2020年初，新冠病毒肆虐，犹记当时人心惶惶，整个国家和社会陷入一种焦虑不安之中。未曾想，似乎是眨眼之间，就来到了年尾。

因疫情影响，诸子云会员线下沙龙活动也一度停摆。眼瞧着2020年即将过去，疫情也有所稳定，众多会员摩拳擦掌，纷纷呼吁重启沙龙活动。

于是，11月15日，2020年第一次诸子云会员线下沙龙活动拉开序幕。

本次活动由诸子云上海分会会长赵锐（锐少）主持，招商银行全资子公司招银云创合规经理陈欣炜、公安部第三研究所检测中心物联网与工控安全测评实验室主任张艳等两位嘉宾分别发表主题演讲。

正所谓小别胜新婚，久别重逢，众会员兴致高昂，纷纷报名。奈何因场地有限，故而暂先让前二十几名先报名者参与。

参与活动的嘉宾分别来自平安普惠、上海御付信息科技、翼支付、平安证券、SMG、雅培中国、蔚来汽车、平安科技、达美乐、华通银行、中通快递、paypal、华瑞银行、中银证券、翼支付（2人）、申通地铁等企事业机构的的安全专家、安全部门负责人和技术骨干。

活动伊始，锐少首先感谢上海地铁维保公司首席工程师沈青提供场地，接着万分感慨称停摆大半年的线下沙龙活动终于得以启动，也是得力于众多会员的热心支持。今天参会的朋友，有许多新面孔，代表着诸子云社群的新气象与新生机。未来还需要更多地线上线下交流，彼此学习，共同提升。

 锐少（中）主持沙龙活动

随后，在锐少的热情邀请下，诸位参会会员一一自我介绍。20余人，虽然均从事安全岗位，但却有着20多种别样的安全经历，让人大开眼界，也更为觉得安全能够做的事情还有很多，安全大有可为。

另外，安在新媒体创始人张耀疆，也作为特邀嘉宾，来到沙龙现场，并作了真挚而又精彩的致辞。

往年诸子云线下沙龙活动，在锐少的组织带领下，一年会有数次。今年临近年底，才是第一次，大家相聚，不可不谓难得。我很欣喜看到大家，更可喜的是看到了许多新面孔。说明安全人越来越愿意冒头，彰显自己的学识与风格。因为以前安全人通常比较低调，但时代已经不同于以往，需要主动发声和主动交互，才能为行业发展拾薪助燃。

今年虽受疫情影响，但网安并没有沉寂。在国家层面，网安相关法律法规接二连三，网安人的工作也变得更加复杂繁忙；在我们安在层面，也搞起了许多网安新活动。比如网安好播客直播，今年一共搞了22场，线上也是有声有色，让大家能够参与分享交流。

还有今年网安创投相当活跃，几千万以及上亿的融资屡见不鲜，新概念也不少，比如零信任、新基建安全等等。在这个经济寒冬的时代里，在这个疫情肆虐的环境中，安全行业还能呈现一片欣欣向荣之势，尤其是很多安全人熬过了十年二十年，终于迎来了新发展时期，是幸运，也是坚持的结果。大浪淘沙，离开的早已离开，留下的都是英雄。

此外，我深刻感受到网安人的视野和心态都在发生变化。比如甲方出来创业者越来越多，像顺丰刘新凯、唯品会黄承。以往安全创业者，大多出身于安全大厂、互联网安全巨头，所以甲方从业者创业是一种新气象。我曾和不少投资人交流时说，如今创投不要只看乙方安全厂商，也要看到甲方创新，因为创新就是有可能的创业。

另外安全人今年出书也比较多，我光书评就写了很多篇。这是一种可喜的现象，说明大家都愿意分享。以前安全人技术出身，确实相当单纯，不屑、不敢、不愿或不擅长分享，现在分享的欲望越来越强烈，其实有助于技术架构的延续和经验理念的传承。

我们现在正努力把诸子云支撑壮大起来，所以我奔波过很多地方，串联过很多人，包括厂商、产业都会去对接。看到越来越多安全人乐于分享，善于交流，我也越来越有信心，为安全行业做更多有价值的事。因为看到大家都呈现一种火旺的状态，大家一同去践行共同受益的事。聚沙成塔，水涨船高，最终能达到怎样的高度，可能会超乎我们此刻的想象。

