數(shù)據(jù)安全元年_行業(yè)機(jī)會(huì)在哪里？

來(lái)自互聯(lián)網(wǎng)感謝對(duì)創(chuàng)作者的支持：云岫資本（發(fā)布者會(huì)員賬號(hào)：winsoulcapital），云岫資本企業(yè)服務(wù)組與微村智科聯(lián)合出品，感謝分享：吳曉婷、劉冰雅等，頭圖來(lái)自：IC photo

數(shù)據(jù)作為新型生產(chǎn)要素，占據(jù)著China戰(zhàn)略資源地位。然而，大數(shù)據(jù)帶來(lái)得機(jī)遇伴隨著空前得安全挑戰(zhàn)：近年來(lái)，“大數(shù)據(jù)殺熟”、數(shù)據(jù)歧視、個(gè)人信息非法采集和隱私竊取等安全問(wèn)題愈發(fā)嚴(yán)峻，據(jù)數(shù)世感謝原創(chuàng)者分享統(tǒng)計(jì)，2020年全球泄露信息記錄達(dá)352.79億條，涉及人數(shù)約21.2億人。

層出不窮得數(shù)據(jù)泄露事件也給數(shù)字化轉(zhuǎn)型中得企業(yè)帶來(lái)巨大風(fēng)險(xiǎn)和巨額損失得可能性。據(jù)IBM 2020年統(tǒng)計(jì)，數(shù)據(jù)泄露得平均成本為386萬(wàn)美元；涉及超過(guò)5000萬(wàn)條消費(fèi)者記錄時(shí)，補(bǔ)救成本可能高達(dá)3.92億美元。

2018年，歐盟正式實(shí)施《通用數(shù)據(jù)保護(hù)條例》（GDPR），全球掀起數(shù)據(jù)安全與隱私得立法熱潮，對(duì)企業(yè)提出了更高得數(shù)據(jù)安全合規(guī)性要求。以合規(guī)為核心得新型數(shù)安產(chǎn)品在海外受到資本追捧。

近年來(lái)，華夏數(shù)據(jù)安全相關(guān)立法進(jìn)程也明顯加快，《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)密碼法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法（草案）》等系列政策法規(guī)相繼出臺(tái)，強(qiáng)化了數(shù)據(jù)安全得法制基礎(chǔ)。

受內(nèi)生需求提高、政策落地引導(dǎo)等因素影響，華夏數(shù)據(jù)安全行業(yè)正處于高速發(fā)展期：2018～2021年，國(guó)內(nèi)網(wǎng)安市場(chǎng)整體增速約20%～23%，同期數(shù)據(jù)安全市場(chǎng)增速約30%～35%，是同期網(wǎng)安整體增速得1.5倍以上。2021年，國(guó)內(nèi)數(shù)據(jù)安全市場(chǎng)規(guī)模預(yù)計(jì)達(dá)到約69.7億元。

數(shù)據(jù)安全隱患究竟容易出現(xiàn)在哪些環(huán)節(jié)，數(shù)據(jù)安全行業(yè)在向怎樣得方向發(fā)展，國(guó)內(nèi)有哪些創(chuàng)業(yè)投資機(jī)會(huì)？

一、數(shù)據(jù)是如何被保護(hù)得？

隨著數(shù)據(jù)量急劇增長(zhǎng)，接觸數(shù)據(jù)得用戶角色流動(dòng)頻繁，企業(yè)數(shù)據(jù)面臨著復(fù)雜得暴露風(fēng)險(xiǎn)和擴(kuò)散濫用風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)環(huán)節(jié)容易被惡意用戶或病毒木馬利用，導(dǎo)致更頻繁、更隱蔽得惡意泄露和攻擊竊取等風(fēng)險(xiǎn)事件發(fā)生。

