在大数据时代背景下,随着政务、社会、数字经济加速发展,数据已成为重要生产要素。加强数据治理、保护数据安全,为数字经济持续健康发展筑牢安全屏障,这是数据安全的客观需要。中国网络空间的法治化按下了“加速键”,数据安全法、关键信息基础设施安全保护条例、个人信息保护法等陆续施行,依法建立数据安全管理制度,明确数据责任主体,从统一化及可落地性出发,结合现有数据业务建设需求和建设情况,遵从整体策略方针,全面优化管理体制,为我国数字化转型的健康发展提供法治保障,为构建智慧城市、数字政务、数字社会提供法律依据。明朝万达根据过去一年对全球网络安全市场的研究与理解,结合中国网络安全产业的发展特色与发展阶段,展望未来的中国网络安全产业,对中国网络安全市场做出以下十大预测:
1、覆盖数据资产全生命周期的数据安全管控平台将成为未来可持续发展的必要条件
随着《网络安全法》、《网络安全等级保护》、《数据安全法》等安全法律法规的相继实施,对数据资产进行全生命周期的安全管控已成为未来可持续发展的必然要求。数据资产安全合规是可持续发展的首要条件,在数据资产的产生、存储、传输、交换、使用等全生命周期的各重要环节如何做到数据资产防泄漏、防篡改、防滥用是数据资产所有者当前及今后面临的数据资产安全管控的永恒命题。以密码技术为基础,以人工智能、大数据分析等技术为手段构建的数据安全管控平台,以数据资产安全视角对数据资产进行实时动态监测,为数据安全治理和风险管控提供精准依据和量化支撑。通过数据资产梳理规划、分类分级,完成数据资产类目构建与数据敏感信息归集等工作,不断提升数据资产管理规范和管理能力。通过智能化检测模型分析对敏感数据资产的访问行为,实现对敏感数据资产访问的异常检测以及告警功能,全面提升数据资产风险预判和规避能力。覆盖数据资产全生命周期的数据安全管控平台在满足相关监督部门对数据安全合规检查要求的同时,实现数据资产安全梳理、有效提升数据资产风险防范和应对能力,对于既有数据安全合规需求又希望从存量数据中挖掘数据价值的任何行业,都具有十分重要的价值。
2、AI伪造数据引发的多种安全问题,其应对方案将提上日程
随着人工智能技术的飞速发展,AI已经可以按照设定生成各种类型数据内容,进而可以实时修改包括音视频在内的各类数据流并输出以假乱真的各项数据内容,而且AI生成数据内容在未来将成为主流的数据生成方式之一。这类技术在满足人们正向需求的同时,不可避免的为我们带来了新的数据安全风险,在未来“亲眼所见未必为实,亲耳所听可能为虚”。虽然各国通过立法或监管要求限制该类技术的扩散和非法应用,但是不能阻止别有用心的个人或组织的使用。因此AI生成或修改各类数据内容相关技术引发一系列数据安全风险的应对与解决方案已经提上了日程,各数据安全专业企业与相关科研院所将协力完成该类数据的识别发现、取证固证、响应处置等。
3、个保法实施推动后个人信息权属整体解决方案的诞生与衍进
随着数据安全法和个人信息保护法等法律法规和条例指南的颁布与实施,数据主体尤其是个人信息主体的相关权利得到了进一步的明确与保障。目前对于各级各类信息处理者,如何落实信息主体各项权属都是一个必须要妥善应答的新命题。各信息处理单位如何实践数据保护的义务和原则,尤其是法律条文中明确规定的各类场景的应对与处理,例如个人信息主体的删除,数据出境的申报审查,信息处理者的告知,公共场所的信息采集处理等,都会推动新的各类相关或专项解决方案的诞生与衍进。
4、基于元数据管理与敏感数据发现的数据安全分类分级产品将更加成熟
