前言数据安全,本质上是几乎所有安全产品的最终保护目标。从广义上讲,大多数攻击都与数据有关。例如“勒索病毒”,最初是利用系统漏洞闯入、查找并加密硬盘上的重要数据,最终目的是收取“解密费”。从这个角度来看,无论是网络安全产品还是数据安全产品,最终目的都是为了保护用户的数据安全。数据安全是如此重要,但又如此复杂。由于技术的复杂性以及与业务结合的复杂性,在过去的十年里并没有占据安防市场的主要比重。这种情况现在已经发生了一些变化,或者说迎来了契机——从近年来国内外数据安全事件的频发,对数据作为生产要素的新认知,以及立法的力度,都可以预测未来数据安全市场在通用安全市场中所占份额将越来越大,并会继续以更快的速度增长。一、数据安全市场总体情况及规模2019年数据显示,据海外市场研究机构VMR统计,全球数据安全市场规模约173.8亿美元,年复合增长率2019-2025年市场占比预计约为17.35%。据国内机构统计,2019年我国数据安全市场规模仅为38亿元人民币,仅占全球数据安全市场的3.4%。与中国整体安全市场占全球7%的份额相比,数据安全市场占比也偏低。从市场整体增速来看,全球网络安全市场年复合增长率为9.7%,数据安全年复合增长率约为17.35%,表明数据安全市场增速为远高于安防市场的平均增长率。基础投资下的高增长预期此外,从基础设施投资来看,IDC预测中国数据量增长最快,2025年有望增至48.6ZB,占全球数据圈的27.8%,成为全球最大的数据圈。从投资的角度来看,2025年中国数据安全市场份额理论上应该占到全球的27.8%,但现在只有3.4%。还有很大的增长空间。综上所述,未来中国数据安全市场容量增长空间巨大。若以2025年为时间节点进行推测,以全球约17.35%的年复合增长率计算,2025年全球数据安全市场规模将达到532.63亿美元;每年的数据安全市场理论上应该达到148亿美元。今年已经是2022年了,据此推测,未来5年,数据安全市场将形成1000亿元的细分市场。看了其他一些机构的统计和分析,大致是一致的。但实际上,需要考虑中美安防市场3年左右的时间差,以及基础设施投资后业务上线的时间周期。总体估算是基于30%的折扣。2025年国内数据安全市场总量应在103亿美元左右。板块,折合人民币约600亿元。2.数据安全立法国内外主要相关法律法规如下:美国:《加州消费者隐私法案(CCPA)》,2022年4月;欧盟:《通用数据保护条例(GDPR)》,2018年5月;日本:个人信息保护法,“APPI”),2003年5月;中国:《中华人民共和国数据安全法》,2021年6月;《中华人民共和国个人信息保护法》,2021年4月;国外数据安全相关立法主要侧重于保护个人数据隐私;保护个人,以及保护国家数据安全的要求。有了顶层立法,各大行业都会跟进并执行行业相应的技术规范。比如金融行业先后发布了《个人金融信息保护技术规范》、《金融数据安全数据安全分级指南》、《金融数据安全数据生命周期安全规范》,运营商、政府、证券、医疗等其他行业也相继发布了相应的行业规范。根据国内涉安立法到实施的节奏,一般是先“初稿征求意见”->“公示一年左右后,正式颁布”->“各行业跟进”并明确相应的技术规范和实施细则”->“产品及检验措施落地”->“市场开拓”。目前,“隐私保护”、“数据分类”、“大数据安全利用”等数据安全市场的新需求,还处于“各行业跟进、落实相关技术规范”阶段及实施细则”。因为数据安全涉及到很多方面,所以现阶段还是需要严谨的。具体来说,需要进行一定的实践探索和探讨,以及典型案例的实际操作探索,最终形成明确、全面的实施细则。例如,一家互联网运输公司的数据安全可能涉及到交通、金融、公安、税务等各个部门。技术上可能涉及传统数据库、大数据、隐私计算等,地理上可能跨越多个省份。行政区域乃至国际区域都需要审核数据。无论是在监管协调还是技术成熟度方面,都有很多未确定的环节需要探索。所以,我估计这个阶段需要很长时间。细读《数据安全法》,主要有以下几点:(1)职能作用:国家互联网信息办公室是统筹协调网络数据安全和相关监管工作的部门;工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业和领域的数据安全监管职责;公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自的职责范围内承担数据安全监管职责;(2)制度:国家建立数据分类分级保护制度——这也是很多数据安全分类产品出现的背景;国家建立数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行国家安全审查——这也是滴滴和BOSS最早实施数据审查的几起企业案例的法律背景去年的智拼。(三)法律责任:明确数据安全泄露事件可追究刑事责任;如果国家机构的数据泄露,领导者将受到处罚甚至判刑。