完美落幕，EISS 2019企业信息安全峰会之上海站 11月22日成功举办

2019年11月22日，由安全+ 主办的“EISS-2019企业信息安全峰会之上海站”在上海银星皇冠假日酒店成功举办。此次大会是安全+ 在上海连续举办的第四次EISS峰会，也是EISS系列峰会的第七届，峰会以”直面信息安全挑战，创造最佳实践案例“为主题，吸引近400位来自于各行业的企业信息安全负责人、安全专家出席。大会通过对下一代云安全架构和技术的趋势、企业安全建设之路、应用安全在DevSecOps的落地之路、企业数据隐私工程、“区块链+”安全隐私技术剖析、公民个人信息保护等众多热点话题进行了深入的分享与探讨，共同致力于探索企业信息安全的未来与发展！

本次峰会由上海市信息安全行业协会作为指导单位，盛邀(ISC)²上海分会为协办方，共有FireEye、Synopsys、派拉软件、Fortinet、Imperva、Tenable、联软科技、骇极、Gigamon、GTI、云纷、白山云科技、飞驰云联、Westcon等14家企业赞助，并获得多达36家单位和22家媒体的鼎力支持。

大会主会场

本次大会由(ISC)²上海分会主席施勇担任峰会主席。

由上海市信息安全行业协会副秘书长朱方园做了精彩的开幕致辞

第一讲

下一代云安全架构和技术的趋势

来自腾讯安全云鼎实验室的总监李滨是本次峰会的首位分享嘉宾，他分享的主题是《下一代云安全架构和技术的趋势》。

在过去的二十年里，随着摩尔定律的发展，数据无处不在，计算处处可及，当算力增长上千万倍，数据成本低至亿分之一，云、虚拟化和异构计算使系统更加复杂，攻击和安全生命周期短至毫秒级，这些量变会对风险环境产生怎样的质变，我们又该如何应对随之而来的新形态安全风险？腾讯安全云鼎实验室总监、云安全首席架构师李滨为你阐述云安全世界发生的一些变化、趋势、思考和实践。

第二讲

网络攻防战：态势感知和APT

来自FireEye的大中华区技术顾问尹思凡带来的分享主题是《网络攻防战：态势感知和APT》。

APT的概念已经被越来越多的安全从业者所熟知，很多用户希望通过建立态势感知系统来提升自身的防护和检测能力，以应对愈演愈烈的定向攻击甚至APT攻击。FireEye将告诉用户如何将态势感知转化为实际的防护能力，以及如何加强对自身防护能力的理解。

第三讲

企业安全建设之路

来自完美世界的高级安全总监 何艺带来的分享主题是《企业安全建设之路》。

企业的安全建设之路往往不会一帆风顺，回望过去更是充满了遗憾，如果再来一次会不会有更好的方式？一些新的概念，框架是否要追求？自研是不是必须的？弯路、错路的经验会不会更有价值？本次议题将分享在企业安全建设中的一些得失，以及构建自己的安全体系路上的一些思考。

第四讲

应用安全在DevSecOps的落地之路

来自新思科技的高级安全架构师，软件质量与安全部门杨国梁带来的分享主题是《应用安全在DevSecOps的落地之路》。

今年7月，新思科技发布了对金融服务行业（FSI）当前软件安全状况调查报告；从414份有效问卷中，我们看到渗透测试，安全补丁和动态测试依旧是企业用来发现并保护软件安全的首选措施。通过对报告的深入解读，我们将和大家共同探讨在DevSecOps的趋势下，提升软件安全成熟度的道路上还有哪些有效的手段；不同企业在构建安全的软件这件事上都做了哪些考量。

第五讲

终端安全防护架构与实践

来自携程的安全总监周海刚带来的分享主题是《终端安全防护架构与实践》。

终端安全防护架构与实践：分析互联网企业面临的终端安全威胁，介绍终端安全防护架构，重点探讨终端准入、DLP和防攻击等的落地实践以及未来建设思考。

第六讲

可信数字身份构筑企业信息安全

来自派拉软件的资深安全顾问董磊带来的分享主题是《可信数字身份构筑企业信息安全》。

在数字化技术革新背景下，物联网技术、人工智能技术、云计算等技术崛起，为网络空间发展建设带来更多机遇，网络安全也遇到了前所未有的威胁与挑战。尤其对于企业而言，越来越多的业务应用开始依托私有云加公有云混合构建，打破网络边界，本地和云端平台储存的数据资源变得日益庞大，价值也不断攀升。一旦储存的数据泄露或遭到攻击，将对一家甚至多家企业造成难以估量的损失。

传统的身份验证体系已经难以满足日新月异的网络发展，更难以确保访问者身份的安全性，当前基于“零信任”安全架构背景下，如何构建新型的可信数字身份安全服务，保障企业资产安全势在必行。

第七讲

The Warhead: Theoretical and Practical Research on High-end Attack & Defense towards Insider Mobile Device

来自知名互联网企业的安全总监 Flanker带来的分享主题是《The Warhead: Theoretical and Practical Research on High-end Attack & Defense towards Insider Mobile Device》。

Everyone has almost every defense for their desktop clients. However, are their mobile devices safe yet? In this presentation I will discuss methodologies Pwn2Own-style attackers may use to threat mobile devices, what can they get, and defensive measures that can be taken to stop them.

