数据安全已成为网络安全监管的核心方向,相关政策呈现出加速落地态势。2022年底,国务院印发《关于构建数据基础制度更好发挥数据要素作用的意见》,系统性布局了数据基础制度体系的四梁八柱,历史性绘制了数据要素发展的长远蓝图。2023年初,工信部等十六部门印发的《关于促进数据安全产业发展的指导意见》提出目标,到2025年,数据安全产业规模超过1500亿元,年复合增长率超过30%。
发展数据要素市场作为国家级战略,数据安全是其重要保障,数据安全重要性持续凸显。安全419观察到,伴随数字化转型升级引入愈发严峻的数据安全隐患,以及数据安全产业接连迎来重磅政策利好,迈入2023年,产学研用各领域厂商及机构均对数据安全产业的未来走势表现出高涨信心,数据安全建设有望持续加速,行业将保持高景气度。我们在此梳理总结行业各方对于数据安全政策、技术、市场的分析研判预测,探寻2023年数据安全产业发展的趋势道路。
奇安信:数据安全成焦点需求 特权账号管理、分级分类紧迫性提升
随着数字化转型加速,数据的流存节点和区域变得繁杂、流动量呈现指数级增长、使用方式也不断多样化,政企机构的数据安全防护面临应用场景变化、保护对象变化、管理体系变化的挑战,新环境下滞后的安全建设将造成巨大风险敞口。
在被动满足合规和自主安全防护双向驱动下,预计未来数据安全建设将持续作为政企机构安全方向的焦点需求。为将数据安全与大数据基础设施和业务应用深度融合,更多政企机构将按“先理后治、补短固底”-“系统治理、体系规划”-“有序建设、持续运营”分阶段开展体系化的数据安全建设,并在每一个阶段应用相应的产品技术为支撑。其中,特权账号管理技术方案将成为高紧迫、高收益性建设项目。而数据分类分级技术应用也将加速落地,为健全以数据为中心的安全保护体系打通第一道关卡。
360数字安全:数据泄露激增 体系化防御成关键
政企机构在其数据安全建设前或建设过程中普遍面临无从入手、摸清家底难、分类分级落地难、对于数据安全风险和建设成果的无感知以及缺乏专业的数据安全建设治理人才等问题。数据安全需体系化、阶段化、模块化建设:
其一,随着《网络安全法》《数据安全法》《个人信息保护法》等三法三条例的颁布实施,对数据安全有着更为严格的监管合规规定和要求。因此需要以政企机构数据安全合规体系规划和建设为主线,帮助企业分析机构人员、管理制度、数据安全防护能力等各个维度上目前存在的安全风险和合规问题。
其二,数据安全作为最重要的一道防线,往往对于政企等机构来说是安全运营中最不可感知的。如何让政企等机构的数据安全全局可视、全面感知,对于他们来说是至关重要的。
其三,一旦发生数据安全事件时,需要以攻击者视角追踪攻击影响范围,快速预警与精准分析,智能处置,大大提高政企等机构数据安全防护和预警处置效率。
其四,需要最大限度整合政企机构现有的各种安全资源,构建一体化安全体系,避免重复投资,降低政企等机构数据安全的投资成本。
明朝万达:
安全体系建设由满足被动合规逐步转向业务融合的实战化落地
随着技术的进步和业务模式的发展,安全和业务的界限日益模糊,未来的数据安全建设趋势是将数据安全技术融合到业务实践中,实现数据安全管控和业务流程的有机结合、相互促进:在尽量不影响业务流程的同时实现数据安全管控,达到“数据使用更安全”的目的。同时,通过将数据分类分级、智能扫描等安全技术融入到业务工作中,不但能够实现数据安全“按需管控”,更能够进一步促进业务的发展。
数据安全治理成为数据安全体系建设的桥头堡
数据安全治理成为组织从全局网络和数据安全视角下开展体系化防护建设的首要任务和基础性工作。其认为数据安全治理的开展要以数据为中心,围绕数据的采集、存储、传输、使用、共享、销毁等全生命周期来进行,通过开展数据资产盘点、数据分类分级、制定数据安全管理制度、落地数据安全建设、数据安全运营等数据安全治理活动,保障数据在各种使用场景下的合规使用和流转。
个人信息及隐私保护成为组织数据安全体系建设的主战场
个人信息及隐私作为数据安全防护的核心,各单位组织均高度重视,国家也单独立法予以保护。建设个人信息及隐私数据安全管控体系,完善制度流程、制定数据标准、开展技术建设、注重安全服务,全面提升员工数据安全意识,从个人信息数据采集产生入手,直至最终销毁,在其全生命周期进行贴身保护,达到“防泄露、防勒索、防损毁”等数据安全目标,全面满足业务安全、法律法规、行业监管的需要。
瑞数信息:
应用数据安全迎来持续关注
企业互联网化进程的不断深入,使得越来越多的业务被迁移到互联网上,大量的应用数据被产生、传输、公开、共享。与此同时,新一代应用通过 Web、H5、App、API、微信和小程序等多种业务渠道接入,导致应用敞口风险和链条管控难度加大,各类变化多端的撞库攻击、暴力破解、爬虫攻击、API接口滥用,也导致企业数据泄露风险加剧。预计2023年企业对于数据安全合规的管理将越来越严格,基于数据的传输、提供、公开等全生命周期进行保障的应用数据安全技术会迎来企业的持续关注。
