《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》指出,迎接数字时代,激活数据要素潜能,推进网络强国建设,加快建设数字经济、数字社会、数字政府,以数字化转型整体驱动生产方式、生活方式和治理方式变革。“万丈高楼平地起”,安全是数字经济发展的基石,数据安全同样也开始蓬勃发展,走在了时代的风口上。
“发现自己从事的数据安全行业是一个风口,这是好事。“腾讯数据安全规划负责人赵飞飞对嘶吼说到。
计算机科学与技术专业出身,在经历了数据安全行业从教育市场、与客户达成共识到现下成为风口的不同发展阶段之后,赵飞飞对数据安全行业的理解程度也越来越深。
腾讯数据安全规划负责人 赵飞飞
对数据安全抱有敬畏感
回顾一下整个从业经历,起初是做全市的缴纳五险,其数据体量是非常大的,赵飞飞主要对数据进行统计、分析,并建立一定的业务流程。
在此过程中,通过一些技术去防止高危操作的发生,她深深意识到,一旦把数据误删除或者误更新、泄漏等,会直接造成不可逆的后果和严重的经济损失。
包括之后去做电信资产的管理,接触到巨大的数据体量和复杂的业务流程,更让她对数据安全抱有天生的敬畏感。
“做数据安全需要涉猎太多不同领域的技术,包括网络、操作系统、硬件、数据库、应用服务、不同行业的业务特性、数据的存储形态和访问方式等等,只要数据流转到哪、存在哪、被谁访问,安全就应该建设到哪,就应该了解对应的核心技术以及技术原理,甚至是客户的业务流程和网络架构。只有在这种基础上,才能给出客户一个比较实用的数据安全解决方案,才能实现安全产品、技术的落地。”赵飞飞对嘶吼说到。
谈及加入腾讯安全的初衷,赵飞飞直言,看重腾讯安全的技术能力和生态整合能力。因为数据安全涉猎的技术领域广,产品体系大,不同行业数据特性不同,方案也会因此有不同差异,腾讯这样大的平台能够真正地横向体系化建立数据安全,纵向也能深度建立行业化的解决方案,包括数据安全的产品、运营、行销三方面。
私下生活的赵飞飞,性格执着,习惯深度思考。除了看书、游泳、旅行,其他的时间一门心思扑在数据安全领域的研究和实践上。
“最喜欢苏轼的‘一蓑烟雨任平生’,做好选择,尽量去把事情做好,认知到位了,投入度、专注度也有了,剩下的就顺其自然,结果也不会差。”赵飞飞说道。
做数据安全要有靶向性
赵飞飞认为,数据安全发展的最大痛点在于数据是流动的、变化的、增量的,数据本身属性带来了它的安全边界不会那么容易且清晰地建立起来。
面对海量数据,如何做好数据安全?《数据安全法》中明确说明数据需要分类分级,以此为数据安全建设的一个起始点,是一个重要核心。首先把数据资产目录、重要数据梳理好,做好第一步,目标更清晰,其技术手段也才能够到位,有靶向地去做数据安全,才能让数据安全有的放矢,投入的性价比和技术可落地程度才会更高。
其次,数据安全建设要以数据安全治理为基调,因为数据与业务强“耦合”,“安全”与“发展”要平衡,而只有“治理”才能够从组织的战略性决策,到对应的安全制度的建立,以及多部门的协调,再到安全技术措施的落地,才是决定未来数据安全真正的发展方向的要素。
以数字化经济发展和安全作为底座,协同发展的去做数据安全的治理能力,才是最终的一个发展目标,既能把安全底线守住,也不影响真正的业务发展,这也是数据安全面临挑战的其中一点。
再者,数据安全建设核心是技术的突破,例如联邦学习、隐私计算、同态加密等技术,需要在解决可用不可见的同时,能够真正解决性能上的消耗,并贴合用户数据实际使用场景。
除此之外,数据安全的发展也需要依赖硬件或操作系统,包括在芯片发展基础上,建立安全的数据计算分析环境,所以,数据安全需要整个技术生态共同发展协调,会提高一些更大的技术突破,这就需要更多的相关技术人员的储备和相关厂商的投入。
最后,数据安全体系化建设的同时必须与数据使用场景挂钩,以此建立整体的数据安全解决方案。比如存储侧和访问侧,数据在流转、共享分发、第三方使用的时候,面对不同的场景,数据安全就要提供不同的解决方案,这样的数据安全建设才是可落地,并实际解决用户安全问题。
产品设计要与行业特性“挂钩”
在赵飞飞看来,关于产品的设计流程,要分不同阶段。当产品处于“从无到有”这个阶段,首先要摸清产品主要面对的行业群体,把客户痛点集中化、总结性地梳理出来,之后能够以客户的需求为驱动发挥产品的核心价值。
