隨著數字時代發(fā)展的不斷深入，大數據既是驅動業(yè)務的新要素，也是創(chuàng)造價值的新源泉。但與此同時，數據安全問題正愈發(fā)嚴重，成為國家、企業(yè)等開發(fā)利用大數據的主要挑戰(zhàn)。

　　5月26日至28日，2021中國國際大數據產業(yè)博覽會（簡稱“2021數博會”）在貴州省貴陽市召開。期間，《中國數據安全產業(yè)發(fā)展研究報告》（以下簡稱“報告”）重磅揭曉。

　　據悉，作為報告的發(fā)布方，大數據協(xié)同安全技術國家工程實驗室是我國大數據安全領域目前唯一的國家工程實驗室，由國內頭部互聯網安全公司三六零（以下簡稱360，股票代碼：601360）負責承建。

　　針對報告內容，大數據協(xié)同安全技術國家工程實驗室常務副主任、360集團副總裁兼首席安全官杜躍進作出了詳細的解讀和分析，他表示，數據安全是最早的安全概念，目前傳統(tǒng)廠商眾多，涵蓋加密、數據庫等領域。RSAC 2021創(chuàng)新沙盒TOP10中，有三個企業(yè)都屬于數據安全領域。數據安全創(chuàng)新在持續(xù)升溫，但這個領域依舊處于混亂和焦慮的狀態(tài)，還需要大家的積極探索。

　　數據安全市場至少還有30年紅利

　　報告顯示，伴隨云計算、大數據、人工智能，工業(yè)互聯網等新興技術的飛速發(fā)展，數據作為組織的核心資產，已成為驅動一切業(yè)務的基礎。在此背景下，數據安全生態(tài)環(huán)境正趨向熱絡，安全行業(yè)標準與法規(guī)也不斷成熟。

　　據杜躍進介紹，我國在十四五規(guī)劃及2035遠景目標中，明確提出了數據安全的戰(zhàn)略意義。此外，由于移動互聯網的日益普及，終端用戶的消費習慣也徹底改變，數據的合理合法使用已成為大眾消費決策的重要參考因素。而在商業(yè)、產業(yè)層面，由于企業(yè)對數據安全意識的不斷加強，B端的數據安全市場因此獲得爆發(fā)契機。

　　據權威市場調研機構Gartner預測，2021年，將有超過30%的企業(yè)開始實施執(zhí)行數據安全治理框架。2022年，90％的企業(yè)戰(zhàn)略將明確數據作為關鍵企業(yè)資產，數據分析將作為必不可少的能力。

　　另一方面，市場對大型數據中心建設、數據安全咨詢服務與培訓、安全技術產品和方案實施需求不斷增多，同樣為數據安全廠商帶來新的業(yè)務方向。國際數據公司IDC的報告顯示，2020下半年，中國IT安全服務市場廠商整體收入約為14.4億美元，廠商收入規(guī)模較去年同期上漲21.4%。

　　“近年來頻發(fā)的數據泄露事件表明，企業(yè)核心數據一旦丟失，就如同戰(zhàn)場上司令部被對手消滅一樣嚴重，企業(yè)可能因此倒閉或面臨巨大財務和商譽損失。”杜躍進說道，同時他表示，放眼未來趨勢，數據安全是與業(yè)務強關聯的，這塊市場至少還有30年的紅利。目前 1～3 年以內做十幾億、上百億的市場，在這個空間里有很大機會。

　　數據安全治理面臨多重挑戰(zhàn)

　　數字時代進展迅猛，但同樣危機四伏。正如360集團創(chuàng)始人、董事長周鴻祎所言，這是最好的時代，也是最壞的時代——整個世界都將架構在軟件之上，網絡基礎設施將變得更加復雜，漏洞無所不在、攻擊面無限擴大、脆弱性前所未有。報告顯示，全球數據安全風險與日俱增，數據安全與隱私保護，數據上云、流動共享的風險等問題，對各國數據安全治理能力提出了以下新的挑戰(zhàn)。

　　挑戰(zhàn)一：大數據技術給數據安全防護帶來顛覆性改變

　　大數據的“4V特性”使傳統(tǒng)的數據安全技術無法有效應對大數據應用場景下新出現的安全問題。個人隱私以及國家重要信息泄露，也逐漸成為非常嚴峻的全球性問題。

　　挑戰(zhàn)二：數據泄露影響各類主體

　　與以往竊取企業(yè)商業(yè)信息為目的攻擊不同，國家大數據信息往往與國家機密、重要基礎設施、社會穩(wěn)定發(fā)展息息相關，這樣的攻擊往往帶有更高的威脅。

　　挑戰(zhàn)三：有組織的網絡攻擊背景強大且難以發(fā)現

　　有組織有背景的惡意網絡攻擊是數據泄露的主要原因之一，這類攻擊者大都是有組織、集團化的犯罪團伙，甚至是具有國家背景的黑客團隊和網絡戰(zhàn)部隊。

　　挑戰(zhàn)四：數據共享與流通中的安全合規(guī)

　　在數字經濟時代，數據將會頻繁地跨系統(tǒng)、跨組織甚至跨境流動，有些大數據局已經反映，因為沒有垂直管轄單位并且在匯集各方數據后不能有效執(zhí)行數據安全管理工作，給大數據局帶來數據泄露風險。

　　挑戰(zhàn)五：數據跨境傳輸成為國際性問題

　　一些國家以地緣政治和意識形態(tài)先行，用數字安全的名義發(fā)展自身數字攻防能力，或會擾亂全球數字經濟規(guī)則。

　　挑戰(zhàn)六：數據安全意識薄弱

　　數據安全領域老生常談的問題在大數據時代依然存在，大數據的使用場景更加復雜，數據業(yè)務價值更大，產業(yè)從業(yè)者將面臨技術和管理兩方面更大的挑戰(zhàn)。

