【文/观测者网 吕栋】

“亚洲地区四分之三的统计数据造成在我国，但我国的信息安全股权投资只占亚洲地区的三分之一，这个比例可以想像，我国在信息安全领域的股权投资还要进一步加大。”日前，IDC我国区副总裁霍锦洁在IDC 2022 CSO亚洲地区信息安全首脑会议（我国站）上回答观测者网发问时则表示。

　　霍锦洁透露，此次是IDC首次在我国举行 CSO（执行官安全官）亚洲地区信息安全首脑会议，这也说明在我国涌进海量数据统计数据的背景下，信息安全、信息安全在我国是非常关键的。

　　但她也同时指出，虽然我国大量的统计数据应用情景蕴含着很大机会，但信息安全多于我国搞好并不如。由于统计数据具有多元性、匍枝、多元性、复杂程度等优点，信息安全更是亚洲地区的考验。

英国一家IT管理公司去年曾统计，仅2021年5月，亚洲地区出现的网络统计数据外泄和网络反击刑事案件历史记录就高达1.16万条，其中40%由敲诈应用软件引发。

　　除了知悉人士告诉观测者网，我国东部某县级市平均每个月就遭受370亿次境外的网络反击。

“二三十年前，骇客真正能反击的第一类可能将多于伺服器，因为那个时候的企业网络化程度并不高。但现在不仅有探头，除了各种物联网设备，那些都可能将正式成为网络反击的第一类。”IDC我国研究副总裁钟振山在接受观测者网等媒体专访时则表示。

术微观去应付，更关键的是提高雇员以至总体社会面的风险意识。

在本次信息安全首脑会议上，IDC还发布了《IDC TechScape：我国信息安全发展蓝图，2022》。该报告认为，帮助使用者构筑多方位信息安全治理管理体系将正式成为大趋势，每项信息安全和公钥控制技术将在环境治理管理体系中作为重点能力组件，借力使用者实现信息安全环境治理目标。

图源：IDC

　　观测者网整理部分专访录如下表所示：

问：随着位数经济时代来临，我国会造成海量数据的统计数据，但统计数据外泄的该事件不时会被爆出。尤其是禽流感期间，更存在统计数据外泄的风险。我们遭受的考验主要有什么样，是控制技术难题、专业人才难题，还是股权投资方面的总体难题，应该如何去应付那些考验，减少统计数据外泄该事件的出现？

钟振山：安全永远是对抗的过程。只要有统计数据、有系统，安全风险也就与之相伴。举个例子，我以前听一个专家讲过，说为什么现在信息安全该事件频发，很简单，是因为现在可反击的第一类越来越多了。数十年前，骇客真正能反击的也就是伺服器，因为那个时候的企业网络化程度并不高。但现在不仅有探头，除了各种物联网设备，那些都可能将正式成为网络反击的第一类。IDC预测，到2026年，我国物联网市场规模会达到2640亿，正式成为亚洲地区第一大物联网市场，比美国还要大。而随着不同的物联网设备出现，带来的安全风险也会越来越多，不仅伺服器，骇客甚至可以通过物联网设备入侵企业内网。

除去控制技术微观不断地发展和对抗，去应付那些潜在的风险，除了比较关键的一点是提高企业员工以至总体社会面的风险意识。很多企业内部雇员可能将会为了工作方便，去自己搭一台伺服器，或者下载一些开源代码去写应用，他们并没有意识到这么做带来的安全风险。如果他们自行搭建伺服器，可能将就无法遵循企业内部的安全策略，会为企业总体的安全完整性带来考验。这其中，企业内部除了完善对雇员的管理策略外，拥有一套端到端的完整解决方案也非常关键。

保护企业的位数核心资产，这是CIO们需要考虑的事情，也面临着一些考验。对于如何减少统计数据外泄该事件出现的频次，我个人建议，一是企业内部风险意识的提升，二是真正要把安全当做企业的核心战略，而不是做完系统后，再去思考如何弥补安全漏洞。很多厂商将来可能将会提到原生安全或者内生安全的概念，就是真正把安全当做企业网络化转型的核心组件，这样才能降低信息安全的风险。

问：提升信息风险意识，把信息安全当做核心，我们需要去做什么样工作？

可能将安全经理或CSO需要向CIO汇报。我个人认为，这本身就是矛盾的。因为CIO的职责是项目越快上马越好，而安全可能将是越慢越好，因为需要把很多安全机制补全。所以CSO向CIO汇报并不是非常完美的状态，CSO应该独立于CIO，才能真正在企业内部发挥建设总体安全能力的作用。

　　问：这是不是意味着，企业内部流程可能将需要重置，把保护信息安全的功能分离出来？

霍锦洁：是这样的。大家以前谈到安全的时候，认为这是一项技术活，甚至包括很多安全从业者，也是从控制技术角度去看安全。但在企业内部，安全是一个业务微观的事情，不能只去看这套IT系统有多安全，还要看雇员的行为会不会对企业核心资产带来一定风险。因此，CSO是一个控制技术和业务相结合的角色，他在考虑安全机制的同时，也需要去考虑业务如何去转变，才能提升公司内部总体安全的能力。

问：您刚才讲到，随着位数经济的发展，企业对信息安全越来越重视。那么在您看来，未来三到五年在信息安全领域，有什么样控制技术或趋势比较值得关注？

钟振山：我们发布的TechScape报告中列出了10多个新控制技术点，如果真要选一个，我觉得隐私计算是未来值得关注的领域。最近几年，我国也出台了很多和信息安全相关的法律，除了《信息安全法》《信息安全法》之外，除了《个人信息保护法》，都是和统计数据保护以及如何使用统计数据相关的。大家可能将都有过这样的经历，如果给一个中介打电话说想租房子，可能将第二天会收到十几个不同中介打来的电话。

