人物 | 胡恺健:人生乐事不外乎闲时吐槽,战时并肩,难时相扶,乐时举杯
首创信息安全培训体系概念,发布万+公众号文章《唯品会信息安全培训体系》;发布《百家 | 探索隐私保护数字化解决方案》,深入地对Privacy Program Management平台的全球先进技术进行了架构和实践层面的深入剖析和讲解;发布《百家 | 胡恺健:企业云原生数据防泄漏(DLP)架构与运营实践指南》,讲述多种DLP产品和IT基础设施的相互融合,以及基于SaaS应用的数据防泄漏的最佳实践。
很难想象,以上三次创新性概念和实践的引入,只是胡恺健工作历程上的成就之一,其他在安全细分领域转型、安全认证、团队文化方面,胡恺健更是做出了让人艳羡的建树和造诣。
优秀员工、楷模、“卷王”,胡恺健说,这些不绝于耳的称号可能是领导和同事们对他工作态度的认可。但当胡老师拿出了五千多字的采访提纲时,笔者才发现原来那些称号是发自同僚们的肺腑。可以说,胡恺健卷的不仅仅是安全业,同时还卷了记者和作家。
“《黑客与画家》里有这么句话:黑客也是创造者,与画家、建筑师、作家一样。这使我坚信,信息安全是一门学问,更是一门艺术。而我所做的,就是在网络安全的画板上添下每一笔适时并真挚的色彩。”
良师益友为伴,三五知己成群,能在安全界里以文会友、引领时代,确为人生一大乐事。胡恺健之谈霏玉屑,愿诸位静听。
胡恺健 某金融科技企业安全专家
兴趣和远见
或许是从小到大的兴趣爱好,也或许是因为家庭的熏陶,胡恺健与信息安全的情缘并非偶然,更像是命中注定。“最早的兴趣是游戏,仙境传说和魔兽世界之类的都挺喜欢,之后就被黑客技术所吸引了,当年十分流行软件破解,总想自己捣腾下。”经胡恺健介绍,当年计算机科学专业已经非常热门,其趋势必然会进入人才红海市场,所以在专业内具备一技之长非常重要:“在此,我想说很感谢我的母亲,感谢她具备了长远的战略目光,当年我母亲独具慧眼地认为信息安全肯定会成为国家未来的核心保障要素,因此建议我选择信息安全专业。十年后回首过往,只能说当初的这选择是多么明智啊。”
2008年,胡恺健来到了广州大学数学学院的信息安全专业,这经历一定会让诸多安全专家大吃一惊,别说当时,就是现在,于国内开设信息安全专业的大学也是非常少的。经访谈得知,广州大学信息安全专业的创始人正是裴定一教授。裴定一是中国密码学界的著名学家,也是中国密码学会首任理事长,所以广州大学的信息安全专业才会在国内颇具名气。
胡恺健说,自己在学生时代对Java编程情有独钟,当时就已经能独自编写Java的密码算法,他也曾将自己编写的程序上传过CSDN,下载他程序的人数非常多,直到现在胡恺健的CSDN积分还有很多留存。
胡恺健认为,将整个知识架构建立起来非常重要,这可使我们去适应各种不同的领域。他以目前所接触的隐私为例,元宇宙等最新的计算机范畴都会牵扯到隐私概念,所以他会在这些“新事物”还未落地之前先将知识的体系建立好,这样等到以后真正接触时就能得心应手。
热衷和选择
大三下半学期,胡恺健获得了去某机关单位实习的机会,在实习的过程中,他经常会和IT科室的一名网络工程师交流,结果发现网络工程的世界一样令人神往,同时网络工程与网络安全也有着非常深入的结合,因此他毅然决定要去学习网络工程,之后便参加了思科的CCNA学习,并顺利通过了考试,获得了人生中第一张专业证书。
“整个思科的学习过程十分有趣,我记得那时有个模拟器叫做Cisco Packet Tracer,它可以模拟思科里的那些路由器交换机,我在研究模拟器时,发现它和真正的思科路由器交换机有所差异,而这些差异只有通过非常深入的钻研才能看出,因此我发表了相关的文章,当时这些文章在鸿鹄论坛引起了不小的反响,其中还不乏和业内大神切磋各种技术细节。”