下午分会场一企业安全应用

第一讲

"安全运营"-平台能力升级

来自平安集团的信息安全平台部总监董晓琼带来的分享主题是《"安全运营"-平台能力升级》。

来自法规要求、行业监管，对企业安全建设树立了更高的安全目标，而来自外部环境的“威胁”的加剧和快速变化，从外至内双向驱使企业提升”内在安全能力“。安全技术的发展、和创新，不仅丰富了我们的视野，也有了更多可利用的工具和手段。从企业安全运营角度，通过对新技术的探索和实践，从平台角度帮助运营团队提升安全运营效能，让安全运营更为智能、高效和有价值。

第二讲

浅谈云安全自动化的应用与实践

来自Fortinet的华东区技术经理卜婵敏带来的分享主题是《浅谈云安全自动化的应用与实践》。

大规模的云计算基础设施采用以及DevOps的盛行，让企业业务变得更敏捷的同时也进一步放大了安全的风险。安全成为了需要真正融入企业级应用的关键所在。上云≠天然安全，云迁移是解决安全问题的最佳契机。本次演讲中将聚焦如何考量云原生安全解决方案，以及自动化如何让安全效能发挥到最佳，并赋能用户全盘掌控云中安全态势。。

第三讲

泛终端的精细化管控

来自联软科技的高级产品经理刘现磊带来的分享主题是《泛终端的精细化管控》。

随着“云大物移”等新场景的出现，企业防御对象从原来较为成熟的PC终端防护，到现在数量众多、类型多样、不同接入方式的泛终端防护，在新监管要求、新业务场景、新技术应用等多方面挑战下，企业迫切需要一整套针对所有终端的解决方案。联软科技在金融和大型企业有多年的终端安全管控的经验，本议题从防御对象、防御模式等方面，分享和探讨企业如何从被动到主动，从安全运维到精细运营。

第四讲

渗之有道，透之于型

来自骇极安全的CEO 沈雯嬿带来的分享主题是《渗之有道，透之于型》。

作为企业安全建设的必要一环，渗透测试一直扮演着举足轻重的角色。企业通过渗透测试来模拟现实中的攻击场景，以避免亡羊补牢的情况发生。当今渗透测试服务层出，各家方式也各有不同，那么渗透测试是怎么出现的，未来又会以怎样的形式继续在企业安全建设中发挥作用，值得所有人去了解和探索。

第五讲

业务并购中的信息安全

来自(ISC)²安全专家陈皓带来的分享主题是《业务并购中的信息安全》。

他主要分享的要点有并购中的信息安全风险、在并购生命周期中信息安全的价值、讨论下一步。

第六讲

金融行业安全从业人员技能探讨

来自建信人寿的安全经理 张伟鹏带来的分享主题是《金融行业安全从业人员技能探讨》。

业务为中心的企业环境中，信息安全人员在业务人员，IT开发、运维人员的心目中，扮演了保驾护航的角色，还是找麻烦的角色？在有专业第三方外部技术支持，有内部驻场技术人员的情况下，作为企业内部人员，应该具备何种专业技能，才能更好为企业信息安全服务。本议题结合自身金融企业信息安全建设经验，分享探讨了金融行业信息安全从业人员应该具备的技能。

第七讲

企业数据隐私工程

来自某大型跨国金融机构的信息安全官张喆带来的分享主题是《企业数据隐私工程》。

何为数据隐私工程，张喆通过软件工程和安全方法回顾 (Context)、数据隐私和系统需求（Why and What）、系统架构设计和重点控制点 (How)等三大要点，抽丝剥茧的阐述分析了如何做好数据隐私工作。

第八讲

浅谈网络安全态势感知

来自某知名运动生活品牌的CISO APAC 马一烈带来的分享主题是《浅谈网络安全态势感知》。

通过概念，驱动力，过程，场景、逻辑和趋势及CSA By Design等要点来分析论述网络安全态势感知。

小组讨论

企业安全实践方法论

本次分会场一的最后一个环节是小组讨论，主题为《企业安全实践方法论》。由来自(ISC)²安全专家陈皓，某知名运动生活品牌的CISO APAC 马一烈，某知名车企的亚太安全负责人欧建军，重塑科技的信息安全经理童禕淳及德勤的风险咨询合伙人张震共同参与。讨论在热烈的气氛中进行，嘉宾不但分享了自己在企业安全管理中的实践经验，同时针对性的回答了参会者的提问，互动氛围良好。

