"数据安全标准"或将出台 国产数据安全企业迎来发展良机

由工业和信息化部电子工业标准化研究院(以下简称标准院)牵头制定的《数据安全标准》、《工业控制安全标准》、《智慧城市安全标准》等系列信息安全标准在紧锣密鼓的推进中,《数据安全标准》或是其中最早推出的一个。

互联网在推动社会进步的同时,也带来了前所未有的安全风险。近年来,大数据技术逐渐在各行各业中广泛应用,然而频繁上演的各类信息泄露事件却为人们敲响了数据安全的警钟。毫无疑问,数据安全早已不再是局限于IT行业的专业话题,而是社会各界的关注热点之一。

在国家信息安全受到严重威胁的大背景下,9月10日“数据安全标准工作组第一次研讨会”在北京召开,来自国内众多知名企业和高校的三十多位信息安全领域专业人士从全国各地赶往这里。

标准院信息安全研究中心副主任范科峰介绍说:“本次关于数据安全标准的研讨会是在全国信息安全标准化技术委员会的指导下开展的。之所以把国内相关领域的厂商和专家聚到一起,就是希望能够兼顾理论和市场的要求,为下一步开展数据安全标准的制定工作打好基础。”

中国软件评测中心常务副主任刘法旺也表示,信息网络化既为全球信息资源共享创造了条件,也让国家间的信息入侵几乎失去了设防的“边境”。随着移动互联网的快速发展,如何打造大数据时代安全的信息环境,已经成为各国重点关注和深入探讨的问题。”

事实上,大部分的关键网络基础设施通常都为企业所有,在预防和发现网络安全威胁、及时采取措施应对网络安全事件等方面,企业拥有政府所不能及的天然优势。因此,政企间高度战略合作的模式对维护网络安全意义重大,长期以来美国都是采用的这种模式。

赛迪智库信息安全研究所张莉指出:“在维护网络安全问题上,美国政府非常重视与私营企业的合作。相比之下,我国这方面起步较晚、积累较少,而且在推动过程中遇到了很多问题和阻力。”

美国在维护网络安全方面的成绩是有目共睹的,因此标准院在前期调研阶段也借鉴政企合作的做法,在研讨会上邀请了众多数据安全领域的企业代表前来参加。

国产企业的美好时代

会上,数据安全领域的众多参会企业代表轮番登场演讲,他们一边介绍自己在数据安全方面所做的工作,一边讲述自己在市场中遇到的各种尴尬,并对数据安全的标准制定工作提出了自己的意见和建议。

作为国内数据安全领域起步较早的企业,北京亿赛通科技发展有限责任公司(以下称亿赛通)经过十多年的市场积累,如今已在数据加密服务行业占据了重要地位。

亿赛通的首席咨询顾问王维宏告诉《中国经济和信息化》:“像亿赛通这样的国产数据加密企业,成长过程是非常艰难的。对于国产数据安全企业而言,目前是不可多得的好机遇,尤其在斯诺登曝光‘棱镜门’事件之后,全球的信息安全问题被引到了风口浪尖上,越来越多的国内客户开始清晰地认识到自身的安全需求。在这样的产业环境下,企业的发展终于变得顺畅起来。”

回顾数据安全产业环境十多年间的变化,浪潮、曙光、华为等不少参会企业代表都颇为感概。

诚如王维宏所言,十年前国内的大多数企业对于自身的数据安全并不重视,这个领域的企业要面临的首要生存考验就是如何有效地刺激客户的数据安全需求。缺乏用户需求,使整个市场环境不容乐观,这样的形势直到2009年后才开始慢慢发生变化。

如今,随着国家对于信息安全重视程度的提高,“自主可控”逐渐成为信息安全的衡量标杆,基于这一要求宏观政策的天秤开始向国产数据安全企业倾斜。在信息安全领域,美好时代正悄然来临,越来越多自主创新的国产企业得到了国家部委的大力支持。

与亿赛通相似,北京明朝万达科技有限公司(以下称明朝万达)也是以数据加密服务为主要业务的一家国内企业。

明朝万达的执行董事兼研发副总裁喻波告诉记者:“中国近年来高速发展的经济为信息安全和数据安全建设提供了充分的经济基础,再加上宏观政策和国家部委的支持,这些条件对于国产企业未来的发展和我国数据安全产业生态的完善都是非常有利的。”

信息安全≠数据安全

对于大多数人来说,日常生活中信息和数据的概念通常是混淆的。因此,信息安全和数据安全也自然而然地被混在一起。标准院的叶润国博士在研讨会上指出:“数据安全虽然与信息安全联系非常紧密,但事实上,两者的概念并不相同。”