胡恺健表示,在学习的过程中我们可能会发现一些他人无法察觉到的细节,这对学者而言是件很微妙的事,就好像自己发现了新大陆。直到现在,胡恺健都习惯将这些新发现记录下来,或写成文章分享出去。胡恺健说,将彼此所发现、所认知到的内容分享出去,这是一个良性的循环,可使我们更多人拥有宝贵的知识财富。
2009年至2011年,信息安全专业的师兄师姐们都陆陆续续的毕业了,胡恺健介绍,他们的去向基本是软件开发或网络工程,极少有人能够真正进入安全厂商和甲方安全管理。“一方面是当初信息安全的需求比较少,社会宣传力度和招聘力度都相对较低,甚至某些机关单位还会将信息安全专业列入电子科学与技术类。另一方面,就社会条件和资源而言肯定今非昔比,如今我们有热火朝天的CTF比赛,还有各种红蓝对抗盛行,因此过去学生们的实战能力偏低,与企业实际需求的安全能力相对脱轨。”
毕业时,摆在胡恺健的面前有两个选择,一是去大型互联网公司做网络运维,二是在一家相对独立的软件测试中心做信息系统验收测评。两者相较,大公司更注重专业深度,但可能会让员工成为“岗位上的螺丝钉”;而小公司更能锻炼个人的广度和综合能力,加之以往所学,囊括了编程、网络工程和信息安全等知识,胡恺健认为自己更适合注重广度和综合能力的工作环境,因此选择了那家第三方软件测评公司,开启了人生中的第一份工作。
“第三方软件测评,主要是对信息系统建设进行验收测评,测评内容涵盖了信息系统的每一处,机房工程、综合布线、网络工程、软件开发、信息安全、监理工程、文档审核等一应俱全,我可以接触到信息化建设的全貌,这为我个人开拓了信息化的视野,提升了文档编辑写作能力,并且在沟通协作方面奠定了良好的基础。”
志同道合,触类旁通
“在读书的时候,老师曾讲过CISSP认证是信息安全行业最有价值的国际专业认证,信息安全知识域非常广泛,也有着非常多的最佳实践,老师始终建议我们该多关注这个认证。因此我将这话铭记于心,并向自己许下承诺,一定要攻下这个认证考试。”
于是在第三方软件测评公司工作之余,胡恺健便利用闲暇时间学习CISSP课程,通过梳理思维导图、扩展阅读的方式完成了各种知识点的梳理,结果只半年的学习时间便成功拿下了认证资格。胡恺健表示,按着书本上的知识完成应试是一方面,更大的收获,是经过系统性的知识学习,他能对信息安全有更全面、更深刻的认识,而这些经历才是职业生涯中最宝贵的财富。
2016年,胡恺健进入了一家互联网金融公司,半年后他来到了一家大型互联网电商从事信息安全管理工作。这两年半的时间里,胡恺健表示自己彻底将以往所学的知识进行了融会贯通。
“感恩在两家公司都遇到了好领导和良师益友,我在他们那里学习到了安全工作的战略、格局和艺术,是他们让我学会了该如何将安全管理落实下去。将各种细节上的技术拔高后,按照制度、流程将整个安全管理落地于公司,并将所有技术人员、管理方式都纳入到整个体系中去,这些是我从他们那里学到的无比贵重的经验。”
没有这些挚友,就没有今天的胡恺健。对于曾经的同僚,除了感谢之外,胡恺健表示自己更多地会想要再次合作,不管是打工也好、创业也罢,人生能有多少亲密战友?胡恺健与他们之间,往往一次点头,一个眼神,就能将许多工作落实到位,这才是人生中不可多得的知己和至交。
当初正值互联网+思维盛行,在大型的互联网电商工作中,胡恺健充分践行了互联网+安全,并从企业信息安全管理和信息安全培训宣贯等两大重点领域进行了深入研究,领悟到“将一切企业管理手段融入信息安全”的重要思想。其中“业务安全平衡”、“择机而入”、“安全接口人”、“潜移默化宣贯”、“体系融合”和“极简思维”等,都是指导他后续完成工作的重要思想理论。