下午分会场二信息安全新技术

第一讲

电商企业的“攻守道”

来自唯品会的安全经理孤独雪狼带来的分享主题是《电商企业的“攻守道”》。

在很多人看来，甲方注重的是守，但其实甲方也很在意攻。那甲方是如何做到攻守兼备的呢？攻哪里，如何去攻？守什么，怎么去守？我将告诉你唯品会作为电商企业，在攻与守之间是怎么做的。

第二讲

为应用添加默认的安全保护

来自Imperva的中国区技术经理 刘沛旻带来的分享主题是《为应用添加默认的安全保护》。

软件正在吞噬整个世界，而这些软件通常大量使用了第三方的组件，并都有着各种安全漏洞。我们不可能从头开始为我们的应用程序写每一行代码，并确保其安全。我们希望能够找到一种可以为我们的应用提供默认安全防护的手段，就像孩子出生打疫苗一样，从小就可以获得各种重大疾病的免疫力。

第三讲

资产及情报驱动下的企业漏洞自动化运营

来自Tenable 的华东区技术经理许晓晨带来的分享主题是《资产及情报驱动下的企业漏洞自动化运营》。

新的数字化技术普遍应用各个领域，企业风险暴露也成倍增加，网络安全事件层出不穷，安全团队如何能高效实施资产可视化？有效的发现企业内部真正有威胁的安全风险并及时做出补救？Tenable进入中国3年来，帮助各行各业在“度量企业的资产攻击面，加速理解和减少企业安全风险”方面积累了丰富的项目经验，此次将结合最热经典案例，就资产发现、自动化漏洞评估及风险修复优先级3方面内容为大家展开分享与介绍。

第四讲

还谈安全运营

来自赛可出行的安全运营经理田国华带来的分享主题是《还谈安全运营》。

安全从来不是简单的技术问题，防御是基础，但并不能解决所有问题。随着全球信息化的快速发展，层出不穷的网络攻击将使企业安全面临更多新挑战，核心数据、生产经营、个人隐私乃至基础设施稳定等已经成为企业需要重点保护的对象。安全运营团队应运而生，解决企业安全最后一公里问题并为企业安全真正负责。安全运营是怎样的工作？安全运营带给企业的价值，将为你一一揭晓。

第五讲

“区块链+”安全隐私技术剖析

来自众安科技的区块链高级算法专家裴新带来的分享主题是《“区块链+”安全隐私技术剖析》。

区块链，用区块记录数据，用链连接区块，构成了一种不可篡改的有序分布式账本。从2008年比特币创世，到2017年智能合约发布，到如今的风口浪尖，区块链的世界里从来没有春秋，唯有炎夏与寒冬。10年的风雨历程中，安全扮演了怎么的角色？隐私起到了什么作用？如今的区块链是延续过往还是涅槃重生？裴新博士将与您分享区块链技术的今昔与未来，密码学在区块链安全与隐私方面的应用，并探讨区块链作为企业底层基建的部署和应用。

第六讲

公民个人信息保护

来自华泰证券的安全专家周思佳带来的分享主题是《公民个人信息保护》。

她主要分享要点包括全球隐私与数据保护发展趋势、基于风险与合规的隐私保护体系建设、金融企业隐私保护落地实践。

第七讲

下一代身份认证与访问管理

来自中国太平的高级安全工程师常鹏天带来的分享主题是《下一代身份认证与访问管理》。

身份管理与访问控制管理系统（IAM）既是网络安全防御体系的必要支撑能力，也是业务应用的基础设施。

在国家网络安全与信息化领导小组的领导下，网络安全成为了国家的安全战略。网络安全领域发生了巨大的变化。身份管理与访问控制也来越来越受重视。

由于多年来的建设缺失，我国目前的身份管理与访问控制管理建设与信息化建设水平严重脱节。但未必不可利用后发优势，实现弯道超车。本次分享试图利用下一代身份管理与访问控制管理技术来最大化的发挥其作用。

小组讨论

云安全

本次分会场二的最后一个环节是小组讨论，主题为《云安全》。由来自CSA上海分会的联席负责人沈勇，蚂蚁金服的高级安全专家止介，腾讯安全云鼎实验室总监李滨共同参与。嘉宾讨论了云安全的现状及发展趋势，为应对未来云安全可能产生的安全问题做了分析论述，同时对参会者所提出的问题做了细致的解答。

精彩瞬间

EISS-2019企业信息安全峰会之上海站，在与会者和嘉宾们的热烈讨论中完美落幕。在此，安全+再次诚挚的感谢为本届大会付出心力的演讲嘉宾们、大会主持人、赞助商及所有参会人员。同时感谢我们的合作伙伴、支持单位SRC以及媒体合作伙伴在活动策划及举办期间的鼎力支持，正是有他们的协助，EISS企业信息安全峰会才能越办越好！