之后要不断地打磨产品、完善产品,也就是版本迭代阶段。经过公司内部使用测定产品成熟度后投放到客户,共同完善产品的技术、产品价值、应用性等等。
站在用户的角度来看,在数据安全产品选型上,赵飞飞认为,除了要跟行业“挂钩”,最终所有产品上的选型和能力,要以使用场景为主要目标,同时需要一定的咨询服务作为支撑,才能解决不同的系统、数据、场景面临的风险。
比如存储侧,决定重要数据是否需要加密存储。在数据访问的过程中,涉及访问权限控制或实时的动态监测能力,防止敏感数据泄露。
还有业务之间的数据流转,通过API接口,形成数据的日志记录以及访问控制,那就需要应用侧的一个产品能力。
比如金融行业,因为要评定用户征信,需要结果作为业务支撑时,需要联邦学习或者同态加密等,去解决数据共享问题;再比如数据交易,这时需要用到数据分类、分级,以数据的重要程度为基准,在交易过程中把控数据的不可见,但可用。
数据安全的行销方式是体系化建设数据安全治理能力
由于数据安全体系非常的庞大,涉及技术、咨询、产品、方案等等,其维度多,细粒度比较大,需要体系化的解决方案提供给客户,所以她会从技术体系、产品体系、咨询服务体系、数据安全运营体系四个方面着手搭建整体的数据安全治理能力提供给企业用户。
对于赵飞飞而言,为了做好数据安全,这就要求她不仅需要做好数据安全产品规划,也要把握安全建设体系,更要在行销方面有所考量。
在产品行销上,赵飞飞说到,行销是建立用户和产品之间的桥梁,战略层面,既能够从不同客户的角度去看产品,又能以产品和行业的角度引导客户。
她大体上从具体以下几点着重发力:第一,不断突破技术,搭建产品能力;第二,建立良好的生态,包括咨询服务、技术等方面,比如跟咨询服务的厂商联合挖掘数据安全的规划与管理能力;第三,总结数据安全不同行业的不同建设特性;
第四,逐步建立标杆客户,形成一些行业的最佳实践。让客户先了解数据安全能力建设的能力,并且不断地去打磨自己的产品,提供整体的规划建设思路;第五,以客户的角度出发,结合实际数据体量、场景、实际使用情况,以安全角度去给产品提供整体的优化方向;第六,累积沉淀。
最后,横向形成整体的、体系化的数据安全治理能力,纵向能够深入行业,形成行业特性的解决方案与产品,使得技术可以真正的落地,有效的解决用户数据安全上的隐患。
站在数据安全左移和右移的角度,看数据安全技术、产品能力的建设与发展
赵飞飞对嘶吼说到,数据安全左移和右移,面临的技术挑战、产品能力、解决方案的切入点也截然不同。
目前市场上相对成熟的数据库安全产品,通过审计、访问控制、脱敏、加密等技术手段,再结合数据防泄漏DLP以及用户行为分析UEBA实现内外网之间数据流转的安全问题,更适用于数据安全右移。
但是这对于企业内部数据流动、和多源异构的数据类型以及复杂的数据运营场景,传统的数据安全技术很难有效地、全面地解决数据安全问题。
那么从数据流转的角度来说,监测数据处理、使用、变形的全过程,才是数据安全建设左移的切入点。
这会导致数据安全产品存在的形态将不再是独立的一个个产品,而是将检测、监测、安全防护、风险态势为一体的运营平台,以数据资产为中心,体系化的建设数据流转到哪,安全就跟进到哪的自适应的安全防护能力,保障数据长期处于安全状态,而这也是赵飞飞接下来对于数据安全研究和规划的方向。
“迄今为止,数据安全依然难做,这是因为数据本身的属性与业务具有强藕合性。但通过和不同客户的沟通以及产品打磨,也有一定的收获。关于数据安全,我一直抱有的心态就是,不断地去总结、学习、探索、实践。” 赵飞飞最后表示。
人物简介:
赵飞飞,腾讯数据安全产品规划负责人,腾讯数据安全技术专家,腾讯数据安全产品长,10余年安全行业工作经验,先后任职于多家数据安全厂商负责数据安全流量产品、管理类产品、平台级产品规划。擅长数据安全咨询、数据安全产品规划及数据安全治理等领域。曾负责数字广东、某四大行、微盟、宝马等多个金融、政务、泛互联网行业的重大项目的数据安全负责人,并负责过数据安全咨询服务、数据安全产品落地、数据安全项目交付等工作。对国内外数据安全产品及用户隐私保护发展趋势有较深实践和研究。
相关阅读:
嘶吼专访 | 思维世纪董事长章明珠:蓄势待发,专攻数据安全赛道的挑战者
嘶吼专访 | 观安信息胡绍勇:20年沉淀,从技术流走向数据安全领导者
嘶吼专访 | 天融信李建彬:十年磨练,深耕数据安全领域的开拓者
嘶吼专访 | 天空卫士杨明非:顺势而为,以人为本的数据安全捍卫者
如若转载,请注明原文地址