诸子云 | 2021评优：最佳分享候选展播及投票

诸子云，是由安在新媒体发起、组织并运营，以中国境内各行业各领域企业机构网络安全从业骨干为主体的纯民间社群组织。利用安在作为专业媒体的便利和优势，诸子云开展个人专访、主题征文、日常交流、聚会研讨、项目协作、专题调查、点评选优等一系列社群活动，旨在为企业用户（甲方）一线工作者提供一个交流互助、影响传播和价值共享的平台。

自2018年8月成立至今，诸子云先后在上海、北京、深圳、杭州、武汉、厦门、西南（成都+重庆）、厦门、广州、南京等地开展活动，认证会员近2000人。会员分布极其广泛，涉及超过80个不同的行业，其中尤以金融、互联网、制造和大型企业为众。从职位来看，会员有超过20%担任所在企业机构的高级安全岗位，超过40%为中级安全岗位。

除了常规性的社群活动和事务，基于诸子云，秉持“取之于民，用之于民”的原则，近两年来，安在更是策划组织了多个创新性项目，包括网络安全“大众点评”——安在新榜，网络安全公益直播——安在讲堂，网络安全创新测试——POC，网络安全“黄埔军校”——超级CSO研修班，网络安全知识分享——诸子笔会，以及诸子云知识星球等。

与此同时，基于诸子云，安在还建立了更为集聚的高端社群——超级CSO俱乐部，广泛地推广CSO文化。并组织甲方社群中典型而优秀的积极分子、有识之士、善分享者，成立以甲方业者为主体且面向甲方用户的智库组织“百家智库”。更进一步活跃社群、惠及会员，从而更好地为中国网络安全产业发展提供助力。

值此新旧交替之际，为感谢过去一年来诸子云会员在社群共建方面所做贡献，我们特别策划了年度评优活动，以分会推荐+日常积分为准推举候选，同时采取网上公开投票的方式，选出诸子云2021年度“最佳分享”、“最佳作者”、“最佳项目”、十佳会员”和“最佳分会”等荣誉称号。

本次推文，是年度评优活动的第一期，即2021年度诸子云“最佳分享”的候选展播和公开投票投票。所列举的是在过去一年内，诸子云的专家会员们在各个线上或线下活动中所作的主题分享。

自2021年5月起，线上活动共计11场，线下活动共计15场，其中，40余位诸子云专家全方位的呈现了近50个优秀主题分享。“石韫玉而山晖，水怀珠而川媚”，这么多精彩纷呈的分享让很多观众受益匪浅，也为整个业界带来了新思想、新浪潮。

范围：所有在安在讲堂直播、线下客户会或诸子云沙龙进行的分享

网络投票

评选唯一大奖

2021年度诸子云分享概览

（点击标题查看文章详细内容）

王振东

某互联网公司网络空间安全与隐私保护爱好者

从某移动出行企业赴美IPO后所带来的一系列国家监管机构的动作来看，中国互联网用户被迫用隐私换取便利的时代即将一去不复返了！

蔚晨

某金融科技安全负责人

个人信息保护是企业信息安全防护的热点话题，面对如此重压，企业安全管理者却略显迷茫和无奈。如何从众多条例中找到最紧急最重要的，以及如何按部就班实现个人信息合规都是当前企业亟需解决的问题。

马一烈

某奢侈品公司亚太安全负责人

安全不仅是工具和手段，更重要的是，它越来越成为企业核心能力的算法。人、数据和算法共同构成了未来企业管理的核心能力，基于此，她向大家分享安全管理本身的模型化研究。

刘志诚

乐信集团信息安全总监

数字化是目前比较热点的话题，他通过数字化转型、网络信息安全到网络空间安全、数字化安全分析、技术创新与发展、解决方案、落地实践、预测与展望分别是什么与大家展开讨论。

李广林

陌陌安全/前同城艺龙安全负责人

常态化疫情防控的现时之下，社会和行业都面临着诸多的安全挑战，而数据安全越来越成为被关注的焦点。他基于实践经验的分析与总结，就如何开展有效的数据分级，如何对数据的使用进行合适的监测和保护与大家进行深入探讨。

胡恺健

Amber Group数据安全与隐私保护专家

自从欧盟议会在2016年通过GDPR法案，国外不少安全厂商已经开始陆续发布隐私科技产品工具，旨在帮助企业更好地应对诸如GDPR、CCPA等数据合规要求。

金佳华

某互联网公司高级数据安全专家

安全管理体系建设，是一个逐步建设，逐步完善的过程。以法律法规为依据，以安全策略与风险管理为指导，涵盖数据生命周期管理、安全能力保障等内容，覆盖不同的应用类型，并且借鉴其他标准/体系，形成一个没有明显短板的管理体系，做到有法可依、有据可查。

蔡培特

越秀集团信息安全主管

为什么要做等保？因为等级保护是我国信息安全的基本政策，通过等保可以合理规避网络安全与合规风险，也可以维护单位良好的形象。围绕等保合规建设实现安全管理体系化，是当下中国中小企业全面提升安全防护能力的必要路径和契机。

