诸子云 | 2022评优：最佳分享候选展播及投票

诸子云，是由安在新媒体发起、组织并运营，以中国境内各行业各领域企业机构网络安全从业骨干为主体的纯民间社群组织。利用安在作为专业媒体的便利和优势，开展个人专访、主题征文、日常交流、聚会研讨、项目协作、专题调查、点评选优等一系列社群活动，旨在为企业用户（甲方）一线工作者提供一个交流互助、影响传播和价值共享的平台。

截止2023年1月，诸子云认证会员已超过2000人，先后设立上海、北京、深圳、杭州、武汉、厦门、西南、广州、南京、青岛共10个分会。除了常规性的社群活动和事务，近年来更是策划组织了多个创新性项目，包括网络安全“大众点评”——安在新榜，网络安全公益直播——安在讲堂，网络安全“黄埔军校”——超级CSO研修班，网络安全知识分享——诸子笔会，以及诸子云知识星球等。

在此基础上，安在打造了更为集聚的高端社群——超级CSO俱乐部，广泛地推广CSO文化。并邀请了诸子云社群内典型而优秀专家会员，进一步成立以甲方业者为主体且面向甲方用户的智库组织——百家智库，并成功开展了一系列项目活动。在活跃社群、惠及会员的同时，更好地为中国网络安全产业发展提供助力。

值此新旧交替之际，为感谢过去一年来诸子云会员在社群共建方面所做贡献，安在特别策划了年度评优活动。以分会推荐+日常积分为准推举候选，同时采取网上公开投票的方式，选出诸子云2022年度“最佳分享”“最佳作者”“十佳会员”和“最佳分会”等荣誉称号。

本次推文，是年度评优活动的第一期，即2022年度诸子云“最佳分享”的候选展播和公开投票投票。所列举的是在过去一年内，诸子云的专家会员们在各个线上或线下活动中所作的主题分享。

自2022年2月起，线上活动共计10场，线下活动共计10场，其中，30余位诸子云专家全方位的呈现了近40个优秀主题分享。“石韫玉而山晖，水怀珠而川媚”，这么多精彩纷呈的分享让很多观众受益匪浅，也为整个业界带来了新思想、新浪潮。

* 范围：所有在安在讲堂直播、线下客户会或诸子云沙龙进行的分享

* 网络投票

* 评选唯一大奖

2022年度诸子云分享概览

（点击标题查看文章详细内容）

刘明 

平安集团安全平台部高级经理

5G、 AI、云计算、区块链等科学技术的发展，离不开以数据为核心的数字技术的支撑。数据作为数字时代的核心要素，已经成为经济增长的动力。

沈勇 

平安集团安全产品专家

SOAR是指使组织能够收集由安全运营团队监控的输入技术。例如，来自SIEM系统和其他安全技术的警报（其中可以通过利用人力和机器的力量来执行时间分析和分类）有助于定义优先级和推动标准化事件相应活动。

李达 

大型企业中国区信息安全负责人

如何选择公有云，从安全的角度来看，需要站在IT乃至企业的立场上，评估公有云是否具备足够好、足够适合企业需求的安全能力。

孙琦 

某A+H股上市公司信息安全负责人

企业数字化转型对于安全有什么意义？这个问题其实很简单：如果企业不需要进行内生地数字化转型，那安全就没有了发展的空间，也没有了持续投入的价值。

杨文斌

某企业安全管理

对于攻击面的发展展望，首先从政治层面，希望可以出台更多与攻击面相关的政策法规。攻击面会在未来成为新的技术点，持续深入地发展，需要加强政策引导和市场约束，建立攻击面防护相关的标准规范，同时从企业内部建立攻击面相关的制度流程，并常态化地开展攻击面梳理排查。

刘歆轶

非夕机器人信息安全总监

从2013版到2022版，第一个变化是标准名称的改变，之前叫“信息技术-安全技术-信息安全控制实用规则”，现在叫“信息安全、网络安全和隐私保护-信息安全控制”，体现了对网络攻防过程及个人隐私信息保护的重视。

朱诚 

某企业信息安全总监

企业都是以盈利为目标的，所以信息安全存在的意义也是帮助企业创造收益。通过信息安全专员的工作，让企业信息安全不违规，甲方公司不处罚，就是为公司赚钱的一种方式。

程明 

某运营商网络安全中心总监

基于漏洞治理的目标，希望能够在上级主管单位的领导下，通过与各企业和第三方安全机构的合作，根据网络安全法、数据安全法、个人信息保护法、关保条例等，建立行业内的漏洞治理标准，做到精准施策、有的放矢，实现持续性漏洞清零目标。

