1. 数字化时代数据安全面临全新挑战

(1)数字化时代的数据安全的内涵与外延

数据安全伴随信息化和数字化的发展,其内涵不断丰富,并向更多的领域延伸。数据安全的发展历程可大致分为三个阶段,从早期的数据库和文件系统安全,到数据生命周期的安全,再到数据基础设施和数字化业务过程中的数据安全。

在网络架构相对简单的早期,数据一般只在服务器、网络和办公电脑之间流存,因此数据安全通常被定义为数据库安全和内部数据防泄漏,通过如设置数据库权限、复杂密码等方式保护好数据库,通过规范员工行为、文档加密等方式防止内部数据泄漏。

随着互联网的快速发展,信息化程度的不断提升和数据时代的到来,数据的流存节点和区域变得繁杂,流动量呈现指数级增长,使用方式也不断多样化,数据安全作为独立的安全体系被重新定义,形成以数据生命周期为核心的大数据安全。

数字化时代新的数据安全,包含了以数据为中心的安全体系,以数据的采集、传输、存储、处理(使用)、交换(共享)、销毁等覆盖全生命周期的安全为目标,侧重于从数据产生到销毁的全生命周期的保护,保护方式类似于伴随数据全生命周期的安保人员,强调数据的所有权、管辖权、隐私权等。发现到现在,主要包括数据治理、数据库安全、大数据安全、数据生命周期安全、隐私计算等主要细分赛道。

(2)数字化时代的数据安全挑战

数字化时代的业务系统、信息化环境、威胁形势、合规要求都发生了改变,数据安全防护与传统数据安全防护也有很大不同,这对于关基的数据安全防护提出了更高的要求和更大的挑战。

挑战1:随着数字化业务的开展,数据由静止转向流动,数据安全场景发生了改变,数据安全保护的难度加大。传统数据安全以静态地保护数据实体为主,比如数据库本身的安全、文件加密。数字化时代的数据安全不仅要保护数据实体,还要以分类分级为基础,在数据流转基础之上做动态的防护。

挑战2:保护对象发生了变化,需要新防御措施和手段。传统数据安全面对的业务系统是前端+后台+数据库的简单三层结构,保护对象相对简单。数字化时代的数据安全面对的是业务系统越来越复杂,是大数据环境下的大数据平台、数据中台和数据服务,保护对象发生变化,需要新的防御措施和手段。

挑战3:数据安全的管理和技术的关系发生变化。传统数据安全相对单一, 管理和技术相对割裂。数字化时代的数据安全的大趋势是业务系统和数据流转比较复杂,需要数据安全管理和技术的融合,需要从组织、制度、流程上完善数据安全管理体系,这样才能有效的支撑数据安全防护技术更好的落地执行。

当前大多数政企机构的重要数据资产的基础防护还不到位,数据安全风险加大,集中体现在以下6个方面:

①特权账号管理薄弱,造成权限滥用,弱口令普遍存在进而导致数据泄露;

②权限控制缺失,导致数据滥用;

③使用行为缺失记录审计;

④外部风险防御能力缺失,导致数据窃取、拖库等;

⑤终端管控、上网行为管控缺失,引发数据外泄;

⑥数据安全风险缺少监测,导致安全事件已发生还不知情。

2. 数据安全市场潜力巨大,将成为数字化发展的基石

(1)数据安全市场仍处于培育期,但增长潜力巨大

规模小,增速高是现阶段中国数据安全市场的特点。根据计世资讯统计,2020年中国数据安全市场规模约为52.5亿元人民币,同比增加33.2%,预计至2022年,市场规模将增长至94.4亿元人民币,2018-2020的复合增长率为32.61%,但仅是同期网络安全市场预估规模的8.15%(艾瑞咨询预计2022年国内网安市场规模为1158.5亿元人民币)。

数据来源:计世资讯,中国信息通信研究院安全研究所,奇安信产业发展研究中心绘制整理

相较于国内,海外数据安全市场规模更大,但也存在市场规模显著低于同期网安市场规模的特点。根据VMR统计,2019年全球数据安全市场规模约为173.8亿美元(按照2019年美元平均汇率,折合人民币1199.22亿元),2019-2025的复合增速预计为17.35%,约为同期全球网络安全市场规模的13.73%(Gartner测算2019年全球网安市场规模为1265.49亿美元)。

