《数据安全产品行业分析》由会员分享,可在线阅读,更多相关《数据安全产品行业分析(21页珍藏版)》请在金锄头文库上搜索。
1、数据安全产品行业分析一、 数据安全市场规模数据安全作为网络安全行业景气度最高的赛道之一,市场规模有望在近年达到百亿量级。根据计世资讯的数据显示,2020年我国数据安全市场规模达到525亿元,同比增长33%,预计2022年将达到百亿级别的市场规模。分行业看,金融、电信等行业数据安全的成熟度较高,未来能源、制造、医疗、教育、政府、零售等行业也对数据安全市场的投入将持续提升。分产品看,数据安全涉及的细分领域较多,主要赛道包括数据安全治理、数据防泄漏DLP、数据库审计、个人隐私保护、文档加密,数据分级、数据治理和容灾备份等,其中数据防泄漏DLP和数据库安全是国内数据安全领域最大的两个子市场,市场规模均
2、在10亿以上。同时,由于数据安全泛在性的特点,许多的网络安全项目均与数据安全相关,因此广义上数据安全的市场规模要远远大于这一数字。二、 数据安全发展阶段数据安全的发展历程可大致分为三个阶段,从早期的以数据库为主的单系统安全,到数据生命周期的安全,再到数据基础设施安全,当前正在由第二阶段向第三阶段发展和演变:数据安全10:在行业发展早期主要以数据库等单系统的安全为核心。这一时期数据安全主要强调针对数据的边界防护以及内容审计,特别是数据库系统作为数据的重要载体,数据库安全是数据安全最重要的组成部分,数据库安全也与网络边界安全在思想上也形成了直接的对应关系,数据库加密对应磁盘加密,数据库防火墙对应防
3、火墙/UTM,数据库审计对应IDS入侵检测,数据库漏扫对应漏洞扫描等。这一阶段数据安全产品主要以数据库安全、DLP等产品为主。数据安全20:随着数据的使用与流转不再局限于单个业务部门,跨业务部门跨网络边界的数据流动成为常态,数据安全开始逐渐以企业整体的安全为核心。这一时期随着网络架构和IT架构的演变,数据也从过去以数据库为载体的单一场景向云、大、物、移等其他场景不断延伸。在这一阶段,数据安全的重心不再仅是针对数据库等单一系统,而是针对数据的整个生命周期进行体系化治理,因此数据安全的产品也开始迅速丰富,同时更强调对技术的综合应用,包括数据分级分类,数据安全平台、数据监控与审计、IAM等技术得以快
4、速发展。数据安全30:随着数字经济时代的到来,数据资产成为了国家的战略资源和核心资产,数据安全脱离了单独的个人或企业层面,开始以数字经济基础设施的安全为核心。这一时期,数据交易市场开始逐渐形成,对于银行、电信、能源等关键基础设施机构以及阿里、滴滴、腾讯等大型互联网公司而言,数据的泄露不仅对企业造成严重损失,同时也将威胁到公共安全乃至国家安全。因此在这一时期,数据已经脱离单个企业层面,成为了国家的战略性资源。从2021年数据安全政策的密集出台可以看出国家监管部门对数据安全的高度重视。在这一时期数据治理、隐私计算等技术将开始得到广泛应用。三、 数据安全行业技术水平及特点(一)数据安全行业技术水平边
5、界安全包括身份认证、网络隔离和传输安全。身份认证指的是:关注外部用户或者第三方服务,对集群访问过程中的身份鉴别,用户在访问启用安全认证的集群时,需通过服务所需要的安全认证方式。网络隔离指的是:大数据平台集群,支持通过网络平面隔离的方式,保证网络安全。传输安全指的是:关注数据在传输过程中的安全性,包括采用安全的接口设计,和高安全的数据传输协议,来保证在通过接口访问、处理、传输数据时的安全性,避免数据被非法访问、窃听或旁路嗅探。访问控制包括权限控制1和审计管理。权限控制包括鉴权、授信管理;即确保用户对平台、接口、操作、资源、数据等都具有相应的访问权限,避免越权访问;分级管理,即根据敏感度对数据进行
