金融數(shù)據(jù)安全嗎？

曹彥君　江昱玢

6月上旬，《中華人民共和國數(shù)據(jù)安全法》（下稱《數(shù)據(jù)安全法》）正式通過表決，將于9月1日正式實(shí)施。這改變了我國數(shù)據(jù)問題在國家立法層面無法可依的局面。

數(shù)據(jù)安全提升到國家安全戰(zhàn)略高度，天融信、深信服、奇安信、山石網(wǎng)科等多家網(wǎng)絡(luò)安全行業(yè)概念股受到關(guān)注，大量需求涌入行業(yè)。數(shù)據(jù)顯示，多家網(wǎng)絡(luò)安全企業(yè)的數(shù)據(jù)安全業(yè)務(wù)錄得三位數(shù)的季度增長。

業(yè)界認(rèn)為，后續(xù)行業(yè)標(biāo)準(zhǔn)和政策的落地，將開啟各行業(yè)數(shù)據(jù)安全的“黃金時(shí)代”。

中國信通院數(shù)據(jù)顯示，2020年數(shù)據(jù)安全產(chǎn)業(yè)的規(guī)模約為356億元，預(yù)計(jì)未來5年的行業(yè)復(fù)合增長率約為15%。

首創(chuàng)意義

網(wǎng)絡(luò)時(shí)代，數(shù)據(jù)為王。全球已有近百個(gè)國家和地區(qū)制定了數(shù)據(jù)安全相關(guān)法律，針對數(shù)據(jù)安全問題專項(xiàng)立法，已成為國際慣例。

作為我國首部以“數(shù)據(jù)”命名的法律，《數(shù)據(jù)安全法》的出臺標(biāo)志著我國數(shù)據(jù)開發(fā)與應(yīng)用全面進(jìn)入法治化。

《數(shù)據(jù)安全法》重點(diǎn)關(guān)注三方面，即數(shù)據(jù)責(zé)任與主體職責(zé)、數(shù)據(jù)來源合法性與數(shù)據(jù)分級分類治理等問題。北京韜安律師事務(wù)所首席合伙人、歐盟認(rèn)證數(shù)據(jù)保護(hù)官王軍向《21CBR》記者表示，法案出臺對國內(nèi)數(shù)據(jù)安全領(lǐng)域意義重大：“一是確立了國家、地域、行業(yè)、主管部門、數(shù)據(jù)主體縱橫立體的治理結(jié)構(gòu)，二是平衡兼顧數(shù)據(jù)安全與數(shù)據(jù)利用兩方面的問題。”

國家工業(yè)信息安全發(fā)展研究中心副總工程師兼信息政策所所長黃鵬認(rèn)為，《數(shù)據(jù)安全法》的亮點(diǎn)包括：該法納入發(fā)展數(shù)字經(jīng)濟(jì)的理念，推動政務(wù)數(shù)據(jù)開放利用，培育數(shù)據(jù)交易市場;增加對數(shù)據(jù)泄露危及國家安全的處罰力度，最高處以1000萬元罰款。

山石網(wǎng)科的市場資深總監(jiān)榮鈺直言，過去網(wǎng)絡(luò)安全行業(yè)的主要難點(diǎn)是量化，比如違反法規(guī)之后的損失、處罰、賠付，都沒有明確量化指標(biāo)。

《數(shù)據(jù)安全法》首次量化各項(xiàng)標(biāo)準(zhǔn)。天融信科技集團(tuán)副總裁王奇飛表示，數(shù)據(jù)領(lǐng)域的灰色地帶將變得清晰，未來會出現(xiàn)更多基于數(shù)據(jù)開發(fā)、交換、交易的應(yīng)用場景。

需求增長

數(shù)據(jù)安全市場正在升溫，管制配套產(chǎn)業(yè)將被激活。

啟明星辰VF專家團(tuán)資深網(wǎng)絡(luò)安全專家楊天識表示，法案正式通過后，客戶產(chǎn)生大量數(shù)據(jù)安全新需求：“有咨詢法律條款解讀的，有咨詢數(shù)據(jù)安全治理方案的，有咨詢數(shù)據(jù)安全保障解決方案的，也有行業(yè)客戶請我們協(xié)助制定行業(yè)數(shù)據(jù)分類分級標(biāo)準(zhǔn)。”

從2020年7月草案第一次公布以來，數(shù)據(jù)安全需求激增體現(xiàn)在各大網(wǎng)安企業(yè)的業(yè)務(wù)數(shù)據(jù)上。

根據(jù)天融信財(cái)報(bào)，2020年第一季度，數(shù)據(jù)安全業(yè)務(wù)增長超過300%。王奇飛告訴《21CBR》記者，數(shù)據(jù)安全需求爆發(fā)于2020年中期。

山石網(wǎng)科的業(yè)務(wù)增長曲線相似，2020年7月至今，公司安全產(chǎn)品線整體增長率超100%。

多家安全廠商表示，由于強(qiáng)合規(guī)性要求，政務(wù)領(lǐng)域的需求增長最快。

山石網(wǎng)科的數(shù)據(jù)安全與審計(jì)業(yè)務(wù)群總經(jīng)理趙勝稱，各省市的大數(shù)據(jù)管理局，是公司在政府領(lǐng)域的重要客戶。此前，《網(wǎng)絡(luò)安全法》的實(shí)施帶動網(wǎng)絡(luò)安全布局，數(shù)據(jù)安全卻并未受到重視。