然而傳統(tǒng)以外部威脅為中心得安全防護(hù)方式，面對(duì)數(shù)據(jù)安全問(wèn)題往往力不從心。

其一，傳統(tǒng)安全產(chǎn)品往往聚焦特定領(lǐng)域，功能相對(duì)單一，缺乏全盤視角，存在安全盲區(qū)，導(dǎo)致防護(hù)效果降低。

其二，由于傳統(tǒng)安全產(chǎn)品不知數(shù)據(jù)屬性、存儲(chǔ)分布、流轉(zhuǎn)、使用等狀況，難以厘清數(shù)據(jù)與業(yè)務(wù)之間得關(guān)系，缺乏整體掌握。

因此，傳統(tǒng)安全防護(hù)方式以被動(dòng)跟隨防御為主，難以面對(duì)未知威脅，在出現(xiàn)威脅到有效應(yīng)對(duì)之間存在時(shí)間差，使得數(shù)據(jù)風(fēng)險(xiǎn)難以消除。

隨著數(shù)據(jù)體量和種類得增長(zhǎng)，數(shù)據(jù)需得到全生命周期得安全保障。

數(shù)據(jù)全生命周期包括數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀等6個(gè)重要環(huán)節(jié)。

數(shù)據(jù)安全Hype CyCle（近日：Garnter 2021 數(shù)據(jù)安全研究報(bào)告）

數(shù)據(jù)采集安全

在數(shù)據(jù)采集端，體量大、種類多、近日復(fù)雜得原始數(shù)據(jù)使數(shù)據(jù)得真實(shí)性和完整性校驗(yàn)帶來(lái)困難。目前沒(méi)有標(biāo)準(zhǔn)化且通用得數(shù)據(jù)可信度鑒別、監(jiān)測(cè)手段，難以識(shí)別或剝離虛假甚至惡意得數(shù)據(jù)。如果黑客利用網(wǎng)絡(luò)攻擊向數(shù)據(jù)采集端注入臟數(shù)據(jù)，會(huì)破壞數(shù)據(jù)真實(shí)性，將數(shù)據(jù)分析得結(jié)果引向預(yù)設(shè)得方向，進(jìn)而實(shí)現(xiàn)操縱分析結(jié)果得攻擊目得。

數(shù)據(jù)傳輸安全

數(shù)據(jù)傳輸安全主要指與外部系統(tǒng)交換數(shù)據(jù)得過(guò)程，需要采用接口鑒權(quán)等機(jī)制，對(duì)外部系統(tǒng)得合法性進(jìn)行驗(yàn)證。

針對(duì)傳輸泄露，傳統(tǒng)DLP（Data leakage prevention，數(shù)據(jù)泄露防護(hù)）通常采取動(dòng)態(tài)加密、訪問(wèn)阻斷、數(shù)據(jù)庫(kù)防火墻等技術(shù)，監(jiān)控終端、網(wǎng)絡(luò)以及服務(wù)器中動(dòng)態(tài)傳輸?shù)脭?shù)據(jù)，發(fā)現(xiàn)和阻止泄露。

目前DLP已經(jīng)較為成熟，可以預(yù)見(jiàn)得是，大數(shù)據(jù)分析技術(shù)、機(jī)器學(xué)習(xí)算法得發(fā)展將推動(dòng)數(shù)據(jù)泄露防護(hù)得智能化發(fā)展，實(shí)現(xiàn)數(shù)據(jù)得智能化分級(jí)保護(hù)，并形成終端、網(wǎng)絡(luò)、云端協(xié)同一體得數(shù)據(jù)傳輸安全體系。

數(shù)據(jù)存儲(chǔ)安全

數(shù)據(jù)存儲(chǔ)安全分為三方面，一是對(duì)數(shù)據(jù)庫(kù)進(jìn)行加密，二是進(jìn)行密鑰管理以防止數(shù)據(jù)得越權(quán)訪問(wèn)，三是存儲(chǔ)平臺(tái)中數(shù)據(jù)設(shè)置備份與恢復(fù)機(jī)制。

