來自互聯(lián)網(wǎng)：云岫資本（：winsoulcapital），云岫資本企業(yè)服務組與微村智科聯(lián)合出品，：吳曉婷、劉冰雅等，頭圖來自：IC photo

數(shù)據(jù)作為新型生產(chǎn)要素，占據(jù)著China戰(zhàn)略資源地位。然而，大數(shù)據(jù)帶來得機遇伴隨著空前得安全挑戰(zhàn)：近年來，“大數(shù)據(jù)殺熟”、數(shù)據(jù)歧視、個人信息非法采集和隱私竊取等安全問題愈發(fā)嚴峻，據(jù)數(shù)世統(tǒng)計，2020年全球泄露信息記錄達352.79億條，涉及人數(shù)約21.2億人。

層出不窮得數(shù)據(jù)泄露事件也給數(shù)字化轉(zhuǎn)型中得企業(yè)帶來巨大風險和巨額損失得可能性。據(jù)IBM 2020年統(tǒng)計，數(shù)據(jù)泄露得平均成本為386萬美元；涉及超過5000萬條消費者記錄時，補救成本可能高達3.92億美元。

2018年，歐盟正式實施《通用數(shù)據(jù)保護條例》（GDPR），全球掀起數(shù)據(jù)安全與隱私得立法熱潮，對企業(yè)提出了更高得數(shù)據(jù)安全合規(guī)性要求。以合規(guī)為核心得新型數(shù)安產(chǎn)品在海外受到資本追捧。

近年來，華夏數(shù)據(jù)安全相關(guān)立法進程也明顯加快，《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國密碼法》《數(shù)據(jù)安全法》《個人信息保護法（草案）》等系列政策法規(guī)相繼出臺，強化了數(shù)據(jù)安全得法制基礎(chǔ)。

受內(nèi)生需求提高、政策落地引導等因素影響，華夏數(shù)據(jù)安全行業(yè)正處于高速發(fā)展期：2018～2021年，國內(nèi)網(wǎng)安市場整體增速約20%～23%，同期數(shù)據(jù)安全市場增速約30%～35%，是同期網(wǎng)安整體增速得1.5倍以上。2021年，國內(nèi)數(shù)據(jù)安全市場規(guī)模預計達到約69.7億元。

數(shù)據(jù)安全隱患究竟容易出現(xiàn)在哪些環(huán)節(jié)，數(shù)據(jù)安全行業(yè)在向怎樣得方向發(fā)展，國內(nèi)有哪些創(chuàng)業(yè)投資機會？

一、數(shù)據(jù)是如何被保護得？

隨著數(shù)據(jù)量急劇增長，接觸數(shù)據(jù)得用戶角色流動頻繁，企業(yè)數(shù)據(jù)面臨著復雜得暴露風險和擴散濫用風險。這些風險環(huán)節(jié)容易被惡意用戶或病毒木馬利用，導致更頻繁、更隱蔽得惡意泄露和攻擊竊取等風險事件發(fā)生。

然而傳統(tǒng)以外部威脅為中心得安全防護方式，面對數(shù)據(jù)安全問題往往力不從心。

其一，傳統(tǒng)安全產(chǎn)品往往聚焦特定領(lǐng)域，功能相對單一，缺乏全盤視角，存在安全盲區(qū)，導致防護效果降低。

其二，由于傳統(tǒng)安全產(chǎn)品不知數(shù)據(jù)屬性、存儲分布、流轉(zhuǎn)、使用等狀況，難以厘清數(shù)據(jù)與業(yè)務之間得關(guān)系，缺乏整體掌握。

因此，傳統(tǒng)安全防護方式以被動跟隨防御為主，難以面對未知威脅，在出現(xiàn)威脅到有效應對之間存在時間差，使得數(shù)據(jù)風險難以消除。

隨著數(shù)據(jù)體量和種類得增長，數(shù)據(jù)需得到全生命周期得安全保障。

數(shù)據(jù)全生命周期包括數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等6個重要環(huán)節(jié)。

數(shù)據(jù)安全Hype CyCle（Garnter 2021 數(shù)據(jù)安全研究報告）

數(shù)據(jù)采集安全

在數(shù)據(jù)采集端，體量大、種類多、復雜得原始數(shù)據(jù)使數(shù)據(jù)得真實性和完整性校驗帶來困難。目前沒有標準化且通用得數(shù)據(jù)可信度鑒別、監(jiān)測手段，難以識別或剝離虛假甚至惡意得數(shù)據(jù)。如果黑客利用網(wǎng)絡(luò)攻擊向數(shù)據(jù)采集端注入臟數(shù)據(jù)，會破壞數(shù)據(jù)真實性，將數(shù)據(jù)分析得結(jié)果引向預設(shè)得方向，進而實現(xiàn)操縱分析結(jié)果得攻擊目得。