“2017年左右，我們想推進(jìn)數(shù)據(jù)的分類分級，一線市場一點(diǎn)都不感冒，覺得網(wǎng)絡(luò)安全合規(guī)更重要。”趙勝回憶道，“客戶曾以為處于網(wǎng)絡(luò)最內(nèi)核的數(shù)據(jù)庫很安全。數(shù)據(jù)安全相關(guān)業(yè)務(wù)只有跟等級保護(hù)項(xiàng)目擦邊，才能實(shí)現(xiàn)落地。”

隨著《數(shù)據(jù)安全法》草案公布，客戶們主動提高了數(shù)據(jù)安全的優(yōu)先級。“數(shù)據(jù)庫基礎(chǔ)管理之外，要考慮數(shù)據(jù)的綜合治理，包括分類分析、風(fēng)險(xiǎn)評估、安全監(jiān)測、預(yù)警、應(yīng)急處理、審查制度等環(huán)節(jié)。”趙勝表示。

政府行業(yè)也是天融信的最大客戶群體。王奇飛表示，政府行業(yè)在數(shù)據(jù)安全方面產(chǎn)生兩類新需求。

一是監(jiān)管部門側(cè)重于數(shù)據(jù)監(jiān)管，例如網(wǎng)信、公安;二是各級政府機(jī)關(guān)加強(qiáng)對數(shù)據(jù)分類分級處理過程的保護(hù)，例如海關(guān)、稅務(wù)、財(cái)政、國土等。

在信息化建設(shè)較完善的金融行業(yè)，由于本身存在數(shù)據(jù)安全保護(hù)的業(yè)務(wù)需求，合規(guī)要求進(jìn)一步拉動需求增長。

金融行業(yè)數(shù)據(jù)包含大量個(gè)人數(shù)據(jù)、企業(yè)生產(chǎn)業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)安全運(yùn)維數(shù)據(jù)等，對數(shù)據(jù)的保密性、完整性、可用性要求都很高，數(shù)據(jù)保護(hù)的行業(yè)需求量大，大客戶的項(xiàng)目量級常在百萬元以上級別。

楊天識表示，隨著大型金融機(jī)構(gòu)建立私有云系統(tǒng)、使用公有云，移動支付使金融業(yè)務(wù)移動化，云上數(shù)據(jù)和移動支付數(shù)據(jù)的安全保障成為挑戰(zhàn)。

趙勝表示，在金融行業(yè)，傳統(tǒng)安全廠商接觸的多是負(fù)責(zé)網(wǎng)絡(luò)管理運(yùn)維人員，忽視了審計(jì)、數(shù)據(jù)管理等業(yè)務(wù)部門的數(shù)據(jù)安全需求。例如，業(yè)務(wù)部門負(fù)責(zé)的金融數(shù)據(jù)從生產(chǎn)區(qū)向測試區(qū)流動，需要對數(shù)據(jù)進(jìn)行脫敏。

一位安全廠商的業(yè)務(wù)負(fù)責(zé)人向《21CBR》記者表示，他曾在2018年向某小型金融機(jī)構(gòu)推銷數(shù)據(jù)安全治理產(chǎn)品，但并未受到客戶重視，對方首要考慮網(wǎng)絡(luò)安全等級保護(hù)2.0的合規(guī)要求。2020年，《數(shù)據(jù)安全法》草案第二次修改后，雙方重新探討了數(shù)據(jù)安全業(yè)務(wù)的可行性。今年6月《數(shù)據(jù)安全法》正式通過后，企業(yè)主動規(guī)劃了數(shù)據(jù)安全產(chǎn)品采購預(yù)算。

“《數(shù)據(jù)安全法》的出臺，讓部分企業(yè)的業(yè)務(wù)需求演變?yōu)楹弦?guī)需求。”上述業(yè)務(wù)負(fù)責(zé)人總結(jié)道，企業(yè)合規(guī)成本會上升，但數(shù)據(jù)治理將從野蠻生長進(jìn)入規(guī)范、標(biāo)準(zhǔn)、可持續(xù)階段。

王軍直言：“不必太過緊張，《數(shù)據(jù)安全法》目的不是堵，而是疏。”

加固平臺

《數(shù)據(jù)安全法》是數(shù)據(jù)治理的上位法、基本法。王軍預(yù)計(jì)，在金融、交通、醫(yī)療、教育等領(lǐng)域，相關(guān)行業(yè)協(xié)會將據(jù)此制定符合本行業(yè)應(yīng)用特征的數(shù)據(jù)安全規(guī)范。

多家受訪安全廠商均表示，當(dāng)下預(yù)測哪些行業(yè)的應(yīng)用前景最廣，還為時(shí)尚早。毋庸置疑的是，數(shù)據(jù)安全業(yè)務(wù)處于廣闊藍(lán)海，大項(xiàng)目量級將達(dá)到百萬甚至千萬。

