产业调研:工业数据安全的发展前景
产业调研系列
寇总:《工业与信息化领域的数据安全管理办法》,它的目的就是为了规范工业信息化领域的数据使用。工信部发的这个文件是针对工业领域,规范了数据处理活动,加强了数据安全管理,促进数据的开发利用。发布这个管理办法的目的还是为了鼓励数据的利用,但是又不能无序的利用。
内容一共8章42条,它的逻辑性很强。首先是界定概念,哪些数据、监管者和处理者是谁。第二个方面明确了数据的分类分级,重要的数据怎么识别,有相关的备案明确要求。第三个是针对不同级别的数据,围绕数据的搜集、存储、加工、传输、处理等全生命周期安全管理,明确了各个环节的安全要求。第四个要建立风险和报送的机制。第五个明确了开展数据安全监测、评估的规范和要求。第六个就是落地执行,监管单位要监督检查,也规定了保密要求。第七个方面是相关的法律法规和惩罚措施,如果不按照要求来,就要承担法律责任。第八部分,在前面不方便规定的特殊情况,会依据另外的办法去处理,比如涉及军事特殊秘密的,或者涉及政务信息的,或者烟草等特殊行业的信息。
这就是整个工业与信息化领域数据安全管理办法的内容,传递出来几个明确的信息。用了几个词:规范、加强、促进、保护。监管部门还是鼓励数据的开发利用,强调了数据安全技术的研究,支持数据安全技术和服务的推广。工业企业产生了数据以后,这个数据只有使用起来流动起来才有价值,但是它给你规定了规则,在这个规则内合理使用。
以前我们经常讲安全,安全跟信息化和业务都存在冲突,安全会让正常的业务降速,但是在工业与信息化领域,它第一次让安全跟业务起到相互促进的作用,只有安全才能够保证数据的合理利用。
另外一个方面,这是工业领域数据安全的顶层管理制度,也就是工信部主管这几个行业。在这个概念上界定的职责和规范非常明确。在2022年3月份,工信部引发了一个工业领域数据安全管理试点,已经提出了相关的要求,在15个省份的15个企业纳入了试点,当前出台这个管理办法也是对试点的总结,明年开始就会在工业和信息化领域加快推进速度。
我谈谈市场空间,我从几个方面分享一下。首先是监管侧,第一个,它有监管者有使用者,随着办法出台,各个省各个市都要做监管,会建设监管平台。第二个要做评估,数据安全的测评能力各个区域都会加强,就有评估服务和工具,还要有新的产品和标准。
然后是企业侧,工信部主管的几个行业,比如工业、电信和无线电领域。电信行业的数据安全早就开始建设了,目前还是不错的,后续会进一步加强管理。但是工业领域数据安全建设比较落后,后续会提速,而且重视程度会加强。在企业侧建设步骤会调整,以前做个审计,上一个DLP,就这么简单。但是当前规定有一套明确规范,首先要做治理,做咨询,方案设计,最后才上产品。企业建设数据安全的时候会从企业整体去考虑,目前我们讲到的数据安全还是IT侧的安全,后续会把OT侧的也纳入进来,整个作为数据安全的一部分。后续还是会以工业龙头企业为主,小企业还是会慢一些。
对于整个行业的机会,首先是监管侧建设平台,然后是测评工具和测评服务。另外科研课题,工信部本身每年会发很多课题,这方面配套的课题也会发出来,2022年已经有课题了。企业侧,数据安全合规建设,从治理到咨询到评估和规划,最终是产品落地。当前管理办法规定比较细致,后续还会有新的产品产生。
再说说行业现状:电信领域相对完善,产品比较完全,后续以管理和服务为主,但是工业领域数据安全建设比较落后,包括三月份推的15个省15个单位,更多是方案设计领域,没有真正落地。
Q:工业数据安全和普通的数据安全防护有哪些区别?
首先是数据类型不一样。工业企业这里面有生产数据,有研发数据,订单数据,直接涉及企业经营行为。数据重要性也不一样。以前在OT侧数据不出来,随着工业互联网发展,数据出来以后对于防护要求不一样。另外OT和IT最大的差异,IT这边安全性优先,OT这边是可用性优先,不能影响业务正常运转。
Q:一般情况下,一个工业数据安全项目能够达到什么体量?