从需求侧来看,在数字化转型加速、数据泄漏事件激增、远程办公需求上升等多重因素的刺激下,企业对数据安全的重视程度显著增加。据数说安全研究院近期发布的《数据安全市场研究报告》统计,2021年中国数据安全采购的项目数量约为230000个,同比增加约28%,其中,专项采购约为3000个,同比增长43%,显著高于行业平均水平。同时,采购呈现出明显的区域特征,即采购用户主要分布在经济较为发达和数字化建设水平较高的京津冀地区、长三角地区、粤港澳大湾区和川渝地区。分行业来看,政府、医疗卫生、教育和公检法司是数据安全项目的主要采购行业,占整体采购量的81%,但是专项采购占比和增速较低。电信、企业、金融和能源化行业虽然整体采购数量较少,但是专项占比和增速较高。党委部门和交通行业的项目数量、增速及专项项目占处于较低水平。

(2)从合规到合法,数据安全成为数字化发展基石

近年来,全球正加快向数字化社会全面转型,在产业数字化和数字产业化的双重驱动下,数字经济在主要发达国家的GDP占比已经超过了50%,其中尤以美国数字经济规模最为庞大。据中国信息通信研究院发布的《全球数字经济白皮书(2022年)》显示,美国的数字经济总量达到了15.3万亿美元,占同年GDP总量65%以上。中国的数字经济规模仅次于美国,达到了7.1万亿美元,约占同期GDP总量的40.7%。

数字化的浪潮催生了海量的数据。IDC预计至2025年,全球数据量将达到175ZB,其中,中国数据量将增至世界第一,达到48.6ZB,约占全球数据圈的27.8%。井喷的数据量也引发了大量的数据资产攻击、泄漏等事件,凸显了数据安全建设的重要性和紧迫性。根据IBM发布的《2021年数据泄露成本报告》,过去一年每起数据泄露事件造成的平均损失高达424万美元,同比增加10%,是7年以来最大增幅。

为应对数字经济的快速发展的需要,面临数据安全的严峻形势,今年以来我国密集出台了《数据安全法》、《关基保护条例》、《个人信息保护法》、《网络安全审查办法》修订版等法律法规,统筹发展和安全,推动数据安全建设。相关法律法规不仅关注了与数据安全保护息息相关的重大问题。

1)数据安全上升到国家战略高度

2021年“数据安全法”与“个人信息保护法”公布并实施,配套的“数据出境安全评估办法”、“网络数据安全管理条例”征求意见稿接连发布,凸显了数据安全的重要性和紧迫性,数据安全上升到国家战略高度。

2021年《中华人民共和国数据安全法》正式颁布实施,由国家统筹数据要素发展和安全,推动数据安全建设。数据安全法的颁布将“数据安全”上升到了我国国家安全战略高度。

数据安全法明确了国家层面建立数据分类分级、数据风险评估、数据安全应急处置和数据安全审查制度,全面加强重要数据保护,降低数据安全风险,并要求数据处理者建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取数据安全技术研发、数据安全风险检测、定期数据安全风险评估等措施,保障数据安全。

2021年《个人信息保护法》颁布实施。明确个人信息跨境处理要求,充分保障用户对个人信息处理的知情权和控制权;将合法、正当、必要与最小必要、透明公开、安全保障作为个人信息活动的基本原则,赋予用户删除、查询、更正、补充个人信息等权利,明确个人信息处理者应当遵循告知、个人信息分类、个人信息安全加密、敏感个人信息事前影响评估等义务,保障用户个人信息安全。

2)数据安全监管力度持续扩大

数据的加速流转促进各行各业的信息互通,数据安全问题也变得越来越复杂,行业监管部门密集开展数据安全和个人信息保护专项工作。

2019年起,中央网信办、工业和信息化部、公安部、国家市场监督总局联合在全国范围组织开展App违法违规收集使用个人信息专项治理活动,对App运营者收集使用用户信息行为进行监督管理,严格查处违法违规收集使用个人信息行为。

2021年7月,国家网信办连续发布了对多家互联网公司实施网络安全审查的公告,审查期间,所有APP停止新用户注册。被进行网络安全审查的几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关。