数据安全是专指对电子格式信息进行的安全保护。如果在未授权的情况下,对数据进行的篡改、毁坏和泄露,则被认为是对数据安全造成了威胁。

信息的高度共享既带来了便利,也制造了麻烦,在云计算、大数据技术已经相当普及的今天,这对矛盾越发明显。与西方发达国家相比,我国在云计算、物联网、大数据、移动互联网等新兴信息技术方面,信息安全保障还相对落后。

赛迪智库信息安全研究所冯伟认为:“积极完善安全标准体系是我国应对数据安全的重要手段。”在日益严峻的信息安全挑战面前,数据安全标准的制定工作已是迫在眉睫。

一方面,数据作为电子格式化的信息已经成为政府、企业、机构和个人的重要资产,是黑客和监听机构最希望获取的信息,所以从这个角度来看,数据安全可以说是信息安全的最后一道防线。另一方面,虽然在传统的数据应用环境中,我们已经有了一些应对数据安全问题的成熟机制,但是大数据时代来临致使传统数据应用环境发生了翻天覆地的变化,原先的标准和解决方案已经不能满足需求。

通过与叶润国的交谈,记者了解到,虽然数据安全标准是基于信息安全背景制定好的,但是数据安全标准一旦制定,其适用范围将突破IT行业的限制,推广到各个行业中来。

叶润国说:“目前市场上已经有一些厂商在做数据安全的业务了,但并非所有厂商都能提供满足数据安全合规性要求的产品。数据安全标准一旦制定并推广开来,无论是国产企业还是国外企业,都必须按照这个标准来规范产品,并在保障用户隐私方面增加相应投入,这些工作的开展很可能会对行业内现有的企业产生较大的影响。但是,从长远发展的角度来看,制定并实施数据安全标准不仅有利于良性产业生态圈的建立,而且对于国家的信息安全战略的实施也起到极为重要的作用。”

信息安全日益被重视,国产数据安全企业无疑遇到了一个发展良机。但是数据安全企业仍有诸多障碍需要克服,数据安全标准的缺失便是其中之一。

由于缺乏统一的数据安全标准,企业所有的数据分类分级工作通常只能单纯凭借长期积累的实践经验。对于同行业甚至是跨行业的企业而言,并没有太多可以大量复制使用的模式和经验。

其实,对于数据安全领域的企业而言,无论针对个人用户,还是服务于企业客户,要在激烈的市场竞争中站稳脚跟就必须掌握平衡的艺术——“安全性”和“用户体验”必须兼顾。然而,没有统一的数据安全标准,企业在取舍之间的“度”只能依靠直觉来猜测,试错的“机会”在无形中增加许多。

一副黑框眼镜,配上有点发福的双下巴,他就是奇虎360科技有限公司(以下简称360)副总裁首席隐私官谭晓生。演讲时,他向其他参会人员分享了自己在数据安全领域多年摸爬滚打积累下来的“江湖经验”。

谭晓生认为:“数据加密的确是保护数据安全的一种方法,但是文件加密是有成本的。这个成本不光是金钱上的成本,还包括技术门槛提高所带来的用户体验成本。在互联网环境中,这种传统的数据加密模式可能存在很多的问题。”

他拿360密盘作为例子,坦言道:“密盘可以说是我们之前开发的一款很失败的产品。当我们放量到50万用户的时候,我们基本每天都可以接到50多个用户的投诉。”万分之一的投诉率引起了360的高度重视。因为根据以往的经验,平均每一个投诉用户背后往往对应着100个遇到同样问题的人。万分之一的投诉率,实际上意味着每100个用户里就会有一个人遇到了类似的问题。

谭晓生继续介绍:“我们把所有投诉用户的问题归结起来分析发现,问题出在技术门槛提高后用户体验跟不上。几乎所有的投诉用户都是因为自己弄丢了密钥,然后再向我们这里索要的。要知道,这款产品在设计之初为了安全性的考虑已经做了技术处理,所有的用户‘一人一密’,技术人员是根本就拿不到用户的密钥。”

密盘产品的失败让360明白了一个道理:在互联网条件下,一款产品只要把技术门槛提高一点儿,用户就可能出现许多使用上的障碍,而用户体验问题的重要性一点儿也不亚于产品的安全性能问题。

反复试错是企业成长必须经历的过程,但谭晓生分享的试错经验恰恰抛出了一个全行业正在面临的重要问题。在互联网、大数据时代,任何一款推广的产品都需要具备普及的特性,“安全性”和“用户体验”之间的博弈在没有行业标准的规范下,显然存在着更多的不确定性。