诸子云 ▪ 企业网络安全专家联盟——以中国境内各行业各领域企业组织的网络安全从业骨干为主体的社群组织，是为奋战在用户单位网络安全一线的实践者提供的交流互助平台。

在刚刚过去的5月，网络安全发生了三件重要的事情。

一是5月14日，《网络安全等级保护要求》，也就是我们俗称的“等保2.0”正式发布。扩增了云计算、移动互联、物联网、工业控制系统，附录增加大数据应用场景的基本要求，并将等级保护对象由信息系统调整为基础信息网络、信息系统（含采用移动互联技术的系统）、云计算平台/系统、大数据应用/平台/资源、物联网和工业控制系统等。

二是5月26日，2019中国国际大数据产业博览会（简称“数博会”）在贵阳召开。在“数据安全”高端对话中，来自全球的数据行业专家齐聚论坛，共同聚焦大数据行业前沿，洞悉交流全球数据安全最新发展趋势，推动了我国数据安全保障体系建设，探讨了数据安全发展之路。

三是今年5月25日，是欧盟“GDPR”正式生效实施一周年的纪念日。在“GDPR”实施的一年时间里，不仅结束了互联网企业利用个人数据牟利的“裸奔”时代，同时对于消费者的隐私观念、科技企业的文化、各国数据保护的立法以及数据安全未来发展的思考，都起到了潜移默化的影响。

而这三件事，无一例外地都与“数据安全”紧密相连。

为了更好地聚焦当前正值热点的“数据安全”、“个人隐私保护”等话题，互通有无、交流畅叙，6月2日，在深圳广电集团网络技术室，安在新媒体联合深圳广电集团共同举办了“诸子云——走进深圳广电集团”系列专题活动。

活动开始前，深圳广电集团信息化负责人查亚东主任，作为东道主，带领参加活动的嘉宾们参观了深圳广电的演播厅、导播室，为大家讲解电视播放的流程与细节，让大家耳目一新、大为赞叹。

尤其是最后的合影，通过“PS”的方式，让大家体验了一把“踏上”航空母舰的经历，圆了一次“航母梦”。

本次活动有幸邀请到诸多重量级嘉宾，如顺丰科技、安信证券、腾讯云、平安科技、VIVO等企业安全专家、安全部门负责人和技术骨干的参与。

诸多大咖一起，共同聚焦数据安全和个人隐私保护，进行了一次干货满满的分享、交流与讨论。

活动开场，“东道主”查亚东主任先是简单地为大家介绍了深圳广电集团的历史，同时也为大家概述了当前广电行业信息安全工作的方向。

他说，目前广电行业分“ITRA”四个板块，分别是Internet、TV、Radio和Admin，这四个板块全部归由网络技术室管理。并且作为党媒，广电行业当前所面临的安全监管也非常严格。

紧接着，诸子云发起人之一、安在CEO张耀疆上台，对此前诸子云所做的事情、取得的成绩，以及此次在深圳落地活动，进行了简单的回顾与展望。

张耀疆说，此次“诸子云——走进深圳广电集团”是“诸子云——企业安全专家联盟”自去年成立以来，第一次在深圳落地搞活动，所以意义非常重大。

他希望可以借助此次活动起一个好头，让在座的各位专家成为“火种”，联络更多同在深圳的安全同仁，形成更好的互通、协作、分享的气氛。不仅可以为企业安全从业者提供自身的帮助，更能对网络安全行业的发展起到促进和推动。

随后，腾讯云鼎实验室安全专家王余，顺丰科技安全专家潘盛合，分别以《从某专案调查看广电行业安全之重》和《顺丰个人隐私保护实践》为主题给大家进行了分享。

议题分享

腾讯云鼎实验室安全专家 王余

从某专案调查看广电行业安全之重

多年前，国内某地广电曾有过播出中断事故，影响波及十多万用户。

总结事故起因，与早前广电运营商采用可图文信息自动存储的有线电视机顶盒有关，这种老的设备，即便关闭服务器，切断敏感源，依然无法控制终端用户的播出画面。

当前，中国网络安全行业的现状已经有所变化——从过去传统的严防死守，开始向风控层面以及应急响应转变。在产品数字化转型的当前，安全也同时面临着“数据资产安全”、“业务安全”以及“身份权限管理”这三大挑战。

“等保2.0”的公布，扩增了云计算、移动互联、物联网等基本要求，等保对象也由信息系统调整为基础信息网络、云计算平台等，就连基本符合的标准也提高到了75分。

而《数据安全管理办法》（征求意见稿）中，也提到了网络运营商“不得以提升用户体验为由收集个人信息”，并且“用户可以对APP顶推广告说不”。

在当前的形势下，“数据中台”这个概念便可在企业数字化转型中扮演重要的角色。

数据中台的优势在于，可以将各个功能模块拆解以后，体现“微服务”的本质。企业可以直接调用接口进行创新试错，发挥大数据的威力和能力。

同时，企业普及安全意识，具备发现危险的能力，并要有攻防演练的实际操作，规划管理和技术并重。将“缺什么”、“要什么”反馈给技术团队，或者以采购服务的模式，跟外部专业机构合作，最终做好“数据安全”的保障工作。

