7月15日首期上海周末沙龙登陆魔都,沙龙聚焦“互联网数据安全”,40多位来自饿了么、美团点评、携程网、爱奇艺、Wi-Fi万能钥匙、宜信、同程艺龙、平安科技、拍拍贷、小红书等互联网公司的信息安全专家围绕企业内部数据安全体系建设、DLP建设方案、零信任安全架构等话题展开热烈讨论。
近年来越来越多的互联网企业内部数据遭受黑客的攻击,“脱库”“撞库”事件频发;数据是黑客的终极目标,也是企业安全建设的重中之重。如何建设企业的内部数据安全,成为困扰大部分企业的安全问题之一。
360企业安全集团 补天漏洞平台总经理 白健
360企业安全集团补天漏洞平台总经理白健向来自互联网行业的四十余位信息安全专家致以热烈的欢迎,上海周末沙龙是每两周举办一次的行业性活动,首期举办就感受到大家的热情像魔都7月的天气一样热烈,座无虚席。首期上海周末沙龙把脉互联网行业的数据安全问题,一直以来互联网公司都在遭受防不胜防的数据安全威胁,本次沙龙立足行业用户的痛点,为互联网企业提供一个交流分享、学习讨论行业信息安全建设的平台。
沙龙现场座无虚席
美团数据安全负责人 戴鹏飞——《美团点评数据安全建设实践》
Facebook数据泄露事件一度成为互联网行业的焦点,几百亿美元市值瞬间蒸发,这个代价足以在地球上养活一支绝对庞大的安全团队,甚至可以直接收购几家规模比较大的安全公司了。虽然媒体上发表了很多谴责的言论,但实事求是地讲,Facebook面临是一个业界难题,任何一家千亿美元的互联网公司面对这种问题,可能都没有太大的抵抗力,仅仅是因为全球区域的法律和国情不同,暂时不被顶上舆论的浪尖罢了。但是全球的趋势是越来越重视隐私,在安全领域中,数据安全这个子领域也重新被提到了一个新的高度。美团数据安全负责人戴鹏飞在互联网信息安全建设领域拥有丰富的经验,戴鹏飞先生表示国内的互联网公司数据安全建设与Google, Facebook,Amazon等国外互联网公司存在较大差距,而作为企业数据安全建设者,面临各种责任和挑战:例如数据安全以前的方法不好使、个人信息泄漏风险加剧、数据安全监管要求严厉等。如何建设企业内部的数据安全体系?戴鹏飞先生向业界详细的讲解了全生命周期内的数据安全措施:
伯乔金融信息安全总监 张宣文——《零信任架构探索》
零信任网络(亦称零信任架构)模型是JohnKindervag于2010年创建的, Google公司在2013年开始向零信任架构转型之后,带动“零信任”安全架构的流行。零信任是一个安全概念,中心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。
简言之,零信任的策略就是不相信任何人。除非网络明确知道接入者的身份,否则任谁都别想进入。什么IP地址、主机之类的,不知道用户身份或者不清楚授权途径的,统统不放进来。用户的访问权限将不再受到地理位置的影响,但不同用户将因自身不同的权限级别拥有不同的访问资源,而过去从外网登陆内网所需的VPN也将被一道废弃。
来自伯乔金融的信息安全总监张宣文先生,从虚拟安全专网、访问控制、微服务等方面向大家展示了伯乔金融在零信任安全架构的探索。
某互联网公司 信息安全专家 谭俊——《企业DLP建设方案》
以前要管控数据,基本都是强管控、全部隔离,或全部加密,这种方式称之为囚笼式、枷锁式的管控,这些方式在实际数据生产、使用、流转中带来了很多不必要的麻烦;随着科技和商业飞速发展、信息技术的进步,数据集中化、网络泛在化、泄漏趋隐蔽化的趋势下,为了满足更加灵活的方式来处理数据,智能化的数据安全管控DLP应运而生,从而使企业管理员可以按照数据的重要程度有针对性的对数据进行控制。
信息安全专家谭俊先生认为,组织上需要自上而下梳理并定义管理层、业务层、实施部门、合规监控及审计部门等在数据防泄漏工作中的指责;其次需要完善数据防泄漏总体策略、管理办法;并且要明确数据边界、通过DLP平台落实管理层认可的详细策略;从而形成体系化的、可持续优化的数据安全防护管理机制。
《企业内部数据安全体系建设》——主持人:360企业安全集团天眼事业部总经理 张卓
《防不胜防的企业安全威胁》——主持人:360安全架构师白嘎力
随后在360企业安全集团天眼事业部总经理张卓、360安全架构师白嘎力的组织下,来自饿了么、美团点评、你我贷、齐家网、银科控股、飞牛网、同程艺龙、东方财富、电信理想、伯乔金融、小红书、天翼电子商务、平安好房、爱奇艺等互联网公司20余位安全专家就“企业面临防不胜防的安全威胁、如何应对”以及“企业内部数据安全体系建设”展开热烈讨论。
信息技术的进步与发展,加速了现代社会的信息化与数字化进程,无论是在数量上,还是类型上,数据都正在以前所未有的速度激增,随之而来的数据安全问题,成为了信息社会面临的严峻挑战。数据安全,包含数据本身的安全,以及数据从生成到销毁的全生命周期各阶段的安全。
普遍认为,互联网企业数据安全所面临的威胁不仅来自于外部威胁,更来自于内部数据泄漏的威胁。今天的安全形势已经发生变化,内部威胁已成为影响企业正常生产、未来业务发展的一个重要威胁。事实证明,内部威胁犹如一颗定时炸弹,一旦引爆随必将给企业带来灾难性打击:轻则影响企业生产经营秩序,重则可能引发群体事件,成为社会不稳定性的因素之一。解决内部威胁已迫在眉睫。建立企业级数据权限管控体系,需要从功能权限、数据权限、企业权限集成管控三方面开展设计。
大数据时代,保障数据安全的方式和途径不是单一的,数据安全的实现,需建立在一个完整的、系统的信息安全体系构架之上,充分复合运用检测、加密、加固、访问控制等多种手段以及云安全、大数据等技术,同时建立和完善信息安全领域的法律法规,在技术和法律的保障下,政府、企业、个人多方力量的作用下,共同筑牢大数据时代的数据安全屏障。
首期360企业安全上海周末沙龙圆满落幕,后续两周一次的上海周末沙龙将围绕:大数据安全、威胁情报实践与应用、终端安全管理策略、云安全、安全运营体系建设、漏洞生命周期管理等话题,在互联网、金融、教育、医疗、物流、能源、运营商、交通、政务等行业开展。
报名|加入上海周末沙龙
请将姓名、电话、公司、职位等信息发送邮件至[email protected],我们的工作人员会在审核通过后与您取得联系。
来源:freebuf.com 2018-07-19 10:00:24 by: 360企业安全
请登录后发表评论
注册