2022超级CSO高峰论坛|数字安全最佳实践研讨会:9.17上海 热点回顾
数字经济方兴未艾,作为数字经济之底座,数字安全尤为重要且渐成热点。对业界来说,数字安全是继计算机安全、网络安全、数据安全之后,将大安全及泛安全态势,与社会经济发展现实紧密结合的新的时代特征和前进方向,当然,无可避免地,其中也存在前所未有的巨大挑战。为了更好地应对挑战夯实底座,网安业者共同聚焦、蓄力协作也是必然。
在此背景下,9月17日,2022超级CSO高峰论坛·数字安全最佳实践研讨会(上海站)暨第八届数据安全管理研讨会,在众安超级展厅 ZHONGAN SUPER LAB圆满举行。本次研讨会由安在新媒体联合众安科技、安言咨询、廷桥信息共同主办,与业界已具盛名的“数据安全管理研讨会”并举,同时邀请多家典型创新安全厂商参与,70多位甲方专家出席了本次活动。
活动开场,安在新媒体创始人张耀疆进行了致辞。
张耀疆说,首先感谢东道主众安科技的盛情邀约,能够在阳光明媚的上午,在中国实业银行旧址这样一个充满悠久历史和底蕴的地方与各位来宾相聚。同时,也感谢联软科技、腾讯安全、廷桥信息、指掌易、火线安全给予本次研讨会的大力支持。当然,本次活动能够圆满举办,最重要的是来自于诸子云社群及各甲方用户单位老朋友、新伙伴的到场,大家共同交流合作、携手进步,为中国网络安全热烈的发展趋势添一把火。
自成立诸子云以及更具高端效应的超级CSO俱乐部起,安在新媒体不断针对以CSO为代表的高端用户群体举办交流活动,策划线上项目,发布专业报告,开展针对CSO群体的高端培训,组织以CSO为主的甲方智库,力推年度CSO评选和颁奖盛典,经过不断的努力,一时间在国内掀起CSO文化启蒙、推广及发展之风,算是开了个先河。而此次活动,正是一次全新的企划,后续还将会在上海、北京、深圳等代表城市“巡回”举办系列研讨会,共同聚焦数字安全最佳实践,为网络安全产业发展助力。欢迎更多机构和个人关注、支持并参与。
张耀疆致辞结束,研讨会正式开始。来自众安科技、指掌易、腾讯安全、火线安全、赛博研究院、安言咨询、联软科技的安全专家及甲方代表分别进行了分享。
网络安全保险与主动风险管理
众安科技网络安全负责人
基于ARMS的主动风险管理服务架构,用于支撑保险公司、企业客户以及安全服务供应链的全生命周期流程,实现保险业务管理、数字资产管理、风险评估管理、风险业务管理、安全运营管理等功能,是网安险风险量化、风险管理、应急理赔的智能化工具平台,帮助用户管控风险敞口、做好提前预警、及时响应工作,实现“不出险、少出险、出小险”的目标。
众安科技通过将传统安全的风险评估方法进行技术化的升级改造,实现自动化生成风险评估报告能力;同时还为用户提供风险量化及风险评级赋能;在承保中提供网络安全风险管理赋能,并针对客户的数字资产进行7*24的风险监控以及安全事件响应;当风险来临时,追踪溯源、取证鉴证、责任划分,为企业完成定损评估。目前,众安科技已经积累了20余个行业风险数据库,可为不同行业及不同基础架构的用户量化风险提供依据。
企业在数字化转型中的移动安全赋能及实践