江洁文 

某地产企业安全负责人

通过此前的梳理，法律法规要求常见于地产企业的以下业态。首先，因为物业和销售具有ToC业务属性，业务过程中会涉及客户的个人隐私数据，是地产信息安全建设需重点关注的领域，所以需要通过参考等保要求完善系统的安全性。同时如长租公寓、酒店、文旅等ToC业务，也需要进行等保相关的建设。

金佳华 

某互联网公司高级数据专家

随着我国网安法、数安法、个保法的发布施行，标志着安全合规，已成为每一家企业、每一个公民应尽的法律责任和义务。

刘志诚 

乐信信息安全中心总监

根据CNCF定义，可以将云原生分为四个部分。第一部分是容器云，容器云的演进过程也是基础设施的演进过程。为了满足企业成本最小化和业务部署的性能效果，基础设施从物理机到虚拟机，从公有云到私有云最后到容器云。弹性逐渐递增的同时，效率也逐渐扩大。

胡恺健

深圳艾贝链动科技 数据安全与隐私保护负责人

数据防泄漏最主要的就是一个规划。先把目标定好，如果目标不清晰，后面所有的工作都是徒劳。

于利新 

CVTE（视源股份）安全部经理

企业安全建设主要有两个方向，一是从上至下，二是从下至上。从上至下是从管理层逐渐推动到全体员工，其前提是需要管理层或企业重视信息安全，愿意为信息安全建设投入资源和精力。从下至上是反其道而行之，如果管理层或企业不重视安全的话，可以通过以点到面的方式来传递安全意识和思想。

黄鹏华

某互联网企业安全负责人

满足监管的专项行动需要做以下四点：定要求、自评估、循环改和设卡点。

唐宇

海尔卡奥斯安全负责人

目前，已经有30余家专注于工业互联网平台的企业，这些企业统称为双跨企业。工业互联网平台本质是工业的数字化转型，并且在工业领域相对领先。由于我国工业基础较为薄弱，相当多的中小型企业达不到上平台的能力和水平。

郭惠龙

某电商安全专家

生态指的是生物在一定自然环境下的生存和发展状态，也指生物的生理特性和生活习性。类比安全生态的话，其中企业就是生物，产业链和时代背景就是环境，生存发展状态就是安全的出发点：有没有严重的信息安全事件等。

姜山

某投资控股集团 信息安全经理

本次议题的安全运营不是指安全管理中心技术平台，SOC需要相对全面的安全设备支持，并且基于不同的业务场景来定制开发和配置。

张福明

九方智投产品技术负责人

企业之所以要进行API安全建设，是因为目前传统的安全防护手段主要以边界式的网络安全为主，对于API敏感数据安全没有覆盖。

韩景 

中银证券安全运营总监

近年来，随着互联网快速迭代，为了项目能保持高速发展，越来越多的公司开始在新业务的选型上，选择微服务架构。

黄鹏华

某互联网公司网络安全负责人

数据通过流动才能释放数据要素的生产力，应对数据在流动中对当前的数据安全工作带来的挑战，可以从确保组织重视、数据自动识别、数据生命周期视角的安全防护、数据流转路径视角的安全防护、隐私计算助力对外数据流通这五个方面入手，形成涵盖管理、运营、技术的整体思路。

刘婷 

平安集团信息安全管理团队经理

随着网络安全、数据安全方面的监管力度不断加大，复杂多变的攻击手段也让安全的防护难度越来越大。安全在保障业务发展的同时也要满足监管的要求。

孙鹏亮 

平安集团信息安全管理团队数据安全负责人

随着《数据安全法》的出台，相关的法律、法规、标准和部门规章等不断发布，国内的监管趋于严格。且内外部安全管理迎来很多挑战，体系化、可视化、差异化的数据安全治理就尤为重要。

王治纲 

平安集团信息安全运营部资深经理

选择DevSecOps的主要原因在于应用安全开发问题日益突出，以及需应对软件开发模式的持续升级演进。传统SDL往往只能业务先上线，安全问题后补救，安全管控较缓慢，常置于流程之外，当版本更新快时，传统安全手段会较大影响的业务交付。

周圣龙

平安集团信息安全专家服务团队经理

银河实验室成立于2015年，至今有7个年头。18年成立了蓝军团队，主要任务是对集团的30家专业公司进行实战演练，模拟外部攻击者对集团专业子公司进行攻击。还包括研究团队，移动安全、威胁情报团队等。通过蓝军的攻击发现问题，并与安全运营团队进行攻防能力提升的专项活动。

李斌 

平安集团信息安全运营团队安全专家

安全感知和预测是通过安全扫描和专项检测进行感知，通过威胁感知、威胁管理和威胁应用进行预测。

阙毛 

平安科技安全团队安全专家

云计算对安全带来的挑战包括六个方面。首先是传统安全问题在云安全环境中依然存在，其中包括数据泄露、身份、凭证和访问管理不足、不安全的API或系统漏洞等。

庄飞 

某金融企业应用安全团队负责人

实战攻防中遇到的很多安全问题根源都在软件的应用层，比如高危框架或中间件、第三方开源组件漏洞、业务逻辑问题、未安全编码、安全配置错误、敏感数据保护不足、设计不当等，而解决这些问题，则需要从软件开发早期阶段进行介入，即“安全左移”，从源头管控安全风险。

