随着数字时代发展的不断深入,大数据既是驱动业务的新要素,也是创造价值的新源泉。但与此同时,数据安全问题正愈发严重,成为国家、企业等开发利用大数据的主要挑战。
5月26日至28日,2021中国国际大数据产业博览会(简称“2021数博会”)在贵州省贵阳市召开。期间,《中国数据安全产业发展研究报告》(以下简称“报告”)重磅揭晓。
针对报告内容,大数据协同安全技术国家工程实验室常务副主任、360集团副总裁兼首席安全官杜跃进作出了详细的解读和分析,他表示,数据安全是最早的安全概念,目前传统厂商众多,涵盖加密、数据库等领域。RSAC 2021创新沙盒TOP10中,有三个企业都属于数据安全领域。数据安全创新在持续升温,但这个领域依旧处于混乱和焦虑的状态,还需要大家的积极探索。
数据安全市场至少还有30年红利
报告显示,伴随云计算、大数据、人工智能,工业互联网等新兴技术的飞速发展,数据作为组织的核心资产,已成为驱动一切业务的基础。在此背景下,数据安全生态环境正趋向热络,安全行业标准与法规也不断成熟。
据杜跃进介绍,我国在十四五规划及2035远景目标中,明确提出了数据安全的战略意义。此外,由于移动互联网的日益普及,终端用户的消费习惯也彻底改变,数据的合理合法使用已成为大众消费决策的重要参考因素。而在商业、产业层面,由于企业对数据安全意识的不断加强,B端的数据安全市场因此获得爆发契机。
据权威市场调研机构Gartner预测,2021年,将有超过30%的企业开始实施执行数据安全治理框架。2022年,90%的企业战略将明确数据作为关键企业资产,数据分析将作为必不可少的能力。
另一方面,市场对大型数据中心建设、数据安全咨询服务与培训、安全技术产品和方案实施需求不断增多,同样为数据安全厂商带来新的业务方向。国际数据公司IDC的报告显示,2020下半年,中国IT安全服务市场厂商整体收入约为14.4亿美元,厂商收入规模较去年同期上涨21.4%。
“近年来频发的数据泄露事件表明,企业核心数据一旦丢失,就如同战场上司令部被对手消灭一样严重,企业可能因此倒闭或面临巨大财务和商誉损失。”杜跃进说道,同时他表示,放眼未来趋势,数据安全是与业务强关联的,这块市场至少还有30年的红利。目前 1~3 年以内做十几亿、上百亿的市场,在这个空间里有很大机会。
数据安全治理面临多重挑战
数字时代进展迅猛,但同样危机四伏。正如360集团创始人、董事长周鸿祎所言,这是最好的时代,也是最坏的时代——整个世界都将架构在软件之上,网络基础设施将变得更加复杂,漏洞无所不在、攻击面无限扩大、脆弱性前所未有。报告显示,全球数据安全风险与日俱增,数据安全与隐私保护,数据上云、流动共享的风险等问题,对各国数据安全治理能力提出了以下新的挑战。
挑战一:大数据技术给数据安全防护带来颠覆性改变
大数据的“4V特性”使传统的数据安全技术无法有效应对大数据应用场景下新出现的安全问题。个人隐私以及国家重要信息泄露,也逐渐成为非常严峻的全球性问题。
挑战二:数据泄露影响各类主体
与以往窃取企业商业信息为目的攻击不同,国家大数据信息往往与国家机密、重要基础设施、社会稳定发展息息相关,这样的攻击往往带有更高的威胁。
挑战三:有组织的网络攻击背景强大且难以发现
有组织有背景的恶意网络攻击是数据泄露的主要原因之一,这类攻击者大都是有组织、集团化的犯罪团伙,甚至是具有国家背景的黑客团队和网络战部队。
挑战四:数据共享与流通中的安全合规
在数字经济时代,数据将会频繁地跨系统、跨组织甚至跨境流动,有些大数据局已经反映,因为没有垂直管辖单位并且在汇集各方数据后不能有效执行数据安全管理工作,给大数据局带来数据泄露风险。
挑战五:数据跨境传输成为国际性问题
一些国家以地缘政治和意识形态先行,用数字安全的名义发展自身数字攻防能力,或会扰乱全球数字经济规则。
挑战六:数据安全意识薄弱
数据安全领域老生常谈的问题在大数据时代依然存在,大数据的使用场景更加复杂,数据业务价值更大,产业从业者将面临技术和管理两方面更大的挑战。
