《从业务保障到有任务出彩的安全之路》

刘志诚 乐信集团信息安全总监

随着企业业务与安全技术的不断进步，企业的安全体系要随着调整和变化。在传统意义上的安全只能起到业务保障的作用，可现在，业务对安全的依赖性越来越高，如何用安全的技术、安全的手段来促进公司业务发展，让业务出彩是现在安全从业者最需要考虑的问题。

安全现在越来越注重场景化，虽然乙方和厂商出于规模化和标准化的目的，更喜欢用一个产品解决通用的问题，但是在实际使用过程中，随着业务的数字化及互联网化，可以发现仅靠通用的产品是无法解决安全的问题，这时就需要通过提升企业自身的安全能力，量身定制适合企业自身业务场景的安全产品。

2021年，《数安法》、《个保法》的相继出台，包括网信办、工信部、公安部及下属各个机构通报的APP违规事件中可以发现，APP的权限和数据问题可以处理，但是在APP大量集成第三方SDK的监管却出现了问题。即便建立平台对SDK分析和评估，但依赖人工是不现实的，必须要制作自动化的工具来辅助。

现在企业中的安全团队规模都不是很大，从成本的视角来看，未来可能还回进一步缩小。安全对企业越来越重要，怎么还会缩小？这就涉及到自动化的应急响应，从业务层面进行安全应急响应的编排，安全要从过去的保障平台转移成管理的组织，需要提供更多的安全能力和服务去支持业务发展。

现在很多企业的数据安全还停留在能力层面：加密、脱敏、审计等，但无论从生命周期还是业务角度，没有安全平台运营就无法做到对数据资产、风险、漏洞等全程的安全管理和控制。本质上，这是一种将安全以业务模式去提供的方式，从管理组织转变到生产组织，将能力转变成产品和服务来推动整个企业的业务发展。

信息化转向数字化本质上是商业环境的改变，对技术的需求就会有相应的要求，也就是弹性空间。最为典型的就是降本。举个例子，原来单机的服务器只能满足一个功能或逻辑，上云之后，一台物理设备可以虚拟多个服务器，通过关系虚拟机的方式来做资源的释放，到了容器云时代，它在使用的时候才会消耗资源，这其实就是降本的一个诉求。

另一方面，增效。原来传统的企业组织架构中使用的是ESB模式，现在更多的是SOA的方式，这种全API接口的方式会变得更简单更便捷，这就是技术需求的变化。技术需求的变化随之而来就是云原生的概念，也就是系统实现和运维的新模式，传统企业的信息化系统基本靠采购，而数字化之后，就需要自己开发和制作，因此，自制的信息化系统就成为企业的核心竞争力。

容器云就是弹性基础设施的进一步增强，从单机到私有云、公用云，再到虚拟化最终到达容器云，这是技术体系演变的过程。微服务就是从过去按系统、模块过渡到API这种积木式架构实现业务。无论DevOps、容器云还是微服务，都是为了持续交付，持续交付的目的是为了满足现在商业竞争环境的需求。

《网络安全工作经验分享》

高峰 中国太平洋保险（集团）股份有限公司资深经理

网络安全工作经验分享分为两个话题，第一是网络安全教育，第二是信创项目。网络安全的需求来源从传统的意义分为技术威胁和业务需求，技术威胁更多是在应用开发安全。业务需求需要关注到相关法律法规以及监管合规方面的要求，在这方面就要对企业高管以及中层干部进行培训，另一方面就是用户需求，要贴合用户的真实需求，根据员工的类别展开不同层次的培训，强化员工的安全意识。

安全教育的开展强调三个纬度，高管、中层以及普通员工，首先要提升安全教育的重要性，其次是要内部制定培训制度，第三是要围绕关键的生产红线，强调底线思维，最终要注重渠道，线上线下等等。按照一个项目运营的方式分为四个阶段，第一是筹备阶段，第二是启动阶段，第三是是实施阶段，第四是总结阶段。按照时间顺序依次开展，并根据不同的维度，确保培训内容符合员工的真实需求。线上，通过公司的oa系统、官网、微信群以及公众号等进行宣传，线下是通过楼层之间的展示，包括大屏等。安全知识的展示，可以采用知识展览以及安全答题等形式加强互动。

