BET体育365投注官网
本次会议主要包含两部分,第一部分由公司管理层及业务专家解读《工业和信息化部等十六部门关于促进数据安全产业发展的指导意见》等行业政策,第二部分是与投资者互动问答。 第一部分:公司管理层及业务专家解读行业政策 近期工信部等十六部门联合印发《关于促进数据安全产业发展的指导意见》,其中有一些要点引发了市场的高度的关注,包括“到2025年,数据安全产业规模超过1500亿元,年复合增长率超过30%”以及“涌现出一批具有国际竞争力的领军企业”等。 奇安信作为IDC发布的数据安全市场排名第一的网安企业。针对市场关注的问题,我们想从政策、行业还有业务等层面和大家进行观点的分享。本次会议我们的两位主讲嘉宾,都是多年奋战在数据安全业务最前线的资深专家,对市场和客户的实际需求都有着深度的理解。希望通过本次解读能帮助大家对数据安全市场的现状和未来有一个更加客观的了解和认识。下面有请两位主讲嘉宾,孔德亮总和刘前伟老师。 孔德亮发言: 我在前边一两年的时间主要是在负责奇安信的创新网络安全领域的一些方向,其中数据安全是分管的最重要的一个方向。我前两天还提到说数据安全是我们过去一年2022年,整个网络安全圈一个最火热的一个话题,然后前两天工信部等十六部门联合印发的《关于促进数据安全产业发展的指导意见》这个政策文件就发布了,这两天线)都在讨论相关的一些问题。今天把我们的一些理解和想法跟大家简单分享一下。 首先我自己看了相关的文件的内容,之前我们也参与了很多工作,无论是从之前的数据安全法,三法两条例相关的,在不同的阶段,其实我们都是在参与的背后的一些工作。 这次这个政策的颁布我觉得重要的几点: 第一,我觉得是在原来的《数据安全法》、《个人信息保护法》合规的升级,也是因为整个数字经济的发展、数据要素化的发展,加上去年频发的数据安全的事件,这几方面的因素。再加上我们整个的疫情过去以后,未来几年我们国家整个经济的高速发展,我觉得数据安全相关的这个政策的出台,是在这样的一个背景下。 第二,就是明确的提出来了数据安全产业规模,所有人关心这个数字超过1500亿,年复合增长超过30%的这样的一个令市场很激动,令从业者也很激动的数字。这个数字背后我是这么看的,就是原来的时候我们更多提到数据安全,其实对数据安全的定义和处于的发展阶段,我觉得前面的一段时间更属于探索期。那其实我们之前就预测到了2023年包括这次的这个政策出来,我们从一个探索期进入到了一个高速的成长期,然后这个高速的成长期,不仅仅是狭义上理解的数据,而是当数据要素化以后,从原始的数据资源化到数据资源的要素化,再到数据要素的产品化,未来整个的这个过程当中,我们的数据安全应该是贯穿在不同的发展阶段。我举个简单的例子,相比我们之前的要素。比如说生产要素里最好理解的土地,土地的要素化,在整个几十年的变化发展过程当中,还产生了很多次形态的变化。我们定义这个产业规模,其实在我看来可能也不止现在有的数据,因为现在这个阶段有些最后演变出来的形态是我们现在可能暂时还无法预想到的。 第三,就是里边政策明确了“建成5个省部级及以上数据安全重点实验室”、“打造8个以上重点行业领域典型应用示范场景”、“建成3-5个国家数据安全产业园、10个创新应用先进示范区”等明确的这些数字。这些数字的引导导向,最终我们看到的结果,我觉得通过其他的一些经验来去看,就不仅仅是这个数字,然后同时政策中提到了“到2035年,数据安全产业进入繁荣成熟期”,那里边对于数据安全的核心技术,重点产品的发展水平,专业服务能力,这些都提出了要求,就是跻身世界先进行列,同时也明确了7个的战略任务和3个保障的措施。所以在这样的一个数字经济发展和数据要素化的整体背景下,我觉得这个政策是从宏观层面和具体的数字层面都明确的指出了发展方向。这是我个人的一部分解读,然后这个工信部官方的解读里面,我们也参与了很多的工作,再让前伟把这个官方和他自己的一些东西进行一些补充。 刘前伟发言: 刚才孔总其实谈到了很多,整个指导意见的出台,其实我们纵观全文来看的话,它给出了很清晰的一些目标,并且指出来两个重要的发展阶段,刚才孔总都谈到了,这里面背后还有一些逻辑我想跟大家稍微分享一下。 一方面是随着《数据安全法》、《个人信息保护法》整个合规性的政策出台,可以看到合规是趋严的。另外一方面就是孔总谈到的数据作为一个新型的生产要素,那它势必会成为整个数字经济发展的一个核心的驱动力了,包括数字化转型会带来的各种变化,一边是合规,一边是风险的加大,另外一边是要发展,所以出台这个政策也是更多地从更高利益上去统筹发展与安全。