西湖美，白马湖更美，但牛君是来开会的。

西湖论剑·2015中国网络安全创新分享大会昨天召开，中央网信办协调局赵泽良局长发表讲话。赵局依旧脱稿而谈，记忆比较深刻的如下：

五中全会提出了创新、协调、绿色、开放、共享这样一个新的发展理念。这种理念对我们网络安全工作同样具有十分重要的意义。

首先，我们要树立创新的理念，让创新成为网络安全工作的基石。我们网络安全工作者的责任，就是既要用好先进技术，发挥IT技术的潜力，发挥互联网的优势，又能保证国家的安全，企业的安全，老百姓的安全，而不是说不用。这就要求我们要用创新的思路，创新的理念来应对。

新发展的五个理念里，有共享、有开放，我理解我们这里的分享就是和开放、共享密切联系在一起的。这就要求我们要坚持开放的理念，立足于全球化的环境，做好我们的网络安全工作。在新时期对外开放全球化环境下，我们做网络安全工作，一定是一个全球化的思维，一定是一个互联互通环境下的思维来做这些工作。

我们要更多的参与国际性的竞争，特别是参与国际规则的制定。我们要在国际的制度安排，国际的规则，国际的标准上更多的发出中国的声音。

赵局的讲话就回顾到这里，下面是上午主论坛的两个议题和牛君自己在下午的“人才与信息安全产业发展圆桌会”上主讲的《中国网络安全企业50强解读》。

01.互联网+时代的数据安全——阿里巴巴集团技术副总裁杜跃进

人人都说大数据重要，但同时很多人害怕大数据，指责BAT掌握大数据，甚至侵犯个人隐私。数据安全问题不仅仅是大公司的问题，“小”公司的问题也不小。阿里今天遇到的挑战，所有公司、所有行业未来都会遇到。

从计算机到网络空间的历程

数据的演变过程

互联网+时代的数据安全挑战

既然客户第一，那么都和你有关

从物联网到万物互联

我们都希望中国有一天在世界舞台站到中心的位置，但总是跟在别的人脚步后面，是无法做到的。

我们正在弯道超车，这个超车就是互联网+。

面临的挑战：

1. 传统安全防护方案无法满足大数据业务、技术要求，甚至成为瓶颈

1) 实时在线计算，传统加解密的防护措施成为计算性能的瓶颈；

2) 海量数据的访问控制需要动态的数据权限功能满足安全管控要求；

3) 实时的数据流动，传统的安全管控机制，如：安全监控、流程审批等存在局限性；

4) 频繁的数据流转和交换，数据泄露不再是一次性的，通过二次组合非敏感的数据可以形成敏感数据，造成敏感数据泄漏；

2. 新的安全挑战亟需新的安全解决方案

1) 大量的用户个人信息如何在法律上、管理及技术上有效保护用户隐私；

2) 通过数据分析所形成更有价值的衍生数据，如何进行敏感度管理；

3) 数据加工过程中需要使用大量敏感数据，如何保障数据在加工过程对使用者不可见；

4) 分布式的计算节点易被伪冒攻击，如：欺诈、重放、DOS等；

5) 数据混合计算，如何确保数据资源在存储，计算等过程中的安全隔离；

6) 数据交换频繁导致安全边界不断模糊，企业数据安全不再是自己一家的问题，需要生态链各方协同管控；

框架

实践

阿里数据保护的两大重点

阿里数据保护的目标

数据安全管理

用户个人信息不等于用户隐私信息

用户个人信息是指与特定个人相关联的、反映个体特征的具有可识别性的属性，包括：个人身份、工作、家庭、财产、健康等各方面的信息。

用户隐私主要是指个人私密性的信息或私人的活动，如个人身体状况，家庭状况婚姻状况等，凡是个人不愿意公开披露且不涉及公共利益的都可以成为个人隐私。

用户隐私信息，是指侵犯到用户隐私（权）所对应到的用户个人信息即为用户隐私信息。

小结：用户数据的保护既要考虑数据的泄漏，也要考虑用户隐私权的保护！

大数据下“个人信息”范围的延展

法律已经明确的：

公民姓名、出生日期、年龄、有效证件号码、婚姻状况、工作单位、学历、履历、家庭住址、电话号码、账号和密码、自然人基因信息、病历资料、健康检查资料、犯罪记录、私人活动、种族、政治观点、宗教信仰、指纹等。

