數據安全技術和市場的分析

目錄

前言............................................................................1

1.數據安全市場整體情況.......................................................1

1.1.規模.....................................................................1

1.2.增速.....................................................................2

1.3.基礎投資下的高增長預期..................................................2

2.數據安全立法情況...........................................................2

3.數據安全產品分類...........................................................4

3.1.聯邦學習(FederatedLearning)....................................................................................7

3.2.同態加密................................................................8

3.3.可信計算環境...........................................................8

4.數據安全產品的難點...........................................................8

5.總結.........................................................................10

前言

數據安全，從本質上來說，幾乎是所有安全產品的終極防護目標。從廣義

來講，大部分攻擊行為，都和數據有關。例如“勒索病毒”，它最初是利用系

統漏洞攻入，找到硬盤上的重要數據并加密，最終目是收取“解密費”。從這

個角度看，不論是網絡安全產品，還是數據安全產品，最終目標都是為了保護

用戶的數據安全。

數據安全是如此重要，然而卻又如此復雜。因為技術的復雜性，以及和業

務結合的復雜性，過去十幾年一直沒有占據安全市場的主要比例。這種情況現

在發生了一些改變，或者說迎來了契機一一從國內外近年來數據安全事件頻發

的形勢、數據作為生產要素的新的認知、以及立法的密集程度，可以預測到數

據安全市場未來會占據通用安全市場越來越多的份額，也會以更快的增長速度

持續增長。

1.數據安全市場整體情況

1.1.規模

第1頁共10頁

按照2019年數據看，根據海外市場研究機構VMR統計，全球數據安全市

場規模約為173.8億美元，2019-2025之間預測該市場年復合增長率約為

17.35%。根據國內機構統計，2019年我國數據安全市場規模僅為38億人民

幣元，僅占全球數據安全市場規模的3.4%。相比較于中國安全整體市場占全

球份額7%的比例，數據安全市場的比例也是偏低的。

1.2.增速

看看市場增速整體情況，全球網絡安全市場的年復合增長率為9.7%,數

據安全的年復合增長率約為17.35%,說明數據安全市場的增速遠大于平均安

全市場增速。

1.3.基礎投資下的高增長預期

另外，從基礎設施投資角度看，IDC預測中國數據量增速最為迅猛，預計

2025年將增至48.6ZB,占全球數據圈的27.8%,成為全球最大的數據圈。那

么如果從投資角度看，中國數據安全市場的份額理論上應在2025年占到全球

的27.8,而現在僅為3.4%,這里面也有很大的增長空間。

從上可分析，未來中國數據安全市場容量有巨大的增長空間。如果以

2025年作為時間節點來推測，按照全球年復合增長率約為17.35%推測，全球

在2025年數據安全市場規模會達到532.63億美元；按照中國27.8%的數據總

量占比折算，國內2025年的數據安全市場理論上應該達到148億美元。今年

已經是2022年了，按照這個推測，未來5年，數據安全市場會形成一個千億

人民幣級別的子市場。

查閱了一些其他機構統計的數據和分析，大致基本吻合。不過，實際上需

要考慮到中美安全市場大概3年的時間差，以及基礎設施投資后業務上線的時

間周期，整體打一個7折來估算，2025年國內數據安全市場大致應該是103

億美元左右總盤子，折合人民幣600億人民幣左右。

2.數據安全立法情況

國內外主要相關法律法規情況如下：

2022年4月,美國:《加州消費者隱私法案(CCPA)》

2018年5月，歐盟：《通用數據保護條例(GDPR)》

第2頁共10頁

2003年5月，日本：ActontheProtectionofPersonalInformation,

“Appi”)

