说2021年是数据安全新元年,相信大家都没有意见。
数据安全相关政策法规强势落地;相关市场项目增速近30%;网络安全投融市场热度TOP1……
- 对于这些现象,在数据安全领域持续深耕了十多年的专家是怎么看的?
- 从萌芽,到当下,到未来,数据安全经历了哪些不同的阶段?
- 哪些行业客户对数据安全的需求最大?
- 供应商是怎么解决市场问题的?
- 数据安全的未来将是什么样子?
在这个年终岁尾,北京赛博英杰董事长谭晓生与杭州世平信息科技有限公司董事长王世晞进行了一场对话,让我们去看看他们的观点。
本期专家|王世晞
王世晞,世平信息公司董事长、创始人。国防科技大学信息与通信工程专业博士,曾任国防科技大学电子科学与工程学院教授。中国云安全与新兴技术安全创新联盟专家委员会专家、中共浙江省委网络安全和信息化领导小组办公室网络安全专家组专家以及浙江省信息安全标准化技术委员会委员。
谭晓生:王总,数据安全可以说是今年网络安全产业的一个年度热词,比如资本市场你看像最近的瑞数、像闪捷信息,还有世平信息,都有融资成功的消息;甲方需求侧我们今年收集到的市场项目数据,也是看到了数据安全市场其实有很多新的、大的项目;今年还出台了数据安全法,个人信息保护法等等法律法规的建设,多个维度来看,数据安全可以说是现在网络安全最热的一个板块。
那么您在数据安全的领域深耕了这么多年,如何看数据安全的整个的现状?
王世晞:今年确实开启了数据安全新起点,数安法和个保法的出台、国家大力推进数字化转型、国际形势的变化等几大方面因素都对数据安全有巨大的推动。各方对数据安全重视程度直接提升了一个数量级,大家对于数据安全的认识也开始清晰起来了。
热度上来了,安全厂商开始抢占市场,各厂商纷纷出台了相应的数据安全解决方案,全力进军数据安全。我也看到很多头部企业基于自身擅长的产品和技术,在向数据安全重点需求或者热点方向延伸,比如某公司以原有的网络态势感知作为基础,向数据安全的态势感知和数据防护角度去拓展。可以说今年各种数据安全方案架构琳琅满目,可谓八仙过海,各显神通。
总体来说,我觉得数据安全正在面临两大趋势和一个新课题,
第一大趋势
产品和服务并行,技术和管理并重
现在的数据安全有一大特点是以服务为主导,产品+服务+定制化。
其原因是在数字化转型时代,数据作为基本的生产要素存在于业务中随着业务流动。所以数据安全必须深入业务去做,需要基于用户场景对具体业务进行定制服务,标准化产品比较难以适应当前的市场。
还有一个原因是数据安全不仅具备外延性风险,更重要的是内源性的风险,比如内部人员业务操作这层面所形成的安全威胁。所以依靠技术措施的同时,必须建立配套的数据安全管理机制。那就需要技术方面的定制服务加管理方面的咨询服务相结合。
数据安全法把数据安全治理作为数据安全的必经之路写在第四条,突出了其极大的重要性和法律要求。数据安全治理的落脚点是两个要素:数据和人。人和敏感数据的相关联程度被作为一个重要的基准点来进行管控,是数据安全关注和处理的核心,这意味着技术和管理两个方面要同时处理,这是与原来传统的网络安全的本质还是有点区别的。
第二大趋势
体系化融合:系统层面、技术层面、管理层面
第二大趋势就是体系化的融合。在数字化时代,大规模的数据共享、业务协同、信息系统互联互通,数据安全必须是全方位、全流程的,需要体系化的融合。
主要表现在三个层面,一是部门系统的融合:提效率,从总部到分支机构、到不同平级部门,要构建统一的管控平台、统一的策略下发以及事件上报、态势分析。
二是产品技术的体系化融合,在数据、权限、行为、状态等多个维度,综合评估判断安全风险,进行相应的管控处置,构建一个强化的零信任管控机制。
三是管理流程体系化融合。数据资产安全管理、安全合规与风险管理、安全运营管理等需要实现流程化、数字化,并落实到每一个业务流程中,融合形成统一的管理流程体系,可以重点突出地形成一个综合可视化驾驶舱。
新课题
数据安全合规与风险管理
实际上现在目前强监管的环境下,合规合法是一个刚需,数据安全法律陆续出台,如何进行合规性评估和管理是我们当前的新课题,也是数据安全产品升级和数据安全治理服务的一项内容。
我觉得合规管理有三个层次,一是数据安全法律法规条理的梳理解读,并结合业务和数据找出重点,要做出优先落实的方案和策略,以及后续逐步推进。
二是应对监管机构的执法检查和合规性评估。各个企业单位政府单位需要配合监管测评方面建立自查评机制,以及落实到各个业务流程和参与度。
三是制定合法合规与风险管理评估与响应处置的机制,并构建数据安全合规与风险管控的体系。
谭晓生:王总在数据安全领域做了这么多年,对于数据安全的市场这些年的变化能不能梳理一下?
