酷应用

贝壳找房2020 ICS安全技术峰会演讲回顾（内含PPT）

百家作者：贝壳安全应急响应中心 2020-12-29 19:37:45

贝壳找房2020 ICS安全技术峰会

于12月18日华丽落幕

七大精彩议题围绕产业互联、安全破局展开

汇聚行业头部企业安全负责人和专家

共同探讨产业互联网趋势下的安全发展之道

让我们随着本文共同回顾大佬们的精彩演讲

文末附部分演讲嘉宾PPT供大家学习参考

产业互联网安全探讨

《产业互联网信息安全的挑战与破局》

围绕产业互联网安全建设，贝壳找房安全和风险中心负责人吴玉洁在演讲中分析了产业互联网安全面临的挑战与破局之道。站在安全的视角看产业互联网，存在着线上数据流程不闭环、交易过程中信息保护难度更高、信息更易于被滥用等安全挑战。吴玉洁认为，产业互联网安全的破局，在于认知拉齐，体系化开展安全建设，安全、风控、业务融合，站在产业互联网持续健康发展的视角，以创新和变革促进企业发展。

《产业互联网安全，我们只是在探索》

腾讯应用运维安全总监胡珀认为产业互联网其实就是把互联网应用到传统行业，在传统行业当中去把它的过去线上的业务线上化，这就是产业互联网。胡珀详细讲解了腾讯在产业互联网安全建设上做的探索，从TSRC到腾讯云，从内生安全到外部能力输出，深入浅出的介绍了腾讯在产业互联网安全建设上的经验。

《从过去看未来，贝壳产业互联网安全建设思考和实践》

贝壳找房平台安全负责人章华鹏在本议题中聊到从整个互联网安全发展过去二十年的变化来看，毫无疑问对抗一直在持续升级，今天我们所面对的不仅仅是入侵、网络攻击，更大的挑战是来自复杂的商业竞争驱动的对抗和用户日益增长的安全诉求。贝壳安全核心目标第一是保障平台的业务和安全能力，第二，我们需要把我们的能力深入，改造我们的行业，赋能B端。围绕上述安全定位，贝壳找房采取了一系列安全防范措施，包括建立内生安全防护体系、实现B端链接赋能、基于零信任的网络无边界安全建设等。

圆桌思维碰撞

数世咨询创始人李少鹏、清华大学网络与信息安全实验室主任段海新、腾讯安全副总裁方斌、中国产业互联网联盟秘书长雷晓斌、贝壳找房安全和风险中心负责人吴玉洁等嘉宾共同探讨和展望产业互联网视角下网络安全的机遇和挑战以及企业安全新的建设方向。专家们一致认为，安全保障及安全产品服务是产业互联网的重要组成部分，为了建立更牢固的安全屏障，互联网企业应当建立实战防御能力和应急响应机制，开展网络攻防演练，形成行之有效的整体防御体系，为企业高速发展保驾护航。

前沿应用技术分享

《小米 AIoT 安全思考与实践》

小米信息安全与隐私部负责人王书魁在下午的议题中分享了小米AIoT1.0到AIoT安全体系4.0发展历程。安全体系不断的在做升级、技术也在持续地进化，安全逐渐的变成一个生态，或者说它一开始就是个生态，希望团结各方以最佳的实践和规范的标准，包括SDK工具等方式，一起去打造更加标准化的体系，能够输出给内部的团队，也能够输出外部的公司，甚至还能够输出整个的产业和整个生态。

《攻防演练中的攻击战术演进与企业应对之道》

长亭科技首席安全研究员及联合创始人杨坤根据长亭多年红队建设过程展开分享攻防演练中攻击方的各种含金量较高的攻击方式，并在企业应对中分享三点心得：一是建设一支在技术层面拥有多元化技术方向和挖掘能力的一支研究队伍。能够去找到主流的应用软件和国内的软件问题；二是要有一支红队能持续的在一线去锻炼队伍，能持续的练习；三是要有很强的工具能力。长亭最近也开放了一个工具xray，已经成为红队的标配工具。

《DevSecOps的落地实践及思考》

京东基础安全架构师李宝分享中说到最初，京东安全采用很多企业广泛使用的SDL（安全开发全生命周期）技术框架进行安全管控，在软件开发流程的各个阶段引入安全和隐私问题。但随着业务的发展速度加快、业务变化和复杂度不断攀升，问题逐渐显现，一套新的、能够自动化发现安全问题的DevSecOps技术框架就出现了，它不仅从开发端最大程度地减少问题，也要能够在应用上线后出现漏洞时，快速敏捷地解决问题。

《安全风控之客户端技术实践分享》

字节跳动安全工程师李智则表示风控技术客户端安全能力和素养，首先要掌握开发的基础能力。其次，要对一些操作系统的底子做一些调研能力，而且要理解黑客的攻击原理，这样也是属于我们在攻击调研的时候一种属于黑科技的良缘。其次是手法出其不意，如果你的套路过于传统，基本上黑客能猜出你的方法，剩下的事情就很简单。

附部分演讲嘉宾PPT链接：
链接: https://pan.baidu.com/s/1Cuk-d5QvRu2knVsyfU6QqA
密码: 73a5