产业调研:数据安全一线专家眼中的市场
产业调研系列
何晋昊(安华金和):数据安全这个行业定义、内涵和外延在不断扩大,我在数据安全行业从业15年,刚进入这个行业的时候,甚至就在疫情以前,数据安全行业还处于无法可依的状态。但是2021年数据安全法,个人信息保护法等等法律就位,现在数据安全已经成为很火爆的话题,行业规模也在不断扩大。
今天我主要从用户角度来谈,而不是从供应商维度来考虑问题,当然有的地方需要数据管理者跟厂商共同解决。
首先是外因和内因的强力推动。外部因素看,国家对于数据安全行业高度重视,刚刚也提到了数据安全法和个人信息保护法2021年落地实施,背后隐含了很多国家对于数据和安全行业的考虑。现在强调数据是生产要素,要进行市场化配置,这是国家的基本战略。
为了配套这个战略,我们看到数据安全法和个人信息保护法两部作用不太一样的法律落地,数据安全法定义新的数据安全,它是一个上位法,是框架法律。个人信息保护法是红线法律,是基石,网络安全法是基础,这个就是数据安全市场的三驾马车。
数据安全法是为了配套数据的市场化配置,本质不是一部讲安全保护的法律,它对于数据安全进行了定义,讲了数据安全业态如何构成。数据安全法强调了什么是数据安全,它是数据加安全的概念,数据安全是对数据的发展利用和有效保护之间的平衡。
这个就是数据安全和传统网安的差别。传统安全是技术实施,有合法合规的概念,数据安全还有合理性问题,就是数据的发展和应用,由于定义的差异,导致数据安全已经变成了数据加安全的理念。
数据安全的业态由监管部门,数据管理者,第三方评估机构,还有安全供应商构成,这个也是明确阐述了业态的主体由谁构成。数据的主管部门指的是各个行业的主管部门,数据管理者就是最终用户——想发展数据的,想有效开展数据利用的。整个过程需要自评估和外部评估。从这几部法律情况来看,三法之后有三条例,都是国家层面想强力推动数据加安全的建设,最终目的是促进数据的有效利用。各地也在纷纷出台数据交易市场,也在出台相应的条例,各个省都在配套相应的条例。
内因来讲有两个方向。数据是有价值的,现在已经得到了数据管理者的认可,未来要开发利用并流通,大家也都进行了多年的数据加工、集中和建设,数据价值越来越高,也面临了越来越多的安全事件。我们业内把2021年叫做数据安全的元年,因为数据安全法、个人信息保护法,还有认知的提升,我们认为可以叫做涅槃重生,它完全解决了法律法规顶层架构的问题。
关于数据安全在重点行业的落地情况。由于数据跟行业有很大的关系,不同行业的不同数据如何发展利用和保护,从行业角度来讲支撑的柱子是行业维度划分的——中国IT水平最高的几个行业,比如银行、运营商、大型央企国企还有比较活跃的民企,另外一部分是各地政府的大数据中心,大数据化也是各地信息化的基本方向。这些行业可以称为数据安全的重点行业,他们也有一些积累。
另外一个面上来说,中国企事业单位,大G,大B和小B都很重视数据安全建设,在纷纷启动。以银行为核心的金融机构来看,首先有很好的数据安全基础,有很好的信息化水平。银行的两大监管机构——人民银行和银保监会都很重视数据安全建设,人民银行提出来安全可控,对于数据安全这部分提高到了很高的高度。
从行业规定角度来讲,出台了一系列规定,促进银行和金融机构去做数据安全建设。银行和金融机构内部有大量个人信息和有价值的数据,要做普惠金融。银行做数据安全有比较好的基础,从去年开始到今年进入到了井喷的状态,大大小小的银行、券商和金融机构都在做数据安全的建设。运营商和企业,跟银行情况类似,运营商的主管部门是工信部,2021年开始就很重视,像两部委的检查,电信也在做数据安全标准的建设。银行、运营商等大行业都对于数据安全热情高涨,也很着急。政府大数据局也是数据安全建设的主要单位。去年开始,到明年会是一个高峰,把数据安全从萌芽到建立一个初步完整的体系。