王世晞:从技术角度来说,我认为数据安全的发展分为5个阶段。
- 第一个阶段比较简单,就是我们说的数据加密阶段。那个时候数据量不是很大,系统也比较封闭,工作任务是对一些重要数据和敏感数据采取加密手段。但是随着数据量的剧增和业务系统的日益复杂,简单的数据加密成为正常业务开展的瓶颈,逐渐开始过渡到第二阶段。
- 第二个阶段以数据库审计、 DLP、数据脱敏技术为代表。这些技术是基于数据库,结合数据访问操作系统,对复杂的信息系统和访问数据库的行为进行管控。另外基于数据内容的抽取识别,对原始的数据进行变化或者加密,对业务系统的数据进行简单的监控和保护。但是这个阶段也逐渐的遇到了瓶颈,因为在数据安全治理的要求下,要有数据的规则和模型,这就向第三个阶段开始发展。
- 第三个阶段是数据资产发现、分类分级、数据治理、合规管理的阶段。在这个阶段要实现什么?针对重要数据、国家秘密、个人信息等数据进行靶向监控、精准管控。在当前复杂的大数据响应平台下,如何对流动数据进行有效管控,这是一个很重要的基础。
- 第四个阶段是零信任架构以及隐私保护阶段,实际上这个阶段现在才刚刚起步,我们相信随着今后的技术发展,零信任的思想可以形成一些数据安全专门的管控和保护手段。
- 第五个阶段我认为是大融合阶段,就是前面我说过的体系化融合,形成一个完整的、多方位、多视角的数据安全统一管控平台;多维、全息、强化的零信任管控;具备十分成熟的安全管理流程体系。
我认为目前国内大多数网络安全和数据安全企业主要还在第二阶段,世平处于第三阶段向第四、五阶段发展过渡的转台。
谭晓生:我昨天晚上还在看梅宏写的数据安全治理的那本书,叫《数据治理之论》。觉得目前数据安全治理现在从概念上大家还没能完全的统一。
王世晞:是的。
谭晓生:您刚才讲到两大趋势和一个课题,其实这里面的挑战有很多,产品加服务,再定制化,对于传统的网络安全产品来说,这就是一个巨大的挑战。
面对定制化的难题,提供数据安全的解决方案的企业该怎么办?世平在这种趋势之下打算怎么办?
王世晞:数据安全提供商不能仅仅做一个什么标准化产品,我觉得首先要对整个行业的法律法规进行一个深入解读,在这基础上,针对不同行业的业务特点进行深入的研究,形成针对各大行业的一些特定的解决方案,具体实施的时候依据现有常规的一些安全模型来进行配套。
在后台上,应该通过管理制度梳理出用户所需要的核心技术点有哪些,不断的深化核心技术研究,同时形成一个容器化平台,平台上有各种的核心模块,能够灵活对接前台各个行业的需求,基于安全模型能够快速响应客户的定制化需求,同时又降低了交付成本。
谭晓生:在这个市场上,哪些行业是您最关注的?
