经历了小半年疫情的余波震荡，大家“正式”步入到疫情时代后的正轨，三个月的封城，为大多数企业带来了严重的影响，但也同时为新时代的办公模式开创了一定契机和条件，网络安全等各种IT方面的技术升级就是最好的象征，说明灾难并不能让我们跌倒，相反会使我们越来越敢于面对，越来越强大。

时隔三个月再度聚会，安全专家们一定有许多心声愿意分享，比如新的安全漏洞防治、个保下员工的数据安全等。基于此，6月25日，上海地区金融业信息安全专题研讨会终于在万众期待中如约而至，久别重聚的与会专家们在相互问候、闲叙家常的同时，也对疫情后的安全发展进行了详细的解读。

本次研讨会由诸子云上海分会主办，会长赵锐担任主持。活动有幸邀请同方全球人寿、上海电信、平安科技、中银证券、京东科技、武汉路特斯、浙江寰福、中通、千寻、宜家、光大银行、上海中通吉、交通银行、兴业银行、上海哲辛特、耐克体育、蓝光、非夕机器人、招银云创、众安科技、安言咨询等企业的安全专家参与。

某跨国企业中国CSO赵锐、招银云创合规负责人陈欣炜、安言咨询总经理董永乐、众安科技网络安全创新事业部高级总监秦峰，四位专家分别进行了分享。

对于员工而言，除了《网络安全法》《数据安全法》《个人信息保护法》之外，《劳动法》也是企业需要考量的法律之一。

企业要分析业务流和数据流，首先要确认自身生命周期安全的实际情况，另外要按业务场景制定员工知情同意的方式，特别是当企业涉及到跨境传输的时候，这在《个保法》里有特别指出。

企业收集个人信息分为入职前和入职后，入职前企业所收集的数据大多来自于简历，包括姓名、生日、学历、身份证、住址、照片、政治面貌、邮箱等；入职后企业所收集的数据和个人习惯有关，包括差旅习惯、就职习惯、上网习惯、职位变动情况、个人体检后的健康数据、家人的保险数据，这些都会产生数据。

人力资源部通常会通过自己的网站或者第三方平台进行招聘，因此就分为自主收集简历和第三方收集简历，因此所收集的这些数据必须是合法、正当、必要的。企业所提供的隐私政策里得包含背调公司所拿到的潜在员工的个人信息项。

另外对于健康行业、食品行业、餐饮行业，员工所要提交的健康证是国家法律规定的，所以企业对于这种情况下的员工体检数据，也得做好分析，总结它的必要性。

企业对于未入职员工的简历信息要做好梳理和处理，其中有几个要点：其一，只收集、处理评估面试人在招聘流程中的个人信息；其二，确保面试者知晓公司在招聘过程中对个人信息的处理流程；其三，确定处理个人信息的合法性基础；其四，对于第三方公司，包括背调公司、保险公司、猎头公司，企业要和他们签署包含个人信息保护的协议，并对他们进行充分的检查；最后，若面试者未能入职，企业对于面试者个人信息的保留、处置要得到面试者的单独同意。

对于入职后的员工，企业得在隐私协议里包含方方面面的内容并说明会对这些数据有哪些具体处置方法，包括体检、嫁娶、病丧、差旅、保险、家庭成员、考勤、福利待遇所涉及的各种数据和个人信息。

对于跨国企业，跨境数据依然要讲究合法、正当和必要。包括在传输过程中，接收方的名称、联系方式、处理目的、处理方式以及个人信息的种类等，都需要进行归纳和梳理。企业要让每位员工向境外接收方行使《个人信息保护法》等一系列法律规定的权利和程序，可在隐私协议里将这点阐明。

国内专利分为三类，外观设计专利、实用新型专利、发明专利，根据专利局的统计，发明专利只占所有专利的2%，实用新型专利占8%，其余皆是外观设计专利。

申请专利首先要填写技术交底书，即把自己提出的点子描述清楚。接着进行立案，根据交底书编写申请书，只要申请书格式合规，专利局便会接受受理并进行审核，此为初审。初审合格后进行实审，有些专利可能会经历1至6次的实审，最后出审理结果。拿到授权书之后还需要缴费，然后公示此专利申请作废。

所申请的专利并非是客观存在的，专利被申请时往往还是想象中的内容，如果等到落实后再去申请很可能被别人抢得先机。

技术交底书是研发人员提供给专利代理人的技术资料，需要详细介绍发明创造技术方案，是代理人撰写专利申请文件的依据。其中要注意的是，各家代理不同，格式会有所不同，其次得让代理人看懂创意，最后还要针对交底书进行解释。

