8月26日，由IDC 主辦的2022 CSO全球網(wǎng)絡安全峰會首次落地中國，以表彰本年度為中國網(wǎng)絡安全市場做出重大貢獻的十大人物，奇安信集團總裁吳云坤獲得“中國CSO名人堂（十大人物）”獎項。基于此，雷峰網(wǎng)(公眾號：雷峰網(wǎng))與吳云坤進行了一次對話。

吳云坤表示，作為一個在網(wǎng)絡安全行業(yè)摸爬滾打了20多年的老兵，見證了中國網(wǎng)絡安全跟隨信息化發(fā)展不斷成長和提升的過程，這個新榮譽，是對自己過去20多年堅持和堅守的褒獎，更是對未來更加投入地推動網(wǎng)絡安全發(fā)展的鞭策和鼓勵。

IDC是全球權(quán)威咨詢機構(gòu)，中國CSO名人堂（十大人物）是面向CSO群體設立的獎項，這個獎項本身是對中國CSO群體的認同和鼓勵，也是對中國網(wǎng)絡安全行業(yè)發(fā)展的認可和激勵。

 

（奇安信集團總裁吳云坤）

網(wǎng)絡安全成為底板工程 

隨著數(shù)字化轉(zhuǎn)型的深入，網(wǎng)絡安全成為底板工程，行業(yè)得以高速發(fā)展，中國的發(fā)展速度和發(fā)展?jié)摿Χ继幱谌蝾I先水平，CSO全球網(wǎng)絡安全峰會落地中國是一個很好的契機，可以更好地凝聚行業(yè)共識，集聚行業(yè)力量，共同推動中國網(wǎng)絡安全建設和產(chǎn)業(yè)發(fā)展。

吳云坤認為網(wǎng)絡安全的發(fā)展與信息化發(fā)展、與信息化對業(yè)務的支撐緊密相關，中國的信息化發(fā)展已經(jīng)與世界同步，無論是信息化水平還是信息產(chǎn)業(yè)發(fā)展都處于全球領先水平。但中國的網(wǎng)絡安全落后于信息化，無論是產(chǎn)業(yè)規(guī)模還是能力水平，都需要進一步提升。

就全球網(wǎng)絡安全產(chǎn)業(yè)格局來看，美國網(wǎng)絡安全產(chǎn)業(yè)在產(chǎn)值規(guī)模、技術(shù)創(chuàng)新力、企業(yè)影響力、資本活躍度都依舊處于領先地位。問及相比于國外的網(wǎng)絡安全產(chǎn)業(yè)、技術(shù)，我國有哪些領先的地方，對于兩者之間的差距應該從哪些方面去縮??？吳云坤告訴雷峰網(wǎng)，“相對來說中國在體系化的技術(shù)發(fā)展、體系化的技術(shù)能力建設方面還有不足，在一些細分技術(shù)領域的發(fā)展上精深程度還不夠；另外中國網(wǎng)絡安全技術(shù)領域的原始創(chuàng)新還很少，基本還是COPY to CHINA，尤其是在一些前沿領域和新技術(shù)領域還是以學習和跟隨為主?！?/p>

但是，通過觀察，國內(nèi)網(wǎng)絡安全技術(shù)進步很快，在所有網(wǎng)絡安全技術(shù)領域我們與美國的差距在不斷縮小。每年的美國RSA大會被認為是網(wǎng)絡安全技術(shù)的演武場和風向標，從會議展出和探討的技術(shù)看，我們與美國的差距在不斷縮小，我們對比了RSAC的創(chuàng)新沙盒入圍企業(yè)和BCS安全創(chuàng)客匯的入圍企業(yè)，發(fā)現(xiàn)從技術(shù)領域覆蓋到技術(shù)創(chuàng)新，中國對新技術(shù)的跟蹤也跟世界保持了同步。

