《科创板日报》9月13日讯（记者 黄心怡） 近日，《IDC TechScape：中国数据安全发展路线图，2022》正式发布，其中涉及了零信任、区块链、隐私计算、AI赋能数据安全等18个新兴及重要的数据安全技术。

“在这十几个技术点中，隐私计算可能是特别值得关注的领域。”IDC中国研究副总裁钟振山在接受《科创板日报》记者采访时表示，“虽然目前隐私计算的发展仍处于非常初级的阶段，市场规模并不大。但未来五年，隐私计算的市场增速将是最快的。”

▍国内数据安全意识仍待提升

近年来，全球数据安全形势愈发严峻, 各种攻击、勒索及数据泄露事件层出不穷。

“二三十年以前，黑客真正能攻击的对象只是服务器，而现在，摄像头、物联网设备等都可能成为黑客攻击的对象。这也是网络攻击事件越发频繁的原因。” 钟振山分析。

根据IDC预测，到2026年中国物联网的市场规模将达到2640亿。“这意味中国会超越美国，变成全球第一大的物联网市场。随着越来越多IoT设备的出现，所带来的安全风险越来越多。黑客可以通过物联网的设备入侵到企业内网之中。” 钟振山指出。

在物联网蓬勃发展之下，IT（信息技术）与OT（运营技术）正在深入融合，这亦对传统行业带来了新的安全挑战。

“OT部门的安全意识相对没那么高，因为他们主要负责生产。但实际上，现如今的生产设备已经变成物联网设备，无时无刻在产生大量的数据，并通过内部基础设施把数据传输到应用之上。这些都会成为黑客可攻击的对象。”

为应对潜在安全挑战，一方面依赖于网络安全技术的发展，另一方面需要企业内部安全意识提升，真正把安全列入企业核心的战略。

“数据安全并不只是保护好内网的数据库就行了。从数据产生的一刹那，就开始面临安全风险。在数据的全生命周期，从采集、传输、存储、使用到销毁，每一个环节都可能出现问题。如果要逐步把风险降到最低，不只是需要技术能力，更需要整体安全意识的提升。除了安全部门或者IT部门外，公司所有的员工，都需要具备嗅觉，能意识到潜在的风险在哪。”

钟振山强调，当前国内的安全意识仍然存在不足，无论在企业端还是政府侧，目前很多IT项目的建设并没有把安全列入必选项。

“大家都在做IT项目，说要上云，就把业务搬上云了，但并没有相对应的安全解决方案，来保护企业的数字核心资产。要真正降低安全风险，就必须把安全当做企业数字化转型的一个核心组件，而不是在系统建设完成后，才想着如何弥补漏洞。”

与国外相比，当前CSO（首席安全官，Chief Security Officer）在国内的普及度和认知度不强，这亦不利于把安全策略、安全投资建设贯彻到底。钟振山向《科创板日报》记者介绍了自身在GE（通用电气）做IT主管的经历。

“在GE内部，安全部门的权力非常大。员工一旦违规，是可以被开除的。从外企文化来看，对CSO的这个职位的重视程度，现阶段可能比国内高一些。” 钟振山说，“国内很多企业，安全经理或者类似的CSO角色依然向CIO汇报。但实际上，CSO应该是独立于CIO的部门，这样才真正能够发挥其在建设企业安全体系的作用。”

▍中国网络安全市场增速将超全球

近年来，国内陆续颁布施行的《数据安全法》《个人信息保护法》等政策法规，均明确提出推动发展数据战略，统筹数据开发利用、隐私保护和公共安全，规范数据有序流通，保障数据安全。

根据IDC统计，2021年中国数据安全产品与服务的总市场规模（包含隐私计算与区块链技术中的数据安全部分）达到12.43亿美金，约合80.2亿人民币。

“隐私计算可能是未来大家值得关注的领域。我国近几年发布了不少数据保护相关的法律，让数据使用更为规范和有据可循。随着数据安全被上升至法律层面，企业责任变得越来越大。而隐私计算的技术，在很大的程度上让企业降低个人信息泄露的风险。根据我们的预测，未来五年隐私计算在众多数据安全技术中，将是增速最快的一个市场。”钟振山说。

除了隐私计算外，零信任也是近年来较为热门的网络安全防护概念。钟振山透露，当下国内对零信任概念的理解存在一定的误区。

“很多企业把统一身份管理项目，也称之为零信任项目，但其实概念完全不同。身份管理是非常基础的能力，只有具备足够强的身份管理能力后，企业才有可能建设零信任安全体系，然而这并不等同于零信任。”

钟振山坦言，在调研过程中，很多厂商会自称提供零信任解决方案，但实际是SSO (单点登录）这样的身份管理项目，“他们并不具备零信任所需要的整体技术能力。”

在谈及对未来展望时，钟振山表示，零信任同样将是高速发展的市场。

大部分中国企业在零信任建设方面，处在相对初级的阶段，这促使未来的市场增速会非常快。这也是我判断，“中国网络安全整体市场的整体增速，会高于全球市场增速的重要原因。”

▍如何量化数据安全的投入回报？

对于隐私计算等新兴技术的落地瓶颈，钟振山认为核心难点并不在于技术层面。

“无论是大厂还是小厂，现在看来，从产品完整度或成熟度，已足够支撑现有的市场需求。但是对于CIO来说，更关键的决策点在于技术能否产生足够大的价值。如果回报没办法量化，CIO会面临来自CEO的很大压力。CEO会觉得，为何要投入这么大的资金和资源去把该技术引入到企业内部。”

实际上，这正是当前国内企业在数字化投入上所面临的普遍挑战。

“传统的IT部门依然被认为是花钱部门，对业务没有直接的影响。因而只有随着企业数字化转型的深入，当业务在很大程度上开始依赖于企业的技术能力，那么IT部门或者安全部门所做的事会对业务产生直接的影响，技术部门在企业内的地位将不断提高，令其真正能够融入到核心业务中去。”

值得一提的是，相比其他数字化投入，安全在投入产出的量化上面临更为尴尬的局面。

“因为最好的结果是，过去一年什么事都没发生。但这样业务人员会认为，既然什么都没发生，为什么还要加大对安全的投资。所以，这需要技术部门不断灌输安全理念和案例给管理层。让他们意识到，没有发生事件，并不代表风险不存在。随着数字化转型的深入，企业所面临的风险会不断地加大。只有持续地在安全方面投入，才能够确保无事发生的局面，能持续下去。” 钟振山解释。