数据安全技术和市场的分析

数据安全技术和市场的分析

目录

前言............................................................................1

1.数据安全市场整体情况.......................................................1

1.1.规模.....................................................................1

1.2.增速.....................................................................2

1.3.基础投资下的高增长预期..................................................2

2.数据安全立法情况...........................................................2

3.数据安全产品分类...........................................................4

3.1.联邦学习(FederatedLearning)....................................................................................7

3.2.同态加密................................................................8

3.3.可信计算环境...........................................................8

4.数据安全产品的难点...........................................................8

5.总结.........................................................................10

前言

数据安全，从本质上来说，几乎是所有安全产品的终极防护目标。从广义

来讲，大部分攻击行为，都和数据有关。例如“勒索病毒”，它最初是利用系

统漏洞攻入，找到硬盘上的重要数据并加密，最终目是收取“解密费”。从这

个角度看，不论是网络安全产品，还是数据安全产品，最终目标都是为了保护

用户的数据安全。

数据安全是如此重要，然而却又如此复杂。因为技术的复杂性，以及和业

务结合的复杂性，过去十几年一直没有占据安全市场的主要比例。这种情况现

在发生了一些改变，或者说迎来了契机一一从国内外近年来数据安全事件频发

的形势、数据作为生产要素的新的认知、以及立法的密集程度，可以预测到数

据安全市场未来会占据通用安全市场越来越多的份额，也会以更快的增长速度

持续增长。

1.数据安全市场整体情况

1.1.规模

第1页共10页

按照2019年数据看，根据海外市场研究机构VMR统计，全球数据安全市

场规模约为173.8亿美元，2019-2025之间预测该市场年复合增长率约为

17.35%。根据国内机构统计，2019年我国数据安全市场规模仅为38亿人民

币元，仅占全球数据安全市场规模的3.4%。相比较于中国安全整体市场占全

球份额7%的比例，数据安全市场的比例也是偏低的。

1.2.增速

看看市场增速整体情况，全球网络安全市场的年复合增长率为9.7%,数

据安全的年复合增长率约为17.35%,说明数据安全市场的增速远大于平均安

全市场增速。

1.3.基础投资下的高增长预期

另外，从基础设施投资角度看，IDC预测中国数据量增速最为迅猛，预计

2025年将增至48.6ZB,占全球数据圈的27.8%,成为全球最大的数据圈。那

么如果从投资角度看，中国数据安全市场的份额理论上应在2025年占到全球

的27.8,而现在仅为3.4%,这里面也有很大的增长空间。

从上可分析，未来中国数据安全市场容量有巨大的增长空间。如果以

2025年作为时间节点来推测，按照全球年复合增长率约为17.35%推测，全球

在2025年数据安全市场规模会达到532.63亿美元；按照中国27.8%的数据总

量占比折算，国内2025年的数据安全市场理论上应该达到148亿美元。今年

已经是2022年了，按照这个推测，未来5年，数据安全市场会形成一个千亿

人民币级别的子市场。

查阅了一些其他机构统计的数据和分析，大致基本吻合。不过，实际上需

要考虑到中美安全市场大概3年的时间差，以及基础设施投资后业务上线的时

间周期，整体打一个7折来估算，2025年国内数据安全市场大致应该是103

亿美元左右总盘子，折合人民币600亿人民币左右。

2.数据安全立法情况

国内外主要相关法律法规情况如下：

2022年4月,美国:《加州消费者隐私法案(CCPA)》

2018年5月，欧盟：《通用数据保护条例(GDPR)》

第2页共10页

2003年5月，日本：ActontheProtectionofPersonalInformation,

“Appi”)