某种意义上说是想整体上给一个指引,一个把握数字化发展的机遇,先夯实数据安全产业高质量的发展;第二个是说在数据要素化的过程中,像刚才孔总谈到就是它处于一个探索期,从数据资源化,到数据资源要素化,未来数据要素产品化,一定会有一系列的各种变化,那这个里面就会牵涉到要有序地、合法地去使用这些数据,只有这样的数据才能流通起来,然后才能转化它的价值。从这个意义上说,是要来加快数据要素市场培养和价值的释放。 另一方面是因为各行各业都在做数字化的转型,这个数字化的转型过程中是需要数据安全的保障,因为不同行业不同领域数字化的进程中,它的发展有快有慢,这个时候其实安全的保证能力建设也是有快有慢。在这个层面上就需要提高各行业各领域的安全保障的能力,进而一方面提高我们数字化的整个的保障,另外一方面对于数据要素这件事,是数据能够合法利用,能够有序的流通,有一整个数字经济发展的基础,所以说这几个意义非常重大。还有我们看到整个指导意见给出了7个战略性的任务,包括还有3个关键性的一些保障措施。这里面我想重点谈几个方面,一个是加强核心技术的攻关,这件事情特别拿出来。我们会看到在数据要素化的整个过程中,从数据变成数据资源的时候,数据进行及时采集及时归集到存储加工使用一系列的过程,有一些新的一些变化。比如说它都是依赖于一个大数据的环境去处理这些数据,我们过去的一些技术,要进一步的有所提升,比如说你的数据识别能力能否做的更加精准,能否对数据做很好的分类分级,比如说哪些数据能开放,哪些数据不能开放,哪些数据能够更加合理的去加工使用。那这个时候其实对于我们过去的这些基础的数据安全的技术,需要在这种大数据的场景下,能够很好地做适配,做好更多的智能化的一些东西,同时在这个领域里面,数据你要是想让它更有价值地流通起来,那它一定会是在我们不同的业务载体之间去流转,这个时候如何让它合法合规且安全地去流转,就非常关键了。指导意见中谈到的例如隐私增强计算,数据流转分析等,奇安信在这些领域里面是一直深耕细作了很多年,我们不管是在数据的更精准识别,智能化的分类分级,包括脱敏、权限的管理,以及同时我们很早就在布局像“零信任”这样的技术,因为当这数据在不同的业务载体之间流转的时候,它一定要做细粒度的访问控制,比如说哪些数据只能够让哪些业务能够访问到,所以要能够对它的风险,对很多的合规的情况做很好的预判,我们就可以做很好的防护控制,“零信任”刚好是符合这个特征的,奇安信很早就开始布局这样的核心技术。不管是在整个业界里面,还是整个16个部门联合发文,更多还是想强调在核心技术攻关上,整个产业都应该往前走。 另外谈的也比较多的是产品体系,产品体系构建的会更加完善和全面。为什么大家如此重视的原因,是因为数据安全,它不同于过去我们的网络安全。数据安全因为它的载体会在终端里面,会在网络里面,会在云里面,会在这些应用和这些服务里面去流转。数据是在这些不同的载体之间流转的,所以要想保护好它,就需要很多个品类的产品对其进行安全的防护。就是要求我们有一个体系化的设计,产品布局需要非常完善,第二个是能力的构建需要非常体系化。所以指导意见里面谈到了两个很重要的点:一个是产品能否适用不同规模的企业;第二个是对于一些解决方案,能否做到很好的匹配。因为在数字化转型过程中,比如说数据的环境发生变化,过去是在一个简单的数据库,今天它可能是一个大数据的平台,或者是一个数据的中台,那这里面就会需要一些新的产品。另外就是我们需要跟不同的新业态或者新领域做一些安全上的融合,比如说我们看到的5G、工业互联网、车联网,这也是一个新的场景,但你的安全能力,还有你对应的产品,能否以这种新的场景,能否和一些新的数据的通信方式做很好协同工作,能否把你的安全能力去内置到这些业务的系统、这些应用的通信里面去,只有这样才能够让你的安全可以发挥到它的极致。这是说我们为什么在这里面会强调三个东西,一个是核心技术攻关,第二个需要一个完善的产品体系,第三个是对新型领域的一些融合创新上必须要有一些方案级和一些能力级的融合才能做好。 另外还有一点是不得不谈的,因为整个数据安全,面临的数字化转型或者数据要素整个演进的阶段里面,它确实是有一些不确定性的东西在里面,比如说你的重要数据资产到底应该分布在哪?你过去的安全的建设是否已经完全覆盖到你当下的场景里面去。其实在这个时候往往一些客户或者是一些行业,它其实没有那么清楚他能否应对当下的一些新的挑战,他需要风险评估、合规的咨询这样的一些服务。再加上刚才谈到了因为数据是流转在端、网、云和不同的应用服务等不同层面,它的整个体系会比较复杂,但我们要想去构建一个这样的能力体系,往往是需要通过咨询和规划来告诉客户应该怎么去使用这些数据,怎么把这些数据使用起来会更合规更安全,应该怎么去构建你的制度和体系,怎么去构建相关的组织结构,怎么让能力和技术更好适配于当下的需求,包括后续的运营服务应该怎么开展才能够发挥出来相关的价值。