指掌易解决方案专家后疫情时代正在加速企业数字化转型,在这个过程中,移动数字化办公凭借其去中心化、智能化、个性化等特点,成为了企业数字化转型的必经之路。但与此同时,由于碎片化的办公设备、多元化的网络以及复杂的企业内网,导致移动化转型过程中安全问题持续凸显。因此,指掌易基于沙箱技术,在业内首次提出了基于“云、管、端”面向BYOD设备的应用级DLP方案——EDP端点数据边界解决方案。
首先,针对移动智能终端建立业务安全边界。对外将企业区域与个人区域隔离,打造安全运行边界;对内将运行在企业专属域内的应用、数据,以及员工行为进行安全管控,打造安全运行环境。在这个过程中对移动智能终端的业务应用进行安全赋能,包括数据隔离、威胁检测、检测加固、数据防泄漏等。
其次,针对PC桌面终端建立企业业务安全边界。将工作域和个人域隔离,在工作域内划分多个区域,配置独立策略域;个人域则享有数据无加密、应用无管控、网络无限制等。在这个过程中对PC桌面终端的业务应用进行安全赋能,包括数据隔离、应用控制、网络控制、水印控制、剪切截屏控制、打印控制、数据加密等。
除了EDP端点数据边界外,指掌易还通过SDP软件定义边界技术,基于零信任理念,建立安全接入网关,全面收敛企业互联网服务暴露面;并建立MBS移动业务安全管理平台。同时满足多数据中心云计算环境部署和信创系统适配,最终形成一整套企业数据可信访问安全赋能架构,助力企业数字化转型,为企业在数字化转型中的移动安全赋能。
腾讯云原生数据安全治理实践
腾讯安全云鼎实验室数据安全总监
腾讯云数据安全治理实践框架首先以上位法为基础,满足法律法规要求;其次通过组织保障,做到全员参与。治理体系第一步是数据资产的清查和分类分级,第二步是数据和个人信息保护风险的评估,整个过程需要数据安全流程建设,通过还需要事件响应、信息沟通、意识培训、监督检查等。整个治理体系需要由数据安全工具和产品支撑,而工具和产品又依赖于安全的基础设施。
其中生产环境涉及两个重要的数据安全产品,分别是DSGC数据安全中心以及CASB数据安全网关。DSGC的两个核心能力是感数据识别&分类分级和数据安全风险评估,基于评估进行数据安全策略管理。CASB真正实现了应用免改造即可快速实现数据的加密存储和基于动态脱敏的隐私保护,具备零改造、高性能和易运维三大综合优势,是目前腾讯在云数据安全运营探索下的最佳实践。
此外在运维数据安全方面,有堡垒机和凭据管理系统SSM;在基础设施方面,有硬件级密钥安全管理KMS,硬件级国密虚拟密码机,基于机密计算的数据使用安全方案CCP等,最终形成完整的腾讯云原生数据安全治理产品方案。
IAST融入DevSecOps的最佳实践
火线安全销售合伙人
作为一支敢于“吃螃蟹”的团队,火线安全一路以来自然离不开“热酒”的陪伴,而这些热酒,就是行业内企业朋友的帮助与支持。这些企业不仅对云安全方面存在比较前瞻的需求,也基本迈入DevSecOps的阶段,但依然面临许多安全问题,总结起来主要包括三点:
1、企业如何尽可能在上线之前,先于法规和黑客找到自身应用安全的风险?
2、在查找风险的过程中,如何确保不影响业务的正常运行?
3、安全人才供不应求,如何确保现有安全从业者的工作含金量?保证团队的稳定性和人效?
