8月26日，由IDC 主辦的2022 CSO全球網(wǎng)絡(luò)安全峰會(huì)首次落地中國(guó)，以表彰本年度為中國(guó)網(wǎng)絡(luò)安全市場(chǎng)做出重大貢獻(xiàn)的十大人物，奇安信集團(tuán)總裁吳云坤獲得“中國(guó)CSO名人堂（十大人物）”獎(jiǎng)項(xiàng)?；诖耍追寰W(wǎng)與吳云坤進(jìn)行了一次對(duì)話。

吳云坤表示，作為一個(gè)在網(wǎng)絡(luò)安全行業(yè)摸爬滾打了20多年的老兵，見(jiàn)證了中國(guó)網(wǎng)絡(luò)安全跟隨信息化發(fā)展不斷成長(zhǎng)和提升的過(guò)程，這個(gè)新榮譽(yù)，是對(duì)自己過(guò)去20多年堅(jiān)持和堅(jiān)守的褒獎(jiǎng)，更是對(duì)未來(lái)更加投入地推動(dòng)網(wǎng)絡(luò)安全發(fā)展的鞭策和鼓勵(lì)。

IDC是全球權(quán)威咨詢機(jī)構(gòu)，中國(guó)CSO名人堂（十大人物）是面向CSO群體設(shè)立的獎(jiǎng)項(xiàng)，這個(gè)獎(jiǎng)項(xiàng)本身是對(duì)中國(guó)CSO群體的認(rèn)同和鼓勵(lì)，也是對(duì)中國(guó)網(wǎng)絡(luò)安全行業(yè)發(fā)展的認(rèn)可和激勵(lì)。

 

（奇安信集團(tuán)總裁吳云坤）

網(wǎng)絡(luò)安全成為底板工程 

隨著數(shù)字化轉(zhuǎn)型的深入，網(wǎng)絡(luò)安全成為底板工程，行業(yè)得以高速發(fā)展，中國(guó)的發(fā)展速度和發(fā)展?jié)摿Χ继幱谌蝾I(lǐng)先水平，CSO全球網(wǎng)絡(luò)安全峰會(huì)落地中國(guó)是一個(gè)很好的契機(jī)，可以更好地凝聚行業(yè)共識(shí)，集聚行業(yè)力量，共同推動(dòng)中國(guó)網(wǎng)絡(luò)安全建設(shè)和產(chǎn)業(yè)發(fā)展。

吳云坤認(rèn)為網(wǎng)絡(luò)安全的發(fā)展與信息化發(fā)展、與信息化對(duì)業(yè)務(wù)的支撐緊密相關(guān)，中國(guó)的信息化發(fā)展已經(jīng)與世界同步，無(wú)論是信息化水平還是信息產(chǎn)業(yè)發(fā)展都處于全球領(lǐng)先水平。但中國(guó)的網(wǎng)絡(luò)安全落后于信息化，無(wú)論是產(chǎn)業(yè)規(guī)模還是能力水平，都需要進(jìn)一步提升。

就全球網(wǎng)絡(luò)安全產(chǎn)業(yè)格局來(lái)看，美國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)在產(chǎn)值規(guī)模、技術(shù)創(chuàng)新力、企業(yè)影響力、資本活躍度都依舊處于領(lǐng)先地位。問(wèn)及相比于國(guó)外的網(wǎng)絡(luò)安全產(chǎn)業(yè)、技術(shù)，我國(guó)有哪些領(lǐng)先的地方，對(duì)于兩者之間的差距應(yīng)該從哪些方面去縮小？吳云坤告訴雷峰網(wǎng)(公眾號(hào)：雷峰網(wǎng))，“相對(duì)來(lái)說(shuō)中國(guó)在體系化的技術(shù)發(fā)展、體系化的技術(shù)能力建設(shè)方面還有不足，在一些細(xì)分技術(shù)領(lǐng)域的發(fā)展上精深程度還不夠；另外中國(guó)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域的原始創(chuàng)新還很少，基本還是COPY to CHINA，尤其是在一些前沿領(lǐng)域和新技術(shù)領(lǐng)域還是以學(xué)習(xí)和跟隨為主。”