拿“择机而入”举例。一个公司的业务如果没有发展到一定程度,它的安全大多不被重视,因此安全从业人员在这样的公司里不会得到太多的资源去做整体的建设,而当公司的业务发展到一定的程度,再把之前想做的体系化工作和领导汇报,那领导就可能会点头,这就是“择机而入”。
“就好比安全奖惩这事,它是一把双刃剑,当公司正处于业务发展上升阶段,如果奖惩做得太严格,可能会不利于公司的整体发展,所以在这种情况下安全奖惩这事不会在公司里大肆宣传。但当全球经济下滑,很多公司可能会考虑资源优化,此时的安全奖惩就能成为管理层的利剑,它能赋予管理层足够的衡量标准,将公司现阶段的发展改为‘精益求精’,那在这个时间点再提出安全奖惩机制,管理层一定欣然接受,这就叫‘择机而入’。”
而所谓的“体系融合”,是在诸多安全法规、条例中将核心内容提取出来,对公司而言,不可能面对每一种法律法规都提出不同的体系文档,这是应付式操作,对安全毫无作用。同时,要所建文档满足于每一项不同的体系,其工作量本身、落地推行本身,都是不切实际的。
因此,胡恺健认为,安全人员需要识别国内外最佳的安全实践、安全标准和安全框架,以此来做好相应的顶层设计。就好比安全工作打好了牢固的地基,再通过量体裁衣来应对某一项具体的标准或者认证,安全建设和运营就能得心应手。
“映射到当下我们正在做的数据隐私,GDPR是全球最严格的隐私法律,因此大部分企业都会选择用GDPR作为整个企业的隐私标准,在这个基础上,我们就可以根据不同的国家做一些较细的规定。这就是底座坚固,无论你往上怎么堆砌都能有所建树,而这也同样是‘体系融合’所带来的好处了。”
随着社会越来越多地开启了数字化转型,政府信息化也逐渐形成了数字政府的概念。“很荣幸,我也参与过广东数字政府的建设,为广东数字政府的安全建设和运营作出过自己的贡献。”
说到转型,从第三方安全测评到安全管理与咨询,再到数据安全与隐私,期间胡恺健经历了两次大的安全细分领域的转型。测评到安全管理是从CISSP认证开始的,通过扩大安全知识面从而进入了更注重安全顶层规划设计、安全广度、管理咨询的领域。
第二次转型就是从参与广东数字政府的建设开始直至目前,是完全聚焦在数据安全与隐私层面,此转型得益于GDPR、网安法、数安法和个保法的相继出台,胡恺健从中嗅到了行业重点的转变,加上前期的基础知识储备足够,胡恺健表示此次转型相当成功。
正巧,胡恺健于这段工作期间经历了新冠疫情的爆发,而在粤康码诞生的过程中,他和他的团队也在安全保障方面下足了功夫。“当时广东省各地市都快速构建了健康码,但因为开发周期短、工作任务重,健康码的前后端都存在不少安全隐患。当时我们紧急地对整个广东省地区的健康码进行安全测试,并协助他们整改安全问题。健康码因为收集和处理大量的个人信息,因此引起了网信办极大的重视,他们特地到我们公司做了一次安全评估检查,经过为期一周的高强度检查后,我们的安全保障水平获得了网信部门的高度认可。”
胡恺健指出,这段工作历程使他增强了安全使命感和责任感,让他意识到了,他们所守护的不仅仅是客户,而是全社会的市民。“无惧挑战,勇于承担”是他对这段经历的总结。
“内有安全建设、运维运营,外有诸多黎民百姓,能含糊、能随意、能敷衍了事吗?不能!所以在这样高压的环境下,我们始终得调整好自己的心态,要想通这是一个培养个人抗压能力的过程。作为安全人员,我们要醒悟:没有历练又哪来更优秀的自己?!”