項(xiàng)目量級取決于兩方面：客戶的規(guī)模大小，使用的是單品還是平臺。

一位業(yè)內(nèi)人士告訴《21CBR》記者，《數(shù)據(jù)安全法》未出臺前，客戶對數(shù)據(jù)安全整體建設(shè)沒有專門預(yù)算，唯一相關(guān)的數(shù)據(jù)庫審計(jì)，單個(gè)項(xiàng)目資金投入不足100萬元。

如果政府客戶使用整體數(shù)據(jù)安全治理平臺對全省市的數(shù)據(jù)進(jìn)行統(tǒng)一規(guī)劃，單一項(xiàng)目金額可達(dá)500萬元以上。

業(yè)務(wù)需求增長、項(xiàng)目量級劇增，對網(wǎng)安行業(yè)的人力資源、交付能力提出更高要求。

東方證券分析認(rèn)為，綜合服務(wù)能力強(qiáng)的安全廠商受益明顯。王奇飛表示，大行業(yè)客戶企業(yè)的數(shù)字化轉(zhuǎn)型中，業(yè)務(wù)更新迭代快，具備整套數(shù)據(jù)安全能力的安全廠商能快速反應(yīng)。

多家受訪安全廠商表示，企業(yè)正在建設(shè)綜合服務(wù)平臺，將獨(dú)立的安全產(chǎn)品升級為定制化的數(shù)據(jù)安全治理方案。

趙勝表示，過去企業(yè)缺少全品類的解決方案，山石網(wǎng)科擁有數(shù)據(jù)庫安全、防泄露、脫敏、堡壘機(jī)等一系列產(chǎn)品，但交付的產(chǎn)品大多是數(shù)據(jù)安全的“孤島”。未來將結(jié)合已有產(chǎn)品，推出更完整的數(shù)據(jù)安全綜合治理方案。

綜合治理方案將包括前期的數(shù)據(jù)分析，例如分類分級、態(tài)勢感知，以及后期的數(shù)據(jù)管控能力，例如資產(chǎn)管理。

“《數(shù)據(jù)安全法》出臺，平臺應(yīng)運(yùn)而生。串聯(lián)產(chǎn)品，加上過硬的數(shù)據(jù)安全治理服務(wù)能力，構(gòu)成完整的數(shù)據(jù)安全保護(hù)體系。”趙勝說。

天融信推出了三個(gè)服務(wù)平臺：面向政務(wù)、電信、能源、監(jiān)管等行業(yè)的數(shù)據(jù)安全智能管控平臺，滿足能源、監(jiān)管等行業(yè)需求的數(shù)據(jù)安全服務(wù)平臺，針對大數(shù)據(jù)、關(guān)系數(shù)據(jù)庫一體化保護(hù)的大數(shù)據(jù)安全防護(hù)系統(tǒng)。這些解決方案涵蓋了標(biāo)準(zhǔn)、人才培養(yǎng)、產(chǎn)品技術(shù)、治理服務(wù)、方案、應(yīng)用等能力。

廠商們也將基于新法，進(jìn)一步提升數(shù)據(jù)安全產(chǎn)品的技術(shù)水平。

榮鈺表示，山石網(wǎng)科會采用人工智能和大數(shù)據(jù)等新技術(shù)，幫助客戶進(jìn)行數(shù)據(jù)的梳理、分類、分級。而天融信計(jì)劃在未來3年，持續(xù)研究隱私保護(hù)相關(guān)技術(shù)，并針對AI數(shù)據(jù)安全問題提供行業(yè)解決方案。

隨著對交付能力的要求上升，安全廠商們開辟出專門的數(shù)據(jù)安全部門，從資金、人力方面支持?jǐn)?shù)據(jù)安全業(yè)務(wù)。

2017年，山石網(wǎng)科就開設(shè)了數(shù)據(jù)安全產(chǎn)品線。2021年，幾條數(shù)據(jù)安全產(chǎn)品線整合為數(shù)據(jù)安全和審計(jì)事業(yè)群。

天融信準(zhǔn)備針對不同行業(yè)分別成立數(shù)據(jù)安全業(yè)務(wù)部門。“數(shù)據(jù)安全是貼近業(yè)務(wù)的，雖然技術(shù)手段相通，但是應(yīng)用場景不同，要貼近場景設(shè)計(jì)方案。”王奇飛表示。

“如果政策落得好，我們做得及時(shí)，將在不同行業(yè)豎起標(biāo)桿，人員壓力將非常大。”上述安全廠商負(fù)責(zé)人表示，最近公司的數(shù)據(jù)安全部門一直在招人，“先往上跑，不設(shè)上限”。

王奇飛對業(yè)務(wù)增量持樂觀態(tài)度。他認(rèn)為，未來幾年，數(shù)據(jù)安全行業(yè)規(guī)模年增速將達(dá)到50%。

目前，業(yè)界期待更細(xì)化的政策法規(guī)和行業(yè)標(biāo)準(zhǔn)落地后，網(wǎng)安行業(yè)能迎來新一輪爆發(fā)。在此之前，子彈還要再飛一會兒。