数据安全-数字经济的基石.docx

资源描述

1数据安全产业风口已至数据安全是数据经济产业的基石。我们认为，当前数据安全的产业逻辑正在发生重大变化，数据资产正在脱离单独的个人或企业层面, 开始逐渐演变成为国家的战略资源和核心资产，其战略地位和重要程度显著提升。在近期出台《十四五数字经济发展规划》中，重点提出了建设数据安全治理体系，完善行业数据安全管理政策的要求。随着“东数西算”工程的正式启动，作为数字经济框架下的一个重点战略工程，“东数西算”通过构建数据中心、云计算、大数据一体化的新型算力网络体系，是数字经济的重要落脚点。随着东数西算工程的推进，数据流通环节和数据吊:将会显著增加，将大幅带动数据安全的相关需求。图表1:数据安全是数字经济的基石r I重点产业 r I重点产业 I应用场景数据安全幅国◎食成。「数据库安全数据防泄漏数据安全治理加密与文档管理容灾备份个人隐私保护，资料来源：绘制 2021年是我国数据安全的政策元年-22年数据安全合规建设即将全面启动。从数据安全的立法进程来看，早在2017年颁布的《网络安全法》就己经对数据安全做出了相关规定，2021年9月，我国第一部数据安全的专门立法《数据安全法》正式出台，11月《网络数据安全管理条例》作为配套细则也迅速落地，同时《个人信息保护法》也在11月起正式施行。目前数据安全大规模合规建设即将正式启动。从国家层面来看，未来各监管部门将加大对数据安全的监管，其中包括国家数据分类分级保护制度的建立，各地区、各部门也将按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理，从企业层面来看，数据安全将从过去少部分机构的风险控制需求转向全面的合规建设需求，政企用户在数据分级、数据治理，以及数据全流程管理、数据防护体系的建设成为了网结安全预算和支出的重点。图表11: 数据安全的生命周期安全 -数据存储安全标准-数据存储介质管理 -技术控制规划（访问控制'加密、数据库活动监控）-源数据标准定义'格式与规则 -数据质量管理 -数据分类与定级 -数据销毁标准 -数据介质处置管理 -技术控制规划（安全删除）资料来源：绘制 -源数据标准定义'格式与规则 -数据质量管理 -数据分类与定级 -数据销毁标准 -数据介质处置管理 -技术控制规划（安全删除）资料来源：绘制 4 k 存储数据生命周期安全归档、 4 4 庾用 -数据归档标准 -数据备份'恢复 -技术控制规划（数据加密'资产管理） -数据使用安全标准 -数据使用介质管理 -技术控制规划（应用系统、访问控制、屏蔽、行为监控） -数据传输安全标准 -数据传输介质管理 -技术控制规划（加密、 DLP、传输环境安全控制）以一个典型的数据安全治理体系建设项目——浙江省〃智慧医保" 数据安全项目为例：项目总采购金额高达2550万•覆盖了事前的咨询类服务、事中的技术类服务、事后的运营类服务-覆盖了数据安全的全生命周期管理•可以看出对于安全厂商的能力提出了较高的要求。项目主要内容包括：1）数据安全咨询类服务：包含数据安全分类分级，数据访问权限管理，数据共享开放管理，数据安全脱敏与销毁，数据供应链安全管理，数据日志审计和监督检查，数据安全事件与应急响应等；2）数据安全防护服务：包含数据采集技术服务、数据权限管理技术服务、数据共享和开放安全管理技术服务、数据态势感知技术服务；3）数据安全运营服务：包含数据分级分类管理服务、数据访问权限管理服务、数据贡献和开放管理服务、数据安全脱敏与销毁管理服务等。方式浙江省“智慧医保”安全运维及系统数据安全项目框架打造坚实的敬据安全底座，保障"智慈医保"坚实稳步推进，确保不出事，不违规整体架构蠹髭噩务中大矍程碑节点工作浙江省“智慧医保”安全运维及系统数据安全服务项目、绘制未来数据安全市场的爆发将更加利好具备较强的数据安全顶层设计能力，以及能交付数据安全完整解决方案的头部厂商。而且随着未来头部客户对于数据安全的投入的快速提升，数据安全的头部项目也将快速增加，因而对于安全厂商的交付能力的要求也会持续提升。同时，由于数据安全涉及到安全和信任问题，国资背景的安全厂商将具备明显优势。 