问：这是不是意味着，企业内部流程可能需要重置，把保护数据安全的功能分离出来？

霍锦洁：是这样的。大家以前谈到安全的时候，认为这是一项技术活，甚至包括很多安全从业者，也是从技术角度去看安全。但在企业内部，安全是一个业务层面的事情，不能只去看这套IT系统有多安全，还要看员工的行为会不会对企业核心资产带来一定风险。因此，CSO是一个技术和业务相结合的角色，他在考虑安全机制的同时，也需要去考虑业务如何去转变，才能提升公司内部整体安全的能力。

问：您刚才讲到，随着数字经济的发展，企业对数据安全越来越重视。那么在您看来，未来三到五年在数据安全领域，有哪些技术或趋势比较值得关注？

钟振山：我们发布的TechScape报告中列出了10多个新技术点，如果真要选一个，我觉得隐私计算是未来值得关注的领域。最近几年，我国也出台了很多和数据安全相关的法律，除了《网络安全法》《数据安全法》之外，还有《个人信息保护法》，都是和数据保护以及如何使用数据相关的。大家可能都有过这样的经历，如果给一个中介打电话说想租房子，可能第二天会收到十几个不同中介打来的电话。

作为数据安全从业者，我当时就会想数据是怎么被传出去的。从监管的角度来讲，法律法规约束了我们应该如何使用法律。但如何约束员工，或者说企业内部如何确保合规性，这其实是企业的责任。隐私计算这项技术，可以从很大程度上帮助企业规避一些个人信息泄露方面的风险。虽然隐私计算市场目前还处于非常初级的阶段，市场规模也不大，但未来五年的增速可能是TechScape十几个技术点当中最快的一个。

问：您刚才讲到的隐私计算是近年来比较热的数据安全技术，无论是大厂还是创业公司均在布局这项技术，像隐私算法的落地也推动了隐私计算的发展。您刚才讲到这项技术还处在初级阶段，那隐私计算在商业模式方面有没有什么瓶颈？

钟振山：我觉得不一定是商业瓶颈。无论大厂还是小厂，目前产品的完整度或成熟度已足够支撑现有市场的一些需求。但隐私计算是一个比较难理解的概念，企业最终去看这项技术的时候，可能会考虑这项技术到底用在哪里，或者这项技术是不是真正能产生足够大的价值。这可能是CIO的视角，如果一项技术的价值无法量化，CIO或CSO们就会面临很大压力，CEO会询问为何要付出这么大的成本去引进这项技术。但无论是从IDC的角度还是厂商的角度，包括隐私计算在内的任何一项技术，给企业带来的价值都能量化出来。

当引入一项技术的时候，只有把投资回报率讲清楚，CIO们才有信心跟老板提出需求。所以我认为，现在企业中的CIO和CSO们所面临的一个非常大的挑战，就是大家都以为传统的IT或技术部门是一个花钱的部门，对整体业务没有直接影响。但随着越来越多的企业进行数字化转型，这些数字化的业务很大程度上就会依赖企业自身的技术能力。也就是IT部门和安全部门所做的事情会对企业自身业务产生直接影响。所以将技术价值量化的方式，会不断提高技术部门在企业内部的地位，从而让它真正能融入到企业核心业务中去。

问：霍总刚才提到，全球四分之一的数据发生在中国，但中国的数据安全投资只占全球的五分之一。我的问题是，在发展数据安全产业方面，中国相比其他国家有哪些优势和劣势？未来中国在数据安全方面应该加强哪些具体领域的投资？

霍锦洁：我觉得中国的优势就是数据多，相比其他国家有各式各样的数据应用场景，这些不同的场景会给中国的数据安全产业带来非常多的机会。但安全这件事，只在中国内部做好并不够，因为数据是全球互通的。所以我们也要了解一些全球的案列，学习一些他们理解的解决方案，中国这边最重要的还是多做。

钟振山：我补充一下，大家对于数据安全或数据保护最基本的认知，可能只是数据存在哪，然后把它保护好。但现在业界有这样的说法，即数据是一个生命周期，包括数据的采集、传输、存储、使用，甚至到最后的销毁，每个环节都可能出现问题。刚才也讲到，中国将来会成为全球最大的IOT市场，IOT弱口令这件事大家应该都听说过，一个摄像头被黑可能会导致整个内网被攻击。

无论是政府部门还是传统企业，面临的最大问题，就是随着IT和OT不断地融合，IT部门对于安全的意识可能相对高一些，但做生产的OT部门的安全意识可能没那么高，他们使用的各种数字化设备无时无刻都在产生大量数据，这些都是可攻击的对象。

所以从数据安全或数据保护的发展来讲，将来肯定是一个全生命周期的过程，不只是保护好内网的数据库就行了，其实在数据产生的一刹那，就已开始面临着网络安全的风险。在我看来，技术只是保护数据安全的一方面，另一方面则是数据安全意识的提升。企业能不能意识到潜在的安全风险在哪，毕竟只有知道问题在哪，才能去解决。所以数据安全不仅是安全部门或IT部门的事情，可能会涉及到公司所有的员工，只有每个都具有数据安全意识，才能把数据安全风险降到最低。

问：疫情期间，企业运行会有很多新的数据产生，这在数据安全方面会相应增加哪些需求？

钟振山：远程办公零信任的案例，就是由疫情催生出来的。因为疫情带来很多远程办公场景，这其中不仅要远程连接公司内网，还涉及大量的数据交换，如何确保员工在办公室之外也能得到足够的安全保护，对企业来说是一大挑战。Zoom刚火起来的时候也遇到类似挑战，现在很多安全企业也在推零信任的解决方案。

另外一点，企业内部整体的网络环境在不断地复杂化，随着更多的IOT设备的出现，公司内部的网络安全压力不断增大。所以企业在上一个新项目的时候，要考虑到整体安全风险都在存在哪里。企业在做远程办公系统的时候，也要考虑到对公司内网的冲击，是不是有足够的能力保护远程办公的安全，从而保护公司整体的数据核心资产。

本文系观察者网独家稿件，未经授权，不得转载。