针对运营商行业,工信部根据《国务院国有资产监督管理委员会关于开展基础电信企业网络与信息安全责任考核有关工作的指导意见》,自2019年起连续三年制定《省级基础电信企业网络与信息安全工作考核要点与评分标准》和《基础电信企业专业公司网络与信息安全工作考核要点与评分标准》,对基础电信企业及其专业公司的数据安全工作进行考核评估。

3)以数据安全运营理念持续保障数据安全

数据在创造巨大经济价值的同时,国家高度重视数据安全,行业的监管力度也不断加码,企业和组织落实数据安全建设已经迫在眉睫,但如何下手,从哪儿开始成为了最大的问题。由于数据环境是随着业务发展动态变化的,数据在流动过程中各环节都可能面临不同的安全风险,依赖单一的安全根本无法解决。比如数据共享环节中,数据访问控制技术能解决单一组织范围内的授权管理问题,却无法解决跨组织的数据流向追踪问题,导致无法实现对数据接收方的数据处理活动进行实时监控和审计,极易造成数据滥用的风险。

同时,由于数据本身结构的多样性,使得在特定场景下数据安全风险难以被检测。比如在数据外发的场景中,通过内容检测可以轻松的发现外发的文本文件中是否存在敏感信息,但如果将文件进行压缩或者拍照外发,则可能轻易绕过内容检测,导致敏感数据泄露。而且数据关联关系复杂、敏感程度不一,单一的数据项可能无法形成敏感内容,但是多个数据项进行组合就可能推导出敏感信息。

“人”往往是安全体系中最薄弱的一环,因为“人”是技术的建设者,更是流程的执行者,一旦“人”的安全意识不到位,再好的技术和流程都是空谈。恶意的内部人员利用自身的合法访问权限进行数据违规操作的事件比比皆是,例如影响恶劣的微盟“删库”事件、浙江岱山农商银行由于内部员工违规泄露客户信息被银保监会罚款30万。

面对复杂多变的数据安全威胁,应以安全运营的理念落实,将技术、流程、人进行有机结合,根据数据安全态势、技术发展和业务流程等的不断变化演进式地完善数据安全体系建设。

(3)数据安全是投融资市场的热门赛道

受宏观经济预期增速放缓的影响,2022年前三季度全球非公开市场投融资节奏明显减弱,但受益于新冠疫情下远程办公需求的增加以及企业数字化转型深入等因素,数据安全在全球风险投资和并购交易市场中的表现仍然亮眼。在海外,今年4月自动化软件厂商Kaseya以62亿美元的价格收购了数据安全厂商Datto,7月数据保护厂商Acronis完成了2.5亿美金的融资,整体估值超过35亿美元。在中国,五家数据安全厂商(包含四家隐私计算企业),分别在今年前三季度完成了过亿元人民币的融资交易。同时,根据嘶吼安全产业研究院的统计,以隐私计算为代表的数据安全是2022年前三季度中国网安行业投融资交易中的热门赛道,占其所统计的网安融资事件的24%。

3. 全球数据安全技术持续演进,形成多个热门创新赛道

(1)从Gartner数据安全技术成熟度曲线看数据安全技术创新

从Gartner2021年发布的数据安全技术成熟度曲线来看,数据安全是持续创新的赛道,在创新萌芽阶段、炒作高峰阶段、滑入低谷阶段、稳步发展阶段和市场成熟阶段均有较多的技术方向,保持了持续的高热度。在数据安全领域,隐私计算(安全多方计算、同态加密、差分隐私),隐私合规(隐私管理工具、隐私保护设计、隐私影响评估)成为热点,隐私安全领域同上。其各阶段的技术方向主要包括:

Gartner预测2020年开始,数据安全新技术迅猛增加,其中安全多方计算、同态加密、差分隐私等隐私计算技术近两年发展势头强劲。政策驱动(GDPR,个人信息保护法)带来隐私保护合规的需求,从Gartner报告看,隐私管理工具(PMT)、隐私保护设计(PbD)、隐私影响评估(PIA)处于快速发展阶段.

