2023年11月24日,由安世加主办的“EISS-2023企业信息安全峰会之上海站”在上海东锦江希尔顿逸林酒店成功举办,峰会总共吸引了近300位来自各行业的企业安全负责人,安全专家。
大会以“直面信息安全挑战 ,创造最佳实践”为主题,聚焦企业信息安全技术与实践等热点话题,致力于推进企业信息安全体系建设,加强企业信息安全管理,助推企业信息安全生态圈的健康发展。
本次峰会的赞助商是Fortinet、Thales、IBM、HCL Software、Tenable、探巡、Bitdefender、云纷科技、Paloalto Networks、Fang Mail、娜迦。
上午主会场
(ISC)²上海分会主席施勇先生为大会开幕致辞。
本次峰会的首位演讲嘉宾是来自支付宝(中国)的止介,他的演讲主题是《基于原生安全范式构建可信纵深防御体系》。
在高度复杂且体量巨大的业务环境中,我们需要重新审视现有的安全体系的有效性,并指导安全能力建设,以避免单点失控导致整体崩溃。基于安全平行切面,并以NbSP零越范式和OVTP可溯范式为指导,构建可信纵深防御体系。在网络安全常规0day防御和数据安全敏感数据泄露这两个重要且困难的场景中的最新实践。
第二位演讲嘉宾是来自平安科技的集团信息安全平台领域负责人董晓琼,她的演讲主题是《安全管理闭环与持续改进》。
实现风险闭环管理是一个相对复杂的过程,需要企业不断投入人力、物力和财力资源,并加强信息安全团队的能力建设和风险管理工作。同时,需要建立科学的安全风险评估和管理流程,确保风险得到有效识别和管理。
由于信息安全问题的复杂性和多样性,不确定性等,不同企业和不同行业的风险情况也不同,因此, 实现风险闭环管理的难度也有所不同。对于一些规模较小、业务简单的企业,可能更容易实现风险闭环管理。而对于—些规模较大、业务复杂的企业,可能需要投入更多的资源和精力来实现风险升环管理,投效也不能快速呈现。
总的来说,实现风险 闭环管理需要企业在信息交全方面特续投入和努力,并不断持续改进和完善管理运作机制,对此,从理念升级、构建方法、落地机制等做些展开,探讨和分享。
第三位演讲嘉宾是来自Thales的泰雷兹大中华区及韩国区销售总监许树怀,他的演讲主题是《筑牢安全底座,泰雷兹助力企业数据安全》。
泰雷兹 (Thales)是全球数据安全专家,在过去十年发表了数据威胁报告。而在2023年的亚太版报告发现,34%的企业在过去12个月内遭受过数据泄露,23%的受访者表示他们遭遇过勒索软件,超过一半受访者拥有5-10个密钥管理器,增加了跨多云统一管理数据的复杂性和成本,82%受访者担忧数据主权和隐私法规会影响其组织的云部署计划,尽管在过去的十年科技发展迅速,但随着数据泄露以惊人的速度蔓延,新技术不断涌现和持续遵守不断变化的全球和地区隐私法规,越来越多的IT安全组织寻求一种以数据为中心的平台方法,保护数据在从网络到应用程序再到云端移动时的安全。泰雷兹将阐述最新的数据威胁趋势、全球范围的商用案例,以及单一的集中化数据安全平台如何帮助企业提供通往全面数据安全的最佳实践。
第四位演讲嘉宾是来自某A+H上市公司的信息安全负责人孙琦,他的演讲主题是《用生成式AI做好安全运营》。
以ChatGPT等生成式AI技术为主的应用正在逐渐改变人们的工作方式,流畅的人机交互简单几秒就能生成你所想要的结果。安全运营专家一直在探索使用机器学习建模并分析复杂的安全环境,加入我们把生成式AI也引入到我们的安全运营中去,会是怎样的一种体验?不要犹豫,我们一起畅想一下吧。
第五位演讲嘉宾是来自平安健康的信息安全部副总经理人沈俊,他的演讲主题是《平安健康安全管理实践—制度建立在流程上,流程建立在系统上》。
针对安全管理制度在落实过程中碰到的各种问题,通过一些典型案例,阐述如何建立流程和系统,并总结通用方法,因地制宜开展安全管理工作,最后展望未来,共同完善安全管理使之更有效。
第六位演讲嘉宾是来自Fortinet的高级安全顾问庄喆皓,他的演讲主题是《企业IT运营的智能化变革》。
庄喆皓 ,Fortinet D-Team专家组成员,专注于Fortinet ET新产品的技术方案推进和研发,专为行业客户提供新兴的网络安全解决方案。
上午最后一个环节是CSO高峰论坛,诚邀某跨国集团公司信息安全副总裁Joe Cai,腾讯云安全总经理李滨,携程高级安全总监凌云,爱奇艺高级总监卢明樊 ,某外资零售跨国企业中国及亚太区网络安全高级总监沈珑,就当前安全行业所面临的形式及挑战进行了热烈的讨论。
下午分会场一
分会场一的首位演讲嘉宾是来自某外企的网络安全总监Roy Chen,他的演讲主题是《低代码平台网络安全》。
1、什么是低代码和无代码平台
2、在数字化转型下低代码和无代码平台的采用情况
3、低代码平台的安全问题
4、如何破局
5、企业具体场景下的安全指南
第二位演讲嘉宾是来自IBM的大中华区安全解决方案架构师吴异刚,他的演讲主题是《安全运营现代化 – 从XDR到TDR的转变 》。
具有20年以上网络安全行业从业经验。负责国内主要大型客户安全态势感知系统、安全运维中心的架构设计与搭建
第三位演讲嘉宾是来自HCL软件的大中华区高级技术架构师贾凯杰,他的演讲主题是《黑白盒检测自动化与Secure DevOps安全实践》。
