本论坛将于CNCC2019中国计算机大会第三日(10月19日)在苏州金鸡湖国际会议中心A207 会议室举行,共邀中国信息安全测评中心、国家计算机网络与信息安全管理中心、蚂蚁金服、北京摄星科技有限公司、四叶草安全等单位的专家与你探讨。
伴随着云平台、大数据、IOT、人工智能等技术的不断发展和进步,新的安全时代随之到来。新技术在各行业信息系统中的不断应用,传统的信息安全评估标准和规范也需要更新迭代。信息安全风险评估是信息安全保障工作的基础和重要环节,网络安全风险评估是网络安全的前提和基础。信息技术的发展和互联网应用的普及,让网络和信息系统面临着前所未有的威胁风险。利用黑客手段窃取商业秘密也屡见不鲜,由于信息资产自身的脆弱性,使安全事件的发生成为可能。优化并应用风险评估关键技术,能在提升管理效果和管控水平的基础上,升级整体网络运行体系,也为信息安全产业的发展有积极推进的作用。
本专题论坛旨在探讨如何更加有效的对新时代的网络运行环境、应用环境、数据架构等基础设施进行全方位的风险评估工作,从网络攻击手段、攻防评估体系等角度分享时下最新最全的研究与技术动态。
报告人:论坛主席,马坤
报告一:《暮色中行进的干将莫邪》
报告摘要:国家级攻防对抗中的水库攻击与内网渗透,用一个个的对抗案例介绍精彩的攻防对抗过程,接着把攻防思路拉到了IoT的渗透上,从IoT设备的发现、到IoT的漏洞挖掘,再到IoT在渗透测试中的奇淫技巧。最后介绍如何从“量子”防御开始以攻触防,站在攻击者视角,从黑客行为出发构建防御体系。
报告人简介:西安四叶草信息技术有限公司创始人,国内顶级信息安全专家,CSA云安全联盟大中华区协调顾问、中国信息产业商会信息安全产业分会副理事长、陕西计算机学会网络空间安全专委会常务委员、陕西省信息网络安全协会副理事长、陕西省互联网协会副秘书长;中国第一代“黑客”,F.S.T(火狐技术联盟)创始人之一、HUC(中国红客联盟)核心成员。
报告人:孙明亮
报告二:《风险评估标准体系发展、产业应用与实践前景》
报告摘要:风险评估作为信息安全行业重要的技术手段,得到国家法律、法规、政策高度重视,系列国家、地区、行业标准得到广泛应用。随着几十年的发展,风险评估应用的技术手段不断推陈出新,但同时也暴露出各行业、地区发展不平衡等特点;风险评估系列标准发展缓慢,应用场景的变化带来对标准应用的冲击,风险评估服务质量的评价方法缺失等突出问题。风险评估未来在各行业的应用前景值得我们关注,针对存在的问题,急需从政策、法规、标准层面协同处置,建立科学的风险评估服务质量的评价方法势在必行。为此提出风险评估服务能力的评价方法风险评估服务能力成熟度模型(RAS—CMM)。
报告人简介:中国信息安全测评中心信息安全行业高级专家 、信息安全人才培养高级专家、北邮博士、全国信息安全标准化委员会专家、WG5、WG7、BDS组专家、国家标准—灾难恢复服务能力评估准则、信息安全技术、系统安全能力成熟度模型负责人。
报告人:高强
报告三:《关键信息基础设施安全检查探索与实践》
报告摘要:从近几年开展的关键信息基础设施网络安全检查工作实践出发,结合即将发布的《信息安全技术关键信息基础设施安全检查评估指南》及相关试点工作,对关键检查工作思路、方法及相关技术进行分享。
报告人简介:CNCERT网安三处副处长,高级工程师,毕业于中国科学院计算技术研究所,2009年7月进入国家计算机网络与信息安全管理中心,长期从事网络信息安全工作。近十年来,作为中央网信办、工信部、银监会技术支撑专家和CNCERT/CC检查组组长,带队检查/检测31个省、市网络单元和信息系统1000多个,主持风险评估项目200多项,申请国家发明专利3项,参与制定通信行业标准2项,获得PMP、CISP、信息安全等级保护高级测评师等资质。
报告人:王珉然
报告四:《企业网络安全的需求变革》
报告摘要:身处于AI、大数据、万物互联的时代。所有技术的变革都非常的快。而对于提供这些科技变化的企业来说,其安全服务所需要的变化也是随之更新的。无论是从形式还是从度量标准上,都有着很大的不同。演讲者将从其多年行业的观察,分享从企业视角来说,所需要的安全评估服务及其对应的演变。从之前主要的两种类型(漏洞发现安全评估、合规类安全评估)变更更多类型(APT渗透测试、威胁量化、情报等)。形式上从单一项目的代码审计、漏扫、安全测试、众测,变为更复合、更独立的模式。企业的需求上的变化(单一项目、合规过审)往整体安全、行业定制化、实战化、长期化、新型化变化。要求的结果也不单纯的是漏洞产出和合规报告。横向纵向的对比,评价体系的建立、防御体系的弱点评估等。
报告人简介:蚂蚁金服高级安全专家。在互联网企业安全行业有着近10年的从业经验。
报告人:陈彪
报告五:《构建以资产为核心的漏洞治理体系》
报告摘要:
1、以资产安全为核心资产安全管理,维护最新状态的资产列表,自适应漏洞治理策略和动作,在风险和响应、成本之间取得平衡;
2、以数接入内外部大量安全数据源,并进行数据治理,长期积累的数据处理的方法和业务模型,数据与业务松耦合,输出精准的安全数据据为驱动;
3、打造漏洞治理日常安全运营平台,自动化和流程化的能力提升安全运营效果,支撑管理规范和制度的落地。
报告人简介:北京摄星科技有限公司CEO,20年网络安全从业经验,长期为监管机构、运营商和金融行业提供风险评估、安全咨询和漏洞管理产品,2008年奥运会奥组委技术部安全专家。