Gartner预计在未来五年内,将会有几种技术会进行融合数据治理和数据安全的集成EKM和KMaaS的集成。数据监控和保护技术的集成,正在数据安全即服务(DSaaS) 、数据安全平台、多云数据库活动监控(DAM)等新技术中出现。DSG、DRA、FinDRA、PIA和数据泄露响应流程越来越需要执行一致的政策,特别是在数据驻留的影响和新的隐私法不断出台的情况下。

(2)从RSAC创新沙盒看数据安全产业创新趋势

每年一度的RSAC大会是网络安全业界的创新标杆,创新沙盒是RSAC最受瞩目的活动。我们总结了近5年创新沙盒十强的企业中的数据安全企业,包括它们所占比例、技术产品、创始人背景、融资情况、所处地域等信息,分析5年来的数据安全的创新发展趋势。

通过创新沙盒近5年(2018-2022)年十强赛道分析,我们可以看出,50家十强企业主要集中在数据安全、数据安全、软件供应链安全、身份安全四个热门赛道。其中数据安全是仅次于云安全的热门的赛道,占比达20%。

在2018年有2家数据安全企业入围,方向是隐私合规与密码应用;2019有2家企业入围,方向是隐私计算与密码应用;2020有2家企业入围,方向是数据治理与隐私保护;2021年有3家企业入围,方向包括隐私计算、数据治理、隐私合规;2022年有1家企业入围,方向是数据治理与运维。

近5年来数据安全赛道在一直在持续演进,细分领域、技术方向不断演化,从传统数据安全到新的合规需求,到以隐私计算为代表的数据安全新技术应用,再到数据治理。

2018年的重要热点是以传统数据安全到新的合规需求,包括密码应用、隐私合规,隐私合规对数据安全提出新的要求,传统技术如密码应用有了新的应用场景。2019年数据安全需求比较突出新技术应用,数据交易的需求促使隐私计算进入数据安全的细分赛道。2020年,数据治理成为数据安全的热点,同时也是瓶颈,做好数据安全首先要做好数据治理。2021年数据治理、隐私计算、隐私合规成为数据安全的持续热点,数据安全创新框架初步确立。到了今年,数据安全热度不减但仍然极具潜力。综合来看,数据安全赛道融合了传统安全技术应用和创新技术应用,产生了新的需求和应用场景;数据治理、隐私计算、隐私合规成为数据安全的创新驱动力。

(3)新形势下全球数据安全产业加速发展

随着全球数字化进程加快以及疫情的影响,不断扩大的数字化办公需求与数据规模的快速增长推动数据安全产业呈现体系化、智能化发展趋势。、

数字化大厂纷纷布局数据安全产品与生态建设。亚马逊、Intel、微软等典型企业全面开展数据安全产业布局,产品覆盖数据安全态势感知、零信任数据访问控制、数据治理与评估等方面。

云上数据安全成为热点。欧美等发达国家云业务开展较为广泛,数据安全依托云平台得以快速部署与复制。产品覆盖云存储安全、跨平台数据安全、数据安全虚拟化防护等方面。

人工智能、大数据等技术赋能数据安全。IBM、谷歌等厂商开始尝试利用人工智能技术在数据处理方面的优势,开发面向物联网、智能驾驶等复杂应用,以期更加高效的解决特定场景下的数据安全风险。

4. 我国大数据产业整体布局引领数据安全创新发展

近年来我国大数据产业整体布局。在国家十四五规划、二十大报告战略指引下,“东数西算”、“全国一体化政务大数据体系建设”等大数据产业发展规划纷纷出台,为数据安全产业发展和技术创新创造条件,旨在建设整合构建标准统一、布局合理、管理协同、安全可靠的大数据体系,加强数据汇聚融合、共享开放和开发利用,促进数据依法有序流动,推进数据安全体系规范化建设,推动安全与利用协调发展。

以国务院办公厅近日印发《全国一体化政务大数据体系建设指南》为例,指南对我国政务数据安全建设的原则、任务与内容进行了阐述,由此推广到行业和产业应用,具有很强的指导意义。

(1)数据安全建设的基本原则:坚持整体协同、安全可控

坚持总体国家安全观,树立网络安全底线思维,围绕数据全生命周期安全管理,落实安全主体责任,促进安全协同共治,运用安全可靠技术和产品,推进政务数据安全体系规范化建设,推动安全与利用协调发展。

(2)数据安全建设的主要任务:安全保障一体化

以“数据”为安全保障的核心要素,强化安全主体责任,健全保障机制,完善数据安全防护和监测手段,加强数据流转全流程管理,形成制度规范、技术防护和运行管理三位一体的全国一体化政务大数据安全保障体系。

