《前沿课·数字产业10讲》08 数据安全：怎样从限制中看到机会？

数据安全，是又一大热门话题。2021年，国家密集出台了与数据安全有关的法案，包括《数据安全法》和《个人信息保护法》两部法律，以及《关键信息基础设施安全保护条例》《网络数据安全管理条例》和《汽车数据安全管理若干规定》等等条例。

消费者看数据安全，主要关注用户隐私、个人信息保护等问题；互联网平台看数据安全，会主要关注合规问题，看到相关法规的监管和限制；而作为分析师，我看到，正是因为国家层面对数据安全的强监管，以及消费者对用户隐私问题的重视，数据安全行业正在成为一个蓬勃发展的大市场。这一讲，我就重点来说说，我看到了哪些新机会。

严格说起来，数据安全不算是一个新行业。在信息化时代，数据安全就是重要的一块业务。但是，今天的数据安全业务和过去是截然不同的。

过去的数据是静态的，数据集中存放在一个地方，比如中央服务器上；人和数据是分隔的，需要用到数据的时候才去调用。所以，过去做数据安全的主要方式，是对数据进行加密。安全公司通常有一套加密算法，对数据进行加密后，即使有人获得了数据，也很难破解。设置的密钥越长，数据越难破解。

但是今天，情况不同了，数据变成了流动的。什么是数字化？就是把数据变成生产资料，用数据来驱动业务。这意味着，数据不再是静态存储在某个地方，而是在不同的业务之间，在不同的存储介质中间，甚至在不同的芯片中间不断地流转。其中任何一个环节被植入后门，或是受到木马攻击，数据都有可能被盗走。

所以，今天的数据安全保护，不再是针对某一个点进行的，比如只针对数据存储这一个环节进行加密保护，防止数据泄露就结束了。而是要考虑到，数据从产生到应用的每个环节：数据存储在哪里， 在什么地方被加工处理，数据流转经过哪些环节，等等。这就要求，每一个业务、每一台服务器，甚至每一台终端，都要相应地部署数据安全的措施，比如，制定策略、硬件保护、软件保护，等等。

来划下重点：今天的数据安全和过去相比，最大的不同是：第一，数据是流动的，数据随时随地产生、随时随地存在、随时随地被使用，所有的环节都要考虑数据保护。第二，数据安全的保护，也不再只是保护存储在某个地方的静态数据，而变成了一种体系化的、全流程的数据保护。

这种全流程的特性，给整个数据安全行业，带来了巨大的变化。

最直接的体现是，数据安全厂商，不再可能，单靠单项技术来解决数据安全问题。过去一套防火墙打天下的历史，已经一去不复返。厂商必须要有体系化的能力，要能拿出整体的数据安全解决方案。这种体系化的能力体现在两个方面。

第一，在规划层面，就要有体系化的能力。

过去做数据安全，是外挂式的，就是等用户把所有系统都建好之后，再外接一个安全产品。现在不行了，因为要考虑到数据在各个业务、各个应用之间流转，所以在规划信息化方案的时候，就要做安全同步，把安全产品嵌入到信息化中去。这就要求，头部的数据安全公司一定要有整体的规划咨询能力。

第二，数据安全厂商的产品，也要有体系化能力。

数据安全厂商要能提供一套完整的解决方案，在数据流转的每个环节，都有相应的防护能力。比如，当数据在内存当中的时候，怎样防止内存中的数据泄露；当数据存储在数据库的时候，怎样保证数据库不被篡改；当数据在网络端流转的时候，怎样防止数据被截取，等等。

同时，这种解决方案不能只是纸上谈兵，一定要在实际的攻防下能够发挥出作用。现在的安全监管不像过去，过去针对产品的检查，是用检测系统检测一下数据有没有泄露就完了。而现在的安全测试，是组织一帮黑客，由高手直接攻击安全厂商的系统。比如，从2018年开始的“护网行动”，就是公安部组织的实战攻防行动，就看各个安全厂商的产品能不能经得起实战检验。

划下重点：判断一个数据安全厂商的基本盘，你可以从这两方面来评估：一是它有没有前期的规划设计能力；二是产品体系全不全，能不能提供整套的解决方案。

当然，除了体系化的能力，还可以重点关注一点，就是在先进技术方面，有没有超前的探索，能不能把探索转化为产品。前面说过，数据安全是一个老行业，传统的产品，比如堡垒机、数据库防火墙、数据脱敏系统等等，过去都已经有了广泛的部署。现在随着整体用量的增加，产品市场也在增长，但没有飞跃式的增速。最大的增量，还是要看新技术和新产品。