另外,从立法的深层含义来看,不仅仅是保护数据本身的安全。从未来数字社会的蓝图来看,数据已经成为未来的生产要素之一,类似于石油等资源。也就是说,未来丰富的数据资源可以得到充分的整合、挖掘,产生新的生产力。因此,数据安全法也体现了国家将数据作为未来的战略资源,予以高度重视和保护。3、数据安全产品分类从产品类型来看,数据安全产品大致可以分为两类:特定目标防护产品和平台产品。产品的历史大致从1990年代末到现在,一共走过了20年左右。历史。单点保护产品(2000-2015)主要以数据库保护和电子文档保护产品为主,以特定的保护对象为保护对象,解决特定的安全保护需求,专注于单点产品,如:电子文档加密、DLP(数据泄露保护)数据脱敏存储备份数据库审计代表企业有易赛通、明朝万达、安华金禾、美创、睿数等平台产品(2015-至今)数据安全治理(两种技术路线:一是与数据分类为主线,以数据生命周期为主线(DSMM))隐私计算数据分类等代表企业有安恒、绿盟科技、奇安信、华控、蓝象、全智、美创等。单点保护产品(老产品),通用特性是根据特定场景的需要,比如数据库、文档的防护产品nt加密产品,属于单点产品。这类产品大致占软硬件类型的一半,技术难度相对较高。例如电子文档加密产品,技术难点不仅在于加密,还在于按权限控制分发,兼容多种文档格式;数据库审计,难点在于以黑盒方式识别各种商业数据库的协议和操作内容,减少因协议误判造成业务中断的影响。老产品已经走过了十多年。相对而言,功能和需求场景都比较确定,形成了数据安全的基本产品族。每个对应的子领域都有标杆厂商,代表厂商有易赛通、明朝万达、安和金华等,这里不再赘述。再看平台产品。是近几年的新产品,主要解决近几年大数据应用带来的新的安全问题。举一个新需求的例子。《数据安全法》去年出台,第21条明确规定“国家建立数据分类分级保护制度”,指的是数据在经济社会发展中的重要性,一旦被篡改、毁坏、泄露或者被非法利用根据对国家安全、社会公共利益或个人和组织合法权益造成的危害程度,按照获取和非法使用的程度对数据进行分级分类。那么需求就来了。之前的保护对象是数据库或者文档,没有分类要求。但是现在保护的对象是一个地区或者一个单位的所有数据源,在做保护之前,首先要进行梳理和分类。传统的数据安全产品显然不具备这样的功能。相应的,产品品类诞生了——数据分类分类产品,比如无所不知的“数据资产地图系统”,从官网介绍到简介:“数据资产地图系统”是面向企业的静态数据资产自动化数据分类和分析的数据发现和数据安全产品,通过全面盘点数据资产和整理识别数据,自动扫描和识别复杂环境中的敏感业务信息。同时,通过对数据进行归类分类,形成重要数据资产清单,有效识别数据风险,为企业数据资产管控提供安全规范和技术依据。产品架构如下:原理大致如下:第一,通过扫描连接各种数据源(数据库),全面扫描收集数据资产;然后,自动识别和分类数据,并标记它们。存储在大数据系统中;最终形成数据资产列表,可视化整个网络的数据资产。又如:某大型企业下辖十几家子公司,数据来源多样,分布在不同的物理位置。在日常工作中,总部需要收集子公司的数据,子公司也会使用总部的数据。数据交叉环节多,难以管控,资产不明朗,风险隐患重重。以上问题单点安全产品无法解决,属于数据安全治理范畴。客户需要这样一个系统:能够有效发现数据资产(包括子公司的数据资产),形成数据资产地图;它可以定义、识别和标记重要数据;可以针对不同数据源发布安全访问策略,控制数据访问权限;能够持续监控数据安全风险;能够追踪数据风险;典型的产品结构如下:还有一类产品,比较新,叫做隐私计算产品。我们知道,很多行业,比如政务、医疗、金融等行业和组织,都拥有大量有价值的数据。在社会治理或商业数据挖掘的需要下,需要结合这些数据进行二次挖掘。通俗地说,需要根据不同行业提供的数据源,挖掘出有价值的分析结果,但不可能把各个行业的数据全部拿走。最简单的例子就是疫情分析,比如张三去过哪些地方,有过哪些密切接触,是否有疫情扩散的风险。我们需要知道结果,但我们也必须确保这些信息的隐私,防止信息泄露。如果没有隐私计算机制,这些行业的客户不敢、不愿意、也不能开放数据共享。因此,必须有一类产品可以作为数据交换平台,可控地将数据开放给第三方进行数据挖掘分析。第三方在平台上的数据挖掘行为可被监督、审计、追溯;原始数据不从本地出来。受益人只能获得经审计的价值数据。最后保证数据所有权和使用权的分离,可用性不可见,可用性不可取。帮助企业打造数据交易新模式,合法合规安全开放数据,释放数据潜在价值。隐私计算相对较新,主要依赖于几个核心的数学概念。只有理解了这些概念,你才能理解这个产品:联邦学习是一种分布式机器学习技术。模型的结果,但不会带走参与的数据。比如计算“某类疾病患者最喜欢去的十大地方”,需要聚合不同地方的医院医疗数据和客户数据,进行联邦学习模型计算,得到这个统计结论。