完美落幕 | EISS-2020企业信息安全峰会之上海站 11月27日成功举办

峰会介绍

2020年11月27日，由安世加（原安全+） 主办的“EISS-2020企业信息安全峰会之上海站”在上海银星皇冠假日酒店成功举办。峰会以”直面信息安全挑战，创造最佳实践案例“为主题，总共吸引了近300位来自各行业的企业安全负责人，安全专家出席。

本届峰会是安世加在上海连续举办的第五次会议，大会通过网络空间的安全治理、信息安全管理助推企业信息化建设、企业安全落地痛点实践等诸多行业的热点议题，以及三场重量级、多角度的小组讨论对安全行业的现状及发展趋势进行了深入的分析与探讨。

 

本次峰会盛邀(ISC)²上海分会、OWASP中国为协办方、共有Fortinet、联软科技、Imperva、Palo Alto Networks、新思科技、FireEye、CyberArk、思睿嘉得、Tenable、飞驰云联、Westcon、NETSOUT等12家企业赞助，并获得多达44家单位和27家安全媒体的鼎力支持。

上午主会场

 

(ISC)²上海分会主席 施勇先生为本次峰会作了精彩的开幕致辞，施勇先生表示，在全球疫情严峻的这一年，每一位安全从业人员依旧戮力前行，不忘初心，为行业发展贡献出自己的力量。而EISS-2020企业信息安全峰会之上海站更是一次行业的年度总结，希望其继续作为信息安全行业重要的交流与学习平台，为信安未来开拓出新的思路！

第一讲

网络空间的安全治理

 

此次峰会的首位演讲嘉宾是来自国家计算机网络应急技术处理协调中心上海分中心的运行部主任 戴沁芸，她的演讲主题是《网络空间的安全治理》。

无论是关乎城市治理或是国际安危，网络安全态势的重要性正在不断的升温，而国际格局也因着信息战的出现变得更加错综复杂，戴沁芸主任从国家对信息安全的政策治理开始，到信息安全所引发的大国之间的博弈，通过具体的案例为参会者展示了网络安全所带来的全新格局与视野，同时也为本次峰会的正式开启拉开了序幕。

第二讲

网络+安全双轮驱动，让企业应对新形势挑战

 

第二位演讲嘉宾是来自Fortinet中国的华东区技术经理 卜婵敏，她的演讲主题是《网络+安全双轮驱动，让企业应对新形势挑战》。

全球疫情的流行使企业在远程办公安全乃至未来五年业务评估风险方面均产生了影响与变化。SASE（Secure Access Service Edge）安全访问服务边缘的理念正在全速被接受与认可。在这个过程中，安全技术、流程与人如何全面整合是本次演讲我们要探讨的话题。

第三讲

零信任实践：从远程办公开始

——疫情再爆发，我们可以做的更好

 

第三位演讲嘉宾是来自联软科技的高级产品经理 刘现磊。他分享的主题是《零信任实践：从远程办公开始——疫情再爆发，我们可以做的更好》。

年初，突如其来的疫情不仅严重影响了人们生活，为了复工各企业IT部门拼尽全力，在后疫情时代，员工深度体验过远程办公后，也使得远程办公常态化被提上日程，寒冬将至，再加上国外疫情再次爆发，这一次我们是否可以做的更好？

联软科技今年在疫情期间跟诸多企业在保障远程办公的接入安全、数据安全等方面进行了多次实践，跟企业一起很好的应对疫情，今天联软科技将从零信任的发展现状，BYOD/COPE远程接入办公、多云访问等典型场景，分享基于零信任安全架构的远程办公安全实践。

第四讲

信息安全管理助推企业信息化建设

 

第四位演讲嘉宾是来自某A+H上市公司的信息安全负责人 孙琦。他分享的主题是《信息安全管理助推企业信息化建设》。

从企业信息化到智能化，绝大多数企业正在进行数字化转型。大数据、AI、数据中台 等等名词早已耳熟能详，信息安全管理也已被大多数企业作所接受。我们将通过直面挑战、确立目标等环节分享如何通过安全管理更好的助推企业数字化转型。

第五讲

现代数据库环境下的安全思考

 

第五位演讲嘉宾是来自Imperva的资深技术专家 刘沛旻。他分享的主题是《现代数据库环境下的安全思考》。

当今的数据库环境在发生巨大的变化，物理环境在向私有云和DBasS发展、结构化数据存储在向非结构化数据存储发展，传统的数据库安全解决方案能满足这样的变化吗？会面临怎样的新挑战？行业里已经有安全厂商提出了使用最时髦的中台概念来建设数据安全中台，这样可行吗？Imperva将以实际项目经验出发，为您提供现代数据库环境下可落地的安全思路。

小组讨论：云安全

 

小组讨论一直是EISS系列峰会倍受关注的热点之一，此次峰会上午主会场盛邀CSA上海分会的联席主席 沈勇、携程的高级安全总监 凌云、爱奇艺的高级安全总监 卢明樊以及华住集团的首席安全架构师 张维垚共同就《云安全》这个议题展开了热烈的讨论。

