数据安全是近年来网络安全领域中的热门赛道,无论是从国家政策层面的数字治理,还是企业面临的数字化转型进程,整个社会都高度重视数字经济的发展。而无论是企业还是个人都面临着数据泄露和数据滥用的问题,数据安全就成为当下亟待面对和解决的问题,针对数据的安全建设也越来越得到政府机构和企业的高度关注和持续投入。
数据安全和信息安全的区别在哪里?数据安全治理能解决哪些痛点和问题?数据安全治理企业如何保持持续的发展?数据时代来临背景下数据安全赛道未来是一个怎么样的图景?视频财经媒体容众财经联合奇安投资推出信息安全系列专题,由奇安投资执行董事杨超先生和昂楷科技CEO刘永波先生分享关于数据信息安全的《真财实料》。
点击观看视频
许峻铭:欢迎关注容众财经,我们知道数据时代的来临,资产的定义和范围都有革命性的变化。那么数据作为一种资产,其安全性越来越多的人也开始重视起来了,数据安全和信息安全,它到底有什么区别?
刘永波:其实数据安全就是网络信息安全中一个重要的领域,因为网络信息安全的发展,我们从大概90年代的终端安全;到2000年网络兴起,这个时候的网络安全;那么到现在进入了DT时代,数据成为要素,数据安全成为最关注的一个重心,所以实际上数据安全,我们认为是网络信息安全发展到现在的历史阶段,成为了一个大家高度重视的一个命题。
许峻铭:国家层面的立法机关开始越来越重视数据安全,尤其是近期我也关注到一个新闻——《中华人民共和国数据安全法》已经公布安全法出来了之后,会对咱们整个行业,到底有什么影响呢?
杨超:我们在看到数据安全法的颁布,我们可以从两个维度来看:一个维度是看国家颁布的一系列网络安全相关的法规,从2017年的国家网络安全法到关键基础设施保护的条例,再到信息等级保护制度的1.0到2.0,到现在数据安全法,国家它是有一条主线,这条主线是从宏观整体上去构建网络空间网络的安全,再到网络使用数据的内核当中去颁布这样的一个法律法规,去保护这样的一个信息安全;从另一个维度来说,数据的时代它的属性已经变化了,我们在工业革命的时候,石油是工业革命当中最重要的要素。
我们现在进入下一个科技革命,就是智能化革命,智能化革命的要素是数据,所以数据的特性变得非常的重要,所以国家颁布数据安全保护法,是把数据作为一种战略的要素来定义的,数据的对象是境内的数据的活动,它是说明这个数据是有国界的,另外就说数据安全的保护对象,是公民以及组织使用的这些数据,数据的保护主体是一些民用和商用的这样的一个主体,同时数据安全法也把数据定义为国家的主权安全相关,所以在这个层面上,国家是系统上去把数据安全做个保障。同时国家也结合到大数据安全战略,是要各省级单位都出台这种对应的大数据的这种规划,现在大数据安全战略的前提是数据安全,原来可能只是一个模块,现在如果你的数据安全没有一个前提的这样一个准备,你构建的大数据是不安全的,这个是达不到国家的整体的部署的。
所以数据安全法,它能从这个行业,从概念,从公民的保护,再从国家的战略,层层的影响了国内的信息化的建设,行业的一些变化。
许峻铭:提炼杨总的几个关键词,一个是国家把数据安全,数据资产定义成一个关键性的战略要素;第二个这是一个系统工程,大到国家主权,下到公民的权益,公民的隐私保护其实都非常的重要。数据安全不仅是一个产业,它也关乎到国家的命脉,百姓的幸福指数也跟这个息息相关,过去几年会发现,很多企业利用数据漏洞,甚至包括这种通过一些法律的空白处,可能去动用一些老百姓的这些数据,导致可能数据隐私泄露,甚至包括一些很不好的动机,贩卖用户的数据,其实这些都是我们比较鄙夷的。
