奇安信 (688561): 回答：首先数据安全是和网络安全不一样的领域，这一点必须深刻认识到。但是数据安全，不是说今天才出现数据安全的，过去一直有数据安全，传统的像加密，还包括数据审计、脱敏等都属于数据安全，现在产生的数据安全和以前又不一样。我们分两个阶段看，第一，过去数据安全产品为什么存在，因为把数据作为一个实体，就像今天保护服务器要上终端安全保护，保护PC要上天擎，保护网络要上防火墙一样。过去是把数据当做一个实体，所谓的实体就是不动的东西来保护它，无论你去加密它还是脱敏它、审计它都是把它作为一个实体，这是传统的数据安全厂商。在这里有很多友商说，我们有数据安全，它一直在谈传统数据安全。但这块市场不大，因为当你把它当实体时，整个领域中和管理的要求非常相关，所以这些厂商都不是特别大。因为客户一直犹豫一个问题，我上了这个东西会不会影响数据访问的效率，加密以后管理会不会出现问题，包括审计要和管理的规则相关。所以，这时候大家把这样传统的数据安全产品都当做工具使，而没有把它当做一个整体和管理相结合的内容。到第二个阶段，2018年以后出现了非常大的改变，这个改变就是大数据领域的一个改变。过去数据分散在各个部门，各个小的网络中，作为实体防护没问题。可是2018年以后有一个趋势，所有的To B政企客户都把数据进行大集中，大集中就会发现一个问题，数据是流动的，数据会流到每个地方，会有很多身份去访问它。这里的安全问题就会发生巨大的变化，到这个阶段为什么又产生零信任呢？零信任不是简单的网络安全的问题，它是一个数据安全需要解决的核心问题。所以，当数据流动之后怎么防护它？传统手段全部失效。原因是什么？你再加密它，都要流到任何一个地方，总要访问，包括流到终端上，总要在终端安全上做事，数据流到云上就要在云上做事，数据流到网络上就在网络上做事，这种情况下它的特点发生了巨大的变化。所以，这时候的厂商就产生出很大的一个变化。什么变化？第一，要是综合性厂商，绝不是单点做加密就可以。因为今天在端上保护数据、在云上保护数据、在网络上保护数据、在IoT上保护数据，需要综合性能力很强的厂商，在每个领域都有解决方案才可以，否则的话，今天的数据只要你缺漏了一点，流到了这个地方没有解决方案，客户就会提问，你怎么解决这个问题呢？怎么解决在云上的安全问题呢？怎么解决在端上的安全问题呢？所以，首先厂商需要具备综合性安全能力，不是单点的能力。所以，一般表现出来不是小厂商，而是大厂商。在云、网、端都有能力支撑着，这是第一个特点。第二个特点是关心数据访问问题。在整个信息系统中有很多身份，有很多身份就有很多人具有身份，还有可能产生很多IoT设备也要身份，这些身份无处不在，而且每天在我们的网络当中会出现很多身份都要访问数据，可是怎么给权限，这是一个核心问题。什么样的身份给他访问什么样的数据，给他什么样的授权，是每天、每分钟都在变化的。而这种变化需要计算出给他的权限，我该怎么计算？我需要大数据能力，如果没有大数据能力，我都不知道什么人访问什么数据的时候，算不出这个权限，更重要的是这些东西都要跟应用相集成，比如和数据中台相集成，比如和每一个权限执行点上的相集成，这时候会发现一点，必须要内生安全思想思考问题。什么是内生，你要和应用开发商坐在一起，和云开发商坐在一起把这套体系设计出来。所以，今天我们看到很多零信任市场，很多厂商谈的都是外挂式零信任。我们在2018年就提出内生性零信任，真正的零信任是要跟数据和应用完全做结合的，所以，在这一点上零信任体系，还包括像数据访问控制体系是必须对应用和数据深刻了解以后，才能去做安全。单独的搞一个访问控制体系，脱离现在的数据应用肯定不行。所以，这里表现出来的是自身曾经在互联网体系、互联网公司有过信息系统，比如我们自己做互联网的，我们自己干过大屏系统的，这时候做这样的数据安全才能具有基础。所以，这是第二点特征。第三，运营体系。我们这一套数据安全最难的事情不是简单的上一个设备就解决问题的。因为每天的策略都在变，跟管理有关。比如领导说，今天这个人能访问这个数据，它是一个管理问题。请问管理问题怎么解决，它不是通过咨询规划，不是通过上一个设备就可以的。今天上再多的设备，只要一用起来大家就会问，权限怎么设，所以，这是一个咨询问题。所以，咨询规划能力为什么在2018年就开始培养，原因很简单，今天的数据安全要做好，运营阶段咨询能力和规划能力往往是核心问题。今天必须要回答这个问题，数据安全管理委员会，数据安全管理委员会在一个企业中能否成立，怎么工作？怎么去设计它的权限？谁给授权？这是一套咨询规划。为什么我们在目前数据安全产品上占优，我们根本不是卖几个东西，我们是把数据安全整个管理体系和技术体系做了融合，最后在运行上能够达到要求。所以，综合这三点看：一是数据安全是多专业都具备能力的厂商能做的。二是必须具有内生的、曾经干过大系统，自己有丰富数据，也见过应用数据要内生进去的厂商才能干的事。三是必须有咨询规划能力，把管理、运行和技术相结合的厂商才能干的事。所以，这时候能够跑出来的厂商是谁？不是单点的工具产品，那是传统的。今天我们说下一代数据安全，一定是新兴领域中以一个系统性视角来看的厂商，才能干的事。所以，我们理解数据安全是这样，我们自己也在践行这样一个体系。我们自己并不做传统的数据安全，比如加密，审计，我们跟别人合作。但是新兴领域的技术都在做，包括咨询规划，我们希望把生态建好。

2023-04-27 00:00:00