信创是国内通过应用创新，一是突破国外对我国的封锁，二来可以拉动新一轮的经济增长，第三也是可以抢占国际信息技术的制高点，第四就是实现技术的安全可控。2016年，《国家信息化发展战略纲要》中提出，到2025年从根本改变核心关键技术受制于人的局面，形成安全可控信息技术产业体系。2017年，《关于实施涉密领域国产化替代工程的通知》提出至2020年，涉密网络终端和涉密单机完成涉密专用计算机替代，服务、器和存储系统基本完成替代，网络和办公自动化设备逐步实现替代。2019年，《关于促进网络安全产业发展的指导意见（征求意见稿》中提出，要突破网络安全关键技术，积极创新网络安全服务模式，打造网络安全产业生态、全技术应用。2020年8月，《关于新时期促进集成电路产业和软件产业高质量发展若干政策的通知》中，明确提出要推动国产替代进程。2021年10月，《中华人民共和国审计法》中明确提出，审计机构进行审计时，有权检查被审计单位信息系统的安全性、可靠性、经济性，被审计单位不得拒绝。

信创安全能力建设，首先是芯片，第二是操作系统，第三是数据库，第四是应用。围绕这四个核心点再来看安全能力建设，主要有中度安全，系统安全，软件安全，应用安全包括密码、数据、芯片以及网络边界等。信创安全的主要难点是杂、乱、繁，在产品和产品之间交互的过程中可能会受到产品杂乱、操作系统不统一等问题，会影响项目的实施。

《安全与美—我对网络安全的观察和思考》

刘凯 平安集团安全总监

安全与美—我对网络安全的观察和思考，共分为七个话题。第一个话题是关于美，这是我在网络安全从业这些年的个人理解和感受的总结。有规律、有秩序是美；匀称、和谐是大美；有实用性、有高应用价值是至美。坚持安全周报月报，定期安全汇报的习惯；兼顾体验、效率和保障的安全控制措施或方案；能有效解决高频安全问题、具有普世意义的安全工具、方法及思维模式等等都是美的体现。

第二个话题是网络安全的科学性和艺术性，科学性体现在安全最优解的应用与实践，艺术性体现在安全最优解的各种权衡。什么是安全最优解？我认为是不局限于安全视角，而是从非安全的全局的视角来看安全团队能够做出的最大化的，最卓越的业绩产出。国内很多企业的安全团队关注的是安全技术的应用，重视安全解决方案作为科学和工程的这部分，却忽视了人文和艺术的那部分，忽视了在安全管理中，安全建设和运营中的交付过程和成果产出。对安全项目交付运营、安全创新成功的渴望和失败的羞耻；对防护绕过、攻击检测验证、实时对抗的积极、坚韧的意志；对复杂场景的风险管控与落地方案的简单易行的冲突与平衡技巧；对安全投入成本和对业务的价值贡献的衡量与评价；对工作沟通的换位思考、极度负责的总结或报告的态度等，这些都是艺术性的体现。

第三个话题是安全行业的不科学现象，其中的重点是线性逻辑到幂次法则的转变。当前安全行业的普遍做法，有一些是不科学的，因为人们习惯用简单的线性逻辑推理，而幂次法则或许才是更可取的答案。线性逻辑是人脑对确定性的极度渴望，幂次法则是人脑对不确定性的自发恐惧，前者是人的第一反应，但需要克制。

第四个话题是网络安全的兴趣与热爱。真正的安全兴趣爱好是由浅入深的学习、实践的过程，也是由易到难的逐步走向专业的过程，这个过程要克服困难、要努力、要坚持、要投入精力，当然也要有快乐。安全从业者的心态：是一份工作还是一份职业。前者只是谋生的手段，后者才是终生从事的事业。前者目的是赚钱，后者目的是乐在其中的赚钱，差别在于当满足了基本的物质生活后，后者就只剩乐在其中。安全从业者要独立思考，不从众，善于从生活中、各行各业中、从历史教训中汲取智慧，特别是在看似无关的领域。

第五个话题是网络安全的人性现象。网络安全中有很多反人性的措施，需要鼓起勇气说不。让普通用户提高安全意识成功抵抗钓鱼攻击，这种期望是反人性的，只是安全团队的美好愿望；利用账号锁定策略来免责，让用户承担账号锁定的后果，这种策略是反人性的；让用户设置复杂密码，并强制定期修改密码，这种行为是反人性的。我们只有自己理解的深刻，才能更好的宽容他人。

第六个话题是安全圈的守望相助。缺少交往、友谊这些前提条件，只说守望相助，要么是道德绑架，要么是耍流氓。只看表象，是不能分辨善恶正邪的，我们应该了解、思辩，再去做，而不是冲动的去做。顺水推舟的帮一把，不算是守望相助，只能算是各取所需。