现在，我们已经在做明年的规划，在此我不妨透露几点。

首先，诸子云社群线上线下活动一如既往，线下还会继续搞一些走访企业的活动。

其次，今年上半年网安好播客是一次尝试，虽然还未激发大部分安全群体，但最终呈现的效果还可以。今后可能疫情将会常态化，大家也难以天天见面，所以线上直播活动会做得更精细更好。网安好播客第二季明年还会继续，但会增加新花样，会有更多好玩的有趣的形式加进来，让大家继续参与。

比如，今年安在讲堂是一个人单方面分享，明年还可能多人一起，像锵锵三人行一样共同分享。我们今年已经做过相关尝试，感觉效果还不错。实际上分享也不用那么板正，可以就一些热点事件、产品使用等发表看法，或给出一些建设性的意见，甚至甲乙方坐在一起，拉着厂商的人一起当面吐吐槽。

再者，征文也会继续搞起来，今年可能大家也忙，不太顾得上会写，命题式征文可能也需要实践来匹配，所以影响参与度。明年征文形式将会调整，会让大家更觉得有趣。比如可能组织一季一季的打卡班，一次放多个主题，一旦报名，不能轻易退出。甚至我们会找大牛来指导怎么写作，怎么分享经验干货，让分享变成一种习惯。

我还会加大激励，今年一篇1000元或1500元稿费，明年可能不按单篇奖励，而是按一季，一季给一个大奖，年底还会给一个更大的年度奖项。我想搞得更刺激一些，让参与变得更有挑战和动力。最后还会把这些文章印出来，分发出去。现在像我们这样干的新媒体已经不多。

如今，诸子云在上海已有500多人，在全国累计已有1500人，人的基数有了，慢慢我就发现，这些人已经有了一个层次的区别，不光是职位的区别，还有参与度的区别。比如像陈欣炜，习惯性分享，不断地对外输出，被很多人关注和认识。其实你只要乐意分享和交流，你会很快表现出来，让人看到你的闪光点。

我们还会设置一个类似智库的更小的组织，如果你愿意分享，有能力分享，我们会组织到一起，来做一些真正具有持续性的稳定的一些事，比如共同输出报告等。

还有，今年已经有很多安全厂商找到我，不是要我帮他们卖货，而是要我帮他们推荐甲方顾问。比如金融安全业务，甲方相关业者肯定相当了如指掌，但乙方厂商不一定会懂，他们开发的产品可能会自说自话，不匹配甲方需求，陷入自嗨的尴尬境地。

实际上可以建立一种机制，甲方可以给乙方出出主意，哪怕就是挑刺都很好，关键是我们怎么建立一种相对规范又合理的机制，能够让甲方专业人员输出脑力，促使厂商改进提升他们的产品开发，其实对安全产业的发展也是具有积极意义。所以我们建立智库也是基于此。

其实我早就发现，一些大厂在外面有很多甲方的安全经理，他们和甲方不是简单买卖关系，而是共同协作和发展的关系。甲方安全人不再是传统地在企业做安全工作，完全可以参与一些创新中去，角色和身份不会变，也不影响工作，甚至对工作有所裨益，也让你个人变得更加丰满。

最后，我们计划明年二月之后，找个时间，邀请诸子云全国各地代表和积极骨干，搞一个诸子云年会。年会不只是开会当天的事，我们还会搞一些预热，搞一些年度评选，给出一些年终个人荣誉等等。因为一系列征文、诸子云项目、社群组织活动等，有很多值得感谢的人和值得表扬的人，所以会搞一些评选活动，线上预热，线下颁奖，让社群更热闹一些。

我们诸子云社群虽然不会一下子变得富丽堂皇，但一直在提升，让社群更有价值和凝聚力，长期参与社群活动的人能够受益，未来会有一种自豪的认同感。我相信会慢慢实现，当然也取决于大家的参与和支持。

