隨著(zhù)數字時(shí)代發(fā)展的不斷深入，大數據既是驅動(dòng)業(yè)務(wù)的新要素，也是創(chuàng )造價(jià)值的新源泉。但與此同時(shí)，數據安全問(wèn)題正愈發(fā)嚴重，成為國家、企業(yè)等開(kāi)發(fā)利用大數據的主要挑戰。

5月26日至28日，2021中國國際大數據產(chǎn)業(yè)博覽會(huì )（簡(jiǎn)稱(chēng)“2021數博會(huì )”）在貴州省貴陽(yáng)市召開(kāi)。期間，《中國數據安全產(chǎn)業(yè)發(fā)展研究報告》（以下簡(jiǎn)稱(chēng)“報告”）重磅揭曉。

針對報告內容，大數據協(xié)同安全技術(shù)國家工程實(shí)驗室常務(wù)副主任、360集團副總裁兼首席安全官杜躍進(jìn)作出了詳細的解讀和分析，他表示，數據安全是最早的安全概念，目前傳統廠(chǎng)商眾多，涵蓋加密、數據庫等領(lǐng)域。RSAC 2021創(chuàng )新沙盒TOP10中，有三個(gè)企業(yè)都屬于數據安全領(lǐng)域。數據安全創(chuàng )新在持續升溫，但這個(gè)領(lǐng)域依舊處于混亂和焦慮的狀態(tài)，還需要大家的積極探索。

數據安全市場(chǎng)至少還有30年紅利

報告顯示，伴隨云計算、大數據、人工智能，工業(yè)互聯(lián)網(wǎng)等新興技術(shù)的飛速發(fā)展，數據作為組織的核心資產(chǎn)，已成為驅動(dòng)一切業(yè)務(wù)的基礎。在此背景下，數據安全生態(tài)環(huán)境正趨向熱絡(luò )，安全行業(yè)標準與法規也不斷成熟。

據杜躍進(jìn)介紹，我國在十四五規劃及2035遠景目標中，明確提出了數據安全的戰略意義。此外，由于移動(dòng)互聯(lián)網(wǎng)的日益普及，終端用戶(hù)的消費習慣也徹底改變，數據的合理合法使用已成為大眾消費決策的重要參考因素。而在商業(yè)、產(chǎn)業(yè)層面，由于企業(yè)對數據安全意識的不斷加強，B端的數據安全市場(chǎng)因此獲得爆發(fā)契機。

據權威市場(chǎng)調研機構Gartner預測，2021年,將有超過(guò)30%的企業(yè)開(kāi)始實(shí)施執行數據安全治理框架。2022年，90％的企業(yè)戰略將明確數據作為關(guān)鍵企業(yè)資產(chǎn)，數據分析將作為必不可少的能力。

另一方面，市場(chǎng)對大型數據中心建設、數據安全咨詢(xún)服務(wù)與培訓、安全技術(shù)產(chǎn)品和方案實(shí)施需求不斷增多，同樣為數據安全廠(chǎng)商帶來(lái)新的業(yè)務(wù)方向。國際數據公司IDC的報告顯示，2020下半年，中國IT安全服務(wù)市場(chǎng)廠(chǎng)商整體收入約為14.4億美元，廠(chǎng)商收入規模較去年同期上漲21.4%。

“近年來(lái)頻發(fā)的數據泄露事件表明，企業(yè)核心數據一旦丟失，就如同戰場(chǎng)上司令部被對手消滅一樣嚴重，企業(yè)可能因此倒閉或面臨巨大財務(wù)和商譽(yù)損失?！倍跑S進(jìn)說(shuō)道，同時(shí)他表示，放眼未來(lái)趨勢，數據安全是與業(yè)務(wù)強關(guān)聯(lián)的，這塊市場(chǎng)至少還有30年的紅利。目前1～3年以?xún)茸鍪畮變|、上百億的市場(chǎng)，在這個(gè)空間里有很大機會(huì )。

數據安全治理面臨多重挑戰

數字時(shí)代進(jìn)展迅猛，但同樣危機四伏。正如360集團創(chuàng )始人、董事長(cháng)周鴻祎所言，這是最好的時(shí)代，也是最壞的時(shí)代——整個(gè)世界都將架構在軟件之上，網(wǎng)絡(luò )基礎設施將變得更加復雜，漏洞無(wú)所不在、攻擊面無(wú)限擴大、脆弱性前所未有。報告顯示，全球數據安全風(fēng)險與日俱增，數據安全與隱私保護，數據上云、流動(dòng)共享的風(fēng)險等問(wèn)題，對各國數據安全治理能力提出了以下新的挑戰。