最后一个话题是安全同行出书。用诗意文字讲述网络安全，将科普性、故事性和艺术性相结合，或许才算是一本优秀的安全技术图书。不单让我们收获知识、技巧或方法论，还让我们收获严谨的思维方式、更高远的决策能力、独立思考的习惯以及不断挑战、创新的精神。写技术，还应包含技术背后的发展逻辑、思想观点；写代码，还应包含代码背后的创作逻辑、创作理念。安全工具书也有价值，更适合刚踏入安全领域的初学者。

《开放合作，构建生态，共赢工业互联网时代》

唐宇 卡奥斯首席安全专家

海尔卡奥斯是全球第一的物联网生态平台，以30年的制造经验打造工业互联网生态体系，并首创体验云平台。2007年，国家首次提出两化融合；2011年，工信部发布《关于加快推进信息化与工业化深度融合的若干意见》；2015年5月，国务院下发《中国制造2025》；2017年，国务院发布关于深化“互联网+先进制造业”发展工业互联网的指导意见；2017年4月，海尔卡奥斯成立；2018年，工信部发布《工业互联网发展行动计划（2018-2020年）》和《工业互联网专项工作组 2018年工作计划》。

工业互联网是新一代信息通信技术与工业经济深度融合的全新工业生态、全新关键基础设施和新型应用模式。将工业领域应用的智能机器、智能仪表、传感器、执行器、控制器以及各种生产管理系统通过互联网跨地域连接在一起形成的网络，是传统信息技术（IT）、工业控制技术（OT）融合的产物，是人、机、物全面互联的新型网络基础设施，是全球工业系统与高级计算、高级分析、传感技术及互联网的高度融合。工业互联网平台可以用四字概括：云、网、边、端。

工业互联网相较于产业互联网，事件的影响力更大，对人民群众和国家安全的危害也更大。随着近年来国家对工业互联网的逐步重视，我国工业信息安全漏洞数量呈增长态势，原因是工业互联网在安全方面较为薄弱。在政策层面，对工业互联网安全格外重视，几乎每一年，工信部及国务院等部门就会针对工业互联网发展提出指导意见，工业互联网也被定义为：网络为基础，平台为核心，安全为保障。

改革开放以来，中国工业经济规模迅速壮⼤。世界银⾏数据显⽰，2018年中国工业占GDP的⽐重达40.7%，表明工业对中国经济增⻓的重要支撑作用。数字化转型，使得传统工业现场相对封闭可信的制造环境逐渐被打破，以传统企业安全的防火墙为主的外建安全效力逐渐降低，内嵌安全需求激增，市场急需新的安全防护方案。

新基建给工业互联网发展带来新机遇，同时也给工业互联网安全带来新挑战。整个工业互联网处于起步阶段，安全能力建设不完善，仍有诸多问题要解决。工业互联网安全风险需要通过构建安全生态来共同面对和解决。

《企业信息安全建设实践》

孙琦 某A+H股上市公司信息安全负责人

在一家企业中，重要的部门有很多，但是在CEO或董事会的视角中，最重要的部门一定是能够之间变现的部门，也就是产品部门，而其他包括安全，运维等，都只是工具而已。企业在发展中一定会面对增长瓶颈等问题，这个时候，多数企业会选择数字化转型来降本增效，所以数字化是工具，数字化也是一种手段。

安全的价值是什么？我所服务的公司中选择了轻资产重运营，那么安全的价值就是维护资产。从安全架构切入到应用系统，再将资产进行数字化定价及存储，最终形成完整的安全防护链。要学会用不同的视角去看待问题，站在CSO的角度，首先一定要有业务视角，完善业务安全架构，使业务部门可以专心做业务；第二是一定要有技术视角，使安全防护的可用率超过95%，覆盖率超过90%；第三是要有合规视角，确保等级保护评测通过，确保无行政处罚；最后是要有资源视角，向上要奖金，向下要绩效，要知道资源不足是常态。

没有安全属性的数字经济实体是一文不值的，安全保护的目标是盈利主体，只有盈利主题保护得当，安全才有价值。每一个安全团队在开年之时一定要定一个目标，目的是将现阶段要做的和未来要做的工作量化。如果你的目标是0重大安全事故，那么首先就要为重大安全事故下定义，然后要识别需要保护的内容是哪些，如果是数字化能力，那么你需要围绕应用安全、数据安全、外部监管要求和安全体系建设做一些工作，再向上推导就是要提升安全防护能力、通过等级保护测评和信息安全审计以及其他法律法规和行政监管的要求。