四位嘉宾各自分享的近一年来在云安全建设方面的经验心得，同时对未来云安全的发展变化做了各自独到见解，通过多角度，有深度的讨论让所有参会者耳目一新。

颁奖

安世加2020年度优秀作者奖

 

上午主会场最后一个环节是EISS自创办以来首次设立的颁奖环节，安世加创办的EISS系列峰会不仅为安全行业提供了优质的线下直面交流平台，同时，其运营的同名公众号也为安全从业者开辟了更为广阔的学习交流渠道。无论是峰会，沙龙或安全行业的动态与招聘信息，又或者是技术，管理的实践分享，安世加都致力于为广大的信安工作者提供更多的咨询与学习交流的机会。

首届优秀作者奖授予了两位年轻的后起之秀，来自某甲方的安全负责人 武天旭及来自360政企安全高级攻防部门的高级渗透工程师 谢兆国。安世加希望通过本次颁奖，起到抛砖引玉的作用，愿更多安全从业者来这个平台分享经验心得，为行业带来更多的新思路。

下午主会场一：企业安全应用

第一讲：企业安全落地痛点实践

 

下午分会场一的首位演讲嘉宾是来自某钢铁电商企业的CISO 黄帅，他分享的主题是《企业安全落地痛点实践》。

他分享的要点包括企业（尤其是中小企业，哪怕是大集团企业）安全落地工作中碰到的痛点？通过哪些方法合理解决或者平衡消除痛点？从2-3个工作实践中讲解碰到的痛点及解决痛点过程。

第二讲：从疫情防控看信息安全建设

 

下午分会场一的第二位演讲嘉宾是来自Palo Alto Networks的大客户部技术总监 李臻，他分享的主题是《从疫情防控看信息安全建设》。

全球在新冠病毒疫情之下都面临严峻挑战，如何快速切断传播途径、在短期内完成千万人的核酸筛查？防止医疗系统瘫痪？和防控自然界的病毒一样，在数字世界里也必须及时、有效地抑制各种已知和未知威胁。信息安全建设和疫情防控可以互相借鉴。

第三讲：如何在企业数字化转型构建成功的身份管理平台？

 

下午分会场一的第三位演讲嘉宾是来自CyberArk的中国区总监 熊钊，他分享的主题是《如何在企业数字化转型构建成功的身份管理平台？》。

在日益快速发展的企业数字化转型过程中，越来越多的数据泄露现象暴露了企业诸多安全方面的隐患并带来了警醒。业务高速和数字化转型固然重要，但为这些转型保驾护航的特权访问管理更为重要。CyberArk公司将从以下几个方面带来他们的观点：

1、新常态下的安全趋势

2、特权访问管理可以做什么？

3、如何帮助企业在数字化转型中构建一套灵活、高效、稳定的特权访问管理平台。

第四讲：电网数字化转型下的网络安全思考

 

下午分会场一的第四位演讲嘉宾是来自全球能源互联网研究院有限公司信息通讯研究所的信息通信研究所安全技术总监邵志鹏，他分享的主题是《电网数字化转型下的网络安全思考》。

利用信息通信技术优化提升传统电网，推动电网智能化和企业数字化转型，是国家电网公司建设具有中国特色国际领先的能源互联网企业战略目标的重要举措，而网络安全工作则是数字化转型的基础保障。报告就如何抵御伴随数字化转型而来的网络安全威胁，进一步发展公司网络安全体系，提出了相关思路和观点。

第五讲：合规视角下的信息安全审计

 

下午分会场一的第五位演讲嘉宾是来自某第三方支付公司的信息安全专家 陈圣，他分享的主题是《合规视角下的信息安全审计》。

本次分享分为三部分。首先从信息安全审计的概况出发，解释了什么是信息安全审计，为何要做信息安全审计，它的目标和内容又是什么；其次具体阐述了外部合规监管动态及审计的实施，包括国内国外两个层面；最后分享了合规视角下信息安全审计的风险应对。

第六讲：浅谈大中型软件企业安全建设

 

下午分会场一的第六位演讲嘉宾是来自科大讯飞（Owasp中国安徽区域负责人）的安全架构师 钱君生，他分享的主题是《浅谈大中型软件企业安全建设》。

在业界谈论互联网、金融或运营商安全建设的比较多，谈论大中型软件集成交付为主的企业安全建设比较少，实际上这类的企业当下的IT企业中占有很大的比重，比如东软、恒生电子、中兴、华为、亚信等。

就企业安全建设来说，它们与互联网企业、金融企业存在着很大的差异性，本次分享将结合大中型软件企业安全建设的过程，讨论相关实践细节。

小组讨论：疫情以后的安全风险和趋势

 

下午分会场一的最后一个环节是由来自亚萨合莱的亚太区数据合规官 蔡俊磊、某知名零售集团的CISO of APAC Greta Fan、以及某零售行业跨国公司的亚太信息安全官 马一烈所组成的小组讨论，主题为《疫情以后的安全风险和趋势》。值得一提的是，同是来自外企的三位嘉宾各抒己见，通过自身企业独特的背景为参会者带来不一样的视野。