我还有更多设想，但碍于时间有限，我便不一一讲述，请大家保持关注我们的动态，就能及时获知一些活动动态。感谢大家持久的支持与深沉的热爱。

从《银行保险机构信息科技外包风险监管办法征求意见稿》看金融云合规

招商银行全资子公司招银云创合规经理 陈欣炜

云计算、大数据、人工智能等新兴技术正在成为金融机构的核心竞争力，担负着增强金融创新能力、助推金融转型升级的重要使命。银行、保险、证券等金融机构纷纷上云，希望通过云服务提升运算能力、改善系统体验、重组数据价值，为客户提供更高水平的金融服务，寻求业务创新的机会。

在金融行业迈向全面“云化”的进程中，安全、合规是金融机构首要面对的命题。那么随着《银行保险机构信息科技外包风险监管办法征求意见稿》的公布，金融云合规应该注意哪些方面呢，陈欣炜给出了一些他的实践经验与理念看法。

陈欣炜认为，金融云业务属于非驻场银行机构信息科技外包，因此直接监管文即2013年开始的外包风险管理办法系列（含2013.5，2014.187，2014.272等）。此次新的征求意见稿将废弃之前的监管文件，对目前的金融云合规带来新的挑战。目前征求意见已经结束，届时发布文可能有变化，但应该不大。

至于此次分享的受益对象，将包括对于合规陌生，对于金融云陌生，对于上云焦虑，对于监管焦虑，对于供应商管理焦虑的网安从业者。

首先，陈欣炜介绍了外包风险对金融云的合规管理。金融云的强合规要求主要在两个方面：一是金融云自身提供服务属于非驻场服务，需要遵守非驻场外包的相关要求；二是金融云本身作为一个系统，受到网络安全法的监管。

综合我国合规要求相关的法律法规，金融云的客户须在上云项目前和定期对已购云厂商进行检查，这类检查被称为尽职检查和尽职风险评估，并需要形成文档进行报送。

陈欣炜还介绍道，银行业金融机构应当要求银行业重点外包服务机构具有如下相关领域资质认证：

(一)具有完善的信息安全管理体系、业务连续性管理体系，并通过业界公认较为权威的信息安全管理和业务连续性管理资质认证。

(二)具有完善的质量管理体系，并通过业界公认较为权威的质量管理资质认证。

(三)承担银行业金融机构数据中心、灾备中心机房及基础设施外包服务的银行业重点外包服务机构，其机房及基础设施应当达到国家电子计算机机房最高标准。

(四)承担集中存贮客户数据的业务交易系统外包服务，或承担银行业金融机构客户资料、交易数据等敏感信息的批量分析或处理服务的银行业重点外包服务机构，应当具有完善的运行服务管理体系，并通过业界公认较为权威的运行服务管理资质认证。

此外，银行业重点外包服务机构应当每年聘请独立的审计机构,对自身外包服务进行风险评估,年度风险评估报告需报送所服务的银行业金融机构，并抄送银监会或其派出机构。

陈欣炜强调，对于该要求的实现，金融云须通过信息安全体系（ISO27001）、服务质量体系（ISO9000）、业务连续性（ISO22301）、机房最高标准（Tia3+）、服务管理资质认证（ISO20000）、第三方审计（如SOC审计）。

其次，陈欣炜详细解读了新征求意见稿内容和初步分析。其中最明显的是适用机构范围扩大，适用行从简单外包管理到更广泛的外包管理，外包原则也范围扩大，最大的改变则是强调“不得将信息科技管理责任外包”，另外还更强调“事中监督”。

此外，组织架构要求也发生改变，比如治理架构部门强调，银行保险机构应建立覆盖董（理）事会、高管层、信息科技外包风险主管部门、信息科技外包执行团队的信息科技外包及风险管理组织架构，明确相应层级的职责，确保信息科技外包治理架构权责清晰、运转高效、制衡充分。

另外尽职调查时效和范围发生变化，过程监控范围扩大和记录时间增长；业务连续性管理发生了相当大的改变，信息安全管控部分则有大段新增内容，非驻场外包和审计评估要求也有小部分新增要求，事前报告则增加范围，更强调重大事件报告和检查。

接着，陈欣炜讲述了外包迎检的矛与盾，他认为，检查和应审五大流程包括审前准备、审计实施、审计报告、后续审计和成果运用。审计方法不仅仅是取证方法，而且是一个完整的体系。审计人员与被审人员都有各自的心态表现，审计人员应及时掌握被审人员的心态，并适时调整自己的心态，恰当运用审计方法，以便能做好审计工作。