2021年6月，中國：《中華人民共和國數據安全法》

2021年4月，中國：《中華人民共和國個人信息保護法》

國外數據安全相關立法，主要以保護個人數據隱私安全為主；國內的兩部

法律，除了保護個人，還有保護國家數據安全的要求。

有了頂層立法，各主要行業隨后跟進落地本行業相應的技術規范，如金融

行業陸續發布了《個人金融信息保護技術規范》、《金融數據安全數據安全分

級指南》、《金融數據安全數據生命周期安全規范》，其他行業如運營商、政

府、證券、醫療也陸續發布了對應的行業規范。

按照國內安全相關立法到落地的節奏，一般是先“初稿征詢意見”一“經

過1年左右的公示，正式頒布”一“各行業跟進，指定對應的技術規范和執行

細則”一“產品和檢查措施落地”一“市場爆發”。

目前數據安全市場中的新需求部分“隱私保護”“數據分級”“大數據安

全利用”這幾塊，還處于“各行業跟進，相關技術規范和執行細則落地”這個

階段。因為數據安全涉及面比較多，在這個階段還是比較需要嚴謹的，具體是

需要一些實際的探索和討論，以及典型案例的實際運作探索，最終形成明確的

完善的落地執行細則這樣。

舉例來說，比如一個互聯網交通企業的數據安全，可能會涉及交通、金

融、公安、稅務等各個部門，技術上會涉及傳統數據庫、大數據、隱私計算等

等，地域上可能會跨多個省行政區域甚至國際區域，要做數據審查，不論從監

管的協調，還是技術的成熟度，都具備很多未確定的需要探索的環節，因此這

個階段我估計時間會比較久一些。

通讀數據安全法，核心點主要有如下幾個：

1、職能角色：網信辦是總體協調部門，負責統籌協調網絡數據安全和相

關監管工作；工業、電信、交通、金融、自然資源、衛生健康、教育、科技等

主管部門承擔本行業、本領域數據安全監管職責；公安機關、國家安全機關等

依照本法和有關法律、行政法規的規定，在各自職責范圍內承擔數據安全監管

職責；

2、制度：國家建立數據分類分級保護制度一一這也是目前很多數據安全

第3頁共10頁

分級產品的產生背景；國家建立數據安全審查制度，對影響或者可能影響國家

安全的數據處理活動進行國家安全審查一一這也是去年滴滴、BOSS直聘等數

據審查的落地頭幾個企業案例的法律背景。

3、法律責任：明確了數據安全泄露事件，是可以入刑責的；如果是國家

機關的數據泄露了，一把手是要被處分甚至判刑的。

另外，從立法的深層意義看，不僅僅是保護數據本身的安全。從數字社會

的未來藍圖看，數據已成為了未來的生產要素之一，類似于石油這樣的資源。

也就是說，未來的豐富的數據資源，是可以充分的融合、挖掘，并產生新的生

產力的。所以，數據安全法也體現了國家會把數據視為未來戰略資源，并會高

度重視以及加以保護的考慮。

3.數據安全產品分類

從產品類型角度分類，數據安全產品大致可以分為特定目標防護產品和平

臺類產品兩類，產品的歷史大致是從90年代末到現在，一共走過了20年左右

的歷史。

單點防護產品（2000年—2015年）

主要是圍繞著數據庫保護和電子文檔保護為主的產品，以特定防護目標作

為防護對象，解決特定安全防護需求的問題，以單點產品為主，比如：

1、電子文檔加密、

2、DLP（數據防泄漏保護）

3、數據脫敏

4、存儲備份

5、數據庫審計

代表企業有億賽通、明朝萬達、安和金華、美創、瑞數等。

平臺類產品（2015年一至今）

1、數據安全治理

（兩類技術路線：一類以數據分級為主線，一類以數據生命周期為主線

（DSMM））

2、隱私計算

3、數據分級等

第4頁共10頁

代表企業有安恒、綠盟、奇安信、華控、藍象、全知、美創等。

單點防護產品（老產品），共同的特征是以某個特定場景的需求為主，如

針對數據庫的防護產品，對于文檔的加密產品，屬于單點產品。這類產品產品

形態硬件和軟件類型大致各占一半，技術難度較高，如電子文檔加密產品，技

術難點在于既要加密，又要能按照權限控制分發，并且兼容各種文檔格式；數

據庫審計，難度在于黑盒的模式下去識別各種商業數據庫的協議和操作內容，

