隨著數(shù)字時(shí)代發(fā)展的不斷深入，大數(shù)據(jù)既是驅(qū)動(dòng)業(yè)務(wù)的新要素，也是創(chuàng)造價(jià)值的新源泉。但與此同時(shí)，數(shù)據(jù)安全問(wèn)題正愈發(fā)嚴(yán)重，成為國(guó)家、企業(yè)等開(kāi)發(fā)利用大數(shù)據(jù)的主要挑戰(zhàn)。

　　5月26日至28日，2021中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)（簡(jiǎn)稱“2021數(shù)博會(huì)”）在貴州省貴陽(yáng)市召開(kāi)。期間，《中國(guó)數(shù)據(jù)安全產(chǎn)業(yè)發(fā)展研究報(bào)告》（以下簡(jiǎn)稱“報(bào)告”）重磅揭曉。

　　據(jù)悉，作為報(bào)告的發(fā)布方，大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室是我國(guó)大數(shù)據(jù)安全領(lǐng)域目前唯一的國(guó)家工程實(shí)驗(yàn)室，由國(guó)內(nèi)頭部互聯(lián)網(wǎng)安全公司三六零（以下簡(jiǎn)稱360，股票代碼：601360）負(fù)責(zé)承建。

　　針對(duì)報(bào)告內(nèi)容，大數(shù)據(jù)協(xié)同安全技術(shù)國(guó)家工程實(shí)驗(yàn)室常務(wù)副主任、360集團(tuán)副總裁兼首席安全官杜躍進(jìn)作出了詳細(xì)的解讀和分析，他表示，數(shù)據(jù)安全是最早的安全概念，目前傳統(tǒng)廠商眾多，涵蓋加密、數(shù)據(jù)庫(kù)等領(lǐng)域。RSAC 2021創(chuàng)新沙盒TOP10中，有三個(gè)企業(yè)都屬于數(shù)據(jù)安全領(lǐng)域。數(shù)據(jù)安全創(chuàng)新在持續(xù)升溫，但這個(gè)領(lǐng)域依舊處于混亂和焦慮的狀態(tài)，還需要大家的積極探索。

　　數(shù)據(jù)安全市場(chǎng)至少還有30年紅利

　　報(bào)告顯示，伴隨云計(jì)算、大數(shù)據(jù)、人工智能，工業(yè)互聯(lián)網(wǎng)等新興技術(shù)的飛速發(fā)展，數(shù)據(jù)作為組織的核心資產(chǎn)，已成為驅(qū)動(dòng)一切業(yè)務(wù)的基礎(chǔ)。在此背景下，數(shù)據(jù)安全生態(tài)環(huán)境正趨向熱絡(luò)，安全行業(yè)標(biāo)準(zhǔn)與法規(guī)也不斷成熟。

　　據(jù)杜躍進(jìn)介紹，我國(guó)在十四五規(guī)劃及2035遠(yuǎn)景目標(biāo)中，明確提出了數(shù)據(jù)安全的戰(zhàn)略意義。此外，由于移動(dòng)互聯(lián)網(wǎng)的日益普及，終端用戶的消費(fèi)習(xí)慣也徹底改變，數(shù)據(jù)的合理合法使用已成為大眾消費(fèi)決策的重要參考因素。而在商業(yè)、產(chǎn)業(yè)層面，由于企業(yè)對(duì)數(shù)據(jù)安全意識(shí)的不斷加強(qiáng)，B端的數(shù)據(jù)安全市場(chǎng)因此獲得爆發(fā)契機(jī)。

　　據(jù)權(quán)威市場(chǎng)調(diào)研機(jī)構(gòu)Gartner預(yù)測(cè)，2021年，將有超過(guò)30%的企業(yè)開(kāi)始實(shí)施執(zhí)行數(shù)據(jù)安全治理框架。2022年，90％的企業(yè)戰(zhàn)略將明確數(shù)據(jù)作為關(guān)鍵企業(yè)資產(chǎn)，數(shù)據(jù)分析將作為必不可少的能力。

　　另一方面，市場(chǎng)對(duì)大型數(shù)據(jù)中心建設(shè)、數(shù)據(jù)安全咨詢服務(wù)與培訓(xùn)、安全技術(shù)產(chǎn)品和方案實(shí)施需求不斷增多，同樣為數(shù)據(jù)安全廠商帶來(lái)新的業(yè)務(wù)方向。國(guó)際數(shù)據(jù)公司IDC的報(bào)告顯示，2020下半年，中國(guó)IT安全服務(wù)市場(chǎng)廠商整體收入約為14.4億美元，廠商收入規(guī)模較去年同期上漲21.4%。

