距离2022CCS成都网络安全大会开幕仅剩13天,继剧透 [云安全实战分论坛]相关议题之后,安全419从大会承办方无糖信息方面获悉,腾讯安全应急响应中心TSRC将承办大会重磅分论坛之一[数据安全分论坛],将为大家带来7个硬核议题,一起来揭晓!
CCS&TSRC数据安全分论坛
随着网安法、数安法、个保法的相继执行,数据安全越来越成为企业可持续发展所关注的重要话题。但当企业在真正落地时,往往会遇到各种各样的问题和挑战。如何正确地理解相关标准?企业数据安全合规体系又该如何落地?错综复杂的网络安全环境下,企业数据安全治理更需要“有序的力量”。
2022CCS成都网络安全大会【数据安全分论坛】,由腾讯安全应急响应中心(TSRC)承办,为您带来精彩的议题分享,共同探讨数据安全实践方面的思考和实现路径,助力企业提升数据安全能力。
01 议题速览-数据安全合规体系建设思考与实践
主讲嘉宾
刘天闻 腾讯数据安全专家
个人简介
腾讯数据安全专家、网络信息安全高级工程师、中国通企协网络安全服务能力评定技术专家,现负责网络数据安全合规工作的优化、落地和安全技术能力建设相关工作。14年“中国网络安全攻防大赛”三等奖,17、18年“辽宁省网络安全技能大赛”三等、一等奖,20年“广东省网络安全技能大赛”二等奖。
议题简介
数据作为生产要素与国家基础性战略资源,其安全性受到社会广泛关注。社会数字化、企业数字化的背景下,如何开展数据安全合规体系建设,数据安全制度建设与技术能力建设围绕哪些关键要素,数据安全合规工作又该如何常态化开展。本议题提出数据安全合规金字塔体系,聚焦体系建设中的关键要素,例举典型落地案例,讨论数据安全合规体系的搭建与运行,为企业数字化转型提供参考。
02 议题速览-合规视角下数据安全治理与实践
主讲嘉宾
谢 敏 腾讯PCG数据安全负责人
个人简介
腾讯-PCG平台与内容事业群数据安全负责人。12+安全从业经验,擅长研发安全、数据安全、用户隐私、安全开发等信息安全解决方案落地,并有安全规划和运营经验。
议题简介
在数字经济的快速发展趋势下,数据已成为数字经济发展的重要生产要素,数据安全受到国家和企业的广泛的重视,如何实现数据安全保护,又要保障数据高效使用,成为数据安全治理的关键点。 本次分享结合腾讯PCG数据安全治理实践,从体系建设、技术工具、平台流程、风险度量等多维度,探索数据全生命周期的落地实施方案,同时阐述落地过程遇到的挑战与困难,输出的解决方案和安全运营机制,以实现数据安全治理目标。
03 议题速览-数据安全与个人信息保护标准浅谈
主讲嘉宾
李克鹏 腾讯资深标准专家
个人简介
李克鹏,腾讯资深标准专家,主要从事数据安全、区块链、隐私计算等方面的标准化工作。曾担任ITU-T SG17 WP4主席、IETF ACE组主席、OMA CD组主席等职位,牵头制定二十多项国际标准、国家标准和行业标准。
议题简介
作为配套和细化《数据安全法》、《个人信息保护法》等法律法规的重要途径,数据安全和个人信息保护标准在促进监管合规等方面,发挥着重要作用。本议题梳理了数据安全和个人信息保护的标准体系,系统性地介绍了数据安全和个人信息保护的国家标准、行业标准、团体标准,以及国内外标准认证的情况,并总结了数据安全和个人信息保护标准对于安全产业发展、企业合规建设等方面进行护航和领航的价值。
04 议题速览-运筹帷幄-腾讯数据安全实战路径思考
主讲嘉宾
郭铁涛 腾讯数据安全专家
个人简介
现任腾讯数据安全专家,主要负责内部安全体系建设工作,包括数据安全、上云安全、安全规范标准等工作,拥有丰富的数据安全和网络安全等安全领域经验。
议题简介