數(shù)據(jù)傳輸安全

數(shù)據(jù)傳輸安全主要指與外部系統(tǒng)交換數(shù)據(jù)得過程，需要采用接口鑒權(quán)等機制，對外部系統(tǒng)得合法性進行驗證。

針對傳輸泄露，傳統(tǒng)DLP（Data leakage prevention，數(shù)據(jù)泄露防護）通常采取動態(tài)加密、訪問阻斷、數(shù)據(jù)庫防火墻等技術(shù)，監(jiān)控終端、網(wǎng)絡(luò)以及服務器中動態(tài)傳輸?shù)脭?shù)據(jù)，發(fā)現(xiàn)和阻止泄露。

目前DLP已經(jīng)較為成熟，可以預見得是，大數(shù)據(jù)分析技術(shù)、機器學習算法得發(fā)展將推動數(shù)據(jù)泄露防護得智能化發(fā)展，實現(xiàn)數(shù)據(jù)得智能化分級保護，并形成終端、網(wǎng)絡(luò)、云端協(xié)同一體得數(shù)據(jù)傳輸安全體系。

數(shù)據(jù)存儲安全

數(shù)據(jù)存儲安全分為三方面，一是對數(shù)據(jù)庫進行加密，二是進行密鑰管理以防止數(shù)據(jù)得越權(quán)訪問，三是存儲平臺中數(shù)據(jù)設(shè)置備份與恢復機制。

目前跨越云得密鑰管理是云數(shù)據(jù)庫發(fā)展后興起得新興領(lǐng)域，云數(shù)據(jù)庫應提供相應得身份認證和訪問控制機制，確保只有合法得用戶或應用程序才能獲取數(shù)據(jù)；同時，區(qū)塊鏈去中心化存儲所衍生得一系列安全問題都有待進一步探索。

數(shù)據(jù)處理安全

數(shù)字經(jīng)濟時代來臨，越來越多得企業(yè)或組織需要參與數(shù)據(jù)維度得產(chǎn)業(yè)鏈協(xié)同。在數(shù)據(jù)合作和共享得過程，會產(chǎn)生大量跨系統(tǒng)得訪問和匯集多方數(shù)據(jù)得聯(lián)合運算，通過脫敏規(guī)則對個人信息、商業(yè)機密或獨有數(shù)據(jù)資源進行變形可以實現(xiàn)對隱私數(shù)據(jù)得保護。

數(shù)據(jù)脫敏分為靜態(tài)數(shù)據(jù)脫敏和動態(tài)數(shù)據(jù)脫敏，靜態(tài)數(shù)據(jù)脫敏是將數(shù)據(jù)抽取脫敏后發(fā)給下一環(huán)節(jié)，使脫敏數(shù)據(jù)和生產(chǎn)環(huán)境隔離，以保障生產(chǎn)數(shù)據(jù)庫得安全；動態(tài)數(shù)據(jù)脫敏則是在訪問敏感數(shù)據(jù)同時進行脫敏處理，可以根據(jù)不同脫敏規(guī)則執(zhí)行不同脫敏方案。這一技術(shù)目前已經(jīng)在部分數(shù)據(jù)庫產(chǎn)品中實現(xiàn)，如華為GaussDB產(chǎn)品目前已實現(xiàn)動態(tài)脫敏，可以充分滿足各個業(yè)務場景下得數(shù)據(jù)脫敏訴求。

數(shù)據(jù)交換安全

頻繁得數(shù)據(jù)共享和交換帶來得是交錯復雜得數(shù)據(jù)流動路徑，數(shù)據(jù)從產(chǎn)生到銷毀不再是單向得流動，也不再僅限于單一系統(tǒng)內(nèi)部流轉(zhuǎn)，而會從一個數(shù)據(jù)控制系統(tǒng)流向另一個控制系統(tǒng)。

在這個過程中，實現(xiàn)跨數(shù)據(jù)系統(tǒng)得全路徑追蹤溯源變得異常困難，數(shù)據(jù)溯源中數(shù)據(jù)標記得可信性、數(shù)據(jù)標記與內(nèi)容捆綁得安全性都是仍需考量得問題。2018年3月，F(xiàn)acebook因為對第三方使用數(shù)據(jù)缺乏有效得管理和追責機制，蕞終導致8700萬名用戶得資料被泄漏濫用，給個人和企業(yè)都帶來巨大損失。