　　“近年來(lái)頻發(fā)的數(shù)據(jù)泄露事件表明，企業(yè)核心數(shù)據(jù)一旦丟失，就如同戰(zhàn)場(chǎng)上司令部被對(duì)手消滅一樣嚴(yán)重，企業(yè)可能因此倒閉或面臨巨大財(cái)務(wù)和商譽(yù)損失。”杜躍進(jìn)說(shuō)道，同時(shí)他表示，放眼未來(lái)趨勢(shì)，數(shù)據(jù)安全是與業(yè)務(wù)強(qiáng)關(guān)聯(lián)的，這塊市場(chǎng)至少還有30年的紅利。目前 1～3 年以內(nèi)做十幾億、上百億的市場(chǎng)，在這個(gè)空間里有很大機(jī)會(huì)。

　　數(shù)據(jù)安全治理面臨多重挑戰(zhàn)

　　數(shù)字時(shí)代進(jìn)展迅猛，但同樣危機(jī)四伏。正如360集團(tuán)創(chuàng)始人、董事長(zhǎng)周鴻祎所言，這是最好的時(shí)代，也是最壞的時(shí)代——整個(gè)世界都將架構(gòu)在軟件之上，網(wǎng)絡(luò)基礎(chǔ)設(shè)施將變得更加復(fù)雜，漏洞無(wú)所不在、攻擊面無(wú)限擴(kuò)大、脆弱性前所未有。報(bào)告顯示，全球數(shù)據(jù)安全風(fēng)險(xiǎn)與日俱增，數(shù)據(jù)安全與隱私保護(hù)，數(shù)據(jù)上云、流動(dòng)共享的風(fēng)險(xiǎn)等問(wèn)題，對(duì)各國(guó)數(shù)據(jù)安全治理能力提出了以下新的挑戰(zhàn)。

　　挑戰(zhàn)一：大數(shù)據(jù)技術(shù)給數(shù)據(jù)安全防護(hù)帶來(lái)顛覆性改變

　　大數(shù)據(jù)的“4V特性”使傳統(tǒng)的數(shù)據(jù)安全技術(shù)無(wú)法有效應(yīng)對(duì)大數(shù)據(jù)應(yīng)用場(chǎng)景下新出現(xiàn)的安全問(wèn)題。個(gè)人隱私以及國(guó)家重要信息泄露，也逐漸成為非常嚴(yán)峻的全球性問(wèn)題。

　　挑戰(zhàn)二：數(shù)據(jù)泄露影響各類(lèi)主體

　　與以往竊取企業(yè)商業(yè)信息為目的攻擊不同，國(guó)家大數(shù)據(jù)信息往往與國(guó)家機(jī)密、重要基礎(chǔ)設(shè)施、社會(huì)穩(wěn)定發(fā)展息息相關(guān)，這樣的攻擊往往帶有更高的威脅。

　　挑戰(zhàn)三：有組織的網(wǎng)絡(luò)攻擊背景強(qiáng)大且難以發(fā)現(xiàn)

　　有組織有背景的惡意網(wǎng)絡(luò)攻擊是數(shù)據(jù)泄露的主要原因之一，這類(lèi)攻擊者大都是有組織、集團(tuán)化的犯罪團(tuán)伙，甚至是具有國(guó)家背景的黑客團(tuán)隊(duì)和網(wǎng)絡(luò)戰(zhàn)部隊(duì)。

　　挑戰(zhàn)四：數(shù)據(jù)共享與流通中的安全合規(guī)

　　在數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)將會(huì)頻繁地跨系統(tǒng)、跨組織甚至跨境流動(dòng)，有些大數(shù)據(jù)局已經(jīng)反映，因?yàn)闆](méi)有垂直管轄單位并且在匯集各方數(shù)據(jù)后不能有效執(zhí)行數(shù)據(jù)安全管理工作，給大數(shù)據(jù)局帶來(lái)數(shù)據(jù)泄露風(fēng)險(xiǎn)。

　　挑戰(zhàn)五：數(shù)據(jù)跨境傳輸成為國(guó)際性問(wèn)題

　　一些國(guó)家以地緣政治和意識(shí)形態(tài)先行，用數(shù)字安全的名義發(fā)展自身數(shù)字攻防能力，或會(huì)擾亂全球數(shù)字經(jīng)濟(jì)規(guī)則。

　　挑戰(zhàn)六：數(shù)據(jù)安全意識(shí)薄弱

　　數(shù)據(jù)安全領(lǐng)域老生常談的問(wèn)題在大數(shù)據(jù)時(shí)代依然存在，大數(shù)據(jù)的使用場(chǎng)景更加復(fù)雜，數(shù)據(jù)業(yè)務(wù)價(jià)值更大，產(chǎn)業(yè)從業(yè)者將面臨技術(shù)和管理兩方面更大的挑戰(zhàn)。

