忽視的一點，如何做到數據管理安全、高效、合規。聯軟科技數據安全解決方案從數據資產的梳理和風險識別出發，建立健全管理、技術、運營三大體系，與業務發展深度融合，對從業人員提升合規意識、明確崗位職責、規范行為操作，建立企業數據安全戰略。

下午分會場一的第三位演講嘉賓是來自漏洞銀行的CTO 張雪松，他的演講主題是《先進威脅時代的安全管控體系》。

演講主要包含四個要點：1.企業面臨的先進威脅挑戰、2.安全時代的演化、3.如何應對先進威脅挑戰、4.安全體系化建設的思考。

下午分會場一的第四位演講嘉賓是來自Gigamon的技術經理 顧威，他的演講主題是《Gigamon助力企業安全節點服務編排, 及建設可視化基礎網絡》。

針對安全節點的現狀，改善目前行業內安全設備串聯耦合的架構，提升其穩定性與靈活性，加速安全技術方案的快速上線；結合ssl流量加解密，私有云TAP等解決方案，為安全、網絡、業務部門提供深入，準確的數據可視化基礎網絡，幫助解決信息孤島問題。

下午分會場一的第五位演講嘉賓是來自某A+H上市公司的信息安全負責人 孫琦，他的演講主題是《數字化轉型進程中的安全能力構建》。

數字經濟時代的到來，倒逼著企業組織創新和生產方式變革。我們普遍認可企業數字化轉型的過程是技術創新與管理創新協調互動，從局部出發最終促成整體的發展變革。在這個進程中，安全作為數字經濟時代的核心屬性之一，我們必須高度關注其中的每個環節，可以說沒有安全屬性的數字經濟實體將一文不值。

下午分會場一的第六位演講嘉賓是來自華數集團的CSO 葉翔，他的演講主題是《安全之道，以人為本》。

本次演講主題是以華數集團的實踐經驗為例，來闡述如何提高一個大型企業的整體安全水平。小型企業可以通過招聘有經驗的安全人員來快速組建團隊，但是大型的集團公司，每年都會有大量的人員流動，子公司分布于多個地區，國有企業薪資限制無法招聘到合格的安全人員，華數集團通過培訓、競賽、眾測以及充當護網紅隊等方式培養隊伍，階梯式提高整體安全水平。同時取得了第二屆網鼎杯優秀領隊的榮譽，安全水平在本行業、本地區都得到了公認。

下午分會場一的第七位演講嘉賓是來自合合信息的安全運營負責人 廖超豪，他的演講主題是《企業自建SOC安全運營的探索與實踐》。

隨著企業安全建設進入一定階段的時候，安全運營就顯得尤為重要，而作為落實企業安全管理和治理目標的重要工具"安全運營中心（SOC）"更是能為安全團隊提供一個在線化和智能化的一站式服務平臺。本次將分享企業在自建SOC過程中的平臺化建設、安全點位聯動、智能化運營等不同階段一些的探索與實踐經驗。

下午分會場一的最后一個環節是來自游族網絡的信息化與信息安全總監 馬寅龍，某醫療器械集團的信息安全負責人 歐建軍，享道出行的安全負責人 田國華及某金融公司的安全經理 李揚組成的小組討論：企業安全實踐方法論。

安全從建設到運營有哪些不同和轉變？企業安全人員如何看待安全工具的自研和外采？HVV對于企業信息安全管理有哪些促進作用？安全運營與管理中的困擾有哪些？例如資產管理、隔離策略、跨部門協同、漏洞與補丁、監管解讀與驅動。四位嘉賓對于這些在安全運營過程中可能產生問題發表了各自的見解，為與會者提供了相當寶貴的實踐借鑒經驗。

下午分會場二

安全新技術

下午分會場二的第一位演講嘉賓是來自某金融科技公司的安全技術總監 周珉，他的演講主題是《淺析數字貨幣交易所安全風險》。

基于區塊鏈技術的數字貨幣成為了最近幾年最火熱的技術話題，而提供數字貨幣交易的交易所平臺也面臨著各種安全風險，本主題分享將圍繞著包括51%攻擊、熱錢包被盜、假充值等安全風險，分析近幾年具體發生的交易所安全事件，并給出具體應對方案的思路。