但是，通過(guò)觀察，國(guó)內(nèi)網(wǎng)絡(luò)安全技術(shù)進(jìn)步很快，在所有網(wǎng)絡(luò)安全技術(shù)領(lǐng)域我們與美國(guó)的差距在不斷縮小。每年的美國(guó)RSA大會(huì)被認(rèn)為是網(wǎng)絡(luò)安全技術(shù)的演武場(chǎng)和風(fēng)向標(biāo)，從會(huì)議展出和探討的技術(shù)看，我們與美國(guó)的差距在不斷縮小，我們對(duì)比了RSAC的創(chuàng)新沙盒入圍企業(yè)和BCS安全創(chuàng)客匯的入圍企業(yè)，發(fā)現(xiàn)從技術(shù)領(lǐng)域覆蓋到技術(shù)創(chuàng)新，中國(guó)對(duì)新技術(shù)的跟蹤也跟世界保持了同步。

看好數(shù)據(jù)安全增長(zhǎng)市場(chǎng)

近些年來(lái)，隨著數(shù)字技術(shù)的發(fā)展，數(shù)據(jù)安全問(wèn)題帶來(lái)的危害越發(fā)多樣化。談到數(shù)據(jù)安全和網(wǎng)絡(luò)空間安全之間的關(guān)系，以及國(guó)家一方面提倡數(shù)字化建設(shè)，一方面又對(duì)數(shù)據(jù)安全加強(qiáng)監(jiān)管之間的聯(lián)系。

吳云坤表示，我們通常說(shuō)的網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)空間安全（Cyberspace Security），數(shù)據(jù)安全是網(wǎng)絡(luò)空間安全的重要組成部分，在國(guó)家總體安全觀下，網(wǎng)絡(luò)空間安全是國(guó)家安全的重要組成部分，數(shù)據(jù)安全同樣關(guān)系國(guó)家安全。國(guó)家推動(dòng)數(shù)字化的發(fā)展，數(shù)據(jù)成為生產(chǎn)要素，是國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展的重要生產(chǎn)資料，國(guó)家同時(shí)提出要統(tǒng)籌安全與發(fā)展，數(shù)據(jù)安全將是數(shù)據(jù)要素發(fā)揮價(jià)值的基礎(chǔ)和保障，是數(shù)字中國(guó)、數(shù)字經(jīng)濟(jì)、數(shù)字社會(huì)的底板工程，所以國(guó)家必然要加強(qiáng)數(shù)據(jù)安全監(jiān)管，尤其是關(guān)系國(guó)家安全的重要數(shù)據(jù)和個(gè)人信息。

去年我國(guó)密集出臺(tái)了《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，這三部法律法規(guī)與2017年實(shí)施的《網(wǎng)絡(luò)安全法》這“三法一條例”構(gòu)成了我國(guó)數(shù)據(jù)安全頂層制度框架，今年又連續(xù)出臺(tái)了《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評(píng)估辦法》《數(shù)據(jù)安全管理認(rèn)證實(shí)施規(guī)則》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》這些配套的數(shù)據(jù)安全法規(guī)和制度，這些都是實(shí)操層面的，目的都是為了加快三法一條例的落地，強(qiáng)化對(duì)重要數(shù)據(jù)和個(gè)人信息的安全監(jiān)管，壓實(shí)企業(yè)主體責(zé)任，這些法規(guī)出臺(tái)可以說(shuō)是立竿見(jiàn)影，推動(dòng)了數(shù)據(jù)安全市場(chǎng)的快速增長(zhǎng)，對(duì)于安全廠商來(lái)說(shuō)是極大利好。

吳云坤同樣看好數(shù)據(jù)安全市場(chǎng)的發(fā)展，他認(rèn)為，數(shù)據(jù)安全市場(chǎng)增長(zhǎng)除了數(shù)據(jù)安全相關(guān)產(chǎn)品、服務(wù)和方案市場(chǎng)外，最重要的還是帶動(dòng)了傳統(tǒng)基礎(chǔ)安全市場(chǎng)的很大的增量。