2021年6月，中国：《中华人民共和国数据安全法》

2021年4月，中国：《中华人民共和国个人信息保护法》

国外数据安全相关立法，主要以保护个人数据隐私安全为主；国内的两部

法律，除了保护个人，还有保护国家数据安全的要求。

有了顶层立法，各主要行业随后跟进落地本行业相应的技术规范，如金融

行业陆续发布了《个人金融信息保护技术规范》、《金融数据安全数据安全分

级指南》、《金融数据安全数据生命周期安全规范》，其他行业如运营商、政

府、证券、医疗也陆续发布了对应的行业规范。

按照国内安全相关立法到落地的节奏，一般是先“初稿征询意见”一“经

过1年左右的公示，正式颁布”一“各行业跟进，指定对应的技术规范和执行

细则”一“产品和检查措施落地”一“市场爆发”。

目前数据安全市场中的新需求部分“隐私保护”“数据分级”“大数据安

全利用”这几块，还处于“各行业跟进，相关技术规范和执行细则落地”这个

阶段。因为数据安全涉及面比较多，在这个阶段还是比较需要严谨的，具体是

需要一些实际的探索和讨论，以及典型案例的实际运作探索，最终形成明确的

完善的落地执行细则这样。

举例来说，比如一个互联网交通企业的数据安全，可能会涉及交通、金

融、公安、税务等各个部门，技术上会涉及传统数据库、大数据、隐私计算等

等，地域上可能会跨多个省行政区域甚至国际区域，要做数据审查，不论从监

管的协调，还是技术的成熟度，都具备很多未确定的需要探索的环节，因此这

个阶段我估计时间会比较久一些。

通读数据安全法，核心点主要有如下几个：

1、职能角色：网信办是总体协调部门，负责统筹协调网络数据安全和相

关监管工作；工业、电信、交通、金融、自然资源、卫生健康、教育、科技等

主管部门承担本行业、本领域数据安全监管职责；公安机关、国家安全机关等

依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管

职责；

2、制度：国家建立数据分类分级保护制度一一这也是目前很多数据安全

第3页共10页

分级产品的产生背景；国家建立数据安全审查制度，对影响或者可能影响国家

安全的数据处理活动进行国家安全审查一一这也是去年滴滴、BOSS直聘等数

据审查的落地头几个企业案例的法律背景。

3、法律责任：明确了数据安全泄露事件，是可以入刑责的；如果是国家

机关的数据泄露了，一把手是要被处分甚至判刑的。

另外，从立法的深层意义看，不仅仅是保护数据本身的安全。从数字社会

的未来蓝图看，数据已成为了未来的生产要素之一，类似于石油这样的资源。

也就是说，未来的丰富的数据资源，是可以充分的融合、挖掘，并产生新的生

产力的。所以，数据安全法也体现了国家会把数据视为未来战略资源，并会高

度重视以及加以保护的考虑。

3.数据安全产品分类

从产品类型角度分类，数据安全产品大致可以分为特定目标防护产品和平

台类产品两类，产品的历史大致是从90年代末到现在，一共走过了20年左右

的历史。

单点防护产品（2000年—2015年）

主要是围绕着数据库保护和电子文档保护为主的产品，以特定防护目标作

为防护对象，解决特定安全防护需求的问题，以单点产品为主，比如：

1、电子文档加密、

2、DLP（数据防泄漏保护）

3、数据脱敏

4、存储备份

5、数据库审计

代表企业有亿赛通、明朝万达、安和金华、美创、瑞数等。

平台类产品（2015年一至今）

1、数据安全治理

（两类技术路线：一类以数据分级为主线，一类以数据生命周期为主线

（DSMM））

2、隐私计算

3、数据分级等

第4页共10页

代表企业有安恒、绿盟、奇安信、华控、蓝象、全知、美创等。

单点防护产品（老产品），共同的特征是以某个特定场景的需求为主，如

针对数据库的防护产品，对于文档的加密产品，属于单点产品。这类产品产品

形态硬件和软件类型大致各占一半，技术难度较高，如电子文档加密产品，技

术难点在于既要加密，又要能按照权限控制分发，并且兼容各种文档格式；数

