您的位置 首页 产业

《前沿课·数字产业10讲》08 数据安全:怎样从限制中看到机会?

%title插图%num

数据安全,是又一大热门话题。2021年,国家密集出台了与数据安全有关的法案,包括《数据安全法》和《个人信息保护法》两部法律,以及《关键信息基础设施安全保护条例》《网络数据安全管理条例》和《汽车数据安全管理若干规定》等等条例。

消费者看数据安全,主要关注用户隐私、个人信息保护等问题;互联网平台看数据安全,会主要关注合规问题,看到相关法规的监管和限制;而作为分析师,我看到,正是因为国家层面对数据安全的强监管,以及消费者对用户隐私问题的重视,数据安全行业正在成为一个蓬勃发展的大市场。这一讲,我就重点来说说,我看到了哪些新机会。

严格说起来,数据安全不算是一个新行业。在信息化时代,数据安全就是重要的一块业务。但是,今天的数据安全业务和过去是截然不同的。

过去的数据是静态的,数据集中存放在一个地方,比如中央服务器上;人和数据是分隔的,需要用到数据的时候才去调用。所以,过去做数据安全的主要方式,是对数据进行加密。安全公司通常有一套加密算法,对数据进行加密后,即使有人获得了数据,也很难破解。设置的密钥越长,数据越难破解。

但是今天,情况不同了,数据变成了流动的。什么是数字化?就是把数据变成生产资料,用数据来驱动业务。这意味着,数据不再是静态存储在某个地方,而是在不同的业务之间,在不同的存储介质中间,甚至在不同的芯片中间不断地流转。其中任何一个环节被植入后门,或是受到木马攻击,数据都有可能被盗走。

所以,今天的数据安全保护,不再是针对某一个点进行的,比如只针对数据存储这一个环节进行加密保护,防止数据泄露就结束了。而是要考虑到,数据从产生到应用的每个环节:数据存储在哪里, 在什么地方被加工处理,数据流转经过哪些环节,等等。这就要求,每一个业务、每一台服务器,甚至每一台终端,都要相应地部署数据安全的措施,比如,制定策略、硬件保护、软件保护,等等。

来划下重点:今天的数据安全和过去相比,最大的不同是:第一,数据是流动的,数据随时随地产生、随时随地存在、随时随地被使用,所有的环节都要考虑数据保护。第二,数据安全的保护,也不再只是保护存储在某个地方的静态数据,而变成了一种体系化的、全流程的数据保护。

 

这种全流程的特性,给整个数据安全行业,带来了巨大的变化。

最直接的体现是,数据安全厂商,不再可能,单靠单项技术来解决数据安全问题。过去一套防火墙打天下的历史,已经一去不复返。厂商必须要有体系化的能力,要能拿出整体的数据安全解决方案。这种体系化的能力体现在两个方面。

第一,在规划层面,就要有体系化的能力。

过去做数据安全,是外挂式的,就是等用户把所有系统都建好之后,再外接一个安全产品。现在不行了,因为要考虑到数据在各个业务、各个应用之间流转,所以在规划信息化方案的时候,就要做安全同步,把安全产品嵌入到信息化中去。这就要求,头部的数据安全公司一定要有整体的规划咨询能力。

第二,数据安全厂商的产品,也要有体系化能力。

数据安全厂商要能提供一套完整的解决方案,在数据流转的每个环节,都有相应的防护能力。比如,当数据在内存当中的时候,怎样防止内存中的数据泄露;当数据存储在数据库的时候,怎样保证数据库不被篡改;当数据在网络端流转的时候,怎样防止数据被截取,等等。

同时,这种解决方案不能只是纸上谈兵,一定要在实际的攻防下能够发挥出作用。现在的安全监管不像过去,过去针对产品的检查,是用检测系统检测一下数据有没有泄露就完了。而现在的安全测试,是组织一帮黑客,由高手直接攻击安全厂商的系统。比如,从2018年开始的“护网行动”,就是公安部组织的实战攻防行动,就看各个安全厂商的产品能不能经得起实战检验。

划下重点:判断一个数据安全厂商的基本盘,你可以从这两方面来评估:一是它有没有前期的规划设计能力;二是产品体系全不全,能不能提供整套的解决方案。

 

当然,除了体系化的能力,还可以重点关注一点,就是在先进技术方面,有没有超前的探索,能不能把探索转化为产品。前面说过,数据安全是一个老行业,传统的产品,比如堡垒机、数据库防火墙、数据脱敏系统等等,过去都已经有了广泛的部署。现在随着整体用量的增加,产品市场也在增长,但没有飞跃式的增速。最大的增量,还是要看新技术和新产品。

