酷应用

议题前瞻｜CCS×TSRC数据安全分论坛

百家作者：腾讯安全应急响应中心 2022-08-19 16:54:44

2022CCS成都网络安全大会将于8月31日-9月2日在成都重磅举行！届时，TSRC将联合CCS举办[数据安全分论坛]，为大家带来7个硬核议题，共同探讨数据安全实践方面的思考和实现路径，助力企业提升数据安全能力。

CCS×TSRC

数据安全分论坛

随着网安法、数安法、个保法的相继执行，数据安全越来越成为企业可持续发展所关注的重要话题。但当企业在真正落地时，往往会遇到各种各样的问题和挑战。

如何正确地理解相关标准？企业数据安全合规体系又该如何落地？错综复杂的网络安全环境下，企业数据安全治理更需要“有序的力量”。

议题速览

数据安全合规体系建设思考与实践

主讲嘉宾

刘天闻腾讯数据安全专家

个人简介

腾讯数据安全专家、网络信息安全高级工程师、中国通企协网络安全服务能力评定技术专家，现负责网络数据安全合规工作的优化、落地和安全技术能力建设相关工作。

14年“中国网络安全攻防大赛”三等奖，17、18年“辽宁省网络安全技能大赛”三等、一等奖，20年“广东省网络安全技能大赛”二等奖。

议题简介

数据作为生产要素与国家基础性战略资源，其安全性受到社会广泛关注。社会数字化、企业数字化的背景下，如何开展数据安全合规体系建设，数据安全制度建设与技术能力建设围绕哪些关键要素，数据安全合规工作又该如何常态化开展。

本议题提出数据安全合规金字塔体系，聚焦体系建设中的关键要素，列举典型落地案例，讨论数据安全合规体系的搭建与运行，为企业数字化转型提供参考。

议题速览

合规视角下数据安全治理与实践

主讲嘉宾

谢敏腾讯数据安全负责人

个人简介

腾讯数据安全负责人。12+安全从业经验，擅长研发安全、数据安全、用户隐私、安全开发等信息安全解决方案落地，并有安全规划和运营经验。

议题简介

在数字经济的快速发展趋势下，数据已成为数字经济发展的重要生产要素，数据安全受到国家和企业的广泛的重视，如何实现数据安全保护，又要保障数据高效使用，成为数据安全治理的关键点。

本次分享结合腾讯数据安全治理实践，从体系建设、技术工具、平台流程、风险度量等多维度，探索数据全生命周期的落地实施方案，同时阐述落地过程遇到的挑战与困难，输出的解决方案和安全运营机制，以实现数据安全治理目标。

议题速览

数据安全与个人信息保护标准浅谈

主讲嘉宾

李克鹏腾讯资深标准专家

个人简介

腾讯资深标准专家，主要从事数据安全、区块链、隐私计算等方面的标准化工作。曾担任ITU-T SG17 WP4主席、IETF ACE组主席、OMA CD组主席等职位，牵头制定二十多项国际标准、国家标准和行业标准。

议题简介

作为配套和细化《数据安全法》、《个人信息保护法》等法律法规的重要途径，数据安全和个人信息保护标准在促进监管合规等方面，发挥着重要作用。本议题梳理了数据安全和个人信息保护的标准体系，系统性地介绍了数据安全和个人信息保护的国家标准、行业标准、团体标准，以及国内外标准认证的情况，并总结了数据安全和个人信息保护标准对于安全产业发展、企业合规建设等方面进行护航和领航的价值。

议题速览

运筹帷幄-腾讯数据安全实战路径思考

主讲嘉宾

郭铁涛腾讯数据安全专家

个人简介

现任腾讯数据安全专家，主要负责内部安全体系建设工作，包括数据安全、上云安全、安全规范标准等工作，拥有丰富的数据安全和网络安全等安全领域经验。

议题简介

随着网安法、数安法、个保法的相继执行，国家和企业对于数据安全的关注度也越来越高，数据安全同样也是众多企业一直以来可持续发展所关心的重要话题。但当一家企业在真正落地数据安全时，又会遇到各种各样的问题，甚至无从下手，往往投入了不少人力物力，却没有达到预期收益和效果。

