1. 数据安全:数字经济发展的“盾”
数字经济是现代化产业体系的重要组成部分,近年随着相关政策的支持,数字经济快速发展,其辐射范围广,影响程度也极其深远。数字经济肩负着重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键任务。
数据安全是数字经济发展的盾。数据是数字经济发展的最基本也是最核心的要素,而保护数据安全则是数字经济发展的重中之重。何为数据安全?《中华人民共和国数据安全法》中第三条,给出了相关定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。从数据角度看,数据安全是指在数字信息的整个生命周期中保护数字信息不受未经授权的访问、损坏或盗窃。 数据安全有两方面含义:一是数据本身的安全,主要是指采用现代密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等,二是数据防护的安全,主要是采用现代信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,数据安全是一种主动的保护措施,数据本身的安全必须基于可靠的加密算法与安全体系,主要是有对称算法与公开密钥密码体系两种。
1.1. 信息安全、数据安全、网络安全区别及联系
国际标准化组织(ISO)对信息安全的定义是为数据处理系统建立和采用的技术、管理上的安全保护,为的是保护计算机硬件、软件、数据不因偶然和恶意的原因而遭到破坏、更改和泄露。这里面既包含了层面的概念,计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面,又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。 网络安全的定义可以从狭义和广义两个角度看。狭义角度上在针对网络中的一个运行系统而言,网络安全就是指信息处理和传输的安全。它包括硬件系统的安全、可靠运行,操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等,狭义的网络安全,侧重于网络传输的安全。 广义的网络安全是指网络系统的硬件、软件及其系统中的信息受到保护。它包括系统连续、可靠、正常地运行,网络服务不中断,系统中的信息不因偶然的或恶意的行为而遭到破坏、更改或泄露。
在大数据的概念出现以前,广义的信息安全范围最广,能够涵盖网络安全和数据安全。早期的网络安全概念通常泛指保护由计算机网络 (特别是接入互联网的网络)连接的软硬件信息基础设施能够持续正常运行,防范外部攻击者对信息系统及其中存储的数据进行破坏和篡改或者对秘密数据进行窃取。同时期的数据安全一般被理解为对信息系统中重要数据进行保护,因此可视作网络安全范畴的子集。 随着移动互联网、物联网、人工智能等技术的迅猛发展,网络的概念开始由传统的计算机网络不断向云、边缘、终端等新的衍生概念延伸,早期的网络安全也相应演变为与陆、海、空、天等国家安全概念相提并论的网络空间安全 (Cyber Security) 的简称。数据安全概念的发展速度比网络安全有过之而无不及,当下一般将数据安全解读为以数据为中心,保护数据在其生命周期内的安全性,现今数据安全的概念范畴尽管仍与网络安全拥有大量重合,但已不再完全是网络(空间) 安全的子集。综合来看,网络安全侧重于网络环境与计算资源的安全防护范畴,而数据安全则更侧重于促进与保障数据开发利用、数据价值的释放。
1.2. 数据安全的发展历程