下午分會場二的第二位演講嘉賓是來自Tenable的中國區總經理 趙陽，他的演講主題是《確保AD域控安全應對網絡高級威脅攻擊》。

放眼全球：90% 的《財富》1000 強企業都使用 Active Directory 作為其企業用戶身份驗證和授權的主要方法，而且大多數企業具有復雜的、不斷發展的Active Directory體系結構。近期包括 SolarWinds數據泄露和Microsoft Exchange 黑客攻擊等事件，突顯了預防權限提升、橫向移動保障 Active Directory 和身份基礎設施的安全至關重要。成功的數據泄露往往都是從對 Active Directory 的攻擊以提升權限開始，改善 Active Directory 的安全是每個使用AD域控的企業需要關注的重要問題。

本次演講會分享全球頂尖AD安全企業的最佳實踐，如何在不需要安裝代理和高級域賬戶權限的情況下，通過自動化手段準確持續檢測AD弱點及實時威脅。

下午分會場二的第三位演講嘉賓是來自Palo Alto Networks的Field CTO 馬振國，他的演講主題是《PaloAlto Networks-未來安全在云端》。

伴隨數字化轉型過程中，業務及應用的云化，安全隨之云化趨勢。疫情后，帶來新型的工作模式，對網絡架構提出了新的挑戰：快速部署，支持大量移動辦公，SaaS應用增多，客戶對網絡重資產類ROI的要求。

基于未來安全在云端的理念，Palo Alto Networks推出解決云計算（應用，服務器，容器，合規）的安全，云端和網絡連通的安全（SASE），以及基于以上的安全自動化管理和運維的方案。

下午分會場二的第四位演講嘉賓是來自火線安全的聯合創始人 盧中陽，他的演講主題是《基于社區的企業安全服務平臺》。

線上漏洞頻繁出現，內部安全資源不足，無法應對頻繁的應用上線，邏輯漏洞覆蓋困難，漏洞發現成本越來越高。火線安全將分享如何通過優質的社區資源，幫助企業打造可持續化的安全風險發現能力，降低安全風險發現成本，以及如何構建漏洞自動發現能力，在上線前徹底解決通用漏洞。

下午分會場二的第五位演講嘉賓是來自叮咚買菜的安全專家 榮文佳，他的演講主題是《安全實時分析決策平臺的建設實踐》。

針對大量的外部攻擊，實現跨場景的威脅數據聚合分析，通過采集多個場景的數據，結合指標和策略進行跨場景的數據分析，從而捕獲到單一場景安全節點無法捕獲的高風險行為。把傳統的安全運營從看告警中解放出來，讓數據給安全貢獻更多的價值。

下午分會場二的第六位演講嘉賓是來自薔薇靈動的產品總監 王海峰，他的演講主題是《基于微隔離的數據中心零信任實踐》。

在全球抗擊疫情及企業數字化轉型的雙重驅動下，零信任理念得以加速推廣并落地。同時，數據中心內部的東西向流量始終是安全管控的薄弱環節，本議題將介紹如何通過微隔離對數據中心東西向流量實現基于身份的訪問控制，從而實現數據中心零信任的落地。

下午分會場二的第七位演講嘉賓是來自某奢侈品牌的CISO 馬一烈，她的演講主題是《安全即連接》。

Facebook改名為meta，意味著這家最大的社交媒體平臺轉向了元宇宙，也是身份、價值系統與沉浸式體驗更加具有連接的意義，且更加不可分割。無論是未來2-5年生成式人工智能，或是5-10年去中心化的身份，這讓我們更加充分感受到未來近在咫尺，通過數據我們進入到了數據，成為數據。

對于安全行業來說，最大的挑戰就是如何成為連接本身。

下午分會場二的最后一位演講嘉賓是來自某支付公司的高級安全開發工程師 賈林杰，他的演講主題是《基于Flink的實時安全數據分析與異常檢測》。

傳統的SIEM方案和策略判斷會生成大量缺少有上下文信息的警報。這些不完整的、缺乏有效信息的安全警告往往伴隨著的是較高的誤報率，對安全運營人員來說意義不大，而真正的警報可能會忽視或丟失，本次給大家帶來的是如何通過實時大數據分析技術整合數據關聯分析來減少誤報，提高告警的準確性與實時性。