跟企业本身的规模有很大关系。如果是龙头工业企业,如果上全生命周期的数据安全,跟企业的规模、网点数量关系比较大,有的能够达到上千万,有的是百万级别。比如南网这种企业,规模非常大。但是如果是普通制造企业,规模可能就比较小。
Q:最近网安行业的情况怎么样,特别是在疫情放开以后?对明年一季度怎么看?
上半年感觉影响还好,但是Q3明显影响大,从7月份开始各个地方的疫情影响,包括交流、订单,有些单位把预算往后调了,确实影响比较大。但疫情放开以后不会有立竿见影的效果,毕竟要复工复产需要一个周期。Q4最近确实签单量比较多。我判断明年Q1应该会有一个改观,但是也有很多不确定性,具体疫情的状况每个地方说法不一致。向好的一面是复工复产,但是节奏每个地方不一样。
我觉得安全在信息化和数字化中的地位有些变化。信息化更多是提高效率,解决互联互通的问题。安全是为信息化做防护,它跟信息化有些冲突,信息化就是要快,安全是降低效率,没有增值。当前是数字化阶段,数字化是对整个业务进行重构,安全的作用会发生变化,比如工业与信息化数据安全管理办法,是帮助数据有序利用,它能够产生增值。
Q:后续工业数据安全的建设落地节奏如何?
我觉得后续会先从龙头企业开始落地,时间会长一点,但是明年应该会开始。本身安全投入是要花钱的,有能力建设的一定是工业企业的龙头公司,它的数据更加重要,它对于安全的要求也越高。三月份出的15个试点还在方案论证阶段,没有落地。
Q:监管平台有几级架构?
一般都是分级建设,刚开始是国家级,然后是省级,如果往下还有就还有区域级的。规模体量现在不好判断。
Q:工业企业更加强调自己不能停工,现在从预研、咨询到产品落地,目前哪些企业比较积极,什么时候能够看到订单?
一个是工业企业的安全,第二个是工业企业的数据安全,工业企业已经产生了数据,数据一个是它自己利用,然后可能有第三方如何利用。这个管理办法更多的是对产生的数据怎么利用的问题。
合规声明:本文节选自国君计算机举办的专家交流会议纪要,属于公开资料,仅代表专家个人观点,如需纪要全文请后台留言。
- end -
欢迎加入行业交流群!
欢迎所有对计算机产业研究和投资感兴趣的盆友(包括云计算、网络安全、医疗IT、金融科技、人工智能、自动驾驶等)后台留言加入我们的行业交流群。我们的目标是建立系统的计算机产业研究框架,提高整个A股的IT行业研究水平,减少韭菜数量,普度众生。
网络安全相关报告
6. 为什么教育和医疗行业未来两年是网安公司必争之地?| 产业调研
16.网络安全产品从入门到精通
17.海外专题:寻找中国网络安全公司中的Palo Alto(深度)
22. Zscaler:云安全服务与接入领头羊(30页PPT)
23. Okta:身份认证独角兽(深度)
30.奇安信:创新业务实力强大,助推公司成为全球网安龙头(深度)
33.数据安全法带来的一些变化
41. 网安公司三季报分化之谜
42. 深信服:重构防火墙,用意深远
43. 读完Fortinet三季报,我对网安行业又有了信心(附纪要)
44. Palantir:野心贼大,想做世界的创新引擎(附纪要)
46. 为什么中国没有真正的云安全公司?
49. 产业调研:威努特董事长谈工控安全
50. 产业调研:再论数据安全
54. 安恒信息:数据安全领头羊(深度)
55. 产业调研:HW具体怎么做?
60. 产业调研:奇安信研发平台详解
64. 产业调研:从销售视角观察,2022年网络安全行业景气度到底行不行?
67. 全世界都在等奇安信盈利
法律声明
本订阅号发布内容仅代表作者个人看法,并不代表作者所属机构观点。涉及证券投资相关内容应以所属机构正式发布的研究报告内容为准。市场有风险,投资需谨慎。在任何情况下,本订阅号中信息或所表述的意见均不构成对任何人的投资建议。在决定投资前,如有需要,投资者务必向专业人士咨询并谨慎决策。本订阅号运营团队不对任何人因使用本订阅号所载任何内容所引致的任何损失负任何责任。本订阅号所载内容为原创。订阅人对本订阅号发布的所有内容(包括文字、影像等)进行复制、转载的,需明确注明出处,且不得对本订阅号所载内容进行任何有悖原意的引用、删节和修改。