数据安全的发展历程可划分为三个阶段:1.数据库和文件系统安全。2.数据生命周期的安全。3.数据基础设施和数字化业务过程中的数据安全。 在网络架构相对简单的早期,数据一般只在服务器、网络和办公电脑之间流存,因此数据安全通常被定义为数据库安全和内部数据防泄漏,通过如设置数据库权限、复杂密码等方式保护好数据库,通过规范员工行为、文档加密等方式防止内部数据泄漏。 随着互联网的快速发展,信息化程度的不断提升和数据时代的到来,数据的流存节点和区域变得繁杂,流动量呈现指数级增长,使用方式也不断多样化,数据安全作为独立的安全体系被重新定义,形成以数据生命周期为核心的大数据安全。数字化时代新的数据安全,包含了以数据为中心的安全体系,以数据的采集、传输、存储、处理(使用)、交换(共享)、销毁等覆盖全生命周期的安全为目标,侧重于从数据产生到销毁的全生命周期的保护,保护方式类似于伴随数据全生命周期的安保人员,强调数据的所有权、管辖权、隐私权等。发展到现在,主要包括数据治理、数据库安全、大数据安全、数据生命周期安全、隐私计算等主要细分赛道。
2021 年是我国数据安全的元年,随着《数据安全法》和《个人信息保护法》先后正式生效,我国在数据安全治理已经形成以法律、行政法规、部门规章及规范性文件、地方性法规、以及相关行业标准、指南等相结合的综合性治理体系,不断加强数据治理的规范建设。其中,《网络安全法》从法律层面保障了广大人民群众在网络空间的利益,有效维护了国家网络空间主权和安全,是国家基本法律;《数据安全法》、《个人信息保护法》从法律层面提供了数据安全保障和个人信息保护是相关领域的基础性法律。《网络安全法》、《数据安全法》以及《个人信息保护法》共同构成了我国数据保护的基础体系。
a. 《网络安全法》保障网络与信息安全
我国于 2016 年颁布并于 2017 年施行的《网络安全法》是我国网络安全管理方面的第一部基础性立法,旨在应对我国网络安全领域的严峻形势,以制度建设加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪。《网络安全法》全面地规定网络与信息安全治理的基本规则,以网络运营者及关键信息基础设施运营者为主要规制对象,明确网络运行安全、网络信息安全、监测预警与应急处置等方面的义务。 近年来,各机构因网络安全防护能力薄弱进而导致的网络攻击、网络安全事件层出不穷、数据泄露及毁损危机凸显,由于网络安全的一大重要内容即是保障网络数据的完整性、保密性、可用性的能力,因此《网络安全法》对于构建数据安全保障体系有着重要的意义。
b.《数据安全法》构建数据安全治理框架
由于数据安全已成为事关国家安全与经济社会发展的重大问题,为了有效应对数据这一非传统领域的国家安全风险与挑战,切实加强数据安全保护,维护公民、组织的合法权益,并发挥数据的基础资源作用和创新引擎作用,推进政务数据资源开放和开发利用,2021 年我国颁布并实施《数据安全法》。《数据安全法》作为数据领域的基础性法律,重点确立数据安全保护管理各项基本制度,构建起数据安全治理的框架,强调数据开发利用与保障数据安全并重的思路,将个人、企业和公共机构的数据安全纳入保障体系,确立了对数据领域的全方位监管。
c.《个人信息保护法》保障个人信息全生命周期处理的安全
相较于一般数据,个人信息因对个人权益的影响需要进行专门的保护。为了解决一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众生命健康和财产安全等问题,在保障个人信息权益的基上,促进信息数据依法合理有效利用,2021 年颁布并施行的《个人信息保护法》以数据中的“个人信息”为主要规范对象,划定个人信息全生命周期处理的安全保护规则,以保护个人信息权益、促进个人信息合理利用。
1.3. 数据安全赛道细分
数据安全的细分赛道众多,可划分为四个大类18个技术领域。
18 个数据安全技术领域涉及数据安全治理、数据安全态势感知、数据服务、大数据安全管控与防护、API 安全、数据库防火墙、数据库审计、数据库加密、数据库运维、数据库保密检查、文档加密、数据脱敏、DLP、数据水印、数据备份/恢复/销毁、APP隐私检测与保护、隐私计算、隐私管理。其中DLP和数据库安全是国内数据安全领域最大的两个子市场,市场规模均在10 亿以上。
2. 数据安全行业现状及未来趋势
