2017 FIT中国首席信息安全官高峰论坛精华回顾

2017-12-20 203299人围观 ,发现 1 个不明物体 活动资讯

2017年12月13日(周三)下午,FIT中国首席信息安全官高峰论坛在上海成功举行,本次论坛以「网络·全智慧 安全·新变革」为主题,深入探讨2017-18企业信息安全技术与实践应用。七位演讲嘉宾分别就企业安全文化建设、应急响应体系建设、网络安全法的应对、新时代下的CSO转型等主题展开分享,受到与会一百多位企业安全负责人的关注。接下来,就让我们一起回顾下当天的议题热点。

全部演讲PPT下载地址参见文末

「企业安全文化建设的思考与建议」

闭门会议01.jpg

上海市信息安全协会副秘书长、易念科技CEO 王怀宾先生首先登台,基于其20多年的安全工作经验,向与会的企业安全负责人提出了企业安全文化建设的方法和工具。

目前国际网络犯罪金额超过6万亿美元,超过50%的安全事件产生的首直接原因是个人安全意识薄弱。外部高级持续的威胁,加上内部安全意识薄弱的工作人员,给CSO们的工作带来了严峻的挑战。攘外必先安内,提升企业内部的安全意识刻不容缓。

中国首席信息安全官高峰论坛-robin 20171213[1].jpg

对于多数企业而言,开展安全意识教育需要考虑时间、资源以及合适的方法。对此,王怀宾先生提出:通过「知识竞赛」评测员工的安全意识水平;利用书籍、手册、视频等方式对员工展开安全教育;仿真体验网络攻击事件,将知识和实践结合,检验教育学习成果;开展内部竞赛、专项训练、能力鉴定等方式进一步提升技能。

中国首席信息安全官高峰论坛-robin 20171213[1].jpg

线上知识传递到线下深入学习,案例互动参与提升教育效果,测评报告总结并为下一阶段安全教育提供参照制定目标,如此循环往复。意识决定安全,安全保障业务运行,推动企业发展。 

「创新安全架构、实现有效安全的最佳实践」

闭门会议13.jpg

接下来上台分享的是来自思科大中华区安全业务技术总监徐洪涛先生,重点分享了思科在安全能力设计、架构设计、部署实施等几个方面的最佳实践。

创新安全架构,实现有效安全的最佳实践.jpg

网络攻防对抗愈演愈烈,安全建设已经不再是有和无问题,安全架构的有效性是我们必须要关注的核心问题,我们必须做到更快的检测威胁,阻止威胁。如何更好地做出安全考虑?需要从企业业务出发,针对每个业务流,应对最新的威胁,我们需要一个端到端的智能安全解决方案,这个方案将专注于三个方面:

全面提高对整个网络的可见性

只有完全了解了你的网络,你才能基于你的了解,做出准确的防护和检测,保证正确的人,正确终端通过正确的应用,访问正确的资源。

关注威胁

威胁是我们企业最为担心的,我们也将关注于威胁发生的各个环节(攻击前中后),以做出准确的防护和响应。

统一平台

安全已经不仅仅是一个网络的问题,他涵盖在包括网络终端/云等多个平台,我们需要一个统一公开的架构,能够提供全面的可扩展的/统一管理的安全性。

创新安全架构,实现有效安全的最佳实践.jpg

能力设计

首先根据业务流的风险威胁/合规要求,找到相应的安全技术能力需求(非安全产品)

架构设计

根据需要的安全能力,选择相应的安全产品,可以单个产品具备多个安全能力,与网络已有的方案结合,实现安全能力的有效结合,提供整套高级安全架构。

设备部署

根据网络的实际情况,选择合适的设备型号,以及设备之间的互联。多选择的部署模式,验证设计,让安全部署更快更准确。

「应急响应体系下的智能新元素」

闭门会议57-2.jpg

斗象科技能力中心安全顾问张志鹏则带来了企业应急响应体系建设的新思路与方法。

应急响应是企业安全体系建设中不可或缺的环节,是提升网络安全事件处理能力的一种机制,能够预防和减少网路安全事件造成的损失和危害。是技术与管理的融合体现。被视为安全的最后一道防线,其重要性不言而喻。一直以来,事件的应急响应都通过固定化的程序来完成,现实情况下,企业的应急依旧十分被动。

中国首席信息安全官高峰论坛-应急响应体系下的智能新元素[1].jpg

如今,人工智能等技术发展迅猛,为诸多安全问题提供了新的思路和方法。斗象科技能力中心在原有技术的基础上增添更多新的创新元素,从数据收集、分析与检测,让流程不在固化单调,帮助企业增强预警与响应能力,打造新视角下的应急响应体系。 

00.jpg

02.jpg

「关于DevSecOps的十条建议」

闭门会议34.jpg

一直以来,开发人员在构建软件时认为功能需求优先于安全。虽然安全编码实践起着重要作用,但对于赶在最后期限前构建应用程序的团队来讲,它往往会被降到第二或第三级需求的位置。“软件安全”的说法通常会在软件开发人员中引起负面情绪,因为它意味着增加额外的编程量、不确定性、以及阻碍快速开发和发布周期的拦路石。如何在不给开发人员大幅增加工作量、工作时间的同时又能将安全需求做好?如何将安全融入到DevOps的工作流中?