看好數(shù)據(jù)安全增長市場

近些年來，隨著數(shù)字技術(shù)的發(fā)展，數(shù)據(jù)安全問題帶來的危害越發(fā)多樣化。談到數(shù)據(jù)安全和網(wǎng)絡空間安全之間的關系，以及國家一方面提倡數(shù)字化建設，一方面又對數(shù)據(jù)安全加強監(jiān)管之間的聯(lián)系。

吳云坤表示，我們通常說的網(wǎng)絡安全是指網(wǎng)絡空間安全（Cyberspace Security），數(shù)據(jù)安全是網(wǎng)絡空間安全的重要組成部分，在國家總體安全觀下，網(wǎng)絡空間安全是國家安全的重要組成部分，數(shù)據(jù)安全同樣關系國家安全。國家推動數(shù)字化的發(fā)展，數(shù)據(jù)成為生產(chǎn)要素，是國家經(jīng)濟社會發(fā)展的重要生產(chǎn)資料，國家同時提出要統(tǒng)籌安全與發(fā)展，數(shù)據(jù)安全將是數(shù)據(jù)要素發(fā)揮價值的基礎和保障，是數(shù)字中國、數(shù)字經(jīng)濟、數(shù)字社會的底板工程，所以國家必然要加強數(shù)據(jù)安全監(jiān)管，尤其是關系國家安全的重要數(shù)據(jù)和個人信息。

去年我國密集出臺了《數(shù)據(jù)安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》，這三部法律法規(guī)與2017年實施的《網(wǎng)絡安全法》這“三法一條例”構(gòu)成了我國數(shù)據(jù)安全頂層制度框架，今年又連續(xù)出臺了《網(wǎng)絡安全審查辦法》《數(shù)據(jù)出境安全評估辦法》《數(shù)據(jù)安全管理認證實施規(guī)則》《網(wǎng)絡數(shù)據(jù)安全管理條例》這些配套的數(shù)據(jù)安全法規(guī)和制度，這些都是實操層面的，目的都是為了加快三法一條例的落地，強化對重要數(shù)據(jù)和個人信息的安全監(jiān)管，壓實企業(yè)主體責任，這些法規(guī)出臺可以說是立竿見影，推動了數(shù)據(jù)安全市場的快速增長，對于安全廠商來說是極大利好。

吳云坤同樣看好數(shù)據(jù)安全市場的發(fā)展，他認為，數(shù)據(jù)安全市場增長除了數(shù)據(jù)安全相關產(chǎn)品、服務和方案市場外，最重要的還是帶動了傳統(tǒng)基礎安全市場的很大的增量。

最近國內(nèi)多家安全咨詢機構(gòu)發(fā)布了相關的數(shù)據(jù)安全市場分析，他們一致認為2022年數(shù)據(jù)安全市場規(guī)模在100億左右，2023年在125~130億之間，市場增長率在30%左右。他說，這些數(shù)據(jù)還是基于純粹的數(shù)據(jù)安全保護市場，沒有把傳統(tǒng)基礎安全的市場增量算進去。

數(shù)據(jù)安全是數(shù)字化的前提 

隨著數(shù)據(jù)成為新的生產(chǎn)要素，數(shù)據(jù)安全已經(jīng)成為數(shù)字化的前提和基礎，沒有數(shù)據(jù)安全，就沒有數(shù)字化發(fā)展。因此國家在大力推動數(shù)字中國戰(zhàn)略，提出統(tǒng)籌安全與發(fā)展。

吳云坤列舉了推動數(shù)據(jù)安全發(fā)展的因素主要有以下幾個方面：

國際競爭驅(qū)動：數(shù)據(jù)被稱為21世紀的石油，也必然成為國家間競爭的重點領域，數(shù)據(jù)安全因此成為國家安全的重要組成部分。

數(shù)字化發(fā)展驅(qū)動：數(shù)字化已經(jīng)成為驅(qū)動經(jīng)濟社會發(fā)展的核心驅(qū)動力，數(shù)據(jù)安全是數(shù)字化先進生產(chǎn)力的前提和基礎。

