2023超级CSO年度评选：直播回顾

（受篇幅限制，本文仅对各个分享作摘要总结，了解详细内容可通过“安在视频号”观看完整直播回放。）

刘歆轶 非夕机器人信息安全总监

ISO/IEC42001是一项国际标准，规定了在组织内建立、实施、维护和持续改进人工智能管理系统（AIMS）的要求。它专为提供或使用基于人工智能的产品或服务的实体而设计，确保负责任地开发和使用人工智能系统。

ISO/IEC42001附录A标题为“控制手段及目标参考”，包含了人工智能相关政策、内部组织、评估人工智能系统的影响、人工智能系统的使用等内容；附录B标题为“人工智能控制实施指南”，其针对附录A中的各项内容，给出了具体的建议和解读；附录C的标题为“涉及人工智能的组织中的潜在目标和风险源”；附录D的标题为“跨领域或部门的使用人工智能管理体系”。

郭惠龙 某半导体科技公司信息安全部部长

在互联网、新能源、半导体等新兴产业发展与企业数字化变革中，同时伴随大数据、云化、AI等新技术的应用，信息安全与网络安全治理形式也迫在眉睫。

结合经典场景与案例，例如信息安全意识教育、办公终端与网络安全建设、第三方安全管理、泄密调查、工控安全、个人用户数据保护方案、安全技术服务能力框架、物理安全、权限管理、安全生态建设等实践与总结，来系统应对数据安全、网络安全、业务安全、合规与审计的风险。

组织应该建立从上至下的安全体系架构，同时在组织的各个部门中需要建立相应的信息安全BP。在安全治理方面，除了安全战略框架外，还要包含治理及管控模式、组织及人员职责、安全考核及评价体系、预算及成本管理。

最终实现在业务的快速发展中，敏捷识别围绕资产防护的关键风险，真正快速交付和实现安全价值

闫铎功 中控技术股份有限公司数科产品部副总裁

项目建设思路是采用SASE架构，构建一个以数据为中心、身份为边界的一体化安全架构。SASE项目典型应用场景包括移动办公访问业务、内网/总部访问业务、统一内网准入、实现远程安全访问、企业微信工作台能力融合。支撑SASE一体化安全项目落地的一些关键能力，包括了XDLP、端到端的全链路跟踪、自动化风险计算等。

SASE一体化安全项目价值总结：

楚春鹏 某医疗集团信息安全负责人

某医疗集团已形成安全体系建设，分别为安全管理体系、安全技术体系和安全运营体系。其中，安全技术体系包括安全通信网络、安全区域边界、安全计算环境、安全基础设施、安全物理环境。

安全通信网络的安全防护基本要求是安全审计、传输加密和网络通畅；安全区域边界的安全防护基本要求是安全防护、威胁检测、审计分析和纵深防御；安全计算环境的安全防护基本要求是基础环境安全和业务服务安全。

对于漏洞管理，楚春鹏会制作相应的表格和报告，让所有业务部门负责人都参与进来，并联系领导层，自上而下地推动制度落地；对于信息安全工具，集团具备了安全运营中心、漏洞扫描、文件审计、钓鱼测试等平台。

杨木超 上海数字安全科技有限公司副总经理

“数智云”安全运营平台的主要目标是开放安全生态、弹性安全资源、融合安全大数据。其核心技术分别为：多维异构时空序列数据智能分析技术、攻防实践智能化学习技术、基于IT孪生的攻防实践效能评估系统。

XDS是“数智云”安全运营平台的补充和增强，其核心能力包括了SOE-开放安全生态能力、BAS-持续安全效能评估、SOAR-安全自动化编程响应、DASP-动态/自适应安全、DRP-数字风险防护、SLM-安全大模型赋能。

其中，SOE-开放安全生态能力是重中之重，其能将安全产品、解决方案及工具等，以平台赋能安全聚合能力（SOAR、ASM、MSS等），打包成“安全集装箱”的模式，供应给云计算环境、边缘计算、IDC，以及特定行业应用业务的安全能力需求。

目前而言，上海数字安全科技有限公司的“数智云”统一安全运营平台已荣获先锋企业提名奖。

魏雪 鲁班电子商务安全总监

混合云环境下的数字资产风控管理系统架构分为管理层、应用层、数据中台层和数据接入层。其中，数据接入层包含了终端/主机安全、SOC/态势感知、漏洞扫描、公有/私有云等。而数据中台可对原始数据进行范化，萃取资产信息构建资产元素之间、资产和资产之间、资产和安全隐患之间的关系。

平台的核心技术和亮点，包含了IT与安全多源数据接入能力、多源数据融合分析能力、内外双视角的资产管理、资产变更监控与跟踪、构建资产画像、针对业务系统层面管理、漏洞全生命周期管理、个性化运营模式。

平台的管理效益体现在能理清家产，能长效监控，能做好安全预判；平台的经济效益体现在能设定KPI指标，具备自动化的能力，同时能进行闲置处理。

傅尹浩 上海电信网信安部总经理

数据安全管理平台的组成，包含了内容安全检测平台、安全智慧运营平台、数据安全管控平台、网络安全漏洞管理平台、ueba用户行为分析平台。其核心功能包括了数据加密、访问控制、安全审计和监控、异常检测和预警、合规性和风险管理等。

