资源描述
12022 数据安全产业洞察报告北京炼石网络技术有限公司V1.0.12声明北京炼石网络技术有限公司对数据安全产业洞察报告(以下简称报告或本报告)的内容及相关产品信息拥有受法律保护的著作权,未经授权许可,任何人不得将报告的全部或部分内容以转让、出售等方式用于商业目的使用。转载、摘编使用本报告文字或者观点的应注明来源。报告中所载的材料和信息,包括但不限于文本、图片、数据、观点、建议等各种形式,不能替代律师出具的法律意见。违反上述声明者,本公司将追究其相关法律责任。报告撰写过程中,为便于技术说明和涵义解释,引用了一系列的参考文献,内容如有侵权,请联系本公司修改或删除。北京炼石网络技术有限公司联系电话:4008190181邮箱:3序言以安全保发展以安全保发展、以发展促安全以发展促安全。数字经济是继农业经济、工业经济之后的主要经济形态,在重组全球要素资源、重塑全球经济结构、改变全球竞争格局中起着关键性作用。科技部数据显示,我国数字经济规模居世界第二1。对我国来说,发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择,并将带动数字化向更大范围、更高层次、更深程度拓展,发挥数据的基础资源作用和创新引擎作用。数据要素作为数字经济深化发展的核心引擎,数据安全也成为事关国家安全和经济社会发展的重大议题。数据安全产业升级伴随着认知更新数据安全产业升级伴随着认知更新。2021 年 6 月 10 日,中华人民共和国数据安全法正式颁布,数据安全步入法治化轨道。在合规监管和实战防护双重驱动下,数据安全产业发展迅猛。同时,我们要看到,数据安全作为新兴技术驱动产业,新理念、新技术、新产品、新业态大量涌现,过去成熟的信息和网络安全认知难以覆盖新生的数据安全。值此 数据安全法 颁布一周年之际,炼石 2022数据安全产业洞察报告(简称报告)正式推出,是继2021 数据安全与个人信息保护白皮书2021 密码产业洞察报告2021 密码应用技术白皮书等报告之后的新成果。从业务视角洞察数据安全产业从业务视角洞察数据安全产业。信息化技术是“与天斗、与地斗”,而安全技术是“与人斗”,人的不确定因素大大增加了安全产品和服务体系的复杂程度;同时安全产品在为丰富信息化场景提供保障的同时,反过来安全产品自身也属于1我国数字经济规模居世界第二 先进储能等产业规模居世界前列,https:/ 立足国际经贸摩擦、新冠疫情爆发、俄乌军事冲突等错综复杂的形势下,探索各国对于数据安全法治建设路径的持续布局。在全球数据安全加速发展的大潮中,我国数据安全产业进入高速发展期。5数据开发利用数据开发利用伴生安全风险伴生安全风险。报告梳理了数据收集、存储、使用、加工、传输、提供、公开等全生命周期中的各个环节中面临的安全威胁和挑战。通过丰富案例能够深入了解全生命周期各环节的薄弱点和暴露面,从而针对性的设计和实施数据保护体系,以消减风险,保障业务高效运行。持续攻防对抗特性让数据安全行业成为技术演进常青树持续攻防对抗特性让数据安全行业成为技术演进常青树。报告从技术、产品、治理和服务等领域展开。技术发展上,从典型技术理念、典型技术架构、典型治理平台三个层次逐步展开,其中,技术架构上重点介绍了 GARTNER 架构、信通院架构、DTTACK 等模式,并论述了其设计思路和理念;安全产品上,从标准安全产品延伸、创新安全场景驱动分别切入,详细介绍了 20 多种数据安全产品,并着重分析了创新安全场景中使用的关键技术;数据治理上,从数据价值、安全策略、管理运营等方面,持续探索自适用、易落地的数据安全治理模型和体系;服务咨询上,立足产业链中下游,重点介绍了治理、评测、运营、能力提升、专项、实战应用、法律咨询七种类型,并基于各服务种类及流程步骤从多维度解析。免改造数据安全免改造数据安全实现数据流动中的有效保护与合规实现数据流动中的有效保护与合规。随着数据要素价值升级,“以数据为中心的安全”占据产业靶向点,应用层作为数据共享流转的主要载体,数据价值点多、风险敞口广,具有丰富业务上下文含义,成为实现数据安全的主要抓手。