具体来说，目前数据安全领域增长最快的产品是两类：隐私保护和零信任。我稍微展开说说。

首先，隐私保护成为最大的新兴需求。

前面说了，国家已经立法保护隐私安全，严禁企业非法获取用户信息。在这个背景下，隐私保护是一个强需求，代表性产品是隐私卫士。

隐私卫士是干什么的呢？我们知道，开发软件应用的厂商有可能会通过各种非法的方式去获取用户数据。最常见的一种就是SDK，你可以简单理解为软件中的软件，它可能导致第三方采集到用户的隐私数据。

隐私卫士的作用，就是从一款APP的开发环节起就开始参与，全程检测APP当中是否存在可能采集用户数据的SDK。当APP上线之后、用户在使用的过程中，隐私卫士还会部署在应用的后端，比如部署在服务器上，从而监测网络流量中是否存在能够获取用户数据的接口。隐私卫士也可以帮助APP检测获取的数据是不是合规。

我看到高德纳咨询公司预测，到2024年，全球由隐私驱动的数据保护市场规模，将超过150亿美元；中国的市场规模在15亿到30亿美元，换算成人民币，是百亿市场规模。

除了隐私保护，还有一个增长强劲的需求，就是零信任技术。

先来说说，什么是零信任。

我们知道，互联网上存在大量的数据访问，这个环节怎么进行数据安全保护？过去很长一段时间，安全行业采用的是白名单机制。比如，要访问存储在某个服务器中的数据，如果你的电脑IP地址在对应服务器的白名单当中，当你用这台电脑去访问服务器中的数据时，服务器中的安全产品就会验证通过，你就可以畅通无阻，随意访问。这就好像是，在网络世界“刷指纹”，这个“指纹”就是你的一系列特征，比如密钥之类的，通过这个“指纹”来识别你的身份，认证你的IP。

这种验证方式的好处是，只让可信者通过，攻击者再怎么变幻莫测，比如不停生成新IP，都无法访问，同时工作效率高，系统不用费力去“拉黑”所有的攻击者。但是，这种方式有很大的漏洞。只要有人盗取了你的正确IP地址，就可以通过白名单访问数据库。打个比方，比如你的公司要求刷工卡进门，就相当于把你的卡添加进了大门识别系统的白名单中，但它并不会验证你的人和你的卡是否完全对应，对吧？如果有人捡到了你的卡，他也可以刷卡进去。

而现在兴起的零信任模式，就是服务器不再设置白名单，而是假设所有的IP地址、所有的人都是不可信任的，每个人访问都需要通过行为验证，并且这个过程是动态的。所谓动态，意思就是服务器接到每次访问时，不是根据一个静态规则来简单判断，而是要看访问者的身份信息、权限信息，再看与实时风险是否有关联，实时作出评估。总结起来八个字：“从不信任，始终验证”。

这就相当于设置了一个防盗门，对每一个要进门的人，都先通过猫眼或者摄像头，去观察他。比如他敲门的时候有没有异常行为，他在门外有没有鬼鬼祟祟，等等。一旦发现他的行为有异常，那这个防盗门就不会为他打开，不管是刷卡还是敲门，他都进不来。零信任技术，对身份认证来说是一次安全上的升级。

除了身份认证，零信任架构还广泛用在各类访问控制产品中。比如，终端环境的感知系统，用来感知这个终端是不是处在一个可能有风险的网络环境中；再比如，可信用代理、可信API、web应用防火墙等等。

零信任最早由美国公司提出，在国内，奇安信是最早做零信任的厂家，从2019年开始推出产品，当年收入只有1000多万元，但很快开始有更多增长，2020年的收入是6000多万元，2021年已经超过了一个亿。从这儿也可以看到，零信任产品目前整体处于快速增长的阶段。

总结一下，这一讲，我带你观察了数据安全这个蓬勃发展的新市场。

第一，数据保护不再像以前那样，只保护存储在某个地方的静态数据，而是变成了一种体系化的、全流程的、实时的保护。

第二，数据安全企业想要跑出来，必须具备体系化的能力，既要做全流程的安全规划，又能提供有实战能力的、完备的产品体系。

第三，隐私保护和零信任是目前需求增长较快的两个安全领域，是值得关注的新赛道和新机会。

好，以上就是我对数据安全行业的思考。我是武超则，我们下一讲再见。