(3)数据安全建设的主要内容:制度规范、防护能力、运行管理

1)健全数据安全制度规范

贯彻落实《数据安全法》、《个人信息保护法》等法律法规,明确数据分类分级、安全审查等具体制度和要求。明确数据安全主体责任,按照“谁管理、谁负责”和“谁使用、谁负责”的原则,厘清数据流转全流程中各方权利义务和法律责任。围绕数据全生命周期管理,以“人、数据、场景”关联管理为核心,建立健全工作责任机制,制定政务数据访问权限控制、异常风险识别、安全风险处置、行为审计、数据安全销毁、指标评估等数据安全管理规范,开展内部数据安全检测与外部评估认证,促进数据安全管理规范有效实施。

2)提升平台技术防护能力

加强数据安全常态化检测和技术防护,建立健全面向数据的信息安全技术保障体系。充分利用电子认证,数据加密存储、传输和应用手段,防止数据篡改,推进数据脱敏使用,加强重要数据保护,加强个人隐私、商业秘密信息保护,严格管控数据访问行为,实现过程全记录和精细化权限管理。建设数据安全态势感知平台,挖掘感知各类威胁事件,实现高危操作及时阻断,变被动防御为主动防御,提高风险防范能力,优化安全技术应用模式,提升安全防护监测水平。

3)强化数据安全运行管理

完善数据安全运维运营保障机制,明确各方权责,加强数据安全风险信息的获取、分析、研判、预警。建立健全事前管审批、事中全留痕、事后可追溯的数据安全运行监管机制,加强数据使用申请合规性审查和白名单控制,优化态势感知规则和全流程记录手段,提高对数据异常使用行为的发现、溯源和处置能力,形成数据安全管理闭环,筑牢数据安全防线。加强政务系统建设安全管理,保障数据应用健康稳定运行,确保数据安全。

从上述信息我们可以看出,《全国一体化政务大数据体系建设指南》体现了中央集中开展大系统建设的思想,要求统筹建设国家、地方省市县和部门行业的一体化、层级化政务大数据体系,并实现整体化的安全保障。

5. 国内外数据安全创新企业:创企数量多、趋势向好

(1)国外数据安全创新代表企业分析

2021年Gartner数据安全技术成熟周期报告中,将数据安全划分为数据治理、数据发现及分级分类、端到端数据处理和分析、匿名/假名化/PEC数据保护、数据安全平台四个大类,通过分析可以发现以下结论。

报告中193个厂商,提供了26个小类的产品和技术,其中98个类目产品,有两个及以上厂商投入,说明数据安全领域得到了广泛参与,市场热度高,但技术跨度大,即便是IBM、Microsoft这种大厂也很难全栈跨越;

可以看到IBM、Microsoft和Micro Focus投入及参与的产品类目最多,考虑IBM和Microsoft为软件类综合性大厂,其市场定位要求其对数据安全有全面布局,不将其列为专业数据安全类厂商,但是这两个厂商在数据安全方面的产品及技术综合能力仍具有相当统治力。目前全球数据安全在全球范围内尚未形成绝对实力的独角兽企业。

厂商投入的重点集中在数据分类、数据存取治理、多云数据库活动监控、格式保护加密(FPE)、安全多方计算(SMPC)、多云密钥管理即服务(KMaaS)、企业密钥管理、云数据保护网关、数据安全平台等细分赛道;

数据安全治理、数据风险评估、隐私设计、财务数据风险评估、数据操作(DataOps)等领域与业务高度耦合,通常需要最终用户或IT服务提供商自身深度参与,产品化和技术落地可复制性不高,多数数据安全厂商并未进入该领域。

(2)国内数据安全创新代表企业分析

十四五时期,我国数字经济将转向深化应用、规范发展和普惠共享的新阶段。在此过程中,各行业数字化转型将快速推进,中国数据安全市场呈现出高速增长的态势。与全球数据安全市场相比,我国数据安全产业的主要驱动力来自政策合规、重大数据安全事件以及行业产业场景方面。

我国数据安全产品和服务总体发展迅速,总体向好,具体来说。

1)数据安全产品体系逐步完善,总体处于快速发展期

国内数据安全产品已经从单一的数据库加密、审计扩展到数据资产管理、安全防护、监测/检测、共享流通安全、隐私保护、追踪溯源等数据全生命周期的方方面面,数据安全产品快速迭代和发展;