目前胡恺健就职于一家全球化的金融科技独角兽企业,他表示开放透明和高效协作的工作环境能使他把更充足的时间放在工作思考上。
“众所周知,金融科技企业对网络安全高度依赖,而我们日常对抗的就是国际APT组织,这需要企业拥有先进的技术、产品和运营能力才能进行实战对抗。同时,企业对安全隐私的重视,使我有机会接触到全球领先的网络安全架构、数据隐私合规实践和安全产品解决方案,这也拓宽了我对安全与隐私方面的视野。”
在给客户和投资者讲解安全与隐私蓝图时,胡恺健会强调全平台的数字信任,通过科技合规、先进技术、安全与隐私治理建立数字信任体系,可使客户数字资产得到持续的保障和增值。胡恺健在公司里主导了数据治理、信息安全与隐私治理、数据隐私合规、隐私科技赋能、数据防泄漏体系等相关工作,主要工作聚焦在数据安全与隐私方面。
主要成就
对胡恺健三次创新性概念和实践的引入做详细解读。
01
首创信息安全培训体系概念
在进入互联网电商工作后没多久,胡恺健就将团队在信息安全培训宣贯的工作经验进行了提炼和总结,结合他自己的亲身经历,发布了第一篇微信公众号文章《唯品会信息安全培训体系》,至今已有破万的阅读量,被各类新闻媒体、安全培训机构和安全厂商纷纷转发。
信息安全培训体系的概念是胡恺健在国内首创的,往后几年不断有类似的最佳实践出台,几乎都离不开当初他所定下的这个框架。后来他也加码发布了《信息安全宣传动画制作的艺术》,深入剖析动画制作的要点。
关于信息安全培训体系,胡恺健将它进行了分层。最底下是体系管理层,包括企业的讲师管理、内容管理、素材管理等等,其上有载体层、形式层、内容层和对象层。
载体分为线上线下,线下包含培训讲师面授、员工手册、纸质版刊物等,线上包含直播、网课、微信公众号等;形式层在载体层之上,比如利用好一些动画、月刊、海报、PPT等,以各种各样不同的形式来宣传安全方面的知识;最上面就是对象层,对象是面向全员的还是面向总监级的,还是针对于领导层的培训,还是针对于开发人员、运维人员的培训,都会有所分别。五层架构相互叠加,可使整个安全培训体系形成闭环,同时也可在受训对象处得到反馈,以此持续地改进体系。
对新概念的出台,胡恺健曾做过复盘,他认为之所以会火,主要是因为甲方内部的安全部门很少会被投入充足的资源去钻研“定制化”的安全培训宣贯,更多的情况是乙方在提供“通用型方案”,因此可以说,胡恺健所提创的新概念之所以受欢迎主要是“有特色”和“可复制”。企业可通过此框架形成具有自身特色的企业安全培训宣贯体系,安全培训供应商也可在此基础上提供更多“深度定制”的服务。
对此,胡恺健感叹:“没有什么事比改变行业更能让人觉得有所成就感了。”
02
将先进隐私科技实践引入中国
2021年,在中国《数据安全法》和《个人信息保护法》将要出台之前,胡恺健在诸子云广州分会的第一次线上沙龙就《个人数据与隐私管理数字化解决方案探索》的话题进行了演讲,并在后续发布了《百家 | 探索隐私保护数字化解决方案》的文章,此解决方案对Privacy Program Management平台的全球先进技术进行了架构和实践层面的深入剖析和讲解,洋洋洒洒近两万字的文章轰动一时,成为了不少同行的“收藏作品”,甚至有资深专家“慕名而来”加入了胡恺健的团队。安在新媒体创始人张耀疆曾说这是一篇收藏级的文章,为业内奠定了非常好的隐私保护基础。
胡恺健表示,自己在文章中讲述的不仅仅是概念,更多的是如何将实际的隐私科技平台与产品进行融合,以满足全球隐私合规的相关要求,为隐私合规平台初创企业和企业内部隐私合规产品自研都提供了十分重要的素材和内容。
03
云原生DLP的架构与运营实践
最近几年网络安全频频造新词,SASE、零信任、云原生等一系列新技术使不少人无所适从,行业里更多的现象是安全厂商在分享,缺少了甲方安全的相关实践。对此,胡恺健认为自己有幸在一家金融科技外企任职,能接触到全球最先进的厂商产品,并进行过落地实践。
