作为近两年的政策颁布最密集的领域,数据安全作为数字经济产业的基石,成为近年来增速最快的赛道之一。
数据安全演进历史:
随着数字经济以及数据政府的落地,数据流通环节和数据量显著增加,大幅带动数据安全的相关需求。同时,数据要素市场和数据经济产业的快速发展将带动数据安全需求的爆发。
数据安全产业链重点关注数据安全治理、数据库安全、数据防泄漏、隐私计算、个人隐私保护、文档加密和容灾备份等环节。
以下从数据安全治理、数据库安全、数据防泄漏、隐私计算、容灾备份五个方面来深入解析数据安全。
数据安全治理
数据安全治理体系是在构建网络安全能力基座之上,通过以数据为中心的视角,围绕数据生命周期各个阶段提供相应的保护能力。
根据信通院给出的数据安全治理参考框架,数据安全治理涵盖基础安全、数据全生命周期安全以及数据安全战略三大部分。
只有数据安全治理框架三大部分的有效协同,才能保障组织数据安全治理有效性。
根据《数据安全治理白皮书3.0》,数据安全治理是以“让数据使用更安全”为目的,在中国易于落地的数据安全建设的体系化方法论,核心内容包括:
(1)满足数据安全保护( )、合规性()、敏感数据管理() 三个需求目标;
(2)核心理念包括:分类分级()、角色授权()、场景化安全 (Scene);
(3)数据安全治理的建设步骤包括:组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善;
(4)核心实现框架为数据安全人员组织()、数据安全使用的策略和流程 (&)、数据安全技术支撑()三大部分。
数据库安全
数据库作为三大基础软件(操作系统、数据库、中间件)之一,是承载企业级用户交易数据、客户信息、存货库存等海量数据的载体。
国产数据库目前仍以关系型数据库为主,呈现HTAP数据库、分布式数据库、云数据库、AI原生数据库四大发展趋势。
全球厂商中,、IBM等国外厂商凭借先发优势在数据库市场中占据了有利地位,近年来随着数字经济和数据安全大潮的到来,国产数据库替代空间广阔。
数据库安全有两个方面:
一是数据库物理安全,指的是运行数据库的服务器、传输数据的线路等设备的正常运行,不被外力破坏、不因网络拥塞而不可用、预防因元器件老化而造成损失;
二是数据库逻辑安全,数据库中最重要的是数据,要保证数据不因黑客入侵而丢失或泄露,不因程序崩溃而损坏,数据存储方式合理有序,存取方便快捷。
对数据的安全保障包括几个方面,分别为数据独立性、数据安全性、数据完整性、并发控制、故障恢复等。
数据防泄漏
数据防泄漏(DLP)主要审计一切外发的数据,做到事中管控,事后溯源取证(存储、使用、传输三种场景)。
虽然该环节体量较小,但行业有望保持20%左右的增长。在数据防泄漏下游中,金融、电信、政府占比仍是最高的三个。
主要分为以下两种:
集成型DLP:DLP只是某个产品功能中的一部分,通常用于快速合规,通过简单的方式去分析内容,无法将一个环境中的策略和其他环境通用。
企业级DLP:专注于DLP数据内容相关的部分,通常同时具备终端、网络、发现和云等组件。企业级DLP具备完整而深入的内容检查能力,支持集中管理,策略可以跨不同的场景使用。
隐私计算
为了实现数据“可用不可见、可用不可存、可控可计量”的安全流通,数据安全流通技术体系由数据生成及采集、数据传输、数据存储、数据使用(共享交易)、数据溯源与审计五个环节组成。
其中,隐私计算是指数据使用环节中所使用的隐私保护的数据计算技术。隐私计算目前主要应用行业为金融、通信、政务和医疗,未来的市场增量主要来自于传统数据流通方式的转变,其中包括存量数据流通方案的重构,以及传统流通方案下无法流通的数据在隐私计算流通方案中实现合规共享。
隐私安全计算的价值被看到后,包括阿里巴巴、微众银行、蚂蚁集团、平安科技等多家公司已积极布局隐私安全计算,并推动技术应用。
根据中国信通院调研数据显示,2021年约有44%的隐私安全计算产品进入实施阶段,占比进一步提升;处于研发阶段的隐私安全计算产品占比相对下降,占比为19%。
容灾备份
容灾是为在遭遇灾害时能保证信息系统能正常运行,帮助企业实现业务连续性的目标,备份是为应对灾难来临时造成的数据丢失问题。
容灾备份产品的最终目标是帮助企业应对人为误操作、软件错误、病毒入侵等“软性灾害以及硬件故障、自然灾害等“硬性灾害。
业界在灾备系统的建设上一般按照以下几种方式:建设机房内的本地备份系统和建设异地的备份系统。该方式可以备份系统的价格满足备份和异地容灾功能,能够避免主生产中心由于地震、火灾或其他灾害造成的数据丢失。
顺着“网络安全—信息安全——数据安全”发展业态层层迭代,数据安全行业已经发展到全新阶段,数据安全问题的解决优先级远高于数据共享和数据孤岛。
近期有几场大规模的安全会议,数据安全依然被广泛关注,仍是行业热点,毕竟有关数据的相关政策和各种举措一直在强化和落实中。
关于当下的“数据”和以往的数据有了很多本质的差别,我想这一点大家是不难理解的,毕竟当下“数据”被赋予了更多的意义,特别是在价值性上有了更丰富的内容。也正是基于这一点,当下的数据更体现如下特点:
1、数据和业务彼此之间既是共生关系,又是独立的物质存在关系
2、数据和安全彼此之间既是独立关系,又是最紧密的属性共生关系
3、数据和所有者之间的权利关系更加突出,涉及到的相关秩序问题也更加多样
4、数据的价值一方面体现在业务功能上,一方面体现在“实体价值”(大家可以用货币价值来理解这个概念)指标上,而“实体价值”所涉及的数据处理内容更是广泛
数据安全工作要从【表面】走向【深入】必须认识到:数据安全的核心是数据、数据的核心是价值。