一、数据安全进入快速发展期
根据《中华人民共和国数据安全法》中第三条,给出了数据安全的定义,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。
根据《GB/T37988-2019信息安全技术数据安全能力成熟度模型》国家标准,数据的生命周期分为采集、传输、存储、处理、交换和销毁六个阶段,在各个阶段对于数据安全的核心技术能力诉求如下图所示:
| 数据安全各个阶段对于数据安全的核心技术能力诉求 |
资料来源:深信服官网,《数据安全白皮书》,观研天下数据中心整理
据观研报告网发布的《中国数据安全行业发展趋势研究与未来投资分析报告(2022-2029年)》显示,从行业发展来看,数据安全最初是网络安全的一个分支,近年来随着数字经济的发展和信息技术的演进,逐渐形成一套独立的技术体系,成为热点研究领域,进入快速发展期。根据中国网络安全产业联盟最新公布的网络安全市场规模数据,我国数据安全在网络安全中的占比逐年提高,预计到2023年我国网络安全市场规模有望达到809亿,同时根据信通院安全所信息安全部主任魏薇表示,我国数据安全市场规模将在2023年预计达到97.5亿,届时数据安全在整体网络安全市场占比将达到12.1%,且自2017年以来呈现连续增长态势。
数据来源:中国网络安全产业联盟,奇安信招股说明书,观研天下数据中心整理
二、数据量爆发式增长,价值有待挖掘
随着物联网、边缘计算等智能终端设备不断普及,受到来自物联网设备信号、元数据、娱乐相关数据、云计算和边缘计算的数据增长的驱动,全球数据量呈现加速增长。根据IDC分布的《数据时代2025》预测,全球数据量将从2018年的33ZB增至2025年的175ZB,增长超过5倍;中国平均增速快于全球3%,预计到2025年将增至48.6ZB,占全球数据圈的比例由23.4%提升至27.8%。其中,中国企业级数据量将从2015年占中国数据量的49%增长到2025年的69%。
数据来源:IDC《数据时代2025》,观研天下数据中心整理
另一方面,随着全球数据量的增长,数据泄露事件频出,安全成本逐年上升。全球各公司和组织数据泄露事件屡见不鲜,深刻威胁每个个体,已经成为全球政府的重点问题。根据IBM一项安全研究报告,2021年企业平均每起数据泄露事件成本为424万美元,是自2004年以来最高值。尤其在疫情发生后,远程办公、在线运营等新IT架构弱化了曾经的安全防护,导致安全成本平均提升了10%左右。如果未对远程办公等及时跟进安全建设,数据泄露发生更为容易,直接阻碍企业运营和发展。
|
2021年全球部分数据泄露事件 |
|
|
时间 |
事件 |
|
2021年1月 |
巴西的一个数据库30TB数据被破坏,泄露的数据包含有1.04亿辆汽车和约4000万家公司的详细信息,受影响的人员数量可能有2.2亿。 |
|
2021年1月 |
日产北美公司一台BitbucketGit服务器的信息在Telegram频道和黑客论坛上传播,近20GB源代码遭到泄露。 |
|
2021年3月 |
印度800万核酸检测结果泄露,含有姓名、年龄、婚姻状况、检测时间、居住地址等敏感个人信息。 |
|
2021年3月 |
美国保险巨头CNA公司的IT系统被勒索软件锁定,攻击者还窃取了数据,公司支付了4000万美元勒索赎金。 |
|
2021年5月 |
应用Omiai最近遭黑客攻击,约170多万用户个人数据遭泄露。 |
1、行业法律法规陆续出台,逐步形成完备的法律规范体系
随着近年来国际、国内重大网络安全事故的频发,我国政府对网络信息安全的重视程度不断提高,网络和数据安全政策密集出台。2013年以来,我国先后设立中央国家安全委员会、中央网络安全和信息化委员会,发布新的《国家安全法》、《网络安全法》,制定多项鼓励行业发展的政策。2017年7月11日,国家互联网信息办公室发布《关键信息基础设施安全保护条例(征求意见稿)》。2019年12月1日,伴随着《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》的正式实施,我国网络信息安全行业正式宣告等保进入2.0时代。2020年,国家相继推出《网络安全审查办法》、《关于工业大数据发展的指导意见》、《工业和信息化部办公厅关于开展2020年网络安全技术应用试点示范工作的通知》等关于网络安全产业发展的政策为网络安全发展提供了新的契机。2021年,我国迎来数字安全元年。《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规的相继出台,给数据安全市场的持续高速发展再次注入强劲动力。一系列法规政策提高了政府、企业对网络数据安全的合规要求,将带动政府、企业在网络数据安全方面的投入。