因为整个事情是以客户价值为导向的,上了这些产品这些能力之后,应该去解决数据安全的风险,确保数据不出事,合规不踩线,打造一个这样的效果,所以就需要做一个体系化的规划。那这里面需要开展的工作,从数据安全的运行环境的基础防护,数据全生命周期的每个阶段要做好。包括个人信息的保护,数据要素的整个流通的保护都要做好,就需要一个体系化的一个规划。奇安信在这个领域其实也布局了好多年了,我们三年持续领跑数据安全咨询服务市场,并且在两年前的Forrester的亚太安全咨询服务榜单中,奇安信是国内唯一一家入围的安全公司。 此外,大家也都知道,因为这个领域比较新,人才其实是比较匮乏的,是比较缺的,所以这里面就会谈到很多关于人才的培养,生态合作等。整个涉及到数据安全的一些重要的点,我大致去解读了以上这些方面。 孔德亮发言: 从之前很长的一段时间我们参与相关的工作,包括这次发布的政策,我谈一下奇安信数据安全业务这块我们的一些想法。 去年包括前年,我主要都在定方向和看一些执行策略,总结下来我们这个定位是清楚的,然后我们对市场的判断还可以,同时我们的态度也相对比较端正。在一个探索期的时候,有时候我经常听到一些例如数据要可用不可见,然后就推出来一个产品,说这个数据左边进了,右边出去这个事情就解决了,这个是不可能的。因为涉及数据安全这块,难度是很大的,因为千行百业产生的数据是不一样的。然后在整个的数据的流转过程当中,整个数据要素过程当中,其实也是挑战非常大。那这个时候其实我们比较快速的识别出来了,在原始的数据资源化的这个阶段,为什么出现那么多数据安全的事故?是因为我们原来根本就不重视,没有基础的防护,所以在制定策略的时候,虽然我们看的是未来的发展空间很大,但是我们又比较务实的把它圈定到了补短固底是数据安全85%左右的行业客户的当务之急,要不然根本没有到系统治理体系规划和更广泛应用的这个阶段,数据就丢了。所以其实我们当时想着说第一阶段先去止血。然后第二个阶段,再去系统的治理和体系规划,然后再有序地建设和持续地运营,这是我们定位的三步走的阶段。 因为绕过来想,我在定义这个的时候,觉得一个企业它有经营的压力,但是回到网络安全和数据安全这个事上来讲,还是有社会责任和国家责任的。就是一切以客户价值为中心总是没有错,所以我们要先给客户解决当务之急的这个问题。因为这件事情它不是买单一的一个产品和一个方案能去解决的,在《数据安全法》出来的前后,其实投入到数据安全方向的公司就很多,大家其实在一些特长方向都是有优劣势的。我们看到了这个事情光靠产品,光靠一些简单的解决方案不行,体系规划和持续的运营服务,是非常重要的。所以我觉得我们是相对务实地围绕客户的价值去开展了一些工作。前伟你那边的案例,可以简单的分享一下。 刘前伟发言: 刚才孔总说的前面有一个地方我稍微补充一下,就是我们说的分阶段,其实还是主要是根据客户群体的数字化的发展阶段来去分的,然后我们一定会需要做出快速地响应不同的安全诉求,就像刚才孔总谈到,可能85%以上的客户都是需要从补短板开始干起来。我举一个例子来说,比如我们看到的政务上的一些地方的公共大数据的情况下,很多的数据都是一个大集中,比如大数据局,那这里面一定会有一些推动地方的三政惠民、一网通办的这些应用。其实在这里面有几个点,比如说这些数据,要让这些业务的应用去使用它,那么它是需要去通过一个数据的服务,或者像API这样的方式去提供给前台APP去使用的,比如说我们最简单的健康码,每扫一次码,其实背后是有很多个API调用的,那这个时候API的安全就会变得极其重要了。我们会看到雷同这样的API调用特别特别多,不仅仅是说像健康码,其实企业的所有数据的内部消费,外部交换或内部的共享,都是通过这种API,所以API的安全就变得极其重要,那我们就需要去识别出来API里面会不会有风险,会不会有人去滥用这些数据,会不会有人通过API去盗用这些数据。所以就需要做好几个事情,比如说首先需要做好API的识别,知道到底有多少API的资产,第二个要知道API有没有漏洞,别被别人直接破门而入,直接把有价值的数据拿走了。第三个是攻击防护,有攻过来能赶紧防住它。这种是非常典型且极其普遍的,我们看到绝大部分,对于数据消费的场景下,都会存在着API的一些安全问题。 第二个点,我们谈到了很多时候往往会出现数据窃取或者数据的泄露。那有一些是刚才谈到了像API这种别人通过攻击的方式往往是窃取的行为,还有一些是主动泄露的行为,那它往往会发生在什么时候呢?