数据安全目前落地过程中的挑战。我们刚刚讲的重点行业也可以看到,数据安全听上去是一个安全的事情,但是实际上是数据加安全的问题,你不能用传统只有技术防护手段和合规的思路就能够把数据安全的问题解决掉。
数据加安全意味着数据安全要跟业务快速变化和数据的流动以及使用过程做深度耦合,并不是说简单做一些技术措施。传统网络安全原来有一个check list做匹配,就能够把工作做完。我觉得数据安全法出台以后,数据安全的概念在很多行业落地的时候,数据管理者在做的时候,我们觉得第一个困难是大家的意识转变需要一定时间,包括一个机构对这个事情的理解,越往上走,很难形成共识。
第二个困难是很多行业里面的数据管理者,原来传统的机构设置无法支持数据安全落地。原来这个活在很多单位被划分到数据部门和安全部门,但是数据安全需要数据部门和安全部门来合作。以金融为例,都在做金融科技,金融机构成立了金融科技子公司,从编制和机构上解决。但是很多客户传统的数据部门,运维部门和安全部门做数据安全的时候就有点吃力,缺乏统一的小组来做这个工作。
第三个困难:数据安全和网络安全,从原来的合法合规,演变成合法合规再加合理的问题,导致数据安全的治理体系天然就比较复杂。因为数据和业务天然就在变化,你的技术要随着变化而变化。首先需要引入一个体系,然后这个体系又比较复杂,从技术,管理,运营三个维度做起来需要很多设计和管理制度梳理,运营需要配套很多工具,资源和手段。这个复杂就导致数据管理部门面临预算的问题,说白了就是资源和成本的权衡。
数据安全现在面临很多机遇,我们对行业很有信心,因为国家的重视没有上限。未来数据的发展利用是很重要的事情,比如隐私计算和区块链概念都被拉入了数据安全。用户也非常希望把数据安全做好,但是数据安全如何在中国快速落地,也是我们的挑战。安华金和作为供应商,我们2014年引入数据安全治理的框架,我们努力把这套框架服务化、解决方案化,帮助用户找到快速实践和见疗效的方式,建设符合自己的小步快跑和快速迭代的数据安全治理体系,让最终数据管理者有效开发利用它,又把它保护好。
Q:目前数据安全的项目一般是什么体量,实施周期有多久?
数据安全项目的体量在不断变大,我见到最大的项目到千万量级。规模跟管理部门的体量有关系,千万级规模大概是工农中建交或者民生华夏这样的银行。定制化开发这件事情从用户侧来讲,它知道数据安全是长期的,需要不断运维的过程。大G和大B把二次开发当成了持续服务的一部分,甚至有时候希望我们根据他的需求有一些二次开发。从供应商角度来看,我们现在对于二次开发秉持每个行业二八原则,80%是很多基础功能和标准化来做,但我们也希望用户有10%-20%的二次开发,尤其在集成开发平台上,平台部分无论是实际的用途还是我们对用户的长期服务来看,它会做很多二次开发。
规模比较大的项目执行比较久,千万级别从交付开始要9-12个月。但是数据安全也有很多标品化的项目,一个简单的平台带几个产品就很快,实施有的是一个月左右就能够把能力建设和初步框架建设完。
Q:互联网公司会引入第三方机构做数据安全吗?
如果仔细读了数据安全法就会知道,一定会引入第三方的评估机制,大型互联网公司之前一直强调云原生,我觉得趋势会发生变化。从本身数据安全建设来讲,你不能既当裁判员也当运动员,安全管理需要第三方的引入和制衡,才能够让结果更加可信。我们现在有些案例,不管是外资企业还是第二梯队的互联网公司,我们也都在做服务。包括引入数据安全的治理和评估。
Q:方便具体介绍一下一个数据安全解决方案里面包含哪些产品,包含哪些功能点?
