活动 | 7.6上海制造业沙龙：互联网数据与个人信息保护合规实践

撰稿 | 贾贾

编辑 | 图图

2018年 5 月25日，欧盟《一般数据保护条例》（简称GDPR）正式生效，对全球违反GDPR 的组织或企业最高处罚其全球营收的 4%。虽然GDPR并非中国本土法律，但其适用范围是向欧盟提供货品、服务或监测欧盟境内个人行为的所有企业，在欧盟设有分支机构、处理个人信息的中国企业也不例外。

2019 年 5 月 13 日，等级保护2.0正式发布，并将于 2019年12月1日正式实施。等保2.0的发布标志着我国网络安全的法治和保护进入新的阶段。从1.0到2.0，我国等级保护制度走过了十几年。等级保护2.0是网络安全的一次重大升级，等级保护对象范围在传统系统的基础上扩大了云计算、移动互联、物联网、大数据等，对等级保护制度提出了新的要求。

国际国内的网络安全法律法规的颁布，是对制造企业的网络安全保护的新挑战，企业也即将迎来新的挑战。为靶向制造企业业务特点和实际需求，关注网络安全技术和科技发展，进一步探讨业务与网络安全的结合实践，安在邀请众多甲方的安全代表，与来自乙方的技术专家进行零距离的深入交流。

2019年 7月6日下午，在衡山路一隅幽静闲适的茶馆中，一场关于企业网络安全解决方案及先进技术的网络安全沙龙就此就此开始。

本次活动由信息安全新媒体安在（AnZer_SH） 发起，上海市信息网络安全管理协会、安言咨询支持，张威为沙龙活动主持人。

安在网络安全创新沙龙活动作为安在特色系列活动之一，自上线以来始终受到甲方安全人员和乙方技术专家的好评。嘉宾们一致表示，安全圈需要一个稳定、持续的平台，以便安全行业从业者能更便捷地相互沟通，共同学习进步。而连接起各行各业的安全人才，为网络安全创新发展提供自己的一份力量，也是安在举办此系列沙龙活动的初衷。

此外，安在正积极组织甲方用户、专家交流平台“诸子云”。目前“诸子云”已逐步在上海、北京、深圳、杭州等地落地，并为诸位专家颁发“诸子云专家证书”。未来，安在将继续邀请更多的甲方安全专家、安全管理者、技术骨干加入，并且定期为嘉宾们组织新鲜、有趣的线下沙龙活动。

议题介绍及专家观点

金铭彦

上海市信息安全测评认证中心

新版等级保护标准介绍之工业控制系统

等级保护从1.0标准到2.0标准，经历了较长的修订过程。从2013年启动等级保护新标准的研究，到2019年5月13日，《信息安全技术 网络安全等级保护基本要求》等3个等保基础标准正式发布，过去了六年余。

其中要求部分发生了许多改动： 名称、对象、总体结构、防护理念、控制层面、控制点、控制项以及技术、管理部分各层面，都有不同程度的变化。

等保2.0的扩展要求，与中国工业互联网的起步和工业互联网的内涵密不可分。其包含工业控制安全扩展要求、工业互联网OT层等级保护对应要求、工业互联网IT层等级保护对应要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求等方面。

最后，金铭彦还总结了等保2.0标准执行方面的变化，并就其中的一些重点部分与嘉宾进行了探讨。

舒庆

瀚思科技产品总监

全场景安全赋能数字未来

目前企业在数字化转型中面对的安全挑战主要集中在安全问题、合规、组织对变革的抵制、硬件和软件的限制等方面，而影响数字化转型效果的因素众多，包括多态性攻击、开发运营、失去可见性、复杂的网络犯罪、SSL 的使用、物联网设备等等。

为了最大程度降低安全风险，许多头部公司和组织都选择购置全场景安全平台——建立统一的全场景安全架构、在整个组织中共享威胁情报、确保任何地方 (本地、云、物联网、移动等)的安全防护等等，一站式解决网络安全和业务安全问题。

瀚思通过大数据智能安全分析实现各个分离的安全系统数据的统一管理、统一运营。深度检测安全威胁，智能分析辅助安全决策，感知整体安全态势，提高安全运营效率。将安全战略由被动防御转向主动智能，全面保障客户网络安全、内部安全和业务安全。

现场，舒庆介绍了瀚思一站式全场景大数据安全平台 Pentagon在多个典型场景中的实践情况，并利用实际案例证明了该平台在全场景安全态势感知，抵御外部攻击、内部威胁和业务风险方面的独特能力。