4数据安全细分赛道梳理 4.1数据库安全数据库安全是数据安全的重要子市场・包含了数据库审计 '数据库防火墙、数据库加密 '数据脱敏等多种安全产品，其中数据库审计是最主要的产品・占据了六成以上的市场规模。数据库审计的主要功能在于对数据库的访问行为进行监管，通过镜像或探针的方式采集所有数据库的访问流量，记录下数据库的所有访问和操作行为，在发生数据库安全事件（例如数据篡改或泄露）后为事件的追责提供依据，并针对数据库操作的风险行为进行告警。数据库审计最初由网络审计系统发展而来•历经二十多年的发展,目前已经从第一代针对数据库流量包进行基于正则表达式匹配的审计技术向当前智能发现与主动推送等智能技术方向演进：1 ）第一代数审产品（2003年前后）：第一代数据库安全审计产品由网络审计简单变形而成，采取字符串匹配等审计技术，进行简单场景下数据库行为活动的监控，但受限于复杂场景下易发生无效告警和误报等情况。 2）第二代数审产品（2009年前后）：第二代数审产品采用基于数据库协议的语法、语义的解析技术，产品架构实现升级，能够实现复杂类场景下的精准审计与告警，准确度显著提升，并能够满足对「等保政策要求较高、业务量较小的政府类或中小企业客户。 3）第三代数审产品（2014年前后）：数据库访问规模的扩大导致存储的审计日志数量增加，数据库审计系统难以进行高效检索等性能问题暴露，大型业务系统的审计需求无法满足，通过引入全文检索、列存储数据库、多进程并发等技术，产品性能全面升级，用户范围也逐渐拓展至金融、电信等业务体量较大行业。 4）第四代数审产品（2017年前后）:数据库安全审计产品向智能化进行升级，能够自动识别数据库类型并进行数据分级，同时根据数据库结构的变化与安全防护策略进行联动调整，从“被动支撑”跃升为“主动推送” ° 图表13：数据库安全审计产品的演变资料来源：绘制数据库安全审计市场参与者众多,主要包括：1 ）数据库厂商：以 Oracle、IBM为代表的数据库厂商；2 ）数据库安全厂商：国外主要以Imperva为代表•国内以安华金和为代表；3 ）网络安全厂商：以启明星辰、安恒信息为首的综合型解决方案商。目前，数据库安全审计市场的前两大厂商为启明星辰和安恒信息，其中启明星辰持续多年保持数据库审计市场排名第一的位置，而安恒信息的市场份额近年来持续提升，市场占有率排名上升至第二名。同时以IBM、 Imperva. Oracle等为代表的国外厂商在银行等高端市场仍具备较强的竞争优势，未来国产厂商在数据库安全市场仍存在一定的国产替代空间。除了数据库安全审计・数据库防火墙、数据库加密、数据脱敏也是数据库安全的重要赛道・主要厂商包括安和金华、启明星辰'安恒信息' 绿盟科技 ' 奇安信等•以及Oracle ' McAfee ' Ini per va等海外厂商。其中：1）数据库防火墙：数据库防火墙作用于应用服务器和数据库服务器之间，通过修复应用程序的逻辑漏洞和缺陷降低或消除数据库安全风险；2）数据库加密：将存储层中的数据以加密的形式进行存储，同时实现存储、访问、审计等功能，防止数据泄露、数据窃取、非法访问数据库等问题的发生，多用于军工、金融等领域；3）数据脱敏：数据脱敏则是对敏感信息采用脱敏方式进行数据改造，防止数据库中的信息明文显示在系统中，保证数据在开发、测试等环境中处于安全状态。 4.2数据防泄漏DLP数据防泄露系统（DLP ）的主要用于防止数据的丢失和滥用，通过部署在终端 ' 邮件服务器、Web出口等位置，能够实现内容识别、加密 ' 管控、审计等多种安全功能。DLP最早是由国外安全管理产品的概念引导而来，但不同于国外DLP产品以检测和审计为主的技术路线，国内DLP则更多的采取隔离、强制加密等技术手段。从 DLP的发展历程来看，最初的DLP产品侧重于终端设备管控，通过在员工办公终端安装客户端，以及在网络出口旁路镜像流量的方式，对敏感内容进行识别和发现。随着数据安全对象的不断拓展， DLP的管控对象开始从端点、网络向文档、电子邮件、云延伸，并旦DLP在加密技术的基础上，增加了权限控制、审计、端点管理等功能并逐渐演化成为整套的DLP解决方案。