本次研讨会由安在新媒体联合火山引擎、微博、中国网络安全审查技术与认证中心（CCRC）主办，联软科技、威胁猎人（原永安在线）、指掌易、赛克蓝德、安天科技全程支持。60多位来自诸子云的甲方专家出席了本次活动，同时多家典型创新安全厂商受邀参与。充实的分享、热烈的讨论、足金的奖品以及快乐的相聚，为到场的每一位来宾都留下了一个难忘的周末。

诸子云北京会长杨海青，某金融科技公司安全专家蔚晨分作上下午两场主持。

来自火山引擎、指掌易、威胁猎人（原永安在线）、CCRC、联软科技、赛克蓝德、微博的安全专家分别进行了分享。

数字经济是一个划时代的概念。对企业而言，数字化转型的过程不可避免，一般用六个字来描述数字化转型，上云、用数、赋智。上云和用数会给IT架构带来两个使用模式上的变化，一个是混合多云架构，一个是业务移动化。

跨网访问场景的关键挑战分别为，服务暴露面扩大的入侵攻击风险；非法接入访问的数据泄露风险；数据资源在网络和终端的泄露风险，以及BYOD终端设备的隐私合规风险。

指掌易EDTA方案解决问题的关键思路是，使用安全沙箱技术，在BYOD的桌面终端和移动终端设备隔离出安全工作空间，作为业务数据在终端上的安全边界，控制数据泄露，同时兼顾终端设备上个人信息保护。

并使用软件定义边界技术，基于零信任理念，建立安全接入网关，对访问主体的身份可信度进行持续评估和动态访问控制，同时实现业务应用服务隐藏和数据安全传输。并通过搭建安全管理平台，对移动端数据安全组件和接入网关组件进行统一的策略管理。

指掌易EDTA方案具备适应混合多云架构部署，支持统一终端业务移动化，全面收敛互联网暴露面，支撑实战演练，有效抵御恶意攻击，全链路数据安全保护等价值，并严格保护用户个人隐私。同时，EDAT方案支持信创兼容适配、支撑等级保护监管合规、支撑密评监管合规。

字节跳动安全业务发展的总体历程分为三个阶段：

1、抖音头条等业务的业务安全伴随。

2、系统安全与业务安全融合，自研自建安全能力全貌。

3、安全能力外溢，将自身最佳实践用于社会化客户的服务。

火山引擎为字节跳动旗下云服务平台，火山引擎云安全产品和服务是字节跳动多年来安全技术研究积累的成果，结合火山引擎云计算平台强大的数据分析能力，为客户提供开放可靠的安全能力。

火山引擎云安全重点实践方向包含了：数据安全、隐私合规、多云安全等领域。

1）在数据安全领域，以智能数据识别，数据安全地图等梳理底层数据；以管控平台和智能审批建立数据管理与合规态势；并可灵活输出隐藏水印、敏感数据发现、数据脱敏等能力。

2）在隐私合规领域，以数据安全基线为基础，数据处理活动为核心，风险态势感知为保障，形成一套完备的隐私合规治理体系。

3）在多云安全领域，经历从对公有云安全、私有云安全、云安全资源池的整合，到云原生安全，再到多云安全cspm、kspm的实践演进，最终探索出多云安全cnapp的新一代多云安全管理解决方案，利用全局可控、安全展示、统一运营的思路，真正解决异构云资源难管理、多云环境数据合规难落地、多云安全数据分散分析割裂，合规复杂效率低下等统一管理难题。

火山引擎在多云安全方面的优势是，弹性扩展、立体防护、威胁情报和安全运营。

数据作为生产要素只有流动才会产生价值，因此，数字化转型时代里，数据会进行多维度的关联组合，各行各业都会利用人工智能来挖掘数据的价值，所以在数据从静到动的过程中，企业业务使用流动数据时所带来的保护风险也就变得更加复杂了。

而数字化和云原生技术带来了API数量的突增，IBM Security X-Force 报告指出，其分析的数据安全事件中有三分之二是由不安全的 API 造成的，同时Gartner预测：“2022年，API滥用将成为导致企业Web应用程序数据泄露的最常见攻击媒介。”大量案例显示，数据泄露事件通常因API保护不当而发生。