杨超:数据安全的领域,它关乎到老百姓的个人隐私,也关系到了那些企业它的核心的资产,还有它正在运行的商业秘密,所以这个里面是一个攻防特别对抗激烈的领域。这里面有黑产、有暗网,也有一些有组织的商业罪犯,他们利用自己的信息化的技术,去盗取很多平台上的数据,对数据进行贩卖,这种它是行业所带来的一个负面,同时让这个行业发展得更健康。
为什么呢?因为这个行业本身就是攻防,有人去攻就有人去防,从防的角度,像昂楷这样的数据安全公司,他们相当于在很多攻击的思路下,它要去做防守,防守方他肯定是要有自己的坚守的。首先它作为防守方,它能接触到这些数据,它必须自身产品公司,甚至相关的人员有这种正直感,它要去保护这些数据,而不是自己在这个数据当中,产生的一些对数据的风险,同时它要去补漏洞。攻防会有新的技术,防也需要在新的技术下去构建自己的产品线,其实这个是个非常苦的活,在网安行业做防守方一直是很被动的,但是又不断的压迫自己与时俱进,不断的去做产品的研发。所以它的产品两个维度,一个可用性和稳定性,它需要不断的打磨,新的一种攻击方式让它的产品的可用度和稳定度降低了,所以它需要更新和迭代;另一个维度它这个产品要全面,因为攻的时候,它可能从各个角落里去攻击,它的产品的防护的能力不全面的话,安全防护的这种能力也是有限的。所以在这个行业是一个苦的行业,需要很长时间的产品和技术的这样的一个打磨。
许峻铭:您在这个行业从事也有数十年的经验了,您为什么会选择数据安全治理这个领域?
刘永波:这是一个很有意思的事情,我记得在很早以前我就提数据安全时代已经来临了,那个大概是2012年的时候,那个时候大家还在谈的是网络安全,甚至是网络安全的这种老三件的东西。因为以前我在华赛的工作经历,我们是比较注重对市场的发展走势的研究的,那个时候,当时我们在华赛的时候的产品仍然是网络安全的一些产品,但是我已经注意到IT的发展必然会进入一个全新的阶段,那么就是我们一直在呼唤,过去讲的叫ICT的融合,那么ICT的融合其实就是IT和CT,也就是通信的融合,那么它融合到现在的最新的形态,大家现在在讲的DT,讲究的是数据,讲究的是内容,那么我相信这个时代是必定会快速来临的。
我也等了好久,从2012年都已经快十年了,现在是真正的开始落地了。所以正是由于对行业发展的趋势的认识,所以当时我坚定的走出来创业。我刚加入华为的时候,我们国家的通信的状态,和我们近些年我们网络信息安全的产业的状态是差不多的,那个时候也是七国八制,七国八制带来的很大的问题是什么?通信安全!其实就是我们语音通话中的内容安全,它会导致很多的泄密,所以华为当时肩负的使命是什么?就是解决国家的通信安全,提供产品解决方案的支撑,要不然国家没得选,没得选只有选择美国的产品。
许峻铭:这就是后来包括马云也提到的去IOE,我们还是要坚定的走,我们的自己的本土化国产化的这些产品?
刘永波:是这样的!现在新时代的通信安全是什么?或者说我们的核心东西是什么?就是数据!那么其实我们现在数据安全的产业,整个国内的发展状况,我们跟国外的水平还是有一定的落差。在那个时代,就是我在刚开始出来创业的时候,已经意识到这个问题,那么这是从两方面讲,一个讲我认为这很有机会,那么创业选择一个新的领域,选择一个国家需要的(领域),那么肯定容易成功。当然我们也是深受华为的熏陶,也是希望能够通过自己的实业,通过自己的创业,能够为国家建设贡献一份力量。
许峻铭:您刚才是从企业家的角度(说的),(那)从用户的角度,这个行业它到底有什么痛点?有什么真正的需求?