由此，陈欣炜提出了三原则：1、尽职检查，评估风险，是甲方的责任；2、甲方无法比供应商更了解自己；3、甲方需要最大限度的屏蔽风险。

最后，陈欣炜谈到未来可预见的其他合规趋势，他给出了几点重要总结，比如人行 2018年195号文云相关管控落地、密码局-国密改造、关键基础设施评估落地、敏感数据和个人信息评估、APP多部委联合专项、特定系统的等级保护3级要求、银保监会新外包管理相关文件落地等。

数据安全之个人信息保护

公安部第三研究所检测中心物联网与工控安全测评实验室主任 张艳

数据不仅是数字经济的关键要素，也是信息时代重要的生产要素。在我国，数据安全更是被上升为与国家安全同等重要的地位。

其中，个人信息保护也是数据安全的重要一环。我国互联网产业何以前浪翻腾、后浪奔涌？一因数据是一种新兴事物，法律治理也在探索之中，尤其是关于个人信息的采集、使用边界往往不甚清晰；二因我国网民数量极为庞大，海量个人信息不断为企业发展提供了源源不断的生产资料。

那么，目前信息安全现状、安全监督和保护形式又是怎样的呢？张艳给出了详细解析。

首先，张艳讲述了当下数据安全现状。近两年来，即2019年至2020年，数据安全事件频繁发生，比如从Armor Games、Dubsmash等公司旗下的16个网站获得的6.2亿个账户在暗网中出售；Facebook明文存储了数百万Instagram用户的密码；50万个被盗的Zoom密码在暗网供出售等等，可谓触目惊心。

此外，个人信息安全问题同样不容乐观。个人隐私数据窃取案件频发，超范围采集用户隐私数据数不胜数，个人隐私数据被肆意贩卖的情况屡见不鲜。

接着，张艳介绍了国际法律法规发展概况以及我国数据安全监管政策，她做了一个详细的列表统计，逻辑清晰，条理分明。

张艳分析《网络安全法》认为，数据安全包含保密性、完整性和可用性。个人层面的信息保护则包含数据安全、个人的信息控制权利、网络运营者等相关方尊重个人控制权利的义务；国家层面的数据安全保护则包含数据安全、重要数据的支配权、防止重要数据遭恶意使用对国家安全的威胁。

随后，张艳又介绍了数据安全法草案、个人信息保护法草案对个人信息保护的侧重点和保护范围，以及相关的国家标准和国际标准。并详细介绍了近几年来公安部门整治非法获取个人信息等行为的治理状况，以及移动金融客户端安全管理、工信部开展App侵害用户权益专项整治、教育移动互联网应用程序备案管理等等。

张艳总结道，个人信息保护法规体系不断完善，定义逐渐清晰，配套的政策、要求、规范、标准等配套措施不断完善；App成为重要监管对象；随着法规的出台，对于企业在个人信息的收集、传输、使用、转移、存储整个数据生命周期中都提出了相关要求；各项监管条例都规定个人信息的所有权是数据主体，赋予了数据主体应有的权利，并要求企业能够让数据主体行使权力。

接着，张艳谈到企业保护公民个人信息的义务。从个人信息的所属识别，到获取个人信息的渠道途径，以及个人信息如何从一个控制者合法合理转移到另外一个控制者，都给出了详细说明。

张艳指出，个人信息保护的目标是保障个人的合法权益和社会公共利益，遏制非法收集、滥用、泄露等行为。而保护方法为去标识化、匿名化（《网安法》第四十二条规定内容表明经过处理无法识别特定个人且不能复原无须遵照个人信息保护的规定），以及遵照《个人信息安全规范》的技术要求进行保护。

最后，张艳介绍了等保2.0中对个人信息的保护规则以及企业对个人信息保护的思考，比如对于企业，应当核查采集的用户信息是否是业务应用必需的；是否采用技术措施限制对用户信息的访问和使用；建议用户使用数据加密技术，加密后的数据即使被泄露至少不能识别特定的自然人。

张艳强调，约束企业滥用个人信息，当以技术填补管理的缺失，用制度为技术增加多重保障。

“本次沙龙活动议题PPT，可至诸子云知识星球获取。”

齐心抗疫 与你同在