《科创板日报》9月13日讯(记者 黄心怡)近日,《IDC TechScape:中国数据安全发展路线图,2022》正式发布,其中涉及了零信任、区块链、隐私计算、AI赋能数据安全等18个新兴及重要的数据安全技术。
“在这十几个技术点中,隐私计算可能是特别值得关注的领域。”IDC中国研究副总裁钟振山在接受《科创板日报》记者采访时表示,“虽然目前隐私计算的发展仍处于非常初级的阶段,市场规模并不大。但未来五年,隐私计算的市场增速将是最快的。”
(资料图片)
▍国内数据安全意识仍待提升
近年来,全球数据安全形势愈发严峻, 各种攻击、勒索及数据泄露事件层出不穷。
“二三十年以前,黑客真正能攻击的对象只是服务器,而现在,摄像头、物联网设备等都可能成为黑客攻击的对象。这也是网络攻击事件越发频繁的原因。” 钟振山分析。
根据IDC预测,到2026年中国物联网的市场规模将达到2640亿。“这意味中国会超越美国,变成全球第一大的物联网市场。随着越来越多IoT设备的出现,所带来的安全风险越来越多。黑客可以通过物联网的设备入侵到企业内网之中。” 钟振山指出。
在物联网蓬勃发展之下,IT(信息技术)与OT(运营技术)正在深入融合,这亦对传统行业带来了新的安全挑战。
“OT部门的安全意识相对没那么高,因为他们主要负责生产。但实际上,现如今的生产设备已经变成物联网设备,无时无刻在产生大量的数据,并通过内部基础设施把数据传输到应用之上。这些都会成为黑客可攻击的对象。”
为应对潜在安全挑战,一方面依赖于网络安全技术的发展,另一方面需要企业内部安全意识提升,真正把安全列入企业核心的战略。
“数据安全并不只是保护好内网的数据库就行了。从数据产生的一刹那,就开始面临安全风险。在数据的全生命周期,从采集、传输、存储、使用到销毁,每一个环节都可能出现问题。如果要逐步把风险降到最低,不只是需要技术能力,更需要整体安全意识的提升。除了安全部门或者IT部门外,公司所有的员工,都需要具备嗅觉,能意识到潜在的风险在哪。”
钟振山强调,当前国内的安全意识仍然存在不足,无论在企业端还是政府侧,目前很多IT项目的建设并没有把安全列入必选项。
“大家都在做IT项目,说要上云,就把业务搬上云了,但并没有相对应的安全解决方案,来保护企业的数字核心资产。要真正降低安全风险,就必须把安全当做企业数字化转型的一个核心组件,而不是在系统建设完成后,才想着如何弥补漏洞。”
与国外相比,当前CSO(首席安全官,Chief Security Officer)在国内的普及度和认知度不强,这亦不利于把安全策略、安全投资建设贯彻到底。钟振山向《科创板日报》记者介绍了自身在GE(通用电气)做IT主管的经历。
“在GE内部,安全部门的权力非常大。员工一旦违规,是可以被开除的。从外企文化来看,对CSO的这个职位的重视程度,现阶段可能比国内高一些。” 钟振山说,“国内很多企业,安全经理或者类似的CSO角色依然向CIO汇报。但实际上,CSO应该是独立于CIO的部门,这样才真正能够发挥其在建设企业安全体系的作用。”
▍中国网络安全市场增速将超全球
近年来,国内陆续颁布施行的《数据安全法》《个人信息保护法》等政策法规,均明确提出推动发展数据战略,统筹数据开发利用、隐私保护和公共安全,规范数据有序流通,保障数据安全。
根据IDC统计,2021年中国数据安全产品与服务的总市场规模(包含隐私计算与区块链技术中的数据安全部分)达到12.43亿美金,约合80.2亿人民币。
“隐私计算可能是未来大家值得关注的领域。我国近几年发布了不少数据保护相关的法律,让数据使用更为规范和有据可循。随着数据安全被上升至法律层面,企业责任变得越来越大。而隐私计算的技术,在很大的程度上让企业降低个人信息泄露的风险。根据我们的预测,未来五年隐私计算在众多数据安全技术中,将是增速最快的一个市场。”钟振山说。
除了隐私计算外,零信任也是近年来较为热门的网络安全防护概念。钟振山透露,当下国内对零信任概念的理解存在一定的误区。
“很多企业把统一身份管理项目,也称之为零信任项目,但其实概念完全不同。身份管理是非常基础的能力,只有具备足够强的身份管理能力后,企业才有可能建设零信任安全体系,然而这并不等同于零信任。”
钟振山坦言,在调研过程中,很多厂商会自称提供零信任解决方案,但实际是SSO (单点登录)这样的身份管理项目,“他们并不具备零信任所需要的整体技术能力。”
在谈及对未来展望时,钟振山表示,零信任同样将是高速发展的市场。
大部分中国企业在零信任建设方面,处在相对初级的阶段,这促使未来的市场增速会非常快。这也是我判断,“中国网络安全整体市场的整体增速,会高于全球市场增速的重要原因。”
▍如何量化数据安全的投入回报?
对于隐私计算等新兴技术的落地瓶颈,钟振山认为核心难点并不在于技术层面。
“无论是大厂还是小厂,现在看来,从产品完整度或成熟度,已足够支撑现有的市场需求。但是对于CIO来说,更关键的决策点在于技术能否产生足够大的价值。如果回报没办法量化,CIO会面临来自CEO的很大压力。CEO会觉得,为何要投入这么大的资金和资源去把该技术引入到企业内部。”
实际上,这正是当前国内企业在数字化投入上所面临的普遍挑战。
“传统的IT部门依然被认为是花钱部门,对业务没有直接的影响。因而只有随着企业数字化转型的深入,当业务在很大程度上开始依赖于企业的技术能力,那么IT部门或者安全部门所做的事会对业务产生直接的影响,技术部门在企业内的地位将不断提高,令其真正能够融入到核心业务中去。”
值得一提的是,相比其他数字化投入,安全在投入产出的量化上面临更为尴尬的局面。
“因为最好的结果是,过去一年什么事都没发生。但这样业务人员会认为,既然什么都没发生,为什么还要加大对安全的投资。所以,这需要技术部门不断灌输安全理念和案例给管理层。让他们意识到,没有发生事件,并不代表风险不存在。随着数字化转型的深入,企业所面临的风险会不断地加大。只有持续地在安全方面投入,才能够确保无事发生的局面,能持续下去。” 钟振山解释。
责任编辑:Rex_25