前言:
2021年可以说是中国的“数据安全元年”,《网络安全法》、《数据安全保护法》、《个人信息保护法》以及《网络数据安全管理条例》,即三法一条例的正式发布实施,意味着国家正式将数据安全上升到国家战略的高度。数据作为第五大生产要素,已成为国家的核心战略资源,2022年9月1号,国家正式实施《数据出境安全评估办法》,以规范战略资源的出境流动,宣示数据主权。
我们肯定会想到,数安法的发布,是不是像2017年网安法的发布时候一样,会带来巨大的业务机会,实现数据安全产业的快速发展,但事实并非如此,除了客观疫情和中美贸易战的外部形式的挑战,更重要的原因是数据安全产业并非网络安全产业那般,保障的是网络链路的安全(或者称为管道安全),网安方案的核心设计理念“分区分域,一个中心三重防护”就是通过合理的安全框架实现管道安全,和业务本身没有太多的交集。而数据安全保障的是管道里面内容的安全,内容和业务息息相关,凡是涉及业务安全的相关建设,其复杂度都非常之高。因为客户对产品品质的容忍度变低,由于产品问题,导致业务出现问题,对客户而言属于重大事故,承担的风险很高。因此,数据安全产业应用发展将会比网络安全产业应用发展要慢的多,网络安全等级保护国家用了2-3年的时间,几乎实现了全面的推广和应用,而数据安全可能需要5-8年,甚至更长的时间。
1.数据安全产业面临的挑战
从目前的产业结构来看,数据安全市场还处于发展初期,整个产业链条还不完善,产业上游的供应链没有摸索出自身的特性,例如隐私计算、区块链、软件生态厂家等等是否能对产品形成助力,推动产品的成熟度,也需要探索,中游的厂商产品/方案成熟度不够,下游的客户应用场景也不是很明确,所以数据安全产业的发展还面临比较大的挑战,下面总结一些核心的原因。
1)数据安全产品成熟度不高。按照CAPE数据安全能力框架,C-风险核查阶段,面向数据安全的咨询服务以及风险评估方式方法还不够成熟,更多服用传统网安的手段,因此在精准度、和理性上存在一定的挑战;A-资产梳理,基于主被动的资产识别和梳理技术相对比较成熟,但是面向资产的分类分级目前没有找到很好的方式,还是主要依靠人力基于经验去分类分级,如何高效的分类分级是未来技术探索的重点,和软件厂家、数据库厂家、存储厂家等生态形成合力,制定统一标准,规范化业务数据生产、采集和存储过程,对数据资产的智能分类分级有巨大的推动。P-数据保护,数据库防水坝、数据安全网关、数据库加密/脱敏、基于零信任访问控制这些产品还处于前期推广阶段,DLP数据防泄密/终端管控等技术相对比较成熟。E-监测预警,除了数据库审计相对比较成熟,数据安全态势感知/数据安全监管平台等平台型产品也处于早期阶段,需要市场的不断打磨。
2)数据安全场景不清晰。目前数据安全应用最多的行业就是金融、政府和大企业。金融主要围绕数据安全合规和全生命周期安全保护,政府(大数据局)主要围绕数据流通和共享,大企业主要围绕数据防泄密几大常规的应用场景。除了这些典型的场景,和有限的客户群,根本无法支撑数据安全产业的发展,因此结合行业探索更多的数据安全场景是未来重点关注的方向之一。
3)数据安全详细的落地政策/规范/指导不完善。国家虽然颁布了上位法律法规,规定了单位数据安全责任义务和权利,但是详细的数据安全产业发展指导、落地规范、数据安全建设标准和评价标准都没有明确的发布,因此政策的推动力度需要进一步的加大。
4)数据要素市场的发展刚刚起步。数据作为国家第五大生产要素,围绕数据的市场还处于萌芽阶段,因此市场对数据安全的热度还没有那么高,一旦数据交易市场形成,数据成为重要的商品,数据安全将会迎来爆发期。
2.数据安全未来的主战场
数据安全近2年受到资本市场的追捧,大量的新兴公司投入到数据安全领域,目前可以划分为4大阵营,第一阵营是传统网安厂家布局数据安全领域,例如安恒、奇安信、深信服、天融信、启明星辰、绿盟等厂家,投入研发重兵进军数据安全领域;第二大阵营是老牌的数据安全厂家,例如安华金和、杭州美创、上海观安、亿赛通、思维世纪、深圳昂楷等,成立10年以上;第三大阵营是新兴的数据安全厂商,例如全知科技、杭州闪捷、天空卫士、华控清交、同态科技、洞见科技等,成立年限3-8年;最后一个阵营是云原生数据安全厂家,例如腾讯安全、阿里云、华为云、火山引擎、天翼云、移动云、联通云等厂家,通过自研/并购/OEM的形式布局数据安全赛道。基于现有市场的分析,未来数据安全的主战场将聚焦如下几个方面:
1)数据的分类分级。严格意义上,数据的分类分级应该属于数据治理中的一部分,因为这是一个数据规范化的一个过程,只是这个结果是数据安全治理的前提条件。这也是为什么很多数据安全厂家或者传统网络安全厂家做不好的一个重要原因。要做好数据分类分级,这些要厂商的人既要懂行业数据分类分级规范、又要懂客户业务熟悉业务流程,因此工作的复杂度和时间周期都会很长。未来,厂家联合生态力量,采取人工+AI工具的分类分级方法将会是重要的发展方向。
2)数据的共享和流通。数据作为生产要素,必然要开放、共享和流通,才能发挥其在市场的价值。针对数据共享和流通过程中的,数据所有权和使用权分离问题、数据的可用不可见问题、数据安全交易问题等需要技术手段来实现,例如现在的隐私计算(联邦学习、可信计算环境和多方安全计算等)、区块链、数据加密/脱敏等方式主要解决数据流通过程中的安全问题
3)数据安全的合规性评估。企业在业务设计和业务发展阶段,如何满足国内外的数据安全合规性,是产品成功的前提必要条件,违规数据采集、传输、存储、使用和交换,轻则面临巨额罚款,重则面临违法判刑,因此未来业务/应用数据安全合规性评估是必须要做的事情。
4)数据的安全防护和防泄密。随着数据资产化、资本化的过程,数据肯定成为黑客或者敌对势力攻击、破坏、窃取的重点,因此针对数据的安全防护技术手段要不断的完善起来,例如数据安全网关、数据库审计、数据库防水坝、DLP防泄密技术、数据监管平台、密码技术、零信任访问控制技术等,确保数据在受保护的状态,防止被黑客的攻击和破坏
5)数据安全咨询与服务。数据安全领域作为和业务息息相关的产业,在没有解决数据分类分级复杂性问题之前,需要大量的专业人才投入到服务中来,因此未来,专业的数据安全咨询服务公司(数据治理公司),将会有很大的发展空间。可以配合数据安全产品厂家形成联合解决方案,共同服务于目标客户。
3.常见的数据安全治理架构
数据安全治理框架,目前业内使用最多的就是GB/T37988-数据安全能力成熟度模型DSMM模型和Gartner提出的DSG模型。DSMM是以数据全生命周期为时间轴,以组织建设、制度流程、技术工具和人员能力四个维度为评价标准,定义了数据安全成熟度1-5个级别(非正式执行/计划跟踪/充分定义/量化控制/持续优化)。
而Gartner提出的DSG模型,是从业务的视角出发,从上到下分为5个维度平衡业务需求和风险、确认高优先级数据资产并全生命周期管理、制定数据安全策略、数据安全产品落地以及安全策略编排,DSG的模型兼顾理论和实践,具有很高的可落地性。
两种架构的视角是不同的,各大厂家在提出本家的数据安全治理架构或者输出数据安全方案的时候,都或多或少参考了两种架构的一些治理理念和方法,我们可以参考DSG的数据安全治理的步骤,同样也可以基于DSMM针对数据全生命周期的阶段划分,来进行风险评估,并从组织、制度流程、技术工具和人员能力四个维度进行数据安全防护,最终形成可落地且有效的数据安全治理方法。
4.数据安全建设参考实践
数据安全的建设不是一蹴而就的,相较于网络安全,更需要耐心和时间,通过分析各个厂家的数据安全治理的经验,数据安全治理的阶段可以大致划分为6个阶段:咨询服务规划、风险评估、管控加固、威胁检测、审计溯源以及安全运营。
首先,基于DSG模型从业务的角度进行咨询规划,识别出来重要业务重点数据,进行重点保护,并且制定好安全方针和策略;其次,基于数据的全生命周期进行风险评估和安全加固,通过技术、工具、服务加强数据安全防护;因为环境和业务是动态变化,因此还要进行持续的威胁检测和审计溯源,解决攻入后的无感知无法追溯的问题;最后,就是以全局的视角,进行动态的安全运营,充分的将网络安全态势和数据安全态势进行有效的汇聚、关联和分析,以达到充分防御、联动防御的目的。