技术交底书的内容包括基础信息、背景技术、背景技术的技术问题、专利的详细阐述、技术方案中有无可替代的部分、技术手段产生了什么技术效果、本专利需要保护的要点等。

申请专利有几个误区，比如想寻找一个惊天地泣鬼神的发明，几乎不可能；比如寻找一个可以落地的发明，而申请专利时不需要发明可以落地；比如寻找一个可以发财的发明，真的可以发财还为何要申请专利；比如寻找一个别人都想不到的发明，概率太小。因此得牢记，发明不等于发明专利。

可以说偷懒是点子的开始，不管是自动化还是人工智能，都是为了让人们更便利的生活；其次，行业经验是点子的源泉，当我们去想行业哪里还需要改变时就离专利不远了；最后，跨界思维是点子的爆发。

从专利的选择方向来看，选择范围不要求大，得从小入手，最好是选择自己熟悉的范围，或者自己能快速上手的类型。

从点子成型方向来看，得突破现状、曲线生存、突破行业、引领行业。比如改变观感的做法，无论是从形状、颜色，还是材质，比如改变目前操作习惯的做法、提升目前效率的做法、多种成熟技术的组合、革命性的新领域等。

专利交底书的撰写得注意几个方面。其一是现状是什么，其二是这个点子新在哪里、变在哪里，其三要看这个点子是否具备可行性，其四得注意这个点子是否具备通识性，其五这个点子是否有可预见的价值型并值得保护，最后要看这个点子是否已经被他人占用。

专利究其根本，专就是专有，利就是可以获利，因此专利的大方向就是两条，要么限制他人为自己逐利，要么解决行业困扰的，哪怕方向是错误的。

对于快速申请专利的几点感悟。首先需要日常积累，有好点子就记下来，可以是一句话，一个回顾，一句感悟，同时也要及时的回顾，因为同样一句话，隔几个月去看便是另一番感受。再者书写能力很重要，尽量提高自己的码子能力。另外，创新的敏感度很重要，得学会在不同的环境里寻找创新点。最后是需要跨界的思维，有时候跨行业的思维能起到很大的作用。

漏洞与信息化进程相伴而生，业务快速发展带来的资产数量的快速增加使得需要处理的漏洞成倍增长。2021年，攻击者不断利用漏洞展开攻击，安全事件频发。

其次，漏洞被发现和被利用的时间也越来越短，对网络运营者（的企业安全团队）来说，这是非常严峻的问题。漏洞的“难发现、难管理、难跟踪、难修补”让安全从业人员在工作中不断地遇到麻烦，因此有必要思考以下几个问题。

一、如何评价安全漏洞防治水平？

二、安全漏洞防治的理想效果是什么？

三、什么阻碍了安全漏洞防治达到理想效果？

四、安全漏洞防治最糟糕的效果是什么？

五、什么也不做会怎么样？

【思考一、如何评价安全漏洞防治水平】时间、成本、质量共同约束工作范围，这可以延用到衡量安全漏洞防治水平，关注“时间、成本和容量”。这里的时间指发现漏洞所需的“平均检测时间”和找到漏洞后的“平均修复时间”。成本即单位数量的服务器（含虚拟机）分配的安全漏洞防治人手。容量则分为两点，一是最高经得起多少漏洞同时冲击，二是单位时间内修复处置漏洞的数量上限。

【思考二、安全漏洞防治的理想效果是什么】在发现漏洞阶段要尽可能的快。这里的“快”有三个层次：1、厂商发布后能够第一时间知道；2、在社区能够第一时间知道；3、自己能够首先发现，无论是通过自己企业内部组织的漏洞挖掘活动，还是对外开放的SRC等。

在修补漏洞阶段，资产管理支撑要做好，才能第一时间准确地分配到责任人；同时要求安全团队、开发团队和运营团队之间的协作要到位，才能第一时间出解决方案；建立在这样的基础上，才能第一时间处置漏洞。

至于修补有效性，则只能接受“授权用户正常使用”这一种情况，另位三种必须避免：“授权用户非正常使用”、“未授权用户正常使用”、“未授权用户非正常使用”。

【思考三、什么阻碍了安全漏洞防治达到理想效果】归根到底无非是常说的三个方面：人的问题，流程的问题和技术的问题。通常来说，改变人的行为可以在短期内见效，但效果很难维持；而改变流程的问题所花时间较长，效果也比较持久；改进技术在短期内很难有明显的效果，但坚持长期投入，则会产生深远的影响。

【思考四、安全漏洞防治最糟糕的效果是什么】放任自流，什么都不做，接受现在的风险，这不一定是最糟糕的效果。谋定后动，系统地分析解决安全漏洞问题以降低风险，效果才好，是可取的做法。最糟糕的效果是“败事有余”，表面上做了弥补，但导致了更大的风险。所以需要意识到：修补漏洞能解决问题，但同时也可能伴随副作用。