6、分级,对不同级别的数据提供差异化的流程、权限和审批要求等管理措施。审计管理指的是:基于底层提供的审计数据,在权限管理、数据使用、操作行为等多个维度,对大数据平台的运转提供安全审计能力,确保及时发现大数据平台中的隐患点。数据审计包括数据生命周期管理和日志审计。数据生命周期管理指的是:追溯大数据平台内的信息;熟知数据使用、销毁情况,通过安全审计,监测大数据系统中,是否存在非法数据访问。安全审计的目的是捕获系统内的完整活动记录,且不可被更改,遵守事前可管、事中可控、事后可查,三大原则。日志审计是对日志和审计记录做集中管理和分析。数据保护包括数据加密、数据脱敏、多租户隔离、数据侵权保护、容灾管理。数据
7、加密指的是:提供数据在传输过程及静态存储的加密保护,在敏感数据被越权访问时仍然能够得到有效保护。数据脱敏指的是:提供数据脱敏和个人信息去标识化功能,提供满足国际密码算法的用户数据加密服务。多租户隔离是指实施多租户访问隔离措施,实施数据安全等级划分,支持基于标签的强制访问控制,提供基于ACL的数据访问授权模型,提供全局数据视图和私有数据视图,提供数据视图的访问控制。数据侵权与保护是利用区块链等类似技术实现数据的溯源确权。数据容灾是为集群内部数据提供实时的异地数据容灾功能。近几年,Data-centricSecurity(简称DCS)即以数据为中心的安全引发国内外网络安全企业热议。由于数据安全与业
8、务活动关联紧切,数据安全企业必须在熟练掌握所服务数据库的数据全貌、业务细节的基础上才可能提炼出有效的安全策略,以部署周密的数据防护计划。随着越来越多的企业依靠大数据实现高效的运营管理,其运营的核心就是企业内网的数据防护及部署安全策略。定制化数据安全产品属于DCS产品,它主要服务于企业的内网安全,它融合了DCS模型中的研发技术,以更好地服务具有特殊数据安全防护需求的企业、政府部门及个人用户;其产品职能是保护企业在业务活动中的计算机硬件、软件和数据不因意外和恶意原因而遭到损坏、更改和泄露,同时能够提供实时、相关、准确、完整的数据,为管理者提供业务管理保障的安全运营策略。DCS产品的目标包括防窃取、
9、防滥用和防误用三方面的内容(防窃取是指防止数据被主动窃取或被动泄露到外部的过程;防滥用是指防止数据被主动不正当使用的过程;防误用是指防止数据被不经意间错误使用的过程),其产品将数据的全生命周期内各不同环节所涉及的信息系统、运行环境、业务场景和操作人员行为等作为围绕数据安全保护的支撑,在数据全生命周期内进行数据保护。(二)数据安全行业技术特点传统网络安全企业仍集中在提供防火墙、入侵检测、入侵防御等单点技术产品上,传统安全产品较多注重对外部网络攻击的防御及检测,其特点是及时清理并消灭已出现在系统内的具有安全威胁的病毒及攻击对象,属于被动防护类型且具有滞后性。标准化安全产品是游离在企业业务系统之外的
10、,无法融合企业经营活动,主动实现内外部网络协同防御,更无法对内部人员危险行为动态监测,应对新型内部网络攻击和人员泄密导致的安全威胁。随着网络技术的发展,攻击手段、技术、频率都大幅增加,传统网络安全产品已无法抵御新型技术的攻击,客户的数据安全面临严峻挑战。与传统标准化产品相比,定制化数据安全产品开发与服务改变了过去先信息化后安全化、以打补丁方式外挂安全产品的模式,其核心在于将数据安全系统内化在客户的信息化过程中,实现多功能、全流程的安全化,可以更好地满足客户对数据安全的需求。金融,行业客户拥有大量敏感数据,保障数据安全是开展日常业务运行的必要条件。相较于业务系统加挂安全模块(OA+安全),安全系
11、统(安全+OA)可以大幅提高系统的安全性,具有以下优势:1)需求层面,在目前的政策法规下,安全需求已经与业务系统同等重要,甚至一些重要系统中,安全需求比业务系统需求更加重要,安全与否具有一票否决权。2)商业层面,安全是一个技术门槛较高,且与业务深度融合的特性,因此客户无法从技术上对安全产品和业务系统进行清晰的界限划分和协调。传统做法都是给业务系统开发商提出笼统的安全需求,但是一般业务系统开发商对安全理解不够深刻,随着现在安全要求越来越多,评测、审核越来越严格,单纯业务开发商的安全能力远远达不到客户需求。因此客户将安全性提高到与业务需求同等甚至更加重要的地位,出现了部分重要业务系统选择更加专业的