以及減少因為協議的誤判對業務造成的中斷影響。老產品走過了十幾年的時

間，相對來說功能和需求場景都比較確定，組成了數據安全的基礎產品族。對

應的每個子領域都有標桿廠商，代表廠商有億賽通，明朝萬達，安和金華等，

在這里不過多贅述。

再看一下平臺類產品。

屬于近年的新產品，解決的主要是近年來大數據的應用帶來的新的安全問

題。

舉個新需求的例子。

去年頒布的《數據安全法》，第二十一條明確規定了“國家建立數據分類

分級保護制度”，指的是根據數據在經濟社會發展中的重要程度，以及一旦遭

到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個

人、組織合法權益造成的危害程度，對數據實行分類分級保護。

那么需求來了，以前的保護對象是一個數據庫，或者一個文檔，沒有分級

分類的這個要求。而現在保護的對象，是一個區域、一片單位的所有的數據

源，且在做防護之前，首先要梳理清楚，做好分級分類。傳統數據安全產品顯

然不具備這樣的功能。

相應的，產品的品類就誕生了一一數據分級分類產品，比如全知的“數據

資產地圖系統“，從官網介紹可到介紹：“數據資產地圖系統”是一款面向企

業靜態數據資產發現并進行自動化數據分類分析的數據安全產品，能夠通過全

面盤點數據資產、梳理標識數據，實現在復雜環境下自動化掃描并識別定位敏

感業務信息。同時，通過數據的分類分級梳理，形成重要數據資產清單，并有

效識別數據風險，為企業數據資產管控提供安全規范和技術依據。產品架構是

這樣的，如下：

第5頁共10頁

xeataNoscx

分頭分?可1s化

原理大致是這樣：

首先通過掃描和對接各種數據源（數據庫），對數據資產進行全面的掃描

和采集；然后，對數據進行自動識別和分級分類，打上標簽，存入大數據系

統；最后，形成數據資產清單，全網數據資產可視

再舉個例子：

某大型企業，下轄十幾個子公司，數據源多樣化，且分布在不同的物理位

置。日常工作中，總部需要采集子公司的數據，子公司也會使用總部的數據，

數據交叉環節多，管控不易，資產不清，風險不可視。

上述問題非單點類安全產品可解決，屬于數據安全治理的范疇。客戶需要

這么一套系統：

能夠有效的發現數據資產（包括子公司的），形成數據資產地圖；

能夠定義和識別重要數據，并打上標簽

能夠面向不同的數據源，下發安全訪問的策略，控制數據訪問權限；

能夠持續監控數據安全風險

能夠對數據風險進行溯源

典型的產品架構如下：

第6頁共10頁

-J-O

色

槐理用戶或露關系

J㈤

實時行為風聞發現

-V

2故掘液修溯源

人員行為審計

內部員工?0名辦公時闡下我文件

二__={^===j；-7-={—?《忖刑@

WSWP行為鼠險■作日志一

還有一類產品，比較新，叫做隱私計算產品。

我們知道，很多行業比如政務、醫療、金融等各行業、單位機構本身掌握

大量的價值數據，在社會治理或者商業數據挖掘的需求下，是需要結合這些數

據進行二次挖掘的。通俗來說，就是需要根據不同行業提供的數據源，挖掘有

價值的分析結果，但是又不能把各個行業的數據都拿走。最簡單的例子就是疫

情分析，比如張三，去過哪些地方，密接了那些人，是否有疫情擴散的風險，

需要知道這個結果，但是又要保證這些信息的隱私性，不能造成信息泄漏。

如果沒有隱私計算的機制，這些行業客戶不敢、不愿、也不能開放數據用

于共享。所以必須要有一類產品能夠作為數據交換平臺，可控地將數據開放給

第三方做數據挖掘分析，第三方在平臺上的數據挖掘行為可監管、可審計、可

追溯；原始數據不出本地，受益方只能獲取審核后的價值數據。最終達到確保

數據所有權和使用權的分離，可用不可見、可用不可取。幫助企業創造新的數

據交易模式，合法合規、安全地對外開放數據，釋放出數據的潛在價值。

隱私計算相對比較新，他主要依賴幾個核心數學概念，理解了這幾個概念

才好理解這個產品：

3.1.聯邦學習(FederatedLearning)