刘永波:我们的甲方用户,他们这块的负责人现在是处于焦虑之中,我觉得他们现在的问题在哪?痛点在哪里?第一点,我对自己的数据资产分布在哪里?在谁手里?它到底是怎么在用?这个东西是不太清楚的,浑然不知。由于我们在大型的系统当中,尤其是现在我们在搞新基建,这种快速的新系统的构建,甚至于我们在打通原来的这种小烟囱的这种系统,在构建这种新一代的数据中心平台,然后再基于大数据的中心平台的这种底座,再去构筑新的这种应用,然后又进行进一步的汇聚和分享。在这个过程中确实它的数据分布是非常复杂,而且它的数据是流动的,静止的数据是没有意义的,它就像人的血液一样,它必须流通,流通在现在大型系统中,是非常复杂的。
它的生命周期从采集开始,到中间要经过很多的环节,很多的工艺流程,比如说清洗、归一,那么还有到最终的销毁,中间涉及到的人又非常之多,比如说有很多的外包团队,有很多的驻场团队,那么即使在我们的一个政府内部的组织机构里面,也涉及到不同的委、办、局之间的共享互通,那么它也有权、责的界定的问题。数据最重要的就是三权的问题,比如说使用权,那么还有拥有权,那么还有一个运营权,这几个权,其实我们现在都没有很好的手段,或者说由于没有做好数据安全治理的措施之前,它是很难清晰的界定的。其实数据这几年采用了很多的新型的技术,有很多的中台产生了比如说数据中台、应用中台、云中台,那么这一切的目的为了什么?为了让数据多跑路?或者让人少跑路?或者说让老百姓少跑路?让它产生价值,所以新技术的采用,也给数据安全的防护,带来了很多技术上的麻烦。
那么一些传统的网络信息安全的技术手段,或者说解决方案,在面对这种新的大数据、云、包括区块链,包括人工智能等等这些新技术采纳的时候,它是不能适应的。就像刚才杨总所谈到的——黑客始终在找漏洞,找漏洞其实很多时候比建设是要容易多。我们摧毁一栋大厦可能搞个炸药包,轻轻松松就把它炸掉了,建设一个大楼,那是千百个工人,那么多人的心血才能建设起来的,所以这些新的问题都会导致我们的数据所有者他是非常焦虑。
许峻铭:结合您刚才讲的这一套整个的框架逻辑,给我们举一个具体的案例,帮我们更好的理解,我们如何通过这种数据安全治理,来解决一些数据安全的隐患问题?
刘永波:某政属局我不方便直接说他的名字,我们交流,他的一个感慨(是),他说我来来往往的历史上建立了那么多的系统,我的数据现在我都没有完整地掌握在我自己手里,甚至于连这些系统的权限账户可能都是一些外包方在管理和维护,我不知道这些数据到底是谁在使用,是不是在合法的使用,那就更别谈这些中间产生的一些数据泄露,甚至于数据破坏,或者数据滥用这些问题,其实都是共性的问题,这是一个基础的问题,我们把这个叫什么?叫精准的可视、感知。如果我们对自己的数据资产在哪里?被谁在用?被谁在管?如何在用?如何在流通都不清楚,它肯定是很难管理的。所以我们要解决这个问题,第一步要做到数据资产的,或者敏感信息的梳理,梳理完之后,我们要对它进行分类分级,分类分级就是要根据它的敏感性、重要性,根据我们三权之间的关系来梳理它的级别,给它打上标签。打上标签之后,进行精细化的控制,谁可以用?谁不可以用?用到什么程度?可以分享给谁?不能分享给谁?分享到什么程度?这个时候我们就要上我们的控制手段。那么控制手段其实是有多种,有的就像我们的雷达系统,我们是感知,我们是监控,我们是审计,审计之后我们就可以及时发现问题,可以预警出问题。