最近國(guó)內(nèi)多家安全咨詢機(jī)構(gòu)發(fā)布了相關(guān)的數(shù)據(jù)安全市場(chǎng)分析，他們一致認(rèn)為2022年數(shù)據(jù)安全市場(chǎng)規(guī)模在100億左右，2023年在125~130億之間，市場(chǎng)增長(zhǎng)率在30%左右。他說(shuō)，這些數(shù)據(jù)還是基于純粹的數(shù)據(jù)安全保護(hù)市場(chǎng)，沒(méi)有把傳統(tǒng)基礎(chǔ)安全的市場(chǎng)增量算進(jìn)去。

數(shù)據(jù)安全是數(shù)字化的前提 

隨著數(shù)據(jù)成為新的生產(chǎn)要素，數(shù)據(jù)安全已經(jīng)成為數(shù)字化的前提和基礎(chǔ)，沒(méi)有數(shù)據(jù)安全，就沒(méi)有數(shù)字化發(fā)展。因此國(guó)家在大力推動(dòng)數(shù)字中國(guó)戰(zhàn)略，提出統(tǒng)籌安全與發(fā)展。

吳云坤列舉了推動(dòng)數(shù)據(jù)安全發(fā)展的因素主要有以下幾個(gè)方面：

國(guó)際競(jìng)爭(zhēng)驅(qū)動(dòng)：數(shù)據(jù)被稱為21世紀(jì)的石油，也必然成為國(guó)家間競(jìng)爭(zhēng)的重點(diǎn)領(lǐng)域，數(shù)據(jù)安全因此成為國(guó)家安全的重要組成部分。

數(shù)字化發(fā)展驅(qū)動(dòng)：數(shù)字化已經(jīng)成為驅(qū)動(dòng)經(jīng)濟(jì)社會(huì)發(fā)展的核心驅(qū)動(dòng)力，數(shù)據(jù)安全是數(shù)字化先進(jìn)生產(chǎn)力的前提和基礎(chǔ)。

威脅驅(qū)動(dòng)：以數(shù)據(jù)為目標(biāo)的APT攻擊、勒索軟件攻擊愈演愈烈，數(shù)據(jù)泄露等安全事件層出不窮。

合規(guī)驅(qū)動(dòng)：我國(guó)的數(shù)據(jù)安全法律法規(guī)體系越來(lái)越完善，對(duì)數(shù)據(jù)安全監(jiān)管也越來(lái)越嚴(yán)格。

在問(wèn)及數(shù)據(jù)安全從萌芽、到當(dāng)下、到未來(lái)主要經(jīng)歷了哪些不同的階段？吳云坤答道：數(shù)據(jù)安全的發(fā)展一直跟隨數(shù)字業(yè)務(wù)發(fā)展、數(shù)據(jù)及數(shù)據(jù)應(yīng)用的發(fā)展而變化，根據(jù)不同的數(shù)據(jù)及應(yīng)用發(fā)展基本可以分為三個(gè)階段：

第一階段是傳統(tǒng)數(shù)據(jù)安全階段。這一階段，數(shù)據(jù)是靜態(tài)的，業(yè)務(wù)應(yīng)用系統(tǒng)是簡(jiǎn)單的三層結(jié)構(gòu)，數(shù)據(jù)量小，從防護(hù)角度，以靜態(tài)防護(hù)和實(shí)體防護(hù)為主。

第二階段是大數(shù)據(jù)安全階段。這一階段，數(shù)據(jù)是流動(dòng)的，業(yè)務(wù)應(yīng)用系統(tǒng)基于大數(shù)據(jù)平臺(tái)，系統(tǒng)架構(gòu)復(fù)雜，從防護(hù)角度，一是需要基于數(shù)據(jù)流轉(zhuǎn)的動(dòng)態(tài)防護(hù)；二是傳統(tǒng)的數(shù)據(jù)安全技術(shù)需要適配新的大數(shù)據(jù)環(huán)境；三是需要新的防護(hù)技術(shù)和防護(hù)手段來(lái)滿足擴(kuò)大的安全范疇需求，比如針對(duì)外部攻擊的API防護(hù)、針對(duì)內(nèi)部違規(guī)的行為審計(jì)等。