挑戰一：大數據技術(shù)給數據安全防護帶來(lái)顛覆性改變

大數據的“4V特性”使傳統的數據安全技術(shù)無(wú)法有效應對大數據應用場(chǎng)景下新出現的安全問(wèn)題。個(gè)人隱私以及國家重要信息泄露，也逐漸成為非常嚴峻的全球性問(wèn)題。

挑戰二：數據泄露影響各類(lèi)主體

與以往竊取企業(yè)商業(yè)信息為目的攻擊不同，國家大數據信息往往與國家機密、重要基礎設施、社會(huì )穩定發(fā)展息息相關(guān)，這樣的攻擊往往帶有更高的威脅。

挑戰三：有組織的網(wǎng)絡(luò )攻擊背景強大且難以發(fā)現

有組織有背景的惡意網(wǎng)絡(luò )攻擊是數據泄露的主要原因之一，這類(lèi)攻擊者大都是有組織、集團化的犯罪團伙，甚至是具有國家背景的黑客團隊和網(wǎng)絡(luò )戰部隊。

挑戰四：數據共享與流通中的安全合規

在數字經(jīng)濟時(shí)代，數據將會(huì )頻繁地跨系統、跨組織甚至跨境流動(dòng)，有些大數據局已經(jīng)反映，因為沒(méi)有垂直管轄單位并且在匯集各方數據后不能有效執行數據安全管理工作，給大數據局帶來(lái)數據泄露風(fēng)險。

挑戰五：數據跨境傳輸成為國際性問(wèn)題

一些國家以地緣政治和意識形態(tài)先行，用數字安全的名義發(fā)展自身數字攻防能力，或會(huì )擾亂全球數字經(jīng)濟規則。

挑戰六：數據安全意識薄弱

數據安全領(lǐng)域老生常談的問(wèn)題在大數據時(shí)代依然存在，大數據的使用場(chǎng)景更加復雜，數據業(yè)務(wù)價(jià)值更大，產(chǎn)業(yè)從業(yè)者將面臨技術(shù)和管理兩方面更大的挑戰。

報告還結合多家專(zhuān)業(yè)機構的分析，集合國內項目的實(shí)踐案例，梳理出了目前最關(guān)鍵的數據安全技術(shù)。其中包括密碼技術(shù)、脫敏技術(shù)、以數據為中心的審計與防護技術(shù)、數據防泄漏技術(shù)、云訪(fǎng)問(wèn)安全代理技術(shù)、身份識別與訪(fǎng)問(wèn)管理技術(shù)、區塊鏈技術(shù)、可信執行環(huán)境技術(shù)、多方安全計算技術(shù)和聯(lián)邦學(xué)習技術(shù)、人工智能技術(shù)等。

對于數據安全治理面臨的挑戰，杜躍進(jìn)總結了五大基本認識。

第一，數據價(jià)值越大、安全能力越薄弱的地方，面臨的風(fēng)險越大。隨著(zhù)智慧城市、工業(yè)互聯(lián)網(wǎng)的發(fā)展，越來(lái)越多的數據沉淀在政府的大數據交易平臺、城市的職能中樞，而同時(shí)它們也是能力最薄弱的地方。

第二，創(chuàng )新是關(guān)鍵，我們必須要始終有創(chuàng )新的意識，不能閉門(mén)造車(chē)，一定要從產(chǎn)業(yè)中來(lái)到產(chǎn)業(yè)中去，快速調整、持續優(yōu)化，否則無(wú)法適應全面數字化轉型的時(shí)代。

第三，傳統的管理或懲罰并不能解決數據安全問(wèn)題，需要從“只會(huì )處罰”，到“處罰壞的、獎勵好的、幫助弱的”。對安全不作為或者故意侵害數據安全或隱私的行為進(jìn)行懲罰；建立安全能力，幫助各企業(yè)行業(yè)應對網(wǎng)絡(luò )安全威脅；變管理為治理，讓數據安全水平高的企業(yè)獲得更多的發(fā)展機會(huì )。