　　報告還結合多家專業(yè)機構的分析，集合國內項目的實踐案例，梳理出了目前最關鍵的數據安全技術。其中包括密碼技術、脫敏技術、以數據為中心的審計與防護技術、數據防泄漏技術、云訪問安全代理技術、身份識別與訪問管理技術、區(qū)塊鏈技術、可信執(zhí)行環(huán)境技術、多方安全計算技術和聯邦學習技術、人工智能技術等。

　　對于數據安全治理面臨的挑戰(zhàn)，杜躍進總結了五大基本認識。

　　第一，數據價值越大、安全能力越薄弱的地方，面臨的風險越大。隨著智慧城市、工業(yè)互聯網的發(fā)展，越來越多的數據沉淀在政府的大數據交易平臺、城市的職能中樞，而同時它們也是能力最薄弱的地方。

　　第二，創(chuàng)新是關鍵，我們必須要始終有創(chuàng)新的意識，不能閉門造車，一定要從產業(yè)中來到產業(yè)中去，快速調整、持續(xù)優(yōu)化，否則無法適應全面數字化轉型的時代。

　　第三，傳統(tǒng)的管理或懲罰并不能解決數據安全問題，需要從“只會處罰”，到“處罰壞的、獎勵好的、幫助弱的”。對安全不作為或者故意侵害數據安全或隱私的行為進行懲罰；建立安全能力，幫助各企業(yè)行業(yè)應對網絡安全威脅；變管理為治理，讓數據安全水平高的企業(yè)獲得更多的發(fā)展機會。

　　第四，數據更像血液而不是石油，目標是讓數據更多、更流暢、更健康，這才是數據安全治理的核心。

　　第五，需要“朋友圈”，而不是“扎籬笆”。面對強敵，需要大范圍協(xié)同，各自為戰(zhàn)的安全防御，無法發(fā)現異常，更無法判斷威脅的全貌。

　　構建基于DSMM的數據安全治理體系

　　如何進行數據安全治理？報告給出的答案是構建基于數據安全能力成熟度模型（以下簡稱DSMM）的數據安全治理體系。DSMM源于國家標準GB/T37988-2019《信息安全技術 數據安全能力成熟度模型》。該標準以數據為中心，針對采集、傳輸、存儲、處理、交換和銷毀全生命周期的各階段，從組織建設、制度流程、技術工具、人員能力四個維度對企業(yè)或組織的數據安全能力提出要求，并劃分成非正式執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級五個持續(xù)提升的等級。該標準全方位指導組織機構的數據安全能力建設，實現數據在跨組織流動的過程中安全風險總體可控。

　　這是一個正向驅動的數據安全治理體系。首先，數據安全能力成熟度高，意味著業(yè)務發(fā)展機會大，其瞄準的主要目標是讓數據安全成為競爭力而不是成本。在數據端以數據的分類分級為基礎，在處理端以組織的數據安全能力成熟度等級為依據，建立“數據安全能力強，高價值數據獲取機會越多”的正向驅動關系。政府建立多部門數據共享流通，促進大數據利用的機制時，發(fā)起方可以通過組織的數據安全能力成熟度級別，決定是否要繼續(xù)與對方進行數據流動。這在數據成為第五大生產要素的數字經濟時代，將使得組織有動力主動提升自己的數據安全能力，從而達到安全治理的目標。

　　工程實驗室將主要通過數據安全咨詢、測評和培訓服務，來幫助客戶構建或融入到基于DSMM的數據安全治理體系。以數據安全咨詢服務，使客戶了解國家相關法規(guī)標準和行業(yè)規(guī)范，知曉其數據安全現狀，發(fā)掘其應用需求和安全需求，為客戶給出具有針對性的數據安全解決方案。以數據安全測評服務，特別是DSMM測評，幫助客戶準確找到數據安全管理和技術方面的差距，來幫助客戶提升數據安全能力和數據安全防護水平。以數據安全培訓服務，為數據安全行業(yè)和客戶培養(yǎng)專業(yè)的數據安全管理人員和工程技術人員，來提高客戶的數據安全運營水平。

　　該報告亦列舉了目前實踐中基于DSMM進行數據安全治理的優(yōu)秀案例。首屈一指的便是貴陽DSMM產業(yè)生態(tài)實踐案例。截至目前，在工程中心注冊登記的DSMM測評師一共265名。以DSMM為抓手，通過數據安全能力成熟度評估，貴州大數據安全工程研究中心先后在十余個領域、50多家機構開展了落地試點，涵蓋了政務、金融、系統(tǒng)集成、軟件服務、安全服務、大數據、教育培訓、工業(yè)互聯網等行業(yè)，在數據安全領域積累了豐富的實踐經驗，探索構建了包括人員培訓、法律支撐、市場準入、軟件產品、測評服務、認證資質的數據安全治理體系，健全了大數據安全發(fā)展的產業(yè)生態(tài)鏈，為大數據的發(fā)展提供了安全能力保障。

　　杜躍進對此總結道，未來需要繼續(xù)探索研究DSMM在不同行業(yè)領域的落地應用，持續(xù)優(yōu)化評估方法、改進標準，加快培訓、測評、咨詢、認證工作，共建共創(chuàng)DSMM生態(tài)；同時依托國家工程實驗室，聯合地方或者行業(yè)力量，結合具體場景和問題，建立第三方機制，為業(yè)界打造持續(xù)運營、開放創(chuàng)新的研究環(huán)境。