官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
前言:
2021年可以说是中国的“数据安全元年”,《网络安全法》、《数据安全保护法》、《个人信息保护法》以及《网络数据安全管理条例》,即三法一条例的正式发布实施,意味着国家正式将数据安全上升到国家战略的高度。数据作为第五大生产要素,已成为国家的核心战略资源,2022年9月1号,国家正式实施《数据出境安全评估办法》,以规范战略资源的出境流动,宣示数据主权。
我们肯定会想到,数安法的发布,是不是像2017年网安法的发布时候一样,会带来巨大的业务机会,实现数据安全产业的快速发展,但事实并非如此,除了客观疫情和中美贸易战的外部形式的挑战,更重要的原因是数据安全产业并非网络安全产业那般,保障的是网络链路的安全(或者称为管道安全),网安方案的核心设计理念“分区分域,一个中心三重防护”就是通过合理的安全框架实现管道安全,和业务本身没有太多的交集。而数据安全保障的是管道里面内容的安全,内容和业务息息相关,凡是涉及业务安全的相关建设,其复杂度都非常之高。因为客户对产品品质的容忍度变低,由于产品问题,导致业务出现问题,对客户而言属于重大事故,承担的风险很高。因此,数据安全产业应用发展将会比网络安全产业应用发展要慢的多,网络安全等级保护国家用了2-3年的时间,几乎实现了全面的推广和应用,而数据安全可能需要5-8年,甚至更长的时间。
1.数据安全产业面临的挑战
从目前的产业结构来看,数据安全市场还处于发展初期,整个产业链条还不完善,产业上游的供应链没有摸索出自身的特性,例如隐私计算、区块链、软件生态厂家等等是否能对产品形成助力,推动产品的成熟度,也需要探索,中游的厂商产品/方案成熟度不够,下游的客户应用场景也不是很明确,所以数据安全产业的发展还面临比较大的挑战,下面总结一些核心的原因。
1)数据安全产品成熟度不高。按照CAPE数据安全能力框架,C-风险核查阶段,面向数据安全的咨询服务以及风险评估方式方法还不够成熟,更多服用传统网安的手段,因此在精准度、和理性上存在一定的挑战;A-资产梳理,基于主被动的资产识别和梳理技术相对比较成熟,但是面向资产的分类分级目前没有找到很好的方式,还是主要依靠人力基于经验去分类分级,如何高效的分类分级是未来技术探索的重点,和软件厂家、数据库厂家、存储厂家等生态形成合力,制定统一标准,规范化业务数据生产、采集和存储过程,对数据资产的智能分类分级有巨大的推动。P-数据保护,数据库防水坝、数据安全网关、数据库加密/脱敏、基于零信任访问控制这些产品还处于前期推广阶段,DLP数据防泄密/终端管控等技术相对比较成熟。E-监测预警,除了数据库审计相对比较成熟,数据安全态势感知/数据安全监管平台等平台型产品也处于早期阶段,需要市场的不断打磨。
2)数据安全场景不清晰。目前数据安全应用最多的行业就是金融、政府和大企业。金融主要围绕数据安全合规和全生命周期安全保护,政府(大数据局)主要围绕数据流通和共享,大企业主要围绕数据防泄密几大常规的应用场景。除了这些典型的场景,和有限的客户群,根本无法支撑数据安全产业的发展,因此结合行业探索更多的数据安全场景是未来重点关注的方向之一。
3)数据安全详细的落地政策/规范/指导不完善。国家虽然颁布了上位法律法规,规定了单位数据安全责任义务和权利,但是详细的数据安全产业发展指导、落地规范、数据安全建设标准和评价标准都没有明确的发布,因此政策的推动力度需要进一步的加大。