8月26日，由IDC 主辦的2022 CSO全球網絡安全峰會首次落地中國，以表彰本年度為中國網絡安全市場做出重大貢獻的十大人物，奇安信集團總裁吳云坤獲得“中國CSO名人堂（十大人物）”獎項?；诖?，雷峰網與吳云坤進行了一次對話。

吳云坤表示，作為一個在網絡安全行業(yè)摸爬滾打了20多年的老兵，見證了中國網絡安全跟隨信息化發(fā)展不斷成長和提升的過程，這個新榮譽，是對自己過去20多年堅持和堅守的褒獎，更是對未來更加投入地推動網絡安全發(fā)展的鞭策和鼓勵。

IDC是全球權威咨詢機構，中國CSO名人堂（十大人物）是面向CSO群體設立的獎項，這個獎項本身是對中國CSO群體的認同和鼓勵，也是對中國網絡安全行業(yè)發(fā)展的認可和激勵。

 

（奇安信集團總裁吳云坤）

網絡安全成為底板工程 

隨著數(shù)字化轉型的深入，網絡安全成為底板工程，行業(yè)得以高速發(fā)展，中國的發(fā)展速度和發(fā)展?jié)摿Χ继幱谌蝾I先水平，CSO全球網絡安全峰會落地中國是一個很好的契機，可以更好地凝聚行業(yè)共識，集聚行業(yè)力量，共同推動中國網絡安全建設和產業(yè)發(fā)展。

吳云坤認為網絡安全的發(fā)展與信息化發(fā)展、與信息化對業(yè)務的支撐緊密相關，中國的信息化發(fā)展已經與世界同步，無論是信息化水平還是信息產業(yè)發(fā)展都處于全球領先水平。但中國的網絡安全落后于信息化，無論是產業(yè)規(guī)模還是能力水平，都需要進一步提升。

就全球網絡安全產業(yè)格局來看，美國網絡安全產業(yè)在產值規(guī)模、技術創(chuàng)新力、企業(yè)影響力、資本活躍度都依舊處于領先地位。問及相比于國外的網絡安全產業(yè)、技術，我國有哪些領先的地方，對于兩者之間的差距應該從哪些方面去縮??？吳云坤告訴雷峰網(公眾號：雷峰網)，“相對來說中國在體系化的技術發(fā)展、體系化的技術能力建設方面還有不足，在一些細分技術領域的發(fā)展上精深程度還不夠；另外中國網絡安全技術領域的原始創(chuàng)新還很少，基本還是COPY to CHINA，尤其是在一些前沿領域和新技術領域還是以學習和跟隨為主。”

但是，通過觀察，國內網絡安全技術進步很快，在所有網絡安全技術領域我們與美國的差距在不斷縮小。每年的美國RSA大會被認為是網絡安全技術的演武場和風向標，從會議展出和探討的技術看，我們與美國的差距在不斷縮小，我們對比了RSAC的創(chuàng)新沙盒入圍企業(yè)和BCS安全創(chuàng)客匯的入圍企業(yè)，發(fā)現(xiàn)從技術領域覆蓋到技術創(chuàng)新，中國對新技術的跟蹤也跟世界保持了同步。

看好數(shù)據安全增長市場

近些年來，隨著數(shù)字技術的發(fā)展，數(shù)據安全問題帶來的危害越發(fā)多樣化。談到數(shù)據安全和網絡空間安全之間的關系，以及國家一方面提倡數(shù)字化建設，一方面又對數(shù)據安全加強監(jiān)管之間的聯(lián)系。

吳云坤表示，我們通常說的網絡安全是指網絡空間安全（Cyberspace Security），數(shù)據安全是網絡空間安全的重要組成部分，在國家總體安全觀下，網絡空間安全是國家安全的重要組成部分，數(shù)據安全同樣關系國家安全。國家推動數(shù)字化的發(fā)展，數(shù)據成為生產要素，是國家經濟社會發(fā)展的重要生產資料，國家同時提出要統(tǒng)籌安全與發(fā)展，數(shù)據安全將是數(shù)據要素發(fā)揮價值的基礎和保障，是數(shù)字中國、數(shù)字經濟、數(shù)字社會的底板工程，所以國家必然要加強數(shù)據安全監(jiān)管，尤其是關系國家安全的重要數(shù)據和個人信息。

