诸子云 ▪ 中国企业网络安全专家联盟——以中国境内各行业各领域企业组织的网络安全从业骨干为主体的社群组织，是为奋战在用户单位网络安全一线的实践者提供的交流互助平台。

2018年8月19日，由信息安全新媒体安在（AnZer_SH）牵头，有诸多安全大咖、企业专家倾情关注并鼎立支持的属于甲方企业自己的专家社群组织——诸子云，以一场不大规模、不够排场、不事张扬的小型沙龙的方式，正式启动了。

诸子云——中国企业网络安全专家联盟，是继安创汇——中国网络安全创业者俱乐部之后，由安在新媒体发起的又一个交流、共享、传播机制。当然，这次，我们专注聚焦并要汇聚的，是向来低调、却是网络安全真正的中流砥柱——各行各业企业专家。

简单来说，作为属于甲方专家自己的社群组织，诸子云会以线上线下一体化的方式，促进企业用户之间的知识分享和创新协作，并为企业专家提供一个形象展示、品牌传播和职业进阶的畅通渠道。

我们会举办一系列的线下活动：CSO成长系列大咖秀，典型案例专家分享，生活达人风采展，名企参访交流，行业专题技术研讨等。

我们还会有持续的线上分享：活动报道，议题展播，大咖专访，案例分享，专家妙论，以及微信群、知识星球等方式的即时互动。

网络安全，从来不是一人一家的事情。网络安全，也从来不能一人一家在战斗。

我们需要的是百家争鸣、百花齐放，我们更需要凝聚交汇以成中流砥柱。

接下来，就让我们把关注放在本次活动的精彩回顾上吧。

主题分享

8月19日下午，诸子云成立暨首次沙龙活动，在位于上海杨浦区创智天地的Splunk全球研发中心举办。包括诸子云前期发起者、各典型企业CSO和安全专家、各界代表数十人齐聚一堂，共同见证这一简单却又颇有意义的时刻。

在一个下午的时间里，安在新媒体创始人张耀疆、快钱科技风险负责人赵锐、唯品会CSO黄承，分别作了精彩的主题分享。

安在张耀疆：诸子云介绍

在活动现场，诸子云发起人之一、安在CEO张耀疆对此进行简单介绍，诸子云犹如一幅画卷，徐徐展开在各参会嘉宾面前。

张耀疆表示，诸子云全称是“中国企业网络安全专家联盟”，以社群的形式运行，是一个属于甲方自己交流、共享的平台。诸子云的首批专家成员来自全国各地，同时也基本都是各单位企业安全负责人，在安全行业深耕多年，有着丰富的经验。

诸子云在组织结构上设立理事会和秘书处，上海地区首先发轫，以本次活动作为启动。为了调动成员的积极性并让社群持续而良性发展，诸子云还设有CCC积分制，会员每次参与相关事务即可获得积分，后续积分将可以兑换各种会员福利。

回顾之前，安在CEO张耀疆邀约一众业界大咖特别是各行业代表企业的CSO，各抒己见、头脑风暴，共同畅想，最终，让诸子云这一设想正式落地。

安在作为信息安全的新媒体，将为诸子云的发展和推广不懈努力。一方面对诸子云举办的沙龙、活动一一记录并在线上二次传播，让更多的人了解诸子云；另一方面，安在也将对参加诸子云的各安全负责人、专家进行人物专访，发表专家文章，汇编典型案例，不仅为企业进行宣传、报道，借此也为个人打造品牌。

快钱赵锐：密钥安全两三事

诸子云介绍完毕之后，快钱科技风险负责人、诸子云上海理事赵锐就密钥相关问题发表演讲。

安全从业者都知道，风险管理有三要素：保密性、完整性、可用性，其中最主要而又最基础的要素是保密性——密钥。

企业密钥最害怕出现却又常常出现这样的情况：不知道密钥保管人是谁，不知道密钥是保存在哪里，密钥的版本和系统不一致。如果企业密钥依旧处于以上状态，一旦出事情后果是极其严重的。

密钥种类一般分为加密机主密钥、PIN验证密钥、第三方系统主密钥、终端设备密钥四类，其中，密钥分量和保管部门也不尽相同。

想要做好密钥管理，安全部门首先就要了解密钥是存储在哪里，并梳理清楚密钥使用相关系统，还需要梳理密钥相关函件，以便及时了解密钥的状态。其中，最大的困难在于业务部门之间是否有配合。

演讲中，赵锐以密钥的生命周期：生成、分发、保管 灌注、更新、销毁等全过程为主线，结合大量的密钥管理实际案例，在密钥整个生命周期中，深入浅出的讲解安全部门该避过哪些坑，分享自己宝贵的从业经验。

唯品会黄承：CSO养成记之基础篇

赵锐分享完自己的经验后，唯品会CSO黄承同样给嘉宾们分享自己担任CSO的从业经验，给安全人员带来不一样的启发。

黄承表示，“安全”这个词是在计算机和网络之前就已经出现，传统行业同样对安全有需求，而在互联网世界，想要达到真正的“安全”却又是千难万难。

那么，负责企业安全的CSO又是怎么炼成的呢？

首先，很多人对于CSO职责认同和价值体现是不清楚的，而CSO不仅需要一手过硬的技术实力，还需要不输于硬实力的软实力。

黄承认为，很多企业的CSO往往是一个人在战斗的，因为CSO几乎需要独自完成以下所有工作：组架设计（全局），目标设定、子部门/团队工作内容及工作流程、建制实现，安全内部到岗位、着力点及后续路径、个人预期设定等等。如果这些工作不能按时按量完成，那么CSO甚至是整个安全部门都将是处于弱势地位。

在演讲中，黄承总结分享担任CSO总结出来的相关经验，其中，386DX堪称是CSO的标准配置。其次，CSO一定要提前制定出工作大纲、要点以及执行计划。如果没有工作大纲和计划，安全团队的工作方向和路径都有可能出现偏差，工作计划和大纲的目的就是保证所有进度都是朝着目标前进的。

再者，CSO需要不断对资源进行优化。资源永远是不够用的，因此，资源的优化必不可少，必须要去除掉团队中的“懒蚂蚁”。

最后，CSO需要斩断链条。在日常工作中，CSO也要不断反思安全工作制度、流程、工作、平台是否合理；是否会对安全工作产生影响？面对不利情况，CSO应果断改变相关制度，营造良性的循环。

随着时间流逝，本次诸子云沙龙活动也已进入尾声；嘉宾们的干货分享让众安全人员受益匪浅，颇有意犹未尽的感觉。尽管这是诸子云第一次沙龙活动，但却受到参会安全专家的一致好评。

有关本次活动主题分享的详细内容，安在随后会整理编辑，分期完整分享，敬请关注。