通過Gartner過去四年數(shù)據(jù)安全行業(yè)研究報告顯示，數(shù)據(jù)處理環(huán)節(jié)得脫敏技術(shù)和數(shù)據(jù)交換環(huán)節(jié)得權(quán)限管理、安全代理也逐步成熟，數(shù)據(jù)分類和密鑰管理產(chǎn)品處于高速發(fā)展期。而數(shù)據(jù)傳輸環(huán)節(jié)得產(chǎn)品已經(jīng)非常成熟。

風險及合規(guī)視角下，數(shù)據(jù)安全需要應對更豐富多樣得應用場景，保護得數(shù)據(jù)對象范疇也不斷外延。傳統(tǒng)得安全單點管控模式無法覆蓋全局。企業(yè)需要以數(shù)據(jù)為起點，構(gòu)建數(shù)據(jù)安全治理、合規(guī)、審計、分析、防護得全生命周期安全防護體系。

Micrsoft所提出得DGPC和Gartner所提出得DSG框架均強調(diào)了數(shù)據(jù)全生命周期路線梳理得重要性，在此基礎(chǔ)上才能合理考慮管理維度和技術(shù)維度得具體策略。然而，數(shù)據(jù)全生命周期得治理、評估和隱私保護仍處于發(fā)展初期。

二、國內(nèi)數(shù)據(jù)安全行業(yè)競爭格局

國內(nèi)數(shù)據(jù)安全領(lǐng)域主要存在三大類主要玩家，分別為云廠商、網(wǎng)絡(luò)安全廠商、可以數(shù)據(jù)安全服務商。

云廠商：以提供云基礎(chǔ)設(shè)施配套得基礎(chǔ)安全產(chǎn)品為主。以下是目前幾大云廠商提供得數(shù)據(jù)安全產(chǎn)品比較。

網(wǎng)絡(luò)安全廠商：部分網(wǎng)絡(luò)安全廠商作為集成商使用可以數(shù)據(jù)安全服務商得產(chǎn)品，如奇安信得數(shù)據(jù)安全產(chǎn)品使用得是昂楷、中安威士；另一種發(fā)展策略是收購可以得數(shù)據(jù)安全服務商，如綠盟科技2015年斥資近5億百分百收購億賽通。數(shù)據(jù)安全往往非其核心業(yè)務。

可以數(shù)據(jù)安全服務商： 數(shù)據(jù)安全為主業(yè)，產(chǎn)品圍繞客戶需求打造，既有面向等保合規(guī)為目得得傳統(tǒng)數(shù)據(jù)庫安全業(yè)務，也有以數(shù)據(jù)全域安全以及隱私合規(guī)保護得新興數(shù)據(jù)安全業(yè)務。

三、國外數(shù)據(jù)安全企業(yè)分析

2018年GDPR正式實施，合規(guī)要求下海外數(shù)據(jù)安全廠商迎來前所未有得機遇，發(fā)展步伐加快。分析國外數(shù)據(jù)安全保護產(chǎn)品，可以看出數(shù)據(jù)安全服務商發(fā)展得四個思路。

1. 幫助客戶全面掌握數(shù)據(jù)，了解個人隱私得合規(guī)風險

代表企業(yè)：Big

Big設(shè)立得初衷是在大數(shù)據(jù)時代為企業(yè)提供智能得數(shù)據(jù)分析方案，數(shù)據(jù)隱私保護僅為數(shù)據(jù)處理過程中一個亮點。隨著GDPR正式實施，Big先后獲得Bessemer和Tiger得青睞。如今，Big一邊幫助企業(yè)落地GDPR合規(guī)，另一邊逐漸轉(zhuǎn)型，提供產(chǎn)品化、有安全內(nèi)核得數(shù)據(jù)智能平臺，強調(diào)企業(yè)對整體數(shù)據(jù)資產(chǎn)安全得把控。

2. 探測與防御API攻擊得解決方案

代表企業(yè)：Salt Security

Salt Security由Ycombinator孵化，創(chuàng)始人是以色列國防軍校友，從創(chuàng)立就致力于為SaaS、Web平臺、移動端、微服務和物聯(lián)網(wǎng)應用程序得核心API提供保護解決方案。Salt Security得策略是圍繞API從開發(fā)到使用全生命周期打造數(shù)據(jù)安全解決方案，保證云和端所有通過API交互數(shù)據(jù)得安全。

3. 將AI技術(shù)應用于數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)處理

代表企業(yè)：Securiti.ai

Securiti于2018年成立于硅谷，由Symantec和Cisco得安全部門負責人創(chuàng)立，強調(diào)AI和數(shù)據(jù)安全結(jié)合，用AI+Data Security實現(xiàn)數(shù)據(jù)安全和合規(guī)流程自動化。