　　報(bào)告還結(jié)合多家專(zhuān)業(yè)機(jī)構(gòu)的分析，集合國(guó)內(nèi)項(xiàng)目的實(shí)踐案例，梳理出了目前最關(guān)鍵的數(shù)據(jù)安全技術(shù)。其中包括密碼技術(shù)、脫敏技術(shù)、以數(shù)據(jù)為中心的審計(jì)與防護(hù)技術(shù)、數(shù)據(jù)防泄漏技術(shù)、云訪問(wèn)安全代理技術(shù)、身份識(shí)別與訪問(wèn)管理技術(shù)、區(qū)塊鏈技術(shù)、可信執(zhí)行環(huán)境技術(shù)、多方安全計(jì)算技術(shù)和聯(lián)邦學(xué)習(xí)技術(shù)、人工智能技術(shù)等。

　　對(duì)于數(shù)據(jù)安全治理面臨的挑戰(zhàn)，杜躍進(jìn)總結(jié)了五大基本認(rèn)識(shí)。

　　第一，數(shù)據(jù)價(jià)值越大、安全能力越薄弱的地方，面臨的風(fēng)險(xiǎn)越大。隨著智慧城市、工業(yè)互聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的數(shù)據(jù)沉淀在政府的大數(shù)據(jù)交易平臺(tái)、城市的職能中樞，而同時(shí)它們也是能力最薄弱的地方。

　　第二，創(chuàng)新是關(guān)鍵，我們必須要始終有創(chuàng)新的意識(shí)，不能閉門(mén)造車(chē)，一定要從產(chǎn)業(yè)中來(lái)到產(chǎn)業(yè)中去，快速調(diào)整、持續(xù)優(yōu)化，否則無(wú)法適應(yīng)全面數(shù)字化轉(zhuǎn)型的時(shí)代。

　　第三，傳統(tǒng)的管理或懲罰并不能解決數(shù)據(jù)安全問(wèn)題，需要從“只會(huì)處罰”，到“處罰壞的、獎(jiǎng)勵(lì)好的、幫助弱的”。對(duì)安全不作為或者故意侵害數(shù)據(jù)安全或隱私的行為進(jìn)行懲罰；建立安全能力，幫助各企業(yè)行業(yè)應(yīng)對(duì)網(wǎng)絡(luò)安全威脅；變管理為治理，讓數(shù)據(jù)安全水平高的企業(yè)獲得更多的發(fā)展機(jī)會(huì)。

　　第四，數(shù)據(jù)更像血液而不是石油，目標(biāo)是讓數(shù)據(jù)更多、更流暢、更健康，這才是數(shù)據(jù)安全治理的核心。

　　第五，需要“朋友圈”，而不是“扎籬笆”。面對(duì)強(qiáng)敵，需要大范圍協(xié)同，各自為戰(zhàn)的安全防御，無(wú)法發(fā)現(xiàn)異常，更無(wú)法判斷威脅的全貌。

　　構(gòu)建基于DSMM的數(shù)據(jù)安全治理體系

　　如何進(jìn)行數(shù)據(jù)安全治理？報(bào)告給出的答案是構(gòu)建基于數(shù)據(jù)安全能力成熟度模型（以下簡(jiǎn)稱DSMM）的數(shù)據(jù)安全治理體系。DSMM源于國(guó)家標(biāo)準(zhǔn)GB/T37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》。該標(biāo)準(zhǔn)以數(shù)據(jù)為中心，針對(duì)采集、傳輸、存儲(chǔ)、處理、交換和銷(xiāo)毀全生命周期的各階段，從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)維度對(duì)企業(yè)或組織的數(shù)據(jù)安全能力提出要求，并劃分成非正式執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、持續(xù)優(yōu)化級(jí)五個(gè)持續(xù)提升的等級(jí)。該標(biāo)準(zhǔn)全方位指導(dǎo)組織機(jī)構(gòu)的數(shù)據(jù)安全能力建設(shè)，實(shí)現(xiàn)數(shù)據(jù)在跨組織流動(dòng)的過(guò)程中安全風(fēng)險(xiǎn)總體可控。