安全管理的整理思路，即是围绕着业务，将安全管理进行拆分。以核心业务、核心数据、核心资产为抓手，先明确目标，再建立安全体系，重安全运营。部分企业在完成整个安全体系的建设中想法过于简单，首先是有了人、制度、体系、流程以及对应的设备，后续的工作才会向运营转移。好的安全有一个共性，所有的数据都是即时展现，不需要二次整理。

《论新环境安全团队建设&SOC“初长成”》

李晓文 海尔集团IT安全负责人

论新环境安全团队建设，首先输入6个问题：1.快速理解新的环境，过渡并体现价值？2. 如何理解管理层的期望？3. 如何契合环境设计因地制宜的安全规划？4. 如何对风险治理以提高安全能力的成熟度？5. 如何向业务清晰的传达安全的价值？6. 如何建立安全团队的品牌？解决方式是：1.对自我的定位：技术人员、管理者、沟通者；2. 快速学习、倾听和理解；3. 建立高层、干系人的联系，建立连接并获得支持；4. 一个可快速评估当前安全能力的成熟度的工具（流程、人员、技术）；5. 与新团队建立信任。

新环境安全团队建设，最重要的是设定目标和原则。在评估团队和成员现状后，设定相应的目标和原则，通过提升团队的专业性和软技能实现目标，最后制定计划并落实。团队 ：众人拾柴火焰高，招贤纳士，找到对的人，构建PPT中的"People"能力。项目：万丈高楼平地起，一砖一瓦皆根基，以有限的预算、资源，结合风险评估，设定好项目目标或范围，做好产品测试，选定适合组织环境的产品并结合管理手段落地，项目成就队伍和安全能力。激励：以正向激励促进步，以蓝军思维共勉。以训促战：检验团队提升的能力，检验项目落地的能力，通过攻防实战演练间接验证安全防护、检测、响应的能力（可参考的维度：突破边界防御的数量、发现漏洞数量、获取权限数量等）。及时审视不足和差距：改进中更好的前进，一、基于相关的国际安全框架评估需要落地的项目会给管理层凌乱的感觉，需要从顶层架构设计的视角给到管理层输入，以获取到更多的支持和认可。二、基于年度安全投入的情况，审视安全的价值产出，结合业务的属性量化安全的价值。

在国内，Soc是基于流量的监测和分析，国外则基于日志。在制定Soc路径上分为三个阶段，一是SEIM阶段，构建实时的洞察力，具体体现在日志集中收集、建立典型场景的Use Case、事件响应（流程、规范、工单、显差等）以及可定制的态势大屏。二是Soc阶段，搭建自适应的攻击防护能力，具体体现在增加东西向网络流量检测能力、引入威胁情报、构建UEBA能力、建立自主安全运营能力并赋能产业。三是SOAR阶段，搭建自适应的访问保护能力，具体体现在构建SOAR自动编排能力、实现威胁持续评估和验证、可保护应用和业务数据、威胁狩猎。

《个人信息保护实践的破与立》

蔡俊磊 某金融科技集团首席安全官

对企业的管理者而言，个人信息保护是一个满足合规的要求，所以很多时候管理层会找到外部的资讯机构去针对现有的法律法规开展一个合规咨询的项目，签订合同，成立项目团队。启动这个项目会制定范围、时间安排，并动员内部成员一起去开展相关工作。随后就会进行所谓的差距分析和风险评估，落到个人信息保护就可能会针对公司内部所收集到的个人信息开展调研，绘制个人信息的数据流图，再基于这些对比法律法规要求去找到差距，得到了差距和结果以后，针对所发现的问题制定个人信息的保护框架及流程，最终项目落地。

在很多公司，个人信息的保护工作会与法务部门相关联。法务部通常会要求编制一些文档，包括个人信息处理记录文档、个人信息保护制度、个人信息保护流程文件、个人信息保护影响评估结果、知情同意模板、隐私声明、个人信息清单以及整改计划等。可是在实际的工作中，仅靠这些文档还是会有泄露风险或安全事件。

站在技术和安全的角度，最常见的还是以数据安全的视角来看待个人信息保护，通常会使用数据防泄露将个人信息进行保护。本质上这并不是错误的观点，但是在企业边界不断宽泛的过程中，仅靠防泄露是不够的。《个保法》给予数据主体很多权利，想要利用或响应这些权利就不能只做好数据安全。

