诸子项目直播大赛第三场：算法安全及反钓鱼实践

Original 安在安在

2021年8月12日，安在发布百家智库成立公告，启动首批专家招募，经报名初审、项目和直播等预备期活动，以及最终审核，首批13位专家正式受邀加入百家智库。随后半年里，再经公开报名和资格审核，第二批又有13位专家加入百家智库，成为预备专家，并与首批受邀专家一起参与各项智库活动，这其中就包括诸子项目——由百家智库专家发起、诸子云会员自愿组队参与的公益课题。经数月的实施周期，这些项目都相继完成并有所成果。

鉴于百家智库和诸子项目的策划运营已逐渐成型，为了更好地对外展示、对接价值，我们在延续此前社群直播活动的基础上，举办了“百家智库 | 诸子云 · 分享汇：2022第2季暨诸子项目直播大赛”。本次大赛分5场，共8个项目参与，我们将通过直播+评选的方式对其依次进行展示。

本文即第三场项目展示，本场主题为“算法安全及反钓鱼实践”，参赛项目分别是《推荐算法安全评估研究报告》和《企业网络反钓鱼监测与应急处置研究》。

《推荐算法安全评估研究报告》(个性化推荐算法)

项目内容

依据《互联网信息服务算法推荐管理规定》的相关要求，以个性化推荐算法为例，研究算法安全评估的内容方式以及个性化推荐算法在安全评估中常见的问题和应对措施。为企业进行个性化推荐算法安全自评估提供参考。

项目经理

黄鹏华

持有CZTP认证，长期互联网企业安全建设经验，拥有企业信息安全从零到一的精力。专注于安全规划、安全建设、隐私合规、安全运营等方面。热爱尝试和接触新技术新事物。

项目成员

何金军

网络数据安全从业者，持有中级等保测评师、CISSP、security+、软考中级信息安全、中级工程师职称等证书。

余明明

持有CISA、ISO27001和ISO27001LA证书，10年信息安全、安全合规相关工作。在信息安全、个人信息保护、App隐私合规以及企业内部安全建设有较丰富的经验。某公司信息安全合规总监。

张元恺

上海交通大学信息安全服务技术研究实验室等级保护中级测评师、CSA隐私法律工作组专家、DPO、CDSPE、CISP-PTE、CZTP、21434汽车网络安全工程师。

王超毅

北京中闻(上海)律师事务所合伙人。It和法律复合背景，持有CCNP/RHCA。专注于数据治理，个人信息保护，人工智能等领域，成功案例包括国际铜业协会数据治理，美国upmc数据跨境等。

项目概览

随着网络信息技术的高速发展，大数据、云计算、算法与人工智能等技术广泛应用于社交、购物、旅游、医疗、求职及视频等各类平台和应用场景。推荐算法应用越来越广泛，在给予我们带来便利的同时也带来新的问题。

《互联网信息服务推荐管理规定》中要求推荐算法服务者要进行算法备案工作，本项目在此背景下聚焦推荐算法安全评估。

首先介绍算法安全评估的背景，并以个性化推送类算法服务为例进行算法安全评估的研究工作；其次，介绍了个性化推荐算法的应用场景、算法分类、算法工作流程等内容；接着，对安全评估的主要内容和评估方法进行介绍；再接着，总结安全评估中个性化推荐算法常见的问题，包括信息茧房、可解释性差、影响舆论、算法歧视偏见、侵害用户权益等；最后，提供应对个性化推荐算法安全问题的常见思路。

开展算法评估要求组织建立专业技术评估队伍，深入分析算法机制机理，评估算法设计、部署和使用等应用环节的缺陷和漏洞，研判算法应用产生的意识形态、社会公平、道德伦理等安全风险，提出针对性应对措施。

《企业网络反钓鱼监测与应急处置研究》

项目内容

本项目力图研究与探讨网络钓鱼威胁的常态化监测与处置机制，研究并输出一些有价值的针对各类网络钓鱼威胁手段的探测发现方案，并提供对应的行之有效的应急处置流程与手段，快速处置相关威胁，最大限度解决或缓解各类网络钓鱼威胁给企业带来的损失，有效降低企业的业务安全风险。