近年来DLP也通过融合内容识别、行为分析等新兴安全技术以实现更加智能化的管控。图表14： DLP产品的演进，阻）行为强审计，阻）行为强审计 ► ◎智能管控 |管雄手段e设备强管控，| ；■/魅控•岛抵*文档强管控, 采用逻辑隔离手段。| | 提供分类、分级、加密、 | /粢塔■•舞w 2005-2008年:授权与管理的防御能力。 Symantec , WebSense、\ / 审堀检:咨£具有相关保 McAfee等国外安全厂商;，密资质、密码认证的国 2008年以后，国内安全壮内安全厂商。厂商占据市场。 |管雄手段e设备强管控，| ；■/魅控•岛抵*文档强管控, 采用逻辑隔离手段。| | 提供分类、分级、加密、 | /粢塔■•舞w 2005-2008年:授权与管理的防御能力。 Symantec , WebSense、\ / 审堀检:咨£具有相关保 McAfee等国外安全厂商;，密资质、密码认证的国 2008年以后，国内安全壮内安全厂商。厂商占据市场。行为强审计，堂漩手毯子智能管控，利用关键字对数据操作|| 提供共性管控能力。C 行为审计，文档的新建、II yT步蹬;缓馨：多成期孝金修改等行为监察。 H融和运营商行业，部分 1/章熊德劈：审计产品与I；终端、加密和审计厂商其他网络和终端产品共II 开始转型。存，从单一行为向多元化发展。资料来源：绘制根据部署方式以及产品形态的不同•数据防泄漏可分为存储DLP、网络DLP '终端DLP '文件DLP '云DLP等五类。其中：1 ）存储DLP :对存储在服务器、数据库、存储库中的结构化和非结构化数据进行扫描，然后根据预置在这些设备内的分析策略对扫描到的敏感数据进行记录，并对敏感事件报警；2）网络DLP：通过物理设备或者虚拟机部署在网络端口，通过对网络传输的数据进行内容分析和识别，包括邮件、即时通讯、Web等网络协议传输中的敏感数据，并及时对违规内容进行审计、告警和阻断；3）终端DLP : 主要部署在服务器、软件客户端等设备终端，通过发现、识别、监控敏感数据，实现对敏感数据的违规控制，并对其在终端的安全接入、数据传输等使用行为进行管控；4）文件DLP：针对Office、 PDF等文档数据进行模块化，在文档创建时即采用加密、隔离、设置用户权限、分级管理等手段实现文档数据的保护；5）云DLP：将本地部署的DLP解决方案整体迁移上云，解决远程办公场所和移动终端设备的敏感数据保护的问题，节省用户需要购置多台DLP硬件设备的成本。图表15：数据防泄漏的分类网络DLP -网络监控 -网络阻断（Email/Web ）存储DLP -敏感数据记录 -敏感数据报警终端DLP -终端发现 -终端阻断文件DLP -文档数据模块化 -隔离'加密、分级管理云原生DLP ・管理平台云化 -数据网关云化检测统一策略/控制晌应资料来源：绘制 J 一使用中的幕 - 问访件切制贴印屏文剪复粘打截 ////// /终端崎 /文件共享 / SharePoint平台 ,数据库| , Exchange邮件 , Domino服务器 1 / Web传 / Email输 / FTP /网络共享| /移动存储介质 1 /应用程序国外DLP市场发展已经较为成熟・而我国目前对于DLP仍保持旺盛需求,特别在数据安全产业浪潮的驱动下,行业景气度处在不断提升的趋势。早期我国DLP市场主要被Symantec、WebSense、 McAfee等国外厂商占据，但由于技术路线的差异以及在国产替代趋势下，外资品牌逐渐边缘化。近年来许多终端、加密和审计相关厂商开始转型进入DLP市场，同时部分头部DLP厂商也开始提供托管、咨询、管理、数据分类等服务，与DLP产品进行有机组合。目前国内DLP市场的头部厂商主要包括绿盟科技（亿赛通）、天融信、深信服、明朝万达、天空卫士、北信源、联软科技等。 4.3数据安全治理数据安全治理是一种"体系化”的安全服务・包括了数据安全评估、数据分类分级、数据安全体系建设、数据安全培训等各类安全咨询服务-能够为企业的数据安全建设提供全面支撑。全球范围来看，包括Gartner. Microsoft在内的多个机构都提出了自身的数据安全治理框架。