|
数据安全行业相关政策 |
|||
|
时间 |
相关部门 |
名称 |
主要内容 |
|
2020.04.27 |
网信办、发改委、工信部、公安部、国安部等12个部门 |
《网络安全审查办法》 |
关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 |
|
2020.10.21 |
全国人大法工委 |
《中华人民共和国个人信息保护法(草案)》 |
明确生物特征、医疗健康、金融账户、种族民族等多种敏感信息,增强了违法个人信息处理行为的法律责任,最高处罚可达5000万元或上一年度营业额5%。 |
|
2021.03.22 |
网信办、工信部、公安部、市场监督管理总局 |
《常见类型移动互联网应用程序必要个人信息范围规定》 |
App不得因为用户不同意提供非必要个人信息,而拒绝用户使用其基本功能服务。 |
|
2021.06.10 |
全国人大常委会 |
《数据安全法》 |
确立数据分级分类管理以及风险评估,检测预警和应急处置等数据安全管理各项基本制度;明确开展数据活动的组织、个人的数据安全保护义务,落实数据安全保护责任;同时加大对违法行为的处罚力度。 |
|
2021.07.10 |
网信办 |
《网络安全审查办法(修订草案征求意见稿)》 |
掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 |
|
2021.07.12 |
工信部 |
《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》 |
至2023年网络安全产业规模将超过2500亿元、年复合增速超过15%;电信等重点行业网络安全投入占信息化投入比例达10% |
|
2021.08.12 |
工信部 |
《关于加强智能网联汽车生产企业及产品准入管理的意见》 |
明确企业应当建立健全汽车数据安全管理制度,依法履行数据安全保护义务。明确未经审批,不得通过在线等软件升级方式新增或更新汽车自动驾驶功能。 |
|
2021.08.17 |
国务院 |
《关键信息基础设施安全保护条例》 |
保障关键信息基础设施安全,重点在公共通信和信息服务、能源、交通、水利、金融等关乎国家安全、国计民生的行业。运营者需要建立制度,保证人、财、物投入,主要负责人对关键信息基础设施安全保护负总责。 |
2016年,全国信息安全标准化技术委员会(SAC/TC260,简称“信安标委”)成立大数据安全标准化特别工作组,正式启动了数据安全相关国家标准研制工作。目前,TC260已发布数据安全和个人信息保护标准9项,在研标准22项。已发布标准涉及大数据服务安全、政务信息共享、个人信息安全等多个重要标准化方向。《GB/T35274-2017大数据服务安全能力要求》《GB/T37932-2019数据交易服务安全要求》《GB/T37973-2019大数据安全管理指南》《GB/T39788-2019数据安全能力成熟度模型》《GB/T39477-2020政务信息共享数据安全技术要求》和《GB/T39725-2020健康医疗数据安全指南》,针对大数据服务安全管理基本要求、数据生命周期保护措施、数据安全能力的成熟度模型架构、政务信息共享技术实施方案和医疗数据安全管理提出了具体技术规范要求。《GB/T37964-2019个人信息去标识化指南》《GB/T35273-2020个人信息安全规范》以及《GB/T39335-2020个人信息安全影响评估指南》,分别对个人信息去标识化的目标、原则和手段措施,个人信息收集处理活动应当遵循的规则,个人信息安全影响评估原理和实施流程提出了规范要求。重点领域在研标准项目广受各方关注。《数据出境安全评估指南》《网络数据处理安全要求》《人脸识别数据安全要求》《个人信息告知同意指南》《移动互联网应用程序(App)SDK安全指南》等国家标准在研项目,因与数据安全法律法规政策落实紧密联系,产业界各方主体的参与积极性和主动性颇高,相关标准化研制工作正在加紧推进。
另一方面,各行业数据安全标准陆续发布,有效指导行业数据安全实践工作。电信和互联网领域,2020年12月,工业和信息化部正式印发《电信和互联网行业数据安全标准体系建设指南》,该指南通过标准体系的顶层设计,制定政府引导和市场驱动相结合的数据安全标准体系建设方案,加强标准制定工作的统筹协调,对已出台数据安全相关法律法规的管理要求进行补充和细化,促进标准在保障数据安全、推动行业健康有序发展中的引领和支撑作用。在此基础上,《YD/T3813-2020基础电信企业数据分类分级方法》《YD/T3867-2021基础电信企业重要数据识别指南》《电信网和互联网数据安全评估规范》等重要标准陆续发布,分别针对电信企业数据分类分级原则和具体实施步骤、重要数据识别原则和注意事项以及电信和互联网企业数据安全评估范围、模式和流程等进行指导,进一步细化行业数据安全管理工作,落实数据安全管理要求,基本满足行业数据安全保护需要。