目前跨越云得密鑰管理是云數(shù)據(jù)庫(kù)發(fā)展后興起得新興領(lǐng)域，云數(shù)據(jù)庫(kù)應(yīng)提供相應(yīng)得身份認(rèn)證和訪問(wèn)控制機(jī)制，確保只有合法得用戶或應(yīng)用程序才能獲取數(shù)據(jù)；同時(shí)，區(qū)塊鏈去中心化存儲(chǔ)所衍生得一系列安全問(wèn)題都有待進(jìn)一步探索。

數(shù)據(jù)處理安全

數(shù)字經(jīng)濟(jì)時(shí)代來(lái)臨，越來(lái)越多得企業(yè)或組織需要參與數(shù)據(jù)維度得產(chǎn)業(yè)鏈協(xié)同。在數(shù)據(jù)合作和共享得過(guò)程，會(huì)產(chǎn)生大量跨系統(tǒng)得訪問(wèn)和匯集多方數(shù)據(jù)得聯(lián)合運(yùn)算，通過(guò)脫敏規(guī)則對(duì)個(gè)人信息、商業(yè)機(jī)密或獨(dú)有數(shù)據(jù)資源進(jìn)行變形可以實(shí)現(xiàn)對(duì)隱私數(shù)據(jù)得保護(hù)。

數(shù)據(jù)脫敏分為靜態(tài)數(shù)據(jù)脫敏和動(dòng)態(tài)數(shù)據(jù)脫敏，靜態(tài)數(shù)據(jù)脫敏是將數(shù)據(jù)抽取脫敏后發(fā)給下一環(huán)節(jié)，使脫敏數(shù)據(jù)和生產(chǎn)環(huán)境隔離，以保障生產(chǎn)數(shù)據(jù)庫(kù)得安全；動(dòng)態(tài)數(shù)據(jù)脫敏則是在訪問(wèn)敏感數(shù)據(jù)同時(shí)進(jìn)行脫敏處理，可以根據(jù)不同脫敏規(guī)則執(zhí)行不同脫敏方案。這一技術(shù)目前已經(jīng)在部分?jǐn)?shù)據(jù)庫(kù)產(chǎn)品中實(shí)現(xiàn)，如華為GaussDB產(chǎn)品目前已實(shí)現(xiàn)動(dòng)態(tài)脫敏，可以充分滿足各個(gè)業(yè)務(wù)場(chǎng)景下得數(shù)據(jù)脫敏訴求。

數(shù)據(jù)交換安全

頻繁得數(shù)據(jù)共享和交換帶來(lái)得是交錯(cuò)復(fù)雜得數(shù)據(jù)流動(dòng)路徑，數(shù)據(jù)從產(chǎn)生到銷毀不再是單向得流動(dòng)，也不再僅限于單一系統(tǒng)內(nèi)部流轉(zhuǎn)，而會(huì)從一個(gè)數(shù)據(jù)控制系統(tǒng)流向另一個(gè)控制系統(tǒng)。

在這個(gè)過(guò)程中，實(shí)現(xiàn)跨數(shù)據(jù)系統(tǒng)得全路徑追蹤溯源變得異常困難，數(shù)據(jù)溯源中數(shù)據(jù)標(biāo)記得可信性、數(shù)據(jù)標(biāo)記與內(nèi)容捆綁得安全性都是仍需考量得問(wèn)題。2018年3月，F(xiàn)acebook因?yàn)閷?duì)第三方使用數(shù)據(jù)缺乏有效得管理和追責(zé)機(jī)制，蕞終導(dǎo)致8700萬(wàn)名用戶得資料被泄漏濫用，給個(gè)人和企業(yè)都帶來(lái)巨大損失。

通過(guò)Gartner過(guò)去四年數(shù)據(jù)安全行業(yè)研究報(bào)告顯示，數(shù)據(jù)處理環(huán)節(jié)得脫敏技術(shù)和數(shù)據(jù)交換環(huán)節(jié)得權(quán)限管理、安全代理也逐步成熟，數(shù)據(jù)分類和密鑰管理產(chǎn)品處于高速發(fā)展期。而數(shù)據(jù)傳輸環(huán)節(jié)得產(chǎn)品已經(jīng)非常成熟。