“2022年5月,借着我在 (ISC) ²华南分会的一次演讲,我将企业云原生数据防泄漏(DLP)的架构和运营策略带给了大家,重点讲述多种DLP产品和IT基础设施的相互融合,以及基于SaaS应用的数据防泄漏的最佳实践。同时也发布了《百家 | 胡恺健:企业云原生数据防泄漏(DLP)架构与运营实践指南》。”
另一方面,自参加诸子云专家智库后,胡恺健常积极分享各类专家观点和百家文章,同时他也积极参与了国家标准和团体的编写,最近还参加了信通院和CSA云安全联盟联合发布的《零信任能力成熟度模型》,此团体标准也正式出台了。
除了三次创新性概念和实践的引入,在其他方面,胡恺健依然充满了见证。
04
安全认证
胡恺健说,安全是一个日新月异的行业,每个月都会诞生新的技术概念和合规要求,不断学习是与这个行业保持密切连接的唯一路径。
“我在很多人的眼里可能是一个‘安全隐私斜杠青年(也可能是中年)’,CISSP \ CISA \ CIPM \ CIPT \ CISP-DSG \ CDPO \ EXIN-DPO \ CDPSE \ C-CCSK \ ISO 27001 IA \ ISO 27701 IA \ CCNA \ 网络规划设计师等等是我现有的斜杠。这也是为什么很多同事朋友喜欢叫我‘卷王’了,但我认为,这更像是一种以身作则、言传身教的具体表现。”
通过体系化的知识学习和认证是胡恺健比较推崇的一种学习方式,他认为考证的目标不仅仅是为了获得证书,更重要的是掌握认证考试的知识框架。对此,胡恺健还为自己树立了目标,即希望通过自己在行业中的影响力来证明证书的含金量。“正如我之前所讲的,安全和隐私是一门艺术,更多的知识摄入可以使我在面对工作困境时拥有更多的‘选项’,这也是为什么我坚信体系化的知识框架有助于形成自己的决策和智慧。”
团队文化
胡恺健说自己所带领的团队是学习进取型的,因为安全就是“逆水行舟,不进则退”。他反对无意义的内卷,但积极正向的动力一定是使大家突破自我、从容应对挑战的核心要素,所以他希望每个人都能拥有乘风破浪的心态。
胡恺健在工作中会定期进行复盘总结,每一次的复盘总结都会从错误中吸取教训,并制定下一步的行动计划。他认为敏捷迭代不仅要体现在研发的过程上,更应该是一种敢于尝试和快速纠错的团队文化。
“一个团队能否扛事,能否帮公司解决问题,主要体现在团队的能力、态度和文化三个方面,安全认证与实际业务结合是能力的体现,团队提供安全服务的积极性,响应及时性和交付成果的可靠性是态度的体现,而团队相互扶持和互相补位则是文化的体现。”
胡恺健提出,一个团队必须要有凝聚力,大家得拧成一股绳,拥有一致的目标,然后朝着这个目标一起努力。作为领导,胡恺健更愿意以朋友的身份引领大家往前,和团队达成共识,他表示这样的氛围会使团队更有战斗力。
同时他也建议,团队中的每个人都需要有“扛事”的精神,即遇事不要回避,因为团队和团队之间总会有缝隙,只要谁愿意更进一步就能将缝隙填补,因此他表示自己团队中的每个人都是愿意填补缺漏的。
“我是非常主动的一个人,跨团队间的合作,如果存在工作缝隙,我往往愿意往前更进一步,帮他们多承担一点,因为这是我们的共同目标,责任在我们身上。这是我工作经历总结出来的团队文化,让团队具备扛事精神,这样我们的团队会走得更远。”
胡恺健说,个人能力的高低是次要的,重要的是给其他人留下的印象一定得积极,比如快速响应别人的一些需求,这是最简单的体现。胡恺健在自己的团队里常会强调积极响应,办事态度不能拖沓,即使是在下班时间,也需不时留意手机信息,及时处理紧急情况。关于这点,胡恺健认为这不是一种内卷,而是工作态度,他自己就常常以身作则,为公司其他部门带来了极好的合作关系。