其实每个企业里面特权人员会比较多,特权的访问会特别多,那这个时候有一些是有意的把这个数据泄露出去,有一些可能是无意的,错误的操作造成的。像我们常见的有几种这样的行为,一个是特权账号管理出现了问题。举个例子,一个管理员把他的特权账号设成像12345、admin这样的弱口令,黑客攻击很容易就破解它的账号和密码,拿到他的账号就可以访问所有数据,看起来很简单,但往往是很有效的一个手法,所以像这种特权账号的管理就变得极其重要,你要能识别出这种弱口令,让他解决掉这个问题。第二类问题就是特权的访问。举个例子说,比如说一个恶意的管理员,可能不管出于什么原因,他想把公司的数据资产直接拷走,或者说他对数据库进行删库,这个我们也经常在网上看到这种事件,那当他批量拷贝这些数据资产到他电脑上或者到他U盘上的时候能否管控住。还有一个当你去做很高危的操作的时候,想整库去删数据库,或者想去整个的拖这个库的时候,那能不能够管控得住,类似于这样的特权访问,就非常的关键。 还有一个例子其实是我们在合规上往往要做很多的事情,比如说冬奥。其实因为冬奥里面有很多的数据,需要满足的东西还蛮多的,因为有一些数据是竞赛的一些数据,还有一些个人的信息,还有一些安全运行数据,业务运行的一些数据。那这里面就需要我们做几个事,第一个对于这些数据满足合规性的要求,一是国内的合规,还有满足国外像GDPR等的合规政策的需求,那我们就需要很好地满足合规。第二件事情,是它的安全极其关键,冬奥一定是被世界瞩目的,然后它同时也是各种潜在的攻击的目标,不管是零散的攻击,有组织的攻击,甚至国家级的对抗,那这个时候我们其实需要做的一是满足合规,第二是安全,还有一个问题是比较麻烦的,是效率的问题,比如说竞赛的数据要实时的显示,所以我们需要很好的平衡安全和效率,那我们做的时候,对于很重要的敏感数据资产,要做很好的隔离性的保护,限制他的访问。确保所有的访问都可以被审计,外部的和内部的都能被审计。第二件事情是所有的安全的状况,所有跟数据安全相关的全链条,从终端到网络到服务器,到它的应用和服务,应该做非常的全面的全链路的安全的监测,用我们的数据安全态势感知可以完全去覆盖,采集所有的数据,然后去拿下所有的信息做研判分析,去分析风险。指导意见里面反复强调的两个点,就是大家要加强核心领域的攻关,第二个就是整个产品体系要足够完善,只有满足这两个点我们才能够解决客户的当务之急。如果没有很完善的产品体系和技术体系,这些问题是解决不了的。我们奇安信从刚才谈到的像特权账号的管理,在沙利文发布的全球特权管理方面,我们在中国区域是排行第一的,包括Gartner也会作为一个重要的产品推荐。同时我们自己的产品体系也非常全,在信通院的7个品类的认证里面,我们也拿下了大满贯。 补短板相关的事情,还有一些是数字化进展本身比较靠前的,像一些大型的央企或是一些部委,是走得特别靠前的。那他们在做的时候,可能需要考虑更多的是,数字化业务走的比较靠前的时候,过去网络安全建设做得还可以或者相当不错,当我们面对一些新的合规性的要求,今天谈整个数据要素的流通的时候,我们应该如何去做?那这个时候往往是要做一个整体咨询规划,去做整个的体系设计,比如说它的管理体系应该怎么做,应该怎么去优化组织。我们奇安信自己现在也在做组织变革,因为我们要应对于整个快速增长的客户需求,需要把最能打仗的、这些能力最强的人推到现场去,同时可能还要来制定制度和流程。比如我们在一些地方的政务的大数据局客户,我们帮他去做分类分级的一个指南,确保他的制度是完备的,他的组织责任分工都很明确,这个是管理体系上。另外一方面就是咨询上需要告诉客户技术体系应该怎么构建。因为刚才谈到的数据流转到终端网络云应用服务上去,各方面的能力都需要。我们到底应该怎么去构建这个技术体系,是基础的设施或者基础运行环境应该加强,还是说数据实体的防护,例如加密脱敏把这些事干好,还是说应该是对数据的流转的控制做的更加精细化,那这些就往往需要形成技术建设体系化的一些工程。另外就是运营部分应该如何去构建,把这些产品这些能力应用起来,然后确保整个数据安全的相关一些工作,所以这种体系化的规划往往是在这种阶段去开展起来的。 另外一个案例是,数据要素这个事情,刚才孔总说的有三个阶段,第一是原始数据首先要来资源化,第二阶段资源要素化,第三个数据要素来产品化。