因此，需要基于流量和情报，构建流动数据的动态风险运营体系。威胁猎人云情报平台可以做到资产可见、风险可感、攻击可控，其安全监测引擎可以做到API发现、敏感数据识别、缺陷监测和攻击监测。

其中，在数据可见方面，其能发现有哪些数据在哪些API上被谁访问，做到API资产可视，知道输入和输出；在风险可感方面，其能及早发现系统API的漏洞和数据访问异常，并拥有基于UEBA的账号异常行为基线模型和基于攻击情报的API攻击检测模型；在攻击可控方面，其能基于情报及早感知攻击，溯源定位阻断，同时能做到支持账号、IP、API等多维度的审计溯源。

建立标准化的网络安全人员认证体系十分必要，需要尽快达成共识并加快推进网络安全人员认证体系的顶层制度设计和标准制定。当前，在关基保护领域和重要行业推行标准化的网络安全人员认证工作是当务之急，应当在网信部门的统一协调下，加强院校、标准化机构、认证机构、关基运营者、安全企业间的协作，加快步伐，先行先试。

CCRC依据ISO 17024的标准要求开展了信息安全保障人员认证活动，包括考试的认证申请、评价、决定、持续教育、持续监督。其分为预备级、基础级、专业级和专业高级四个级别，预备级主要面向学生、在校生，走入社会后的在职人员可以考取基础级、专业级和专业高级三个级别，此认证并不是以一次培训和考试为目的，主要是检测从业人员的知识、技能和操作水平。

人员认证是舶来品，它是从欧美国家发展而来，以美国为首。目前英美国家已将网络安全从业能力认证工作上升到了国家战略层面，在美国，安全从业人员认证证书和学历证书是同等条件。

Gartner 2020年端点安全技术成熟度曲线显示，统一终端安全（UES）会将EPP端点保护平台、EDR终端检测与响应、MTD移动威胁防御单一产品整合到一个统一的平台下；同时，统一端点管理(UEM)正在迅速扩展，不单是提供管理PC和移动设备的功能，还可以提供端点分析和整合身份访问管理能力；因此，UEM统一终端管理+UES统一终端安全将是端点安全发展方向。

联软UEM平台化解决方案具备基于零信任理念的统一端点管理思路，其内包含可信身份、可信接入、可信设备、可信应用、可信数据。

联软UEM平台化解决方案具备八个成熟的业务场景，分别为移动配发设备安全管控、远程办公/远程运维、分支机构访问总部业务、多云/多数据中心访问、终端一体化、数据安全保护、一机多用、全网终端统一管理。

联软UEM方案价值在安全方面，具备SPA机制“真隐藏”服务，能做到暴露面收敛，拥有应用级加密隧道技术，可避免内网全面暴露，并具备全面的环境感知能力和动态评分机制，可提供持续可信访问，同时具备业内领先的安全沙箱、安全水印，可防止企业数据外泄；在高效易用方面，提供了灵活、便捷的多因素认证方式，支持SSO单点登录和手机扫码联动认证，无需反复认证，并统一门户，统一访问入口，规范了用户访问行为；在扩展方面，拥有微服务架构，可按需灵活扩展模块，同时具备标准API接口，轻松集成第三方系统，能统一安全架构架构，可集成EPP、一个客户端实现内外网统一管理。

当下安全业界比较显著的现象，就是安全产品有许多，但却没有真的解决各种安全问题，所以总结，知道一件事情不代表能做好一件事情。就像《人月传说》中提到的那样，向进度落后的项目中增加人手，只会使项目更加落后。而要做好安全，基础是最重要的，其具备七个关键因素，分别为可采、可知、可查、可视、可感、可控、可验。

赛克蓝德方案在可采方面支持主流协议，可全要素采集；在可知方面具备语义分析、格式化解析、界面处理；在可查方面，支持SPL搜索，兼容splunk的大部分语法，支持简单的键值对，AND OR，一键添加到搜索等简化功能。

在可视方面，能灵活支持钻取、筛选、排序等；在可感方面，具备全场景分析关联分析引擎；在可控方面，内置SOAR安全编排与自动化响应模块，可做到应用及动作所见即所得；在可验方面，可通过告警回溯，全流量追溯验证告警准确性，可通过漏洞验证，验证修复结果，完成漏洞闭环管理。