以Gartner为例，其数据安全治理框架包括了 “前提-目标-政策-产品-对象”的-整套体系：1）平衡业务需求与风险/威胁/ 合规性：在数据治理实施前需从经营策略、治理、合规、IT策略和风险容忍度这五大要素达成统一目标；2）明确数据优先级：首先通过数据类型、属性、分布、访问对象等将数据分类分级，并以此为依据进行合理的安全治理；3）制定安全策略：以数据分类结果作为支撑，提供数据在访问、存储、分发和共享等不同场景下的安全保护策略；4）实施安全产品：由于数据结构和形态在整个生命周期中的动态变化，利用加密、数据库审计和防护、数据防泄漏、身份识别与访问管理等多种安全产品进行实施；5）测试编排同步：主要针对数据库审计和防护产品，在控制、脱敏、加密等手段中保持数据访问和使用的同步下发。图表16： Gartner定义的数据安全治理框架业务战略业务战略治理风险容忍度 1.平衡业务需求与风险 /威胁/合理性 2.定义、优先考虑和管理数据生命周期 5.为所有产品配置策略 :3.明确教据安全政策 -1 |数据分析 1 — ZJ Crypto DCAP DLP CASB LAM UEBA 4.实施安全产品数据库大数据文档终端 Gartner、绘制］国内外市场在数据安全治理的产业生态上存在较大差异-在海外数据安全治理服务一般由德勤、毕马威、IBM等咨询厂商提供-而在国内安全市场・安全厂商扮演了更重要的角色。且对于安全厂商来说，从产品提供商向安全咨询厂商的角色转变也能够更好的适应用户对数据安全整体解决方案的需求。过去国内数据安全咨询市场主要参与者包括四大等专业咨询厂商以及安华金和等数据安全厂商、随着用户对数据安全的需求正在从过去单点的安全产品向整体解决方案转变，包括奇安信、启明星辰、天融信、绿盟科技、安恒信息等综合型安全厂商也开始发力数据安全治理服务，并且以咨询服务为牵引，带动自身的安全产品的销售。 4.4个人隐私保护随着2021年《个人信息保护法》的正式发布,监管部门对于用户数据合规性的审查监管力度显著加强，个人隐私保护市场需求旺盛。近年来，我国对于个人信息保护的重视程度不断提升，一方面国家在《数据安全管理办法》、《个人信息安全规范》、《民法典》等陆续颁布的政策中均对个人信息保护作出了相关规定，且《个人信息保护法》的出台成为了个人隐私保护的关键里程碑：另一方面，公安部、工信部等国家相关部门针对APP涉嫌隐私等不合规行为责令整改的力度加大，2021年Q3,工信部公开通报了 601款APP存在违规收集使用个人信息等问题，并下架了 163款APP。同时，移动APP违规搜集用户数据，不合理索取用户权限成为了个人隐私泄露的主要途径。根据互联网协会的统计数据，2020年有55.93%的应用存在用户在不知情的情况下通过移动APP被收集个人信息数据的问题，导致用户个人隐私泄露。图表17：个人隐私保护相关法律及事件“守护消费”专项执法行劫金处侵害消费者个人信息案件1474件 “守护消费”专项执法行劫金处侵害消费者个人信息案件1474件微店、光大根行、天津根行等100款APP被责令塾改《氏法典》财个人信息的定义、获取作出了相关煽定清清、优岁等出行APP被审查 ■奔网行动”集中哗光100 4t APP ii法违规. ■奔网行动”集中哗光100 4t APP ii法违规. APP专项工作蛆点名生活臭、金触类等40款APP 《个人信息安会规范》出台芒果TV、腾讯动漫等157款 APP被责令祭改《个人信息保胪法》发布 2021. 11 •— — w— —1— — • - • — —1—I■ 1• 1 1•1••••*• 2019.01 !2019. 04 ! , 2019.07 2019.12 2020. 03 2020. 05 2021.01 : 1 2021.07 2021.08 : i 2020. 102020. 04 2021.042019. 