数据安全的解决方案,首先一定有一个横向的,是一个平台,我们叫做数据安全的态势感知或者集中管理。下面是能力,就是各种各样的产品,我们设计的时候,我们把能力用X轴和Y轴来区分,横向是结构化和非结构化,非结构化是文档、图片、视频,结构化是各种各样的大数据的存储,还有数据库,还有泛结构化的东西,比如对象存储。现在还强调API作为独立的载体单独看,大家有很多接口。
纵向的轴,我们分为监测能力和防护能力。你能够在采集过程中发现数据,能够监测到数据相关的行为,包含了识别的能力和动作监测能力。防护能力就是能够防护对数据的动作,比如读取数据,打开文档,数据操作有时候比较复杂。
我们可以把能力构建一个表格,需要一系列产品支撑,非结构化数据有DLP数据防泄漏,流量类的产品也可以执行数据安全的一些动作。针对结构化数据,比如数据库,我们有数据库审计,对于结构化数据做监测,识别敏感数据,监测行为。原来的数据库审计主要是对关系型数据库,目前已经支撑到了大数据。还有数据防火墙,阻断一些数据访问。还有针对运维人员的管控。现在还有比较流行的针对API的审计和管理系统。还有一类基础产品,比如分类分级的管理。还有一块是XDR,各种检测,这也是一部分的产品。
总结来说,数据安全的能力就按照结构化,非结构化,检测和防护,基本上能够把数据安全涵盖进去。所有能力需要一个数据安全平台来维护,管理和下发策略。数据安全的各种能力会把各种信息送上来,可以引入UEBA这样的东西,甚至会把人工智能也进入进来,主要是做风险分析和策略优化。
Q:您刚刚讲市场规模明后年快速爆发,主要动力是存量的银行客单价提升,还是更多机构做数据安全?
我不太喜欢用千亿、万亿去谈这个问题,我喜欢说数据安全市场没有上限。去年是数据安全几个法律落地,我们可以把数据安全市场划分成几个阶段。
第一个阶段是基础能力建设,这一两年还是建设防护能力、监测能力,把数据采集和交换做好,第一个阶段我觉得大概三到五年完成打地基,一定会有各种各样的投资,补充能力,把很多基础能力补上去。初级阶段是有了部分能力,然后把平台做起来了,会做管理制度,建设运营机构。
到了数据安全的高级阶段,会跟上开放共享的潮流,把数据开发利用,不断调整数据管理的策略。然后看这个里面有没有新的问题,因为业务也在不断变化,就进入数据的运营和管理阶段。
你可以想象,数据安全这个系统,从供应商角度讲就是一个系统,永远有活干,每年都会不断优化,不管是扩规模还是能力优化,它会带来数据安全的服务市场,它会不断的运营和运维,类似网络安全到后面有越来越多的服务。
现在来看银行动作比较快,但是我现在看见了其他行业都在启动,各种企业,包括制造业,大的央企和民企都开始做数据安全建设了。未来我对于数据安全的看法,我觉得数据安全会成为跟CRM或者BOS一样,成为一个业务系统,需要不断优化、扩容和运营的模式。多少规模不好说,但是一个现在看不到瓶颈的市场,供应商可以做个八年十年。
合规声明:本文节选国泰君安计算机团队举办的专家电话会议,专家所在公司非上市公司,属于公开资料,如需纪要全文请后台留言。
- end -
欢迎加入产业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的产业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。
网络安全相关报告
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)
22. Zscaler:云安全服务与接入领头羊(30页PPT)
23. Okta:身份认证独角兽(深度)
30.奇安信:创新业务实力强大,助推公司成为全球网安龙头(深度)
33.数据安全法带来的一些变化
41. 网安公司三季报分化之谜
42. 深信服:重构防火墙,用意深远
43. 读完Fortinet三季报,我对网安行业又有了信心(附纪要)
44. Palantir:野心贼大,想做世界的创新引擎(附纪要)
46. 为什么中国没有真正的云安全公司?
49. 产业调研:威努特董事长谈工控安全
50. 产业调研:再论数据安全
54. 安恒信息:数据安全领头羊(深度)
55. 产业调研:HW具体怎么做?
60. 产业调研:奇安信研发平台详解
64. 产业调研:从销售视角观察,2022年网络安全行业景气度到底行不行?