我们知道哪些危害行为已经发生?哪些违规行为已经发生?甚至我们可以感知到潜在的风险进行预防。那么针对极端的问题,我们还可以拦截,我们进行及时的阻断,那么还在针对分享的过程中,我们可以对敏感信息进行脱敏的处理,根据权力来进行分配,让它看到必要的数据。尤其在现今我们用大数据的分析的时候,这个问题是很迫在眉睫的,因为你必须要拿到数据,要拿到足够的数据,但是数据分享如果不能把敏感信息处理掉数据是无法分享出去的,那么数据就成了死数据,就不能产生价值,所以我们要对它进行敏感信息处理,来让数据真正的流动起来。那么甚至于我们还要对数据进行加密处理,这是更高级别的要求,那么还有从安全管控的角度,反制的角度,我们还有溯源,所以这里就有水印的技术,在数据库的数据里面打上一行信息,那么谁违规的获取了、分享了,那么我们可以知道他是谁,再进行一系列的反制;即使不是黑客,也可能是内部铤而走险的人,为了利益被诱惑的人,那么我们可以把它抓住,这是一系列的手段。那么还有一个很重要的就是:计算环境本身的安全问题,因为我们一直肩负一个使命,就是整个系统它是否可以连续性的运行,像我们大型的金融系统,我们大型的政务系统,在现在它的连续性运行已经变成了不可或缺了,如果它一旦瘫痪了、终止了,带来的也可能是灾难性的影响。比如说电力调度,电力调度有可能是由IT系统反到控制系统,那么金融系统是很容易理解的,比如说我们的证券交易,我们的网银,由于数据的破坏或者数据的紊乱,那是很容易出问题的。
那么包括在医院里面,我们曾经看到过一些案例,很多人在那排队,为什么?因为医院的HIS系统数据坏掉了。所以我们对本身计算环境的安全,比如说它自身的检测,它的脆弱性的检测,包括对它的加固,包括它的连续稳定性的运行,都是要进行持续的运营级的监测和保护,包括提前的预防。所以我刚才跟你讲的场景,其实适用所有的场景,无论是大型的我们的公安系统,金融系统还是说小到一个企业都是一样的,只是它的复杂度不同。
许峻铭:听起来这个流程非常的复杂,从无论是监测,包括整个后面的运营,甚至包括您刚才提到的几个技术环节,比如类似溯源、脱敏,这些帮助数据产生流动性都是很重要的。
刘永波:虽然我们刚才在谈技术,但其实真正落地的时候,它是一个完整的解决方案。首先是要顶层设计,设计数据安全治理的流程、制度,甚至包括组织框架,甚至于还有职责的分工。尤其现在数据安全治理,它是个新生事物,它不像原来的等保,像原来的ISO27000,那个是网络信息安全时代,它已经确定了一些方针政策,组织结构的流程;但是现在数据安全的治理,它涉及到更多运营管理,更多的业务层面,所以它的深度更深,影响更广,所以真正落地的时候,是要结合我们的流程制度框架,加上产品技术的结合,这两手都要硬!
我们公司一直在致力于打造数据安全治理的端到端的解决方案,那么目前我们是以数据安全控制中台为核心,然后有几个关键的控制单元,为重要的组成部分,形成了一个相对有内聚的一个解决方案。我们具体产品的数据安全综合治理管理平台,我们在前不久刚刚发布,我们其中一直有一个旗舰产品,叫数据安全审计,我们有数据库防火墙,我们有对敏感数据处理的数据脱敏处理系统,那么还有对计算环境进行检查的漏扫系统,还有对它的连续运行进行监控和管理的数据库状态监控系统,那么还有前面谈到的很重要一点,就是我们的敏感数据资产梳理系统,我们今年还在进行研发。
我曾经跟一个朋友探讨一个很有意思的话题,他说以后所有的科技公司只有一家公司叫数据公司,我跟他开玩笑,我说你的说法是不对的,应该还有一个公司叫数据安全公司,为什么这么讲?因为数据和安全,它一定是要相对的独立的,或者说相对的对立的,你才能真正的保障它的安全,就跟矛和盾一样!
许峻铭:刘总根据您这数十年的创业经验,您认为从事数据安全治理企业,它如何保证自己的可持续的发展?