工业领域,《YD/T3865-2021工业互联网数据安全保护要求》《YD/T3751-2020车联网信息服务数据安全技术要求》《T/CCSA278-2019工业互联网平台制造企业数据质量治理技术要求》等已发布标准分别对制造企业数据质量治理的目标和技术框架、工业互联网数据安全保护的范围及数据类型、工业互联网数据重要性分级与安全保护等级划分方法、数据质量治理的顶层设计、数据质量治理环境、数据质量治理域等提出了具体要求。金融领域,《金融数据安全数据生命周期安全规范》(JR/T0223—2021)《金融数据安全数据安全分级指南》(JR/T0197—2020)《个人金融信息保护技术规范》(JR/T0171—2020)等数据安全和个人信息保护标准持续发布,规定了金融数据收集、存储、共享等生命周期管理方式和注意事项以及金融数据分级的目标、原则和范围等,明确了个人金融信息全生命周期保护原则和措施,给予企业更加明确充分的数据安全和个人信息保护指导。
金融领域,《金融数据安全数据生命周期安全规范》(JR/T0223—2021)《金融数据安全数据安全分级指南》(JR/T0197—2020)《个人金融信息保护技术规范》(JR/T0171—2020)等数据安全和个人信息保护标准持续发布,规定了金融数据收集、存储、共享等生命周期管理方式和注意事项以及金融数据分级的目标、原则和范围等,明确了个人金融信息全生命周期保护原则和措施,给予企业更加明确充分的数据安全和个人信息保护指导。
四、企业数据安全产品逐步成熟,为行业发展提供有力支撑
数据安全行业是技术密集型产业,技术迭代较快,从我国数据安全产品发展来看,我国数据安全产品经历了三个阶段,从早期的以数据库为主的单系统安全,到数据生命周期的安全,再到数据基础设施安全,当前正在由第二阶段向第三阶段发展和演变。
| 数据安全产品发展的三个阶段 |
资料来源:观研天下数据中心整理
第一阶段:在行业发展早期主要以数据库等单系统的安全为核心。这一时期数据安全主要强调针对数据的边界防护以及内容审计,特别是数据库系统作为数据的重要载体,数据库安全是数据安全最重要的组成部分,数据库安全也与网络边界安全在思想上也形成了直接的对应关系,数据库加密对应磁盘加密,数据库防火墙对应防火墙/UTM,数据库审计对应IDS入侵检测,数据库漏扫对应漏洞扫描等。这一阶段数据安全产品主要以数据库安全、DLP等产品为主。
第二阶段:随着数据的使用与流转不再局限于单个业务部门,跨业务部门跨网络边界的数据流动成为常态,数据安全开始逐渐以企业整体的安全为核心。这一时期随着网络架构和IT架构的演变,数据也从过去以数据库为载体的单一场景向云、大、物、移等其他场景不断延伸。在这一阶段,数据安全的重心不再仅是针对数据库等单一系统,而是针对数据的整个生命周期进行体系化治理,因此数据安全的产品也开始迅速丰富,同时更强调对技术的综合应用,包括数据分级分类,数据安全平台、数据监控与审计、IAM等技术得以快速发展。
第三阶段:随着数字经济时代的到来,数据资产成为了国家的战略资源和核心资产,数据安全脱离了单独的个人或企业层面,开始以数字经济基础设施的安全为核心。这一时期,数据交易市场开始逐渐形成,对于银行、电信、能源等关键基础设施机构以及阿里、滴滴、腾讯等大型互联网公司而言,数据的泄露不仅对企业造成严重损失,同时也将威胁到公共安全乃至国家安全。因此在这一时期,数据已经脱离的单个企业层面,成为了国家的战略性资源。
近几年随着我国数据安全法律法规、监管政策不断出台,企业数据安全防护、监测、监管、隐私保护等需求逐步显现,推动数据安全产品和服务快速发展,从2021年数据安全政策的密集出台可以看出国家监管部门对数据安全的高度重视。在这一时期数据治理、隐私计算等技术将开始得到广泛应用。而随着网络安全政策法规持续的完善优化,“等级保护2.0”已经出台,数据安全市场规范性逐步提升,政企客户在网络安全产品和服务上的投入逐步增长。同时,随着云计算、大数据、物联网、5G等技术的不断成熟和普遍应用,最终用户对网络安全产品和服务的需求也将持续提升,从而促进网络安全市场的快速发展。
【版权提示】观研报告网倡导尊重与保护知识产权。未经许可,任何人不得复制、转载、或以其他方式使用本网站的内容。如发现本站文章存在版权问题,烦请提供版权疑问、身份证明、版权证明、联系方式等发邮件至kf@chinabaogao.com,我们将及时沟通与处理。