报告还结合多家专业机构的分析,集合国内项目的实践案例,梳理出了目前最关键的数据安全技术。其中包括密码技术、脱敏技术、以数据为中心的审计与防护技术、数据防泄漏技术、云访问安全代理技术、身份识别与访问管理技术、区块链技术、可信执行环境技术、多方安全计算技术和联邦学习技术、人工智能技术等。
对于数据安全治理面临的挑战,杜跃进总结了五大基本认识。
第一,数据价值越大、安全能力越薄弱的地方,面临的风险越大。随着智慧城市、工业互联网的发展,越来越多的数据沉淀在政府的大数据交易平台、城市的职能中枢,而同时它们也是能力最薄弱的地方。
第二,创新是关键,我们必须要始终有创新的意识,不能闭门造车,一定要从产业中来到产业中去,快速调整、持续优化,否则无法适应全面数字化转型的时代。
第三,传统的管理或惩罚并不能解决数据安全问题,需要从“只会处罚”,到“处罚坏的、奖励好的、帮助弱的”。对安全不作为或者故意侵害数据安全或隐私的行为进行惩罚;建立安全能力,帮助各企业行业应对网络安全威胁;变管理为治理,让数据安全水平高的企业获得更多的发展机会。
第四,数据更像血液而不是石油,目标是让数据更多、更流畅、更健康,这才是数据安全治理的核心。
第五,需要“朋友圈”,而不是“扎篱笆”。面对强敌,需要大范围协同,各自为战的安全防御,无法发现异常,更无法判断威胁的全貌。
构建基于DSMM的数据安全治理体系
如何进行数据安全治理?报告给出的答案是构建基于数据安全能力成熟度模型(以下简称DSMM)的数据安全治理体系。DSMM源于国家标准GB/T37988-2019《信息安全技术 数据安全能力成熟度模型》。该标准以数据为中心,针对采集、传输、存储、处理、交换和销毁全生命周期的各阶段,从组织建设、制度流程、技术工具、人员能力四个维度对企业或组织的数据安全能力提出要求,并划分成非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级五个持续提升的等级。该标准全方位指导组织机构的数据安全能力建设,实现数据在跨组织流动的过程中安全风险总体可控。
这是一个正向驱动的数据安全治理体系。首先,数据安全能力成熟度高,意味着业务发展机会大,其瞄准的主要目标是让数据安全成为竞争力而不是成本。在数据端以数据的分类分级为基础,在处理端以组织的数据安全能力成熟度等级为依据,建立“数据安全能力强,高价值数据获取机会越多”的正向驱动关系。政府建立多部门数据共享流通,促进大数据利用的机制时,发起方可以通过组织的数据安全能力成熟度级别,决定是否要继续与对方进行数据流动。这在数据成为第五大生产要素的数字经济时代,将使得组织有动力主动提升自己的数据安全能力,从而达到安全治理的目标。
工程实验室将主要通过数据安全咨询、测评和培训服务,来帮助客户构建或融入到基于DSMM的数据安全治理体系。以数据安全咨询服务,使客户了解国家相关法规标准和行业规范,知晓其数据安全现状,发掘其应用需求和安全需求,为客户给出具有针对性的数据安全解决方案。以数据安全测评服务,特别是DSMM测评,帮助客户准确找到数据安全管理和技术方面的差距,来帮助客户提升数据安全能力和数据安全防护水平。以数据安全培训服务,为数据安全行业和客户培养专业的数据安全管理人员和工程技术人员,来提高客户的数据安全运营水平。
该报告亦列举了目前实践中基于DSMM进行数据安全治理的优秀案例。首屈一指的便是贵阳DSMM产业生态实践案例。截至目前,在工程中心注册登记的DSMM测评师一共265名。以DSMM为抓手,通过数据安全能力成熟度评估,贵州大数据安全工程研究中心先后在十余个领域、50多家机构开展了落地试点,涵盖了政务、金融、系统集成、软件服务、安全服务、大数据、教育培训、工业互联网等行业,在数据安全领域积累了丰富的实践经验,探索构建了包括人员培训、法律支撑、市场准入、软件产品、测评服务、认证资质的数据安全治理体系,健全了大数据安全发展的产业生态链,为大数据的发展提供了安全能力保障。
杜跃进对此总结道,未来需要继续探索研究DSMM在不同行业领域的落地应用,持续优化评估方法、改进标准,加快培训、测评、咨询、认证工作,共建共创DSMM生态;同时依托国家工程实验室,联合地方或者行业力量,结合具体场景和问题,建立第三方机制,为业界打造持续运营、开放创新的研究环境。
来源:中国信息安全