威脅驅(qū)動：以數(shù)據(jù)為目標的APT攻擊、勒索軟件攻擊愈演愈烈，數(shù)據(jù)泄露等安全事件層出不窮。

合規(guī)驅(qū)動：我國的數(shù)據(jù)安全法律法規(guī)體系越來越完善，對數(shù)據(jù)安全監(jiān)管也越來越嚴格。

在問及數(shù)據(jù)安全從萌芽、到當下、到未來主要經(jīng)歷了哪些不同的階段？吳云坤答道：數(shù)據(jù)安全的發(fā)展一直跟隨數(shù)字業(yè)務發(fā)展、數(shù)據(jù)及數(shù)據(jù)應用的發(fā)展而變化，根據(jù)不同的數(shù)據(jù)及應用發(fā)展基本可以分為三個階段：

第一階段是傳統(tǒng)數(shù)據(jù)安全階段。這一階段，數(shù)據(jù)是靜態(tài)的，業(yè)務應用系統(tǒng)是簡單的三層結(jié)構(gòu)，數(shù)據(jù)量小，從防護角度，以靜態(tài)防護和實體防護為主。

第二階段是大數(shù)據(jù)安全階段。這一階段，數(shù)據(jù)是流動的，業(yè)務應用系統(tǒng)基于大數(shù)據(jù)平臺，系統(tǒng)架構(gòu)復雜，從防護角度，一是需要基于數(shù)據(jù)流轉(zhuǎn)的動態(tài)防護；二是傳統(tǒng)的數(shù)據(jù)安全技術(shù)需要適配新的大數(shù)據(jù)環(huán)境；三是需要新的防護技術(shù)和防護手段來滿足擴大的安全范疇需求，比如針對外部攻擊的API防護、針對內(nèi)部違規(guī)的行為審計等。

第三階段是數(shù)據(jù)多元和多元數(shù)據(jù)加工和應用階段。這一階段，多元數(shù)據(jù)匯聚到數(shù)據(jù)中臺，通過中臺向業(yè)務和應用提供數(shù)據(jù)服務，這一階段除了以上的防護手段外，必須對數(shù)據(jù)進行精細化管控，要對數(shù)據(jù)分類分級，然后進行細顆粒度的管控和精細化防護。

吳云坤表示，據(jù)我們觀察，關系國計民生的關鍵信息基礎設施、重要行業(yè)、政府管理和社會服務機構(gòu)，以及數(shù)字化業(yè)務開展比較好的企業(yè)、業(yè)務涉及個人信息的企業(yè)，會更加關注數(shù)據(jù)安全。不同的政企客戶由于數(shù)字化和網(wǎng)絡安全建設的階段不同，對數(shù)據(jù)安全的需求也會有差異。比如銀行、電信運營商等數(shù)字化程度高、安全建設水平比較高的機構(gòu)，需要系統(tǒng)治理、體系化規(guī)劃的數(shù)據(jù)安全解決方案，他們希望對數(shù)據(jù)進行系統(tǒng)治理、分類分級，然后進行體系化規(guī)劃，制定戰(zhàn)略目標、設計體系架構(gòu)、管理體系、技術(shù)體系和運營體系。而對于接近85%的國內(nèi)政企機構(gòu)還處于數(shù)字化的初級階段，數(shù)據(jù)安全治理剛剛開始，他們數(shù)據(jù)安全最緊迫的事情是補短板，把基礎防護做好。

新形勢下如何保護數(shù)據(jù)安全？

隨著新技術(shù)、新威脅、新場景的不斷涌現(xiàn)，傳統(tǒng)面向數(shù)據(jù)流轉(zhuǎn)簡單、系統(tǒng)結(jié)構(gòu)簡單、數(shù)據(jù)應用和處理簡單的靜態(tài)數(shù)據(jù)防護技術(shù)已經(jīng)不足以應對新趨勢下數(shù)據(jù)安全威脅。

