由安在新媒体联合中国网络安全审查技术与认证中心（CCRC）共同举办的第二届“超级CSO研修班”，于2022年2月27日圆满结营。20位学员历时5个月，完成17节专业课程，经历名企参访、课堂作业、私董会和赛歌会，更交付了20篇毕业论文，最终，都以优异的成绩冲刺达标，获得由CCRC和安在新媒体联合颁发的结业证书。

第二届“超级CSO研修班的学员们分布更加广泛，不仅有银行、证券、保险、运营商、互联网，更涵盖了汽车、快递、快消、咨询、智能制造等多个领域。在导师引领和课程启发下，其所完成的毕业论文，也都极具代表性，是各自相关领域网络安全建设、实践与思考的精华之作。

本着分享交流之精神，我们特别精选几篇，以连载的方式呈现公众。希望借“CSO说安全”，让更多CSO们关注、支持并参与到CSO文化的沉淀积累和广泛传播中来。

CSO说安全：陈圣：快递行业之数据保护

陈圣  

某快递公司信息安全专家

快递业作为物流的重要组成部分，是一种利用专用工具、设备和应用软件系统，通过铁路、公路、航空等运输方式，在不同地区之间运输和转移几乎所有合法合规商品、单证、食品等货物的服务形式，是保持国民经济正常运行、居民正常生活的重要保障。随着国内经济发展的不断进步，社会生产生活需求的创新和人们日益增长的物质文化需求，快递服务所涉及的形式和种类不断丰富，新的形式或服务场景层出不穷。

据国家邮政局发布的数据，2021年1月至11月，全国快递服务企业业务量完成980亿5000万件，同比增长32.3%；营业收入9414.7亿元，同比增长19.6%。快递企业通过收集、处理、储存庞大复杂的数据信息和个人信息，确保信息量和业务量，提高快递行业新一轮的发展速度。对于快递企业来说，数据已经成为一种真正的资产，与资本、劳动力、土地和技术一起被列为重要的生存因素。

快递业是现代经济的核心之一。目前，许多行业在积极调整整体战略布局的同时，也在积极促进企业的全面发展。竞争异常激烈的快递物流行业也正在进入一个全面的数字时代，通过大数据、物联网等数字技术重塑内外接口的全过程，以提高效率、降低成本，在持续创新中挖掘新的增长点。目前，在智能物流和快递企业的全面数字化转型中，数据已成为其行业发展的核心要素，它与多轮产品研发迭代、高科技赋权、消费者体验改善等环节的数据密不可分。快递物流平台拥有大量关键基础设施、商业、人口、轨迹、购物偏好甚至其他个人隐私数据。

2021“第14个五年计划”明确指出“数字经济”是未来推动中国经济发展的重要手段，“数字经济”一词也成为许多地方规划文献中的关键词。数字经济已成为我国国民经济增长的重要组成部分，成为快递业高质量发展的新引擎。目前，快递数据产业已形成完整的产业链，涉及数据采集、存储、处理、使用、传递、流通等环节，人们对数据价值的理解从零开始达到了一个前所未有的新高度。随着云计算、物联网和人工智能技术的引入，“数据”带来的巨大价值正在引导快递业从生产性服务业进入数字驱动的新时代。通过不断的技术迭代、创新和开发，以及数据收集、分析和共享，为决策者提供了一个新的视角，为许多正在实施“降本增效”的企业提供了参考依据。

快递企业拥有大量用户个人信息和敏感信息，其安全性不容忽视。数据安全的落地建设已经成为快递物流行业关注的焦点，也是最难解决的问题。各种泄露的新闻充斥着媒体和报纸，越来越多的快递企业开始关注大数据的安全隐患以及自身的隐私合规和防泄漏风险。快递业从原始的野蛮增长期回归合规理性，注重自身的可持续经营和长期稳定。在谋求稳定发展、不断完善自身的内在动力作用下，在网络和数据安全法律法规及相关监管政策的出台下，快递业逐步得到改善和完善。在此基础上，各快递企业还任命了相关的副总裁级高管担任数据安全官或信息安全官，履行相关职责和义务，其目的是坚持数据安全底线，把握企业合规运营的生命线，让企业持续运营，创造价值。

