随着数据要素化的推进,企业数据价值在逐步释放,数据保护成本也会随之升高。而2021年颁布的《数据安全法》加速了这一进程,需求方在已经形成的安全与成本的平衡被快速打破,新的安全需求不断出现,缺口急需供应商进行填补。而供应商受限于已有产品、打法思路的桎梏,难以及时、准确满足数据安全需求方的需求,从而形成了数据安全市场鸿沟。目前,数据安全市场中供需双方的矛盾可以表述为:日益增长的对于深入业务的高质量安全供应的需求,与供应商产品与服务普遍不达标的矛盾。
众所周知,数据分类分级是企业开展数据安全建设的必经之路,而诸如金融、电信等数据密集型行业企业,由于业务系统新旧不一,庞杂的存量数据有待梳理。所以对于需求方来说,数据分类分级需要做的首先是存量数据的梳理,然后是增量数据的分类分级。
但是对于需求方来说,同步、全量开展的数据分类分级工作并不现实。需求方更倾向于在某条业务线先行试点,试点过程会碰上业务线交叉的情况。而随着数据分类分级在需求方中持续开展,部分业务暂时不支持数据分类分级的情况将会长期存在。
于是对于想要建设分类分级的需求方来说,引入的供应商需要解决如下几个问题:1、单条或几条业务线试点,供应商需要梳理需求方内部业务线情况,找出耦合性更低、影响更小的试点方案;2、梳理该业务线所有数据流动相关的接口,保证数据分类分级的覆盖率;3、为需求方所属行业定制不同的数据分类分级方案以及在不同业务线的不同策略。
供应商分类分级面临问题梳理,来源:数据安全推进计划(DSI)
可以看到,分类分级的复杂程度已经超过了一个产品或平台能解决的范畴,供应商需要深入到场景需求中去,探索真实业务中的数据需求,才能更好帮助需求方建设数据分类分级。
提到服务,就想到了以下几个词:售前、交付、售后,覆盖了全部的流程。观察近几年的情况发现,这几个词的内涵在逐步发生三方面变化:售前咨询化、交付专家化、售后持续运营化。
对于服务来说,根据经验写一套方案不再能满足需求,需要切实走进需求方,参与需求方的业务场景,梳理业务线,分析数据流通链路,最终定制一套方案。交付的过程已经远不只是把产品和平台部署在需求方网络内,需要更加深入业务。而售后并不只是解决需求方的问题,能够及时更新策略、持续运营可能才是需求方更想要的服务。
需求方与供应商工作范围对比图,来源数据安全推进计划(DSI)
可以看到服务的概念发生了变化,供应商的工作范围多覆盖了业务架构和应用架构,同时需求方对于供应商的要求也提高了,而受限于历史原因,单价不高造成供应质量上不去,需求方的需求和供应商的服务之间差距很大。
供应方数据安全业务现状图,来源:中国信通院《2021数据安全行业调研报告》
据调研,解决方案是目前数据安全市场中,供应商主要提供的服务形态,通过制定方案、现场交付等方式服务需求方。但是这些对于数据安全建设来说仍然不够,数据存在于业务中,离业务越近才越能解决客户的问题。
所以“安全产品服务化”是目前数据安全市场的方向之一,但“安全产品服务化”的前提应该是对于“新服务”达成一致,在此基础上实现的新型数据安全产品服务化。
诚然,高度定制化给供应商带来的一定是高额的成本,不管是售前咨询化、交付专家化还是售后持续运营化都给供应商的用工成本、研发成本、交付成本造成了更大的压力,如果一套平台和产品复用比率低于六七成,供应商就会考虑这条线适不适合继续投人做下去了。
安全和成本的平衡状态被打破了,需求方愿意为了安全付出更多的成本,以应对短期内合规的风险和长期数据价值的安全风险;供应商通过提供更加优质的服务质量,获得更高的收入,从而能够提供更专业的交付服务,帮助需求方建设数据安全。最终供需双方会达到新的平衡,但是如何抵达这个平衡,尽快填平供需双方的鸿沟,是数据安全市场的新机遇,也是新挑战。
数据安全推进计划(DSI)持续对乙方服务能力进行评估,以期尽快填平供需双方鸿沟。同时DSI开展的首批数据安全服务商能力评估结果将于6月底在大数据产业峰会发布,为数据安全产品服务化建立衡量标准。
作者简介
秦书锴,中国信息通信研究院云计算与大数据研究所工程师,主要从事安全技术研究、数据安全技术体系研究、数据安全市场观察等相关工作
邮箱:qinshukai@caict.ac.cn
电话:13203895136
