當前中國數據安全市場發展現狀
2020年04月10日,《中共中央國務院關于構建更加完善的要素市場化配置體制機制的意見》中將數據列為繼地、勞動力、資本、技術后第五大生產要素,在大數據智能時代背景下數據將成為核心價值資產,其重要性越來越突出。近年來世界各國針對數據安全防護都出臺了一系列的法律法規以及行業標準,我國國家和行業監管單位也對數據安全相關法律法規和技術標準進行了不斷完善,同時在多方大力宣傳下,各級政府積極推動下,數據安全已成為各行業共識。
常見的數安法規下滑查看全部清單,僅供參考
[1] 《中華人民共和國數據安全法》
[2] 《中華人民共和國個人信息保護法》
[3] 《網絡數據安全管理條例(征求意見稿)》
[4] 《工業和信息化領域數據安全管理辦法(試行)(征求意見稿)》
[5] 《 中央企業商業秘密保護暫行規定 》
[6] GB/T 4754 2017 國民經濟行業分類
[7] GB/T 35273 2020 信息安全技術 個人信息安全規范
[8] GB/T 37973 2019 信息安全技術 大數據安全管理指南
[9] GB/T 38667 2020 信息技術 大數據 數據分類指南
[10] 信息安全技術 重要數據識別指南(征求意見稿)
[11] JR/T 0158 2018 證券期貨業數據分類分級指引
[12] JR/T 0171 2020 個人金融信息保護技術規范
[13] JR/T 0197 2020 金融數據安全 數據安全分級指南
[14] YD/T 3813 2020 基礎電信企業數據分類分級方法
[15] YD/T 3867 2021 基礎電信企業重要數據識別指南
[16] 北京市地方標準《政務數據分級與安全保護規范》
[17] 貴州省地方標準 DB 52/T 1123 2016《政府數據 數據分類分級指南》
[18] 上海市公共數據開放分級分類指南(試行)
[19] 內蒙古自治區地方標準《公共數據分類分級指南》
……
明朝萬達在數據安全探索中,發現有很多生態伙伴和大量行業用戶,特別是其IT部門,盡管大部分已經看過法律法規的條文細節,也清楚相關的要求,但是在具體實踐中依然感覺無從下手。
比如,數據安全法的核心技術要求規范《GB/T 37988-2019 信息安全技術 數據安全能力成熟度模型》中明確寫了數據安全生命周期過程中每個環節所需要做到的數據安全要求以及通用的安全過程域中的數據安全內容,但是在實踐的時候還是很難進行。
△ GB/T 37988-2019
因此,全國專業標準化技術委員會(簡稱:TC)在2021年12月31日又出臺了《TC260-PG-20212A 網絡安全標準實踐指南——網絡數據分類分級指引》。文中很詳細的描述了從數據分類分級到數據安全保護落地的過程,對通用的數據分類分級進行了相關概念等的詳細闡述,同時也指明了很多行業如金融、工業、醫療等重點行業的分類分級的目標。
△ TC260-PG-20212A
結合GB/T 37988-2019 和 TC260-PG-20212A 的技術規范要求,我們可以很容易理解數據安全工作要如何做,但在進行實踐時還會遇到困難,主要原因就在于缺乏有效的技術工具以輔助用戶進行數據治理。
當然,目前我國數據安全市場已經出現了多種基于數據庫治理的結構化治理工具,但是在針對客戶非常關注的電子文檔等具有不規則性,且極易造成數據泄漏的數據資產方面的非結構化數據治理工具少之又少。基于以上背景,明朝萬達依托完整的工具集、方法論和深厚的經驗協助我們的生態伙伴和終端用戶一同破局。