吳云坤告訴雷峰網(wǎng)，大數(shù)據(jù)環(huán)境下，數(shù)據(jù)流轉(zhuǎn)復雜、數(shù)據(jù)應用場景和數(shù)據(jù)載體也發(fā)生了很大變化，數(shù)據(jù)防泄露、數(shù)據(jù)脫敏這些傳統(tǒng)數(shù)據(jù)安全技術(shù)需要適配新場景和新載體，產(chǎn)品形態(tài)和數(shù)據(jù)應用都會發(fā)生改變。目前企業(yè)部署的防護產(chǎn)品存在以下問題：

1）安全缺乏體系化建設，有很多的防護漏洞和短板，外部風險防御能力缺失，很容易被攻破，導致數(shù)據(jù)竊取、拖庫等；2）已有防護系統(tǒng)沒有人進行有效運營，沒有發(fā)揮作用，比如購買了防火墻，但防火墻的策略沒有有效配置；3）權(quán)限控制缺失，導致數(shù)據(jù)濫用，尤其是特權(quán)賬號管理薄弱，造成權(quán)限濫用，弱口令普遍存在進而導致數(shù)據(jù)泄露；4）終端管控、上網(wǎng)行為管控缺失，引發(fā)數(shù)據(jù)外泄；5）API資產(chǎn)不清楚，缺乏有效管控；6）缺乏有效的威脅檢測和監(jiān)控手段，發(fā)生安全事件卻不能第一時間得到告警。

所有這些都是源于沒有做到內(nèi)生安全，安全和信息化和業(yè)務系統(tǒng)的融合沒有做好。

他提出，大數(shù)據(jù)下的數(shù)據(jù)安全防護應有以下幾個要點。

1）數(shù)據(jù)安全靠的不是單點技術(shù)，而是能力體系；

2）技術(shù)與管理要結(jié)合；

3）對數(shù)據(jù)分類分級，對重要數(shù)據(jù)在關鍵環(huán)節(jié)做到精準防護；

4）結(jié)合零信任與數(shù)據(jù)實體防護，構(gòu)建數(shù)據(jù)安全技術(shù)防御體系；

5）數(shù)據(jù)伴隨著業(yè)務流轉(zhuǎn)，數(shù)據(jù)安全需要與業(yè)務內(nèi)生，梳理數(shù)據(jù)脈絡，將安全能力和舉措深入到應用和業(yè)務中，并與信息化各層級全面覆蓋和深度結(jié)合。

數(shù)字經(jīng)濟時代下，要發(fā)揮數(shù)據(jù)要素的價值，必須推動數(shù)據(jù)安全共享流通。我們應該如何讓數(shù)據(jù)更安全的流通？

針對數(shù)據(jù)安全共享流通，奇安信推出了數(shù)據(jù)交易沙箱，針對數(shù)據(jù)保護與數(shù)據(jù)價值挖掘之間存在巨大矛盾這一痛點問題，結(jié)合各類法律法規(guī)對數(shù)據(jù)安全開放的要求，秉承“數(shù)據(jù)不動程序動”、“數(shù)據(jù)可用不可見”的安全理念推出的數(shù)據(jù)安全開放服務平臺。

該平臺支持對接多種數(shù)據(jù)源，具備數(shù)據(jù)訪問權(quán)限管控、數(shù)據(jù)操作留痕審計、用戶行為風險分析、輸出結(jié)果申報審核等功能，實現(xiàn)了數(shù)據(jù)所有權(quán)和使用權(quán)分離，確保數(shù)據(jù)安全可控。幫助企業(yè)突破“不敢”、“不愿”、“不能”共享數(shù)據(jù)的困境，通過數(shù)據(jù)交易沙箱合法合規(guī)安全地對外開放數(shù)據(jù)，既保證數(shù)據(jù)安全，又能充分發(fā)揮數(shù)據(jù)的最大價值，助推企業(yè)數(shù)據(jù)業(yè)務的快速發(fā)展。

最后，吳云坤說：“我認為網(wǎng)絡安全是一個長坡厚雪的行業(yè)，不是一個賺快錢的行業(yè)，在這個行業(yè)的人和企業(yè)，需要有一點家國情懷，需要耐得住寂寞，需要堅持長期投入，更需要持續(xù)的創(chuàng)新和探索?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。