腾讯安全赵飞飞:一如既往致力数据安全领域的践行者
时间:
2022-06-24 17:08:26

  发现自己从事的数据安全行业是一个风口,这是好事。 腾讯数据安全规划负责人赵飞飞对嘶吼说到。

  计算机科学与技术专业出身,在经历了数据安全行业从教育市场、与客户达成共识到现下成为风口的不同发展阶段之后,赵飞飞对数据安全行业的理解程度也越来越深。

  回顾一下整个从业经历,起初是做全市的缴纳五险,其数据体量是非常大的,赵飞飞主要对数据进行统计、分析,并建立一定的业务流程。

  在此过程中,通过一些技术去防止高危操作的发生,她深深意识到,一旦把数据误删除或者误更新、泄漏等,会直接造成不可逆的后果和严重的经济损失。

  包括之后去做电信资产的管理,接触到巨大的数据体量和复杂的业务流程,更让她对数据安全抱有天生的敬畏感。

  做数据安全需要涉猎太多不同领域的技术,包括网络、操作系统、硬件、数据库、应用服务、不同行业的业务特性、数据的存储形态和访问方式等等,只要数据流转到哪、存在哪、被谁访问,安全就应该建设到哪,就应该了解对应的核心技术以及技术原理,甚至是客户的业务流程和网络架构。只有在这种基础上,才能给出客户一个比较实用的数据安全解决方案,才能实现安全产品、技术的落地。 赵飞飞对嘶吼说到。

  谈及加入腾讯安全的初衷,赵飞飞直言,看重腾讯安全的技术能力和生态整合能力。因为数据安全涉猎的技术领域广,产品体系大,不同行业数据特性不同,方案也会因此有不同差异,腾讯这样大的平台能够真正地横向体系化建立数据安全,纵向也能深度建立行业化的解决方案,包括数据安全的产品、运营、行销三方面。

  私下生活的赵飞飞,性格执着,习惯深度思考。除了看书、游泳、旅行,其他的时间一门心思扑在数据安全领域的研究和实践上。

  最喜欢苏轼的‘一蓑烟雨任平生’,做好选择,尽量去把事情做好,认知到位了,投入度、专注度也有了,剩下的就顺其自然,结果也不会差。赵飞飞说道。

  赵飞飞认为,数据安全发展的最大痛点在于数据是流动的、变化的、增量的,数据本身属性带来了它的安全边界不会那么容易且清晰地建立起来。

  面对海量数据,如何做好数据安全?数据安全法中明确说明数据需要分类分级,以此为数据安全建设的一个起始点,是一个重要核心。首先把数据资产目录、重要数据梳理好,做好第一步,目标更清晰,其技术手段也才能够到位,有靶向地去做数据安全,才能让数据安全有的放矢,投入的性价比和技术可落地程度才会更高。

  其次,数据安全建设要以数据安全治理为基调,因为数据与业务强 耦合 , 安全 与 发展 要平衡,而只有 治理 才能够从组织的战略性决策,到对应的安全制度的建立,以及多部门的协调,再到安全技术措施的落地,才是决定未来数据安全真正的发展方向的要素。

  以数字化经济发展和安全作为底座,协同发展的去做数据安全的治理能力,才是最终的一个发展目标。既能把安全底线守住,也不影响真正的业务发展,这也是数据安全面临挑战的其中一点。

  再者,数据安全建设核心是技术的突破,例如联邦学习、隐私计算、同态加密等技术,需要在解决可用不可见的同时,能够真正解决性能上的消耗,并贴合用户数据实际使用场景。

  除此之外,数据安全的发展也需要依赖硬件或操作系统,包括在芯片发展基础上,建立安全的数据计算分析环境,所以,数据安全需要整个技术生态共同发展协调,会提高一些更大的技术突破,这就需要更多的相关技术人员的储备和相关厂商的投入。

  最后,数据安全体系化建设的同时必须与数据使用场景挂钩,以此建立整体的数据安全解决方案。比如存储侧和访问侧,数据在流转、共享分发、第三方使用的时候,面对不同的场景,数据安全就要提供不同的解决方案,这样的数据安全建设才是可落地,并实际解决用户安全问题。