在全球范围内，针对个人信息保护和隐私合规方面的立法是越来越严格。在一个国际机构的统计报告中可以发现，目前已有全世界人口超过50%以上的所在国家，颁发了个人信息保护相关的法律，国家数量超过80个。美国的商业机构可以对政府进行一些游说，目的是政府在相关立法或决策的时候可以更有利于这些商业机构所处的环境，在某机构针对前五大互联网公司进行调查研究的时候发现，早些年游说的关键词包括税务、知识产权、移民政策、人权自由等，现在则转变成网络安全、隐私保护等方面。深入思考后可以发现，这些互联网公司想要通过延迟立法等方式，将他们所收集到的个人信息转化词商业利益或影响。这也反映出，个人信息等相关立法的工作，对于企业的安全部门或是法务合规部门都具有很大的挑战。

所有的隐私保护工作，应该基于达成一致的原则去开展。上图的模型中，最下方的是强制性企业隐私保护的要求，需要满足立法和监管的要求和隐私事件管理及违规的通知；中间一层是企业的一些自主性的策略，包括社会、道德、政治的相互协调，满足这一层所需要的资源比最底层要多得多；最高一层是管理及利益相关者的要求，也就是企业对外沟通的整体形象。

《威胁模型下浅谈零信任架构》

张鲁 比特大陆CISO

威胁模型，是企业针对某一个体或系统所设计的安全方案，从方法论的角度来说，要明确两点，第一要明确保护的目标主体，也就是业务或系统类型；第二，根据目标主体类型去分析所面临的主要威胁，针对不同的威胁设计不同的方案。在整个安全体系中，如何最大程度利用现有的资源完成建设，这就需要有一定的节奏，从这方面来看，结合威胁的危害程度、比重大小及防守的难易程度来确立优先级关系。

威胁分为五种类型，一是黑灰产，一般为中低端黑产从业者、脚本小子，通常没有目的性，利用

通用手段广泛撒网，技术门槛不高；二是负面危机，一般为商业竞争对手、安全自由职业者或来

自监管等政府单位，往往因安全事件对商誉、品牌或正在进行的商业行为造成影响；三是APT攻击，一般为网络犯罪集团甚至国家背景的组织，目的性明确，潜伏周期长，有组织，攻击资源丰富，具备强对抗能力；四是内部威胁，可能是内部员工，也可能是外包或访客，利用自身或借用他人权限，通过导出、拷贝、上传、爬取、截图、拍照、甚至口口相传等途径获取和传播敏感信息；五是未知威胁，即是认知以外的风险。

零信任的核心理念是Never trust，Always verify，永不信任，持续验证。另一种说法是去边界，以企业视角来看，安全边界太多、战线太长使得防御成本提升，所以无论是安全管理还是防御都是试图收缩边界，零信任也是如此。但是去边界一次过于绝对，或许叫最小边界会更好。零信任在2010年由Forrester原首席分析师John Kindervag首次提出，2011年Google开始实施启动BeyondCorp，2017年Gartner发布持续自适应风险与信任评估模型（CARTA），其中包括零信任，2019年Gartner提出SASE理念，将零信任网络访问作为其中一部分。

在企业中，零信任架构落地是有一定节奏的，首先是统一的身份认证，从接入的方式就像本地有线向无线WiFi或远程办公的VPN，接入对象如同服务器、业务系统所具有的强密码策略。借助统一身份的能力，可以同步盘点数字资产，部分企业对盘点数字资产有困难的主要原因是没有做好统一的身份认证。盘点资产一是可以厘清业务系统，为后续梳理权限做好基础工作，二是可以管理暴露面风险，建立SCMDB。解下来就是围绕网络侧，包括PC、终端主机去做威胁监控、加固以及管理等，包括网络分段、安全域划分、威胁监测、全流量日志等，这部分比较关键的是覆盖面以及数据质量问题。下一步就是借助网络、终端以及主机的一些能力，针对数据安全进行治理，针对核心敏感的数据进行分类分级，针对目标数据文件流向进行跟踪保护，包括数据加密、脱敏等。后面就是围绕身份去梳理最小权限的策略，到此为止，后续的动态决策分析、自动化编排响应与传统的纵深防御没有太大区别了。与其说零信任是一种架构，不如看作是一种思想。

专家演讲资料已上传知识星球，扫码获取完整内容

齐心抗疫 与你同在 

点【在看】的人最好看