王世晞:我们基本是跟着国家的主线。数据安全目前是一个合规性驱动市场,我觉得首先要考虑国家层面,也就是电子政务的大数据平台。现在国家推动数字化转型,电子政务的市场空间也很大。
第二是央企,因为央企跟国家的政策法规走得很近,是国家经济命脉,里面的国家秘密数据很多,中央对央企数据管控能力的关注度是非常大的,所以他们在数据安全建设上应该是率先进入的。我们对央企的服务经验很丰富,对其业务也有深刻理解,这也是我们的一个主线。
再者就是对于数据管理要求高的一些行业,比如说金融、运营商等。随着形势变化,我们将基于社会数据为核心,向公众秘密信息、商业秘密信息延展,做好数据安全的合规管控,帮助各类客户发挥数据的应用优势。
谭晓生:世平信息2021年的销售收入,不知道这个信息您方便不方便透露?
王世晞:我们2021年的收入过亿了,比去年有了很明显的增长,效果还是相当不错的。
谭晓生:这个是非常不容易的。我们从各种监测数据来看,政府的项目其实有所减少。但各地的大数据局或者政务数据局的项目确实增加的比较快,针对政府、政务数据局这种客户世平信息有什么样的产品或者解决方案已经推出来了吗?
王世晞:在政务口,世平信息在国家秘密和重要数据的保护方面一直具备引领优势。保密行业是国家现下数据安全里面的重中之重,这是首要的,必须保护的。
我们跟国家保密监管机构合作,在目前政务大数据数字化转型的过程中,对它所涉及的国家秘密和工作秘密合法合规的使用与保护方面切入,我们提供了一个完整的政务大数据保密监管体系配套的产品体系,这个是我们目前重点推出的。
另外在个人信息保护方面我们也有配套的产品,比如说传统的数据安全(特别是敏感数据),合规管控、监测等;我们将数据资产发现、数据资产分类分级、数据安全的合规检测、数据安全防护、数据脱敏等形成了一套体系化的综合管控平台体系。
谭晓生:从今年上市公司公开发布的一些信息,我们看到像安恒、奇安信,都对于政务大数据局市场非常关注。世平信息和安恒、奇安信这样的上市公司相比,具备哪方面的优势?
王世晞:我们在数据安全合法合规,检测评估方面的技术有先发优势,并且有6年的广泛实施经验,包括:
密切配合保密行业和各级监管,应对不同应用的系统,进行数据安全保密的合规检测;对数据安全相关的法律法规做了深入解读和合规项的梳理,提供个人信息保护的合规模型;涉密信息、重要数据、个人信息三合一的情况下,我们把数据与合规建立形成一个完整的模型,应用在实际的合规管控检测上;在数据分类分级,数据安全治理的服务以及业务梳理上具备精细化、规则化的策略等。
我们的数据安全统一管控平台目前已经落地了3-4年,有率先开发应用的优势。其实世平跟安恒这样一些大厂的态势感知平台系统是可以进行融合的,很多大厂是从网络安全、态势感知的角度往数据安全发展,而我们是围绕数据本身,对涉密、重要数据、个人信息等结合进行合规管控。
谭晓生:那么同样原来做保密口的公司,像中孚信息,像万里红这种企业,在更小范围内的同行之间的竞争,世平信息的竞争优势在哪里?
王世晞:我们基因不同。中孚、万里红最早做的是保密管控、保密监管,他们做的更多是管理工具。而我们世平原来是做DLP的,基于数据内容,从发现数据资源、识别数据资产,到数据资产的分类分级、检测与合规管控。我们更基于数据内容本身,相比之下抠的更细。
第二个不同是他们更倾向于终端的管控,我们更注重于信息系统和信息系统的对接、信息系统和数据库的对接,在信息应用中去深入的识别发现违法违规使用数据的场景;信息系统内部的网络流动、数据流动、数据模型和数据类型的监测发现上,这是我们独特的优势。
谭晓生:王总听说这轮的融资咱们是有CETC的资本进入是吗?
王世晞:对,中电科基金会通过投资这种方式做技术的延展,在一些重点的技术方向做投入。我们跟中电科从2016年开始到现在有5年的业务合作,我们数据安全的合规管控体系对中电科自身的数据安全治理建设,以及中电科本身电子政务等产品技术体系服务的输出有很大的互补性。
中电科觉得我们对他们整个业务发展、市场延展具备很大的价值,决定在我们这做战略合资。
谭晓生:那么在现阶段下,世平对公司自己的定位是什么?