下午主会场二：信息安全新技术

第一讲：后疫情时代券商数据安全体系的实践与展望

 

下午分会场二的首位演讲嘉宾是来自中银国际证券的科技合规安全负责人 蒋琼、她分享的主题是《后疫情时代券商数据安全体系的实践与展望》。

分享首先从政策及法规层面着手，简述影响证券行业信息安全的多类要素；通过实践的分析展示了方案落地的具体过程，在分享的最后也为行业未来的发展提出了更多有价值，同时值得思考的问题。

第二讲：现代应用程序开发安全

 

下午分会场二的第二位演讲嘉宾是来自新思科技的高级工程师（软件质量与安全部门） 杨国梁、他分享的主题是《现代应用程序开发安全》。

DevSecOps已经在现代应用程序开发的过程中体现出本身的价值，然而大多数的安全团队还是缺乏对其实践方式的了解。新思科技联合ESG对北美地区各类组织中参与应用安全工具和流程的378名专业人员进行了调研，盘点了当前应用程序开发安全的现状。本次演讲我们会分享调研报告以及新思科技在DevSecOps的最佳实践。

第三讲：利用安全验证提高防护能力

 

下午分会场二的第三位演讲嘉宾是来自FireEye的大中华区顾问 尹思凡、他分享的主题是《利用安全验证提高防护能力》。

随着信息安全在企业中扮演着越来越重要的角色，企业需要重新思考：如何正确量化地评估自身的安全防护能力，如何发现防护短板并优化资源配置，如何确保自身具备防护最新攻击技术的能力。FireEye提出针对企业安全能力的量化评估方案，让企业对在安全防护中真正做到知己知彼，帮助企业提高信息安全的成熟度。

第四讲：安全事件管理自动化路上的坑与梯

 

下午分会场二的第四位演讲嘉宾是来自CSA上海分会的联席主席 沈勇、他分享的主题是《安全事件管理自动化路上的坑与梯》。

沈勇先生戏称此次分享主要和听众汇报他在安全事件管理的发现，分析，遏制，根除，恢复，回顾各个阶段力求自动化时，遇到的挑战和应对方案，一些经验，一些教训。在结构方面， 内容主要按上述6个阶段的顺序进行汇报。

第五讲：从数据安全角度出发重新审视密码学

 

下午分会场二的第五位演讲嘉宾是来自阿里巴巴本地生活的资深安全架构师 IT老兵、他分享的主题是《从数据安全角度出发重新审视密码学》。

他分享了目前国际内外数据安全相关应用密码学的最新成果、应用领域、以及当前面临的安全挑战与应对策略，带领大家以密码学算法的视角重新认识数据安全。

第六讲：基于红蓝对抗全景防护体系--蓝队防守

 

下午分会场二的第六位演讲嘉宾是来自WIS-HUNTER-AI网络病毒猎手（杀手锏攻防实验室）的资深安全架构师 赖杨健、他分享的主题是《基于红蓝对抗全景防护体系--蓝队防守》。

红蓝对抗的价值在于挖掘渗透测试不关注的漏洞或者渗透测试无法覆盖的点, 进攻是最好防守,红蓝对抗，是传统安全建设工作的外延，旨在通过实战来强化组织的整体安全性。

检验整体安全态势和防护水平

红蓝对抗可以检验企业安全防护体系：防护阻断、检测感知、响应溯源的能力，同时暴露防御脆弱点和业务风险盲点，从而针对性的优化和提升防护系统和消除业务风险，完成安全闭环。

梳理风险盲点和攻防场景

红队可以梳理系统每个攻击面梳理可能的攻击路径，将攻击路径根据杀伤链的各个环节，分离出关键场景。可以为防御建设提供有价值的优先级和技术建议。

强化安全意识

一次攻防演练往往能让各方更加直观的感受到攻击现场，强化业务同事、甚至防守方安全人员的安全意识。

总结来说就是人和人协同，人和机器协同。

小组讨论：企业安全实践方法论

 

下午分会场二最后一个环节由来自Fortinet中国的华东区技术经理 卜婵敏、锅圈食汇的安全负责人 孤独雪狼、赛可出行的安全运营经理 田国华以及来自得物的安全专家 王忠惠组成的小组讨论，讨论的主题是《企业安全实践方法论》。

企业安全实践始终是每个安全从业者最为关注的话题之一，四位嘉宾从甲乙双方不同的视角出发，以自身行业的特质为前提，分别分享了各自对于企业安全建设的独特观点，让所有与会者收获颇丰。

精彩瞬间

最后，感谢所有支持本届EISS企业信息安全峰会的赞助商、演讲嘉宾、单位、媒体以及与会者。在此特殊的时期，仍然能够以最大的热情参与本次峰会，即使在最后的小组讨论环节，依旧座无虚席，正因为有你们的支持，EISS企业信息安全峰会才能常办常新，成为安全行业交流与学习的圣地！2021年，安世加将继续秉承一丝不苟信安精神，探索和开创更多的形式，致力于为行业提供更为优质的平台！2021，坐标北京，与您相约，我们不见不散！