这个过程中其实在第一阶段数字化转型,我们前面这几年已经做得不错了,正在往后面迈进的时候,大家都在做不同的探索,尤其是在数据要素这件事情上,我们自己其实也在不停地探索,比如我们这边的鹏城实验室,因为鹏城实验室是一个是国家级的实验室,我们用自己的数据沙箱的技术与鹏城云脑做对接,我们与多个城市的大数据局,将它的政务的数据托管到鹏城云脑之后,我们可以通过数据沙箱 ,AI的靶场方式对它的结果进行训练,然后看到它的哪些数据是能够合规,哪些数据能够开放,哪些数据能够共享,提高整个数据合规的使用,安全有序地去流转,这是在这个层面上我们在做的一些事情。我们还参与了一些国家级的工程,比如说像我们的股东CEC,他其实在承接一些像自主计算相关的工作,这是国家级的工程,他们承接自主计算的一个产业链,并作为一个链长,我们在里面去辅助去做一些网络安全技术策源地相关性的一些技术的探索和研究,然后为推进整个数字经济的发展,我们做自己的一些贡献。 最后我想谈到的一点是,在整个的数据安全里面,其实标准制度还是非常非常重要的,不管是最早出现的“三法两条例”+两个办法,到最近的“数据二十条”,和最新的指导意见,奇安信都也参与其中。我们一起去参与制定和研讨数据安全监管工作的机制和方法,包括重要数据处理的安全要求,和公共数据安全处理的要求等一些很顶层设计的工作,我们都在积极的参与和推进之中。 我这边要补充的东西大概是这么多。 孔德亮发言: 我最后总结下,前面我们讲了很多产品和很多技术,回到指导意见里提到的1500亿和复合增长30%,我是这么想的。就是可能大家有一个疑问说数据安全之前也进行两年了,怎么突然发一个文就变成1500亿或30%增长。我给大家举个例子说一下,就是我们讲的数据安全是什么?我觉得是数据要素化的3个阶段的转变和4种形态,和整个价值链里面的数据安全。那三个阶段的转变就是原始数据资源化,到数据资源要素化,到数据要素产品化,这4种形态就是原始数据,数据资源,数据要素,还有数据产品和服务。那整个价值链里边,数据安全是贯穿在其中的。对整个价值链我简述一下,大家去理解一下。就是我们从原始数据的授权采集归集,到数据资源的存储加工,再到数据要素的要素交易生产,再到数据产品服务的产品交易消费,这整个价值链里边贯穿着整体数据安全的防护。大家也都了解很多原来我们要素化的东西,比如说土地,然后到宅基地,然后到房地产商的这个商业地块,然后再到商品房,整个它也是一个形态的转变。那数据的形态变化,因为它是虚拟的,所以会是更多变的,这里边我们有很多挑战要去应对。所以我们国家在这个时候,16个部门出这个相关政策,我觉得是对应的数字经济发展和数据要素化未来的发展,来做出的一个在这个阶段很重要的指导意见! 第二部分:投资者问答互动
答:奇安信在整个国际化的战略方面,已经推进了好几年,尤其刚才提到的一带一路,我们在过去的两三年里,披露了接连中标非常大的国际化的项目。所以在数据安全的出海这个层面,因为我们原来有了一些项目的基础,然后可能侧重点是原来我们擅长的领域会多一些,但其实里面也包括了一部分数据安全的东西。这里边我觉得重点的是,我们在前边两三年的布局里已经看到了国际化的布局,其中的这个六化的建设里面国际化就是重要的一块。然后还有就是我们在这两年当中自己的一个切身的感受,就是我们真的是到了这个国际的赛场上,我觉得我们是真正意义上就是以国家队的身份和我们这个排名第一的网络安全公司的身份去国外真刀真枪的去PK了。我们也发现了实际上我们有一些优势,但是在一些方面也有差距。相信通过持续的投入,在国际市场上我们还是能证明中国的网安头部企业的力量,然后我们也会坚持的把数据安全这个方向往国外去走。
答:我们存在的厂商大概有几类,一个是像奇安信这样的网络安全的综合厂商,还有一部分是新兴的一些专注于数据安全细分领域的厂商,还有就是原来做大数据相关的一些厂商,我觉得大概这围绕这三大类,然后里边还有一些小类。我是这么看的,我们也投资了一些公司,我们也有一些生态合作伙伴,那主要是因为什么?我举一个简单的例子就是说数据安全的分类分级治理,各行各业差别非常大,银行的数据,跟车企的数据,跟能源的数据其实完全不一样。所以这里边它前期的时候其实也需要大量服务人员的这个人力物力,那这个时候我觉得光靠一个厂商可能是不够的,需要一个生态圈。然后另外因为所处的探索期和这个高速的成长期,所以在一些方案和一些产品的细分领域,其实也很难在这个时期有哪家是完全兼顾的。所以这几类大家是这么去分的,然后大家各有优劣势。然后也经常有朋友问说奇安信你们跟某某公司好像在哪方面竞争的比较激烈,其实我并不这么看,可能在某些项目上面,我们确实是在竞争,但其实在大的网络安全数据安全这个产业里面,我们这些公司在一起去推动这个产业的发展,然后在未来的数据安全产业的发展过程当中,我觉得大家也是竞争融合,可能都会往这些方向去发展。 