数字经济时代企业数据合规科技发展
上海人工智能与社会发展研究会副秘书长
首先,以数据发现为核心,构建数据隐私、数据安全、数据治理的能力;其次,为企业提供数据安全及隐私合规的技术手段,提升企业数据合规能力。其中重点关注个人信息保护和数据安全的风险评估,通过评估识别企业运营和生产过程中的数据风险点,进而落地数据安全和数据治理的动作。
赛博研究院的产品服务体系主要分为六个方面,分别是数据合规检测、数据合规评估、数据风险治理、在线智库咨询、个人信息保护人才培训以及线下专家咨询。数据合规检测工具能够提供数据资产扫描、自动分类分级、敏感数据发现、数据标注与搜索,以及App 合规检测等技术手段。以此为基础,对数据进行合规评估,并将传统离线评估方式转化为在线协作方式,实现风险发现到风险治理的闭环管理,最终为客户提供数据合规与风险治理的一站式SaaS服务平台。
在评估流程方面,个人信息合规评估实践流程依次分为建立评估制度、评估规划、评估内容、输出报告、持续优化;数据安全合规评估实践流程则分为项目概述、现场检查、风险汇总、合规整改、报告导出。主要具备全方面风险精准检测、合规整改、平台自动生成评估报告等特点。
总的来说,赛博研究院数据合规解决方案主要具有如下的特点和优势:对齐监管,专业高效;平台赋能,自动处置;流程引导,便捷易用;降低人力,节约成本。帮助客户达成“以科技赋能合规,让数据释放价值”的愿意。
金融业务运营中的数据安全管理
安言咨询总经理
不同的身份导致每个人的关注点不同。在数据安全治理过程中,我们通常会忘记自身同时还具有“金融消费者”的身份,可能会忘记数据安全的真正出发点——保障数据权。
保障数据权需要让安全回归业务。
首先,保障数据权合情合理合规,是金融业务运营发展之正道。业务流程中每个涉及到数据流动的环节,都需要从“保障数据权”出发来制订并优化SOP,而业务部门就是保障数据权的主要责任部门。其次,保障数据权就是保障企业的数据权,保障企业客户的数据权,保障企业产品用户(消费者)的数据权,所以保障数据权要做到依法、合规,以组织为抓手,以技术为基础。
在这个过程中,业务专家和IT专家的协作是关键。但同时也衍生出一个问题:谁牵头?当然,各有各的好处,也各有各的弊端,重点不是“不能做什么”,而是“你想做到什么效果,我来看看有没有安全的做法”,这样一来安全就可以和业务很好地结合在一起。
董永乐认为,要把保障数据权、保护隐私作为业务需求的“必须”和“底线”来出发,随着互联网金融野蛮生长时代的过去,以及监管的不断升级,当下是推动其成为企业运营发展底线非常好的时机。在这个过程中,需要重点关注第三方数据来往的违法风险,审慎考量、尽职调查、安全准入。
对于数据安全管理,董永乐总结了三点体会。一是要“带着镣铐跳舞”,利用数据首先要自己明确合规约束,在有约束的环境中尽可能充分发挥;二是要“打持久战”,数据安全绝不是可以一举成功的事情,需要经历长期且艰苦的过程;三是“运营”,想要真正获得持久的效用,就一定要做好持续运营。数据安全运营和业务运营最大的区别是,业务运营要量入为出,而数据安全运营要“量出为入”,自己预期能产生多大效果,再去说服老板投入多少成本。
零信任实践从远程办公开始
联软科技安全专家
联软科技在端点安全领域耕耘已经有18年,总结了三大难点。
第一,全面性,由于终端安全的范畴很广,导致重复建设、用户抵触、管理复杂、数据分散等问题严重;
第二,兼容性,终端类型多样化、操作系统差异化、应用类型复杂化的趋势越来越明显;
第三,可视化,对于端点安全来说,全网资产洞悉、掌握资产变更、事件快速响应这几点能力非常重要。
通过赋能端点能力,联软科技的零信任解决方案可以覆盖更多的场景。
第一,可以联动华为的交换机,对企业内网设备进行网络准入控制和持续的安全评估和身份验证;
第二,远程办公的场景,BYOD和企业配发的设备都可以实现零信任的远程接入;
第三,BYOD设备在企业内网的接入场景;
第四,跨网访问的场景,政府及许多企业有大量的“单网通”的需求,就是希望通过一个终端能够访问不同的安全域,这个场景过去最大的难点在于数据安全问题,目前联软可以通过多域安全沙箱的方式来完美的解决;