刘现磊

联软科技高级产品经理

下一代终端及数据综合管控方案

工业制造业的发展正面临全新挑战，国家给予高度重视的同时，企业必须积极应对——根据Gartner全球风险与安全调查数据预测，到2020年，参与并购（兼并和收购）活动的组织中有60%会把网络安全态势视为其调查过程中的关键因素。

刘现磊提出了整体规划与建设步骤，主要分解为三个步骤： 平台建设、生态建设、安全智能；对应可实现的是从安全运维到安全运营、自动化与主动防御再从自动到智能的过程。

为了达成整体规划，方案设计分成资产管理、可信边界的构建、终端管理、数据保护、检测与响应五个大类，整体框架集预防、检测、响应为一体。

冯斯恩

上汽集团信息安全负责人

车企安全漏洞管理

现今中国社会的汽车企业在安全方面有几大特点： 规模较大、系统数量多、安全预算少、安全需求虽风险逐步增多等。目前车企的业态主要分布在车联网、工控系统和传统IT三方面 。

冯斯恩分析了几种较为典型的车企漏洞来源，包括内部安全测试、爬取比对、外部通告等，并从获取方式、依赖程度、难度和解决方案四个维度剖析了各漏洞的主要特点和应对方式。

他还分享了对于安全漏洞的分析指标和等级指标，以及对超危&高危、中危和低危三种不同等级漏洞在已上线系统和未上线系统中不同的控制原则。

最后，冯斯恩介绍了从体系规划、需求分析、设计、编码构建、测试验证到上线运行的完整处置方法。

现场花絮

主题分享

上海市信息安全测评认证中心 ：简称上海测评中心或SHTEC，于2000年1月挂牌运行，是经上海市人民政府批准成立的专门从事信息技术产品、信息系统安全测评及相关资质认证等业务的第三方专业机构，具有独立法人资格，是国内最早开展信息安全测评的机构之一。上海测评中心目前是华东地区检测资质最全、规模最大、综合性最强的信息安全专业测评机构。

瀚思科技 ：瀚思科技是中国第一家大数据安全企业，也是网络安全全球500强。通过自主知识产权的机器学习引擎与数据处理引擎，瀚思帮助客户构建下一代安全智能分析平台，整合各种日志、网络流量与人员行为数据，从而发现未知攻击威胁、保护内部数据资产、抵御恶意交易欺诈等。瀚思科技主创团队来自趋势科技（全球三大安全公司之一）、微软、甲骨文，拥有23项全球安全专利。

联软科技 ：深圳市联软科技股份有限公司成立于2003年，拥有近200人的专业技术研发团队，是业内领先的企业级网络与信息安全方案供应商。通过十多年在网络底层架构和各项网络安全技术的研究，联软科技推出平台级网络与信息安全管控产品——LeagView安略统一管控平台。目前，LeagView已在银行、证券、电信、大型企业、政府、医疗、军队等行业的数千家企业级用户中得到广泛应用。

上汽集团 ：上海汽车集团股份有限公司（简称“上汽集团”）是国内A股市场最大的汽车上市公司。上汽集团主要业务涵盖整车(包括乘用车、商用车)、零部件(包括发动机、变速箱、动力传动、底盘、内外饰、电子电器等)的研发、生产、销售，物流、车载信息、二手车等汽车服务贸易业务，以及汽车金融业务。

主办方简介

安在 ：国内最权威的信息安全新媒体，专注为安全厂商提供包括品牌包装，媒体推宣、市场对接等在内的专业服务。

上海市信息网络安全管理协会 ：协会于2010年5月经市公安局和市民政局批准成立，业务主管部门是上海市公安局。是一个在政府部门、企业单位、个人用户等社会各界之间起着桥梁和纽带作用的专业和权威组织。协会服务内容包括：建立和加强同国内外计算机及信息网络安全组织的联系，促进国内与国际间的交流，繁荣信息网络安全的学术研究；构建上海市信息安全联动机制，开展信息网络安全的论证、评审和咨询服务；进行市场调研和预测，为政府管理部门提供决策咨询。为加强社会力量的整合和支撑，进一步在全市大力推进互联网安全工作，协会先后成立了WIFI安全专业委员会、网络安全等级保护专业委员会、 APP安全专业委员会。

安言 ：上海安言信息技术有限公司成立于2004年，国内最早也是目前权威信息安全专业咨询机构。继开创国内ISO27001及ISO20000体系认证咨询服务模式后，借助先进的咨询理念和创新方法、丰富的实践经验和行业案例、专业的顾问团队和整合资源，为企业客户提供各类适应其业务发展需要的信息安全及IT风险管理落地解决方案。迄今已在包括银行、证券、保险、运营商、电力、外企、制造业、互联网等典型行业积累了数百家客户案例。