風(fēng)險(xiǎn)及合規(guī)視角下，數(shù)據(jù)安全需要應(yīng)對(duì)更豐富多樣得應(yīng)用場(chǎng)景，保護(hù)得數(shù)據(jù)對(duì)象范疇也不斷外延。傳統(tǒng)得安全單點(diǎn)管控模式無(wú)法覆蓋全局。企業(yè)需要以數(shù)據(jù)為起點(diǎn)，構(gòu)建數(shù)據(jù)安全治理、合規(guī)、審計(jì)、分析、防護(hù)得全生命周期安全防護(hù)體系。

Micrsoft所提出得DGPC和Gartner所提出得DSG框架均強(qiáng)調(diào)了數(shù)據(jù)全生命周期路線梳理得重要性，在此基礎(chǔ)上才能合理考慮管理維度和技術(shù)維度得具體策略。然而，數(shù)據(jù)全生命周期得治理、評(píng)估和隱私保護(hù)仍處于發(fā)展初期。

二、國(guó)內(nèi)數(shù)據(jù)安全行業(yè)競(jìng)爭(zhēng)格局

國(guó)內(nèi)數(shù)據(jù)安全領(lǐng)域主要存在三大類主要玩家，分別為云廠商、網(wǎng)絡(luò)安全廠商、可以數(shù)據(jù)安全服務(wù)商。

云廠商：以提供云基礎(chǔ)設(shè)施配套得基礎(chǔ)安全產(chǎn)品為主。以下是目前幾大云廠商提供得數(shù)據(jù)安全產(chǎn)品比較。

網(wǎng)絡(luò)安全廠商：部分網(wǎng)絡(luò)安全廠商作為集成商使用可以數(shù)據(jù)安全服務(wù)商得產(chǎn)品，如奇安信得數(shù)據(jù)安全產(chǎn)品使用得是昂楷、中安威士；另一種發(fā)展策略是收購(gòu)可以得數(shù)據(jù)安全服務(wù)商，如綠盟科技2015年斥資近5億百分百收購(gòu)億賽通。數(shù)據(jù)安全往往非其核心業(yè)務(wù)。

可以數(shù)據(jù)安全服務(wù)商： 數(shù)據(jù)安全為主業(yè)，產(chǎn)品圍繞客戶需求打造，既有面向等保合規(guī)為目得得傳統(tǒng)數(shù)據(jù)庫(kù)安全業(yè)務(wù)，也有以數(shù)據(jù)全域安全以及隱私合規(guī)保護(hù)得新興數(shù)據(jù)安全業(yè)務(wù)。

三、國(guó)外數(shù)據(jù)安全企業(yè)分析

2018年GDPR正式實(shí)施，合規(guī)要求下海外數(shù)據(jù)安全廠商迎來(lái)前所未有得機(jī)遇，發(fā)展步伐加快。分析國(guó)外數(shù)據(jù)安全保護(hù)產(chǎn)品，可以看出數(shù)據(jù)安全服務(wù)商發(fā)展得四個(gè)思路。

1. 幫助客戶全面掌握數(shù)據(jù)，了解個(gè)人隱私得合規(guī)風(fēng)險(xiǎn)

代表企業(yè)：Big發(fā)布者會(huì)員賬號(hào)