数据库安全、数据脱敏、数据防泄漏产品进入成熟期。各家产品的功能基本相似,应用场景明确,应用行业广泛,随着数据库国产化进程的不断推进,适配多种数据库是此类产品未来的发展方向;

数据水印、数据溯源等产品处于萌芽期。根据信通院的报告,仅有15%的安全厂商推出了数据水印、溯源产品,相比之下,有56%安全厂商提供数据脱敏产品,由此可见,数据水印、溯源等产品仍处于研究探索阶段;

隐私计算产品商用化处于起步阶段,安全隐患不容小觑。目前隐私计算产品的商业化应用主要集中于金融行业,其他行业应用较少。市面上多数隐私计算产品存在隐蔽性安全问题。根据信通院的报告,主流的20余款隐私计算产品的安全检测结果,80%的产品在算法与交换协议方面存在安全隐患,可能导致数据泄露。

2)数据安全服务占比相对较低,总体增长趋势向好

目前国内市场上的数据安全服务主要涵盖数据安全合规评估、数据安全规划咨询、数据安全治理(分类分级)三大类,数据安全托管、数据安全运维、数据安全测评、数据安全防护能力评定等服务开展较少,国内大部分数安厂商数据安全服务在总销售额中的占比,大概为20%左右,占比水平较低。

数据安全服务的市场总体向好,根据信通院调研报告,国内主要数据安全厂商2019 年到2020 年数据安全服务销售额增长率大部分在50%左右,增长势头迅猛。

3)重点赛道及代表厂商

数据安全的细分赛道较多,我们将其归纳为四个大类18个技术领域。如下表所示。

*注:图中序号不代表该企业在细分领域能力排名

18个数据安全技术领域涉及数据安全治理、数据安全态势感知、数据服务、大数据安全管控与防护、API安全、数据库防火墙、数据库审计、数据库加密、数据库运维、数据库保密检查、文档加密、数据脱敏、DLP、数据水印、数据备份/恢复/销毁、APP隐私检测与保护、隐私计算、隐私管理。

相关产品及技术与Gartner报告中主流产品及技术吻合,说明我国数据安全行业,在全球数据安全产业基本处于同一发展时期,同时我国数据安全市场中也同样未出现该领域龙头企业,伴随合规、安全事件及场景的发展演进,产品和技术在不断成熟,市场规模也在不断扩大,数据安全领域在3-5年时间内出现新的龙头企业是合理和正常的。

6. 数据安全体系化建设的三步走

数据体系安全建设是一项宏大的系统工程,为了将数据安全与大数据基础设施和业务应用深度融合,应当全局性、系统性采用内生安全框架开展规划建设运行。从数据实体防护角度出发,从基础环境安全、身份安全与访问控制 数据保护、监测与响应、审计定责,到数据备份恢复,覆盖数据实体防护的全能力。涵盖了数据安全管理、技术和运行视角,覆盖数据安全治理每一个阶段。

在实施层面,根据政企机构数字化程度、安全建设的不同阶段,数据安全的重点会有不同,可以分为三个阶段,每一个阶段需要有相应的产品技术为支撑。

(1)第一步:先理后治、补短固底,是当务之急

先理后治,梳理业务,识别重要资产。包括梳理业务系统,梳理、识别重要的数据资产,梳理关键的业务场景,梳理业务访问关系,梳理安全现状等。

补短固底,做好基础安全防护。围绕全国一体化政务大数据体系的环境和关键场景做风险分析以及能力设计,缓解风险措施,包括不限于:数据资产隔离保护,特权账号、特权会话管理(PAM、堡垒机)防止内部高权限人员数据泄密,数据审计,终端DLP,API安全监测,数据安全态势感知等。

(2)第二步:系统治理、体系规划,是重中之重

系统治理,分类分级。结合业务系统,对数据资产分类分级,识别高敏数据资产;识别数据主客体访问关系,梳理数据访问权限,绘制数据流转;制定相关制度、规范、流程等。

体系规划。包括战略目标制定,体系架构制定:管理体系设计、技术体系设计、运营体系设计,数据安全专项设计等。

(3)第三步:有序建设、持续运营,是长期保障

有序建设。根据数据分类分级、数据流转,做分级管控和安全防护,包括不限于:数据流转的细粒度访问控制,API安全监测与防护,高敏数据的加密、脱敏、防泄漏等、数据审计等,态势感知,以及场景化方案(个人信息保护,办公安全、运维安全、数据跨境安全,数据开放安全等)。