随着网安法、数安法、个保法的相继执行,国家和企业对于数据安全的关注度也越来越高,数据安全同样也是众多企业一直以来可持续发展所关心的重要话题。但当一家企业在真正落地数据安全时,又会遇到各种各样的问题,甚至无从下手,往往投入了不少人力物力,却没有达到预期收益和效果。本议题主要从腾讯在企业内部数据安全落地实践的角度,面对错综复杂的网络安全环境,与大家交流实践落地方面的思考和主要路径,探讨保护敏感数据安全的实践经验,共同提升企业数据安全能力。
05 议题速览-数据与隐私安全治理实践分享
主讲嘉宾
刘桃松 OPPO数智工程事业部数据与隐私安全负责人
个人简介
DSI智库专家,(ISC)² 华南分会秘书长,OPPO数智工程事业部数据与隐私安全负责人。具有10年+数据安全安全从业经验,曾任职Foxconn、美的、YY等多企业,负责数据安全标准、流程、产品与解决方案的落地。
议题简介
随着《数据安全法》与《个人信息保护法》的生效,数据安全与隐私保护受到了广泛关注。作为数字时代的企业方,在用技术手段创新服务模式、满足社会需求的同时,如何做好数据安全、个人信息保护的同时发挥好数据价值,是企业安全治理的目标。本次分享结合OPPO数据安全与隐私治理的实践,从数据安全分类分级的识别、内外部数据流通及数据全生命周期安全管控、数据安全审计与运营等方面介绍如何构建企业数据安全体系,以及提升用户可信。
06 议题速览-零信任在数据安全应用
主讲嘉宾
何艺 持安科技创始人兼CEO
个人简介
持安科技创始人兼CEO何艺,互联网游戏巨头完美世界集团前CSO,17年甲方企业安全建设经验,国内最早开展研究并落地零信任的甲方安全负责人,拥有7年不间断的甲方零信任落地经验。
议题简介
近年来国家连续颁布数据安全相关法律法规,但是由于内部泄露和系统漏洞导致的企业数据安全事件仍时有发生,监管开出大额罚单的同时,企业信息安全部门也在思考,数据安全问题的源头到底是什么?其实源头是人。解决数据安全问题,应聚焦于解决人的问题,而并非传统的从数据生命周期来进行风险评估。所以我们应该搭建基于人的数据安全风险视角,优先解决“人”这个核心矛盾。
零信任是基于用户身份构建的安全防护能力,应用层零信任可以深入到数据层,融合了业务身份才能知道谁是谁,完整的数据采集才可以具备上下文,对每一个请求均进行判断,动态评估安全可信。相信在未来,零信任会成为企业保障数据安全的最佳实践。
07 议题速览-SecBash 主机操作安全管控实践
主讲嘉宾
刘钟航 腾讯微信高级安全工程师
个人简介
现腾讯微信高级安全工程师,负责微信事业群整体应用运维安全建设,负责内部安全防护、产品安全评估、代码扫描、主机登录安全等工作。曾任百度智能云高级安全工程师,负责云事业部内部安全保障,从事云产品SDL,应急响应、云安全研究。
议题简介
在互联网企业,业务模块众多,迭代频繁,场景复杂,日常有大量异常处理、开发调试需求,需要登录线上环境。大量ssh登录操作,给线上环境带来数据安全风险、稳定性风险。 传统的一些风险控制措施,如:实名制登录、收敛用户权限、操作记录审计,大多数企业都有落地实践,但收效有限。
我们自研了SecBash方案,通过禁止任意文件操作,禁止任意命令,禁止任意网络请求,创造一个安全受限的环境。该方案保留了极高的自由度,满足日常登录线上机器的需求,又限制了风险操作。限制了误删文件,中断程序运行,绕过上线规范流程等影响线上稳定性的行为,规避了恶意请求接口,恶意操作线上文件、数据库等行为的安全风险。我希望通过分享我们的实践方案,给其它企业带来启发,落地类似的新方案保障线上主机操作安全。
直播地址:数据安全分论坛将于9月1日正式开始,进入CCS大会官网,点击云上大会,注册成为正式用户,即可预约直播。
更多精彩玩法和功能即将上线,“云上安全新形态,拥抱数字新未来”,2022CCS成都网络安全大会正火热进行中,赶快进入大会官网尝鲜!