官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 观点

前言：

2021年可以说是中国的“数据安全元年”，《网络安全法》、《数据安全保护法》、《个人信息保护法》以及《网络数据安全管理条例》，即三法一条例的正式发布实施，意味着国家正式将数据安全上升到国家战略的高度。数据作为第五大生产要素，已成为国家的核心战略资源，2022年9月1号，国家正式实施《数据出境安全评估办法》，以规范战略资源的出境流动，宣示数据主权。

我们肯定会想到，数安法的发布，是不是像2017年网安法的发布时候一样，会带来巨大的业务机会，实现数据安全产业的快速发展，但事实并非如此，除了客观疫情和中美贸易战的外部形式的挑战，更重要的原因是数据安全产业并非网络安全产业那般，保障的是网络链路的安全（或者称为管道安全），网安方案的核心设计理念“分区分域，一个中心三重防护”就是通过合理的安全框架实现管道安全，和业务本身没有太多的交集。而数据安全保障的是管道里面内容的安全，内容和业务息息相关，凡是涉及业务安全的相关建设，其复杂度都非常之高。因为客户对产品品质的容忍度变低，由于产品问题，导致业务出现问题，对客户而言属于重大事故，承担的风险很高。因此，数据安全产业应用发展将会比网络安全产业应用发展要慢的多，网络安全等级保护国家用了2-3年的时间，几乎实现了全面的推广和应用，而数据安全可能需要5-8年，甚至更长的时间。

1.数据安全产业面临的挑战

从目前的产业结构来看，数据安全市场还处于发展初期，整个产业链条还不完善，产业上游的供应链没有摸索出自身的特性，例如隐私计算、区块链、软件生态厂家等等是否能对产品形成助力，推动产品的成熟度，也需要探索，中游的厂商产品/方案成熟度不够，下游的客户应用场景也不是很明确，所以数据安全产业的发展还面临比较大的挑战，下面总结一些核心的原因。

1）数据安全产品成熟度不高。按照CAPE数据安全能力框架，C-风险核查阶段，面向数据安全的咨询服务以及风险评估方式方法还不够成熟，更多服用传统网安的手段，因此在精准度、和理性上存在一定的挑战；A-资产梳理，基于主被动的资产识别和梳理技术相对比较成熟，但是面向资产的分类分级目前没有找到很好的方式，还是主要依靠人力基于经验去分类分级，如何高效的分类分级是未来技术探索的重点，和软件厂家、数据库厂家、存储厂家等生态形成合力，制定统一标准，规范化业务数据生产、采集和存储过程，对数据资产的智能分类分级有巨大的推动。P-数据保护，数据库防水坝、数据安全网关、数据库加密/脱敏、基于零信任访问控制这些产品还处于前期推广阶段，DLP数据防泄密/终端管控等技术相对比较成熟。E-监测预警，除了数据库审计相对比较成熟，数据安全态势感知/数据安全监管平台等平台型产品也处于早期阶段，需要市场的不断打磨。

2）数据安全场景不清晰。目前数据安全应用最多的行业就是金融、政府和大企业。金融主要围绕数据安全合规和全生命周期安全保护，政府（大数据局）主要围绕数据流通和共享，大企业主要围绕数据防泄密几大常规的应用场景。除了这些典型的场景，和有限的客户群，根本无法支撑数据安全产业的发展，因此结合行业探索更多的数据安全场景是未来重点关注的方向之一。

3）数据安全详细的落地政策/规范/指导不完善。国家虽然颁布了上位法律法规，规定了单位数据安全责任义务和权利，但是详细的数据安全产业发展指导、落地规范、数据安全建设标准和评价标准都没有明确的发布，因此政策的推动力度需要进一步的加大。