03 2019.052019.11 《数据安全管理办法（征求意气 U） >发布“APP专项治理工作坦”制定了评估指南《关于侵省用户权益行为的APP通报第五枇发布腾讯9数产品械下架 <App违法违规收集使用个人信息行为认定方法》出台必H客、平安好医生等20余款App 祓寅令祭改工信部已下架107 款拒不整改的APP 资料来源：网信办、中国人大、公安部、绘制个人隐私保护是针对个人数据的治理与安全服务-包括个人数据安全咨询评估、身份管理、个人数据安全检测 ' 个人数据风险监测、个人数据安全治理等各类服务,能够避免个人隐私数据的泄露。以奇安信为例，奇安信的隐私卫士主要包括应用行为检测、标准合规检测、隐私政策检测三大功能，首先通过移动应用监测平台对各类 APP出现的安全漏洞、隐私违规、恶意行为等安全问题进行分类，再结合《App违法违规收集使用个人信息行为认定方法》等各类隐私保护的法律法规，对APP的研发、测试、上市等各环节进行合规检测，并出具合规性评估报告，据此来指导App运营者进行整改，帮助运营者提高检测效率、降低合规风险、节省检测成本。图表18：奇安信“隐私卫士”产品形态 ①隐私获取申明 ② 完整性检测 ③ 独立性检测 ④ 规范性检测 ① App行为检测 ② 权限过量申请 ③ 未授权收集 ④ 超业务范围收集 ⑤ 保护不当 ⑥ 实质符合资料来源：奇安信集团、目前-个人隐私保护问题主要集中在移动端-因此在个人隐私保护市场-移动安全厂商具备先发优势・包括爱加密（国华网安子公司）、梆梆安全等移动安全龙头厂商已经具体较完善的个人隐私保护的产品线-同时包括奇安信等综合安全厂商也推出了相关产品。1）爱加密：自2013成立以来专注于移动应用安全领域，具备应用加固、安全检测、移动安全管理平台等全面的移动安全产品线，并在三年时间内就已经覆盖8亿终端，保护APP数量达到80万款，稳居个人隐私保护市场榜首；2）梆梆安全：作为国内首个提出“应用加固”理念的安全厂商，目前拥有移动应用安全加固、移动应用源代码加固、加密SDK等移动安全产品线，并旦连续三年成为唯一正式进入Gartner全球应用保护市场指南的中国企业。此外，个人隐私保护市场的主要参与者还有奇安信、天空卫士、炼石网络等安全厂商。 4.5加密与文档管理文档加密主要针对Word ' Excel等办公文档・采用多种加密技术对设计图纸和代码等计算机文件进行加密•并配以用户访问权限设置-防止敏感数据的非法外泄。文档加密的传统技术手段主要有磁盘加密、应用层加密、驱动级加密等，但由于这些技术是基于应用层加密，对应用程序的依赖性较强，兼容性和二次开发的效果较差，因此文档加密技术进一步升级为透明加解密技术，基于数据自身，由系统对未加密的文档进行自动加解密，减少对环境的依赖性，使数据在脱离操作系统或者非法脱离安全环境的情况下，仍能够保证用户数据的安全性。文档加密软件不仅可以作为独立软件使用，也可以与其他安全系统集成，成为内网安全系统的一部分。国内文档加密软件以国内安全厂商自主研发的软件为主，具备完全的自主知识产权。亿赛通（绿盟科技子公司）是最早一批进入文档加密市场的数据安全厂商，成立以来一直处于领先地位，而安信天行、明朝万达、卫士通等多个安全厂商也紧随其后进行文档加密市场的拓展。此外，IBM、华为等公司也采取技术合作、购买软件使用权等多种方式，与加密安全厂商共同开拓文档加密市场。 4.6容灾备份容灾备份是指通过异地建立的备份存储系统,对矣键应用数据实时复制-当系统因意外停止工作时可由异地系统接替本地系统保障业务的连续性•包含容灾和备份两种产品。其中容灾作为一个系统工程，强调处理外界环境对系统的影响，提供系统节点的业务恢复功能；备份则是将系统中的数据集合复制到其他存储介质中，防止因系统出现操作失误或者系统故障产生的数据丢失等问题。容灾与备份虽然都属于存储的子领域，但备份侧重于数据保护，而容灾更偏业务应用保护，同时备份还可作为容灾方案的有效补充，保证其在线数据的可恢复性。容灾备份最早可追溯至上世纪50年代，国外公司采取数据备份、系统备份的形式，将其副本放在异地保护来保障数据安全，但光靠IT 备份难以保证海量数据的安全性，因此加入了灾难恢复预案、资源需求、灾备中心管理等功能，连接异地站点，保证数据在系统发生故障的同时仍能够正常使用。而由于容灾备份仅存在于传统的IT系统，无法满足业务连续性的要求，因此灾备逐渐从面向IT转为面向业务，加入业务影响分析、策略制定、业务恢复预案等功能，以此保障整个业务的数据安全。