作为信息安全从业者，我当时就会想统计数据是怎么被传出去的。从监管的角度来讲，法律法规约束了我们应该如何使用法律。但如何约束雇员，或者说企业内部如何确保合规性，这其实是企业的责任。隐私计算这项控制技术，可以从很大程度上帮助企业规避一些个人信息外泄方面的风险。虽然隐私计算市场目前还处于非常初级的阶段，市场规模也不大，但未来五年的增速可能将是TechScape十几个控制技术点当中最快的一个。

问：您刚才讲到的隐私计算是近年来比较热的信息安全控制技术，无论是大厂还是创业公司均在布局这项控制技术，像隐私算法的落地也推动了隐私计算的发展。您刚才讲到这项控制技术还处在初级阶段，那隐私计算在商业模式方面有没有什么瓶颈？

钟振山：我觉得不一定是商业瓶颈。无论大厂还是小厂，目前产品的完整度或成熟度已足够支撑现有市场的一些需求。但隐私计算是一个比较难理解的概念，企业最终去看这项控制技术的时候，可能将会考虑这项控制技术到底用在哪里，或者这项控制技术是不是真正能造成足够大的价值。这可能将是CIO的视角，如果一项控制技术的价值无法量化，CIO或CSO们就会面临很大压力，CEO会询问为何要付出这么大的成本去引进这项控制技术。但无论是从IDC的角度还是厂商的角度，包括隐私计算在内的任何一项控制技术，给企业带来的价值都能量化出来。

当引入一项控制技术的时候，多于把股权投资回报率讲清楚，CIO们才有信心跟老板提出需求。所以我认为，现在企业中的CIO和CSO们所面临的一个非常大的考验，就是大家都以为传统的IT或控制技术部门是一个花钱的部门，对总体业务没有直接影响。但随着越来越多的企业进行网络化转型，那些网络化的业务很大程度上就会依赖企业自身的控制技术能力。也就是IT部门和安全部门所做的事情会对企业自身业务造成直接影响。所以将控制技术价值量化的方式，会不断提高控制技术部门在企业内部的地位，从而让它真正能融入到企业核心业务中去。

问：霍总刚才提到，亚洲地区四分之三的统计数据出现在我国，但我国的信息安全股权投资只占亚洲地区的三分之一。我的难题是，在发展信息安全产业方面，我国相比其他国家有什么样优势和劣势？未来我国在信息安全方面应该加强什么样具体领域的股权投资？

霍锦洁：我觉得我国的优势就是统计数据多，相比其他国家有各式各样的统计数据应用情景，那些不同的情景会给我国的信息安全产业带来非常多的机会。但安全这件事，只在我国内部搞好并不如，因为统计数据是亚洲地区互通的。所以我们也要了解一些亚洲地区的案列，学习一些他们理解的解决方案，我国这边最重要的还是多做。

钟振山：我补充一下，大家对于信息安全或统计数据保护最基本的认知，可能将只是统计数据存在哪，然后把它保护好。但现在业界有这样的说法，即统计数据是一个生命周期，包括统计数据的采集、传输、存储、使用，甚至到最后的销毁，每个环节都可能将出现难题。刚才也讲到，我国将来会正式成为亚洲地区最大的IOT市场，IOT弱口令这件事大家应该都听说过，一个探头被黑可能将会导致整个内网被反击。

就是随着IT和OT不断地融合，IT部门对于安全的意识可能将相对高一些，但做生产的OT部门的风险意识可能将没那么高，他们使用的各种网络化设备无时无刻都在造成大量统计数据，那些都是可反击的第一类。

所以从信息安全或数据保护的发展来讲，将来肯定是一个全生命周期的过程，不只是保护好内网的统计数据库就行了，其实在统计数据造成的一刹那，就已开始面临着信息安全的风险。在我看来，控制技术只是保护信息安全的一方面，另一方面则是信息风险意识的提升。企业能不能意识到潜在的安全风险在哪，毕竟多于知道难题在哪，才能去解决。所以信息安全不仅是安全部门或IT部门的事情，可能将会涉及到公司所有的雇员，多于每个都具有信息风险意识，才能把信息安全风险降到最低。

　　问：禽流感期间，企业运行会有很多新的统计数据造成，这在信息安全方面会相应增加什么样需求？

钟振山：远程办公零信任的案例，就是由禽流感催生出来的。因为禽流感带来很多远程办公情景，这其中不仅要远程连接公司内网，还涉及大量的统计数据交换，如何确保雇员在办公室之外也能得到足够的安全保护，对企业来说是一大考验。Zoom刚火起来的时候也遇到类似考验，现在很多安全企业也在推零信任的解决方案。

另外一点，企业内部总体的网络环境在不断地复杂化，随着更多的IOT设备的出现，公司内部的信息安全压力不断增大。所以企业在上一个新项目的时候，要考虑到总体安全风险都在存在哪里。企业在做远程办公系统的时候，也要考虑到对公司内网的冲击，是不是有足够的能力保护远程办公的安全，从而保护公司总体的统计数据核心资产。

本文系观测者网独家稿件，未经授权，不得转载。

海量数据资讯、精准解读，尽在新浪财经APP

责任编辑：李昂