刚才谈到了几个点,不管是在我们谈数字化转型的过程中,还是数据要素的市场化配置的推进过程中,一定会有一些新的场景出现,不管是新的场景还是新的领域出来之后,它往往是需要多点去融合在一起,去解决一个共同的问题。那我个人认为如果从方案层面上的话,谁家的能力体系构建的更全,比如说首先从你数据运行技术环境本身的大数据平台和数据中台,这一类的对它的保护的能否越好;第二个因为数据流转了,整个访问控制层面你要来去做的能力比较强;第三个就是对于数据的实体,像数据库文件这些,对它保护的这种技术要掌握的比较好,还有对于隐私合规相关的工作,对风险的监测做的比较好,只有这几个做的都比较好,才可能做出一个更加贴合于客户未来支撑出一些新场景上的一些能力的覆盖,才能做到更全面。这个可能综合性的厂商优势会更明显一些。刚才孔总也谈到了,有一些新兴的领域,一定会有一些创业的公司或者新兴的企业会出现,它围绕着某些单点,在某一个场景下会做更深层面的探索,但是它可能会解决其中的一环,这就是回到前面谈到的,数据安全它其实是一个能力体系,它很难靠单点技术去解决整个面上的问题。那从这一点上,我个人的理解就是综合性的厂商,核心技术能力越强,门槛就可能会拉得越高。
答:说一下我个人的理解,一般咱们国家去推动一些产业的发展的时候,我们觉得有两方面是先行的,一个就是我们政府部门就是我们的政务大数据,各地的大数据局,是先行的一部分。然后我们全国各省的市的大数据局都在启动数据安全的专项的工作,基本上80%都在启动专项的工作。这里边我们能看到两点,第一是这个合规要求高,另外就是我们整体的安全防护的情况并不乐观,或者说也比较紧迫。在这个紧迫下,我们也参与了一些咨询规划,包括一些设计的一些工作,也投入了比较大的资金和决心来去做这块的一个事情。第二点,您提到的行业,我个人是觉得这个一定是我们的国企央企和关基单位。这种关基单位的优先机会比较高。比如说,我们一个城市的电力的数据,如果泄露的话,它不仅仅是说看耗电量的问题,他可以用一些算法模型去推断出来这个城市的很多其他相关的一些东西。那这些东西我觉得他可能涉及到的更多的是国家安全层面的东西,所以我觉得任何的法律法规的出台,任何的政策的这个出台,一定是国家安全优先,然后我们的政府,政策的推动以及示范的作用,还有我们的这个所谓的国家级的龙头企业的牵引作用在这里边会起到很重要的点。其次的话是一些能在经济推动的就是利用这个数据要素化的演进的价值链的过程当中,产生更多价值的,比如说互联网行业、车联网行业相关的一些行业,这是我简单的一些看法。
问:关于标准方面,就是看到这个政策里面有专门的一项提到了推进这个产业的这个标准体系的一些建设,就是因为我们其实也很好去类比就是在网安的网安法推出和等保的这个体系建立之后,整个行业其实迎来了一个比较快速的发展。 那数据安全这块的话,其实大家也非常期待就是在这个里面后续会不会有一些这种国标,包括就是国家层面一些标准体系的一些推进,这个方面能不能请您给我们简单的介绍一下,可能后续在这个国家层面的一些标准的一些情况,以及咱们奇安信作为行业龙头,应该也参与了一些这种标准的建设,能不能给我们简单去做一个介绍?
答:正在制定跟未来马上快要出台的一些政策,有比如说像重要数据处理的安全要求。另外大家都知道,因为重要数据它是有明确的定义的,它可能会涉及到国家安全公共利益,所以对整个重要数据的处理,然后是明确设成一个国标,这是一个明确的要求。但是大家也知道其实因为国标的周期会比较长,但是整个的制定已经是有节奏的开始了一段时间了。包括对于公共数据的安全处理的要求,也正在制定中。过去其实已经出台了一些,但是更多明确的是对于安全处理应该有哪些更具体的一些要求,这两个是比较重要的。那还有几个已经出台的,或者说即将还有其他行业来出台的,比如说我们可以看到的像工业领域,它就会对重要的数据,包括核心数据的一些指南,只有把这些东西做了,你才能够对你的数据进进行很好的分类分级,进行开展这样的工作,你才知道哪一些数据能够安全合规的去使用,那这些都是大的前提。所以其实是在不同的行业都要去做制定。那还知道的有一些过去比如像金融这个领域里面,它的分类分级都已经做了这个标准,但是因为随着我们像网络数据安全管理条例这样更高位的一些条例的出台之后,他也需要进行修订。其实这个更多的是因为《数据安全法》,包括《个人信息保护法》一系列的出台之后,那过去的因为先于他们发布的一些法律性的文件也需要进行修订,甚至比如说像我们看到的网络安全审查办法2022年也是做了一版修订,主要是针对于数据安全层面做的一些修订。 还有一些比如说,我们看到的刚刚发布的像数据20条,它更加明确的是从制度上,然后是对于基础制度建设上,对于数据要素给出了一个很明确的指导。包括像政务大数据,刚才谈到的,那其实是说它已经是出台了一些像类似于全国一体化政务大数据的一些建设指南,其实它会更加的细。因为我们看法规,然后到这个条例,到一些相关的办法,再到一些建设指南,是一个递进的关系。不同行业都是逐步细致的往下去做,相关性的文件的出台,也是想推进这个事情尽快地落地,夯实一些企业的主体责任,对于数据本身它能够合规合法的去使用,然后保证数据能够有序的流通这样一个目的。更直白一点,就是国家是统筹安全和发展,其实在细节上往往就体现到这些合规性的一些标准和制度的出台。