此外,胡恺健还会不时举办一些内部的分享、内部的演讲,他愿意推动团队中的每个人更多的表现自己。“如果要在职场里生存下去,不单单是专业系统,个人的软技能,比如演讲能力、表达能力、沟通协调能力,都需要有所发展,这对每个人的职业生涯来说都是极其重要的。”
企业内部影响力
当企业成熟度不高的时候,安全人员所写的政策、制度、流程和规范就只会停留在纸面上。而当安全人员无意中发现自己所制定的安全策略被执行得很好时,对安全人员来说,这不仅代表着企业在成长,对自己而言也是一次不小的“心动时刻”。胡恺健喜欢看到安全部门在企业内部的影响力越来越大,他觉得这是一种成就,也是一种鼓励。
“将信息安全与隐私管理结合在一起打出组合拳,效果更好。举个例子,当企业信息安全与隐私委员会和接口人机制(Champion)的组织机制得以建立,信息安全与隐私要求通过这种组织机制进行上传下达、反复强调、潜移默化的宣贯,安全策略被正确执行的概念就会大大增加。当我发现公司已经形成一种‘有数据安全和隐私疑问就找胡恺健’的习惯时,就觉得之前所有的努力都没有白费。”
建议和展望
虽然近几年中国的安全行业发展迅速,但我们要认识到与全球一流依然有不小的差距,希望中国安全行业能走出一条具有中国特色的道路,加强生态合作和行业共创。安全的理念、思想、技术、实践需要全行业的对撞才能产生新的火花。这是胡恺健的建议。
关于安全和隐私,胡恺健指出,隐私现在大多都是法律人士在做,其并没有和数据安全产生多好的结合点。二者都有各自的优势,法律人士比较擅长对法律的解读、对案例的分析研判和对法律文书的编写,而安全人员可充分利用技术手段做数据分类分级和技术保障,其实二者应该有非常多的交集,如果两边能够强强联合,就一定能在国内甚至全球打造出最好的隐私科技产品。
除此之外,胡恺健对安全行业提出了这样的期望,他感觉现在国内的安全厂商大多还是较为封闭,不太愿意把自己的能力和其他公司的能力结合起来,哪怕当下的部分厂商已经在开放API接口了,但和外国的公司相比,依旧差之甚远。
安全之下有几十个不同的细分领域,不可能要求每一个公司都能把所有的安全领域都做好,因此当下行业内面临的困境就是,一些细分领域里的小公司很难有生存空间,如果业内的大型安全厂商愿意开放自己的接口,愿意和这些小公司联合起来,那整个行业才会蓬勃发展,否则总是“大鱼吃小鱼”的垄断模式,不但生态环境会被破坏,安全上的产品质量也难以得到突破。
“至于展望,因为目前从事的是金融科技相关的工作,所以更多地会展望区块链、Web3.0和元宇宙等新兴领域与安全隐私的关联关系。我也会积极投身于新兴领域的安全隐私研究,并持续输出最新的概念和技术干货给到各位读者。”
最后
什么是“一万小时定律”?就是在一个领域沉浸式学习研究约一万个小时(大概是5年时间),基本就能成为这个领域的专家。为何这么做?因为天才总是少数的,常人只有付出更多的努力和时间才能换来相应的成就。这是访谈最后胡恺健告诉笔者的,他也希望笔者将这定律传达出去。
“就好比信息安全和隐私吧,它们已然成为了我的兴趣,周末闲暇时我都会看书、学习、写作。现在已养成了早起看书阅读的习惯,每天早晨打开IAPP(International Association of Privacy Professionals)订阅邮件,浏览全球数据隐私合规动态,这是我的日常。”
生活中,每当胡恺健见到有价值的安全、隐私技术和实践时,他首先会选择深入研究和梳理,并且在工作实践中得到印证后才会拿出与大家分享。“穷则独善其身,达则兼济天下”,一个人能具备不断钻研的精神已是难能可贵,而更值得赞扬的是,他同时愿意将自己的所得分享出去。如果安全界各位专家都能这样积极分享,那就一定能助推中国网络安全行业走向全世界!
齐心抗疫 与你同在