第三階段是數(shù)據(jù)多元和多元數(shù)據(jù)加工和應(yīng)用階段。這一階段，多元數(shù)據(jù)匯聚到數(shù)據(jù)中臺(tái)，通過(guò)中臺(tái)向業(yè)務(wù)和應(yīng)用提供數(shù)據(jù)服務(wù)，這一階段除了以上的防護(hù)手段外，必須對(duì)數(shù)據(jù)進(jìn)行精細(xì)化管控，要對(duì)數(shù)據(jù)分類分級(jí)，然后進(jìn)行細(xì)顆粒度的管控和精細(xì)化防護(hù)。

吳云坤表示，據(jù)我們觀察，關(guān)系國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施、重要行業(yè)、政府管理和社會(huì)服務(wù)機(jī)構(gòu)，以及數(shù)字化業(yè)務(wù)開(kāi)展比較好的企業(yè)、業(yè)務(wù)涉及個(gè)人信息的企業(yè)，會(huì)更加關(guān)注數(shù)據(jù)安全。不同的政企客戶由于數(shù)字化和網(wǎng)絡(luò)安全建設(shè)的階段不同，對(duì)數(shù)據(jù)安全的需求也會(huì)有差異。比如銀行、電信運(yùn)營(yíng)商等數(shù)字化程度高、安全建設(shè)水平比較高的機(jī)構(gòu)，需要系統(tǒng)治理、體系化規(guī)劃的數(shù)據(jù)安全解決方案，他們希望對(duì)數(shù)據(jù)進(jìn)行系統(tǒng)治理、分類分級(jí)，然后進(jìn)行體系化規(guī)劃，制定戰(zhàn)略目標(biāo)、設(shè)計(jì)體系架構(gòu)、管理體系、技術(shù)體系和運(yùn)營(yíng)體系。而對(duì)于接近85%的國(guó)內(nèi)政企機(jī)構(gòu)還處于數(shù)字化的初級(jí)階段，數(shù)據(jù)安全治理剛剛開(kāi)始，他們數(shù)據(jù)安全最緊迫的事情是補(bǔ)短板，把基礎(chǔ)防護(hù)做好。

新形勢(shì)下如何保護(hù)數(shù)據(jù)安全？

隨著新技術(shù)、新威脅、新場(chǎng)景的不斷涌現(xiàn)，傳統(tǒng)面向數(shù)據(jù)流轉(zhuǎn)簡(jiǎn)單、系統(tǒng)結(jié)構(gòu)簡(jiǎn)單、數(shù)據(jù)應(yīng)用和處理簡(jiǎn)單的靜態(tài)數(shù)據(jù)防護(hù)技術(shù)已經(jīng)不足以應(yīng)對(duì)新趨勢(shì)下數(shù)據(jù)安全威脅。

吳云坤告訴雷峰網(wǎng)，大數(shù)據(jù)環(huán)境下，數(shù)據(jù)流轉(zhuǎn)復(fù)雜、數(shù)據(jù)應(yīng)用場(chǎng)景和數(shù)據(jù)載體也發(fā)生了很大變化，數(shù)據(jù)防泄露、數(shù)據(jù)脫敏這些傳統(tǒng)數(shù)據(jù)安全技術(shù)需要適配新場(chǎng)景和新載體，產(chǎn)品形態(tài)和數(shù)據(jù)應(yīng)用都會(huì)發(fā)生改變。目前企業(yè)部署的防護(hù)產(chǎn)品存在以下問(wèn)題：

1）安全缺乏體系化建設(shè)，有很多的防護(hù)漏洞和短板，外部風(fēng)險(xiǎn)防御能力缺失，很容易被攻破，導(dǎo)致數(shù)據(jù)竊取、拖庫(kù)等；2）已有防護(hù)系統(tǒng)沒(méi)有人進(jìn)行有效運(yùn)營(yíng)，沒(méi)有發(fā)揮作用，比如購(gòu)買了防火墻，但防火墻的策略沒(méi)有有效配置；3）權(quán)限控制缺失，導(dǎo)致數(shù)據(jù)濫用，尤其是特權(quán)賬號(hào)管理薄弱，造成權(quán)限濫用，弱口令普遍存在進(jìn)而導(dǎo)致數(shù)據(jù)泄露；4）終端管控、上網(wǎng)行為管控缺失，引發(fā)數(shù)據(jù)外泄；5）API資產(chǎn)不清楚，缺乏有效管控；6）缺乏有效的威脅檢測(cè)和監(jiān)控手段，發(fā)生安全事件卻不能第一時(shí)間得到告警。

