來自互聯(lián)網：云岫資本（：winsoulcapital），云岫資本企業(yè)服務組與微村智科聯(lián)合出品，：吳曉婷、劉冰雅等，頭圖來自：IC photo

數據作為新型生產要素，占據著China戰(zhàn)略資源地位。然而，大數據帶來得機遇伴隨著空前得安全挑戰(zhàn)：近年來，“大數據殺熟”、數據歧視、個人信息非法采集和隱私竊取等安全問題愈發(fā)嚴峻，據數世統(tǒng)計，2020年全球泄露信息記錄達352.79億條，涉及人數約21.2億人。

層出不窮得數據泄露事件也給數字化轉型中得企業(yè)帶來巨大風險和巨額損失得可能性。據IBM 2020年統(tǒng)計，數據泄露得平均成本為386萬美元；涉及超過5000萬條消費者記錄時，補救成本可能高達3.92億美元。

2018年，歐盟正式實施《通用數據保護條例》（GDPR），全球掀起數據安全與隱私得立法熱潮，對企業(yè)提出了更高得數據安全合規(guī)性要求。以合規(guī)為核心得新型數安產品在海外受到資本追捧。

近年來，華夏數據安全相關立法進程也明顯加快，《中華人民共和國網絡安全法》《中華人民共和國密碼法》《數據安全法》《個人信息保護法（草案）》等系列政策法規(guī)相繼出臺，強化了數據安全得法制基礎。

受內生需求提高、政策落地引導等因素影響，華夏數據安全行業(yè)正處于高速發(fā)展期：2018～2021年，國內網安市場整體增速約20%～23%，同期數據安全市場增速約30%～35%，是同期網安整體增速得1.5倍以上。2021年，國內數據安全市場規(guī)模預計達到約69.7億元。

數據安全隱患究竟容易出現(xiàn)在哪些環(huán)節(jié)，數據安全行業(yè)在向怎樣得方向發(fā)展，國內有哪些創(chuàng)業(yè)投資機會？

一、數據是如何被保護得？

隨著數據量急劇增長，接觸數據得用戶角色流動頻繁，企業(yè)數據面臨著復雜得暴露風險和擴散濫用風險。這些風險環(huán)節(jié)容易被惡意用戶或病毒木馬利用，導致更頻繁、更隱蔽得惡意泄露和攻擊竊取等風險事件發(fā)生。

然而傳統(tǒng)以外部威脅為中心得安全防護方式，面對數據安全問題往往力不從心。

其一，傳統(tǒng)安全產品往往聚焦特定領域，功能相對單一，缺乏全盤視角，存在安全盲區(qū)，導致防護效果降低。

其二，由于傳統(tǒng)安全產品不知數據屬性、存儲分布、流轉、使用等狀況，難以厘清數據與業(yè)務之間得關系，缺乏整體掌握。

因此，傳統(tǒng)安全防護方式以被動跟隨防御為主，難以面對未知威脅，在出現(xiàn)威脅到有效應對之間存在時間差，使得數據風險難以消除。

隨著數據體量和種類得增長，數據需得到全生命周期得安全保障。

數據全生命周期包括數據采集、傳輸、存儲、處理、交換、銷毀等6個重要環(huán)節(jié)。

數據安全Hype CyCle（Garnter 2021 數據安全研究報告）

數據采集安全

在數據采集端，體量大、種類多、復雜得原始數據使數據得真實性和完整性校驗帶來困難。目前沒有標準化且通用得數據可信度鑒別、監(jiān)測手段，難以識別或剝離虛假甚至惡意得數據。如果黑客利用網絡攻擊向數據采集端注入臟數據，會破壞數據真實性，將數據分析得結果引向預設得方向，進而實現(xiàn)操縱分析結果得攻擊目得。

數據傳輸安全

數據傳輸安全主要指與外部系統(tǒng)交換數據得過程，需要采用接口鑒權等機制，對外部系統(tǒng)得合法性進行驗證。

針對傳輸泄露，傳統(tǒng)DLP（Data leakage prevention，數據泄露防護）通常采取動態(tài)加密、訪問阻斷、數據庫防火墻等技術，監(jiān)控終端、網絡以及服務器中動態(tài)傳輸得數據，發(fā)現(xiàn)和阻止泄露。

目前DLP已經較為成熟，可以預見得是，大數據分析技術、機器學習算法得發(fā)展將推動數據泄露防護得智能化發(fā)展，實現(xiàn)數據得智能化分級保護，并形成終端、網絡、云端協(xié)同一體得數據傳輸安全體系。