12、安全厂家进行整体开发的现象,以确保能满足安全需求。3)实施层面,由专业的数据安全厂家进行业务系统整体开发,可以将需求、架构设计、代码实现、测试、实施部署等业系统开发全周期中体现并落实安全技术要求,确保安全需求得到最大程度的满足。在系统规划之初,就将安全与业务融合考虑、综合规划,将数据分类、分级与数据库规划、业务系统权限设置、业务流程构造综合规划,将数据加密与数据在业务系统中使用、流转过程、存储环境综合规划,将数据脱敏与内外部系统交互综合规则。在系统开发测试过程中,针对每个模块、每个函数、每个接口开展安全设计与安全测试,杜绝在代码中留下安全隐患。4)使用角度,安全功能内置到系统中可以极大程度降低
13、最终用户的使用复杂度和难度,也可以降低运维管理人员的管理复杂度。(三)数据安全行业发展方向近年来,安全事件频发,由于应用软件自身存在代码安全漏洞,被黑客利用攻击是导致安全事件发生的关键因素。在传统研发运营模式之中,业务系统设计与开发过程中以解决业务问题为主,安全问题则考虑较少,留有较多安全隐患。传统上,一般通过在业务系统外加挂安全产品来解决安全问题,但效果并不理想,主要体现在两个方面:1)外挂产品属于通用型,不清楚特定业务系统存在哪些安全风险,因此只能做一般性的、普适性的防护,这些防护措施由于缺乏针对性,效果必然大打折扣;2)企业业务系统众多,如一个大型国企存在上百套业务系统,这些系统会留下大
14、量看不见、摸不着的安全漏洞,由于安全漏洞多、且大多数犹如隐藏在海面之下的冰山,虽然后期采取了很多安全措施,但安全事件依然防不胜防,屡屡发生。最近几年,数家银行频发数据泄露事件,大量个人敏感信息在暗网交易、在互联网上公开。数据泄露大多是因为存在业务系统、数据库、网络系统层面的安全漏洞,甚至是数据被非法查询复制而泄漏到互联网,难以通过后期加挂安全产品解决。四、 数据安全市场空间测算对标全球数据安全市场,我国数据安全市场存在较大提升空间。数据安全市场理应受到数据总量规模的驱动,即数据总量越大,需要防护的信息量越复杂,对数据安全市场的需求空间就越广阔。从数据安全市场规模的角度来看:根据研究机构VMR的
15、统计,2019年全球数据安全市场空间约为1738亿美元,且预计2027年该规模增加至5729亿美元,复合增长率为1735%。而根据相关研究机构的测算,我国2019年数据安全市场规模仅为38亿元,在全球数据安全市场占比仅为34%。从数据量的角度来看:根据IDC的研究,2018年我国数据量占全球数据量的234%,预计到2025年在全球的占比将达到约28%(远超2019年中国数据安全市场在全球34%的占比)。考虑到中国数据安全市场规模全球占比相较于中国数据总量全球占比仍有较大差距,中国未来数据安全市场增长潜力较大。假设到2025年中国数据安全市场规模在全球的占比与数据量占比相匹配(达到28%),进一
16、步估算得到中国数据安全市场潜在空间在2025年有望达到126亿美元(820亿元人民币),相较于2019年复合增长率为67%。五、 数据安全监管框架对于数据安全防护的监管核心在于止损,延用了网络安全领域等保制度的建设思路,旨在防止因为数据泄露、丢失、以及不当操作等对社会秩序、公共利益或者对国家安全造成损害。通过对数据防护相关政策的梳理,对于数据安全防护的监管渊源可追溯至2015年7月全国人大发布的国家安全法,其中提到建设网络与信息安全保障体系和实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。之后在国家安全法的基础上,全国人大和网信办陆续发布网络安全法、数据安全法、个人信息保护法、数据出境安全评估办法等跟数据安全防护直接相关的法律法规,各行业亦出台相关指导文件,数据安全防护监管要求逐步细化。对于数据开发利用的监管核心在于创利,旨在打破数据孤岛,实现数据的跨场景流通共享,也是现阶段构建数据要素市场的核心。同样基于对于数据开放共