去年我國密集出臺了《數(shù)據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》，這三部法律法規(guī)與2017年實施的《網絡安全法》這“三法一條例”構成了我國數(shù)據安全頂層制度框架，今年又連續(xù)出臺了《網絡安全審查辦法》《數(shù)據出境安全評估辦法》《數(shù)據安全管理認證實施規(guī)則》《網絡數(shù)據安全管理條例》這些配套的數(shù)據安全法規(guī)和制度，這些都是實操層面的，目的都是為了加快三法一條例的落地，強化對重要數(shù)據和個人信息的安全監(jiān)管，壓實企業(yè)主體責任，這些法規(guī)出臺可以說是立竿見影，推動了數(shù)據安全市場的快速增長，對于安全廠商來說是極大利好。

吳云坤同樣看好數(shù)據安全市場的發(fā)展，他認為，數(shù)據安全市場增長除了數(shù)據安全相關產品、服務和方案市場外，最重要的還是帶動了傳統(tǒng)基礎安全市場的很大的增量。

最近國內多家安全咨詢機構發(fā)布了相關的數(shù)據安全市場分析，他們一致認為2022年數(shù)據安全市場規(guī)模在100億左右，2023年在125~130億之間，市場增長率在30%左右。他說，這些數(shù)據還是基于純粹的數(shù)據安全保護市場，沒有把傳統(tǒng)基礎安全的市場增量算進去。

數(shù)據安全是數(shù)字化的前提 

隨著數(shù)據成為新的生產要素，數(shù)據安全已經成為數(shù)字化的前提和基礎，沒有數(shù)據安全，就沒有數(shù)字化發(fā)展。因此國家在大力推動數(shù)字中國戰(zhàn)略，提出統(tǒng)籌安全與發(fā)展。

吳云坤列舉了推動數(shù)據安全發(fā)展的因素主要有以下幾個方面：

國際競爭驅動：數(shù)據被稱為21世紀的石油，也必然成為國家間競爭的重點領域，數(shù)據安全因此成為國家安全的重要組成部分。

數(shù)字化發(fā)展驅動：數(shù)字化已經成為驅動經濟社會發(fā)展的核心驅動力，數(shù)據安全是數(shù)字化先進生產力的前提和基礎。

威脅驅動：以數(shù)據為目標的APT攻擊、勒索軟件攻擊愈演愈烈，數(shù)據泄露等安全事件層出不窮。

合規(guī)驅動：我國的數(shù)據安全法律法規(guī)體系越來越完善，對數(shù)據安全監(jiān)管也越來越嚴格。

在問及數(shù)據安全從萌芽、到當下、到未來主要經歷了哪些不同的階段？吳云坤答道：數(shù)據安全的發(fā)展一直跟隨數(shù)字業(yè)務發(fā)展、數(shù)據及數(shù)據應用的發(fā)展而變化，根據不同的數(shù)據及應用發(fā)展基本可以分為三個階段：

第一階段是傳統(tǒng)數(shù)據安全階段。這一階段，數(shù)據是靜態(tài)的，業(yè)務應用系統(tǒng)是簡單的三層結構，數(shù)據量小，從防護角度，以靜態(tài)防護和實體防護為主。

第二階段是大數(shù)據安全階段。這一階段，數(shù)據是流動的，業(yè)務應用系統(tǒng)基于大數(shù)據平臺，系統(tǒng)架構復雜，從防護角度，一是需要基于數(shù)據流轉的動態(tài)防護；二是傳統(tǒng)的數(shù)據安全技術需要適配新的大數(shù)據環(huán)境；三是需要新的防護技術和防護手段來滿足擴大的安全范疇需求，比如針對外部攻擊的API防護、針對內部違規(guī)的行為審計等。

第三階段是數(shù)據多元和多元數(shù)據加工和應用階段。這一階段，多元數(shù)據匯聚到數(shù)據中臺，通過中臺向業(yè)務和應用提供數(shù)據服務，這一階段除了以上的防護手段外，必須對數(shù)據進行精細化管控，要對數(shù)據分類分級，然后進行細顆粒度的管控和精細化防護。