  在赵飞飞看来,关于产品的设计流程,要分不同阶段。当产品处于 从无到有 这个阶段,首先要摸清产品主要面对的行业群体,把客户痛点集中化、总结性地梳理出来,之后能够以客户的需求为驱动发挥产品的核心价值。

  之后要不断地打磨产品、完善产品,也就是版本迭代阶段。经过公司内部使用测定产品成熟度后投放到客户,共同完善产品的技术、产品价值、应用性等等。

  站在用户的角度来看,在数据安全产品选型上,赵飞飞认为,除了要跟行业 挂钩 ,最终所有产品上的选型和能力,要以使用场景为主要目标,同时需要一定的咨询服务作为支撑,才能解决不同的系统、数据、场景面临的风险。

  比如存储侧,决定重要数据是否需要加密存储。在数据访问的过程中,涉及访问权限控制或实时的动态监测能力,防止敏感数据泄露。

  还有业务之间的数据流转,通过 API 接口,形成数据的日志记录以及访问控制,那就需要应用侧的一个产品能力。

  比如金融行业,因为要评定用户征信,需要结果作为业务支撑时,需要联邦学习或者同态加密等,去解决数据共享问题;再比如数据交易,这时需要用到数据分类、分级,以数据的重要程度为基准,在交易过程中把控数据的不可见,但可用。

  由于数据安全体系非常的庞大,涉及技术、咨询、产品、方案等等,其维度多,细粒度比较大,需要体系化的解决方案提供给客户。

  对于赵飞飞而言,这就要求她不仅需要做好数据安全产品规划,也要把握安全建设体系,更要在行销方面有所考量。

  在数据安全防护建设体系上,首先,建立机制,先有战略层面的决策,再去联合法务建立数据安全的合规小组,同时业务和安全等多部门协调,共同做这件事情。其次,盘点数据资产,比如数据包括结构化数据、非结构化数据,腾讯因其自身的数据体量和业务量,其数据以不同的形态存在,要把重要数据分类分级出来;

  然后,整体进行一个数据安全的风险评估;接下来,以行业标准、网信办标准结合自身企业标准,不同体量有不同的要求,以实际情况形成数据安全的策略;

  同样,数据安全培训,提高所有员工对数据安全使用的认知和标准;制定应急响应措施;最后,周期性地去看数据安全建设的效果,比如,是否达到合规,是否到底把风险控制在客户范围内,数据是否长久持续地处于一种安全状态。

  在产品行销上,赵飞飞说到,行销是建立客户和产品之间的桥梁,站在战略层面,既能够从不同客户的角度去看产品,又能以产品和行业的角度引导客户。

  她大体上会从以下几个方面着手:第一,不断突破技术,搭建产品能力;第二,建立良好的生态,包括咨询服务、技术等方面,比如跟咨询服务的厂商去联合挖掘数据安全的规划和管理等;第三,总结数据安全不同行业的不同建设特性;

  第四,逐步建立标杆客户,形成一些行业的最佳实践。让客户先了解数据安全能力建设的能力,并且不断地去打磨自己的产品,提供整体的规划建设思路;第五,以客户的角度出发,结合实际数据体量、场景、实际使用情况,以安全角度去给产品提供整体的优化方向;第六,累积沉淀。

  迄今为止,数据安全依然难做,这是因为数据本身的属性与业务具有强藕合性。但通过和不同客户的沟通以及产品打磨,也有一定的收获。关于数据安全,我一直抱有的心态就是,不断地去总结、学习、探索、实践。赵飞飞最后表示。

  赵飞飞,腾讯数据安全产品规划负责人,腾讯数据安全技术专家,腾讯数据安全产品长,10 余年安全行业工作经验,先后任职于多家数据安全厂商负责数据安全流量产品、管理类产品、平台级产品规划。擅长数据安全咨询、数据安全产品规划及数据安全治理等领域。曾负责数字广东、某四大行、微盟、宝马等多个金融、政务、泛互联网行业的重大项目的数据安全负责人,并负责过数据安全咨询服务、数据安全产品落地、数据安全项目交付等工作。对国内外数据安全产品及用户隐私保护发展趋势有较深实践和研究。