所有這些都是源于沒(méi)有做到內(nèi)生安全，安全和信息化和業(yè)務(wù)系統(tǒng)的融合沒(méi)有做好。

他提出，大數(shù)據(jù)下的數(shù)據(jù)安全防護(hù)應(yīng)有以下幾個(gè)要點(diǎn)。

1）數(shù)據(jù)安全靠的不是單點(diǎn)技術(shù)，而是能力體系；

2）技術(shù)與管理要結(jié)合；

3）對(duì)數(shù)據(jù)分類分級(jí)，對(duì)重要數(shù)據(jù)在關(guān)鍵環(huán)節(jié)做到精準(zhǔn)防護(hù)；

4）結(jié)合零信任與數(shù)據(jù)實(shí)體防護(hù)，構(gòu)建數(shù)據(jù)安全技術(shù)防御體系；

5）數(shù)據(jù)伴隨著業(yè)務(wù)流轉(zhuǎn)，數(shù)據(jù)安全需要與業(yè)務(wù)內(nèi)生，梳理數(shù)據(jù)脈絡(luò)，將安全能力和舉措深入到應(yīng)用和業(yè)務(wù)中，并與信息化各層級(jí)全面覆蓋和深度結(jié)合。

數(shù)字經(jīng)濟(jì)時(shí)代下，要發(fā)揮數(shù)據(jù)要素的價(jià)值，必須推動(dòng)數(shù)據(jù)安全共享流通。我們應(yīng)該如何讓數(shù)據(jù)更安全的流通？

針對(duì)數(shù)據(jù)安全共享流通，奇安信推出了數(shù)據(jù)交易沙箱，針對(duì)數(shù)據(jù)保護(hù)與數(shù)據(jù)價(jià)值挖掘之間存在巨大矛盾這一痛點(diǎn)問(wèn)題，結(jié)合各類法律法規(guī)對(duì)數(shù)據(jù)安全開(kāi)放的要求，秉承“數(shù)據(jù)不動(dòng)程序動(dòng)”、“數(shù)據(jù)可用不可見(jiàn)”的安全理念推出的數(shù)據(jù)安全開(kāi)放服務(wù)平臺(tái)。

該平臺(tái)支持對(duì)接多種數(shù)據(jù)源，具備數(shù)據(jù)訪問(wèn)權(quán)限管控、數(shù)據(jù)操作留痕審計(jì)、用戶行為風(fēng)險(xiǎn)分析、輸出結(jié)果申報(bào)審核等功能，實(shí)現(xiàn)了數(shù)據(jù)所有權(quán)和使用權(quán)分離，確保數(shù)據(jù)安全可控。幫助企業(yè)突破“不敢”、“不愿”、“不能”共享數(shù)據(jù)的困境，通過(guò)數(shù)據(jù)交易沙箱合法合規(guī)安全地對(duì)外開(kāi)放數(shù)據(jù)，既保證數(shù)據(jù)安全，又能充分發(fā)揮數(shù)據(jù)的最大價(jià)值，助推企業(yè)數(shù)據(jù)業(yè)務(wù)的快速發(fā)展。

最后，吳云坤說(shuō)：“我認(rèn)為網(wǎng)絡(luò)安全是一個(gè)長(zhǎng)坡厚雪的行業(yè)，不是一個(gè)賺快錢的行業(yè)，在這個(gè)行業(yè)的人和企業(yè)，需要有一點(diǎn)家國(guó)情懷，需要耐得住寂寞，需要堅(jiān)持長(zhǎng)期投入，更需要持續(xù)的創(chuàng)新和探索?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。