诸子云 | 活动：4.20-21深圳「互联网行业」「高端/智能制造」私董会

4月20日至21日，第三期私董会在深圳顺利举办。两场活动分别以“互联网行业”和“高端/智能制造”为主题，邀请十余位业内资深的甲方用户以及典型厂商代表。摒弃传统的议题分享，采取“随时问答，自由讨论”的形式，提问题、说干货、讲段子、吐真言。

本场活动召集人为某制造业安全专家肖波。受邀嘉宾有深圳高灯计算机、中电港、平安壹钱包、滴灌通、云天畅想、大参林医药集团的安全专家，以及天空卫士高级安全顾问谭文杰、区域销售总监程金涛。

现场专家们围绕互联网行业中的AI安全、数据跨境、供应链安全、云上安全等话题展开了讨论，并以各自经验，分享了宝贵的认知和学识。

以下是一些大家重点关注的话题：

对于话题3，天空卫士高级安全顾问谭文杰建议，企业在其内部不要落地那些所谓的大而全的解决方案；其次，不要依赖同一个安全工具，因为没有任何一款安全工具能够面面俱到；第三，不能仅靠IT部门来管理整个公司的数据安全，因为IT部门并不了解业务的流转和逻辑，需要法务部、领导层、各业务部门以及合规等部门的共同参与。

本场活动召集人为某高科技制造企业CSO周大斌。受邀嘉宾有麦克韦尔、康佳、杰美特科技、格力电商、东莞丰收自动化设备公司、滴灌通、luxshare-ict的安全专家，以及天空卫士南区技术总监黄军、区域销售总监程金涛，悬镜安全技术合伙人李浩、深圳办销售总监王飞雪。

现场专家们围绕制造业中的典型场景、安全风险、工控安全、第三方合规鉴证等话题展开了讨论，通过在不同视角下的解读，他们分享了各自在组织内部的经验和感受。

以下是一些大家重点关注的话题：

针对话题2，天空卫士技术总监黄军表示，企业国际化拓展与出海面临的数据安全、跨区域监管合规问题是一个必须面对的问题，特别是欧盟GDPR为代表的严苛的法律监管给企业带来巨大的数据安全合规风险。

企业需要与律所合作获取专业数据跨境/出境合规评估，以识别业务经营的合规状态与风险；同时也要采取必要的技术措施，建立对跨境、出境数据的监测、审计、追溯、防范等关键能力，从而从业务合规与技术合规两个方面更好评估及改进。

黄军还表示，天空卫士作为国内专业数据安全企业，在帮助国内企业国际化拓展出海、国际化企业中国总部以及分支机构的数据安全项目建设方面积累了很多经验。大家在选择对应的数据安全保护技术与产品时，要关注国际化部署的案例与成熟度、国内总部与国内/境外分支的集中与分布部署能力，产品是否通过GDPR评估，以及产品功能与技术特征是否符合国际用户的使用习惯、对于隐私保护的顾虑等因素。

对于话题2，悬镜安全技术合伙人李浩表示，国外GDPR非常看重软件里关于组件的授权问题，因此，对于一些向外出口的车企来说，可能会因为许可、授权问题而被执行“车辆召回”，其所带来的成本是巨大的。而悬镜提供的产品和解决方案可确保制造厂商内部每个供应商软件，从上线、发布、投产一直到灌装，都能杜绝类似的“许可风险”，同时还能保证制造厂商内部研发部门所使用的代码不会构成侵权，不会留下漏洞。

李浩认为，对于制造业来说，不可避免的就是产品出售，而产品所涉及的软件、配料表都需要一定的梳理，这样才能在出口时保证合规。就目前国外的监管背景来看，无论是GDPR还是类似于ISO 28001等供应链体系建设，他们对质量管控的要求都非常严格，这也是制造业所面临的痛点，即考虑到供应链安全，国外用户会审查制造厂商的软件构成，他们会想知道制造业厂商的产品组件是否都可控，其组件清单是否都清晰可见，动态加载或静态加载是否都有对应的说明，等等。换言之，就是会考验制造业厂商的供应能力。

对此，悬镜提供的产品能对各类型自研和第三方交付的软件产品进行供应链安全审查，包括使用的组件信息、版本信息、许可证风险及动态运行时加载的第三方组件等，输出SBOM清单及安全审查报告。对于存在高危组件风险的交付物，需要整改并复审后方可接收；并且利用SBOM清单建立供应商软件资产管理，结合悬镜供应链事件情报订阅，及时下放风险预警，确保实现产品出口是完全合规的。也就是说，悬镜能为制造厂商的供应链上下游、生态系统、资产的全链条及软件成熟度带来较好提升。

李浩表示，当下的数字化和智能化都离不开软件。另一方面，在GPT技术的加持下，AI与供应链也会面临数据投毒等风险，这也将是悬镜接下来的重点研究方向。

针对话题3，悬镜安全技术合伙人李浩指出，数据安全治理包括数据的收集、存储、处理、传输和销毁等所有环节，而不同类型的数据需要不同级别的保护措施。悬镜安全的产品提供了数据分类分级、敏感数据追踪及自定义合规监测配置能力，这包括在应用间传递的敏感数据进行全程追溯，实时监控敏感信息的流动和使用情况，通过悬镜的大数据引擎支撑大流量下的高效分析处理，帮助企业构建全面的应用内敏感数据监管机制，保障数据安全。