赛克蓝德产品价值，在综合性上，具备日志审计、流量审计、数据库审计、漏洞管理、威胁情报等综合能力，优势互补，全面、深入洞察全网安全威胁态势；在专业性上，具备UEBA用户异常行为分析，可识别内网安全威胁，SPL语法可实现从数据获取、分析、可视化整个过程的描述，而后解析可实现按需解析；在开放性方面，支持REST接口开放，扩展自定义功能，并能基于原生ES底层存储，方便灵活扩展ES应用组件和二次开发，同时支持对接Splunk、Arcsight等产品协同工作。

个人信息保护为何重要？可以看到国内信息安全相关法律法规日渐完善。同时，App在架数量和用户规模持续扩大，覆盖经济社会生产生活各个方面，将涉及更高量级个人信息收集和使用，再加上我国网民超10亿，因此个人信息问题对国家安全、人民利益、产业健康有序发展形成严重风险挑战。

为此，微博建立了个人信息保护“三道防线”，通过管理、技术和审计机制切实保障用户权益。以个人信息保护制度为中心的制度、流程、标准体系规范和约束操作行为，完善的技术防控手段实时监测风险并阻断恶意或异常行为。合规审计作为个人信息保护的最后一道防线，可以及时发现问题疏漏，促进第一、二道防线积极履职，持续监督和优化“三道防线”。

2022年以来，为强化三道防线的防控能力，微博自研了微博微眸APP安全合规检测平台。微眸能够对APP安全合规、移动安全、应用安全相关问题开展自动检测并提供修复建议，以实现真正的一站式服务。

微博微眸APP安全合规检测平台实现了“0门槛、0干预、0盲区”的一站式APP合规性与安全性检测，大幅降低了安全人员所需的知识门槛，平台全程无需人工干预，已覆盖全机型、全周期的个人信息合规风险和安全漏洞检测，并实现风险处置闭环治理。同时，通过技术与流程相结合，做到“检测场景化”、“操作自动化”、“风险管理闭环化”。微眸平台帮助微博大幅提升了隐私合规工作的自动化水平和效率，更好地践行了用户数据隐私保护方面的社会责任。

在本届研讨会上，“个人信息保护”“数据安全治理”等话题依旧是业内最为关注的内容。因此，圆桌论坛环节，蔚晨、刘凯红、尤其、王天，四位专家，共同围绕大家最关心的数字安全问题展开了热烈的讨论。

王天：从数据安全这个角度来说，微博是从0~1建设数字安全体系的，相当于在已有的系统里新增了全新的项目和管控措施。对微博而言，主要讲究以点破面，比如从APP的角度做数据安全，比如在服务端上做到合规保留用户数据，再比如和第三方协作、跨业务线协作时，怎么保证业务安全和数据安全。

尤其：中国网络安全审查技术与认证中心目前在数据安全和个人信息保护方面主要承担以下工作。第一，在中央网信办和国家市场监管总局的许可下，面向社会开展数据安全管理认证工作，同时即将开展个人信息保护认证工作。第二，对赴境外上市企业，依法开展网络安全审查工作等。

网安中心和企业站在同一个角度，都是希望通过大家的努力和企业共同进步，特别是希望可以通过审核认证等合规活动，帮助组织数据安全管理部门、网络安全合规管理部门共同推进组织在数据安全、网络安全治理方面的水平。 

刘凯红：数据安全是典型的知易行难，就分级分类而言，在梳理的过程中，会发现数据一直在变化，比如和L4数据相关的数据是不是L4呢？这是个难题。另外在线和离线数据，结构化数据和非结构化数据方面，非结构化数据那么多，该怎么从相关存储介质中识别出来，典型的如TOS，而离线数据更大，动辄PB级，又该怎么拣选出来，这都是难点。

此外，有的企业更关注数据本身的加密性，而有的企业更关注访问合不合理，因此整体上这确实是一个比较艰辛的工作，需要做到人力、财力、物力，包括时间上也都有很高的要求。

王天：最主要的是抓住痛点，以点破面。比如现在所有的APP都要求实名制，其所涉及的信息会包含人脸信息、身份证等，这些信息就是一个个字符串，我们会将这些信息集中在关系型的数据库里，然后把这些数据库的位置卡死，接着看哪些业务会去访问这些数据库，哪些数据库会提供服务给更多的业务去使用，这样逐步地发散，最后就能形成新的网络图谱，能够让我们从入口到出口都能知道，身份证这个信息在公司内部的哪些地方被使用了。按照公司内部的数据管理制度，每一个环节都应该有对应的处理方式，是该加密还是该脱敏，等等。