未来，随着云技术的成熟，容灾备份将整合到公有云或分布式存储中，以服务的形式提供。目前，国内容灾备份市场主要有VeritasCA、Falconstor等国外安全厂商，以及安信天行、北信源、格尔软件等国内安全厂商，同时IBM、EMC等服务器厂商也通过收购对容灾备份产品线进行布局。 5数据安全技术趋势5.1趋势一：数据安全技术演进方向的多样化技术的快速迭代一直都是网络安全行业的常态•而对于数据安全行业而言，创新方向尤其多样化。根据Gartner技术曲线•数据安全的新兴技术可大致分为以下几类： 1）数据治理、隐私和风险：DSG、DRA、PIA、数据泄露响应、隐私设计（PbD）和金融数据风险评估（FinDRA）o2）结构化和非结构化数据的数据发现 ' 分类和分级：数据分类、云原生数据丢失防护（DLP）、文件分析、云访问安全代理（CASB）、企业数字权限管理（EDRM）、数据访问治理（DAG）和多云数据库活动监控（Multicloud DAM）。 3））鳄端点、应用程序或存储层的数据地理和分析：DataOps、 DevOps测试数据管理、机器身份管理、用于数据安全的区块链、文件分析和隐私管理工具。 4）匿名化 ' 假名化' PEC和其他数据保护技术：机密计算、同态加密、差分隐私、格式保留加密（FPE）、安全多方计算（SMPC）、零知识证明、多云密钥管理即服务（KMaaS）、企业密钥管理、EDRM、传输层安全（TLS）解密平台、云数据保护网关、CASB、安全即时通信和动态数据屏蔽（DDM）o5）使用数据监控用户活动的访问、活动、警报和审计：DAG、多云 DAM、CASB和文件分析。 6）具有多功能数据安全控制的多云平台：数据安全即服务（DSaaS）、数据安全平台、多云KmaaS＞多云DAM。图表19：数据安全技术成熟度曲线CHI安全，H CHI安全，H 海沫破si低谷期标步爬升板■期 D^op»a试数■管厦云访柯安全代理机麾计n 故■访同治建安全安全，方计・防楚w 文件分析零知识诚明 ■wait 多云戳携安全平台管H工H 企ftSffian 安全即的通值 TIME 技术nun 生产成熟期 H达生产成IBI0III#的年■:不H2年2-5年• 5-10«・£210年 X HiSS产成MUD■者法Gartner、结合Gartner数据安全技术成熟度曲线，近年来数据安全的新技术新模式主要大致向以下个四个方向演进： 1）隐私计算是近年来最具代表性的数据安全新技术，隐私计算的不断成熟为数据交易，数据信托等新模式奠定了基础，并带来了数据安全市场全新的商业机会； 2）数据安全的平台化成为重要趋势，数据安全并逐渐从过去碎片化的技术和工具集逐渐走向融合，Gartner也在最新的技术曲线中增加了数据安全平台DSP；图表2：近年数据安全行业政策提速指导企业提升工业数据管理能力•促进工业数据的使用、流动与共享。指导企业提升工业数据管理能力•促进工业数据的使用、流动与共享。我国密码领域的第一部法律•旨在规范密码应用和管理• 保障网络与信息安全。明确网络运营者向境外提供在中国境内运营中手机的个人信息时需进行安全评估。维护国家安全、社会公共利益•保障个人信息和重要数据安全。第10条、18条、21 条、42条规定采用数据分类、备份和加密等措施•防止信息泄露、丢失。《工业数据分类分级指南（试行）》《密码法》《个人信息出境安全评估办法》《数据安全管理办法（征求意见稿）》《网络安全法》资料来源：网信办、公安部、绘制《数据安全法》肇矗麟菁扩准《数据出境安全评估办法（征求意见稿）》《个人信息保护法》《网络数据安全管理条例（征求意见稿）》旨在规范数据处理活动•保障数据安全•促进数据开发利用,保护个人、组织'国家主权的安全发展。安全管理标准包括数据安全规范'数据安全评估'监测预警与魁首、应急响应与灾难备份' 安全能力认证等。数据处理者需要先进行自评估・并提交申报书'自评估报告、与境外数据接收者订立的相关合同及材料。个人信息可以通过数据库安全'数据库防火墙、数据防泄漏'数据脱敏实现批量个人数据的保护。