直面企业安全痛点，FIT 2019 企业安全俱乐部全议题回顾（附PPT下载）

清晰记得，在FIT 2019第二天的议程中，有一位嘉宾提到这样一句话：世界上只有两种企业，一种是知道自己被黑；另一种是不知道自己被黑。

网络安全已经是全球所有企业都面临的问题，在即将过去的2018年，有多少企业为此付出了严重的代价。2019年，网络安全形势更加严峻，我们该如何应战？在年底最适合总结及展望的时间，相信大多数企业都在思考这个问题。

FIT 2019专设企业安全俱乐部分论坛，邀请13位安全领域知名企业安全专家以及咨询专家，共同分享自己在安全建设上经验与心得。

企业SDL实践与经验——美图集团安全经理 史鑫磊

美图集团安全经理史鑫磊首先就企业SDL（软件安全开发周期）的实践经验，这其实揭示了目前行业内的一个普遍存在的问题，那就是大部分开发人员缺乏足够的安全开发意识，并且基本没有接受安全开发培训。而对于企业安全而言，最重要的就是安全可控，SDL把安全和开发紧密结合在一起，让企业在开发过程中保持高效的研发速度和可控的安全性。

史鑫磊首先就强调了对于开发人员的安全培训，这也是最基本的要求。安全开发需要开发者在产品设计、代码编写、渗透测试、上线发布等所有环节中都将安全考虑在内，这样产品在发布之后即便出现问题，解决问题的成本则要低很多。另外，应急响应则是最后需要设置的一道安全防线。

未来企业安全战力：虚拟化与物理环境的完美融合——瑞星云安全事业部产品总监 郑斌

2018 年上半年勒索病毒和挖矿病毒爆发频繁、危害较大，已经成为企业网络安全的最大威胁。虽然数字货币的热度有些波动起伏，但犯罪分子对其追求的热度却没有减少，由于虚拟化货币钱包地址的隐蔽性，致使其依然是犯罪分子获利的首选，这也就导致大量加密货币挖矿病毒和勒索病毒的爆发。

郑斌表示，云安全解决方案是针对虚拟化及云平台特性，定制化开发的安全防护产品，采用先进的虚拟化无代理安全防护技术实现针对虚拟化及云平台的整体安全防护，可为虚拟化平台提供包括防病毒、防火墙、入侵监测与拦截、虚拟补丁及web信誉防护等全面的安全防护功能。

另眼看安全：从企业运营角度如何开展安全建设——拍拍贷安全专家 袁弋戈

在新形势下，要如何实现企业内部网络安全建设和企业运营的有效整合，构建完善的企业内控管理的体系，最终实现企业的全面管理和革，拍拍贷安全专家袁弋戈分享了自己在这方面的安全建设经验。

袁弋戈表示，从企业角度来看，安全只是一个附属品。需要充分了解企业的战略及商业模式，使得安全建设从附属品转变成企业的战略品。从信息安全策略、信息安全组织、信息安全运营以及信息安全技术四个层次，详细剖析了安全建设的细节。

电子认证服务在互联网司法服务中的作用研究——天威诚信常务副总裁 李延昭

现如今，数据安全、隐私保护等问题越来越严峻，电子认证领域因此得到了更多的关注。《电子签名法》的颁布实施，明去了电子认证在司法中的地位，赋予了电子认证法律效益的身份。

李延昭针对“电子认证服务在互联网司法服务中的作用”为现场嘉宾进行了分享。并与现场嘉宾一起探讨电子认证服务如何通过数字证书的方式建立网络虚拟身份与现实主体的一一对应关系，解决网络空间身份真实性难识别的问题。李延昭先生强调：互联网时代，网络服务电子化，电子数据的真实、完整、准确性越来越受到重视，天威诚信电子认证服务能确保数据的合法性，通过司法服务解决互联网应用及合法电子数据的监督审查、规范管理及司法救济的问题。

解构协议解码引擎——科来产品运营部总监 李飞

根据Gartner报告指出，到2020年，将有多达200亿台连接设备为每位用户生成高达数十亿字节的数据。这样规模的设备和海量数据，对运维模型和安全模型均提出了巨大的挑战，因此亟需引入新的思路和技术来解决此类问题。科来认为网络流量分析技术的核心之一是协议解码，通过在这一核心技术的不断深入探究与创新，更好的让网络流量分析技术为网络性能管理与网络安全保驾护航。

李飞表示，网络流量数据是安全态势感知体系中必不可少的数据。一方面可以通过协议解码对流量行为进行分析并建立行为模型，实现对网络威胁的感知；另一方面，检测类告警日志数据存在误报和漏报的可能，如果叠加网络流量数据就可以还原现场，有效区分出真正威胁。

网络安全法案例总结与企业合规价值——上海市委网信办网络安全及信息化咨询专家 刘春泉

2018年，5G标准、中芯案件，使得技术博弈、话语权博弈持续发酵，深刻改变着数字经济的利益格局和安全格局。我国《网络安全法》正式实施已经一年了，围绕网络主权、网络犯罪等重要制度立法、执法和司法活动都在积极推动。上海市委网信办网络安全及信息化咨询专家刘春泉律师同大家分享网络安全法案例，讨论网络空间私权领域与公共权利之间的法律关系，共同探索在网安法框架下实现企业合规的现实价值。