据库审计，难度在于黑盒的模式下去识别各种商业数据库的协议和操作内容，

以及减少因为协议的误判对业务造成的中断影响。老产品走过了十几年的时

间，相对来说功能和需求场景都比较确定，组成了数据安全的基础产品族。对

应的每个子领域都有标杆厂商，代表厂商有亿赛通，明朝万达，安和金华等，

在这里不过多赘述。

再看一下平台类产品。

属于近年的新产品，解决的主要是近年来大数据的应用带来的新的安全问

题。

举个新需求的例子。

去年颁布的《数据安全法》，第二十一条明确规定了“国家建立数据分类

分级保护制度”，指的是根据数据在经济社会发展中的重要程度，以及一旦遭

到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个

人、组织合法权益造成的危害程度，对数据实行分类分级保护。

那么需求来了，以前的保护对象是一个数据库，或者一个文档，没有分级

分类的这个要求。而现在保护的对象，是一个区域、一片单位的所有的数据

源，且在做防护之前，首先要梳理清楚，做好分级分类。传统数据安全产品显

然不具备这样的功能。

相应的，产品的品类就诞生了一一数据分级分类产品，比如全知的“数据

资产地图系统“，从官网介绍可到介绍：“数据资产地图系统”是一款面向企

业静态数据资产发现并进行自动化数据分类分析的数据安全产品，能够通过全

面盘点数据资产、梳理标识数据，实现在复杂环境下自动化扫描并识别定位敏

感业务信息。同时，通过数据的分类分级梳理，形成重要数据资产清单，并有

效识别数据风险，为企业数据资产管控提供安全规范和技术依据。产品架构是

这样的，如下：

第5页共10页

xeataNoscx

分头分•可1s化

原理大致是这样：

首先通过扫描和对接各种数据源（数据库），对数据资产进行全面的扫描

和采集；然后，对数据进行自动识别和分级分类，打上标签，存入大数据系

统；最后，形成数据资产清单，全网数据资产可视

再举个例子：

某大型企业，下辖十几个子公司，数据源多样化，且分布在不同的物理位

置。日常工作中，总部需要采集子公司的数据，子公司也会使用总部的数据，

数据交叉环节多，管控不易，资产不清，风险不可视。

上述问题非单点类安全产品可解决，属于数据安全治理的范畴。客户需要

这么一套系统：

能够有效的发现数据资产（包括子公司的），形成数据资产地图；

能够定义和识别重要数据，并打上标签

能够面向不同的数据源，下发安全访问的策略，控制数据访问权限；

能够持续监控数据安全风险

能够对数据风险进行溯源

典型的产品架构如下：

第6页共10页

-J-O

色

槐理用户或露关系

J㈤

实时行为风闻发现

-V

2故掘液修溯源

人员行为审计

内部员工・0名办公时阐下我文件

二__={^===j；-7-={—・《忖刑@

WSWP行为鼠险■作日志一

还有一类产品，比较新，叫做隐私计算产品。

我们知道，很多行业比如政务、医疗、金融等各行业、单位机构本身掌握

大量的价值数据，在社会治理或者商业数据挖掘的需求下，是需要结合这些数

据进行二次挖掘的。通俗来说，就是需要根据不同行业提供的数据源，挖掘有

价值的分析结果，但是又不能把各个行业的数据都拿走。最简单的例子就是疫

情分析，比如张三，去过哪些地方，密接了那些人，是否有疫情扩散的风险，

需要知道这个结果，但是又要保证这些信息的隐私性，不能造成信息泄漏。

如果没有隐私计算的机制，这些行业客户不敢、不愿、也不能开放数据用

于共享。所以必须要有一类产品能够作为数据交换平台，可控地将数据开放给

第三方做数据挖掘分析，第三方在平台上的数据挖掘行为可监管、可审计、可

追溯；原始数据不出本地，受益方只能获取审核后的价值数据。最终达到确保

数据所有权和使用权的分离，可用不可见、可用不可取。帮助企业创造新的数

据交易模式，合法合规、安全地对外开放数据，释放出数据的潜在价值。

隐私计算相对比较新，他主要依赖几个核心数学概念，理解了这几个概念

才好理解这个产品：

3.1.联邦学习(FederatedLearning)