特别是近两年来，随着数字技术的应用，数据得到了集中存储，数据的数量和范围逐渐扩大，如何保护千亿用户的数据安全已成为快递行业企业的重要责任。在“数据”价值翻番的背景下，数据和网络安全的风险越来越大，存在上、中、下游的数据采集，数据安全和隐私泄露问题越来越严重。作为一名企业CSO我们应该明白，无论处于什么数据时期，维护数据不受黑产攻击、盗窃和不当得利是我们当前的主要任务；在大数据时代，在为智能物流和产业发展提供巨大价值的同时，信息泄露的风险也会增加，这不仅会影响个人隐私、财产和生命安全，还会危及社会和国家安全。随着智能物流的普及和自动驾驶技术、配送机器人和无人配送机的发展，远程控制、数据盗窃、信息欺骗、隐私泄露等数据安全问题逐一摆在各快递企业CSO面前。

自《个人信息保护法》颁布以来，物流用户的出行轨迹、个人背景、支付系统和地理实时位置是核心敏感信息，一旦大规模披露，将直接给企业的生产经营、声誉和员工忠诚度带来异常风险点。即使快递公司重视、引进或购买WAF设备和防泄漏设备等，并在安全防护硬件投入上加大投入，相关账户的安全性在某种情况下仍然可能存在漏洞。例如，一般来说，账户安全是物流行业业务安全风险的一个极其重要的入口，近年来各大物流配送公司都在提高自身系统的账户安全性。为了解决账户授权问题，行业单位的CSO并没有头痛医头脚痛医脚，而是利用人工智能、大数据、机器学习等技术建立了统一的身份认证授权系统，以增强业务系统的安全性。

在统一身份认证授权系统的基础上，开发了专用的快速查询系统，通过该系统实现了全网近几十万员工的实人身份认证和系统账户生命周期的全闭环安全管理。在妥善处理账户管理这一个行业普遍存在的棘手问题的同时，提高了易操作性和安全性，确保了核心系统的安全访问。它还实现了集团内各子系统的认证和多套账户系统的互联，单个账户可以在全网自由切换和授权，有效满足混合云架构下自主开发和外包系统安全、高效、便捷的多层次接入需求。

内部问题解决后，外部风险层出不穷。快递行业经常受到外部攻击，数据泄漏事件频繁发生。2020年，圆通将公开40万公民个人信息，包括发件人地址、姓名、电话号码等。从个人的角度来看，个人敏感数据是神圣不可侵犯的。从企业的角度来看，数据属于核心资产的一部分。如何保护企业客户的数据已成为每个CSO的首要任务，也是我们必须直接面对的课题。

滴滴的安全审查事件曝光时，也是CSO所必须直面的：无论企业是否上市，甚至是否有跨境业务，我们都应该清楚地认识到，数据关系到国家安全。

作为一家快递公司，它已经掌握了该行业的大部分深度数据，这些数据可以直接或间接反映中国各地区的人口分布、商业热度、人口流动、物流、仓储、企业运营等情况，存在数据安全隐患。“滴滴”事件是对快递企业，尤其是即将上市的CSO有着重要的警示意义，值得企业关注。

众所周知，快递用户的敏感信息只有在流动、共享和处理的过程中才能创造价值。企业需要信息流动和交换，通过数据的应用和分析来提高业务的处理效率。此外，他们还在继续增加数据使用过程中的应用场景，为企业创造更多价值。快递信息资源需要有效共享和利用，以促进快递业的发展。在数据安全和数据流通利用对数字经济的重要性之间寻求平衡，在有效保障用户个人信息安全的前提下，灵活使用数据，防范网络安全风险，推动先进技术的应用。

要通过数据安全的实践经验，在法律法规允许的条件下，进一步挖掘数据对企业的价值。

不可否认，快递公司的重要数据被窃取、泄露和破坏的风险依然存在并在不断增加：在上下游存储环节、非私人面部订单导致的信息泄露，非法收集电子商务和终端打印设备，遵守app隐私合规要求等，快递行业中的数据安全越来越成为CSO数字风险管理中最重要、最复杂的部分。极富有挑战性，正所谓，路漫漫，道阻且长！

第二届超级CSO研修班全貌

过程回顾

开营  导师团  结营 

导师授课

谭晓生  刘新凯  欧阳梅雯  欧和  贺嘉  

吕一平  黄承  杜跃进  李吉慧  杨哲

学员论文

丛林  张福明  宋士明  冯斯恩  

王书魁  徐越  殷国祥  乔庆鹏  沈勇  

沈嗣贤  肖波 黄福胜  王平  江洁文  苑海彬  

首届超级CSO研修班全貌

过程回顾

首发 CSO说 报名 导师团 领航 价值 开营 揭幕 结营 

导师授课

学员论文

向阳 廖位明 张永刚 郑太海 胡广跃 秦峰 黄乐 赵锐

洪岩  刘峰  

齐心抗疫 与你同在