《数据安全法》、《金融的数据安全分类分级指南》等国家法律、行业规范的相继发布以元数据管理理念、人工智能相关技术的蓬勃发展,为各金融机构数据资产分类分级管理、敏感数据资产主动发现提供了有力的法律、方法、技术支撑,数据安全分类分级产品将实现从基于关键词、正则表达式的简单扫描处理阶段到基于AI、NLP技术的智能处理阶段的转换,变得更加成熟。
5、以数据安全评估为抓手,构建数据安全组织体系、制度体系、技术体系、运营体系等为核心的数据安全治理服务将成为数据安全重点工程
以数据安全评估为抓手、在充分考虑数据资产风险程度以及业务的威胁影响情况前提下,以“数据资产安全使用”为愿景,构建数据安全体系的方法论,以“知、识、防、监、控闭环数据安全管理方法论”梳理数据资产目录、识别发现数据资产、事前安全防护、可视化监测数据运行、分析风险联动响应对数据资产分级分类、对数据全生命周期的安全风险防护,构建出成熟的数据安全体系、制度体系、技术体系、运营体系。
6、对数据资产自动化检测工具的需求将越发迫切
对各安全级别数据资产自动化检测工具的需求越发迫切随着金融业务广度和深度的不断扩展,各类业务系统、管理系统的数量也日益增加,随之产生海量的数据资产,传统依靠人工进行梳理、定级的安全管理模式在海量数据资产的压力面前显得力不从心,而相继出台的《网络安全法》、《数据安全法》等国家大法也对数据资产等级梳理提出了明确的要求,市面上已经出现一些基于统计理论的自动化检测工具和技术,但远不能满足数据资产安全级别自动处理的需要,各金融机构对自动化检测工具的需求越发迫切。
7、数据安全将不再聚焦单个产品,呈现能力化和服务化的趋势
数据安全的建设不再是以往网络安全的单个产品的堆砌,而是与业务发展和管理的深度融合,需要通过以咨询管理+技术落地相互结合的方式实现以业务应用为目标,数据安全防护为基础,提供灵活调用、方便管控的服务化模式,客户也不再以购买产品为目的,而是更多关注产品背后带来的数据安全防护能力和体系化的服务模式。
8、AI技术被广泛应用在数据安全治理体系建设中
从历史上看,数据使用过程中的保护策略,以强控制为导向,这严重阻碍了数据发挥其业务价值的能力。随着数据创建者和消费者数量的增加,数据安全治理必须转变为更细粒度、具有成本效益的解决方案。运用AI技术帮助人们在处理和分析数据时采取适当的数据保护措施,实现数据安全治理实施操作的自动化,使得数据在合规、高效流通下,更大程度的发挥其数据价值。
9、基于大数据的用户异常行为感知技术(UEBA)趋于场景化应用
当前网络攻击数量急速增长,攻击技术也在不断升级。传统安全倚重特征规则和人工分析存在安全可见性盲区,有严重的滞后效应,无力检测未知攻击,难以适应快速变化的企业环境和外部威胁。伴随人工智能的产业化发展,基于大数据驱动的用户实体行为分析(UEBA)技术得到快速发展,通过对海量行为事件持续性监测,采用机器学习自适应动态风险分析,从行为数据中准确识别出异常,有效提升威胁检测能力。无需过多依赖人为分析,同时避免了人工构建特征规则,设置阈值的困难和盲目性。当前,UEBA已在金融、政府等领域得到广泛应用:通过分析登录、交易等数据特征和高危操作,建立用户行为基线和分析模型,对撞库攻击、异常删除、缓慢泄露等潜在数据安全威胁场景实现了实时、准确检测。
10、智能语义分析(NLP)技术成为敏感数据精准发现的重要手段
2021年,随着个保法、数安法的相继实施,如何高效精确识别敏感数据是目前企业亟需解决的核心问题。而数据具有来源繁多、表达方式灵活多样等特点,传统规则匹配的敏感数据识别方式存在大量歧义。运用智能语义分析(NLP)技术对数据进行智能理解与自动化处理,实现对敏感数据的自动标记,可大幅降低传统基于规则匹配的误报率和漏报率,将逐渐演变为企业敏感数据识别的主要方式。