数据安全技术和市场的学习
发布时间:2022-08-27 09:51:30 所属栏目:安全 来源:互联网
导读:前言 数据安全,从本质上来说,几乎是所有安全产品的终极防护目标。从广义来讲,大部分攻击行为,都和数据有关。例如勒索病毒,它最初是利用系统漏洞攻入,找到硬盘上的重要数据并加密,最终目是收取解密费。从这个角度看,不论是网络安全产品,还是数据安全
|
前言 数据安全,从本质上来说,几乎是所有安全产品的终极防护目标。从广义来讲,大部分攻击行为,都和数据有关。例如“勒索病毒”,它最初是利用系统漏洞攻入,找到硬盘上的重要数据并加密,最终目是收取“解密费”。从这个角度看,不论是网络安全产品,还是数据安全产品,最终目标都是为了保护用户的数据安全。 数据安全是如此重要,然而却又如此复杂。因为技术的复杂性,以及和业务结合的复杂性,过去十几年一直没有占据安全市场的主要比例。这种情况现在发生了一些改变,或者说迎来了契机——从国内外近年来数据安全事件频发的形势、数据作为生产要素的新的认知、以及立法的密集程度,可以预测到数据安全市场未来会占据通用安全市场越来越多的份额,也会以更快的增长速度持续增长。 1. 数据安全市场整体情况 规模 按照2019年数据看,根据海外市场研究机构VMR统计,全球数据安全市场规模约为173.8亿美元,2019-2025之间预测该市场年复合增长率约为17.35%。根据国内机构统计,2019年我国数据安全市场规模仅为38亿人民币元,仅占全球数据安全市场规模的3.4%。相比较于中国安全整体市场占全球份额7%的比例,数据安全市场的比例也是偏低的。 增速 看看市场增速整体情况,全球网络安全市场的年复合增长率为9.7%,数据安全的年复合增长率约为17.35%,说明数据安全市场的增速远大于平均安全市场增速。 基础投资下的高增长预期 另外,从基础设施投资角度看, IDC预测中国数据量增速最为迅猛,预计2025年将增至48.6ZB,占全球数据圈的27.8%,成为全球最大的数据圈。那么如果从投资角度看,中国数据安全市场的份额理论上应在2025年占到全球的27.8,而现在仅为3.4%,这里面也有很大的增长空间。 从上可分析,未来中国数据安全市场容量有巨大的增长空间。如果以2025年作为时间节点来推测,按照全球年复合增长率约为17.35%推测,全球在2025年数据安全市场规模会达到532.63亿美元;按照中国27.8%的数据总量占比折算,国内2025年的数据安全市场理论上应该达到148亿美元。今年已经是2022年了,按照这个推测,未来5年,数据安全市场会形成一个千亿人民币级别的子市场。 查阅了一些其他机构统计的数据和分析,大致基本吻合。不过,实际上需要考虑到中美安全市场大概3年的时间差,以及基础设施投资后业务上线的时间周期,整体打一个7折来估算,2025年国内数据安全市场大致应该是103亿美元左右总盘子,折合人民币600亿人民币左右。 2. 数据安全立法情况 国内外主要相关法律法规情况如下: 美国:《加州消费者隐私法案(CCPA)》,2022年4月; 欧盟:《通用数据保护条例(GDPR)》,2018年5月; 日本:Act on the Protection of Personal Information,“APPI”),2003年5月; 中国:《中华人民共和国数据安全法》,2021年6月;《中华人民共和国个人信息保护法》,2021年4月; 国外数据安全相关立法,主要以保护个人数据隐私安全为主;国内的两部法律,除了保护个人,还有保护国家数据安全的要求。 有了顶层立法,各主要行业随后跟进落地本行业相应的技术规范,如金融行业陆续发布了《个人金融信息保护技术规范》、《金融数据安全数据安全分级指南》、《金融数据安全数据生命周期安全规范》,其他行业如运营商、政府、证券、医疗也陆续发布了对应的行业规范。 按照国内安全相关立法到落地的节奏,一般是先“初稿征询意见”->“经过1年左右的公示,正式颁布”->“各行业跟进,指定对应的技术规范和执行细则”->“产品和检查措施落地”->“市场爆发”。 目前数据安全市场中的新需求部分“隐私保护”“数据分级”“大数据安全利用”这几块,还处于“各行业跟进,相关技术规范和执行细则落地”这个阶段。因为数据安全涉及面比较多,在这个阶段还是比较需要严谨的,具体是需要一些实际的探索和讨论,以及典型案例的实际运作探索,最终形成明确的完善的落地执行细则这样。 