针对数据库的勒索软件攻击持续增长
勒索软件已成为数据盗窃的一个重要途径,2023年预计对数据库的勒索攻击将继续有增无减,尤其针对云数据库的勒索攻击将大幅增加,因为越来越多的企业和政府将关键数据存储在云端,勒索软件也已进入云环境。与传统的恶意软件在文件系统层面加密文件不同,数据库勒索软件能够在数据库内部加密数据,这意味着企业在及时发现数据库加密行为方面将面临严峻挑战,积极主动地保护数据将更加至关重要。因此,企业不仅应尽快制定DR或RR(滚动恢复)计划,还应加强针对备份数据的勒索行为检测与恢复演练,这样才能确保在发生勒索软件攻击时及时恢复安全干净的数据。
数安行:技术为先 创新为要 以标准和应用促进落地
数据安全是网络安全数字化的表现形式,数字化场景下正在不断诞生新的技术和新的应用,传统安全思维和产品正在失效,技术与创新将成数字化不断加持与进步场景下的数据安全产业发展的唯一出路。产业的发展除了自身的技术与创新,最离不开的在于落地,从实践中进行补足,才能真正地释放价值。《关于促进数据安全产业发展的指导意见》明确具体措施,如对重点产业的标准化建设上的推动,对数据安全产业中的技术和产品在关键环节、重点领域的应用提出指导意见,并强调将加强应用试点和示范推广,保障的是技术和创新在场景侧的落地应用,这是产业发展不可或缺的核心。
中信证券:数据安全将成信息安全新增长极
数据安全政策体系逐步完善,以安全发展并重为核心原则。一方面,以数据安全作为数据开发利用和产业发展之基,明确政企在管理、技术、运营等方面的保护义务;另一方面,保障数据在合理有效利用与流动中发挥价值,进而反哺数据安全建设,预计未来,政策方面还将围绕数据产权、数据交易等问题进行完善,进一步促进数据流通。
数据安全需求层次化迭代,行业落地范式各有特色。政企的数据安全需求正由1.0层次(数据对象安全)向2.0层次(汇聚安全)、3.0层次(流动安全)迈进,2.0层次对应的“管理+技术+运营”整体解决方案部署有望成为当前一段时间的建设重点。政府、电信、金融作为网络安全下游重点行业,对数据安全需求强烈且各有特色;互联网行业涉及业务合规、安全防护两类需求,技术自研能力突出;汽车行业在“新四化”趋势下迎来数据安全问题,网络安全公司、数据托管服务商等机会广阔。
数据安全成网安行业成长重要增量,网安公司将充分受益。数据安全商业模式现阶段以产品/平台/服务为主,三者构成整体解决方案,未来,隐私计算或将催生收益分成模式。其认为,数据安全是网络安全行业成长的重要增量,伴随网络安全支出占IT支出比重的提升,至2023年,仅数据安全产品/平台/服务对应的市场空间可达百亿级。竞争格局方面,网络安全公司、数据安全创业公司、垂直领域IT厂商、IT基础设施厂商等同台竞技。
方正证券:数据安全是安全行业景气度最高的赛道 看好综合型厂商与密码厂商
目前数据要素市场和数据经济产业的快速发展将带动数据安全需求的爆发。数据安全合规建设已经全面启动,数据安全是网络安全行业近年及未来增速最快的赛道。从国家层面来看,未来各监管部门将加大对数据安全的监管,其中包括国家数据分类分级保护制度的建立,各地区、各部门也将按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理,从企业层面来看,数据安全将从过去少部分机构的风险控制需求转向全面的合规建设需求,政企用户在数据分级、数据治理,以及数据全流程管理、数据防护体系的建设成为了网络安全预算和支出的重点。
数据安全市场包含两大赛道:1)传统数据安全市场:主要包括数据安全治理、数据防泄漏DLP、数据库审计、个人隐私保护、文档加密,数据分级、数据治理和容灾备份等细分领域,其中数据防泄漏DLP和数据库安全是国内数据安全领域最大的两个子市场。同时,由于数据安全泛在性的特点,许多的网络安全项目均与数据安全相关,总体规模在百亿以上规模,每年保持 30%+增长;2)隐私计算等数据安全新场景:隐私计算作为数据安全领域的新场景,目前应用场景主要集中在金融、医疗 和政务三大领域,未来随着互联网监管、政务大数据等领域的不断拓宽,有望撬动千亿级的市场规模。
在数据安全所有细分行业中,密码行业近年保持着最高的景气度。一方面是因为密评工作的推进,在2020 年《密码法》出台之后,商用密码应用安全评估工作也开始快速推进,并在2022年进入高峰;另一方面,密码相关产品过去主要应用于政府、银行等行业,随着2023年起行业信创的推进,密码在医疗、教育、交通、能源等行业的应用场景也将不断拓宽。