持续运营。建设专家+流程+平台的运营体系,根据业务数据及风险情况调整安全策略,实现多源数据汇聚、数据流动监测、监测与分析、安全事件及时发现、审计溯源等做整体态势感知。

7. 未来数据安全发展趋势分析及建议

数据安全是近5年来国际网络安全热点领域,也是我国网络安全产业中发展极为迅速的细分市场。根据上述分析,我们判断数据安全未来具有持续的热度,在创新技术方面国内外具有一致性,但在产业应用方面存在一定的差异性。在方案层面,应注重面向行业应用的体系化整体解决方案,并融入行业整体网络安全体系。

(1)数据安全的将成为网络安全产业发展的核心驱动力

网络安全服务于数字化产业,主要包括基础设施安全和数字化业务安全。当前基础设施安全发展相对较快,形成了较为完善的产业生态,而数字化业务安全则刚起步。数据安全是数字化业务安全的核心,也是未来网络安全产业发展的核心驱动力。

目前数据安全产业规模较小,主要原因包括:1)数据安全法、个人隐私保护法还没有落地到具体可执行的条例和标准,因此实现产业推动作用还需要一个过程。2)国家政策还没有放开数据的流通,特别是数据跨境,因此数据的产业价值尚未充分体现,对安全的需求也没有完全释放。3)行业所需要的安全保障技术尚不成熟,且只适用于特定场景,难以实现通用化。4)重要行业的数据分类分级等基础性工作较为复杂,起步较慢,对于数据共享开放仍有顾虑。随着上述问题的解决,数据安全将迎来产业的快速发展,成为网络安全产业发展的核心驱动力。

(2)紧跟国家重大战略规划,实现数据安全体系化建设

随着数据应用的集中化,数据安全建设开始由产品向体系化发展。东数西算、全国一体化政务大数据体系建设等国家重大战略规划对数据安全产业是一个契机,将改变我国数据安全长期以来零散建设、不成体系的局面,将推动我国数据安全产业迈向一个新的阶段。

以往的数据安全产品的采购,主要以等保合规和预防重大安全事件为目标,围绕数据库审计、数据防泄漏、数据脱敏等产品展开,随着数据安全法律体系和标准体系逐渐完善,以及数字时代下产业和经济发展带来的数据流域和流量的扩大,平台型产品、一体解决方案、隐私计算类产品的采购开始增多,数据分类分级、数据安全评估、数据安全运维、数据安全服务的项目数量也明显增长。

(3)数据安全建设需要转换视角、面向业务、技管结合、有序开展

面向大规模数据集中应用的数据安全建设不同于以往的网络安全建设,需要转换视角,面向业务,技管结合,有序开展。

转换视角:从 “网络攻防视角”转向“合规导向”下的“保护重要数据资产”的视角。

面向业务:数据安全全流程防护方案应基于应用场景、业务逻辑和数据流转,梳理数据脉络,将流转控制与安全防护相结合,同时加强数据访问行为的监测、预警、响应处置。

技管结合:大数据环境下业务系统和数据流转比较复杂,需要数据安全管理和技术的融合,从组织、制度、流程上完善数据安全管理体系,这样才能有效的支撑数据安全防护技术更好的落地执行。

有序开展:开展数据安全治理和分类分级,以分类分级为基础进行数据安全管理体系、数据安全技术防护体系,数据安全运营体系的整体规划和设计、分步骤分阶段有序建设。

关 于 作 者

奇安信集团产业发展研究中心是奇安信集团的产业研究团队。专注网络安全领域,跟踪国内外产业发展现状与趋势,深入调研网络安全各细分领域,包括产品技术、市场、投融资和产业生态,为网络安全从业人员提供新视角,为企业决策提供依据,推动网络安全产业发展。

陈华平:奇安信集团副总裁,产业发展研究中心负责人。

乔思远:产业发展研究中心研究员,主要负责宏观分析和产品技术研究。

尹文鹏:产业发展研究中心研究员,主要负责投融资和市场研究。

万鹏:产业发展研究中心研究员,主要负责产业生态研究。

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。