举例来说,比如一个互联网交通企业的数据安全,可能会涉及交通、金融、公安、税务等各个部门,技术上会涉及传统数据库、大数据、隐私计算等等,地域上可能会跨多个省行政区域甚至国际区域,要做数据审查,不论从监管的协调,还是技术的成熟度,都具备很多未确定的需要探索的环节,因此这个阶段我估计时间会比较久一些。 通读数据安全法,核心点主要有如下几个: (1) 职能角色:网信办是总体协调部门,负责统筹协调网络数据安全和相关监管工作;工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责;公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责; (2) 制度:国家建立数据分类分级保护制度——这也是目前很多数据安全分级产品的产生背景;国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查——这也是去年滴滴、BOSS直聘等数据审查的落地头几个企业案例的法律背景。 (3) 法律责任:明确了数据安全泄露事件,是可以入刑责的;如果是国家机关的数据泄露了,一把手是要被处分甚至判刑的。 另外,从立法的深层意义看,不仅仅是保护数据本身的安全。从数字社会的未来蓝图看,数据已成为了未来的生产要素之一,类似于石油这样的资源。也就是说,未来的丰富的数据资源,是可以充分的融合、挖掘,并产生新的生产力的。所以,数据安全法也体现了国家会把数据视为未来战略资源,并会高度重视以及加以保护的考虑。 3. 数据安全产品分类 从产品类型角度分类,数据安全产品大致可以分为特定目标防护产品和平台类产品两类,产品的历史大致是从90年代末到现在,一共走过了20年左右的历史。 单点防护产品(2000年—2015年) 主要是围绕着数据库保护和电子文档保护为主的产品,以特定防护目标作为防护对象,解决特定安全防护需求的问题,以单点产品为主,比如: 电子文档加密、 DLP(数据防泄漏保护) 数据脱敏 存储备份 数据库审计 代表企业有亿赛通、明朝万达、安华金和、美创、瑞数等。 平台类产品(2015年—至今) 数据安全治理(两类技术路线:一类以数据分级为主线,一类以数据生命周期为主线(DSMM)) 隐私计算 数据分级等 代表企业有安恒、绿盟、奇安信、华控、蓝象、全知、美创等。 单点防护产品(老产品),共同的特征是以某个特定场景的需求为主,如针对数据库的防护产品,对于文档的加密产品,属于单点产品。这类产品产品形态硬件和软件类型大致各占一半,技术难度较高,如电子文档加密产品,技术难点在于既要加密,又要能按照权限控制分发,并且兼容各种文档格式;数据库审计,难度在于黑盒的模式下去识别各种商业数据库的协议和操作内容,以及减少因为协议的误判对业务造成的中断影响。老产品走过了十几年的时间,相对来说功能和需求场景都比较确定,组成了数据安全的基础产品族。对应的每个子领域都有标杆厂商,代表厂商有亿赛通,明朝万达,安和金华等,在这里不过多赘述。 再看一下平台类产品。 属于近年的新产品,解决的主要是近年来大数据的应用带来的新的安全问题。 举个新需求的例子。 去年颁布的《数据安全法》,第二十一条明确规定了“国家建立数据分类分级保护制度”,指的是根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。 那么需求来了,以前的保护对象是一个数据库,或者一个文档,没有分级分类的这个要求。而现在保护的对象,是一个区域、一片单位的所有的数据源,且在做防护之前,首先要梳理清楚,做好分级分类。传统数据安全产品显然不具备这样的功能。 相应的,产品的品类就诞生了——数据分级分类产品,比如全知的“数据资产地图系统“,从官网介绍可到介绍:“数据资产地图系统”是一款面向企业静态数据资产发现并进行自动化数据分类分析的数据安全产品,能够通过全面盘点数据资产、梳理标识数据,实现在复杂环境下自动化扫描并识别定位敏感业务信息。同时,通过数据的分类分级梳理,形成重要数据资产清单,并有效识别数据风险,为企业数据资产管控提供安全规范和技术依据。 (编辑:南阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