答:您说的1500亿,细节上我可能现在也没法给一个准确的回答。我先大概说一下,关于1500亿里边产品和服务相关的一个份额。前面也提到数据安全是个体系化建设,然后是个从管理流程到整个方案到产品到运营服务的这么一个全链条的事情,这里边我们觉得整个服务的份额会在原有传统的网络安全的一些场景化里面会去加大的,基本上会变成产品和服务开的这么一个情况。如果产品和服务开,涉及到的服务有咨询规划,分类分级治理,风险评估,又是一个多品类的。那产品从基础安全服务防护型的产品,再到态势感知管控型的产品,还有一些比如分类分级治理工具型的产品。整体的分类的规模,还是应该基础防护的占比更大一些,数据安全态势感知和工具类占比稍微小一些,基本上是这个情况。
答:我觉得我们基础能力,包括整体的一些积累是够了,但最需要去加强的是两方面,一个是行业的场景化,就是我们真正的要去以客户价值为导向,深入到不同的行业类型的客户当中去,然后去跟他们一起走一段,摸爬一段,然后再去给出针对性的方案和针对性的服务。所以今年奇安信的战略上有一个重大的变化,我们叫做资源前移,就是形成灵活的、有能力的前场作战单元,让我们更多的专家然后到一线去,然后形成一个闭环给客户去解决问题,这个是第一个重点的我觉得需要去加强的就是行业场景的适配性。然后另外一方面,就是我们整体的咨询规划和服务的能力,我觉得是需要去加强,同时要去加强学习的是整个在数据要素化的不同的形态的转变过程当中,深入到各个环节的去理解学习。 举个例子,就是我自己最近在读《数据要素论》的一些东西,所以就又去翻原来的我们的要素,比如土地、劳动力相关的一些要素当中原理性的一些东西,我去做对比和推演,去看数据安全跟原来的这个要素有哪些不同,我觉得这个是需要我们去加强的,因为我觉得加强补充原理知识,紧跟着这个数据要素的形态的变化,才能更好的去提供一些服务。
答:密码是一个非常重要的一个基础防护的手段。在《网络数据安全管理条例》里面也强调了它的重要性,尤其是对于重要数据必须要使用密码的技术进行保护,是有明确要求的。那这个其实我觉得传统的,就是我们谈到的这个密码相关的技术,应用都很广泛了,这块其实我认为是相对来说比较成熟的一个领域了,但是有一些可能会是新的,今天我们看到的对于密码的一些新场景下一些新的应用的方法,甚至有些算法上会有一些变化。我们会看到一些类似于量子密码等新兴的一些东西。那这块我觉得一定是说是跟过去是有一点差异的,今天面对的很多是一些海量的数据场景下,如何去做加密态的数据分析,这个时候可能对它的算力本身会有一些巨大的挑战。其实在这个领域从技术上来讲,不管是我们的多方计算也好,还是联邦学习、同态加密,其实都大量运用了密码这种技术。这里面其实你要说从原理和技术上都还是相对来说成熟,但是回到刚才孔总说的如何让这些技术与我们的这些业务与这些新的场景,能够更好的作用在一起,跑出来更有价值的一些东西,应对更多的一些场景,确保它的安全合规这件事,可能要继续去做探索。在这个事上,其实从指导意见里面也是再次谈到了对于有一些重要领域的应用水平,进行进一步的提升。这里面新场景,新的技术都有谈及,这是我个人在这上面的一些想法,谢谢。
答:我觉得这个时间点是一个非常关键的时间点。因为首先就是提到了整个数据要素化的这个数字经济的发展,它就在一个时间点上,我觉得两方面,一方面疫情过去以后,我们国家的这个整体的经济推力的这个目标,还有就是我们整个国家安全和强国计划相关的要求。然后这两方面我觉得是非常重要的,同时我觉得更重要的一点就是,我们确实从之前的相关的法律法规已经就很重视的情况之下,然后我们也去这个落实了相关工作的情况之下,但是去年我们面临的危害是巨大的。我们数据安全出现的事件,可能如果不是这个领域的人,也许还也不知道,但是我们作为从业者,我们是清楚的知道那些事件给我们的国家,给我们的企业带来了什么样的危害。