本议题主要从腾讯在企业内部数据安全落地实践的角度，面对错综复杂的网络安全环境，与大家交流实践落地方面的思考和主要路径，探讨保护敏感数据安全的实践经验，共同提升企业数据安全能力。

议题速览

数据与隐私安全治理实践分享

主讲嘉宾

刘桃松 OPPO数智工程事业部数据与隐私安全负责人

个人简介

DSI智库专家，(ISC)² 华南分会秘书长，OPPO数智工程事业部数据与隐私安全负责人。具有10年+数据安全安全从业经验，曾任职Foxconn、美的、YY等多企业，负责数据安全标准、流程、产品与解决方案的落地。

议题简介

随着《数据安全法》与《个人信息保护法》的生效，数据安全与隐私保护受到了广泛关注。作为数字时代的企业方，在用技术手段创新服务模式、满足社会需求的同时，如何做好数据安全、个人信息保护的同时发挥好数据价值，是企业安全治理的目标。

本次分享结合OPPO数据安全与隐私治理的实践，从数据安全分类分级的识别、内外部数据流通及数据全生命周期安全管控、数据安全审计与运营等方面介绍如何构建企业数据安全体系，以及提升用户可信。

议题速览

零信任在数据安全应用

主讲嘉宾

何艺持安科技创始人兼CEO

个人简介

持安科技创始人兼CEO何艺，互联网游戏巨头完美世界集团前CSO，17年甲方企业安全建设经验，国内最早开展研究并落地零信任的甲方安全负责人，拥有7年不间断的甲方零信任落地经验。

议题简介

近年来国家连续颁布数据安全相关法律法规，但是由于内部泄露和系统漏洞导致的企业数据安全事件仍时有发生，企业信息安全部门也在思考，数据安全问题的源头到底是什么？其实源头是人。解决数据安全问题，应聚焦于解决人的问题，而并非传统的从数据生命周期来进行风险评估。所以我们应该搭建基于人的数据安全风险视角，优先解决“人”这个核心矛盾。

零信任是基于用户身份构建的安全防护能力，应用层零信任可以深入到数据层，融合了业务身份才能知道谁是谁，完整的数据采集才可以具备上下文，对每一个请求均进行判断，动态评估安全可信。相信在未来，零信任会成为企业保障数据安全的最佳实践。

议题速览

SecBash 主机操作安全管控实践

主讲嘉宾

刘钟航腾讯高级安全工程师

个人简介

现腾讯高级安全工程师，负责微信事业群整体应用运维安全建设，负责内部安全防护、产品安全评估、代码扫描、主机登录安全等工作。

议题简介

在互联网企业，业务模块众多，迭代频繁，场景复杂，日常有大量异常处理、开发调试需求，需要登录线上环境。大量ssh登录操作，给线上环境带来数据安全风险、稳定性风险。传统的一些风险控制措施，如：实名制登录、收敛用户权限、操作记录审计，大多数企业都有落地实践，但收效有限。我们自研了SecBash方案，通过禁止任意文件操作，禁止任意命令，禁止任意网络请求，创造一个安全受限的环境。该方案保留了极高的自由度，满足日常登录线上机器的需求，又限制了风险操作。

限制了误删文件，中断程序运行，绕过上线规范流程等影响线上稳定性的行为，规避了恶意请求接口，恶意操作线上文件、数据库等行为的安全风险。我希望通过分享我们的实践方案，给其它企业带来启发，落地类似的新方案保障线上主机操作安全。

直播地址

数据安全分论坛将于9月1日正式开始，进入CCS大会官网（ www.cdccs.cn ），点击云上大会，注册成为正式用户，即可预约直播，更多精彩玩法和功能即将上线，“云上安全新形态，拥抱数字新未来”，2022CCS成都网络安全大会正火热进行中，赶快进入大会官网尝鲜！

本届CCS大会将在线上举办，线上参会即可获得非凡体验，绝不枯燥参会。关注CCS成都网络安全大会官方公众号一键订阅最新大会资讯，CCS2022粉丝社群现已开放，加入粉丝群，及时订阅大会动态、活动资讯、玩法指南，更可参与专属社群活动！（也可关注CCS成都网络安全大会，回复社群，即可获得专属邀请通道）