Big發(fā)布者會(huì)員賬號(hào)設(shè)立得初衷是在大數(shù)據(jù)時(shí)代為企業(yè)提供智能得數(shù)據(jù)分析方案，數(shù)據(jù)隱私保護(hù)僅為數(shù)據(jù)處理過(guò)程中一個(gè)亮點(diǎn)。隨著GDPR正式實(shí)施，Big發(fā)布者會(huì)員賬號(hào)先后獲得Bessemer和Tiger得青睞。如今，Big發(fā)布者會(huì)員賬號(hào)一邊幫助企業(yè)落地GDPR合規(guī)，另一邊逐漸轉(zhuǎn)型，提供產(chǎn)品化、有安全內(nèi)核得數(shù)據(jù)智能平臺(tái)，強(qiáng)調(diào)企業(yè)對(duì)整體數(shù)據(jù)資產(chǎn)安全得把控。

2. 探測(cè)與防御API攻擊得解決方案

代表企業(yè)：Salt Security

Salt Security由Ycombinator孵化，創(chuàng)始人是以色列國(guó)防軍校友，從創(chuàng)立就致力于為SaaS、Web平臺(tái)、移動(dòng)端、微服務(wù)和物聯(lián)網(wǎng)應(yīng)用程序得核心API提供保護(hù)解決方案。Salt Security得策略是圍繞API從開(kāi)發(fā)到使用全生命周期打造數(shù)據(jù)安全解決方案，保證云和端所有通過(guò)API交互數(shù)據(jù)得安全。

3. 將AI技術(shù)應(yīng)用于數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)處理

代表企業(yè)：Securiti.ai

Securiti于2018年成立于硅谷，由Symantec和Cisco得安全部門負(fù)責(zé)人創(chuàng)立，強(qiáng)調(diào)AI和數(shù)據(jù)安全結(jié)合，用AI+Data Security實(shí)現(xiàn)數(shù)據(jù)安全和合規(guī)流程自動(dòng)化。

4. 針對(duì)用戶個(gè)人隱私訪問(wèn)控制和合規(guī)處理

代表企業(yè)：OneTrust

OneTrust打造以合規(guī)為核心得新型數(shù)據(jù)安全產(chǎn)品，強(qiáng)調(diào)不同地區(qū)定制化數(shù)據(jù)安全政策合規(guī)。OneTrust創(chuàng)立初期推出幫助客戶完成針對(duì)歐盟GDPR和加州CCPA得數(shù)據(jù)隱私管理服務(wù)平臺(tái)，2018年為甲骨文、安聯(lián)保險(xiǎn)、萬(wàn)豪酒店等大型客戶提供隱私、安全、第三方風(fēng)險(xiǎn)工具而為人所熟知。

發(fā)展中期，OneTrust豐富了其隱私管理平臺(tái)上提供得工具和服務(wù)，并逐漸開(kāi)始拓展研究各地不同得數(shù)據(jù)隱私條例。模塊化得工具可以幫助不同客戶配置不同得隱私管理平臺(tái)，同時(shí)又可以達(dá)到標(biāo)準(zhǔn)化、大規(guī)模得交付。截至目前，OneTrust收購(gòu)跨數(shù)據(jù)安全技術(shù)、合規(guī)、感謝原創(chuàng)者分享服務(wù)共計(jì)9個(gè)公司，其下一步目標(biāo)是拓展海外版圖，幫助客戶完成跨州和跨國(guó)滿足各個(gè)地區(qū)法案得數(shù)據(jù)安全合規(guī)。

四、數(shù)據(jù)安全未來(lái)發(fā)展趨勢(shì)

根據(jù)以上分析，我們可以總結(jié)出4個(gè)趨勢(shì)：

1. 具有差異化服務(wù)能力得創(chuàng)業(yè)公司極具機(jī)會(huì)

網(wǎng)絡(luò)安全是防守方，細(xì)分領(lǐng)域極多，任何一個(gè)點(diǎn)都有安全防護(hù)得需求和機(jī)會(huì)。因此從長(zhǎng)期競(jìng)爭(zhēng)格局來(lái)看，數(shù)據(jù)安全行業(yè)并非零和市場(chǎng)，更不會(huì)贏家通吃。大得安全廠商往往僅提供基礎(chǔ)得安全服務(wù)能力，很難做到差異化，為有細(xì)分領(lǐng)域安全能力得公司提供了更大得發(fā)展空間。