刘永波:我觉得这个问题其实不只是数据安全治理企业,我认为所有优秀的企业,它都有一些共同的必须要去做到的。我认为首要的就是,一定要真正的关注客户的心声,关注他们的需求,就像我前面谈到这么多的痛点,如果我们作为从业者,还只是停留在过去搞信息安全,这种合规的公司经营思路上面去,肯定不会有持续的发展力。所以我们在这么多年,一直在践行这个理念,真正的把用户的需求,把用户的痛点作为我们一切工作的源头,那么从这里我们也做了很多的制度设计,比如说我们在公司很小的时候,就开始在执行IPD的一些流程,那么IPD流程是在华为,是一个非常成功的一个很重要的产品研发的流程,那么现在很多业界的一些知名的公司都在学习。
这个流程的核心就是,我们的所有的产品的研发一定是面向客户的,而且把我们的研发一定要输送到一线去,跟客户直接对话,同时让我们很多的领域都参与到产品的研制中,都来感知用户的诉求,用户的要求,所以从源头上我们就保证了我们的产品不是为了简单满足合规,而是一定要实战的。
所以我们说一定是要能够抓得住人,能够逮得到问题,要做这样的产品。在我们的整个制度、流程、组织设计上面,我们都会有Marketing的部门,我们在内部的研发流程上面,很早就有很多的这样的关于客户需求的验证,客户验证的交流,包括实验局等等。我认为这些才是保证,一个企业核心竞争力的根本源泉,而不是一招一式或者某个秘方,有很多投资人有时候问我,刘总你们公司的核心的技术是什么?到底保持领先性能有多久?说到底我认为在技术上我认为没有任何东西可以保鲜的,唯有持续的围绕着客户的需求,不断的投入,不断的创新,才能保持你的核心竞争力,尤其是不能闭门造车,自我设计、自我规划,这肯定是没有前途的。但说到这里我也谈一点,就是这个行业里面有些公司在谈到说,这个行业里面的一些不健康的生态,比如说低价竞争。我记得去年在BCS大会,后来齐总(齐向东)召集我们有个小范围的探讨——怎么构建更好的产业合作生态?当时就谈到低价竞争的问题,我当时表达了我的观点,我认为如果说我们所做的产品没有核心竞争力,我们期望几个公司之间达成某种默契,我认为这既没有可行性,第二(也)无价值。
所以说我们的根本点在于,整个行业里面一定要深挖,我们现在客户的痛点在哪里?大家一起联合去解决他的痛点,让客户真正认识到这些产品的价值在哪里?真正能帮他解决问题,我一直看到的是很多的客户,尤其是一些高端的,有要求有追求的客户他们一直在抱怨,现在很多的产品解决方案是不能很好地满足他的要求,所以这样的客户是非常好的,我们一定要真正的去认真的倾听,我们的设计一定要围绕他们的诉求去走,这样自然我们也能获得很好的回报。
许峻铭:站在我们这个时点,再看一下未来,您对数据时代,对数据安全有如何的展望?
刘永波:这是非常有意思的事情。在十年前我谈数据安全时代已经来临,那时候大家觉得还比较早。那么现在我们站在这个点,大家都认为数据安全肯定是至关重要的一个领域,那么现在我们在这个点来看,我觉得未来的十年,现在来看仍然只是刚刚开始,数据安全从我们把它当做一个领域来看待,上升为数据安全治理,这么一个质的提高的认识,说明它的影响,它的重视程度,大概已经到了一个新的阶段,所以现在我们看到的是我们的客户那边有很多数据安全的问题亟待解决,他们自己急需行业里面有很好的产品解决方案,包括服务来帮他们落地,但是实际上我们现在的产业界,还有的拿着传统的网络安全在应对这种新的挑战,所以我认为未来数据安全治理有很大的发展空间,我们还有很多的技术挑战,对这个行业的认识,或者对治理中的挑战的这种解决,需要花更多的心思。
杨超:我们从投资者维度去理解,数据安全赛道在网络信息安全的大赛道里,它逐渐成为重要的一个模块一个子赛道,网络安全市场的规模这几年基本上应该是在600到800亿左右,数据安全占了整个网络信息安全赛道,可能在8%到10%左右,网络安全的赛道在快速的成长,未来可能是个二千亿甚至到万亿的这样的一个市场规模。数据安全在当中的比重还会上升,它的增长会超过网络安全赛道的增长,所以这个里面会涌现一批优秀的企业,有些企业成为更大、更重要,离我们的生活更近的这样的一些公司,也要更多的在赛道里输入资本、输入资源,让赛道的企业更好的发展起来,也让网络安全环境、数据安全,这样的一个大的战略得到落地和执行。
来源:容众财经