补足数据安全功能需求缺失面临“老应用改造难、新应用成本高”等问题,免改造数据安全应运而生,通过数据控制点实现“横向覆盖应用、纵向叠加安全”。数据安全体系化打造数据数据安全体系化打造数据纵深防御纵深防御。当下,攻击者已经分工合作以提升效率,特点,传统的安全边界或网络隔离策略难以应对。数据安全建设要放弃一招制敌6的幻想,在信息系统上根据不同的安全威胁,结合匹配的安全防护技术与措施,实施协同联动的安全策略纵深。报告阐述了基于 DTTACK 的防御纵深,凭借先发优势、面向失效的设计、环环相扣的递进式设防,形成有效防护。党中央高度重视党中央高度重视数据安全数据安全,新新图景图景将建于硬核将建于硬核实力之上实力之上。报告涵盖增强数据安全技术与产业的意识形态建设、做好数据安全技术与产业发展的顶层设计、营造数据安全技术与产业良好的环境氛围、建立新技术与应用实践落地的“民族自信”、国家和监管共同构造产业格局“中国之治”、重要数据和个人信息治理推动“中国规则”、国际数据安全技术与产业彰显“中国智慧”等方向,并从产业和技术等方面展望了发展趋势和应用热点。由于编者水平有限,报告中不妥和错漏之处在所难免,敬请各位读者批评指正和提出宝贵意见,业界专家和同仁拨冗参与本报告改进,后续我们也将持续更新完善报告内容,为数据安全产业发展贡献力量!本白皮书编写过程中获得了腾讯云鼎实验室等众多专家和机构的指导与帮助,在此特别致谢。7目录第一章 数字经济发展呼唤数据安全.22第一节 数据安全产业聚力蓄势而发.23一 数据安全概念紧随时代持续演进.23二 数据安全脱胎网络安全与之比肩.32三 数据安全产业内涵外延前景广阔.44四 数据安全爆发千亿市场未来可期.46第二节 数据安全立法折射大国博弈.56一 国际数据安全形势错综复杂.56二 我国数据安全产业厚积薄发.95三 全球数据安全理念多元呈现.152第二章 数据处理风险驱动数据保护.168第一节数据收集:合法、正当、必要.168第二节数据存储:加密、控制、审计.170第三节数据使用:告知、监督、检测.175第四节数据加工:内控、风险、响应.177第五节数据传输:加密、脱敏、约定.178第六节数据提供:评估、保护、监督.180第七节数据公开:危害、分析、影响.182第三章 数据保护技术集聚创新原力.1878第一节 数据安全技术引领创新驱动.187一典型技术理念.187二典型技术架构.198三典型治理平台.205第二节 数据安全产品演进枝叶扶疏.218一标准安全产品延伸.218二创新安全场景驱动.271第三节 数据安全治理落实保护责任.279一数据要素价值.279二数据安全策略.283三数据安全模型.286四数据安全管理.293五数据安全运营.301六安全意识教育.306七数字伦理道德.306第四节 数据安全服务支撑业务发展.308一治理服务类.308二评测服务类.313三运营服务类.333四能力提升类.350第四章 数据安全能力融入业务流程.395第一节安全技术演进到以数据为中心.3959第二节数据安全侧重于应用系统保护.398第三节数据保护催生出轻量改造模式.400第五章 数据安全体系重构防御边界.403第一节 知彼:攻击体系化.403第二节 知己:银弹不存在.404第三节 百战不殆:面向失效的安全设计.406一先发优势.406二面向失效的设计.406三数据安全纵深防御.407第六章 数据安全产业开启伟大征程.414第一节 数据安全在应对挑战中前进.414一.数据安全迎来新机遇.414二数据安全挑战与应对.416第二节 数据安全在科技创新中壮大.431一数据安全技术应用创新突破壁垒.431二.