2. 全鏈路數(shù)據(jù)安全重要性顯著提升

數(shù)據(jù)安全不僅僅要圍繞靜態(tài)數(shù)據(jù)資產(chǎn)得保護(hù)，更重要得是針對(duì)整個(gè)數(shù)據(jù)流動(dòng)過(guò)程中得各個(gè)環(huán)節(jié)提供一整套安全解決方案，不但要做好外部防護(hù)，更要做好內(nèi)部數(shù)據(jù)安全訪問(wèn)控制。因此，除了針對(duì)單一環(huán)節(jié)得數(shù)據(jù)檢測(cè)響應(yīng)和防護(hù)策略外，企業(yè)還需要感謝對(duì)創(chuàng)作者的支持?jǐn)?shù)據(jù)全生命周期得安全風(fēng)險(xiǎn)識(shí)別。

3. API安全管控引發(fā)感謝對(duì)創(chuàng)作者的支持

云原生時(shí)代，API成為服務(wù)交付得必選，API接口負(fù)責(zé)傳輸?shù)脭?shù)據(jù)量以及敏感性得增加，導(dǎo)致針對(duì)API得攻擊變得越來(lái)越頻繁和復(fù)雜，甚至成為不少公司得頭號(hào)安全威脅。因此，企業(yè)亟需有效得解決方案對(duì)開(kāi)放共享得數(shù)據(jù)核心資產(chǎn)提供保護(hù)。

通過(guò)對(duì)API訪問(wèn)風(fēng)險(xiǎn)及數(shù)據(jù)傳輸風(fēng)險(xiǎn)進(jìn)行持續(xù)監(jiān)測(cè)，全面評(píng)估業(yè)務(wù)系統(tǒng)、數(shù)據(jù)接口、數(shù)據(jù)分類得數(shù)據(jù)安全風(fēng)險(xiǎn)態(tài)勢(shì)，面向API安全風(fēng)險(xiǎn)，可彌補(bǔ)API網(wǎng)關(guān)方案得不足。

4. 隱私計(jì)算將成為數(shù)據(jù)交換得基礎(chǔ)設(shè)施

隱私計(jì)算旨在保護(hù)數(shù)據(jù)本身不對(duì)外泄露得前提下，實(shí)現(xiàn)數(shù)據(jù)分析計(jì)算。隱私計(jì)算可以使得跨企業(yè)間在完全合規(guī)得前提下進(jìn)行數(shù)據(jù)協(xié)同。數(shù)據(jù)可以作為資產(chǎn)變現(xiàn)，同時(shí)不再泄露明文信息，保護(hù)企業(yè)資產(chǎn)。它得出現(xiàn)使得不分享數(shù)據(jù)、但分享數(shù)據(jù)得價(jià)值成為可能。

部分參考資料

[1] 賽迪白皮書《數(shù)據(jù)安全治理白皮書3.0》

[2]中華人民共和國(guó)China標(biāo)準(zhǔn)《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

[3] 阿里研究院《數(shù)據(jù)安全能力建設(shè)實(shí)施指南》

[4] 華為云《華為云數(shù)據(jù)安全白皮書》

[5] 騰訊云《騰訊云安全白皮書》

[6] Michael Isbitski《API Secrutiy for Dummies》

來(lái)自互聯(lián)網(wǎng)感謝對(duì)創(chuàng)作者的支持：云岫資本（發(fā)布者會(huì)員賬號(hào)：winsoulcapital），感謝分享：助力科技創(chuàng)業(yè)者得

本內(nèi)容為感謝分享獨(dú)立觀點(diǎn)，不代表虎嗅立場(chǎng)。未經(jīng)允許不得感謝，授權(quán)事宜請(qǐng)聯(lián)系 hezuo等huxiu感謝原創(chuàng)分享者

正在改變與想要改變世界得人，都在 虎嗅APP