诸子云 | 走进华数:数据安全及等保2.0
近日,等保2.0即将出台并落地实施的消息越来越多,同时,国家相关部门抓紧时间对等保2.0进行最后的修订。等保2.0将在2019年上半年落地并实施,似乎已经成为不可逆的趋势,也吸引着大多数企业的目光。
与此同时,DT时代数据安全也一直是人们关注的焦点。如何治理企业数据,如何确保数据在更大范围以及更复杂的应用过程中的安全性,又成为了一项新的挑战。
此外,大型互联网企业如何进行网络安全建设也是众多甲方安全工作者关注的重点内容。 他山之石可以攻玉。
为进一步探究企业数据安全、网络安全以及等保合规政策变化,加强彼此之间的联系,2月28日,在杭州华数数字电视产业园,安在新媒体联合ZJCERT、华数集团共同举办“诸子云——走进华数”系列沙龙活动。
本次活动有幸邀请诸多重量级嘉宾,如浙商银行、杭州银行、宁波银行、泰隆银行、民泰银行、浙江省农信、金华银行、稠州银行、绍兴银行、浙江物产、正泰新能源、海亮集团、吉利汽车、萧山机场、浙江联通、浙江电信、浙江移动、全知科技等企业安全专家、安全部门负责人、技术骨干参与。
活动开场,华数集团CSO叶翔表示,安全圈内部应加强相互之间的交流,彼此之间探讨当下热门事件、话题,共同分享网络安全工作心得,相互学习,共同进步。
诸子云发起人之一、安在CEO张耀疆表示,此次诸子云有幸来到杭州,和众多安全专家、企业安全负责人一起研讨数据安全、网络安全以及等保2.0相关话题,必定可以碰撞出不同的火花。
诸子云后续也将不断努力地,针对大家共同关注的热点话题,开办更多有意义的活动和研讨。未来,诸子云将成为甲方安全专家、大咖、安全负责人分享、交流工作经验、心得的平台。
随后,全知科技CEO方兴就“生产安全视角下的数据安全”;ZJCERT安全专家以“等保2.0之新要求新思路新方法”;华数集团CSO叶翔以“广电网络安全之道”为主题分别发表演讲。
议题介绍
全知科技CEO方兴:生产安全视角下的数据安全
数据是信息的抽象载体,底层数据需要进行一定的理解才能转化为信息;人们推过对信息进行归纳、演绎,才能获得相应的知识,最终转化为情报。
随着大数据分析技术和人工智能的快速发展,人们可以跳过数据到信息这一步骤。如通过基于统计分析的决策知识,数据可以直接转化为知识、情报;而基于相关性的知识和情报分析,底层数据可直接变为情报。
在不同的安全视角和场景下,数据所拥有的价值也有所不同。资产视角的安全需要保护现在的价值;生产视角的安全则需要保护创造未来价值中的过程;社会视角的安全则需应对外部的环境风险。
想要保障企业数据安全,建设一套相应的生产安全体系方法论必不可少。具体分为以下三个步骤:
1、针对已知风险且有最佳应对措施的执行进行风险事件控制;
2、针对未知到可感知危险程度的风险进行检测监测,进行风险事件和影响控制;
3、针对失控的风险事件和影响,可以进行溯源和追责,以威慑和改进前2者的能力。
总的来说,可以归纳为预防、控制、监测和溯源。
方兴认为,在数据的采集、存储以及使用过程中,企业应该对数据的流向有着清晰的认识;并对数据进行分类识别、综合分析、权限统一管理等操作,确保企业数据安全。
值得注意的是,在进行数据处理和外发时应加强对数据的保护,如动态脱敏、数据过滤、高危拦截、导出控制等。
华数集团CSO叶翔:广电网络安全之道
作为本次活动的联合举办方之一,华数集团CSO也在沙龙活动中以“广电网络安全之道”发表主题演讲,分享其在华数网络安全的工作经验。
叶翔认为,安全是为业务服务的,业务安全是所有安全中最重要的。华数的主营业务是播出网络,因此,叶翔最为关心的便是播出网络的风险。