刘春泉律师表示，大公司基本都有法务跟进业务合规，但这不只是法务的问题，也需要外部律师的支持，一个是专业性，第二个更重要是视角问题，外部的视角更多可以从用户、监管而不是企业自己利益角度出发来思考问题。

如何做好业务安全红蓝对抗——阿里巴巴资深安全工程师 柳兮

红蓝对抗的概念首先是从军事领域衍生出来的，随着企业不断丰富自身安全能力，红蓝对抗模式也越来越被企业认同和接受，红蓝对抗所暴露的问题不仅包括技术漏洞，还有安全管理、防护能力以企业高层视角等领域的薄弱点。

柳兮指出，做好业务红蓝对抗的挑战，需要做到以下几点：

需要完成全链路的实战攻击，而不是单点攻击

需要从外部，以黑盒视角发起攻击

需要真正的帮业务方解决问题，而不是自嗨

不能即当裁判，又当运动员

分布式拒绝服务攻击预警研究——金山云安珀实验室资深研究员 马西兴

基于传统肉鸡养殖场的僵尸网络检测方法主要基于个各类蜜罐、入侵检测系统、Netflow异常流量检测等安全分析系统。

而本次马西兴带来的方法有别于以往，是对肉鸡样本进行了深入逆向分析，按照其和C&C端的交互协议，对BOT端进行代码重构，能够做到在C&C端发出攻击指令的同时，对目标站点进行攻击预警，同时在系统资源占用、反沙箱、漏洞利用监测等方面达到了较好的效果。

企业如何赢在SRC的起跑线——斗象科技漏洞盒子产品负责人 来勇

目前，国内的大型互联网公司均自建了SRC，解决白帽找不到有效渠道和动力来提交漏洞的问题，但大多数企业并没有这个实力。对于大企业来讲，资源虽然不是问题，但SRC毕竟不是核心业务，投入有限。而中小企业本身资源有限，重业务而轻安全是普遍现象，在安全当中的投入非常之有限，且人员配备不足。

来勇透露，随着企业对SRC需求量的加大，在人才成长速度有限的情况下资源被稀释成为必然。同时和SRC竞争的还有国家平台，专业的众测平台。白帽子本身的职业发展和生活发展也会限制他从事漏洞挖掘的时间。

互联网企业数据安全建设之路——腾讯数据安全负责人 刘宁

随着互联网技术与公用云的高速发展，互联网企业自身的数据资产安全的重要性不容忽视。数据在传输、存储及交换的过程中，系统崩溃、硬件损坏、数据丢失或遭到破坏的可能性客观存在。如果没有相关的数据保护、备份及恢复手段与措施，就会导致数据泄露、丢失或损毁，给企业造成的损失是无法估量的。

刘宁提出，“对于企业来说，数据安全体系建设就是数字化时代最重要的安全屏障。”腾讯数据安全团队尝试通过打造系统化解决方案，形成技术—工程—运营这样一个三角的良性循环，让企业从传统的“救火应急”式的安全应对方式，转向打造数据安全系统化的解决方案，培养企业自身体系化的持续安全运营能力。

刘宁进一步从漏洞管控、基线运营和动态对抗等方面出发，结合腾讯十多年的安全实战经验，深入分享了在当今严峻的安全形势下，如何进行企业的数据安全体系建设。

业务流量数据安全应用实践——蚂蚁金服高级安全专家 刘宇江

数据对安全来说，是最为重要的基础设施，日常的攻击检测、漏洞扫描、应急排查等，都是以各种数据记录为基础进行，数据的完整性与丰富程度很大程度决定了安全问题检测与响应能力的高低。因此，；为了数据的安全性更多的企业会选择流量镜像的方式进行备份。

零信任架构里的资产安全管理——完美世界高级信息安全总监 何艺

资产的安全管理是个小众话题，在企业安全管理过程中，资产的安全管理是非常重要的基础能力，能否清晰的梳理出资产、掌握资产的安全属性，把安全的管控落到资产上是非常重要的事情，完美世界高级信息安全总监何艺分享了资产安全管理的一些技术手段，以及部署零信任（BeyondCorp）架构后给资产管理带来的一些变化。

何艺表示，零信任架构的作用是重塑IT基础以及提供安全接入平台，由于部署零信任架构涉及面比较广，更适合家纺自己实施。

中小企业公有云安全挑战及威胁情报的结合——轻松筹CRO 韩晋

随着云计算的不断普及，安全问题的重要性呈现逐步上升趋势，已成为企业关注的焦点。韩晋认为，中小互联网企业专职安全人员少，预算有限。而公有云资产管理成本降低，api获取及配置资产故障恢复相对快速以及部分基础设施风险可降低及转移等特点，正好能够匹配中小企业的需求。

不过，多数管理操作都要走公网，大部分公有云的账户审计功能较弱以及子账户及AK的访问控制粒度不足，这些也是公有云在安全性上的弱势。对于这些问题，企业需要有针对性的做好安全措施。