|
|
|
|
|
|
来源:www.aryasec.cn 发布日期:2025.07.21 点击量:
活动开场,本届颁奖盛典主办方,安在新媒体创始人张耀疆发表开幕致辞。
张耀疆在 2024 超级 CSO 年度评选颁奖盛典上表示,与业界同仁在此重逢深感荣幸,谨向为本次活动给予支持的各级领导、行业专家、合作伙伴、赞助单位及社群智囊团致以最诚挚的谢意。
他指出,近年受全球经济形势与技术变革的双重挑战,网络安全行业发展面临阶段性调整,呈现 "资深从业者持续开拓新赛道" 的行业特征,活跃于各类专业活动的多为深耕领域多年的安全老兵。令人振奋的是,行业同仁对安全事业的信念始终凝聚着从业者群体,在技术攻坚中彼此守望相助,展现出永不言弃的坚守精神。尤其值得关注的是,AI 安全、大模型技术等新兴领域正为行业注入创新土壤,既为资深专家提供了探索 "老经验赋能新场景" 的契机,也为新生代从业者开辟了 "新技术驱动新实践" 的发展路径,推动网络安全行业向新巅峰迈进。
针对行业发展,他提出四点倡议:一是坚守安全事业初心,切勿半途而废,珍惜多年技术积淀;二是紧跟时代浪潮,开拓视野勇立技术前沿,避免被数字化变革淘汰;三是突破固有边界,主动融入企业数字化转型进程,在新业务场景中实现价值;四是强化行业协同,积极参与安全社区生态建设,通过技术会议分享实战经验与前沿洞察。唯有如此,方能在行业再次繁荣时屹立潮头,实现从业者与产业的共生共荣。
中国网络安全审查认证和市场监管大数据中心(CCRC)培训与人员认证处副处长尤其也同时对本届评选活动进行了致辞。尤其因工作安排未能亲临第四届超级CSO年度评选颁奖盛典现场,特以视频形式向获奖CSO及团队致以热烈祝贺。
尤其指出,2024 年全球网络安全格局加速重构,欧盟网络认定法案与国内网络数据安全管理条例相继落地,推动供应链安全与数据治理进入新阶段。
特别值得关注的是,2024 年网络安全产业面临多重考验:经济下行导致超半数企业营收利润双降,合规市场内卷迫使企业转向能力型赛道,头部厂商加速平台化生态整合;人才短缺与职业倦怠问题凸显,一线团队在威胁升级与资源有限的困境中负重前行。在此背景下,他强调唯有创新与协作方能破局,并对 2025 年行业发展提出三点倡议:一是以 AI 驱动安全转型,将大模型深度融入威胁检测与智能决策体系;二是强化实战化能力建设,从合规导向转向攻防实效,通过 BIS技术构建动态防御链;三是培育产业生态韧性,推动隐私计算等前沿技术落地,依托超级CSO研究班深化人才培养与行业联动。
最后,尤其呼吁网络安全从业者以经验为基,在2025年继续秉持“无限可能,成就有你” 的信念,以技术创新打破边界,通过生态协作凝聚力量,共谱产业发展新篇章。
回顾本届评选活动,组委会从数十位自荐和推荐参选人中,经过认真审慎的资格认定和专家评审,选出十余位优秀CSO,作为2024(第四届)超级CSO年度评选的提名奖获得者。
基于提名,最终评出年度CSO人物奖,以及创新奖、项目奖、运营奖、团队奖。在此,组委会特别向各位获奖者表示衷心的祝贺,同时向他们过去一年里对中国网络安全在企业用户端的建设与发展,做出的贡献,表达诚挚的感谢。
本届评选活动不仅是对 CSO 群体过去一年耕耘付出的致敬,更是行业最佳实践与成功案例的集萃与凝练。为此,各位获奖代表分别带来了干货满满的经验分享,通过深度剖析典型场景与实战案例,将前沿思路与落地方法论倾囊相授。
《重要数据保护实践》
侯大鹏 纬景储能安全负责人