　　這是一個(gè)正向驅(qū)動(dòng)的數(shù)據(jù)安全治理體系。首先，數(shù)據(jù)安全能力成熟度高，意味著業(yè)務(wù)發(fā)展機(jī)會(huì)大，其瞄準(zhǔn)的主要目標(biāo)是讓數(shù)據(jù)安全成為競(jìng)爭(zhēng)力而不是成本。在數(shù)據(jù)端以數(shù)據(jù)的分類(lèi)分級(jí)為基礎(chǔ)，在處理端以組織的數(shù)據(jù)安全能力成熟度等級(jí)為依據(jù)，建立“數(shù)據(jù)安全能力強(qiáng)，高價(jià)值數(shù)據(jù)獲取機(jī)會(huì)越多”的正向驅(qū)動(dòng)關(guān)系。政府建立多部門(mén)數(shù)據(jù)共享流通，促進(jìn)大數(shù)據(jù)利用的機(jī)制時(shí)，發(fā)起方可以通過(guò)組織的數(shù)據(jù)安全能力成熟度級(jí)別，決定是否要繼續(xù)與對(duì)方進(jìn)行數(shù)據(jù)流動(dòng)。這在數(shù)據(jù)成為第五大生產(chǎn)要素的數(shù)字經(jīng)濟(jì)時(shí)代，將使得組織有動(dòng)力主動(dòng)提升自己的數(shù)據(jù)安全能力，從而達(dá)到安全治理的目標(biāo)。

　　工程實(shí)驗(yàn)室將主要通過(guò)數(shù)據(jù)安全咨詢、測(cè)評(píng)和培訓(xùn)服務(wù)，來(lái)幫助客戶構(gòu)建或融入到基于DSMM的數(shù)據(jù)安全治理體系。以數(shù)據(jù)安全咨詢服務(wù)，使客戶了解國(guó)家相關(guān)法規(guī)標(biāo)準(zhǔn)和行業(yè)規(guī)范，知曉其數(shù)據(jù)安全現(xiàn)狀，發(fā)掘其應(yīng)用需求和安全需求，為客戶給出具有針對(duì)性的數(shù)據(jù)安全解決方案。以數(shù)據(jù)安全測(cè)評(píng)服務(wù)，特別是DSMM測(cè)評(píng)，幫助客戶準(zhǔn)確找到數(shù)據(jù)安全管理和技術(shù)方面的差距，來(lái)幫助客戶提升數(shù)據(jù)安全能力和數(shù)據(jù)安全防護(hù)水平。以數(shù)據(jù)安全培訓(xùn)服務(wù)，為數(shù)據(jù)安全行業(yè)和客戶培養(yǎng)專(zhuān)業(yè)的數(shù)據(jù)安全管理人員和工程技術(shù)人員，來(lái)提高客戶的數(shù)據(jù)安全運(yùn)營(yíng)水平。

　　該報(bào)告亦列舉了目前實(shí)踐中基于DSMM進(jìn)行數(shù)據(jù)安全治理的優(yōu)秀案例。首屈一指的便是貴陽(yáng)DSMM產(chǎn)業(yè)生態(tài)實(shí)踐案例。截至目前，在工程中心注冊(cè)登記的DSMM測(cè)評(píng)師一共265名。以DSMM為抓手，通過(guò)數(shù)據(jù)安全能力成熟度評(píng)估，貴州大數(shù)據(jù)安全工程研究中心先后在十余個(gè)領(lǐng)域、50多家機(jī)構(gòu)開(kāi)展了落地試點(diǎn)，涵蓋了政務(wù)、金融、系統(tǒng)集成、軟件服務(wù)、安全服務(wù)、大數(shù)據(jù)、教育培訓(xùn)、工業(yè)互聯(lián)網(wǎng)等行業(yè)，在數(shù)據(jù)安全領(lǐng)域積累了豐富的實(shí)踐經(jīng)驗(yàn)，探索構(gòu)建了包括人員培訓(xùn)、法律支撐、市場(chǎng)準(zhǔn)入、軟件產(chǎn)品、測(cè)評(píng)服務(wù)、認(rèn)證資質(zhì)的數(shù)據(jù)安全治理體系，健全了大數(shù)據(jù)安全發(fā)展的產(chǎn)業(yè)生態(tài)鏈，為大數(shù)據(jù)的發(fā)展提供了安全能力保障。

　　杜躍進(jìn)對(duì)此總結(jié)道，未來(lái)需要繼續(xù)探索研究DSMM在不同行業(yè)領(lǐng)域的落地應(yīng)用，持續(xù)優(yōu)化評(píng)估方法、改進(jìn)標(biāo)準(zhǔn)，加快培訓(xùn)、測(cè)評(píng)、咨詢、認(rèn)證工作，共建共創(chuàng)DSMM生態(tài)；同時(shí)依托國(guó)家工程實(shí)驗(yàn)室，聯(lián)合地方或者行業(yè)力量，結(jié)合具體場(chǎng)景和問(wèn)題，建立第三方機(jī)制，為業(yè)界打造持續(xù)運(yùn)營(yíng)、開(kāi)放創(chuàng)新的研究環(huán)境。