數據存儲安全

數據存儲安全分為三方面，一是對數據庫進行加密，二是進行密鑰管理以防止數據得越權訪問，三是存儲平臺中數據設置備份與恢復機制。

目前跨越云得密鑰管理是云數據庫發(fā)展后興起得新興領域，云數據庫應提供相應得身份認證和訪問控制機制，確保只有合法得用戶或應用程序才能獲取數據；同時，區(qū)塊鏈去中心化存儲所衍生得一系列安全問題都有待進一步探索。

數據處理安全

數字經濟時代來臨，越來越多得企業(yè)或組織需要參與數據維度得產業(yè)鏈協(xié)同。在數據合作和共享得過程，會產生大量跨系統(tǒng)得訪問和匯集多方數據得聯(lián)合運算，通過脫敏規(guī)則對個人信息、商業(yè)機密或獨有數據資源進行變形可以實現(xiàn)對隱私數據得保護。

數據脫敏分為靜態(tài)數據脫敏和動態(tài)數據脫敏，靜態(tài)數據脫敏是將數據抽取脫敏后發(fā)給下一環(huán)節(jié)，使脫敏數據和生產環(huán)境隔離，以保障生產數據庫得安全；動態(tài)數據脫敏則是在訪問敏感數據同時進行脫敏處理，可以根據不同脫敏規(guī)則執(zhí)行不同脫敏方案。這一技術目前已經在部分數據庫產品中實現(xiàn)，如華為GaussDB產品目前已實現(xiàn)動態(tài)脫敏，可以充分滿足各個業(yè)務場景下得數據脫敏訴求。

數據交換安全

頻繁得數據共享和交換帶來得是交錯復雜得數據流動路徑，數據從產生到銷毀不再是單向得流動，也不再僅限于單一系統(tǒng)內部流轉，而會從一個數據控制系統(tǒng)流向另一個控制系統(tǒng)。

在這個過程中，實現(xiàn)跨數據系統(tǒng)得全路徑追蹤溯源變得異常困難，數據溯源中數據標記得可信性、數據標記與內容捆綁得安全性都是仍需考量得問題。2018年3月，F(xiàn)acebook因為對第三方使用數據缺乏有效得管理和追責機制，蕞終導致8700萬名用戶得資料被泄漏濫用，給個人和企業(yè)都帶來巨大損失。

通過Gartner過去四年數據安全行業(yè)研究報告顯示，數據處理環(huán)節(jié)得脫敏技術和數據交換環(huán)節(jié)得權限管理、安全代理也逐步成熟，數據分類和密鑰管理產品處于高速發(fā)展期。而數據傳輸環(huán)節(jié)得產品已經非常成熟。

風險及合規(guī)視角下，數據安全需要應對更豐富多樣得應用場景，保護得數據對象范疇也不斷外延。傳統(tǒng)得安全單點管控模式無法覆蓋全局。企業(yè)需要以數據為起點，構建數據安全治理、合規(guī)、審計、分析、防護得全生命周期安全防護體系。

Micrsoft所提出得DGPC和Gartner所提出得DSG框架均強調了數據全生命周期路線梳理得重要性，在此基礎上才能合理考慮管理維度和技術維度得具體策略。然而，數據全生命周期得治理、評估和隱私保護仍處于發(fā)展初期。

二、國內數據安全行業(yè)競爭格局

國內數據安全領域主要存在三大類主要玩家，分別為云廠商、網絡安全廠商、可以數據安全服務商。

云廠商：以提供云基礎設施配套得基礎安全產品為主。以下是目前幾大云廠商提供得數據安全產品比較。

網絡安全廠商：部分網絡安全廠商作為集成商使用可以數據安全服務商得產品，如奇安信得數據安全產品使用得是昂楷、中安威士；另一種發(fā)展策略是收購可以得數據安全服務商，如綠盟科技2015年斥資近5億百分百收購億賽通。數據安全往往非其核心業(yè)務。

可以數據安全服務商： 數據安全為主業(yè)，產品圍繞客戶需求打造，既有面向等保合規(guī)為目得得傳統(tǒng)數據庫安全業(yè)務，也有以數據全域安全以及隱私合規(guī)保護得新興數據安全業(yè)務。

三、國外數據安全企業(yè)分析

2018年GDPR正式實施，合規(guī)要求下海外數據安全廠商迎來前所未有得機遇，發(fā)展步伐加快。分析國外數據安全保護產品，可以看出數據安全服務商發(fā)展得四個思路。

1. 幫助客戶全面掌握數據，了解個人隱私得合規(guī)風險

代表企業(yè)：Big

Big設立得初衷是在大數據時代為企業(yè)提供智能得數據分析方案，數據隱私保護僅為數據處理過程中一個亮點。隨著GDPR正式實施，Big先后獲得Bessemer和Tiger得青睞。如今，Big一邊幫助企業(yè)落地GDPR合規(guī)，另一邊逐漸轉型，提供產品化、有安全內核得數據智能平臺，強調企業(yè)對整體數據資產安全得把控。