企业数据分级隔离安全管理解决方案通过创新融合零信任架构与传统终端安全技术,构建了高性价比的数据防护体系。该方案以“零信任动态防护+传统技术升级”双引擎为核心,在不改变企业原有网络架构的前提下,实现核心数据的分级隔离与安全流转,尤其适用于混合办公场景下的数据泄露风险防控。
技术层面,方案基于零信任SDP框架建立三层防护架构:客户端集成多重身份验证与设备指纹识别,作为统一接入入口;控制中心通过AI驱动实时分析设备状态、用户行为及数据敏感度,动态调整访问权限;安全网关则采用加密隧道技术,将业务系统隐藏于互联网之外,仅对授权终端开放指定应用端口,有效抵御网络层攻击。同时,复用企业现有的桌面管理系统(EDR)和数据防泄漏(DLP)模块,通过设备合规检查、外设管控、文档水印等技术,形成“终端准入-行为监控-数据溯源”完整链条。两类技术通过策略中枢实现联动,相较单一零信任方案降低60%部署成本。
方案性价比优势显著:一是采用轻量化部署模式,支持云化服务或本地化部署,企业可根据数据规模弹性扩展;二是模块化设计允许优先保护核心业务系统,较传统网络隔离方案节省40%以上改造成本;三是运维端通过统一管控平台集中管理,减少50%运维人力投入。实际应用数据显示,该方案可将数据泄露事件发生率压降至0.01次/千终端,漏洞响应效率提升70%,在满足等保2.0要求的同时,实现安全防护与成本控制的最优平衡。
《全球制造业企业信息安全技术和管理实践心得》
王思远 某全球汽车零部件企业信息安全负责人
某全球汽车零部件企业信息安全技术体系以“分步实施、急用先行”为原则,构建了覆盖规划、设计、落地的全生命周期防护框架。体系基于工业互联网安全框架,打造6横4纵安全技术架构,从终端、网络、应用、数据、控制和物理6个维度进行分层部署纵深防御能力,并通过红黄绿蓝分区分域策略实现差异化管控。
分区分域设计是企业预防外部攻击和内部数据泄密的核心措施:红区(研发)采用物理隔离与严格审批审计机制,保障绝密数据安全;黄区(生产)通过防火墙、VDI和堡垒机实现逻辑隔离,平衡效率与安全,管控机密数据,保障生产系统不会遭受勒索攻击;绿区(办公)以效率优先为主,通过事前防御+事中监控+事后审计机制,对秘密数据外发进行管控。针对生产环境特殊风险,部署微隔离方案限制机台设备东西向威胁扩散,并设置安全隔离区对新入网设备进行威胁监测,阻断带毒入网风险。
数据安全体系贯穿采集、传输、存储、使用、销毁全生命周期,结合动静态脱敏、加密、水印及备份恢复等技术,配套DLP、终端加解密软件、数据库审计、数据加密脱敏、数据安全网关等工具,实现敏感数据分级管控。针对勒索攻击,构建网络层防入侵、终端防扩散、存储联动恢复的多级防护,降低业务中断影响。
实施层面采取三阶段路径:短期聚焦重大风险整改与隐私治理;中期完善网络隔离、安全产品部署及运营体系;长期转向主动防御,实现全网监控与响应。组织上建立“三道防线”,业务部门、信息安全团队、内审部门协同监督,并通过年度风险评估、季度检查等机制持续改进。
安全体系需要结合业务场景,兼顾合规要求(TISAX、ISO27001、ISO27701)与业务连续性,通过技术产品标准化、管理制度化、流程常态化,为企业数字化转型提供安全基座。
《重生之我在平行空间做安全》
李诣博 某集团金融公司数据安全治理专家
新入职者需快速适应身份转变,明确自身职责定位,深入理解公司多元业务与安全需求。通过主动观察、调研和跨部门沟通,识别核心安全漏洞与业务痛点,建立与关键部门(合规、风险、法务等)的协作网络,形成“虚拟安全共同体”。同时强调需对接监管机构、上级单位及股东方,争取政策与资源支持,为安全工作奠定基础。