数据安全面临的风险与日俱增。IBM《2021 年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来 424 万美元的损失为 17 年来之最。其中,大型数据泄露的平均成本达到 4.01 亿美元,泄露记录达到 5000 万到 6500 万条。据 Verizon《2021 年数据泄露调查报告》指出,2021 年数据泄露的主要原因是 web 应用程序攻击网络钓鱼和勒索软件,其中 85% 涉及人为因素。该报告分析了 79635 起事件,其中29207 起符合分析标准,5258 起确认是数据泄露,这些事件来自全球 88 个国家。据中国软件评测中心持续对电信和互联网行业的威胁监测和远程检测结果分析,发现安全漏洞或问题 80% 和数据安全相关,主要包括SOL注入、非授权访问、数据泄露三大类。其中实现非授权访问的原因多样,包括弱口令、授权绕过、未进行身份验证等。数据泄露方面甚至存在源代码泄露。 数据安全行业的基本现状可以先从风险态势来看,我们将其分为外部与内部数据安全风险。
外部数据安全威持续升级。业务数字化、信息系统云化、安全边界模糊化等众多正在加速演进的时代发展趋势,使得企业或组织面临的外部数据安全威胁也在相应发生变化。在数据时代,通过漏洞利用、防护绕过等手段侵入企业或组织的内部网络实现数据窃取或破坏的安全事件仍常有发生,但随着网络安全防护设施的普及和加强,明显增加了侵入内部网络的难度。伴生而来的新的攻击和外部数据安全威胁层出不穷,导致数据的窃取、篡改和非法使用等威胁。内部数据安全风险日益严峻。相比持续升级的外部数据安全威胁,日益严峻的内部数据安全风险更是让企业或组织感到迫在眉睫。其主要风险包括内部人员有意或无意行为引发的数据安全风险、敏感个人信息非法利用严重侵害个人权益、业务频繁变化引起的数据误用、滥用等。
2.1. 数据安全行业规模
数据安全的发展与数字经济高度相关。国务院发展研究中心市场经济研究所所长王微在中国发展高层论坛2023年年会上表示,全球新一轮技术革命方兴未艾,特别是以数字技术为核心的信息技术革命正在实现群体突破和加快广泛深度应用。2022 年中国数字经济规模超过 50 万亿,占 GDP 比重超过40%,继续保持在 10%的高位增长速度,成为稳定经济增长的关键动力。从 2012 年至 2021 年,我国数字经济规模从 11 万亿元增长到超 45 万亿元,数字经济占国内生产总值比重由21.6%提升至 39.8%,发展势头迅猛。
规模小、增速快、细分领域多是现阶段中国数据安全市场的特点。据中商情报网讯,数据显示,2017-2021 年,中国数据安全市场规模由 22.9 亿元增长至 70.9 亿元,复合年均增长率达 32.6%。未来,数据安全技术将持续突破,数据安全在不同行业领域的应用将逐渐深入,预计 2023 年我国数据安全市场规模将达 109.5 亿元。此外工信部等 16 部门发布的《关于促进数据安全产业发展的指导意见》提出促进数据安全产业发展的总体要求,分两个阶段明确发展目标。到 2025 年,数据安全产业基础能力和综合实力明显增强,产业规模迅速扩大,数据安全产业规模超过1500 亿元,年复合增长率超过 30%。我们认为工信部等部门提到的 1500 亿目标与中商情报网预测差异较大因素在于统计口径的不同,工信部等部门可能将网络安全市场规模纳入了数据安全市场规模合并计算。但无论从哪个口径看,数据安全都是整个信息安全领域中增速最快的方向。
海外数据安全市场相对国内来看规模更大,但也存在市场规模显著低于同期网安市场规模的特点。根据VMR统计,2019 年全球数据安全市场规模约为 173.8 亿美元(按 2019 年美元平均汇率,折合人民币 1199.22 亿元),2019-2025 的复合增速预计为 17.35%,约为同期全球网络安全市场规模的 13.73%(Gartner 测算 2019 年全球网安市场规模为 1265.49 亿美元)。
2.2. 数据安全行业供需情况分析