吳云坤表示，據我們觀察，關系國計民生的關鍵信息基礎設施、重要行業(yè)、政府管理和社會服務機構，以及數(shù)字化業(yè)務開展比較好的企業(yè)、業(yè)務涉及個人信息的企業(yè)，會更加關注數(shù)據安全。不同的政企客戶由于數(shù)字化和網絡安全建設的階段不同，對數(shù)據安全的需求也會有差異。比如銀行、電信運營商等數(shù)字化程度高、安全建設水平比較高的機構，需要系統(tǒng)治理、體系化規(guī)劃的數(shù)據安全解決方案，他們希望對數(shù)據進行系統(tǒng)治理、分類分級，然后進行體系化規(guī)劃，制定戰(zhàn)略目標、設計體系架構、管理體系、技術體系和運營體系。而對于接近85%的國內政企機構還處于數(shù)字化的初級階段，數(shù)據安全治理剛剛開始，他們數(shù)據安全最緊迫的事情是補短板，把基礎防護做好。

新形勢下如何保護數(shù)據安全？

隨著新技術、新威脅、新場景的不斷涌現(xiàn)，傳統(tǒng)面向數(shù)據流轉簡單、系統(tǒng)結構簡單、數(shù)據應用和處理簡單的靜態(tài)數(shù)據防護技術已經不足以應對新趨勢下數(shù)據安全威脅。

吳云坤告訴雷峰網，大數(shù)據環(huán)境下，數(shù)據流轉復雜、數(shù)據應用場景和數(shù)據載體也發(fā)生了很大變化，數(shù)據防泄露、數(shù)據脫敏這些傳統(tǒng)數(shù)據安全技術需要適配新場景和新載體，產品形態(tài)和數(shù)據應用都會發(fā)生改變。目前企業(yè)部署的防護產品存在以下問題：

1）安全缺乏體系化建設，有很多的防護漏洞和短板，外部風險防御能力缺失，很容易被攻破，導致數(shù)據竊取、拖庫等；2）已有防護系統(tǒng)沒有人進行有效運營，沒有發(fā)揮作用，比如購買了防火墻，但防火墻的策略沒有有效配置；3）權限控制缺失，導致數(shù)據濫用，尤其是特權賬號管理薄弱，造成權限濫用，弱口令普遍存在進而導致數(shù)據泄露；4）終端管控、上網行為管控缺失，引發(fā)數(shù)據外泄；5）API資產不清楚，缺乏有效管控；6）缺乏有效的威脅檢測和監(jiān)控手段，發(fā)生安全事件卻不能第一時間得到告警。

所有這些都是源于沒有做到內生安全，安全和信息化和業(yè)務系統(tǒng)的融合沒有做好。

他提出，大數(shù)據下的數(shù)據安全防護應有以下幾個要點。

1）數(shù)據安全靠的不是單點技術，而是能力體系；

2）技術與管理要結合；

3）對數(shù)據分類分級，對重要數(shù)據在關鍵環(huán)節(jié)做到精準防護；

4）結合零信任與數(shù)據實體防護，構建數(shù)據安全技術防御體系；

5）數(shù)據伴隨著業(yè)務流轉，數(shù)據安全需要與業(yè)務內生，梳理數(shù)據脈絡，將安全能力和舉措深入到應用和業(yè)務中，并與信息化各層級全面覆蓋和深度結合。

數(shù)字經濟時代下，要發(fā)揮數(shù)據要素的價值，必須推動數(shù)據安全共享流通。我們應該如何讓數(shù)據更安全的流通？

針對數(shù)據安全共享流通，奇安信推出了數(shù)據交易沙箱，針對數(shù)據保護與數(shù)據價值挖掘之間存在巨大矛盾這一痛點問題，結合各類法律法規(guī)對數(shù)據安全開放的要求，秉承“數(shù)據不動程序動”、“數(shù)據可用不可見”的安全理念推出的數(shù)據安全開放服務平臺。

該平臺支持對接多種數(shù)據源，具備數(shù)據訪問權限管控、數(shù)據操作留痕審計、用戶行為風險分析、輸出結果申報審核等功能，實現(xiàn)了數(shù)據所有權和使用權分離，確保數(shù)據安全可控。幫助企業(yè)突破“不敢”、“不愿”、“不能”共享數(shù)據的困境，通過數(shù)據交易沙箱合法合規(guī)安全地對外開放數(shù)據，既保證數(shù)據安全，又能充分發(fā)揮數(shù)據的最大價值，助推企業(yè)數(shù)據業(yè)務的快速發(fā)展。

最后，吳云坤說：“我認為網絡安全是一個長坡厚雪的行業(yè)，不是一個賺快錢的行業(yè)，在這個行業(yè)的人和企業(yè)，需要有一點家國情懷，需要耐得住寂寞，需要堅持長期投入，更需要持續(xù)的創(chuàng)新和探索。”

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。