诸子云 | 活动：10.16上海大型企业网络安全研讨会

9月1日，《数据安全法》正式落地实施，作为我国第一部有关数据安全的专门法律，对数据的使用、流通与保护做了进一步的规范。对于企业来说，数据安全防护将面临合规监管史无前例的挑战，这个过程中，解决数据资产发现以及数据安全治理当中存在的问题至关重要。

与此同时，即将在11月1日起正式施行的《个人信息保护法》，为中国个人信息保护完成了顺应时代的系统设计，也为世界提供了一个充满借鉴价值的中国方案。对于企业来说，个人信息的监测和管控也将面临更加严峻的挑战。

基于此，10月16日，诸子云“大型企业网络安全研讨会”在大家的殷切期待中于上海久事衡山大酒店如期举行。

本次研讨会由诸子云主办，诸子云秘书长张威担任主持，简单的开场白之后，他适时将话筒交给了在场嘉宾。

活动有幸邀请上海锅圈供应链、上海飞机设计研究院、极兔快递、上汽云计算中心、福维克、米哈游、东方航空物流股份有限公司、锦江酒店、希尔顿酒店管理有限公司、远景能源、天安财险、银联、上海电科所、千寻位置、蓝光地产、中国东方航空股份有限公司、中通快递等企业的安全专家参与。

长亭科技技术架构与解决方案中心负责人崔勤、安华金和华东区技术总监朱晓东、中通快递高级安全专家陈圣、某上市公司安全负责人孙琦，四位专家进行了分享。

智能化安全运营实践一瞥

崔勤 长亭科技技术架构与解决方案中心负责人

我们在讲智能化安全运营的时候主要考虑三个部分：安全事件运营、安全能力运营以及自动化。常见的安全运营通常指的就是安全事件运营。

但是安全事件运营当前面对许多困境，第一是安全事件不完整（无法集齐），检测方法没办法确保能够检测出所有的安全风险，就会存在漏报的问题；第二是容量有限，从而导致特征库的不完善，就会存在误报问题的发生，误报的数据最终影响分析效率。

所以当我们在进行安全事件运营时，首先应该分析网络拓扑和安全能力。因为在不同的网络环境和安全架构下，同一款安全产品所表现出来的效果是有所区别的，所以我们需要通过网络拓扑先进行摸底，了解清楚到底需要防护什么，如何防护。

目前业界对于安全事件运营的方法，主要基于三点考虑：

1、安全威胁类型。安全设备同类事件不同告警的聚合问题；

2、网络区域类型。不同网络区域重点关注问题；

3、安全业务场景。基于业务场景需要制定相应分析策略。

所以我们其次需要根据不同的安全威胁类型、网络区域类型和安全业务场景来设计分析策略，进行有效性验证，实现常态化的运营。最后我们还需要通过不断的攻防演练来将我们的安全事件运营能力得到持续的迭代，并进一步根据实际安全问题来补充安全能力。

但做到这些我们也仅仅只是实现了安全事件运营这一个子集，而另一个子集安全能力运营则更值得关注，因为安全能力的强弱很大程度上决定了安全事件运营的效果，不能被动地等到事件推动以后，才发现没有配备对应的安全能力。

常见的办法是在评估端对漏洞攻击、扫描探测、口令爆破等集中常见的攻击类型进行知识集合，然后在内网部署探针对不同区域进行验证，通过验证的结果来评估安全能力运营的成效。

自动化的作用在于帮助我们关注安全效率，将已知问题的解决操作通过自动化的方式来实现。业界最熟知的就是SOAR，一类从各种来源获取输入，并应用工作流来拉通各种安全过程与规程，从而为安全运营人员提供机器协助的解决方案。

这样的好处是可以缩短响应时间，释放人力，让日常的工作通过自动化编排的能力来解决，提升安全人员的工作效率，并释放他们来处理其他更重要的工作。这个过程中我们也可以实战自动化封禁，在多元数据的数据基础上，实现灵活的自动化封禁能力，其中包括：

1、多元数据关联分析，平台接入安全设备日志，关联分析精准发现威胁；

2、配置剧本实现流程，通过 SOAR 实现自动化封禁流程；

3、测试调试，模拟数据调试流程；

4、自动化封禁，提高高危IP封禁效率，无需在手动下发封禁策略。

个人信息监测与保护思考

朱晓东 安华金和华东区技术总监

由于业务更加开放和复杂、缺乏有效的制度和监管手段、数据流动大、新技术大量使用等原因，个人信息泄露事件在近年来频繁发生，个人信息处理活动也面临着识别难、管理难、贯标难、检测难、防护难、追溯难等问题。

常见的个人信息保护思路主要有以下几种：

• 以数据生命周期策略为中心的思路；

• 以个人信息为中心的思路；

• 以个人信息关联映射为中心的思路；

• 以数据安全体系化建设为中心的思路；

• 以数据安全流程化、标准化建设为中心的思路。

将这些个人信息保护思路整合在个人信息安全运营管控平台当中，就形成了个人信息监测、管控的综合能力。通过安全运营管控平台，我们可以在数据安全运营的过程中为客户提供上述5个方面的能力保护。