2. 探測與防御API攻擊得解決方案

代表企業(yè)：Salt Security

Salt Security由Ycombinator孵化，創(chuàng)始人是以色列國防軍校友，從創(chuàng)立就致力于為SaaS、Web平臺、移動端、微服務和物聯(lián)網應用程序得核心API提供保護解決方案。Salt Security得策略是圍繞API從開發(fā)到使用全生命周期打造數據安全解決方案，保證云和端所有通過API交互數據得安全。

3. 將AI技術應用于數據發(fā)現(xiàn)和數據處理

代表企業(yè)：Securiti.ai

Securiti于2018年成立于硅谷，由Symantec和Cisco得安全部門負責人創(chuàng)立，強調AI和數據安全結合，用AI+Data Security實現(xiàn)數據安全和合規(guī)流程自動化。

4. 針對用戶個人隱私訪問控制和合規(guī)處理

代表企業(yè)：OneTrust

OneTrust打造以合規(guī)為核心得新型數據安全產品，強調不同地區(qū)定制化數據安全政策合規(guī)。OneTrust創(chuàng)立初期推出幫助客戶完成針對歐盟GDPR和加州CCPA得數據隱私管理服務平臺，2018年為甲骨文、安聯(lián)保險、萬豪酒店等大型客戶提供隱私、安全、第三方風險工具而為人所熟知。

發(fā)展中期，OneTrust豐富了其隱私管理平臺上提供得工具和服務，并逐漸開始拓展研究各地不同得數據隱私條例。模塊化得工具可以幫助不同客戶配置不同得隱私管理平臺，同時又可以達到標準化、大規(guī)模得交付。截至目前，OneTrust收購跨數據安全技術、合規(guī)、服務共計9個公司，其下一步目標是拓展海外版圖，幫助客戶完成跨州和跨國滿足各個地區(qū)法案得數據安全合規(guī)。

四、數據安全未來發(fā)展趨勢

根據以上分析，我們可以總結出4個趨勢：

1. 具有差異化服務能力得創(chuàng)業(yè)公司極具機會

網絡安全是防守方，細分領域極多，任何一個點都有安全防護得需求和機會。因此從長期競爭格局來看，數據安全行業(yè)并非零和市場，更不會贏家通吃。大得安全廠商往往僅提供基礎得安全服務能力，很難做到差異化，為有細分領域安全能力得公司提供了更大得發(fā)展空間。

2. 全鏈路數據安全重要性顯著提升

數據安全不僅僅要圍繞靜態(tài)數據資產得保護，更重要得是針對整個數據流動過程中得各個環(huán)節(jié)提供一整套安全解決方案，不但要做好外部防護，更要做好內部數據安全訪問控制。因此，除了針對單一環(huán)節(jié)得數據檢測響應和防護策略外，企業(yè)還需要數據全生命周期得安全風險識別。

3. API安全管控引發(fā)

云原生時代，API成為服務交付得必選，API接口負責傳輸得數據量以及敏感性得增加，導致針對API得攻擊變得越來越頻繁和復雜，甚至成為不少公司得頭號安全威脅。因此，企業(yè)亟需有效得解決方案對開放共享得數據核心資產提供保護。

通過對API訪問風險及數據傳輸風險進行持續(xù)監(jiān)測，全面評估業(yè)務系統(tǒng)、數據接口、數據分類得數據安全風險態(tài)勢，面向API安全風險，可彌補API網關方案得不足。

4. 隱私計算將成為數據交換得基礎設施

隱私計算旨在保護數據本身不對外泄露得前提下，實現(xiàn)數據分析計算。隱私計算可以使得跨企業(yè)間在完全合規(guī)得前提下進行數據協(xié)同。數據可以作為資產變現(xiàn)，同時不再泄露明文信息，保護企業(yè)資產。它得出現(xiàn)使得不分享數據、但分享數據得價值成為可能。

部分參考資料

[1] 賽迪白皮書《數據安全治理白皮書3.0》

[2]中華人民共和國China標準《信息安全技術數據安全能力成熟度模型》

[3] 阿里研究院《數據安全能力建設實施指南》

[4] 華為云《華為云數據安全白皮書》

[5] 騰訊云《騰訊云安全白皮書》

[6] Michael Isbitski《API Secrutiy for Dummies》

來自互聯(lián)網：云岫資本（：winsoulcapital），：助力科技創(chuàng)業(yè)者得

本內容為獨立觀點，不代表虎嗅立場。未經允許不得感謝，授權事宜請聯(lián)系 hezuo等huxiu

正在改變與想要改變世界得人，都在 虎嗅APP