是一種分布式機器學習技術，通俗來說，就是能得到數學模型的結果，但

是卻不會拿走參與的數據。比如計算出“某一類疾病的患者最喜歡去的十大場

所”，需要匯總醫院醫療數據和不同場所的顧客數據，進行聯邦學習模型計

算，進而得到這個統計結論。運算中主要是通過數學模型進行的，過程中不會

第7頁共10頁

拿走原始數據。

其核心思想是通過在多個擁有本地數據的數據源之間進行分布式模型訓

練，在不需要交換本地個體或樣本數據的前提下，僅通過交換模型參數或中間

結果的方式，構建基于虛擬融合數據下的全局模型，從而實現數據隱私保護和

數據共享計算的平衡，即“數據可用不可見”、“數據不動模型動”的應用新

范式。

3.2.同態加密

通俗來講，各個數據源單位，提供的都是加密后的數據，不影響數據模型

預算的結果。具體來說，同態加密是運用數學算法，對經過同態加密的數據進

行處理得到一個輸出，將這一輸出進行解密，其結果與用同一方法處理未加密

的原始數據得到的輸出結果是一樣的。

比如說，數據提供方擔心數據的源信息被計算平臺拿走，所以采用特殊算

法對原始數據進行加密，數據平臺得不到原始數據，但卻可以利用數學算法得

到統計的結果。

3.3.可信計算環境

可信執行環境(TrustedExecutionEnvironment,TEE)通過軟硬件方法在中

央處理器中構建一個安全的區域，保證其內部加載的程序和數據在機密性和完

整性上得到保護。TEE是一個隔離的執行環境，為在設備上運行的受信任應用

程序提供了比普通操作系統(RichOperatingSystem,RichOS)更高級別的安全性

以及比安全元件(SecureElement,SE)更多的功能。

隱私計算產品，基本原理就是采用上面的算法，綜合利用脫敏、加密等技

術，為各方數據源提供一個安全、隱私的計算平臺，來運行不同的數據統計模

型。

這類產品的主要客戶是具備多樣化、跨行業、跨部門數據來源的企業或事

業單位，如大數據局、醫療、安全、能源、政府等單位。另外這些年，我國也

建立了多個區域性的大數據市場平臺公司，各個數據源能夠以商品的方式提

供，在滿足安全、隱私、合規的前提下，為社會生存創造數據挖掘的二次價

值。

4.數據安全產品的難點

第8頁共10頁

和通用網絡安全產品不同，數據產品更靠業務。數據安全產品的復雜性，

主要就是基于這個原因。總的來說，因為數據安全產品更靠近客戶的核心業

務，因此產品的準確度會比通用安全產品的要求更高。因為一個錯誤的規則，

很可能造成客戶業務災難性的中斷，或者核心數據的破壞。

另外數據安全產品的實施成本特別高，主要是因為和業務緊耦合的緣故，

開發、部署階段，會涉及大量的對接、修改以及后續運維工作。在商業角度，

這種情況就不是個“好產品”，因為一個客戶一個特殊需求，無法實現批量復

制和快速售賣，短期做大困難。

還有個問題就是風險高，責任大。數據安全產品一旦出問題，造成客戶數

據丟失、業務中斷、數據無法解密，這些情況都是客戶難以忍受的，也具有極

高的責任風險。所以，技術不精的廠商，不是很敢碰這類產品。

另外還有一個非技術因素的難點，就是各部門的數據要打通，而數據都是

各個部門的核心業務，這意味著在組織架構上需要調整在先。如果沒有重構組

織架構，數據安全產品的落地阻力會非常大。而重構組織架構，意味著崗位的

調整，在現實工作中，這個難度難比天高，需要較長一段時間來完成。

具體來說，難點主要有如下：

1、對接數據源難

各類商業數據庫因為是閉源產品，協議黑盒，版本多變，缺乏統一的標

準，因此在對接各類數據源的時候，協議解析這塊特別耗費人力，難度也較

大。

2