安华金和个人信息监测保护解决方案主要包括以下几个方面：

• 资产梳理和数据分类分级。在对资产进行盘点和按照数据特征进行识别之后，根据企业内部的标准做分类分级；

• 个人信息映射视图。这个环节的目的是建立个人数据和个人金融信息映射关系和联动关系，包括个人信息数据全貌、个人信息位置、业务和个体信息对应关系；

• 构建个人金融数据、信息管理制度。通过对法律法规、数据安全标准和行业监管标准进行采标之后，制定企业数据安全规范制度，主要包括10个制度、17个规范和4个流程；

• 个人信息安全技术架构设计。分别从安全运营、数据安全管控能力、基础安全能力这三个维度，构建数据安全监控和运营及基础监测和防护；

• 构建场景化的技术方案。基于个人敏感数据分布视图、个人敏感数据流动视图、个人敏感数据访问事件分析视图、个人敏感数据风险分析视图等，实现个人敏感数据流动监测和管控；

• 构建具体业务的安全方案。通过个人敏感信息综合保护方案逻辑图，实现个人敏感信息资产清晰可见、资产变化可知、资产访问可控、信息删除可行、业务合规可达、跨境业务监测的目标；

• 构建长效的安全运营体系。数据安全运营包括数据安全日常运营管理、数据生命周期和使用场景安全监测和保护、数据安全运营监督三大能力。通过运营管控平台，实现集中化、日常化的数据安全运营流程，帮助数据安全运营方实现数据安全日常运营最佳实践；通过可视化的运营监督能力，实现运营监督中心，帮助管理方和监督方全面掌握数据安全运营状况，持续完善数据安全运营能力。最终做到对整个数据生命周期和使用场景全方位的安全监测和保护。

通过个人信息监测保护解决方案，我们可以从宏观视角对数据资产、数据风险、数据访问和使用进行掌控；从技术视角对数据安全做集中式的综合部署和调整；从迎检视角让企业具备完备的稽核体系、技术能力、管理体系；最后从业务视角让安全融入业务，在实现业务和安全平衡的同时，协助业务调整、调优。

隐私政策合规避雷指南

陈圣 中通快递高级安全专家

首先我总结了一些App隐私合规当中的典型雷区：

• 首次启动时无隐私政策弹窗，且在注册登录界面无隐私政策；

• 隐私政策用户无法正常访问，打开提示报错，如404；

• 隐私政策内容与个人信息保护不相关，如公司官网；

• B公司使用不相关的A公司隐私政策，未提供自身的隐私政策；

• 隐私政策未包含收集的个人信息的类型、目的、方式、范围；

• 隐私政策描述含糊，未清晰说明收集处理个人信息的目的、方式、范围；

• 应用在后台状态收集个人信息，但未在隐私政策中说明；

• 隐私政策未包含第三方SDK收集处理个人信息的目的、方式、范围；

• 隐私政策中对第三方SDK的描述含糊，未清晰明示第三方SDK收集处理个人信息的目的、方式、范围；

• 隐私政策中对第三方共享个人信息的描述含糊，未明示共享的第三方身份、目的及个人信息类型；

• 隐私政策中已明示共享的第三方身份、目的及个人信息类型，但未征得用户同意；

• 隐私政策中对定向推送的描述含糊，未明示将收集的用户个人信息用于定向推送、精准营销；

• 隐私政策中对定向推送使用的第三方个人信息来源描述含糊，未明示第三方的个人信息来源；

• 在用户不同意获取权限时，App强制退出、无法注册登录、频繁弹窗无法进入；

• 首次启动时，批量申请所有权限；

• 首次启动时，立即申请非必要无关权限；

• 未在隐私政策中明示自启动或关联启动其他App，且无合理的使用场景，关联启动其他App；

• 点击闪屏广告或弹窗广告任意位置后，未经用户确认，立即自动下载第三方App；

• 未清晰明示下载按钮，诱导用户下载第三方App；

• 向用户宣传的是下载安装XXX清理App，但实际用户点击后下载的是一个贷款App，与宣传不符，欺骗用户。

对于App隐私政策的整改方法，我总结了以下几点：

• 隐私政策引言部分提及“直接或间接控股子公司、分支机构、加盟合作伙伴”等概念，需要明确对该等概念的理解与定义，并以表格形式列明具体主体的名称；

• 逐一列明在开展业务中收集个人信息的方式(渠道)、场景、及收集的信息范围；

• 填写表格时，所填的内容务必全面、清晰、精确，避免使用“等”、“例如”、“其他”模糊字眼；

• 明确说明收集客户敏感信息的处理目的、方式；

• 隐私政策中涉及多种第三方机构，请详细列明向第三方机构提供个人信息时，所涉及的个人信息种类、第三方机构的身份（名称）、处理目的以及处理方式；

• 对于改善产品或其他服务条款，在向客户提供个性化服务以及改善产品和服务时，是否涉及个性化展示[ 个性化展示：基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。]的使用？如涉及，需要说明具体应该场景？另外，若有保障交易安全的条款，需要说明其关联性如何。