“数据中台”概念的抛出，引起了在座嘉宾的浓厚兴趣，针对王余所演讲的议题，大家也展开了热烈的讨论和“吐槽”。

“我认为数据中台的架构特别好，但是成本太高，环节太多了，一般的企业没有这个能力搭，厂商更搭不起来。但是概念本身非常好，也非常全面。”

“传统的包括商业化在内，都是按系统来的。而不管是腾讯云还是阿里云，从一开始就是按平台来的，把所有东西汇聚到一起统一处理，包括组织架构等。但不论是甲方还是乙方，你要求他们去调整组织架构，投入资金把数据收回、集成，这些太难了，只有互联网企业这种接受能力强的，灵活的，才做的成。”

“云化以后这种情况是否会有所改善？”

“云化只能解决基础设施，而‘数据总台’这个是整体管理的理念、治理的理念，这是难以改变的。但是我觉得‘数据中台’这个概念，可以在安全上先做一些API化的小中台，不过要是扩展到整个IT层面，那可就得CIO出手了。”

“我认为‘数据中台’，最终要有事件倒逼，逼得企业改架构，才能行得通，才有真正落地的价值。要是单纯为了做数据中台而做做数据中台，没有太大的意义，企业一定要注意这个问题。”

顺丰科技安全专家 潘盛合

顺丰个人隐私保护实践

对于个人隐私保护的实践，顺丰科技其实已经有了长期的积累，因为体量的庞大，导致顺丰所接触、管理的信息非常多。

在日常物流过程中，无论是“客户信息高频接触”、“需求多样化、服务好”，还是“内部系统用户多”、“高端客户价值高”，都有可能为数据安全的保护提出威胁和挑战。

近几年，很多法律法规都开始关注数据安全，所以从公司层面来说，非安全部门很难对“数据安全”有正确的认识。因此，顺丰科技做了很多规范性的工作，细化了原来的数据资产管理办法。

在系统数据生命周期的管理上，遵循了从采集到删除，对数据的定义到最后的判断等一系列流程和原则。依次是：基础——敏感数据识别、标识；采集——合理收集、用户授权；传输——授信通道、上下游鉴权、加密；存储——敏感字段加密；访问——功能/数据权限控制；使用——测试脱敏，使用过程中动态脱敏；交换、删除以及监控——审计阻断。

基于大数据平台的安全管控手段，顺丰科技通过分层的作法，单独部署加解密平台，包括数据抽取在内，对数据进行相应组建的控制，包括导出、查询、样例的抽取，都有细粒度的控制。

在大数据数据管理上，对数据进行标识，包括时间、期限，对权限分类控制。在查询过程中通过脱敏等手段，同时在对下载加以控制。审批人员可以看到数据正在被进行怎样的操作，所有敏感用户的操作也都有日志记录。

对于这几年数据安全保护工作的经验总结，潘盛合说，首先高层的重视尤为重要。其次是近几年安全上升到法律层面，通过法律的要求可以推动安全的工作。保护用户隐私已经成为企业内部达成的共识，和法务部门联动可以很好地解决一些职能部门带给安全的反弹。

结尾

随着嘉宾们分享的结束，“诸子云——走进深圳广电集团”专题活动，也在大家热烈的讨论和思维碰撞中画上了句号。

最后，诸子云发起人之一、安在CEO张耀疆再次对本次活动进行了总结。他说，通过嘉宾们现场分享的议题，以及大家彼此之间的交流碰撞，他感觉到网络安全将来的发展，势必会从甲乙方单纯的供给关系，转向合作关系。

因为随着甲方自研能力的提高，未来一些新的乙方，极有可能“脱胎”于甲方，这就会为行业带来一些相对标准化的成果和解决方案。

通过“诸子云”在深圳成功举办的第一站活动，张耀疆希望可以在未来与会员们一起开展更多的协同项目，比如报告、调研、规划规范。他也欢迎更多的甲方用户单位可以加入“诸子云”，一同来“搞”一些事。

未来，“诸子云”还计划联络安全行业真正的“名人堂”级大咖，开展类似“网络安全CSO学院”性质的活动，希望把行业内顶尖顶尖的能力、资源，通过有益传播的方式，对接给“诸子云”会员，让每一位会员的成长，都能在“诸子云”里有直观地展现。

“诸子云”的发展，离不开每一位会员的参与与支持。“诸子云”也欢迎越来越多的甲方安全从业者，能够了解并融入到这个大家庭中。

活动花絮