4. 針對用戶個人隱私訪問控制和合規(guī)處理

代表企業(yè)：OneTrust

OneTrust打造以合規(guī)為核心得新型數(shù)據(jù)安全產(chǎn)品，強調(diào)不同地區(qū)定制化數(shù)據(jù)安全政策合規(guī)。OneTrust創(chuàng)立初期推出幫助客戶完成針對歐盟GDPR和加州CCPA得數(shù)據(jù)隱私管理服務平臺，2018年為甲骨文、安聯(lián)保險、萬豪酒店等大型客戶提供隱私、安全、第三方風險工具而為人所熟知。

發(fā)展中期，OneTrust豐富了其隱私管理平臺上提供得工具和服務，并逐漸開始拓展研究各地不同得數(shù)據(jù)隱私條例。模塊化得工具可以幫助不同客戶配置不同得隱私管理平臺，同時又可以達到標準化、大規(guī)模得交付。截至目前，OneTrust收購跨數(shù)據(jù)安全技術(shù)、合規(guī)、服務共計9個公司，其下一步目標是拓展海外版圖，幫助客戶完成跨州和跨國滿足各個地區(qū)法案得數(shù)據(jù)安全合規(guī)。

四、數(shù)據(jù)安全未來發(fā)展趨勢

根據(jù)以上分析，我們可以總結(jié)出4個趨勢：

1. 具有差異化服務能力得創(chuàng)業(yè)公司極具機會

網(wǎng)絡(luò)安全是防守方，細分領(lǐng)域極多，任何一個點都有安全防護得需求和機會。因此從長期競爭格局來看，數(shù)據(jù)安全行業(yè)并非零和市場，更不會贏家通吃。大得安全廠商往往僅提供基礎(chǔ)得安全服務能力，很難做到差異化，為有細分領(lǐng)域安全能力得公司提供了更大得發(fā)展空間。

2. 全鏈路數(shù)據(jù)安全重要性顯著提升

數(shù)據(jù)安全不僅僅要圍繞靜態(tài)數(shù)據(jù)資產(chǎn)得保護，更重要得是針對整個數(shù)據(jù)流動過程中得各個環(huán)節(jié)提供一整套安全解決方案，不但要做好外部防護，更要做好內(nèi)部數(shù)據(jù)安全訪問控制。因此，除了針對單一環(huán)節(jié)得數(shù)據(jù)檢測響應和防護策略外，企業(yè)還需要數(shù)據(jù)全生命周期得安全風險識別。

3. API安全管控引發(fā)

云原生時代，API成為服務交付得必選，API接口負責傳輸?shù)脭?shù)據(jù)量以及敏感性得增加，導致針對API得攻擊變得越來越頻繁和復雜，甚至成為不少公司得頭號安全威脅。因此，企業(yè)亟需有效得解決方案對開放共享得數(shù)據(jù)核心資產(chǎn)提供保護。

通過對API訪問風險及數(shù)據(jù)傳輸風險進行持續(xù)監(jiān)測，全面評估業(yè)務系統(tǒng)、數(shù)據(jù)接口、數(shù)據(jù)分類得數(shù)據(jù)安全風險態(tài)勢，面向API安全風險，可彌補API網(wǎng)關(guān)方案得不足。

4. 隱私計算將成為數(shù)據(jù)交換得基礎(chǔ)設(shè)施

隱私計算旨在保護數(shù)據(jù)本身不對外泄露得前提下，實現(xiàn)數(shù)據(jù)分析計算。隱私計算可以使得跨企業(yè)間在完全合規(guī)得前提下進行數(shù)據(jù)協(xié)同。數(shù)據(jù)可以作為資產(chǎn)變現(xiàn)，同時不再泄露明文信息，保護企業(yè)資產(chǎn)。它得出現(xiàn)使得不分享數(shù)據(jù)、但分享數(shù)據(jù)得價值成為可能。

部分參考資料

[1] 賽迪白皮書《數(shù)據(jù)安全治理白皮書3.0》

[2]中華人民共和國China標準《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》

[3] 阿里研究院《數(shù)據(jù)安全能力建設(shè)實施指南》

[4] 華為云《華為云數(shù)據(jù)安全白皮書》

[5] 騰訊云《騰訊云安全白皮書》

[6] Michael Isbitski《API Secrutiy for Dummies》

來自互聯(lián)網(wǎng)：云岫資本（：winsoulcapital），：助力科技創(chuàng)業(yè)者得

本內(nèi)容為獨立觀點，不代表虎嗅立場。未經(jīng)允許不得感謝，授權(quán)事宜請聯(lián)系 hezuo等huxiu

正在改變與想要改變世界得人，都在 虎嗅APP