下午分會場三

數據安全+云原生安全

下午分會場三的第一位演講嘉賓是來自陌陌的安全總監 李廣林，他的演講主題是《數據安全建設探索》。

數字化時代，數據愈發成為核心資產，而數據安全便成為重中之重，如何理解數據安全，如何構建數據安全治理全景是企業迫切需要厘清的。基于實踐經驗的分析與總結，本主題就如何進行數據分類分級如何進行數據使用監測進行分享與探討。

下午分會場三的第二位演講嘉賓是來自Aqua Security的大中華區方案架構師 陳宇，他的演講主題是《云原生安全，不斷升級的矛與盾》。

隨著云原生基礎架構越來越廣泛的使用，我們明顯的看到針對云原生環境的攻擊行為復雜度越來越高，為應對攻擊手段的不斷升級變化，在防御方面，也需要不斷的進步，Aqua Security與您分享應對復雜攻擊的防御手段。

下午分會場三的第三位演講嘉賓是來自永安在線的COO 邵付東，他的演講主題是《以情報切入API風險識別-新一代API安全管控平臺》。

數據作為一種新的生產要素類型，與土地、勞動力、資本、技術等其他生產要素并駕齊驅。數據在流動的服務中創造價值，API是數據流動服務的載體，是現代移動端、SaaS和web應用程序的關鍵部分，API暴露了應用程序的邏輯和敏感數據，越來越多地成為攻擊者的目標。在API安全數據新場景，存在的問題和挑戰有哪些？企業該如何來進行防御？基于情報的防御體系是如何來解決新的數據安全攻擊面的問題？

下午分會場三的第四位演講嘉賓是來自全知科技的產品總監 王偉光，他的演講主題是《"解內憂、除外患"-新一代數據安全解決方案》。

現在的數據更多是流動的、開放的，治理的關鍵點在于對數據流動過程的知情與管控。2017年，全知科技率先提出"以數據為中心的數據流動安全解決方案"，引起市場的高度關注。基于此核心理念，全知科技重點打造"知形-應用數據風險監測系統"與"知影-API風險監測系統"，解決企業數據安全的"內憂外患"，填補了市場空白。

下午分會場三的第五位演講嘉賓是來自愛奇藝的安全總監 王超，他的演講主題是《個保法下的企業Privacy by Design實踐》。

個保法施行后，企業面臨各種合規挑戰，該如何應對，企業需要有一整套Privacy by Design的隱私設計方案，從流程上和技術上，如何設計？有哪些關注點？會上會分享愛奇藝安全這方面的實踐。

下午分會場三的第六位演講嘉賓是來自騰訊安全云鼎實驗室的數據安全總監 姬生利，他的演講主題是《騰訊云原生數據安全實踐》。

本次主題主要介紹騰訊云原生數據安全解決方案，數據安全中臺在云上數據安全的最佳實踐，內容包括密碼技術在云上的應用、數據分類分級和敏感數據識別、應用免改造數據加密、動態脫敏等典型場景。通過云原生的解決方案，一站式解決云上數據安全問題。

下午分會場三的第七位演講嘉賓是來自某電商公司的科創事業部副總經理 裴新，他的演講主題是《元宇宙下的數字資產與安全保護》。

元宇宙代表著多重空間、虛與實的鏈接，可能是互聯網發展的最終形態。但現在的技術怎么支撐、人們怎么自由的、開放的參與進來？元宇宙中的價值載體是什么？是否也需要安全保護個人資產和個人隱私？讓我們一起窺探元宇宙、構建元宇宙的基礎要素。

下午分會場三的最后一位演講嘉賓是來自微醫集團的安全專家 武天旭，他的演講主題是《互聯網醫療場景下的SDL與數據合規建設》。

隨著醫療信息化的不斷發展，尤其是互聯網醫療的興起，醫療數據安全面臨全新壓力，如何識別醫療數據安全風險并進行管控成為醫療信息化建設的當務之急。對此，本議題將從數據安全風險的識別、評估、處置、監控等方面闡述互聯網醫療場景下的數據安全風險管控的閉環建設。

精彩瞬間

 

最后，再次感謝支持本屆EISS企業信息安全峰會的贊助商、演講嘉賓、支持單位、媒體以及所有參會來賓。因為有了你們的支持，EISS企業信息安全峰會才能圓滿舉辦，安世加也將繼續秉承一絲不茍的信安精神，致力于為行業提供優質的溝通與交流平臺！2022，我們再見！