DevSecOps的十条建议-宽版.jpg

太平保险安全负责人薛忠胜先生在演讲中分享了关于DevSecOps的十条建议:

一、将安全市委持续交付、学习和改进的过程

二、面向开发人员整合安全测试工具和流程

三、放弃在开发阶段解决所有漏洞的“完美”想法

四、首先聚焦于识别和清除已知的关键漏洞

五、除了传统的SAAT/DAST,要有新方法和新手段

六、重视对开发人员的培训

七、开发人员就是开发人员,不是安全专家,所以一切更简单和直观

八、采用安全先锋模式

九、不但要关注代码安全,也要关注环境的安全

十、树立基础架构不可手工更改的意识

「网络安全法:企业的应对之策」

闭门会议84.jpg

随后,(ISC)² 上海分会理事陈皓先生上台,分享了他对企业应对《网络安全法》的建议对策。   

2017年6月1日,《网络安全法》正式实施。这是首次在中国境内颁布的涉及网络安全与隐私权保护的法律。《网络安全法》明确指出,网络运营者应当建立网络安全等级保护制度、事件应急处置、个人信息保护、违法信息处理、投诉处理、配合监督检查、协助执法为法律义务。

Enterprise Mitigation Action plan of China Cybersecurity Law Impact - Freebuf.jpg

随着企业业务发展,信息数据流转正在发生变化,跨境传输成为常态,保证数据的安全成为了重要任务。目前,全球有超过60个国家做出数据本地化存储要求。《网络安全法》也对保障数据安全提出了要求。对此,陈皓先生结合国内外实例分享了他的建议:

在数据传输钱,获得数据主题的授权和确认,原始数据的本地存储,处理后数据进行跨境传输(去除个人可识别信息、分析处理等流程本地化,形成汇总报告后传输);

数据传输按规定进行日志把偶呢,备份及审查;

境内/外数据安全管控的内部政策、制度和措施执行的透明性,具备可追查,可审计能力;

企业作为网络运营者,该如何正确应对、落实《网络安全法》?主讲人将结合真实案例,解读企业组织的行动策略及具体行动方向和计划;

「安全新时代下CSO转型之策」

闭门会议79.jpg

接下来上台的是已有超过17年的信息行业经验的德勤风险咨询合伙人施建俊博士,分享了安全新时代下的CSO转型策略。 

随着物联网、云计算、人工智能等技术的发展,安全事件与日俱增,企业面临的网络安全风险和挑战不断升级。与此同时,随着国家网络安全法律法规的落地实施,也给企业划定了维护网络安全的法律底线。

安全新时代下CSO转型之道.jpg

在《网络安全法》出台的大背景下,企业首席安全官首当其冲应考虑6个问题:

1、构建完整网络安全防护体系,符合网络安全治理机制

2、加强数据安全管理

3、加强个人信息保护

4、强化安全事件应急和响应机制

5、加强安全风险监控分析和处置

6、培养全方面的网络安全意识

安全新时代下CSO转型之道.jpg

新的时代背景下,首席信息安全官正日益被要求跨出以技术专家和保卫者角色为重的传统观念,在保留安全技术、保护企业资产的重要职责同时,需要向着制定安全战略、及为企业提供安全建议的角色进行转变和升级。
要使安全部门成为企业更具战略性和综合性的伙伴,需要重新审视首席安全官的作用,并齐心协力创造网络风险责任共担的企业文化,承担战略与咨询职能。 

安全新时代下CSO转型之道.jpg  

安全新时代下CSO转型之道.jpg 

「智慧网络下,上海纽约大学网络安全实践之道」 

最后登场的是上海纽约大学CIO常潘先生,他向我们分享了上海纽约大学在网路安全方面的实践经验。

常潘先生在演讲中提到,网络安全最麻烦之处在于安全风险的不断推陈出新,而我们的工作重心通常都放在那些关键的业务系统上,采取必要措施来预防已知的最严重的威胁,而其他稍次要的系统及非致命的风险并没有引起足够的重视。

上海纽约大学网络安全实践之道.jpg

至此FIT中国首席信息安全官高峰论坛圆满结束,演讲PPT下载链接:https://pan.baidu.com/s/1bo0500B  密码:vz2a

发表评论

已有 1 条评论

取消
Loading...
css.php