需求侧:数据需求量呈井喷式增长,数据安全市场乘势而起。 根据 IDC 发布的《数据时代 2025》预测,全球数据量将从 2018 年的 33ZB 增至2025 年的 175ZB,增长超过 5 倍;中国预计到 2025 年数据量将增至 48.6ZB,2018 年至2025 年 CAGR 为 30.35%。其中,中国企业级数据量将从 2015 年占中国数据量的49%增长到 2025 年的 69%。 在数据泄漏事件激增、数字化转型加速、远程办公需求上升等多因素叠加影响下,企业对数据安全的重视程度显著增加。据数说安全研究院近期发布的《数据安全市场研究报告》统计,2021 年中国数据安全采购的项目数量约为 230000 个,同比增加约 28%,其中,专项采购约为 3000 个,同比增长 43%,显著高于行业平均水平。
数据安全采购还呈现出明显的区域特征,即采购用户主要分布在经济较为发达和数字化建设水平较高的京津冀地区、长三角地区、粤港澳大湾区和川渝地区。分行业来看,政府、医疗卫生、教育和公检法司是数据安全项目的主要采购行业,占整体采购量的 81%,但是专项采购占比和增速较低。电信、企业、金融和能源化行业虽然整体采购数量较少,但是专项占比和增速较高。党委部门和交通行业的项目数量、增速及专项项目占比处于较低水平。据中商情报网讯,2021 年中国数据安全项目整体分布中,政府采购量占比达到 36.8%,教育和医疗卫生领域占比都达到 17.3%,公检法司领域占比 9.4%,电信行业占比 5.4%,随后企业、金融、能源化工、交通等领域占比相近。
供给侧:随着数字经济的高速发展,企业争相布局数据安全赛道,供给端竞争愈发激烈。中国数据安全相关专利申请数量由 2015 年的 809 件增长至 2021 年的2193 件,呈增长趋势,复合增长率为 18.08%。
据统计,2021 年中国数据安全相关投资事件为 54 起,达历史峰值,投资金额135.34 亿元。截至 2022 年 10 月 25 日,数据安全领域投资数量为 35 起,投资金额达62.84 亿元,预计 2022 年投资数量和投资金额将继续增长。
中国数据安全领域呈现龙头少,集中度低,分布较为分散的特点。数据安全市场的主要参者包括综合型的安全厂商(奇安信、启明星辰、绿盟科技、天融信、安恒信息等)和专注于数据安全领域的安全厂商如安华金和等。整体来看,综合型安全厂商一般是网络安全行业的领军企业,产品线齐全,销售渠道广,具有较强的咨询、框架和整体解决方案的能力,在部份头部客户和项目的竞争中有较大优势。专业数据安全厂商也是重要的参与者,其一般对特定业务有深入了解,专注于相应领域的数据安全产品,例如安华金和 就是一家专业数据库安全产品和服务提供商。国外的数据安全领域也未形成独角兽企业。2021 年 Gartner 数据安全技术成熟周期报告中统计了 193 个厂商,提供了 26 个小类的产品和技术,其中 98 个类目产品,有两个及以上厂商投入,说明数据安全领域得到了广泛参与,市场热度高,但技术跨度大,即便是 IBM、Microsoft 这种大厂也很难全栈跨越。
2.3. 数据安全的驱动因素及未来推演
我国的数据安全主要由政策合规,数据安全事件以及新兴技术驱动。 政策合规方面我们前文已经总结了《网络安全法》、《数据安全法》与《个人信息保护法》的相继颁布实施极大促进了我国数据安全发展,《网络安全法》更是国家的基本法律。 数据安全事件造成损失严重。IBM《2021 年数据泄露成本报告》指出,每次数据泄露事件平均为公司带来 424 万美元的损失为 17 年来之最。目前各大信息化企业均在密集发布数据安全相关的行业监管标准以及分类分级标准,甚至一些行业已将数据安全列入了考核办法。 2019 年 11 月阿里云计算有限公司未经用户同意擅自将用户留存的注册信息泄露给第三方合作公司,公司回应称系一名电销员工违反公司纪律透露给分销商员工,已严肃处理。该事件引发了各大企业的担忧,企业是否上云,上云后如何保障数据安全?