运算主要通过数学模型进行,过程中不会带走原始数据。其核心思想是以本地数据在多个数据源之间进行分布式模型训练,不交换本地个体或样本数据,仅通过交换模型参数或中间结果,构建基于虚拟融合的模型数据下的全局模型,因此从而实现数据隐私保护和数据共享计算之间的平衡,即“数据可用但不可见”和“数据不动而模型动”的新应用范式。一般来说,同态加密是指每个数据源单元提供加密数据,不影响数据模型预算的结果。具体来说,同态加密是利用数学算法对同态加密后的数据进行处理,得到一个输出,并对这个输出进行解密。结果与用同样的方法处理未加密的原始数据得到的输出是一样的。的。例如,数据提供者担心数据的来源信息会被计算平台拿走,所以采用特殊的算法对原始数据进行加密。数据平台无法获取原始数据,但可以通过数学算法得到统计结果。可信计算环境(TrustedComputingEnvironment)可信执行环境(TEE)通过软件和硬件的方式在中央处理器中构建一个安全区域,确保内部加载的程序和数据在机密性和完整性方面得到保护。TEE是一个隔离的执行环境,它为运行在设备上的可信应用程序提供比通用操作系统(RichOperatingSystem,RichOS)更高级别的安全性,也不仅仅是一个安全元素(SecureElement,SE)。功能。隐私计算产品的基本原理是利用上述算法,综合利用脱敏、加密等技术,为所有数据源提供一个安全、私密的计算平台,运行不同的数据统计模型。该类产品的主要客户为数据来源多样、跨行业、跨部门的企业或机构,如大数据局、医疗、安防、能源、政府等单位。此外,近年来,我国还成立了多家区域性大数据市场平台公司。每个数据源都可以以商品的形式提供,在满足安全、隐私、合规的前提下,打造社会生存的二次数据挖掘平台。价值。4、数据安全产品的难度不同于一般的网络安全产品。数据产品更多依赖业务。数据安全产品的复杂性主要是基于这个原因。总的来说,由于数据安全产品更贴近客户的核心业务,因此产品的准确率会高于一般的安全产品。因为一个错误的规则,很可能导致客户业务的灾难性中断,或者核心数据的损坏。此外,数据安全产品的实施成本特别高,主要是因为与业务的耦合度很高。开发部署阶段会涉及到大量的对接、修改以及后续的运维工作。从商业的角度来看,这种情况算不上“好产品”,因为客户有特殊需求,无法做到批量复制和快速销售,短期内难以增长。另一个问题是风险大,责任大。数据安全产品一旦出现问题,将导致客户数据丢失、业务中断、数据无法解密等。这些情况是客户无法承受的,同时也具有极高的责任风险。因此,技术不熟练的厂商是不敢碰这类产品的。此外,还有一个非技术难点,就是各个部门的数据要打通,而数据又是各个部门的核心业务,这就意味着首先要调整组织架构。如果不重组组织架构,数据安全产品的落地阻力会很大。重组组织架构,就是调整岗位。在实际工作中,这是极其困难的,需要很长时间才能完成。具体来说,主要难点有:(1)数据源对接困难。各种商业数据库都是闭源产品,协议黑箱,版本多变,缺乏统一标准。因此,在连接各种数据源时,协议分析这块特别费工费力。(2)分类分级对各类数据进行分类分级难,不仅是算法的问题,更难的是安全厂商不具备各行业的业务知识,如何准确识别某类数据属于哪一级别某个行业属于什么,如何分类需要大量的专业知识和实施成本。(3)算法难。目前,脱敏、隐私计算等算法还不够成熟,运行效率有限,会导致数学模型计算的结果不准确。在“计算”与“隐私”之间,完美的算法平衡点是非常难的。掌握难度大,往往难以兼顾安全和保密。(4)控制难,因为业务系统是耦合的,所以如果要对某个数据操作进行“阻塞”等操作,很难准确把握控制的时机和效果,错误的影响对业务系统的阻塞灾难性后果(5)业务耦合复杂由于业务耦合较多,部署实施中涉及较多的对接、修改和调整,导致软件实施和二次开发成本巨大,周期长产品实施周期5.总结数据安全产品,增速高于网络安全产品,5年内市场份额将增长到600亿左右。这几乎是2021年所有安全产品市场份额的总和,未来数据安全领域肯定会有新的颠覆性巨头企业的出现。数据安全不仅是产品问题,更是组织、流程、人的综合问题。未来的产品趋势是产品+平台+运营,综合解决方案模式将成为市场主流。虽然困难重重,但数字社会的建设是一个不可阻挡的过程,我对数据安全的前景非常看好。随着人类社会的发展,不采用数字治理的方式就不可能进行新的科技革命。这是时代的内在要求,毋庸置疑。至于技术问题,预计大部分将在未来3-5年内得到解决;组织结构问题也将随着时间的推移逐步解决。那么未来3年预期的市场爆发高点就会出现,就等着吧。国家明确将数据作为战略性资源予以高度重视,相关法律法规在过去一年也得到了密集落实。相比之下,安全企业还需要跟上国家对数据安全的认知水平,加大投入,才能走得更远。