个人信息的延展：

包括手机IMEI码；IP地址；地理位置信息；浏览记录；个人已公开发布的信息；信用记录；消费和购买习惯；个人社会地位信息、企业商业联系信息等。

用户数据保护的思路分为隐私权和防泄漏。其中，前者包括隐私政策和隐私保护框架，后者包括用户数据分离、高敏数据脱敏、高敏数据不经人手，直接走系统。

阿里隐私政策原则

用户隐私保护框架

阿里参与的相关标准建设

1) 主导参与《 电信和互联网服务 用户个人信息保护技术要求 电子商务服务》、《电信和互联网服务 用户个人信息保护技术要求 移动应用商店》，目前处于送审稿状态。

2. 参与《电信和互联网服务 用户个人信息保护技术要求即时通信服务》目前处于征求意见稿。

总结：

数据很大

数据要用起来

数据在不停地动

用户总也不是坏人的对手

数据的使用者和使用环节很多

数据和数据相关的系统铺天盖地

不仅仅是系统和技术，人和社会工程学更加关键

我们要在以上条件下做数据安全，我们还在路上…..

02.安全让智慧腾飞——安恒董事长兼总裁范渊

没有安全保障，智慧城市只是无翼之鸟，无轮之车。

云环境面临更多的风险，更需要安全保障

有了安全保障，才能更有效的运营（以某政务云为例）

安全更是智慧腾飞的助推器

一站式安全保障能力，打消了企业上云的顾虑

一站式解决方案，推动企业大数据

交付速度提高180倍，大大缩短了用户拥抱云的时间

移动“互联网+”中间件助智慧金融更快发展

安全也能为智慧实现更多维度业务价值

业务大数据+安全大数据形成“新数据”

安全大数据驱动业务决策，提升业务价值

为“智慧金融”实现更多维度的业务价值

03.《中国网络安全企业50强解读》——安全牛主编李少鹏

解读一：何为50强？

1. 高

行业用户认可度高、知名度高、媒体曝光率高、参与活动频率高，即影响力高。

2. 大

营收大，人员多，即盘子大。

3. 强

创新能力强，发展潜力强。

解读二：都有谁？

这四种类型是如何区分的？

传统安全企业的主要收入是卖盒子、卖硬件设备，同时成立时间也较早，十年以上。

新兴企业的特点有，互联网模式，以及提供服务为主，成立时间不超过十年。新兴企业其规模的含义与传统企业略有不同，不只比较收入，还会比较人员数量，同时把创新能力换成了发展潜力。既然是新兴企业，主要还是看日后的发展。

大型企业网安部门各有各的特点，百度的基因是搜索、腾讯是社交、阿里是电商，华为是传统，电信是抗D。其中，前三者目前主要服务于自身的安全需求，后两者已经进入企业级市场的收入数亿乃至十数亿。

初创企业与大型企业网安部门一样，没有具体维度的排名。只是从重要和最新领域中，选出最有希望的团队或机构。

为什么有些企业没有上榜？

有些收入不菲的大企业，因为是集成商，没有数量相当的安全研发人员，算不上真正的网络安全公司，因此没有列入此次调查。

有些非常有背景的公司，年收也上亿，但这些公司根本不想做类似的宣传，拒绝参加此次调查。

有人说，某企业的人均收入很高，为什么创新力或影响力很低。没错啊，又不是排的人均收入，创新力或影响力很低正常啊。而且，有的企业人均收入高得离谱，但却不是凭真正的技术实力和产品过硬，这样的企业排上去，懂行的业内人心里是不服的。具体原因，好多人懂得。也许有些企业真是靠自身实力达到了较好的人均收入，但如果把这一个维度排上去的话，不公平的声音恐怕会更大，而不是相反。

还有些企业，上够不着传统，下够不着新兴、初创，其经营的领域竞争者多多，影响力或技术实力也排不上前茅，遗憾无法进榜。另外，初创企业的确有重叠的，影响力和技术实力也很强的，但联系对方时，对方明确表示不参加，因此在没有对比的情况下选择了类似的参与调查者。

解读三：指标体系

根据判断一个机构自身状况的四大维度，即规模、影响、创新和运营，细分为26个指标，设计的调查问卷。同时，签订保密协议保证不把数据泄露给第三方。具体指标就不再此文中写出来了，想看的话，点击文尾的相关阅读。

无法填写调查问卷的，采用面谈、采访和问题模板的形式完成调查。

解读四：专家组

调查委员会分为调查实施人员和评判人员（即专家组），专家组主要由产业专家（如销售、集成商和咨询顾问，具备多年的安全行业经验）、技术大牛和IT行业媒体资深人员。

专家组成员根据对企业的印象，结合调查数据打分。

解读五：未来

坚持免费模式，更加细化、深入、客观。不夸张产业规模和人员数量，不危言耸听，避免误导市场。