淘宝报警称,2020 年 7 月 6 日至 13 日之间,有黑产通过 mtop 订单评价接口绕过平台风控批量爬取加密数据,爬取字段量巨大,平均每天爬取数量 500 万,爬取内容包括淘宝客户数字 ID、淘宝昵称、手机号码等淘宝客户信息共计 11.8 亿条,导致了严重的数据泄露事件,危害了用户的个人信息安全,也反映出互联网平台风控机制的漏洞。 2021 年 6 月 30 日,滴滴在美国纽交所挂牌上市。滴滴赴美上市引发监管关注,2021 年 7 月 2 日,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。之后国家互联网信息办公室发布了两则通告,认为“滴滴出行”“滴滴企业版”等滴滴旗下 APP 存在严重违法违规收集使用个人信息问题,要求应用商店下架对应 APP。 新兴技术如人工智能、云计算 5G、物联网等快速发展、交叉融合,“技术—产业”迭代交互效应持续增强,对数据安全发展产生了深远影响。新技术应用的过程中会产生的大量数据,而我们则需创建保护措施,保障数据的安全合规。
2.3.1.数据安全行业未来推演
参考《数据安全治理白皮书 4.0》,我们发现面向数据安全治理涉及的复杂的监管与合规需求,数据安全防护技术也需要进行体系化的应对。数据防护技术在传统的注入或漏洞攻击防护、认证与访问控制、加密、审计、去标识化技术的基础上也在进行着持续的技术演进,同时,这些技术也在快速实现国产化落地,拥抱国产化趋势。对演进趋势总结归纳为以下几点:
1) 场景化主动防控手段纳入数据安全技术体系
鉴于数据资产与业务的强相关性,需要根据业务的流程和特点,面向数据资产价值及防护诉求不同,针对数据流转的风险暴露面,确定合适的数据安全防护技术手段,突破传统的基于网元的一刀切式防护手段,构建动态、按需的体系化技术防护框架。
2) 密码技术保护数据安全将成为热点
在数据处理活动中,数据收集、存储、使用、加工、传输、提供、公开等每一个环节,其目标不外乎“使用”这些数据,或“加工”这些数据,创造新的价值,从而释放数据红利,为社会发展提供强大的推动力。从数据安全的角度来看,保护数据完整生命周期的安全,例如数据安全收集、安全传输、安全存储,其根本目的是确保数据在“使用”时是真实可信的,对这些数据进行“加工”所获得的价值是有效的。当前,在保证数据使用安全方面,机密计算、隐私计算等基于密码技术保护数据交易、共享安全的落地化实践场景已经展开。
3) 数据安全防护与 AI 技术融合愈加成熟商用
面向数据资产识别、数据分类分级、数据流转的风险分析等安全防护手段,单纯依赖传统的基于人工设定规则 /策略的防护技术,在处理效率、准确性、全面性等方面已经无法满足日趋复杂的数据安全防护需求,通过引入自然语言处理 (NLP)、用户异常行为分析(UEBA)、知识图谱(KG)等人工智能技术,与传统的安全技术进行有效融合并实用化,已较好的推进了智能化数据分类分级、智能化风险分析的进展,极大的提升了数据安全防护的水平。
4) 单点技术向平台化融合技术发展趋势愈加强烈
围绕数据全生命周期,在周期各阶段节点的单点防护技术手段已日益健全,但基于安全木桶效应,数据流转需要体系化防护,建立集中化、联动化的安全防护平台,将这些单点技术进行有效串联实现面向数据安全风险的动态、纵深防御已成业内共识,零信任平台,隐私计算平台、安全监测平台安全运营平台等平台化技术得到蓬勃发展,在数据收集、存储、使用、加工、传输、提供、公开等应用场景中开展了广泛实践应用,有效的支撑了数据安全治理实践。
从Gartner2021 年发布的数据安全技术成熟度曲线来看,数据安全是持续创新的赛道。在创新萌芽阶段、炒作高峰阶段、滑入低谷阶段、稳步发展阶段和市场成熟阶段均有较多的技术方向,保持了持续的高热度。在数据安全领域,隐私计算(安全多方计算、同态加密、差分隐私),隐私合规(隐私管理工具、隐私保护设计、隐私影响评估)成为热点。Gartner 预测 2020 年开始,数据安全新技术迅猛增加,其中安全多方计算、同态加密、差分隐私等隐私计算技术近两年发展势头强劲。政策驱动(GDPR,个人信息保护法)带来隐私保护合规的需求,从 Gartner 报告看,隐私管理工具(PMT)、隐私保护设计(PbD)、隐私影响评估(PIA)处于快速发展阶段。 Gartner预计在未来五年内,将会有几种技术会进行融合数据治理和数据安全的集成EKM和 KMaaS的集成。数据监控和保护技术的集成,正在数据安全即服务(DSaaS)、数据安全平台、多云数据库活动监控(DAM)等新技术中出现。DSG、DRA、FinDRA、PIA 和数据泄露响应流程越来越需要执行一致的政策,特别是在数据驻留的影响和新的隐私法不断出台的情况下。