第五,多云、多数据中心的访问场景,简单的说,就是Any to Any,我觉得这个场景是零信任整套方案最大的优势,软件定义访问,按需访问,是零信任安全实施的终极解决方案。
你安全吗?一个安全负责人的闲聊
某A+H股上市公司信息安全负责人
此外,截至2021年12月31日,孙琦所在公司共经营了95家自营商场、278家委管商场,通过战略合作经营10家家居商场,以特许经营方式授权开业69个特许经营家居建材项目,共包括485家家居建材店/产业街,同时这485家项目由孙琦团队18名成员负责其IT基础架构和信息安全。
由于预算问题,公司会对一些产品进行二次开发并加上相关的防护系统。截至到2022年9月15日,公司内大量系统都已通过等保,整体来说相对安全。整个过程中,公司借鉴了欧美市场非常成熟的NIST标准进行防控,以实现较为成熟的安全保护能力。
孙琦认为,除了要加大数据访问和分类的管控力度之外,在数据透明方面也要做到位。因为企业在进行数据治理的时候,也可能会从业务的角度对技术管理的能力进行划分,这个过程中将会有大量的安全工作介入。所以安全工作者需要根据自己的实际情况判断轻重主次,这才是安全工作中最为重要的。
个人信息安全影响评估实践分享
安言咨询副总经理钱伟峰表示,安言咨询近年来啊一直致力于个人信息安全影响评估,但由于各方面原因,一直局限于方法论的阶段。而随着当前各种标准及法律法规的明确表示,使得个人信息安全影响评估成为重点话题。比如《个人信息保护法条款》第55条明确要求:有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:
(一)处理敏感个人信息;
(二)利用个人信息进行自动化决策;
(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
(四)向境外提供个人信息;
(五)其他对个人权益有重大影响的个人信息处理活动。
比如前期收集的信息是否完整,包括评估考虑的相关影响是否全面,以及收集的信息、做出的评价是否客观等,即使这些数据都没错,但有一些微小的细节和陷阱也会让企业陷入窘境。钱伟峰认为,信息识别要分成几个步骤,第一个是前期的信息的识别,就是企业内部有哪些个人信息,展开来说就是要有数据的流向图,并且要与企业自身的业务流程相结合。
评估主要包括两类,分别是存量评估和增量评估。存量是从来没有做过个人信息评估,需要做一次全面做好;增量是后续的业务场景中,所新增加的个人信息、业务场景、变更的信息等,此外还有新增委托处理场景、新增外部共享场景以及其他处理等。值得注意的是,增量的评估需要常态化,并且避免过度收集信息。
◆圆桌论坛◆
在本届研讨会上,“数据分类分级”成了为与会嘉宾们实际工作中最头疼、最关注的内容。因此,圆桌论坛环节,董永乐、孙琦、王忠惠、刘欣、钱伟峰,五位专家,共同以“数据分类分级”为主题展开了讨论。
董永乐:收集数据资产信息的时候不可避免会涉及到数据分类分级的问题。大家不妨说说各自在数据分类分级方面主要做了哪些工作,踩过哪些坑?
刘欣:首先,数据生态问题,我认为应该分为两阶段。第一阶段是数据分类分级项目的上线,第二阶段项目上线之后数据分类分级的运营。因为数据分类分级是一个长期的动态更新的过程。
第一阶段项目的开展,需要明确三件事:第一、制度规范,结合行业里的法律法规设定分级;第二、工具的规范;第三、需要相关团队的支撑配合。
具体怎么做呢?我们第一个阶段,就是定了15个工作日,做了一个Excel表格,列举每天要做事项,同时漏洞修复率要完成全部修复,安全部门计划投入三个人来完成数据分类分级。
开始做的时候,前三天状况百出。主要会遇到三个坑:
第一个是来自系统的坑。大概是分类分级系统本身性能上的问题,就是测试的时候一切都好,但是在使用的时候,测试不到位就会产生并发问题;
第二个是工具的坑。分类分级系统可能存在瓶颈。就是数据进来后,安全人员需要确认分类分级是到位的。我们当时有成千上万条数据,但当前页面只允许40条,后来只能重新写了自动化工具跑完数据;
第三是DBA的坑。DBA负责对数据库系统进行全面管理和控制,研发负责修复,如果权限没做好的话,数据进不来就无法进行合作。