资讯科技已成为企业运作不可缺的一员、随着应用程序增长如何有效管理漏洞、评估风险、执行扫描、符合法令及审计合规要求成为CISO最大的烦恼。本讲座将分享如何透过Secure DevOps CI/CD集成透过AppScan黑盒与白盒自动化漏扫在SDLC开发生命周期中完美整合以达到最佳安全实践。
第四位演讲嘉宾是来自合合信息的企业信息化与安全合规负责人宋宏宇,他的演讲主题是《智能化运营助力企业数据合规》。
浅析数据合规环境当前的趋势与挑战,分享如何通过智能化运营策略,解决企业在数据合规治理中遇到的问题,包括隐私保护、数据分类分级、数据全生命周期治理等复杂挑战,以及AI在提升数据处理合规性方面的潜力探索。
第五位演讲嘉宾是来自中银证券的信息安全专家吴善鹏,他的演讲主题是《面向过程集成的安全运营自动化思考与实践》。
来自中银证券安全团队,具有8年信息安全相关工作经历,写过代码,做过运维,在安全数据分析处理方面具有较长的经验。现在主要负责安全运营平台、数据安全、科技风险控制和合规管理相关工作。
第六位演讲嘉宾是来自中通快递的安全合规专家陈圣,他的演讲主题是《数据安全治理与个人隐私保护在寄递行业的挑战与应对》。
随着电子商务的迅速发展,寄递行业面临着日益增长的数据处理和个人隐私保护挑战。寄递服务需处理大量用户数据,包括地址、联系方式等敏感信息,因此数据安全治理成为重要议题。同时,个人隐私保护法规的不断加强也要求寄递企业加强安全措施、明确数据使用目的,并获得用户的明示授权。在这一背景下,寄递行业是如何制定有效的数据安全治理策略、加强技术保障,同时确保业务高效运作、用户数据安全和个人隐私安全落地的。
分会场一的最后一个环节是由某美资医疗器械公司的Head of Information Security, APACGavin Huang、某外资的安全人Lee、某外资零售品牌的信息安全负责人刘巍、佳通轮胎的信息安全经理田陆峰组成的小组讨论:外企网络安全合规。
下午分会场二
分会场二的首位演讲嘉宾是来自某医疗器械集团的信息安全负责人James Ou,他的演讲主题是《AI安全》。
ChatGPT、AIGC、大模型等成为当下最火的话题,很多企业都在尝试部署对应的应用,但其中会有哪些信息安全风险、我们该如何应对,James Ou会一一展开分享。
AIGC 介绍及未来影响
AIGC赋能安全团队
AIGC 应用的信息安全与合规风险
展望
第二位演讲嘉宾是来自Tenable的信息安全顾问吴志勇,他的演讲主题是《持续威胁暴露管理之云原生应用安全风险管理实践分享》。
对云服务的快速采用让环境变得愈发复杂与分散,攻击面也随之扩大。与此同时,大量各自为政的工具、快速的变化以及缺乏云安全和合规性专家来保护业务安全,这些问题已经让企业举步维艰。Tenable将与各位专家共同探讨新时代下的云原生应用安全风险管理实践,如何获得从全面的资产发现和深入风险分析到运行时威胁检测和合规的所有能力。如何获取富有参考价值的可视化信息与分步式指南,将复杂难懂的安全操作自动化。如何利用对身份和基础设施依赖项的深入理解,对安全缺口进行优先级分析与修复,有效缩小云攻击面,规模化实施最低权限。
第三位演讲嘉宾是来自上海探巡科技的执行总裁王宇,他的演讲主题是《开源治理与应用安全》。
开源技术在软件开发和企业数字化转型创新中发挥了关键作用,开源软件的应用也改变了信息安全面临的风险态势。本次演讲聚焦开发过程和风险管理,介绍开源治理与应用安全相关的方法论,工具以及落地实践案例,助力企业全面构建开源软件安全开发生命周期管理及DevSecOps体系建设,提高应用的安全保障能力。
第四位演讲嘉宾是来自某新能源汽车的安全攻防和运营负责人徐吉,他的演讲主题是《主机厂智能网联汽车安全免疫体系实践》。
智能汽车安全免疫系统的打造方法,分析汽车网络安全挑战,提出安全双基因的概念以及“云、管、端”三位一体的免疫安全防护体系,免疫架构建设与实际落地的成果。
第五位演讲嘉宾是来自千寻位置网络有限公司的基础安全负责人王忠惠,他的演讲主题是《漏洞管理的演进》。
漏洞管理实践是信息安全的重要内容。在漏洞的发现、响应、修补、披露的过程中,如何面向业务和应用动态建立修复程序,如何妥善处置系统补丁、供应商漏洞和零日漏洞。为了持续提升漏洞响应改善安全态势,介绍一些事半功倍的漏洞安全能力。
第六位演讲嘉宾是来自蚂蚁集团网商银行的安全工程师柳星,他的演讲主题是《数字银行数据可信切面实践》。
今年来“数据”首次作为一种新型生产要素,与其他传统四要素:土地、劳动力、资本、技术,并列为五大生产要素,因此数据要素的安全可信使用至关重要。“数据可信切面”主要是对数据流转过程中涉及的设备、网络、系统、应用、身份凭据、数据载体等资源建立数据内视和可信级别安全管控规则,实现对于数据访问异常行为的可信管控,最终实现数据及载体抵御高等级网络攻击的效果。
分会场二的最后一个环节是由某金融科技公司的安全经理李扬、享道出行的信息安全总监田国华、某制造企业的安全负责人韦梦组成的小组讨论:企业安全方法论。
注:经过授权的演讲嘉宾ppt会陆续通过公众号(asjeiss)发送,敬请继续关注!