总的来说,叶翔分为以下四个方面。
一、摸清情况:理清资产,画出拓扑。
在DVB直播中,CA、EPG等系统,设备陈旧,厂商支持乏力,操作系统很难及时升级,安全手段唯有隔离再隔离。而互动电视面向于个人,也不能视为封闭网络系统。互联网视频因为直接出现在互联网中,最容易受到黑客攻击,因此也是企业防御的重点。
二、划清边界:设计出一个好的网络架构模型,新项目按此建设,老项目照此整改。
叶翔表示,企业想要做好网络安全,设计出一个网络模型架构至关重要;新项目按此建设,老项目照此整改,网络安全自然不会有大的问题。
对企业来说,纯粹的物理隔离是不现实也没有必要;随着业务的发展,物理隔离必然会成为绊脚石,因此,在做网络安全设计时,尽量遵循安全的“最小化”原则。
三、立好规矩:技防的关键还是人防,要制定一套规范,管好人。
要做好企业安全,最好是进行自上而下的安全管理;制定好网络安全管理制度体系,所有人都按照制度进行管理。如有进行技术创新和重大项目时,企业应该做到安全三同步:同步规划、同步建设、同步维护;保障业务稳定进行。
此外,企业安全防御需注重人的因素,对企业全员进行安全意识培养,组织各类技术攻防比赛,制定量化考核指标,培养属于甲方自己的安全人才。
四、做好应急:搞安全不要怕出事,出事了处置迅速合理才彰显安全管理水平。
企业安全永远不出纰漏显然是不太现实的,而安全能力最终还是靠应急响应速度和善后来体现。因此,企业需做好渗透测试与巡检;邀请黑客来寻找漏洞;准备相应的应急预案,且必须经过演练和考验;并安排网络安全工作人员值守。
沙龙活动中,ZJCERT安全专家以“等保2.0之新要求新思路新方法”发表主题演讲,对即将实施的等保2.0进行解读。
首先,等保2.0和1.0的名称有所不同。等保2.0将原来的标准《信息安全技术 信息系统安全等级保护基本要求》改为《信息安全技术 网络安全等级保护基本要求》。
其次,等保2.0针对移动互联、云计算、大数据、物联网和工业控制等新技术、新应用领域的个性安全保护需求提出安全扩展要求,形成新的网络安全等级保护基本要求标准。调整各个级别的安全要求为安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。
此外,ZJCERT安全专家就移动互联、云计算、大数据、物联网和工业控制等方面进行详细介绍,并对其中各类应用场景进行解读,以便企业能够做好准备应对等保2.0的到来。
诸子云发起人之一、安在CEO张耀疆在沙龙活动中再一次向嘉宾们简要介绍诸子云活动,并表示希望能够借此加强安全圈内的交流,强化安全交流活动机制。
同时,张耀疆简要介绍安在2018年所做的事情和已经取得的成绩,鼓励并欢迎甲方安全专家、企业安全负责人、技术骨干积极向安在投稿;如果发文,安在也将给予丰厚的奖励。
随着张耀疆发言的结束,本次诸子云沙龙活动也进入尾声。正如张耀疆所言,在华数举办的这次活动必将成为一个新的起点,未来,还有更多的活动邀请诸位参加。
值得一提的是,活动结束后,诸位参会嘉宾共同参观了华数集团,彼此交流着活动心得和体会。
活动花絮
诸子云活动回顾
诸子云 | 属于甲方安全专家的社群组织,启动了!
诸子云 | 我们搞了点事,非甲方网安人士请勿打开
诸子云 | 唯品会黄承:想要成为CSO?这些基础不能丢!
诸子云 | 快钱赵锐:安全管理之密钥迷局
诸子云 | 走进海航:个人隐私、GDPR及数据安全
如何加入诸子云
诸子云已然来了,
目前已在上海、北京、武汉、深圳等地设立本地机构,可有心动?
心动不如行动,赶快联系我们,诸子云欢迎您!
申请加入诸子云
长按二维码识别联系安在君