其次,安全人员要具备“以公司利益为制高点”的全局观。工作原则遵循“先独后合、先文后武、先急后缓”,优先通过管理措施与流程优化解决高风险问题,再逐步引入技术手段闭环。顶层设计需结合公司战略,搭建“四梁八柱”框架——以合规、技术、流程、文化为支柱,覆盖数据防泄露、入侵防护、监测评估等模块,并强化宣教与绩效考核,形成资源协同的可持续发展模式。
同时,安全工作的常态化与危机应对能力也是缺一不可的。通过“日拱一卒”的持续优化,将安全防护融入日常业务,避免运动式治理。面对危机需冷静整合资源,要以“置于死地而后生”的韧性寻找突破。还要注重成果转化,定期总结案例经验,向管理层与市场传递安全价值。最后,结合数据安全管理实务,细化职责划分(董事会责任制)、数据分类分级(客户/业务/经营数据)及使用评估流程,并列举报表系统、终端外传、云共享等主要泄露渠道。
本届颁奖盛典获得了多家厂商机构的鼎力支持与赞助,包括指掌易、观安信息、安言咨询、普惠数码科技、vivo 等。在此,组委会向所有合作伙伴的热忱支持致以诚挚谢意。与此同时,各伙厂商代表在活动现场依次展开分享,通过深度解析厂商侧的成熟解决方案,为企业网络安全创新与体系建设注入了兼具前瞻性与实操性的创新思路与实践路径。
《大模型安全护栏》
李雪鹏 观安信息人工智能产品部副总经理
观安信息大模型安全护栏体系以技术链与应用链为核心,构建三层递进防护架构:
在大模型建设安全层面,构建内生防护体系:训练数据端建立合规获取、标注安全、增广合成的全流程管理,通过多维度过滤防数据投毒;算法模型端采用对抗训练增强鲁棒性,以检索增强生成和思维链技术缓解 "幻觉",通过特征属性分析提升可解释性;系统平台实施安全开发生命周期管理,强化供应链管控与漏洞检测;业务应用端部署输入输出护栏,通过显隐式水印实现 AIGC 内容溯源,构建账号风控体系。
针对第三方模型调用安全,建立分层防控机制:整合第三方能力时,通过供应商安全评估、输入输出动态监测、模型微调加固形成风险缓冲,利用 SCA 工具检测组件漏洞;员工使用场景实施数据分类脱敏、API 调用审计与沙箱隔离,构建私有化部署体系;AI 辅助代码生成环节强化代码审查与自动化扫描,通过依赖库白名单与相似性检测规避知识产权风险,集成安全中台能力。
服务输出安全维度构建全链条防御:针对提示注入等恶意行为,部署毒性词检测与动态隧道加密,通过对抗样本检测阻断错误推理;业务合规领域建立多层级内容审核,实施权限分级与行为画像,以监督微调确保价值观对齐;网络攻击防御端隐藏服务端口,强化 TensorFlow 等组件漏洞管理,形成 "预防 - 监测 - 处置" 闭环,通过三级架构实现从研发到落地的纵深防护。
《企业移动终端安全盲区:CSO必须应对的三道难题》
李源 指掌易解决方案专家
指掌易掌上制造移动业务安全整体解决方案可解决三大难题:其一,针对传统 MDM 在移动端管控的局限性,如厂区手机防拍照场景中传统物理限制或软件托管存在的失效风险,方案通过在核心区域部署信号法器,结合扫码触发摄像头禁用机制,配合 5G、蓝牙 NFC 等技术实现无感准入管理。该方案已在半导体等制造企业落地,年中还将发布融合工业 5G 的升级方案,解决终端托管失效问题。
其二,面对移动办公攻防态势复杂化,方案聚焦 OA 审批、邮件等典型场景,通过隔离企业应用与个人环境,结合自由化应用市场搭建与准入控制,既突破传统网络物理隔离的限制,又规避终端纳管风险,可有效应对社工钓鱼、SDK 后门等新型攻击手段,保障移动办公数据防泄漏。
