金融數(shù)據(jù)安全嗎？

曹彥君　江昱玢

6月上旬，《中華人民共和國數(shù)據(jù)安全法》（下稱《數(shù)據(jù)安全法》）正式通過表決，將于9月1日正式實施。這改變了我國數(shù)據(jù)問題在國家立法層面無法可依的局面。

數(shù)據(jù)安全提升到國家安全戰(zhàn)略高度，天融信、深信服、奇安信、山石網(wǎng)科等多家網(wǎng)絡安全行業(yè)概念股受到關注，大量需求涌入行業(yè)。數(shù)據(jù)顯示，多家網(wǎng)絡安全企業(yè)的數(shù)據(jù)安全業(yè)務錄得三位數(shù)的季度增長。

業(yè)界認為，后續(xù)行業(yè)標準和政策的落地，將開啟各行業(yè)數(shù)據(jù)安全的“黃金時代”。

中國信通院數(shù)據(jù)顯示，2020年數(shù)據(jù)安全產(chǎn)業(yè)的規(guī)模約為356億元，預計未來5年的行業(yè)復合增長率約為15%。

首創(chuàng)意義

網(wǎng)絡時代，數(shù)據(jù)為王。全球已有近百個國家和地區(qū)制定了數(shù)據(jù)安全相關法律，針對數(shù)據(jù)安全問題專項立法，已成為國際慣例。

作為我國首部以“數(shù)據(jù)”命名的法律，《數(shù)據(jù)安全法》的出臺標志著我國數(shù)據(jù)開發(fā)與應用全面進入法治化。

《數(shù)據(jù)安全法》重點關注三方面，即數(shù)據(jù)責任與主體職責、數(shù)據(jù)來源合法性與數(shù)據(jù)分級分類治理等問題。北京韜安律師事務所首席合伙人、歐盟認證數(shù)據(jù)保護官王軍向《21CBR》記者表示，法案出臺對國內(nèi)數(shù)據(jù)安全領域意義重大：“一是確立了國家、地域、行業(yè)、主管部門、數(shù)據(jù)主體縱橫立體的治理結(jié)構(gòu)，二是平衡兼顧數(shù)據(jù)安全與數(shù)據(jù)利用兩方面的問題?！?/p>

國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬認為，《數(shù)據(jù)安全法》的亮點包括：該法納入發(fā)展數(shù)字經(jīng)濟的理念，推動政務數(shù)據(jù)開放利用，培育數(shù)據(jù)交易市場;增加對數(shù)據(jù)泄露危及國家安全的處罰力度，最高處以1000萬元罰款。

山石網(wǎng)科的市場資深總監(jiān)榮鈺直言，過去網(wǎng)絡安全行業(yè)的主要難點是量化，比如違反法規(guī)之后的損失、處罰、賠付，都沒有明確量化指標。

《數(shù)據(jù)安全法》首次量化各項標準。天融信科技集團副總裁王奇飛表示，數(shù)據(jù)領域的灰色地帶將變得清晰，未來會出現(xiàn)更多基于數(shù)據(jù)開發(fā)、交換、交易的應用場景。

需求增長

數(shù)據(jù)安全市場正在升溫，管制配套產(chǎn)業(yè)將被激活。

啟明星辰VF專家團資深網(wǎng)絡安全專家楊天識表示，法案正式通過后，客戶產(chǎn)生大量數(shù)據(jù)安全新需求：“有咨詢法律條款解讀的，有咨詢數(shù)據(jù)安全治理方案的，有咨詢數(shù)據(jù)安全保障解決方案的，也有行業(yè)客戶請我們協(xié)助制定行業(yè)數(shù)據(jù)分類分級標準?！?/p>

從2020年7月草案第一次公布以來，數(shù)據(jù)安全需求激增體現(xiàn)在各大網(wǎng)安企業(yè)的業(yè)務數(shù)據(jù)上。

根據(jù)天融信財報，2020年第一季度，數(shù)據(jù)安全業(yè)務增長超過300%。王奇飛告訴《21CBR》記者，數(shù)據(jù)安全需求爆發(fā)于2020年中期。

山石網(wǎng)科的業(yè)務增長曲線相似，2020年7月至今，公司安全產(chǎn)品線整體增長率超100%。

多家安全廠商表示，由于強合規(guī)性要求，政務領域的需求增長最快。

山石網(wǎng)科的數(shù)據(jù)安全與審計業(yè)務群總經(jīng)理趙勝稱，各省市的大數(shù)據(jù)管理局，是公司在政府領域的重要客戶。此前，《網(wǎng)絡安全法》的實施帶動網(wǎng)絡安全布局，數(shù)據(jù)安全卻并未受到重視。