按照数据对国家安全'公共利益或者个人、组织合法权益的重要程度•将数据分级分类•并采取不同保护措施。数据安全事件频发带动了全球范围内对数据安全和个人信息保护重视程度的快速提升。标志性的事件就是2018年欧盟通用数据保护条例GDPR的出台，GDPR推动了隐私条例的强制执行，规定了企业在对用户的数据收集、存储、保护和使用的标准。针对违反条例的公司，GDPR规定最高处罚金额为年度营业额的4%或者2000万欧元（取其高者）o万豪、英国航空、谷歌等全球知名企业都曾被处以巨额罚款，例如英国航空公司由于泄露50万名乘客个人信息被处以1.83亿英镑的罚款。根据DLA Piper报告数据显示，2020年， GDPR每天平均报告331次数据违规。同时GDPR也直接带动了包括德勤、毕马威、IBM、埃森哲等数据安全咨询业务的高速增长。 3) ML和行为分析等技术在数据安全领域的全面应用，目前已经和很多数据安全技术实现了很好的结合，包括数据分级、数据防泄漏 (DLP)、数据库审计和保护(DAP)、数据访问治理(DAG)等； 4) 许多新兴数据安全技术与云的结合以支持多云和混合云的部署，如多云KMaaS (密钥管理)、云本地DLP (数据防泄漏)、多云 DAM (数据库审计)等，同肘数据安全的SaaS化(DSaaS)也是值得关注的产业趋势，目前DSaaS正处于萌芽阶段。图表20 数据安全技术成熟度与渗透率相关技术渗透率相关技术1%-5% 渗透率相关技术渗透率数据处理和分析件vOp嘈心管1 j 205 ；f> 5%-20% 机容身份管理f 区块键数据安全厂——~~i <1%隐私管理工具 r 5%-20% ；.I i ・・■ f文件分=L) f5歙据分英 5%-20%5V20% 数据发现' 分类和分级 r1云本地DLP I 一一一一一一一一 z j云安全访问代理1 (CASB) J taMMB — 矿".・・・-wa—•多云软据库'审计、一一一一一一一一・一K Lw.g_jf 20S-50% ；f.一一•一• r [ [20%-50% |1\-5% —*'—―•—――* — 一一一― 丈件分析；( 5%-20%I地； f数据访问治理]( 5V20S (DAG) I j “aGartner、匿名化、假名化、PEC等 f1差分隐私、» ■ | * bMM * ■■ <―WW同态加密 (HE) 、0•— -^― ►— —* —, •— —, —— ———«—• -<r. 机密计耳厂薜 (SMPC) J»^F _r— . —• —* •―• — •—' — —• —< —*—»r、 [ 格式保存加密 ] L (FPE)J f\I \多云密钥令理即服11务(KMaaS)J f 金业密钥管理I (EKM)J 零知识造明［传输展安全解密平］ I台J ‘ ・ ■・I云数据防护同美I (COPGs) 安全即时通讯<1% <1%多云平台［致据实全即服务J k ^DSaaS)J;多云密胡•旨理即服: !务(KMaaS)J数据安全平台 (DSP) 5S-20S1V5S 5%-20%数据监控 I 20V50%g r~«_/ 5%-20%f> 5%-20S ! f 5%-20% 「动态教据脱散 (DDM)二 f-1 20S-50% JI▲敦据治理、隐私和风险 f1%-5% 多云款据库审计厂*1 ［多云数据康审计I1%-5% 文件分析^FA) 5%-20%_ V1 * ■ ,* ■ I *»I < — [ 数据访何治理 [_(DAG)J营和矿 L__ (CASB)J— F意私设计(PbD) J |金融敦据风险评估\f、 5%-20% |**- »—^―»—«—»——， ——・一《 20V50% L..4 ，•— —• — —•— 一》—»1 5%-20% ［我痂程iI史4) i 数据安全管理 (DSG)__1%-5% 5.2趋势二：数据安全的集成化与平台化数据安全复杂性的增加促使不同的数据安全功能逐渐走向融合。当前数据安全建设的现状不仅仅在于对数据安全的不重视或投入不足, 更多的情况是即使部分企业对于数据安全投入了足够的预算，但由于数据安全技术的复杂性，以及向不同的安全厂商采购不同的安全产品并且由不同的团队来进行管理，导致前期投入的安全预算并没有收到很好的成效。