关于数据安全解决方案，其在识别能力具备敏感数据发现系统；在防护能力上具备数据加密管理系统、数据静态脱敏系统、数据动态脱敏系统、数据泄漏防护系统、数据库安全防护网关和终端数据泄漏防护系统；在检测能力上具备数据流转与监测系统、数据库审计系统、数据蜜罐系统、用户异常行为分析系统；在响应能力上具备安全响应系统；在恢复能力上具备数据备份系统；在反制能力上具备水印溯源系统。

平台运营建设包含了风险评估服务、应急预案服务、应急响应服务、应急演练服务和培训服务。

王春阳 富邦华一银行信息科技部信息安全专家

项目设计分为三个阶段。第一阶段，结合监管要求、行业现状、行内情况完成需求设计，包括外采数据类型、行内场景规划；第二阶段，结合需求，与其他团队制定安全组件模型及风险场景模型；第三阶段，设计并制定与行内系统对接方案、部署方案。项目涉及的安全组件包含了IPS、NTA、WAF、EDR、蜜罐、DBFW、堡垒机，分别对应着不同数量的规则。

项目系统安全运营效果分为两个部分，一是安全作业平台，二是月报，月报分为情报月报和安全月报；项目系统安全运营分为六大板块，分别为事件分析与处理、故障响应、系统升级、客户化定制、特殊保障和服务报告。其中，特殊保障方面，系统能在重大节日、国家及地区活动等特殊时期，提供安全运维提醒服务。

杨文斌 某电商公司安全专家

网络安全保险是以投保人信息资产安全性为保险标的的保险服务产品，对不确定的残余风险进行风险转移。区别于传统险，网安险追求过程管控、能力提升、快速应急。

投保流程框架，首先是保前服务，包含了评估方式、评估内容、评估模式；其次是保中服务，包含了网络风险状况实时监测能力、第三方技术服务能力、风险控制服务内容及服务能力、把控重大网络安全事故能力；最后是保后服务，包含了降低损失范围和损失影响、快速应急响应能力和理赔服务。

网络安全保险可以发现甲方安全需求、安全场景、安全痛点，同时也能对接供应商的安全产品、安全方案、安全服务，通过汇聚、筛选、匹配，最后整合资源，建立生态。对甲乙双方达到的效果是：积累基础数据、服务成效监管、行业标准安全方案、规避恶性不良竞争、市场实践反馈、优化核保理赔模型。

王荣禄 某芯片设计公司信息安全架构师

安全认知上的两个错误观念：1、我都没联互联网怎么会中毒呢？2、职位越高，权限越大。

安全意识培训是所有安全建设中最难的，最不容易见效的，因此需要做好“多管齐下”，包括每年的全员安全意识培训、邮件钓鱼测试、安全知识竞赛、在公司期刊开辟专栏宣传，以及安全制度宣贯、 “收款账户变更套路详解”等专题培训。

与HR沟通，将参加安全意识培训纳入考核，每人每年需要接受一定课时的安全意识培训。

王荣禄最后总结：条条道路通罗马，安全意识培训不要拘泥于单一形式，只有多渠道、反复地宣贯，才能在潜移默化中，加深员工对安全意识的认知；对安全培训而言，天时、地利、人和缺一不可，做好安全意识工作离不开业务需求、合规驱动以及老板的支持；最后，道阻且长，行则将至，安全意识培训这条路任重道远，但只要坚持不懈，就一定能有所收获。

周乐坤 某互联网企业应用安全专家

在全球化与数字时代交织的背景下，企业DevSecOps遭遇诸多挑战，涉及跨境合规、多区域安全管控、技术生态兼容、供应链管理复杂性和跨文化安全文化的构建。为应对这些挑战，需全面策略：

周大斌 某高科技制造企业CSO

安全建设是一项系统性的工程，强调体系的完整性与管理的闭环性。在体系构建上，首要的是构建一个层次分明的管理架构，实现总部与分子公司的协同运作，确保网络安全政策在组织内的整体一致性。针对治理，强调双闭环的实施，一是网络安全管理标准的完善，通过规章制度确保合规性；二是技术标准的持续演进，提升系统防御能力。

在运营环节，我们侧重关键业务领域中的动态防卫和协作应对，制定明确的作战路径规划，以确保在网络安全事件中的有效反应和快速恢复。信息安全能力的核心是以集约化、体系化和实战化的视角来提升：

集团化管理保障能力：通过顶层设计理念，我们将从被动防御转向主动防护，从静态保护升级到动态保障，从单一防护扩展至多维度联防联控，以实现全局的保护策略。

体系化技术保障能力：通过对当前安全管理现状和基础、运营安全的深入剖析，结合风险评估矩阵（包括影响因素、紧迫性、投资成本、风险级别和实施难度），我们制定切合实际的策略，确保技术防护体系的优化和升级。

实战化运营保障能力：以“事件”为导向，设定清晰的“十五字核心安全目标”，进行前瞻性规划，秉持纵深安全和主动防御的理念。建设包括防护、预警、保障、恢复和溯源在内的全方位安全能力，推进网络安全能力的梯度提升，以满足当前和未来的挑战。

在执行层面，我们将确保每一步落地策略都精准对应问题、具备可行性和必要性，并与整体安全规划紧密协同，形成一套完整、高效的网络安全实施方案。这将有助于我们有效应对网络安全的各类挑战，提升组织的安全防护水平。