赵锐

某大型企业安全和合规负责人

个人信息保护法中对个人权益里的同意义务进行了深度的加强。要求个人同意需要充分享有知情、自愿、明确、撤回等权利，不得以个人不同意处理其个人信息或者撤回同意为由，拒绝提供产品或者服务，必须的除外。

林客

某企业信息安全专家

隐私合规在当前需要引起我们更加的重视，因为基本满足监管要求已经不足以应对当前的网络安全趋势，隐私合规也应该逐渐转变为企业的内控需求。我认为安全建设功在未来，不是一蹴而就的事情，需要不断努力。

张殿勇

某外资企业法务合规部经理

可以发现，法律之所以予以规定个人信息的保护，其本质是个人信息具有法律保护的价值，换言之，具有法律保护的价值是个人信息的另一个维度定义标准。

陈圣

中通快递高级安全专家

判定某项信息是否属于个人信息，主要应考虑“识别”和“关联”这两条路径；对于个人敏感信息，需要满足特殊标记、增强告知、强加密、单独存储、独立规则的重点保护要求。

刘顺

某金融机构安全专家

制度建设环节我们专门制定了包括体系管理类、安全设计类、安全编码类、平台安全类和安全测试类的各项管理规章；同时我们还设置了安全制度规范库，针对不同的人群开设不同的安全培训和课程考试。

杨文斌

某电商公司安全管理

全球新兴技术领域，开源成为主要技术路径，好处在于开源生产模式成为新一代软件开发模式，能够节约成本，缩短时间，提高效率；但与此同时，开源风险问题凸显，开源软件知识产权问题蔓延，成为开源应用屏障。

李维春

安信证券信息安全总监 

业务安全是为了防范企业核心业务流程中出现风险，避免业务遭遇各类威胁或遭受经济损失，保障整体业务逻辑的顺利，最终帮助企业达成业务目标、降低经营成本、提升业务收益，进一步增强企业竞争力而采取的风险控制措施的总称。

刘志诚

乐信集团信息安全中心总监

安全需要生态协作。随着环境的变化，安全的关注点早就从in B变成了2B，2C，2G的生态，所以当前的安全应该是场景为王的。但是乙方并不知道甲方的业务场景到底有多少，所以就需要甲方的安全负责人和专家把自己的需求按照场景的模式设计出来。

方斌

锅圈食汇安全负责人

我认为安全建设的目标是帮助企业不罚钱、少亏钱、多赚钱。所以我在开展安全建设的过程中，核心目标主要围绕业务安全、数据安全、基础安全、人员安全和安全合规。

向阳

云丁科技安全总监

安全架构的意义在于保障业务安全，降本增效以外，还能够通过安全架构模型全面识别体系化的设计缺陷，相对于漏洞测试而言，安全架构更具有整体观，识别的风险也更加全面。

据安全、基础安全、人员安全和安全合规。

朱士贺

七牛云网络安全负责人

安全技术团队可以对漏洞进行分析并输出POC，根据POC我们可以进行集成检测。与此同时另一个路径需要识别资产受影响范围，再研判缓解措施，并进行监控&告警。如果没有官方补丁，我们可以考虑自研补丁，最终跟踪修复&漏洞系统验证。

骆中

某企业信息安全专家

企业传统安全架构正在面临新的挑战，我们需要新技术和新理念来解决新挑战带来的新风险，零信任就是其中之一。

杜建荣

友邦资讯科技云安全经理

云上安全有三条基本原则：尽量使用云原生（或云市场）的产品；所有产品或服务的调用都需要有日志记录下来；对权限的授予需要非常注意，遵循最小特权原则。公有云安全中容易忽略的六大细节，比如说互联网出口、网络、服务器、数据库、SaaS服务、账号管理以及其它类型。

蔚晨

某金融科技安全负责人

金融业务的属性，对于金融业信息化及信息安全化具有更高要求，即稳定、成熟、合规属性强。从而我们得知，金融科技信息安全工作的本质，就是对业务数字化过程中的风险进行管控，在事前、事中、事后的不同阶段，通过组织流程、技术管控、检测评估等不同手段保障信息的安全，从而支撑业务的有效、可用。

孙琦

某A+H股上市公司信息安全负责人

能在残酷的市场竞争中活下来的公司，都会对资源的配置斤斤计较，如何在控制安全成本的前提下更好地保护公司的系统安全，成为了重中之重。

潘梦军

某研发企业前信息安全负责人

数据出口与业务流程融合的目的，明确和落实流程节点上的安全职责。只有管理职责明确了，技术措施才能更好的发挥作用，管控效果才能更好的体现。

李磊

某公司安全专家

2020年新冠疫情的出现使得大多数企业开启远程办公模式，随之带来接入内网人员数量骤增、远程权限松绑和接入终端类型多样化等变化，放大了远程办公的数据安全风险。企业面临的点状数据安全风险，扩展成面，需要重点解决数据落地、核心应用面向外网暴露和拍照等风险。

