中國將成全球第一大物聯網市場，全球1/5的數據安全投資夠嗎？

【文/觀察者網 呂棟】

“全球四分之一的數據產生在中國，但中國的數據安全投資只佔全球的五分之一，這個比例可以想象，中國在數據安全領域的投資還要進一步加大。”日前，IDC中國區總裁霍錦潔在IDC 2022 CSO全球網絡安全峯會（中國站）上回答觀察者網提問時表示。

霍錦潔透露，此次是IDC首次在中國舉辦 CSO（首席安全官）全球網絡安全峯會，這也説明在中國聚集海量數據的背景下，數據安全、網絡安全在中國是非常重要的。

但她也同時指出，雖然中國大量的數據應用場景藴藏着很大機會，但數據安全只有中國做好並不夠。由於數據具有廣泛性、分散性、多樣性、複雜性等特性，數據安全更是全球的挑戰。

英國一家IT管理公司去年曾統計，僅2021年5月，全球發生的網絡數據泄露和網絡攻擊案件記錄就高達1.16億條，其中40%由勒索軟件引發。

還有知情人士告訴觀察者網，中國東部某地級市平均每個月就遭受370萬次境內外的網絡攻擊。

“二三十年前，黑客真正能攻擊的對象可能只有服務器，因為那個時候的企業數字化程度並不高。但現在不僅有攝像頭，還有各種物聯網設備，這些都可能成為黑客攻擊的對象。”IDC中國研究副總裁鍾振山在接受觀察者網等媒體採訪時表示。

他指出，到2026年，中國物聯網市場規模會達到2640億元，成為全球第一大物聯網市場，比美國還要大。而隨着不同的物聯網設備出現，帶來的安全風險也將會越來越多。因此，企業和政府機構不僅要從技術層面去應對，更重要的是提高員工乃至整體社會面的安全意識。

在本次網絡安全峯會上，IDC還發布了《IDC TechScape：中國數據安全發展路線圖，2022》。該報告認為，幫助用户構建全方位數據安全治理體系將成為大趨勢，各項數據安全和密碼技術將在治理體系中作為重點能力模塊，賦能用户實現數據安全治理目標。

圖源：IDC

觀察者網整理部分採訪實錄如下：

問：隨着數字經濟時代到來，中國會產生海量的數據，但數據泄露的事件時不時會被曝出。尤其是疫情期間，更存在數據泄露的風險。我們遭遇的挑戰主要有哪些，是技術問題、人才問題，還是投資方面的整體問題，應該如何去應對這些挑戰，減少數據泄露事件的發生？

**鍾振山：**安全永遠是對抗的過程。只要有數據、有系統，安全風險也就與之相伴。舉個例子，我以前聽一個專家講過，説為什麼現在數據安全事件頻發，很簡單，是因為現在可攻擊的對象越來越多了。二三十年前，黑客真正能攻擊的也就是服務器，因為那個時候的企業數字化程度並不高。但現在不僅有攝像頭，還有各種物聯網設備，這些都可能成為黑客攻擊的對象。IDC預測，到2026年，中國物聯網市場規模會達到2640億，成為全球第一大物聯網市場，比美國還要大。而隨着不同的物聯網設備出現，帶來的安全風險也會越來越多，不僅服務器，黑客甚至可以通過物聯網設備入侵企業內網。

除去技術層面不斷地發展和對抗，去應對這些潛在的風險，還有比較重要的一點是提高企業員工乃至整體社會面的安全意識。很多企業內部員工可能會為了工作方便，去自己搭一台服務器，或者下載一些開源代碼去寫應用，他們並沒有意識到這麼做帶來的安全風險。如果他們自行搭建服務器，可能就無法遵循企業內部的安全策略，會為企業整體的安全完整性帶來挑戰。這其中，企業內部除了完善對員工的管理策略外，擁有一套端到端的完整解決方案也非常重要。

很多IT項目，無論是企業端還是政府側，其實並沒有相對應的安全解決方案，去保護企業的數字核心資產，這是CIO們需要考慮的事情，也面臨着一些挑戰。對於如何減少數據泄露事件發生的頻次，我個人建議，一是企業內部安全意識的提升，二是真正要把安全當做企業的核心戰略，而不是做完系統後，再去思考如何彌補安全漏洞。很多廠商將來可能會提到原生安全或者內生安全的概念，就是真正把安全當做企業數字化轉型的核心組件，這樣才能降低數據安全的風險。

問：提升數據安全意識，把數據安全當做核心，我們需要去做哪些工作？

**鍾振山：**剛才也提到一些，企業在做項目設計和規劃時，首先就要把安全當做項目核心的一部分，而不是等項目上馬之後，再去想安全怎麼辦。其次，國內很多企業或政府機構，安全是放在IT內部的。也就是説，可能安全經理或CSO需要向CIO彙報。我個人認為，這本身就是矛盾的。因為CIO的職責是項目越快上馬越好，而安全可能是越慢越好，因為需要把很多安全機制補全。所以CSO向CIO彙報並不是非常完美的狀態，CSO應該獨立於CIO，才能真正在企業內部發揮建設整體安全能力的作用。

問：這是不是意味着，企業內部流程可能需要重置，把保護數據安全的功能分離出來？

**霍錦潔：**是這樣的。大家以前談到安全的時候，認為這是一項技術活，甚至包括很多安全從業者，也是從技術角度去看安全。但在企業內部，安全是一個業務層面的事情，不能只去看這套IT系統有多安全，還要看員工的行為會不會對企業核心資產帶來一定風險。因此，CSO是一個技術和業務相結合的角色，他在考慮安全機制的同時，也需要去考慮業務如何去轉變，才能提升公司內部整體安全的能力。