所以我觉得在高速发展安全威胁两方面的结合的情况下,然后在当下这个时间点赶在我们春节之前,在2023年伊始的阶段,把这个推出来,我觉得是非常重要的。同时这么多明确的数字,和一些明确的要求一些其他的指标,都可以快速的推动这个产业的发展,让更多的人更多的机构去参与到整个的数据安全产业的发展过程,然后快速的去解决,已经发现的和未来预知的巨大的挑战。 简短的总结一下,这个指导意见背后的一些事,其实有几个点,第一个谈到的就是说是从数字经济高速的发展,还有两个事情,一个是像数据安全法,个人信息保护法的出台,需要贯彻落实它。第二个就是数据安全事件频发,很多的数据确实涉及到了国家安全跟公众的利益,和个人信息相关的一些权益,所以说是需要对这些数据进行有效的保护。我们谈到数字化的转型,包括这种数据要素市场化配置和价值释放这件事情,需要对这些数据进行有效的保护和合法的利用,确保它能有序的去流动起来。所以它在这个时候推出来,整个产业也需要高质量的发展。对于相关的领域,应该整个数据安全能力来做很好的保障。那只有这样才能够促进整个中国数字经济的发展,大逻辑是在这几点上。
答:确实我们要是想去应对当数字经济快速高速发展的时候,中间可能会存在的一些安全挑战的时候,往往是产品品类很全的话,方案层面会覆盖的比较好,但是并不意味着这些单点的没机会,因为确实是有一些特定的场景下,这些单品还是能够是解决一部分的问题,它可能是这个方案的一个重要的组成部分。第二个点就是谈到这个数据要素化的这个整个过程中,前面谈到了数据首先变成资源化的这个过程,它经过授权、采集、存储、加工、使用,那这些环节里面,每一个环节它都是需要数据安全相关能力保证的,比如说哪些数据应该合规合法的去采集,对采集完的这个数据你如何做好分类的分级,确保这些数据都是让他是合规合法的去使用,让他整个传输的过程中,你来保证是安全,在它的使用的过程中,你要确保对重要的数据能够做有效的保护,像敏感的这种个人信息,应该脱敏去使用它。在整个的这个链条里面,其实数据安全某种意义上它是一个底板工程,没有他没办法解决和规安全和隐私相关的一些问题。 关于跟CEC的合作,其实CEC在整个数据要素化的过程中,他在不停的做探索,也开创性的提出了像一库双链的这种模式,然后通过数据元件,也就是一个中间态的东西,去通过加工数据元件,然后形成最终的数据产品,最终释放价值。其实在很多地方已经落地了一些试点,比如在德阳,在武汉,在徐州这些地方已经是去做了一些试点,在他做数据要素整个市场的时候,奇安信其实不管是从网络安全层面,还是数据安全的每一个环节,我们两边是去做强强的联合,去做一个更好的方案,确保这种重要的敏感数据得到有效的保护,整个的数据能够被合法有序的去使用起来。
答:通常这些产品的形态是需要结合着是客户的场景来去看的,就是说安全的能力,它其实是可以以软件的形式去存在,也可以以硬件的形式去存在。你的客户当下运行的环境,是根据他的需求,我们可以去做调整,整个业界都是这么做的,也不光是奇安信独家是这么做的。其实在做软硬件之间,到底它的占比是什么样子,我们看到的根据整个过程,可能前面是硬件稍微偏多一些,但是在未来整个数据要素推进的过程中,随着它运行环境的云化,数据整个软件被资源化分配之后,有可能会以软件的形态会更多一些。甚至是说我们所有的这些安全类的产品,包括奇安信自己的,现在已经大量的产品都已经完全云化了,需要去适配更长远的未来市场的一些需要,大概是这么个情况。 再简单补充一下关于产品这一块,我想去说明一点,就是数据安全市场下,奇安信也好,其他的公司也好,它的产品不是说今天全部都是从0到1才开始的。而是在新的要求和新的法律法规,在新的场景下,然后整体的方案可能对原有的老的产品进行了整合,在原有的老的产品之上进行了提升,同时有新的产品品类的出现。我举个最简单的例子,比如说我们的堡垒机,拿数据库审计来举例。原来一个朋友跟我聊,我说这个数据安全下边,数据库审计产品的销量会提升,他说为什么呢。我说你想啊,在大数据时代和在数据安全数据要素化的时代和等保合规时代,对数据库审计的要求是一样的吗?我们原来在一定的合规的要求下,虽然环境已经变复杂了,但我们数据库审计这样的一个产品发挥的价值,我觉得是比较小的,甚至很多都是没启用的,没有全方面去部署的。但是在数据安全的这个要求下,就像数据库审计的这样一个单一的可能已经存在了很多年的产品,它发挥的作用,发挥的价值和需要的数量,都是不一样的。所以我觉得在这个整体发展的要求下,我们整体的解决方案下边的产品组合是多元的,是新老结合的。但是未来不管是我们,还是说其他的合作伙伴或友商或更新兴的领域,都会随着这个变化,有更多的更好的产品配合方案推出,谢谢;
