8月26日,由IDC 主办的2022 CSO全球网络安全峰会首次落地中国,以表彰本年度为中国网络安全市场做出重大贡献的十大人物,奇安信集团总裁吴云坤获得“中国CSO名人堂(十大人物)”奖项。基于此,雷峰网与吴云坤进行了一次对话。
吴云坤表示,作为一个在网络安全行业摸爬滚打了20多年的老兵,见证了中国网络安全跟随信息化发展不断成长和提升的过程,这个新荣誉,是对自己过去20多年坚持和坚守的褒奖,更是对未来更加投入地推动网络安全发展的鞭策和鼓励。
IDC是全球权威咨询机构,中国CSO名人堂(十大人物)是面向CSO群体设立的奖项,这个奖项本身是对中国CSO群体的认同和鼓励,也是对中国网络安全行业发展的认可和激励。
(奇安信集团总裁吴云坤)
网络安全成为底板工程
随着数字化转型的深入,网络安全成为底板工程,行业得以高速发展,中国的发展速度和发展潜力都处于全球领先水平,CSO全球网络安全峰会落地中国是一个很好的契机,可以更好地凝聚行业共识,集聚行业力量,共同推动中国网络安全建设和产业发展。
吴云坤认为网络安全的发展与信息化发展、与信息化对业务的支撑紧密相关,中国的信息化发展已经与世界同步,无论是信息化水平还是信息产业发展都处于全球领先水平。但中国的网络安全落后于信息化,无论是产业规模还是能力水平,都需要进一步提升。
就全球网络安全产业格局来看,美国网络安全产业在产值规模、技术创新力、企业影响力、资本活跃度都依旧处于领先地位。问及相比于国外的网络安全产业、技术,我国有哪些领先的地方,对于两者之间的差距应该从哪些方面去缩小?吴云坤告诉雷峰网,“相对来说中国在体系化的技术发展、体系化的技术能力建设方面还有不足,在一些细分技术领域的发展上精深程度还不够;另外中国网络安全技术领域的原始创新还很少,基本还是COPY to CHINA,尤其是在一些前沿领域和新技术领域还是以学习和跟随为主。”
但是,通过观察,国内网络安全技术进步很快,在所有网络安全技术领域我们与美国的差距在不断缩小。每年的美国RSA大会被认为是网络安全技术的演武场和风向标,从会议展出和探讨的技术看,我们与美国的差距在不断缩小,我们对比了RSAC的创新沙盒入围企业和BCS安全创客汇的入围企业,发现从技术领域覆盖到技术创新,中国对新技术的跟踪也跟世界保持了同步。
看好数据安全增长市场
近些年来,随着数字技术的发展,数据安全问题带来的危害越发多样化。谈到数据安全和网络空间安全之间的关系,以及国家一方面提倡数字化建设,一方面又对数据安全加强监管之间的联系。
吴云坤表示,我们通常说的网络安全是指网络空间安全(Cyberspace Security),数据安全是网络空间安全的重要组成部分,在国家总体安全观下,网络空间安全是国家安全的重要组成部分,数据安全同样关系国家安全。国家推动数字化的发展,数据成为生产要素,是国家经济社会发展的重要生产资料,国家同时提出要统筹安全与发展,数据安全将是数据要素发挥价值的基础和保障,是数字中国、数字经济、数字社会的底板工程,所以国家必然要加强数据安全监管,尤其是关系国家安全的重要数据和个人信息。
去年我国密集出台了《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》,这三部法律法规与2017年实施的《网络安全法》这“三法一条例”构成了我国数据安全顶层制度框架,今年又连续出台了《网络安全审查办法》《数据出境安全评估办法》《数据安全管理认证实施规则》《网络数据安全管理条例》这些配套的数据安全法规和制度,这些都是实操层面的,目的都是为了加快三法一条例的落地,强化对重要数据和个人信息的安全监管,压实企业主体责任,这些法规出台可以说是立竿见影,推动了数据安全市场的快速增长,对于安全厂商来说是极大利好。
吴云坤同样看好数据安全市场的发展,他认为,数据安全市场增长除了数据安全相关产品、服务和方案市场外,最重要的还是带动了传统基础安全市场的很大的增量。
最近国内多家安全咨询机构发布了相关的数据安全市场分析,他们一致认为2022年数据安全市场规模在100亿左右,2023年在125~130亿之间,市场增长率在30%左右。他说,这些数据还是基于纯粹的数据安全保护市场,没有把传统基础安全的市场增量算进去。
数据安全是数字化的前提
随着数据成为新的生产要素,数据安全已经成为数字化的前提和基础,没有数据安全,就没有数字化发展。因此国家在大力推动数字中国战略,提出统筹安全与发展。
吴云坤列举了推动数据安全发展的因素主要有以下几个方面:
国际竞争驱动:数据被称为21世纪的石油,也必然成为国家间竞争的重点领域,数据安全因此成为国家安全的重要组成部分。