問：您剛才講到，隨着數字經濟的發展，企業對數據安全越來越重視。那麼在您看來，未來三到五年在數據安全領域，有哪些技術或趨勢比較值得關注？

**鍾振山：**我們發佈的TechScape報告中列出了10多個新技術點，如果真要選一個，我覺得隱私計算是未來值得關注的領域。最近幾年，我國也出台了很多和數據安全相關的法律，除了《網絡安全法》《數據安全法》之外，還有《個人信息保護法》，都是和數據保護以及如何使用數據相關的。大家可能都有過這樣的經歷，如果給一箇中介打電話説想租房子，可能第二天會收到十幾個不同中介打來的電話。

作為數據安全從業者，我當時就會想數據是怎麼被傳出去的。從監管的角度來講，法律法規約束了我們應該如何使用法律。但如何約束員工，或者説企業內部如何確保合規性，這其實是企業的責任。隱私計算這項技術，可以從很大程度上幫助企業規避一些個人信息泄露方面的風險。雖然隱私計算市場目前還處於非常初級的階段，市場規模也不大，但未來五年的增速可能是TechScape十幾個技術點當中最快的一個。

問：您剛才講到的隱私計算是近年來比較熱的數據安全技術，無論是大廠還是創業公司均在佈局這項技術，像隱私算法的落地也推動了隱私計算的發展。您剛才講到這項技術還處在初級階段，那隱私計算在商業模式方面有沒有什麼瓶頸？

**鍾振山：**我覺得不一定是商業瓶頸。無論大廠還是小廠，目前產品的完整度或成熟度已足夠支撐現有市場的一些需求。但隱私計算是一個比較難理解的概念，企業最終去看這項技術的時候，可能會考慮這項技術到底用在哪裏，或者這項技術是不是真正能產生足夠大的價值。這可能是CIO的視角，如果一項技術的價值無法量化，CIO或CSO們就會面臨很大壓力，CEO會詢問為何要付出這麼大的成本去引進這項技術。但無論是從IDC的角度還是廠商的角度，包括隱私計算在內的任何一項技術，給企業帶來的價值都能量化出來。

當引入一項技術的時候，只有把投資回報率講清楚，CIO們才有信心跟老闆提出需求。所以我認為，現在企業中的CIO和CSO們所面臨的一個非常大的挑戰，就是大家都以為傳統的IT或技術部門是一個花錢的部門，對整體業務沒有直接影響。但隨着越來越多的企業進行數字化轉型，這些數字化的業務很大程度上就會依賴企業自身的技術能力。也就是IT部門和安全部門所做的事情會對企業自身業務產生直接影響。所以將技術價值量化的方式，會不斷提高技術部門在企業內部的地位，從而讓它真正能融入到企業核心業務中去。

問：霍總剛才提到，全球四分之一的數據發生在中國，但中國的數據安全投資只佔全球的五分之一。我的問題是，在發展數據安全產業方面，中國相比其他國家有哪些優勢和劣勢？未來中國在數據安全方面應該加強哪些具體領域的投資？

**霍錦潔：**我覺得中國的優勢就是數據多，相比其他國家有各式各樣的數據應用場景，這些不同的場景會給中國的數據安全產業帶來非常多的機會。但安全這件事，只在中國內部做好並不夠，因為數據是全球互通的。所以我們也要了解一些全球的案列，學習一些他們理解的解決方案，中國這邊最重要的還是多做。

**鍾振山：**我補充一下，大家對於數據安全或數據保護最基本的認知，可能只是數據存在哪，然後把它保護好。但現在業界有這樣的説法，即數據是一個生命週期，包括數據的採集、傳輸、存儲、使用，甚至到最後的銷燬，每個環節都可能出現問題。剛才也講到，中國將來會成為全球最大的IOT市場，IOT弱口令這件事大家應該都聽説過，一個攝像頭被黑可能會導致整個內網被攻擊。

無論是政府部門還是傳統企業，面臨的最大問題，就是隨着IT和OT不斷地融合，IT部門對於安全的意識可能相對高一些，但做生產的OT部門的安全意識可能沒那麼高，他們使用的各種數字化設備無時無刻都在產生大量數據，這些都是可攻擊的對象。

所以從數據安全或數據保護的發展來講，將來肯定是一個全生命週期的過程，不只是保護好內網的數據庫就行了，其實在數據產生的一剎那，就已開始面臨着網絡安全的風險。在我看來，技術只是保護數據安全的一方面，另一方面則是數據安全意識的提升。企業能不能意識到潛在的安全風險在哪，畢竟只有知道問題在哪，才能去解決。所以數據安全不僅是安全部門或IT部門的事情，可能會涉及到公司所有的員工，只有每個都具有數據安全意識，才能把數據安全風險降到最低。

問：疫情期間，企業運行會有很多新的數據產生，這在數據安全方面會相應增加哪些需求？

**鍾振山：**遠程辦公零信任的案例，就是由疫情催生出來的。因為疫情帶來很多遠程辦公場景，這其中不僅要遠程連接公司內網，還涉及大量的數據交換，如何確保員工在辦公室之外也能得到足夠的安全保護，對企業來説是一大挑戰。Zoom剛火起來的時候也遇到類似挑戰，現在很多安全企業也在推零信任的解決方案。

另外一點，企業內部整體的網絡環境在不斷地複雜化，隨着更多的IOT設備的出現，公司內部的網絡安全壓力不斷增大。所以企業在上一個新項目的時候，要考慮到整體安全風險都在存在哪裏。企業在做遠程辦公系統的時候，也要考慮到對公司內網的衝擊，是不是有足夠的能力保護遠程辦公的安全，從而保護公司整體的數據核心資產。

本文系觀察者網獨家稿件，未經授權，不得轉載。