2025年7月26日,ISC2上海分会成功举办了月度主题分享会。本次活动汇聚了来自法律、咨询、技术研发和安全实践等多个领域的顶尖专家,共同探讨了数据出境新规、Agentic AI治理、零信任架构以及企业资产管理等前沿热点话题。本文旨在记录和分享本次会议的核心内容与关键洞察。
一、基本信息
- 活动名称:ISC2 上海分会 7 月主题分享会
- 主办方:ISC2 上海分会
- 时间:2025 年 7 月 26 日
- 地点:线下
- 分享嘉宾:
- 曲晓琨:大成律师事务所上海办公室合伙人
- 马红杰:德勤网络安全团队合伙人
- 刘超:上海直画科技有限公司技术负责人
- 祁亨杰:华顺信安高级售前专家
二、分享内容摘要
本次分享会内容丰富,四位嘉宾分别从不同视角带来了精彩的分享。
1. 曲晓琨:《数据出境监管的新异与张弛》
曲晓琨律师首先深度解读了2025年数据安全新规在数据出境领域的最新变化,并结合实践案例,为企业合规提供了清晰的指引。
核心观点:新规对数据出境安全评估的有效期、识别申报等流程进行了修订,并引入了更场景化、精细化的数据判定标准。企业需密切关注法规变化,及时调整合规策略。
- 法规新动向:重点分析了数据出境安全评估结果有效期、申报信息修改等新规内容。
- 场景化判定:探讨了如何在不同业务场景下进行精细化的数据分类与判定。
- 案例解析:通过个人信息出境的涉诉案例,生动阐述了合规要点与风险。
- 行业实践:结合医药和汽车行业的特定文件,分享了处理个人信息的合规方式。
2. 马红杰:《Agentic AI应用生态安全治理实践》
马红杰先生聚焦于生成式AI的进阶形态——Agentic AI,探讨了其带来的巨大机遇与严峻的安全治理挑战。
核心观点:Agentic AI 将成为企业数字化创新的核心,其高度自主性要求我们重新思考人与AI的协作关系。构建安全、可控的Agentic AI生态,需要技术、政策与国际合作的共同推进。
- 发展趋势:Agentic AI 是 GenAI 的进阶,将成为混合数字生态的重要组成部分,其自主性对安全治理提出新要求。
- 人机关系转变:未来我们将赋予 AI 更多自主权,人类的角色将从“操作者”转变为“指导者”,需要为这种身份互换做好准备。
- 关键防护点:AI 的长期记忆和短期记忆需要进行隔离防护,任何一方的数据被破坏都可能造成严重后果。
3. 刘超:《基于零信任打造多级单位漏洞扫描方案》
刘超先生从实战出发,分享了如何利用零信任理念解决传统多级单位在漏洞扫描和管理中遇到的痛点。
核心观点:零信任架构通过其内在的加密和访问控制机制,能够有效解决多级单位环境下漏洞扫描任务下发难、数据回收难、安全保障难的问题。
- 核心挑战:分析了多级单位在进行漏洞扫描及管理时面临的网络隔离、权限复杂、数据安全等挑战。
- 零信任方案:提出了一种基于零信任的漏洞扫描方案,并重点介绍了其三层数据加密机制,确保端到端的安全:
- 通道加密:零信任通道本身提供一层加密。
- 传输加密:使用 HTTPS 等协议进行传输层加密。
- 数据加密:对扫描任务和结果数据本身进行加密。
- 未来探索:探讨了该方案在更多场景下的扩展可能性。
4. 祁亨杰:《从传统管理到CAASM:基于企业资产管理运营实战》
祁亨杰先生拥有多年企业网络资产安全体系化建设经验,他分享了从传统资产管理向网络攻击面管理(CAASM)演进的实战经验。
核心观点:CAASM(网络攻击面管理)通过自动化、持续性的资产发现与评估,能够帮助企业获得全面、动态的资产视图,是应对现代网络威胁的基础。
三、关键收获与行动建议
本次分享会不仅带来了前沿的理论洞察,也提供了许多可落地的实践建议。
行业洞察
- 个人信息保护:在数据处理中,必须掌握并应用合理的个人信息匿名化和去标识化技术,以满足合规要求。
- AI 角色演进:我们正从“使用AI作为辅助工具”的时代,迈向“授权AI自主操作,人类进行监督指导”的新阶段。这要求我们构建和开放出自主性更强、但同样安全可控的大模型。
可落地建议
- 对于企业数据合规:
- 建立数据分级分类制度,确保不同级别的数据处理方式符合相应的法规要求。
- 在进行数据出境活动前,进行充分的风险评估和合规自查。
- 对于AI模型应用:
- 在训练和应用AI,特别是Agentic AI时,必须从架构上设计好长期记忆与短期记忆的隔离与防护机制。
结语
本次ISC2上海分会的分享会干货满满,四位嘉宾的分享为与会者描绘了一幅当前网络安全领域的技术发展与合规挑战的全景图。从数据流动的法律边界,到人工智能的治理哲学,再到基础架构的安全范式,每一次深入的探讨都为我们的日常工作带来了新的思考和启发。
记录人:吴梓豪