王世晞:我们的定位一直没有变:数据安全合规管控与防护。
我认为数据安全跟网络安全不太一样,网络安全有个特点是大集成,我觉得数据安全应该更专业化一些。其实数据安全领域很广,我们的重点还是定位在合规管控与防护、数据分类分级和资产管理上。
数据内容安全防护是我们的一个主要定位点。世平自己的架构理念是我们原创的“五层数据安全体系”,我们叫“DCTII”(如图)。
谭晓生:现在咱们的这种产品或者解决方案,市场反馈的情况怎么样?
王世晞:全国大概有26个省级保密局、30多个地级市保密局、部委、政府单位都广泛应用了我们的数据合规检测和防护的管控产品;各级政务大数据局在用我们的涉密数据合规检测系统;很多央企、军工企业用我们的数据外发管控体系(涉密数据、敏感数据管控系统)。
运营商主要用传统的DLP(基于网络的和终端的数据安全管控),还有电信客户根据工信部要求要建立数据安全管控平台,包括可视化展示、态势等;金融客户主要用我们专门为金融行业做的终端,数据外发管控,跟客户的OA系统相结合,在很多银行广泛应用,大概覆盖了过万的金融机构。
谭晓生:您对数据安全产品或者技术或者市场这方面还有什么样的发展的预测?世平还有什么样的新的规划?
王世晞:我觉得今年数据安全真的成为了热点,未来5年数据安全将会越来越热。对我们来说,成为中国的数据安全的头部企业是我的目标,世平在过往的发展中走的很稳,有自己的独特的目标市场,而且有自己独特的核心竞争力,我觉得还是很有信心的。
谭晓生:数据安全和网络安全之间的关系,您怎么看?
王世晞:我觉得数据安全永远离不开网络安全,数据安全肯定是网络安全中的一部分。
只不过传统网络安全的理念是以边界防护为核心,主要研究的是攻击与响应。而数据安全跟业务紧密相结合,更偏向内源性。所以我认为在防护的定位和思路上二者的侧重点是有区别的。
但总的来说,数据安全应该基于网络安全是在网络安全防护的基础上再深入去做的事。
谭晓生:这个我有一点不太一样的看法和王总交流,比如说数据安全这里面的用户隐私保护,它应不应该划在网络安全范畴,其实这是打一个问号的。包括咱们国家的管理体系,过去的络安全是由公安系统来总体牵头负责,它是执法部门;但现在数据安全网信办设立了数据安全局,会不会数据安全的管理归口将来不在公安系统?有可能会在网信?数据安全应该是还有一部分东西是在网络安全的管理的范畴之外的。
王世晞:我认同你的观点,你说的很有道理。数据安全毕竟是一个比较特殊的领域,完全以网络安全角度来看可能太粗放了。
谭晓生:在数据安全领域最近有一些比较热的词:隐私计算,衍生出来的联邦学习,同态加密,安全多方计算等,现在也是创业的热点方向。世平对这个领域是怎么看的?
王世晞:我觉得这会是今后一个很重要的方向,其实它的理念非常好。我们跟大量的用户打过交道,数据安全不是要把人管死,用纯隔离的方式去做数据安全固然效果很好,但问题是确实影响了数据本身价值的充分利用,所以我觉得您说的隐私计算方面的东西,包括多方计算、联邦计算等是能够很好的平衡这个矛盾。只是目前这个领域的技术还是处于一个初级阶段,效率性能还没有上去,程度还有限,但是目前在特定的领域和场合已经可以发挥作用了。
我们现在也有隐私计算这方面研究和积累。
谭晓生:那么对零信任和数据安全的关系您是怎么看?
王世晞:零信任是个很好的理念,我们自身做数据安全管理就应用了零信任,我觉得效果非常好。比如说我们数据安全管控平台本身理念就是基于零信任的,包含规则策略定义、哪些数据该什么人访问,有什么权限,能访问多少,这些东西都是在零信任的理念之内。
只是我们可能不会自己去做零信任网关,随着业务需要,我们会考虑整合合作。
谭晓生:嗯,世平的核心竞争力还是对于数据,以及对于用户业务场景的这种深刻的了解。
王世晞:是的,谢谢大家。
评论