“2017年左右，我們想推進數(shù)據(jù)的分類分級，一線市場一點都不感冒，覺得網(wǎng)絡安全合規(guī)更重要?！壁w勝回憶道，“客戶曾以為處于網(wǎng)絡最內(nèi)核的數(shù)據(jù)庫很安全。數(shù)據(jù)安全相關業(yè)務只有跟等級保護項目擦邊，才能實現(xiàn)落地?！?/p>

隨著《數(shù)據(jù)安全法》草案公布，客戶們主動提高了數(shù)據(jù)安全的優(yōu)先級。“數(shù)據(jù)庫基礎管理之外，要考慮數(shù)據(jù)的綜合治理，包括分類分析、風險評估、安全監(jiān)測、預警、應急處理、審查制度等環(huán)節(jié)?！壁w勝表示。

政府行業(yè)也是天融信的最大客戶群體。王奇飛表示，政府行業(yè)在數(shù)據(jù)安全方面產(chǎn)生兩類新需求。

一是監(jiān)管部門側(cè)重于數(shù)據(jù)監(jiān)管，例如網(wǎng)信、公安;二是各級政府機關加強對數(shù)據(jù)分類分級處理過程的保護，例如海關、稅務、財政、國土等。

在信息化建設較完善的金融行業(yè)，由于本身存在數(shù)據(jù)安全保護的業(yè)務需求，合規(guī)要求進一步拉動需求增長。

金融行業(yè)數(shù)據(jù)包含大量個人數(shù)據(jù)、企業(yè)生產(chǎn)業(yè)務數(shù)據(jù)、網(wǎng)絡安全運維數(shù)據(jù)等，對數(shù)據(jù)的保密性、完整性、可用性要求都很高，數(shù)據(jù)保護的行業(yè)需求量大，大客戶的項目量級常在百萬元以上級別。

楊天識表示，隨著大型金融機構(gòu)建立私有云系統(tǒng)、使用公有云，移動支付使金融業(yè)務移動化，云上數(shù)據(jù)和移動支付數(shù)據(jù)的安全保障成為挑戰(zhàn)。

趙勝表示，在金融行業(yè)，傳統(tǒng)安全廠商接觸的多是負責網(wǎng)絡管理運維人員，忽視了審計、數(shù)據(jù)管理等業(yè)務部門的數(shù)據(jù)安全需求。例如，業(yè)務部門負責的金融數(shù)據(jù)從生產(chǎn)區(qū)向測試區(qū)流動，需要對數(shù)據(jù)進行脫敏。

一位安全廠商的業(yè)務負責人向《21CBR》記者表示，他曾在2018年向某小型金融機構(gòu)推銷數(shù)據(jù)安全治理產(chǎn)品，但并未受到客戶重視，對方首要考慮網(wǎng)絡安全等級保護2.0的合規(guī)要求。2020年，《數(shù)據(jù)安全法》草案第二次修改后，雙方重新探討了數(shù)據(jù)安全業(yè)務的可行性。今年6月《數(shù)據(jù)安全法》正式通過后，企業(yè)主動規(guī)劃了數(shù)據(jù)安全產(chǎn)品采購預算。

“《數(shù)據(jù)安全法》的出臺，讓部分企業(yè)的業(yè)務需求演變?yōu)楹弦?guī)需求?！鄙鲜鰳I(yè)務負責人總結(jié)道，企業(yè)合規(guī)成本會上升，但數(shù)據(jù)治理將從野蠻生長進入規(guī)范、標準、可持續(xù)階段。

王軍直言：“不必太過緊張，《數(shù)據(jù)安全法》目的不是堵，而是疏?！?h3>加固平臺

《數(shù)據(jù)安全法》是數(shù)據(jù)治理的上位法、基本法。王軍預計，在金融、交通、醫(yī)療、教育等領域，相關行業(yè)協(xié)會將據(jù)此制定符合本行業(yè)應用特征的數(shù)據(jù)安全規(guī)范。

多家受訪安全廠商均表示，當下預測哪些行業(yè)的應用前景最廣，還為時尚早。毋庸置疑的是，數(shù)據(jù)安全業(yè)務處于廣闊藍海，大項目量級將達到百萬甚至千萬。