• 若隐私政策中含有“个人信息如何在全球范围转移”项时，需将个人信息传输至境外的场景，及向境外传输时，境外接收方的身份（名称）、处理目的、处理方式，以及个人信息的种类，需要详细了解清楚。

我对App隐私政策的整改过程做了一个总结，首先是App安全上架发起，第三方平台对App进行静态检测，这个过程中可以通过人工自评的方式，再交由研发部门整改，随后进行人工复测，最终通过审核，在商城上架。在此之后我们还需要在新业务接入以及App版本更新的时候，通知用户并再次得到勾选授权。

这里有一个需要注意的点，就是在用户注销或删除个人账号时，App不应过多设置不合理注销条件，例如用户当时仅用手机号注册，注销时 App却以验明身份等理由索要用户身份证号、地址、照片等额外的个人敏感信息，这种做法不合规。

对于App隐私政策的整改，我的建议是，在盘点评估目标时，要制定业务的规范，根据出台的技术规范制定考核的方法。我会站在合规的角度把面向客户的App、自评计划、检测能力自动化、建立App合规审查小组以及SDK管理规范进行梳理，甚至直接在公司层面出台相应的政策，通过政策来规范研发、合规，乃至整个App研发小组，并建立了良好的内部通报机制。

最后，我认为合规工作应该由App合规管理部门负责开展，App开发运营部门、App业务管理部门分工负责；或是由法务或信息安全、合规管理部门负责牵头开展，App开发、技术、运营部门、App业务管理部门分工负责。

随便聊聊

孙琦 某上市公司安全负责人

作为一名信息安全从业者，无理论是甲方还是乙方，都会把自己幻想成一名英勇善战的救火英雄，但实际上对于公司的领导来说，即便他们知道我们解决了很多的问题，投入了很多的精力，但依然只把安全团队看作是一个非常后端的部门，我们也只是一群消防队员，离“英雄”二字似乎相去甚远。

站在领导的角度来看，他可以花钱建立一支专业的消防团队，来负责一个厂房的安全，但他同时也可以选择保险或第三方外包的形式来解决这个问题，对于安全也是一样。所以作为安全从业者，我们的饭碗实际上在今天就面临着可能会被替代的挑战。

那么面对安全事件的发生，我们应该思考三个问题：

问题发生前，你在哪里？

问题发生时，你在哪里？

问题发生后，你在哪里？

在问题发生之前，我们首先要确保有效的监控和可以被量化的指标，来把所有可能触发安全风险的行为监控起来。也就是说对于任何安全类或IT治理相关的事件，我们都需要有全方位事前准备，并用数字化的方式把我们的安全工作呈现出来，告诉领导我们的信息化治理和管理是有效的。

在问题发生之时，我们要具备事件的处理能力。以soc为例，它存在的意义并不是通过一个大屏向我们展现安全事件，而是要求了我们要具备处理这些安全事件的能力。所以我们要根据事前准备的数据和问题发生时的数据来进行自动化响应，保证所有的技术化手段都是依据我们的目标来做，有了目标就能够清晰地借助自动化手段来帮助我们更好地应对安全事件。

在问题发生之后，故障复盘对我们来说是最重要但也是最痛苦的事情。既然是复盘，就一定会有定责，定责就意味着有人要挨板子，而且这件事必须要由安全团队来做。作为一名安全团队的负责人，想要让团队更好，就必须勇敢地站出来牵头复盘，赏罚分明，是我的错就是我的错，不是我的错也别想让我背锅。

我认为解决安全问题时需要时间的，这个时间就等于我们的检测能力+响应速度+安全能力。

首先，检测能力最主要依托于我们在事前和事中的应对措施及应对能力；响应速度要求我们在事中做到及时响应，这需要有一个人和一套标准来帮助安全团队，根据公司的环境、业务侧重和业务流程来建立响应机制；而在具备了检测能力和响应速度之后，就形成了我们的安全能力，这当中不仅包括技术能力、响应能力，还考验了我们的沟通能力。

回到开头我所表达的观点，作为一名安全从业者，我们在未来的3-5年很有可能面临着被别人替代的可能。这些人并不是我们的同行，而是公司的法务和合规。作为法务，当安全技术可以实现自动化以后，那么安全人员的必要性就会有所下降；而作为合规，当他们拿着各种条例来向领导汇报的时候，领导会更加信任他们。

但现阶段还比较可喜的是，安全技术的护城河还是比较高的，其他部门的同事想要在短时间内转行做安全并不容易，所以对于安全从业者来说，目前为止还是比较安全的。但是反过来说，我们也应该同时学习法务方面的知识，因为网络安全正处于飞速发展期，迎接着我们的挑战将会非常多，与其等着别人来抢饭碗，不如我们早走一步。

现场花絮

FHOTO