当前数据安全技术复杂度的增长速度远超过安全厂商整合和集成各类新兴技术的速度，导致在用户侧对于数据安全技术的应用难度在持续提升。 Gartner、在这一趋势下，Gartner定义了数据安全平台（DSP） , DSP通过将现有的各个独立的数据安全技术和功能整合在一个统一的平台之下- 为用户提供跨数据类型'存储孤岛和生态系统的数据安全服务，从而实现更简单、一致的端到端数据安全。DSP相较于传统数据安全方案有很多优点，比如高水平的集成能力、简化的部署模型，统一的策略控制平面，以及对数据、存储、政策和适用法规的一致可见性。目前DSP己经能够整合许多主要的数据安全功能，其中包括标记化、加密、数据库活动监控（DAM）、数据脱敏、数据访问治理（DAG）等，包括数据防泄漏DLP、数据风险分析等关键功能也正在逐渐融入到DSP。即使用户数据安全问题很难由一个单一个解决方案彻底解决，但功能的融合与平台化未来将有效带来行业集中度的提升。根据Gartner预测，到2024年，30%的企业将应用 DSP,而在2019年这一比例还不到5%,未来5年DSP在全球范围内的渗透率有望迅速提升。图表22： DSP在整个数据安全架构中所处的位置人员和流程数据安全平台附属数据安全基础设施数据类型 |O.| 1隐私数据安全治理：数据风险分析 1 数据库加密数据脱敏 ■ 1 数据访何治理数据发现和分类数据防泄漏密钥管理和密码管理 1 文件加密 1 安全数据传输全盘加密数据使用静态数据动态数据隐私强加密 Gartner、从安全厂商的布局来看-全球主流的数据安全头部厂商已经通过收购及合作等方式来构建DSP能力-可观察到从2020年开始相关并购的数量开始迅速增长。其中：IBM与Itouch.io签署了经销商协议，以在IBM Security Guardium产品组合中提供发现和分类功能， Imperva收购了 jSonar以扩展其DSP的覆盖范围和集成可能性； Informatica 收购了 Green Bay Technologies 获得了数据治理等 AI 能力；Netwrix收购了 Stealthbits为其DSP添加了 DAG和SQL保护功能；PKware收购了 Dataguise为其DSP获得数据发现和屏蔽功能; Varonis收购了 Polyrize以将其数据安全功能扩展到SaaS应用程序。同样在国内市场,一些专注在数据安全领导龙头厂商比如安华金和、安恒信息已经初步具备构建数据安全平台的能力-数据安全的平台化也将成为国内数据安全市场的重要趋势。 5.3趋势三：隐私计算成为当前的最大热点数据安全领域近年来最具产业化应用前景的技术即隐私计算。隐私计算能够在完成计算任务的基础上•实现对数据计算过程和数据计算结果的隐私保护-而参与方在整个计算过程中无法得到除计算结果以外的额外信息。在大数据时代，如何应用海量的数据，实现数据流动，同时能够保护数据隐私安全、防止敏感信息泄露是当前数据应用中的重大挑战。对于政府机构而言，数据出于保密性完全不能对外公布，而银行、运营商、互联网公司收集到的客户数据，也不能透露给第三者。数据之间不能互通，数据的价值无法体现，而隐私计算就是为了解决数据共享的问题而应运而生。 l原始数据、 W 交互数据 W 交互数据计算结果 W 计算方结果方数据方资料来源：信通院、~ 隐私计算并不是一种单一的技术，而是有多个技术构成的一套技术体系-关键技术包括多方计算、联邦学习、可证去标识、机密计算、同态加密等•而不同技术路线能够在很大程度上影响了产品的使用场景、功能和性能表现。从隐私计算的几个主要技术在实现方法上有一定差别，比如多方计算是参与方在不池露各自隐私数据的情况下，使用数据参与保密计算，共同完成某项计算任务，而联邦学习的主要原理是客户从中央服务器下载预测模型，使用本地数据对模型训练，再将模型更新迭代后上传至云端，至始至终数据都留在本地。不同的技术流派因为实现方式的差距，因此也会受限于不同的场景的具体要求，在数据量、网络带宽、计算实时性、保密要求等方面各

展开阅读全文