项目经理

宋士明

高级工程师，硕士，现任南京证券股份有限公司网络安全团队负责人，负责公司网络与信息安全体系规划、建设与管理，擅长企业网络与信息安全架构、安全与IT风险管理。12年网络安全从业经历，专注于甲方企业网络与信息安全，持有CISSP/CISM/CISA/CRISC/CISP/PMP等10余项专业认证，南京市网络安全等级保护定级评审专家，工作以来发表期刊论文6篇，申报国家发明专利2项，主持完成行业优秀研究课题1项，曾荣获深圳证券交易所突出贡献个人、南京市劳动模范等荣誉称号，并在安在2021超级CSO年度评选中获评十佳CSO奖、安全创新奖和优秀项目奖。兼任诸子云南京分会会长，(ISC)2南京分会秘书长。

项目成员

汪伟

安全行业资深从业者，扛过设备、干过运维、管过项目、做过架构设计、带过团队，擅长安全架构设计和管理、数据安全和合规建设，拥有CISA、CCIE、信息系统项目管理师等证书，曾获得诸子云2021年十佳会员、2021年网络安全技能竞赛(观安杯)优秀个人等奖项。兼任诸子云南京分会理事。

金昊

某金融保险科技公司安全负责人，具有10多年信息安全管理经验，长期从事网络安全体系建设、网络安全等级保护合规建设、办公安全项目建设以及业务安全运营类管理工作，曾获得诸子云2021年十佳会员。兼任诸子云南京分会理事。

刘东

安全行业资深从业者，拥有14年某省级电信运营商安全工作经历，擅长网络信息安全规划、安全管理与合规、网络安全攻防、数据安全保护等。拥有CISSP、CISP、OCP、数据安全评估师等多项认证资质。曾获得诸子云2020年十佳会员、最佳讲师、以及企业网络安全最佳实践直播大赛优胜奖。兼任诸子云南京分会理事。

高荣瑞

安全行业资深从业者，现任某跨境互联网公司风险管控负责人，ISO27001主任审核员、等级保护测评师、软件设计师，先后在大型跨国企业、国企、互联网公司、金融科技公司负责安全体系建设，拥有丰富的安全合规、数据安全、终端安全、Web安全、安全开发、业务安全等项目实施经验。兼任诸子云南京分会理事。

张炎

资深安全从业者，拥有16年信息安全行业工作经验。DPO，ISO27001 Foundation。现任华泰证券数据安全团队负责人，负责公司的数据安全体系建设与安全事件运营。中国信息通讯研究院数安智库专家。

项目概览

本报告结合当前网络钓鱼安全形势以及企业面临的网络钓鱼问题，从企业用户遭受网络钓鱼欺诈的角度，研究并详细介绍企业网络反钓鱼的安全监测与应急处置的解决方案，旨在向各行各业的网络运营单位分享网络反钓鱼的实战经验，为企业提供反钓鱼网站、仿冒APP等欺诈媒介的实践指南。本报告重点介绍钓鱼网站和仿冒APP，对于钓鱼短信、钓鱼邮件和钓鱼电话等，受篇幅限制，不在本报告研究范围。

网络攻击场景中的“网络钓鱼(Phishing)”的概念，还可指代攻击者为渗透企业内网针对企业员工在办公场景下进行社会工程学攻击的情况，如钓鱼邮件、入侵攻击、渗透测试、攻防演练等，此领域并非本报告的研究内容。本报告主要研究企业外网面临的网络钓鱼威胁，如伪造企业自身的钓鱼网站和仿冒APP，提出解决方法，帮助企业提高该领域的网络反钓鱼能力，防止网络钓鱼欺诈案件的发生。

本报告的适合阅读的人群，可能包括负责企业的技术、业务或决策的人员，如：网络安全人员、安全审计人员、风险控制人员、法律稽查人员、客户服务人员、舆情工作人员、项目经理、部门经理、办公室秘书、总经理、董事长等，也适合从事网络安全的同业人员使用，如反钓鱼、反欺诈、品牌保护、数据安全、隐私保护方面的工程师、经理等。

因受研究时间和能力的限制，本报告存在不足之处在所难免，希望读者批评指正。本报告提出的观点，仅供企业参考和借鉴，不作为投资建议，不提供任何担保，不承担任何责任。

如何获取该项目

本次项目《推荐算法安全评估研究报告》和《企业网络反钓鱼监测与应急处置研究》诸般材料已经上传至诸子云知识星球。通过下方图片中的二维码，即可开启传送门。