数据安全产业多元探索拓宽空间.436总结.44210图目录图 1数据安全“生长树”.35图 2 狭义的数据安全产业链上中下游.38图 3 2010-2025 全球数据量增长预测.40图 4 数据安全市场规模/同比增长率及预测情况.41图 5 部分国家(区域)网络安全保障指标评价排名4.48图 6 数据安全法监管机构.98图 7 零信任核心逻辑图.179图 8 织入示意图 基于 AOP 访问控制技术的研究与应用16.186图 9 数据安全治理目标.192图 10 数据安全战略.193图 11 DTTACK 框架构建参照模型.195图 12 面向数据全生命周期的数据安全防护体系.197图 13 数据安全管控平台技术架构.201图 14 数据安全治理平台技术架构.203图 15 以“控制矩阵为抓手,落地组织个人信息保护”为理念.204图 16 业务上线检查(个保嵌入)流程图.204图 17 选择工作流量环节.205图 18 典型的 UEBA 系统架构9495.268图 19 数据资产价值评价指标体系.272图 20 Gartner 信息资产价值模型.272图 21GartnerDSG 框架图.279图 22 数字风险管理 CARTA 模型.280图 23 DGPC 三层数据安全组织构架示意图.283图 24 DGPC 数据安全管理流程图.283图 25 GPC 评估数据工具与技术示意图.284图 26 FinDRA 财务数据风险评估流程.284图 27 数据安全评估标准框架.286图 28 成熟度模型.291图 29 DSMM 框架构建供应链安全体系.29611图 30 AvanadeTrendlines 数字道德的四个要点.299图 31 Gartner 数字道德与隐私.299图 32 数据识别和分类分级服务流程.328图 33 数据流向梳理服务.331图 34 数据流量采集分析服务.333图 35 数据安全审计服务.336图 36 安全咨询及应急响应服务.338图 37 数据安全事件溯源服务.339图 38 数据安全培训认证.342图 39 常见的培训流程.344图 40CISP 认证培训流程.344图 41 数据安全专项行动.348图 42 常见密码应用服务内容.349图 43 接口监测.353图 44 数据合规管理体系.358图 45 个人信息影响分析服务流程.361图 46 数据企业合作梳理清单.364图 47 数据业务合作流程建设示例.368图 48 APP 收集使用个人信息合规性评估流程图.370图 49 网络/主机和数据分别是两个正交的维度.387图 50 网络与数据并重的新安全建设体系.388图 51 数据安全从以基础设施为抓手,演进到以应用为抓手.390图 52 面向失效的数据安全纵深防御新战法.398图 53 数据安全防护架构图.399图 54 IPDRRC 投资回报率分布图.400图 55 二十种密码应用模式一览.401图 56 覆盖不同技术栈的数据存储加密技术.40212表目录表 1 俄乌网络对抗一览表.48表 2 国内标准组织隐私计算标准现状.113表 3 数据安全相关国家技术标准.114表 4 炼石 CASB 业务数据加密平台功能说明.199表 5 常见的管理制度包含.301表 6 数据安全评估用例示例.305表 7 大数据平台技术排查示例.312表 8 大数据平台基线排查示例.312表 9 识别分析认证检测项.315表 10 系统授权管理检测项.316表 11 系统越权访问检测项.317表 12 用户敏感数据模糊化检测.318表 13 批量数据违规获取检测.318表 14 业务逻辑安全检测.319表 15 运维工作说明书.325表 17 事件信息报送表.351表 18 排查项示例.364表 19 APP 数据收集合规性评估矩阵.37113第一章 数字经济发展呼唤数据安全国务院“十四五”数字经济发展规划指出,数字经济成为继农业经济、工业经济之后的主要经济形态,发展数字经济是国家的重要战略部署,2035 年我国数字经济将迈向繁荣成熟期,形成统一公平、竞争有序、成熟完备的数字经济现代市场体系,数字经济发展基础、产业体系发展水平将位居世界前列。如今,产值占到 GDP 近四成的数字经济,
展开阅读全文