姚史洁

传音控股信息安全总监

一个企业的商业模式几乎就决定了安全模式。比如富士康作为业界大型的制造龙头企业，大概有30万员工，12个事业部，规模庞大，其IT部门主要分成两个部门，一个是网络部门，另一个是资信管理部，两家都想要把安全握在手里，在这样的情况下两家就必须竞争。

李良

安信证券数据安全负责人

根据风险的评估结论，制定具体的策略与举措，针对性地缓解或解决风险。安信证券目前的策略要求主要落在公司规章制度，制定客户信息安全管理的相关细则，将策略在细则里进行明确。

郭政

滴滴出行资深安全专家

通过专家模型、大数据、机器学习和系统对接来分析员工的行为风险和历史基线，并对其做风险画像，从而判断他是高危用户还是低危用户，同时通过不断地复盘来丰富监控的场景和手段。

谢涛

某银行信息安全团队经理

要厘清哪些东西必须主责去做，哪些东西提需求给别人去做，哪些东西提要求监督别人做得好不好，哪些东西推动别人去按照自己的想法来解决。

张福明

上海九方云智能科技有限公司产品技术负责人

随着大数据分析、人工智能、区块链、云计算等新一代信息技术赋能业务，企业进入了新的发展模式，同时也给网络安全管理提出了新的需求。无边界时代正在来临，仅仅依靠防火墙、防病毒、入侵检测老三套的传统网络安全体系显然已不合时宜。

查亚东

深圳广电集团技术中心网络技术部副主任

互联网早已超越电视、广播、纸媒，成为事实上的第一大媒介，是当前舆论意识形态的主战场。作为舆论意识形态战线和传统内容媒体业的主流担当，“内容制造业”必须要全面挺进互联网新媒体和数字化转型的“主战场”。

陈凯晖

国泰君安安全负责人

所谓安全感，就是安全产品本身要安全，尤其是近几年的网络安全演练，让我们看到了很多安全产品在安全性上暴露出了很多的问题；所谓用户思维，对于很多厂商来说，他们的安全产品在最初的开发环境里，思路可能其实是很好的，但却没有从用户的角度来考虑用户的需求。

桂志勇

昆仑银行安全主管

陈欣炜（KC）

招银云创安全合规总监

同时从钓鱼邮件的点击时间分布来看，两个12点是高发期，再从部门的中招度来看，业务部门基本上沦陷状态，而人事行政和销售因为邮件过多反而不中招。

黄少琪

上海电信信息安全一级专家

联网新技术新业务安全评估应与安全管理工作紧密结合，始终围绕违法信息监测发现、定位处置、追踪溯源等关键监管环节开展评估工作，主要涉及 业务安全风险评估和企业安全保障能力评估两个流程。

肖忠林

微博安全高级工程师

随着攻击对手及攻击手段的升级，网络攻击目前主要呈现出网络军火民用化、网络攻击组织化、入侵手段隐蔽化、网络攻击产业化、攻击目标精准化、攻击技术多样化等几个特点。

陈圣

中通快递高级安全专家

首先是App安全上架发起，第三方平台对App进行静态检测，这个过程中可以通过人工自评的方式，再交由研发部门整改，随后进行人工复测，最终通过审核，在商城上架。在此之后我们还需要在新业务接入以及App版本更新的时候，通知用户并再次得到勾选授权。

孙琦

某A+H股上市公司信息安全负责人

在问题发生之前，我们首先要确保有效的监控和可以被量化的指标，来把所有可能触发安全风险的行为监控起来。也就是说对于任何安全类或IT治理相关的事件，我们都需要有全方位事前准备，并用数字化的方式把我们的安全工作呈现出来，告诉领导我们的信息化治理和管理是有效的。

向阳

云丁科技安全总监

数字化应用当前面临的安全难点主要在于形势复杂、安全及合规要求多；安全意识薄弱，企业未建立有效组织流程及体系，与业务联系弱；内外部安全事件增加，木马攻击、网络攻击、数据窃取及泄露愈发频繁。

李鹏程

太平洋保险深圳安全负责人

造成网络风险的原因有很多，小到个人黑客，大到国家行为，但攻击手段都差不离：电脑病毒、蠕虫、木马程序、DDoS攻击、0day攻击等。

齐迹

猪八戒网信息安全负责人

对于数据安全的目标，我们一是要符合各类合规要求，二是不出现重大数据泄露事件；而对于数据安全责任，我认为数据收集方是数据安全第一责任方，同时安全部门承担数据安全监管责任，并且要合理设置主次责任。

陈鹏有

罗克佳华数据中心红队负责人

信息泄露主要分为两种，一种是因为企业自身的信息泄露，如JS文件、备份文件、SVN、Git等，红队可以在这些文件中发现很多敏感信息和资产。

胡松林

西西弗信息安全部负责人

首先，要明确部门的核心职责，做好部门职责划分，岗位分工，因为只有明确岗位和职责，才能够以此为基础，引入每个岗位所需要的人才。其次，由于资产太多没办法区分，所以我采用了最简单的方式——将资产进行分级分区隔离进行治理。

诸子云 |2020年度诸子云评优

征文   项目   分享   会员   分会

齐心抗疫 与你同在