具体来说,目前数据安全领域增长最快的产品是两类:隐私保护和零信任。我稍微展开说说。

首先,隐私保护成为最大的新兴需求。

前面说了,国家已经立法保护隐私安全,严禁企业非法获取用户信息。在这个背景下,隐私保护是一个强需求,代表性产品是隐私卫士。

隐私卫士是干什么的呢?我们知道,开发软件应用的厂商有可能会通过各种非法的方式去获取用户数据。最常见的一种就是SDK,你可以简单理解为软件中的软件,它可能导致第三方采集到用户的隐私数据。

隐私卫士的作用,就是从一款APP的开发环节起就开始参与,全程检测APP当中是否存在可能采集用户数据的SDK。当APP上线之后、用户在使用的过程中,隐私卫士还会部署在应用的后端,比如部署在服务器上,从而监测网络流量中是否存在能够获取用户数据的接口。隐私卫士也可以帮助APP检测获取的数据是不是合规。

我看到高德纳咨询公司预测,到2024年,全球由隐私驱动的数据保护市场规模,将超过150亿美元;中国的市场规模在15亿到30亿美元,换算成人民币,是百亿市场规模。

除了隐私保护,还有一个增长强劲的需求,就是零信任技术。

先来说说,什么是零信任。

我们知道,互联网上存在大量的数据访问,这个环节怎么进行数据安全保护?过去很长一段时间,安全行业采用的是白名单机制。比如,要访问存储在某个服务器中的数据,如果你的电脑IP地址在对应服务器的白名单当中,当你用这台电脑去访问服务器中的数据时,服务器中的安全产品就会验证通过,你就可以畅通无阻,随意访问。这就好像是,在网络世界“刷指纹”,这个“指纹”就是你的一系列特征,比如密钥之类的,通过这个“指纹”来识别你的身份,认证你的IP。

这种验证方式的好处是,只让可信者通过,攻击者再怎么变幻莫测,比如不停生成新IP,都无法访问,同时工作效率高,系统不用费力去“拉黑”所有的攻击者。但是,这种方式有很大的漏洞。只要有人盗取了你的正确IP地址,就可以通过白名单访问数据库。打个比方,比如你的公司要求刷工卡进门,就相当于把你的卡添加进了大门识别系统的白名单中,但它并不会验证你的人和你的卡是否完全对应,对吧?如果有人捡到了你的卡,他也可以刷卡进去。

而现在兴起的零信任模式,就是服务器不再设置白名单,而是假设所有的IP地址、所有的人都是不可信任的,每个人访问都需要通过行为验证,并且这个过程是动态的。所谓动态,意思就是服务器接到每次访问时,不是根据一个静态规则来简单判断,而是要看访问者的身份信息、权限信息,再看与实时风险是否有关联,实时作出评估。总结起来八个字:“从不信任,始终验证”。

这就相当于设置了一个防盗门,对每一个要进门的人,都先通过猫眼或者摄像头,去观察他。比如他敲门的时候有没有异常行为,他在门外有没有鬼鬼祟祟,等等。一旦发现他的行为有异常,那这个防盗门就不会为他打开,不管是刷卡还是敲门,他都进不来。零信任技术,对身份认证来说是一次安全上的升级。

除了身份认证,零信任架构还广泛用在各类访问控制产品中。比如,终端环境的感知系统,用来感知这个终端是不是处在一个可能有风险的网络环境中;再比如,可信用代理、可信API、web应用防火墙等等。

零信任最早由美国公司提出,在国内,奇安信是最早做零信任的厂家,从2019年开始推出产品,当年收入只有1000多万元,但很快开始有更多增长,2020年的收入是6000多万元,2021年已经超过了一个亿。从这儿也可以看到,零信任产品目前整体处于快速增长的阶段。

 

总结一下,这一讲,我带你观察了数据安全这个蓬勃发展的新市场。

第一,数据保护不再像以前那样,只保护存储在某个地方的静态数据,而是变成了一种体系化的、全流程的、实时的保护。

第二,数据安全企业想要跑出来,必须具备体系化的能力,既要做全流程的安全规划,又能提供有实战能力的、完备的产品体系。

第三,隐私保护和零信任是目前需求增长较快的两个安全领域,是值得关注的新赛道和新机会。

好,以上就是我对数据安全行业的思考。我是武超则,我们下一讲再见。

热门文章

发表评论

您的电子邮箱地址不会被公开。