数字化发展驱动:数字化已经成为驱动经济社会发展的核心驱动力,数据安全是数字化先进生产力的前提和基础。
威胁驱动:以数据为目标的APT攻击、勒索软件攻击愈演愈烈,数据泄露等安全事件层出不穷。
合规驱动:我国的数据安全法律法规体系越来越完善,对数据安全监管也越来越严格。
在问及数据安全从萌芽、到当下、到未来主要经历了哪些不同的阶段?吴云坤答道:数据安全的发展一直跟随数字业务发展、数据及数据应用的发展而变化,根据不同的数据及应用发展基本可以分为三个阶段:
第一阶段是传统数据安全阶段。这一阶段,数据是静态的,业务应用系统是简单的三层结构,数据量小,从防护角度,以静态防护和实体防护为主。
第二阶段是大数据安全阶段。这一阶段,数据是流动的,业务应用系统基于大数据平台,系统架构复杂,从防护角度,一是需要基于数据流转的动态防护;二是传统的数据安全技术需要适配新的大数据环境;三是需要新的防护技术和防护手段来满足扩大的安全范畴需求,比如针对外部攻击的API防护、针对内部违规的行为审计等。
第三阶段是数据多元和多元数据加工和应用阶段。这一阶段,多元数据汇聚到数据中台,通过中台向业务和应用提供数据服务,这一阶段除了以上的防护手段外,必须对数据进行精细化管控,要对数据分类分级,然后进行细颗粒度的管控和精细化防护。
吴云坤表示,据我们观察,关系国计民生的关键信息基础设施、重要行业、政府管理和社会服务机构,以及数字化业务开展比较好的企业、业务涉及个人信息的企业,会更加关注数据安全。不同的政企客户由于数字化和网络安全建设的阶段不同,对数据安全的需求也会有差异。比如银行、电信运营商等数字化程度高、安全建设水平比较高的机构,需要系统治理、体系化规划的数据安全解决方案,他们希望对数据进行系统治理、分类分级,然后进行体系化规划,制定战略目标、设计体系架构、管理体系、技术体系和运营体系。而对于接近85%的国内政企机构还处于数字化的初级阶段,数据安全治理刚刚开始,他们数据安全最紧迫的事情是补短板,把基础防护做好。
新形势下如何保护数据安全?
随着新技术、新威胁、新场景的不断涌现,传统面向数据流转简单、系统结构简单、数据应用和处理简单的静态数据防护技术已经不足以应对新趋势下数据安全威胁。
吴云坤告诉雷峰网(公众号:雷峰网),大数据环境下,数据流转复杂、数据应用场景和数据载体也发生了很大变化,数据防泄露、数据脱敏这些传统数据安全技术需要适配新场景和新载体,产品形态和数据应用都会发生改变。目前企业部署的防护产品存在以下问题:
1)安全缺乏体系化建设,有很多的防护漏洞和短板,外部风险防御能力缺失,很容易被攻破,导致数据窃取、拖库等;2)已有防护系统没有人进行有效运营,没有发挥作用,比如购买了防火墙,但防火墙的策略没有有效配置;3)权限控制缺失,导致数据滥用,尤其是特权账号管理薄弱,造成权限滥用,弱口令普遍存在进而导致数据泄露;4)终端管控、上网行为管控缺失,引发数据外泄;5)API资产不清楚,缺乏有效管控;6)缺乏有效的威胁检测和监控手段,发生安全事件却不能第一时间得到告警。
所有这些都是源于没有做到内生安全,安全和信息化和业务系统的融合没有做好。
他提出,大数据下的数据安全防护应有以下几个要点。
1)数据安全靠的不是单点技术,而是能力体系;
2)技术与管理要结合;
3)对数据分类分级,对重要数据在关键环节做到精准防护;
4)结合零信任与数据实体防护,构建数据安全技术防御体系;
5)数据伴随着业务流转,数据安全需要与业务内生,梳理数据脉络,将安全能力和举措深入到应用和业务中,并与信息化各层级全面覆盖和深度结合。
数字经济时代下,要发挥数据要素的价值,必须推动数据安全共享流通。我们应该如何让数据更安全的流通?
针对数据安全共享流通,奇安信推出了数据交易沙箱,针对数据保护与数据价值挖掘之间存在巨大矛盾这一痛点问题,结合各类法律法规对数据安全开放的要求,秉承“数据不动程序动”、“数据可用不可见”的安全理念推出的数据安全开放服务平台。
该平台支持对接多种数据源,具备数据访问权限管控、数据操作留痕审计、用户行为风险分析、输出结果申报审核等功能,实现了数据所有权和使用权分离,确保数据安全可控。帮助企业突破“不敢”、“不愿”、“不能”共享数据的困境,通过数据交易沙箱合法合规安全地对外开放数据,既保证数据安全,又能充分发挥数据的最大价值,助推企业数据业务的快速发展。
最后,吴云坤说:“我认为网络安全是一个长坡厚雪的行业,不是一个赚快钱的行业,在这个行业的人和企业,需要有一点家国情怀,需要耐得住寂寞,需要坚持长期投入,更需要持续的创新和探索。”