尤其：我们在做审查评估的过程中，更多关心的是企业的业务逻辑是怎么样的，企业在业务逻辑的过程中，所收集到的数据以及这些数据是怎么处理的。

蔚晨：拿金融企业举例，IT部门很少会去接触具体的业务逻辑，因此有时候会在业务逻辑层面发现一些很可笑的点。比如登陆金融类的APP时需要输入密码，密码不对会限制校验码的输入次数，但在某些促销活动里，在客户抽券儿、拿优惠码时，其所要求输入的手机号的认证码和登录的手机号之间没有逻辑上的绑定，因此不法者就可以尝试利用别人的手机号去做验证码的校验，而且还没有次数限制。也就是说不法者可以通过爆破的方式挖掘出此银行客户的手机号，这其实就是个人信息的外泄。

尤其：这里首先要明确下自研产品的定义，一种是我们常见的比如像文件加密，数据水印，审计等等吧，这些产品。还有一种是基于组织自身业务需要，针对业务流程环节进行控制的类似于OA系统一样的管理系统。

对于第一种情况，我个人认为，专业的人做专业的事，如果组织自身不具备相关条件，完全没必要开展自研开发。我们现在看到，市面上也有很多数据治理的产品，比如数据仓库，在应用层面解决企业数据治理，数据管理的问题。但是很多商业化产品在开发的时候，更多的着重于功能的实现，缺忽略了底层合规的要求。比如数据的存储安全。其实，我们看数据安全法的要求，核心主要是数据的分级分类，风险评估，安全检测，应急处置相关要求，还有一些数据共享，备份存储等方面的技术要求。

其实，我们仔细看上面要求，很多内容并不是一个产品能实现的，它其实更多的是嵌套在你每个产品业务流程逻辑里的，在开展数据安全治理，个人信息保护工作方面，产品，其实只是将你的制度信息化，流程化。所以，从一开始，你就要参与，最起码是识别和规则制定。

刘凯红：不同企业建设过程中的难点都不太一样，有的关注数据加密完整性，有的关注传输安全性，有的关注data access；这里我们可以简单总结2个基本所有企业在执行过程中都会遇到的困难。

首先，如何较合理的区分出重要数据，在数据分级分类时，怎么样能和业务/研发在对数据本身的理解上达成一致，才能够比较好的做好分级工作，才能为后续进一步的安全管控做好前期铺垫工作。

尤其：在国家标准和国家管理上的要求而言，数据的分类分级并不是目的，数据保护才是目的，许多企业本末倒置，为了分类分级而分类分级，因此可以说只有影响到公共利益、国家安全、社会安全的这些数据才需要被保护起来。其次，数据分级分类一定要基于业务，不要脱离业务单独去看数据。

王天：数据分级分类有三个例外原则，就高从严，组合升级，数据降级。比如脱敏加密后可以适当降级，比如某个业务功能里用到了手机号和身份证号，肯定要按照高规格去保护，在这种方式下，可以按整体去做处理，对于业务实施就会很简单，不用拆掉每个字段。

再比如业务线要给到大数据团队去做大数据分析时，对于已经脱敏的数据，可以适当降级保护。虽然我们要求不会落地，但在过程中一定会有落地时候，因此会只显露数据的部分内容，这样就可以把它当成普通数据去对待了，因为它没有映射关系。

在做数据分级分类时，除了遵循数安法等法律法规之外，最重要的一点是需要和业务先一起做数据盘点，此过程不是简单地照着数安法去查看哪些数据存在于企业的业务线，而是直接问业务方都产生了哪些数据。在此环节，不需要关心数据是不是敏感或存在高风险，而是要把每个业务线会生成什么样的数据先收集起来，然后基于公司现有的这些数据去做分级分类。

尤其：首先，数据分级分类需要满足数安法等相关法律法规的要求，包括行业的数据监管要求，企业可以不把自己认为需要加密的数据都囊括进去；其次，在处理满足法律要求的这些数据时，要找到和业务、数据加解密保护之间的平衡点，先要想清楚这是无法十全十美的，而是需要更具特定场景、特定时间进行调整。