其三,针对零信任在移动端认证闭环缺失的痛点,方案通过多层网关技术隐藏业务端口,将控制层与数据层隔离,区别于传统 VPN 协议。例如针对钉钉等平台公网地址暴露问题,通过零信任架构实现移动端业务入口的动态隐藏与安全接入,解决外部攻击跳板风险,完善企业零信任体系在移动端的落地闭环。
《一刻钟保障数据权》
董永乐
安全漏洞防治SOP订阅是针对企业漏洞管理痛点的标准化解决方案。方案以标准作业程序(SOP)为核心,提供经过验证的漏洞处置手册,覆盖高危漏洞修复全流程,包含确认漏洞、安装补丁、优化配置、确认漏洞修复结果等标准化操作步骤。服务采用订阅制模式,基准包为300到1,000个SOP等多种规格,重点针对CISA已知可利用漏洞、腾讯云高危必修漏洞、监管通报漏洞(如"两高一弱")等,每月更新SOP并支持3日内应急响应订阅范围内的危急漏洞。
方案通过"标准化+定制化"双轮驱动降低技术门槛。基础SOP包含已验证的通用修复流程,同时提供环境适配、私有系统定制、自动化编排等增值服务。典型应用案例显示,某金融机构使用18个SOP在48小时内完成49个高危漏洞修复,涉及85台服务器,成功通过集团监管检查。方案核心价值体现在将平均修复时间缩短60%,通过标准化操作步骤有效规避误操作风险,并形成可审计的处置记录。
除SOP订阅外,用户单位还可以选择配套安全漏洞防治服务,包括漏洞情报精准推送、修复加固、攻防演练、渗透测试等,以及针对特殊场景的PoC验证脚本定制、私有系统加固方案设计、自动化Playbook开发支持等深度服务。
安全漏洞防治SOP已应用于银行、保险等多个行业,帮助客户建立漏洞修复质量基线,转向标准化运营。
2025年是AI更为火热的一年,面对这个各行各业都被AI所赋能、所覆盖的时代,网络安全人员该如何更好的适应?AI大模型与安全之间又有着怎样的联系?对网络安全行业的前景又会有怎样的影响?带着这些问题,本届评选活动特邀安在新媒体合伙人、安在新榜年度报告出品人张威,观安信息人工智能产品部副总经理李雪鹏,维信金科安全负责人汤加贝,以圆桌论坛的形式展开了深度的讨论。主持人为董永乐。
张威:当前AI安全领域呈现多元主体入局的活跃态势:传统安全厂商加速产品研发,甲方企业积极落地AI安全实践,非传统AI厂商也跨界切入,其思路与传统安全厂商存在显著差异。从甲方需求看,核心期望AI在威胁检测防护、漏洞挖掘等方面发挥作用,但当前市场批量性产品仍较稀缺,更多集中在安全运营与AI运营场景——企业内部自建知识库生成报告,厂商则提供数据处理分析等赋能服务,不过业内认为此模式尚未充分释放AI安全的潜在价值。
投资视角下,底层大模型赛道已被豆包、DS、GPT等巨头占据,中间层的智能体和编排因被视为最终会并入大模型而不被看好,唯有端到端的交互性AI被视作突破口,即聚焦特定领域痛点提供直接解决方案,类似大众点评为用户精准匹配服务的模式。这一趋势可从印巴冲突中得到启示:巴基斯坦歼十战机击落六架阵风的关键,并非单一装备性能,而是后台数据链的协同能力,类比到安全领域,未来企业即便采购了诸多单项强大的安全产品,若缺乏后台数据链的整合联通,仍难以实现安全能力的最大化交付,这也指向AI安全未来发展需更注重体系化协同与价值闭环。
一句话总结:点对点,以结果为导向的AI安全应用才是未来的趋势。