第四，數據更像血液而不是石油，目標是讓數據更多、更流暢、更健康，這才是數據安全治理的核心。

第五，需要“朋友圈”，而不是“扎籬笆”。面對強敵，需要大范圍協(xié)同，各自為戰的安全防御，無(wú)法發(fā)現異常，更無(wú)法判斷威脅的全貌。

構建基于DSMM的數據安全治理體系

如何進(jìn)行數據安全治理？報告給出的答案是構建基于數據安全能力成熟度模型（以下簡(jiǎn)稱(chēng)DSMM）的數據安全治理體系。DSMM源于國家標準GB/T37988-2019《信息安全技術(shù) 數據安全能力成熟度模型》。該標準以數據為中心，針對采集、傳輸、存儲、處理、交換和銷(xiāo)毀全生命周期的各階段，從組織建設、制度流程、技術(shù)工具、人員能力四個(gè)維度對企業(yè)或組織的數據安全能力提出要求，并劃分成非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優(yōu)化級五個(gè)持續提升的等級。該標準全方位指導組織機構的數據安全能力建設，實(shí)現數據在跨組織流動(dòng)的過(guò)程中安全風(fēng)險總體可控。

這是一個(gè)正向驅動(dòng)的數據安全治理體系。首先，數據安全能力成熟度高，意味著(zhù)業(yè)務(wù)發(fā)展機會(huì )大，其瞄準的主要目標是讓數據安全成為競爭力而不是成本。在數據端以數據的分類(lèi)分級為基礎，在處理端以組織的數據安全能力成熟度等級為依據，建立“數據安全能力強，高價(jià)值數據獲取機會(huì )越多”的正向驅動(dòng)關(guān)系。政府建立多部門(mén)數據共享流通，促進(jìn)大數據利用的機制時(shí)，發(fā)起方可以通過(guò)組織的數據安全能力成熟度級別，決定是否要繼續與對方進(jìn)行數據流動(dòng)。這在數據成為第五大生產(chǎn)要素的數字經(jīng)濟時(shí)代，將使得組織有動(dòng)力主動(dòng)提升自己的數據安全能力，從而達到安全治理的目標。

工程實(shí)驗室將主要通過(guò)數據安全咨詢(xún)、測評和培訓服務(wù)，來(lái)幫助客戶(hù)構建或融入到基于DSMM的數據安全治理體系。以數據安全咨詢(xún)服務(wù)，使客戶(hù)了解國家相關(guān)法規標準和行業(yè)規范，知曉其數據安全現狀，發(fā)掘其應用需求和安全需求，為客戶(hù)給出具有針對性的數據安全解決方案。以數據安全測評服務(wù)，特別是DSMM測評，幫助客戶(hù)準確找到數據安全管理和技術(shù)方面的差距，來(lái)幫助客戶(hù)提升數據安全能力和數據安全防護水平。以數據安全培訓服務(wù)，為數據安全行業(yè)和客戶(hù)培養專(zhuān)業(yè)的數據安全管理人員和工程技術(shù)人員，來(lái)提高客戶(hù)的數據安全運營(yíng)水平。

該報告亦列舉了目前實(shí)踐中基于DSMM進(jìn)行數據安全治理的優(yōu)秀案例。首屈一指的便是貴陽(yáng)DSMM產(chǎn)業(yè)生態(tài)實(shí)踐案例。截至目前，在工程中心注冊登記的DSMM測評師一共265名。以DSMM為抓手，通過(guò)數據安全能力成熟度評估，貴州大數據安全工程研究中心先后在十余個(gè)領(lǐng)域、50多家機構開(kāi)展了落地試點(diǎn)，涵蓋了政務(wù)、金融、系統集成、軟件服務(wù)、安全服務(wù)、大數據、教育培訓、工業(yè)互聯(lián)網(wǎng)等行業(yè)，在數據安全領(lǐng)域積累了豐富的實(shí)踐經(jīng)驗，探索構建了包括人員培訓、法律支撐、市場(chǎng)準入、軟件產(chǎn)品、測評服務(wù)、認證資質(zhì)的數據安全治理體系，健全了大數據安全發(fā)展的產(chǎn)業(yè)生態(tài)鏈，為大數據的發(fā)展提供了安全能力保障。

杜躍進(jìn)對此總結道，未來(lái)需要繼續探索研究DSMM在不同行業(yè)領(lǐng)域的落地應用，持續優(yōu)化評估方法、改進(jìn)標準，加快培訓、測評、咨詢(xún)、認證工作，共建共創(chuàng )DSMM生態(tài)；同時(shí)依托國家工程實(shí)驗室，聯(lián)合地方或者行業(yè)力量，結合具體場(chǎng)景和問(wèn)題，建立第三方機制，為業(yè)界打造持續運營(yíng)、開(kāi)放創(chuàng )新的研究環(huán)境。

來(lái)源：中國信息安全