而研发最大的坑,就是数据分级前的数据,比如落地规范,字段的注释问题。如your name 是名字,但也可能是手机号、昵称、项目等,但是现在升级了,即使给它加个注释,字段任务看起来匹配,其实还要具体细化,另外还有大量的库存表数据库无人认领等状况。所以研发最大的问题是不规范。几十万的字段注释修改,就需要相关的部门去配合。
最后我们在15个工作日超常完成,但是这里面遇到一些问题处理时也会抓大放小,在第二阶段运营时再具体细化。
孙琦:其实安全部门单独做数据分级分类,是非常痛苦的一件事情。但是聪明的方式是拉上合规部门,共享分级分类的果实,这对公司来说就是一个战略级别的事情,从内部的角度上值得去推荐的事情,对上市公司来说也可以丰满其治理体系。对于高层领导而言,他们更在于战略的规划目标是什么,在未来的三年或者五年之后,对于整个公司的数据机构而言意味着什么。
数据合规和审计方面,其实我们实操里面是有平衡点的。那不管是我们的安全部门,还是技术部门或者投资部门,其实都只有一个使命,就是服务于我们的业务。在安全层面,我是绝对不会退让的,该怎么样就怎么样。虽然大家可能会互相吵得很不爽,但是我们的目标就是要确保业务安全往外推,我会把所有的风险全部给提出来,应该怎么去做?因为我本身性格在做事情上会比较激进,所以我更愿意去主导许多事情,而不是把责任划分清楚之后,采取合作的方式去做。否则事情做到最后,事情往往是你好我好大家好,就结束了。
王忠惠:我从两个方面讲一下,主要是怎么去有效去推动做数据分类。我们要推动业务部门去做,在管理上就是跟管理层汇报两个指标:
第一是线上生产数据库和表字段的(敏感数据)打标率。也就是我们告诉管理者,我给每个部门提供一个管理工具,今天哪些部门在分类分级这个事情是不清晰的,打标率是最低的,通过这样的措施来推动更多人来参与。
第二我们做分类分级,目的并不是为了分类,而是为了后续用哪些手段来保护这些数据。也就是说真正核心的价值是未来的安全,以及如何跟业务进行更好的结合。比如说每个分类背后的能力建设才是最重要的。这也是我们在跟管理层汇报的时候,分类分级的要求体现在能力建设方面,通过相互结合,未来在业务上不仅是一个高质量的打标,然后重点可以帮助业务部门去更好地管理他的数据。
董永乐:刚才刘总、王总、孙总都分别发表经验分享,给我大概的一个感受,就是首先得有个好的工具。如果选择过程中有些地方没选好,还是会把自己带进一个坑;第二就是做数据分级最好拉上合规。第三是提醒老板做这件事的战略意义是什么,包括做好数据分级有什么效果。正好有人提到数据分级的指南,伟峰,请你来展开说一下。
钱伟峰:我做的这个事是金融机构运营商旗下的技术机构。虽然它具备电信网络业的特征,同时也具备金融机构的特征,所以它即包括网络数据分级的内容,包括金融的竞标,同时还包括工信部的相关的电信技术企业的标准。
其实要做好数据各类分级,很多都有前提条件,很多都跟数据治理、数据的标准化、数据的质量等相关。我们的数据标准质量是相对比较好的。
当然作为一个顾问,还是秉承一个原则,帮助大家少踩坑,我本人的观点是若非实在推不开,我不建议安全部门去牵头做数据分级。因为你不清楚数据的属性,它跟业务的关联,以及它在业务里的作用,因为这个事情非常辛苦,本身就是个大坑,我们是尽量在坑中少留一点时间,尽量快点出来。
另外刘总做的事情我是非常佩服,而且是非常厉害,把非常不容易的事情做出了主要的成绩。如果是一定要去做的话,我建议是你拉上公司内部的数据管理部门或者运营部。他们是公司所有数据真正意义上规则的制定者,然后拉上内部合规一起。
另外我们分类分级的目的不是为了打标签,而是为了基于分类分级的结果。打标签的结果去更好地落实相应的保护,去采取管理或者技术的措施。所以在这里我个人的观点是:
第一,在整个数据分类分级的工作中,确认当前各类数据、各级别数据的现有的安全管控措施的使用情况以及这些措施的有效性;
第二,基于确定的分类分级标准,为后续技术层面提供何种程度的保护措施来进行支撑和支持,包括在管理层决策选用哪些策略甚至使用哪些技术,去做好落地和持续的运营。
◆照片花絮◆
活动相关课件已上传诸子云知识星球,扫码即刻下载。
齐心抗疫 与你同在