【思考五、什么也不做会怎么样】“零投入、零产出是一条起跑线”，接受所有风险等于回到了起跑线。因此企业得从业务的角度、合规的角度思考，真的能接受所有风险吗？我的建议是“不可因噎废食，应努力减小修补漏洞过程中伴随产生的负面效果”。

回到安全漏洞防治现状。从宏观来讲，企业本身的管理制度、政策和方针是否支持是一大痛点。从“中观”来看，人员问题、能力问题、岗位职责和KPI也是问题。比如：管理漏洞肯定是安全部门的目标，但这恰恰不是应用开发团队的目标。因此企业的安全管理若没有开发、运营的积极参与，安全漏洞防治必然会停留在表面文章。再从微观来看，具体流程、操作规范等也需要施行到位，否则只是空谈而不能落地。没做好必要的准备而强行实施，可能只会导致更大的问题。

要做好安全漏洞防治工作。首先从整体管理层面，企业要去建立一个相对完善的管理制度方针和政策。其次企业需要建立一个专门的团队（即使是虚拟团队），结合相关的工具/技术和流程的改进来逐步达到防治目标。其大致思路是先建立管理流程，再想办法通过某种活动（比如安全漏洞挖掘）推动流程运转起来，最终用技术的方法将它落地。在落地的过程中，应尽可能地采用自动化的方式处理繁杂的重复劳动，提升效率，释放宝贵的安全团队资源。

随着我国《网络安全法》《数据安全法》《个人信息保护法》等法规及监管要求的相继出台，如何保障企业网络及数据安全合规，成为企业面临的重要课题。

网络安全的复杂性和不确定性导致传统安全手段只能缓解网络风险，无法完全规避残余风险，网络安全保险是转移残余风险的最好工具。众安保险作为中国第一家互联网保险公司，在互联网保险产品以及保险科技创新领域具有领先优势，我们发挥自身“保险+科技”的能力特色，迅速推出满足市场需求的网络安全保险产品和科技服务。

美国和欧盟是目前全球两大网络安全保险市场，美国企业投保网络安全保险比例高达70%。欧洲网络安全保险市场也在2018年5月欧盟实施《通用数据保护法案》（GDPR）后迅速壮大。法案对数据保护提出严格要求，涉及企业多、罚款金额高，很多企业开始借助保险工具来转移风险。而亚洲等其他市场的网络安全保险行业起步较晚，发展正处于新兴阶段。

近两年，我国在相关政策指导文件中也陆续提出探索开展网络安全保险试点。2021年7月，工信部发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》提出，探索开展网络安全保险。面向电信和互联网、工业互联网、车联网等领域，开展网络安全保险服务试点。

2021年9月，在上海市经信委和银保监局指导下成立网络安全保险专班，众安保险作为保险侧成员单位、众安科技作为技术侧成员单位，分别参与相关保险产品设计、科技服务设计及标准起草等工作。

公安部【2022】1058号，《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》，【措施23：加强自主可控和创新工程安全管理】探索开展网络安全保险，构建“保险+风险管控+服务”模式。

我国网络安全保险仍处于萌芽起步阶段。在需求侧，国内目前对网络安全保险投保动力不足，即对网络安全风险管理的重视不够、对信息泄露的维权意识不高、对网络安全保险的认识不足、投保意愿不强。

在供给侧，安全和保险投入都不足，并且安全服务尚未契合保险流程。主要体现在风险评估结果难以直接服务于核保分析等流程，风险监测指标尚未与保障范围内的网络风险高度关联，溯源取证服务与保险理赔目标不一致。

因此，安全设施投入与网络安全保险投入成为最高效的安全投资，能够保障供应链风险、数据泄露隐患、DDos攻击、钓鱼欺诈、恶意程序、网络勒索、未经授权披露、营业中断等风险场景。众安科技以“安全+保险+科技”创新模式，为企业提供基于保险的主动安全合规、主动风险管理、主动安全运营等一站式、普惠式服务，助力企业在数字经济时代提升数字化资产安全防护水平和风险对抗能力。目前众安保险有三个版本网安险产品，分别是中小企业版、信息系统版（等级保护版）、综合定制版。

众安认为，网络安全保险不仅是一份保单，更是多重服务，其中，围绕网络安全保险的风险管理能力尤为重要。众安科技以自主研发的网络安全及数据安全产品为安全服务能力底座，赋能网络安全保险三大核心流程。通过自主研发的ARMS主动风险管理平台的六大服务能力，为企业落实全流程风险管理提供“保险+安全+科技”全生命周期的解决方案。

众安科技的保险科技服务分为六个阶段，产品设计、定价支撑、核保评估、承包检测、应急取证、运营服务。

未来，众安在网络安全保险科技的发展创新将进一步围绕产品创新、技术创新、服务创新、平台创新等方面继续开拓进取。

现场花絮：