诸子云 | 活动：4.27南京「金融&互联网」私董会

4月27日，第四期私董会在南京顺利举办。活动以“金融&互联网”为主题，邀请十余位业内资深的甲方用户以及典型厂商代表。摒弃传统的议题分享，采取“随时问答，自由讨论”的形式，提问题、说干货、讲段子、吐真言。

本场活动召集人为诸子云南京会长宋士明。受邀嘉宾有弘业期货、希音、南京证券、江苏省联合征信有限公司、江苏电信、新视云、星图金融、中兴通讯、江苏省联社、华泰证券、南京华通科技、南京银行的安全专家，以及天空卫士华东区技术总监冯文秀，海云安华东区总监纪东辰。

现场专家们围绕互联网行业中的话题展开了讨论，并以各自经验，分享了宝贵的认知和学识。

以下是一些大家重点关注的话题：

对于话题1，天空卫士华东区技术总监冯文秀表示，首先要做好对数据资产的管控和识别，然后基于标准化要求，或按时间段进行处理。而由于不同业务部门对数据资产生命周期的要求不同，所以可以在数据扫描后对其进行加密。其次，在加密数据以后，可以将数据集中存储在某个设备，并对数据原出处加以标识，然后再于所包含的文件里阐明公司制度和策略，若业务部门需要用到这些数据，就必须遵守公司的这种管理流程，经过审批后，才可以从这集中存储的设备里将数据释放，以为业务部门所用。

对于话题6，冯文秀表示，数据本身的产生、使用，以及价值，需要在业务流转中才能被体现，因此数据安全不是只靠安全部门就能做好的，其离不开各业务部门的配合。随着IT架构的不断发展，移动办公、远程办公、云服务等场景不断拓宽，大量的数据产生在各个环节和领域，如果仅把这些数据存在数据库中，根本产生不了与其相应的价值，所以组织就需要数据在场景中进行流转，结构化数据也因此转变为了非结构化的形态。

冯文秀指出，90%以上的核心数据资产都会以非结构化的形态进行流转，从目前的技术手段来看，其离不开基于内容的识别，而过去只通过网络接口的管控方式，无法满足当下对于数据安全的要求。以某次合作为例，天空卫士的产品能对图片内容进行识别，最后追溯出是谁在公司内部泄漏了图片，通过其独有的策略，天空卫士还查出了相应的时间、途径、发送对象等。

对于非结构化数据的脱敏，天空卫士在其上的技术是非常领先的，excel、PDF、word等都能覆盖，同时天空卫士还有相应的解决方案。

对于话题4，海云安华东区总监纪东辰表示，在当下敏捷开发的这种模式下，开发安全的核心在于安全左移，即将安全制度和策略落实到设计、编码、测试等一系列上线前的阶段，通过开发端来完善最初的安全机制。如此，就不会在产品上线后被爆出各种高危漏洞，而到了运维端，则可以更多地去关注，上线后有无新漏洞。

纪东辰强调，安全左移涉及了责任的划分，即明确了开发端和运维端各自的责任。现实中，漏洞的成因更多会归结于“人所写出来的代码”，因此理所当然，更重要的安全策略应该应用于开发阶段。而到了运维端，安全工作更聚焦于发现和解决，或者说安全工作更多是通过内部协调告知该如何修复，比如对于某些组件的更新，会有相应的官方说明，安全人员会及时通知开发部门进行更新。而对于父子组件所涉及的问题，就是所谓的“大组件没问题，小组件出现了某个漏洞”，其同样也应该在开发端就进行处理。

从DevSecOps体系的建设思路来看，安全机制要落实于最初的产品设计阶段，从编码检测，到组件检测，再到动态测试和渗透测试，其重点是要在产品上线前，就将安全贯彻到这每个开发流程中。与此同时，还要为其设计安全门禁，即某一阶段的安全性能若不过关，就无法开始下一阶段的开发工作。相应地，除了倒逼研发要遵守这样的安全制度外，安全人员也应该对开发部门进行培训，让他们具备更完善的安全意识。