李雪鹏:大模型安全需从国家、企业与C端用户三个维度协同考量。国家层面在中美AI底层竞争中聚焦大模型安全,通过推动合规高质量数据集建设与数据要素保障体系,夯实大模型发展的底层安全基础;企业层面因大模型改变传统数据使用模式(如文档传输与信息获取方式革新),面临内部数据泄露风险,需强化企业数据安全防护体系,防范核心信息在大模型应用场景下的流失;C端用户尤其需关注老人与孩子等群体,其在使用大模型时可能因认知差异泄露银行卡密码等个人隐私或家庭敏感数据。总体而言,随着大模型普及,其输入输出环节的数据安全将在国家竞争、企业数据权保护及个人隐私防护等层面引发系统性变化,需构建多主体协同的安全治理体系。
一句话总结:AI 安全的本质内核是数据安全治理,因此需以 AI 技术赋能数据要素价值释放,通过驱动社会生产力的范式革新,为新一轮产业变革注入核心动能。这一进程既需构建覆盖企业数据资产、个人信息权益、国家数字主权的全维度防护体系,更要以数据安全合规为基石,推动数字经济与实体经济深度融合,最终实现技术创新与安全保障的协同发展,夯实社会数字化转型的可持续发展根基。
汤加贝:今年年初,以DS为代表的AI技术与哪吒国漫电影呈现出相似的爆发态势:二者均以“突然爆红”的姿态引发全民参与热潮,在资本助推下快速实现从国内市场向国际舞台的拓展,且均因热度高涨而不缺投资关注。如同哪吒电影在国内创下152亿票房奇迹后,海外市场仅收获5亿票房、远低于200亿预期的落差,当前AI技术的爆发式增长亦需警惕“狂热背后的冷静期考验”。这一类比启示我们:短期热度并非价值的终极衡量标准,AI技术的长远发展需摆脱对流量泡沫的依赖,以持续创新夯实技术内核,并在国际竞争中构建真正的核心竞争力,方能在热潮退去后实现价值的长效释放。
一句话总结:AI时代下,各种人力虽然会被替代,但对于网络安全人员却满是机会。
由数千位甲方安全从业者参与调研、安在新媒体连续六年编撰的《中国网络安全产品用户调查报告》始终备受业界瞩目。在本次评选活动现场,安在新媒体合伙人、安在新榜年度报告出品人张威对《2025 中国网络安全产品用户调查报告》完整版进行了导读。
作为连续第六年推出的权威行业报告,本次调研覆盖全国30个省市及自治区的3754家企业和机构,深入剖析网络安全市场动态、用户需求变化及产品应用趋势,并持续推出“中国网络安全产品用户大众点评全景图”“中国网络安全百强榜”等核心内容,为行业提供来自“甲方”视角的深度参考。
报告内容大致聚焦于需求侧、供给侧和产品采购。
国家层面,网络安全监管政策覆盖范围扩大,在数据安全、AI 安全、车联网等领域执法深度加强,驱动企业加速 AI 安全布局。企业端,数字化转型与外部经营压力导致人员裁撤,叠加 AI、量子计算等新技术应用,内部安全防护能力下降;同时地缘政治及外部攻击威胁加剧,整体安全风险攀升。预算方面,中小企业安全投入缩减,大型企业因外部压力逆势增加。报告预测 2025 年网络安全风险级别从去年 “入侵潜伏级” 上调至 “数据失控级”,并基于行业特性细分安全事件风险预测。
工控安全、数据安全产品延续高增长态势,车联网与 AI 安全成为用户关注焦点。但产品整体满意度降至 70.95 分,较去年下降 1.47 分,反映厂商服务能力不足与用户需求升级间的矛盾。报告据此发布 “口碑产品 TOP10” 与 “口碑品牌 TOP10”,聚焦用户认可度高的解决方案。
安全厂商全景图变动剧烈,兼并重组成为关键词,头部厂商趋向“大而全” 的一体化服务模式,中小厂商生存压力加剧。报告评选出 35 个品类的 “赛道王者”,肯定其持续领先的产品力与满意度;同时关注五年内成立的成长性与创新型厂商,为行业注入新鲜血液。最终报告形成十大结论,揭示行业在监管驱动、技术迭代与市场整合中的变革方向。
相关新闻:
