2019年10月22日，在网络安全的领域中成都又多了一个新的标签，INSEC WORLD 成都·世界信息安全大会隆重开幕。举办方Informa Markets成功举办过Black Hat这种顶级安全会议，也让这次INSEC WORLD吸引了中国安全届的大咖出席。

同一天里，听到谭晓生两次提到CSO这个职位，“酸甜苦辣”、“表面光鲜，实则很辛苦”之类的评价，这其中包含着自己作为CSO经历的感慨，一个企业的CSO确实不是那么容易的，但这依然是一个成熟的安全企业不可或缺的重要角色。正如CSO论坛主持人金湘宇（Sec-UN网站创始人，威胁情报推进联盟发起人）所言，未来的安全产业一定会逐渐重视我们甲方的声音，重视我们CSO的声音。

在当天下午CSO论坛，几位业内CSO以及安全负责人亲自上阵，传授大厂的安全之道。更有意思的是，在圆桌论坛环节，谭晓生还试图引出那些不会出现在PPT上的秘密。

CSO开场致辞：CSO的价值及必备素质

聂君——奇安信集团CSO网络安全部总经理

作为CSO论坛的出品人，聂君在开场致辞中透露，目前真的有CSO文化的企业并不是很多，更多的还是叫安全负责人。但在未来五到十年内，一些大型企业会逐渐出现CSO这样的职位。不同规模的企业，如何去选择合适的安全策略或者解决方案，这需要企业安全负责人能以最低的成本消除这种信息不对称，选择当下最优解决方案，这是CSO存在的价值。

奇安信集团CSO网络安全部总经理 聂君

另一方面从安全负责人进化到企业CSO，需要能够讲清楚安全的价值以及你这个CSO的价值在哪里。这其中最难的是要了解老板的想法，按照老板的视角想问题。从业务和IT的角度看安全，这是成为企业CSO必备的视野和技能。

议题一：企业安全中台建设探索

陈建——平安集团首席信息安全官

中台的概念是企业整个技术发展到一定阶段后，为了提升整个集团的数据运营的能力，或者集中产品优势而选择的一个很好的方式，包含了技术中台、数据中台、业务中台。

对于电商企业或互联网企业来说，往往存在一些共性，通过业务逻辑的解耦，把共享服务体系集中化，通过中台能力的聚合，让企业不用重复造炉子，从而降低业务发展或是重建带来的成本。

平安集团首席信息安全官 陈建

那么，中台跟安全有什么问题？陈建认为，首先，安全本身就是技术的一类，其次，就平台集团来说，中台化的方式更适合企业安全的治理方式。安全技术、安全运营、安全管理、安全治理，都可以做中台式规划。

以平安集团为例，在40万内部员工、30多个一级子公司的超大规模下，集团做什么，专业公司做什么，分工怎么定？平安集团划分了两层：日常所有集团的安全要求，治理要求的落实和贯彻、业务场景里的安全实践等需要一线去实施的部分，称为前台，也就是第一道防线；做好整个平台化的建设，在集团层面上则称为中后台，也是安全第二大或第三大防线。

简单来说，就是把企业的技术栈统一、标准规划化做好，然后统一来建设。在这样的基础上，再去关注自己的业务场景，将特定的业务场景和统一的技术能力相结合，既能有效做到安全治理又不会在基础建设上浪费资源和成本，这就是安全中台。

议题二：全面风险治理

张作裕——钉钉CRO

“从在美国不给黑人吃西瓜，到业务总裁需要什么安全？”这两个看似风马牛不相及的问题在张作裕看来有着同一个答案：认知不同。在美国给黑人吃西瓜是种族歧视，这与国人的认知完全不同。而CSO不懂业务总裁需要什么安全，则是因为两者站在不同角度，自然对于安全的认知有所差异。

钉钉CRO 张作裕

张作裕认为，或许不是老板不懂安全，而是CSO不够懂业务。对于公司内部来说，安全要怎么做，要做什么，都需要跟业务对齐，确定后再去思考依靠现有的能力可以做什么，也就是全面风险治理：

1、步子迈多大

要知道步子迈多大，首先就是做好评估。譬如固有风险、防控手段、覆盖度、治理投入等维度的事前评估。其次是做好业务分析，研判业务的核心要素、产品最核心风险。

2、路能走多远

如果步子很大，一步就能到位。但是为什么现在安全有这么多问题？第一个是业务不需要，第二个是总裁不理解，第三个是大家没有危机意识。总体来说，核心的问题在于安全预算。因此，明确建立安全团队对业务有什么帮助，通过业务排序和风险排序确定安全优先级，才能拿到更多的预算。此外，大胆选用第三方产品也是一个不错的选择。

议题三：互联网银行安全建设实践

吴飞飞——蚂蚁金服/网商银行高级安全专家

“只要没有人搞你，其实很难去发现你是做的真好还是假好。”

蚂蚁金服/网商银行高级安全专家 吴飞飞

吴飞飞就自己的从业经历，分享了一些安全理念：

1、以攻促防：关注真正有风险的漏洞，把时间花在急迫需要我们解决的漏洞上面，快速响应这些风险，而不是花费大量时间在被动解决层出不穷的日常漏洞上。

2、红蓝对抗：没有人攻击你，你永远不知道安全防护有没有真的做好。因此，红蓝军演练是个很好的选择。

3、确定一个安全基准，然后只要时间足够长，安全团队足够正常的情况下，安全水位一定是能够慢慢上来的。

4、安全招聘现状：薪资非常高甚至高于研发，但整体从业者水平良莠不齐。

5、重视圈子文化，消息传播特别快、信息共享能力强。

6、纵深防御：将恶意抵挡在外是最终目的，但并不是把所有产品都用上就能实现。在纵深防御的链路中，存在很多不被关注的点，只有把该守好的口子守住了才能达到整体的效果。

议题四：大型互联网企业的数据安全攻与防

钱业斐——滴滴出行数据安全负责人

“安全、体验、便利从来不都冲突，三者可以并存。”

钱业斐主要分享了数据向的攻防，尤其是企业内部员工、合作方的数据如何确保不会被违规泄露。因为数据安全和信息安全不一样，后者面临的的攻击特征非常强烈，但是数据的传输往往基于日常业务需求，频次高、更日常，很难察觉异常。

因此，保障数据安全首先要做的就是风险识别，通过数据感知哪里有风险再进行风险处置，而整体的数据安全的搭建则离不开框架完整性、重视能力建设和解决方案落地，除了这3点，运营是核心抓手，指标是价值评价。

滴滴出行数据安全负责人 钱业斐

最后，钱业斐总结：

习惯性用数据驱动，不要用感性认识评定该如何做。

重视内部员工的数据安全行为，他造成的损失大于外部威胁。

IT建设会影响数据安全和效率。当数据质量比较高，可以使用全自动化。

数据安全人才的建立是漫长的过程，但依然要培养。

议题五：可信数字身份构筑企业信息安全

谭翔——上海派拉软件股份有限公司总经理

随着5G和物联网的出现，安全问题可能会延伸到设备上去，带来去边界化问题和动态访问。从而变成人在哪里数据就在哪里，数据的安全访问也会变得越来越重要。

与此同时，企业数据不仅包含业务数据，还有个人数据。其中，员工、客户、供应商的信息都是非常重要的数据资产，但这些数据资产又面临内部和外部的各种威，成为企业头疼的问题。而谭翔提出的用零信任架构的思想构建可信数字身份的治理平台，给出了新的思路。

上海派拉软件股份有限公司总经理 谭翔

在可信数字身份的治理平台中，用户包括了员工、供应商和客户，而计算机等设备被默认为不可信。因此，在零信任的情况下往往需要先验证再建立连接，也就是先验证身份，其中涵盖了认证与授权、访问策略，设备清单、用户库和登录等内容，做到安全访问。

整个身份管理体系里面，在管理身份，数字化转型方面则通过自动化操作身份鉴别、授权、身份应用接入；数字化的构建能力，搭建用户中台，做好用户的身份管理。

圆桌讨论：CSO辩安全

主持人：谭晓生

嘉宾：金湘宇、陈建、张作裕、吴飞飞、钱业斐

所有嘉宾议题环节结束，最后的圆桌论坛环节，谭晓生率先抛出关于合规性的问题，近些年密集出台的网络安全领域法律法规以及攻防演练活动，对企业的业务是否会有一定的影响。

金湘宇以密码法为例，他认为密码法的出台肯定有政治背景，在2010年之前就有电子商务部他们提出整个密码化的要求，此后保险行业还有证监系统开始要求密码国产化应用。对于企业而言，肯定是有一定的挑战的。而在蚂蚁金服，吴飞飞表示，作为一个强监管的公司，有专门的部门做标准化，还有一个部门专门做密码。金湘宇、陈建纷纷认同，在合规性以及标准化上，阿里系的公司属于先驱。

结合上午主论坛的一个议题，谭晓生又丢出职业目标上的问题思考。CSO要从幕后走到董事会，如果是0到5分，现在走了几分？

钱业斐表示，对于互联网企业来说，安全要求很高，只有得到业务高度认可，可能我们才能走得更近。究竟打几分，没有数据驱动没有数据感知，我打这个东西没有用。

对于这个问题似乎有些敏感，各位大佬似乎有点拘束。张作裕称，对于像阿里孵化下面的创业型公司来讲，重要的不是说进董事会，而是像合伙人一样的在这个团队里面做事情。而且阿里架构复杂，很多时候有部分工作会有重复建设。如果从业务角度来看，他认为自己应该可以打3分，至少是合伙人的角色。

而对于平安集团而言，集团董事会也没有几个人，想进去就差太远了；倒是单论平安科技的话，那可能就是一步之遥。公司治理角度来说，CIT、CIO都不是董事会，你CSO怎么进去。这个还是企业对科技的重视度和他的认同。

当最后谈到零信任安全的理念，在座的嘉宾几乎都一致的表示认可。钱业斐、吴飞飞都透露公司已经在往零信任的方向去做了，甚至有试图打造一个全层面体系化的零信任。

不过陈建认为，零信任从概念上来说并没有什么特别之处。安全本身就解决信任问题，因为你在安全很多边界内部是没有办法做到信任，所以零信任。内网管控也是很严的就是零信任，只是很多传统的企业，就是内网我觉得安全，所以说我没有管控，所以带来零信任架构的提法。在他看来，这个架构理念本来就是安全应该朝的方向。

结语

这场CSO论坛全场人满为患，有谭晓生、金湘宇、聂君等大佬撑场也是质量的保证，从整体议题内容上来看，也都是当下诸多企业会面临困惑的问题，或是企业安全建设，或是数据保护，亦或身份认证等等，还目睹一场精彩的圆桌话题讨论。从企业安全负责人到CSO，也许是头衔几个字的差别，但可能需要安全理念上的颠覆，需要有更好的大局观以及业务考量，不局限于技术层面，每一位到场的观众或许也在考虑，自己到安全负责人、CSO甚至是进入董事会，到底走了几分……

*本文作者：kirazhou、shidongqi，转载请注明来自FreeBuf.COM