赵锐 

某跨国企业中国CSO

企业要分析业务流和数据流，首先要确认自身生命周期安全的实际情况，另外要按业务场景制定员工知情同意的方式，特别是当企业涉及到跨境传输的时候，这在《个保法》里有特别指出。

陈欣炜

招银云创合规负责人

申请专利首先要填写技术交底书，即把自己提出的点子描述清楚。接着进行立案，根据交底书编写申请书，只要申请书格式合规，专利局便会接受受理并进行审核，此为初审。初审合格后进行实审，有些专利可能会经历1至6次的实审，最后出审理结果。拿到授权书之后还需要缴费，然后公示此专利申请作废。

孙琦

某A+H股上市公司信息安全负责人

迈入2022年的第三季度，在国内40%进行数字化转型的企业中成功的只有9%，由此说明这是一个高风险的行业。另外，国内家装行业基数大，市场空间广阔增速平稳，行业标准化趋势明显，2020年市场规模达到26163亿。

黄凤翔

联洲国际信息安全和隐私负责人

物联网是“通过感知设备，按照既定协议，连接物、人、系统和信息资源， 对物理和虚拟世界的信息进行处理并做出反应的智能服务系统”。

沈明星

网易安全安全中心负责人

由于近年来个人信息泄漏事件频发，监管政策收紧，监管力度明显提高，使得App隐私安全检测的力度日趋严格，其结果轻则通报批评，重则直接下架。对于企业来说，App隐私安全监测工作在内部落地时往往会面临一些困难和挑战。

张曾油 

浙江移动信息系统集成有限公司项目经理

从国家层面来看，物联网产业具备战略性地位，是政府扶持的重点。因此近年来，受到国家政策的积极推动，物联网产业蓬勃发展。

俞弘毅

浙江省北大信息技术高等研究院安全大数据分析工程师

浙江省大数据局在今年发布了《公共数据安全体系评估规范》，从国标数据安全能力成熟度模型DSMM演化而来，主要分为制度规范、技术防护、运行管理三个部分。

郭桂生 

贝链动安全运营负责人

CNAPP指的是Cloud-Native Application Protection Platform，译为云原生应用保护平台。这是Gartner在去年新提出的一个概念，主要应用于云原生环境，并贴合当前的大趋势和大背景。

李晓德 

某金融研发中心安全架构师

2012年，Gartner通过一份研究报告提出了DevSecOps的概念。2016年9月，Gartner发布报告《DevSecOps:How to Seamlessly Integrate Security into DevOps》，提出具体模型和方案。核心理念：安全是全体IT团队所有成员的责任，要贯穿到业务生命周期的每一个环节。

廖翰晖 

某在线教育前安全负责人

在线教育行业与其他行业的不同点在于其业务侧重点不同。在线教育主要侧重APP端的客户流量转化和生源的长期可维持性和保护个人儿童信息安全的保护特点，在此基础上其业务研发也就有了根本性的区别。

刘志诚 

乐信集团安全总监

数据安全从体系化上来看，如何确定企业的数据是安全的？一旦出现安全事件后，能不能去回溯源头出在哪儿？这两点企业在处理数据安全时遇到的最大的问题。

李磊 

某互联网公司高级安全专家

什么是数据安全？数据安全=数据+安全。数据是基础，安全是动作，依赖管控措施和手段，有数据的地方就会有数据安全；没有纯粹的数据安全，其和网络安全、应用安全及个人隐私安全息息相关，而且高度耦合。

赵锐

某跨国企业CSO

从2015年开始，我国先后颁布了《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》以及《数据出境安全评估办法》。从企业的角度来看，一方面要知道监管机构会出台哪些法律，另一方面要知道自己行业会出台哪些法律。

蒋琼

某证券公司信息安全负责人

从2020年首次被提出至今，我认为我们才真正进入了“后疫情时代”。过去三年加速了网络安全行业的新一轮重大变革，我们的安全工作路径也与这些变化和趋势密不可分。所以在后疫情时代，我们要更加重视安全工作的“可持续性”。

投票时间截止：2023.02.07，23：55

本期评优的相关资料已上传至“诸子云知识星球”，扫码即可获取。（因特殊原因，部分资料不便收录）

诸子云 | 2021年度诸子云评优

作者   项目   分享   会员   分会

诸子云 | 2020年度诸子云评优

征文   项目   分享   会员   分会

齐心抗疫 与你同在