遇到的考驗與挑戰
數據安全治理咨詢現狀
數據安全治理指的是數據安全分類分級、個人數據風險評估等與數據安全相關的咨詢服務。當前我國數據安全治理咨詢主要面臨以下三個問題:
1、隨著近年來我國對數據安全要求的不斷提高,四大咨詢公司(麥肯錫、波士頓咨詢公司、埃森哲咨詢公司、羅蘭.貝格咨詢公司)正在逐步退出中國市場,而國內的各種咨詢公司面對數據安全咨詢的經驗還處于初級階段。
2、當前數據安全咨詢服務可提供的行業案例一般集中在政府、金融、運營商,以及小部分的國企和民營大企業,對大部分行業來說是沒有同行業咨詢案例可供參考的。
3、數據安全治理咨詢目前尚沒有形成國家認可的證書,面對沒有證照背書的數據安全咨詢服務,無論是生態伙伴還是終端用戶對此都持有不信任的成分,服務雙方信任度低。
數據安全落地面臨的考驗
數據安全落地防護,從兩個維度說,就是結構化和非結構化數據安全防護。目前國內結構化數據也就是數據庫類型的防護已經非常成熟,非結構化數據防護發展尚不足以滿足客戶日趨迫切的需求。
1、非結構化數據暨電子文檔數據分布于業務系統、PC端、云端等網絡的各個角落,并且它是隨著業務需求進行不規則的流轉,于是就導致了非結構化數據防護困難和容易發生泄漏兩大特點;
2、隨著互聯網的迅猛發展,辦公工具(包括郵件、聊天、遠程等)層出不窮,據明朝萬達調研發現,目前國內各數據安全服務廠商的數據防泄漏產品多是針對某些辦公工具,還不能全部覆蓋。但是面對終端用戶的需求,標品特別是基于終端數據防泄漏的標品已經顯示出其疲軟的態勢,如何破局也成為亟需解決的問題。
△ 如果說灰色部分代表客戶的真實需求,那么紅色部分則是單個服務商所能提供的。
解決思路和安全方案
隨著數據安全法、個人信息保護法等相關法律法規的大力宣貫和各行業對數據安全規范要求的越來越多、越來越細致,數據安全需求在各行業遍地開花,數據安全服務廠商迎來新的發展機遇,而如何更好的解決上述問題就是當務之急。明朝萬達認為,我們不僅要解決數據安全治理中的結構化數據治理問題,更需要用科學的方法和工具集解決非結構化數據治理的問題,解決非結構化電子文檔的數據防泄漏問題。要解決數據安全分類分級問題,明朝萬達提供了針對結構化和非結構化的整體數據治理的解決方案,一是為用戶提供數據安全分類分級咨詢服務,二是為用戶提供數據安全措施落地的解決方案,以及為用戶提供定制開發服務,以更好的加持其個性化需求。
為解決客戶的數據安全分類分級及數據風險評估,明朝萬達提供了一整套的底層基礎能力,支撐對客戶的數據安全分類分級和數據風險評估的數據安全領域的咨詢團隊、專用工具集、方法論和經驗沉淀、數據安全產品及研發團隊和駐場人員。
在數據安全分類分級的基礎上,明朝萬達還提供了一整套從結構化到非結構化的整體解決方案,并且加持數據安全二次開發的底層能力,不但滿足客戶的標準需求,同時通過二次開發滿足客戶的定制化和個性化的需求。
同心迎機遇,聚力迎未來
因此,不論是對技術能力挑戰,還是對我們生態伙伴的市場競爭方面的挑戰,都會存在巨大的壓力。當然,挑戰和機遇并存,特別是當前這種信息化的急速發展和迭代,技術變革使得數據安全實現變得越來越復雜化,對數據安全的要求也不只停留在某一方面數據安全的問題上,我們預判,今年往后會有更多更復雜的數據安全問題和困難需要行業面對和解決,這一變化趨勢也預示著我們明朝萬達和我們在各位伙伴更是要做到精誠合作,強力攜手,攻克難關,一起攜手為各個行業筑牢數據安全屏障,護航數字經濟高質量發展而做出我們的貢獻。
