隨著《網絡數據安全管理條例》的正式發布，數據安全再次沖上了安全圈的熱搜榜，是不是意味著數據安全市場的蛋糕將會越來越大了，能否為低迷的網絡安全行業注入新的活力，催生出越來越多的技術創新，誕生出越來越多的專精特新企業了。在信息化社會，數據對國家、企業及個人來說，都是無形資產，有其獨特的價值所在，是催生數字經濟的核心動力。數據就是財產，數據就是生命力，其價值需要被放大，也需要被保護，數據安全的重要性不言而喻。如果不重視數據安全，就無法為數字經濟保駕護航。

　　國家從2016年陸續頒布《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《中華人民共和國個人信息保護法》、《中華人民共和國保守國家秘密法》、《中華人民共和國密碼法》、《網絡安全等級保護條例》、《網絡數據安全管理條例》等，從立法到條例、規定、辦法、國標、行標等都明確了相關要求，做到有法可依，有據可查，真正遵循頂層設計。政府單位、企事業單位、個人都必須嚴格按照相關的法律法規和技術標準做好合規，以合規方式驅動數據安全建設，廠商也是“一窩蜂”的扎堆數據安全領域。

　　迄今為止，應當還沒有哪個公司能真正地做好數據安全產品。如果要做好數據安全，不應當依葫蘆畫瓢照搬以前的粗放式網絡安全建設，不以落地為目標，而是安全廠商基于自己的安全理念去引導甲方建設，這種建設思路是錯誤的，脫離了甲方的業務，不僅造成了資源浪費，實際效果大打折扣，除了幾張光彩奪目的大屏，甚至數據都有可能是偽造的，實在是找不出有價值的功能和技術創新的點，網絡安全的概念年年出新，實際上底層的邏輯是沒有任何變化的。看問題應當抓住事物本質，從甲方業務實際出發，基于風險和威脅建模的思路，真正地找出安全問題，將安全問題進行分類分級，陳述利害關系，再提供有針對性的解決方案。

　　如果數據安全建設還是以往的方式來進行建設的話，網絡安全行業就不可能真正地回歸業務和技術驅動的市場環境，也不可能真正迎來量變到質變，甲方也只是在合規的驅使下背動地做數據安全建設，內心深處是不情愿的。組織和企業也有大、中、小之分，不希望于都重視數據安全，一方面是靠合規驅動的，一方面是自身業務和數據安全深度綁定的。數據安全的市場也要進行客戶細分，目標客戶在哪里，目標客戶的痛點有什么。數據安全其實是一個很大話題，涉及面是非常廣的，安全風險不僅來自于外部，更多地來自于內部，堡壘最容易從內部攻破。

　　最近大家一直提的數據安全管控平臺，其實站在我的角度，如果數據安全一開始從從管控的角度出發，又會重走老路，以幾張大屏草草收尾，最終沒有一點實際效果。行業、組織及企業的業務及數據各不相同，也不可能通過標準化的產品去做數據安全，通過提供咨詢、產品及服務的方式做數據安全才有出路，從客戶業務、數據價值、數據內容等方面確定客戶的數據安全風險，再有針對性地提供適合客戶的數據安全解決方案。

　　如果要做好數據安全，我個人的觀點是要從業務系統本身出發，做好開發安全及軟硬件供應鏈管理是基礎，如果忽略這點，再好的管控系統也做不好數據安全。在以往的工作中遇到有些企業員工通過API獲取公司敏感數據進行牟利，這往往是一個容易忽略的點。很多情況下系統開發人員往往為了省事，也沒有相關的開發安全培訓，API接口都沒有做安全驗證，也沒有針對 API調用做完整的日志詳情記錄，這些都成為了被利用的點。這種情況在很多安全公司也普遍存在這種類似情況，常說的安全公司不安全。

　　要實實在在的從業務本身出發去做好數據安全，不考慮業務本身的數據安全建設是沒有靈魂的，涉及到數據威脅建模、開發安全、數據分類分級、數據權限管控、數據存儲/傳輸加密、數據脫敏、水印技術、安全辦公、數據庫安全、API安全、日志審計、數據庫審計、運維審計、容災備份、數據生命周期跟蹤管理等目前已有的技術和產品都是數據安全的范疇。如果做數據安全管控，數據的每個流動環節，沒有詳細的日志記錄，是否能真正做好數據安全管控平臺，為什么不是首先對現有的系統和流程進行改造了，難道是要通過該平臺去操控數據。

　　總之，數據安全這個賽道，還是基于已經有技術和產品，更多的考慮是基于業務和數據本身了解風險，有針對性解決數據安全問題，并不是賣幾個產品就能解決客戶數據安全問題，有的客戶上百個業務系統，每個業務系統的數據和服務對象都不一致，廠商講PPT的人能短時間內了解客戶痛點是不可能的，除了吹牛還是吹牛。數據安全很火，但是更需要務實，要做好數據安全咨詢和服務，當賣產品的賣產品，當定制開發的定制開發，當要求客戶整改業務系統的整改業務系統。按照以往無效內卷，只會讓數據安全市場越來越難做。