是一种分布式机器学习技术，通俗来说，就是能得到数学模型的结果，但

是却不会拿走参与的数据。比如计算出“某一类疾病的患者最喜欢去的十大场

所”，需要汇总医院医疗数据和不同场所的顾客数据，进行联邦学习模型计

算，进而得到这个统计结论。运算中主要是通过数学模型进行的，过程中不会

第7页共10页

拿走原始数据。

其核心思想是通过在多个拥有本地数据的数据源之间进行分布式模型训

练，在不需要交换本地个体或样本数据的前提下，仅通过交换模型参数或中间

结果的方式，构建基于虚拟融合数据下的全局模型，从而实现数据隐私保护和

数据共享计算的平衡，即“数据可用不可见”、“数据不动模型动”的应用新

范式。

3.2.同态加密

通俗来讲，各个数据源单位，提供的都是加密后的数据，不影响数据模型

预算的结果。具体来说，同态加密是运用数学算法，对经过同态加密的数据进

行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密

的原始数据得到的输出结果是一样的。

比如说，数据提供方担心数据的源信息被计算平台拿走，所以采用特殊算

法对原始数据进行加密，数据平台得不到原始数据，但却可以利用数学算法得

到统计的结果。

3.3.可信计算环境

可信执行环境(TrustedExecutionEnvironment,TEE)通过软硬件方法在中

央处理器中构建一个安全的区域，保证其内部加载的程序和数据在机密性和完

整性上得到保护。TEE是一个隔离的执行环境，为在设备上运行的受信任应用

程序提供了比普通操作系统(RichOperatingSystem,RichOS)更高级别的安全性

以及比安全元件(SecureElement,SE)更多的功能。

隐私计算产品，基本原理就是采用上面的算法，综合利用脱敏、加密等技

术，为各方数据源提供一个安全、隐私的计算平台，来运行不同的数据统计模

型。

这类产品的主要客户是具备多样化、跨行业、跨部门数据来源的企业或事

业单位，如大数据局、医疗、安全、能源、政府等单位。另外这些年，我国也

建立了多个区域性的大数据市场平台公司，各个数据源能够以商品的方式提

供，在满足安全、隐私、合规的前提下，为社会生存创造数据挖掘的二次价

值。

4.数据安全产品的难点

第8页共10页

和通用网络安全产品不同，数据产品更靠业务。数据安全产品的复杂性，

主要就是基于这个原因。总的来说，因为数据安全产品更靠近客户的核心业

务，因此产品的准确度会比通用安全产品的要求更高。因为一个错误的规则，

很可能造成客户业务灾难性的中断，或者核心数据的破坏。

另外数据安全产品的实施成本特别高，主要是因为和业务紧耦合的缘故，

开发、部署阶段，会涉及大量的对接、修改以及后续运维工作。在商业角度，

这种情况就不是个“好产品”，因为一个客户一个特殊需求，无法实现批量复

制和快速售卖，短期做大困难。

还有个问题就是风险高，责任大。数据安全产品一旦出问题，造成客户数

据丢失、业务中断、数据无法解密，这些情况都是客户难以忍受的，也具有极

高的责任风险。所以，技术不精的厂商，不是很敢碰这类产品。

另外还有一个非技术因素的难点，就是各部门的数据要打通，而数据都是

各个部门的核心业务，这意味着在组织架构上需要调整在先。如果没有重构组

织架构，数据安全产品的落地阻力会非常大。而重构组织架构，意味着岗位的

调整，在现实工作中，这个难度难比天高，需要较长一段时间来完成。

具体来说，难点主要有如下：

1、对接数据源难

各类商业数据库因为是闭源产品，协议黑盒，版本多变，缺乏统一的标

准，因此在对接各类数据源的时候，协议解析这块特别耗费人力，难度也较

大。

2