項目量級取決于兩方面：客戶的規(guī)模大小，使用的是單品還是平臺。

一位業(yè)內(nèi)人士告訴《21CBR》記者，《數(shù)據(jù)安全法》未出臺前，客戶對數(shù)據(jù)安全整體建設沒有專門預算，唯一相關的數(shù)據(jù)庫審計，單個項目資金投入不足100萬元。

如果政府客戶使用整體數(shù)據(jù)安全治理平臺對全省市的數(shù)據(jù)進行統(tǒng)一規(guī)劃，單一項目金額可達500萬元以上。

業(yè)務需求增長、項目量級劇增，對網(wǎng)安行業(yè)的人力資源、交付能力提出更高要求。

東方證券分析認為，綜合服務能力強的安全廠商受益明顯。王奇飛表示，大行業(yè)客戶企業(yè)的數(shù)字化轉(zhuǎn)型中，業(yè)務更新迭代快，具備整套數(shù)據(jù)安全能力的安全廠商能快速反應。

多家受訪安全廠商表示，企業(yè)正在建設綜合服務平臺，將獨立的安全產(chǎn)品升級為定制化的數(shù)據(jù)安全治理方案。

趙勝表示，過去企業(yè)缺少全品類的解決方案，山石網(wǎng)科擁有數(shù)據(jù)庫安全、防泄露、脫敏、堡壘機等一系列產(chǎn)品，但交付的產(chǎn)品大多是數(shù)據(jù)安全的“孤島”。未來將結(jié)合已有產(chǎn)品，推出更完整的數(shù)據(jù)安全綜合治理方案。

綜合治理方案將包括前期的數(shù)據(jù)分析，例如分類分級、態(tài)勢感知，以及后期的數(shù)據(jù)管控能力，例如資產(chǎn)管理。

“《數(shù)據(jù)安全法》出臺，平臺應運而生。串聯(lián)產(chǎn)品，加上過硬的數(shù)據(jù)安全治理服務能力，構(gòu)成完整的數(shù)據(jù)安全保護體系?！壁w勝說。

天融信推出了三個服務平臺：面向政務、電信、能源、監(jiān)管等行業(yè)的數(shù)據(jù)安全智能管控平臺，滿足能源、監(jiān)管等行業(yè)需求的數(shù)據(jù)安全服務平臺，針對大數(shù)據(jù)、關系數(shù)據(jù)庫一體化保護的大數(shù)據(jù)安全防護系統(tǒng)。這些解決方案涵蓋了標準、人才培養(yǎng)、產(chǎn)品技術(shù)、治理服務、方案、應用等能力。

廠商們也將基于新法，進一步提升數(shù)據(jù)安全產(chǎn)品的技術(shù)水平。

榮鈺表示，山石網(wǎng)科會采用人工智能和大數(shù)據(jù)等新技術(shù)，幫助客戶進行數(shù)據(jù)的梳理、分類、分級。而天融信計劃在未來3年，持續(xù)研究隱私保護相關技術(shù)，并針對AI數(shù)據(jù)安全問題提供行業(yè)解決方案。

隨著對交付能力的要求上升，安全廠商們開辟出專門的數(shù)據(jù)安全部門，從資金、人力方面支持數(shù)據(jù)安全業(yè)務。

2017年，山石網(wǎng)科就開設了數(shù)據(jù)安全產(chǎn)品線。2021年，幾條數(shù)據(jù)安全產(chǎn)品線整合為數(shù)據(jù)安全和審計事業(yè)群。

天融信準備針對不同行業(yè)分別成立數(shù)據(jù)安全業(yè)務部門?！皵?shù)據(jù)安全是貼近業(yè)務的，雖然技術(shù)手段相通，但是應用場景不同，要貼近場景設計方案?！蓖跗骘w表示。

“如果政策落得好，我們做得及時，將在不同行業(yè)豎起標桿，人員壓力將非常大?！鄙鲜霭踩珡S商負責人表示，最近公司的數(shù)據(jù)安全部門一直在招人，“先往上跑，不設上限”。

王奇飛對業(yè)務增量持樂觀態(tài)度。他認為，未來幾年，數(shù)據(jù)安全行業(yè)規(guī)模年增速將達到50%。

目前，業(yè)界期待更細化的政策法規(guī)和行業(yè)標準落地后，網(wǎng)安行業(yè)能迎來新一輪爆發(fā)。在此之前，子彈還要再飛一會兒。