10 多年信息安全从业经验,积累了丰富的互联网公司信息安全建设经验,专注于企业内部安全产品研发及工程化部署。2015 年加入携程,先后负责安全研发、运维安全、合规审计、数据安全等方面工作。现负责携程数据安全和安全研发团队,主导了数据安全从 0 到 1 的建设。
10 多年信息安全从业经验,积累了丰富的互联网公司信息安全建设经验,专注于企业内部安全产品研发及工程化部署。2015 年加入携程,先后负责安全研发、运维安全、合规审计、数据安全等方面工作。现负责携程数据安全和安全研发团队,主导了数据安全从 0 到 1 的建设。
数据安全工作常见难点:
1. 有哪些重要数据,流经哪些系统,哪些员工可以获取到,没人讲得清楚;
2. 数据太分散,业务需求各式各样,安全流程无法落地;
3. 业务变化太快,历史问题没解决,新业务又要火速上线;
4. 黑样本太少,安全策略如何制定,能否覆盖到实际安全问题;
5. 业务部门太强势,安全项目偷工减料,达不到预期效果;
6. 安全预算不够,要堵的窟窿太多,资源完全不够用。
解决方案:
1. 数据治理,梳理数据流;
2. 日志流量双管齐下;
3. DB 数据加密,卡住数据源头;
4. 蓝军,一定要蓝军,以攻促防;
5. 论蓝军的重要性;
6. 拥抱业务,和业务站在一起。
1. 了解携程是如何展开数据安全建设的,踩过哪些坑,如何规避;
2. 了解携程数据安全相关技术方案和架构。