摘要
在上月落下帷幕的全国两会中,涌现出了大量事关国计民生的重要建议提案,其中,“打造国家数据安全能力体系”“加快数据立法工作”“建立数据治理委员会”等数据安全相关提案成为关注焦点。与此同时,“加快数字化发展”已成为我国“十四五”时期的主要任务之一,数据安全行业作为数字化发展的基石和保障,将在“十四五”时期实现飞速发展。本文梳理了我国数据安全行业的发展现状,并从行业、市场、技术角度剖析了数据安全发展趋势,以供参考。
当前,全球新一轮科技革命和产业变革加速演进,推动数据爆发式增长、海量集聚。2020年,中共中央、国务院出台了关于要素市场化配置的文件——《关于构建更加完善的要素市场化配置体制机制的意见》,正式将数据纳入生产要素范围,与土地、劳动力、资本、技术等传统要素并列,标志着数据作为新型生产要素价值化时代的到来。随着数据被视为国家基础性战略资源,数据资源的价值潜力日益凸显,逐渐成为各行各业核心竞争力。然而,近年来数据安全与数据利用的矛盾日益突出,严重阻碍了数据要素价值释放。在此背景下,以数据为中心的安全体系走进公众视野,“数据安全”、“数据保护”成为今年全国两会上的热词。
1
众因素叠加:环境政策共促数据安全发展
1.1.加强数据安全和个人隐私保护成为推动行业发展的内生动力
一方面,国内外数据安全事件数量激增、性质不断恶化,数据安全已经成为各行业面临的最为严峻的考验。近年来,国内外数据篡改、伪造、泄露、滥用与针对企业数据的攻击、窃取、倒卖和劫持等安全事件层出不穷。Risk Based Security数据显示,仅2020年第三季度,全球数据泄露总量已达360亿条,是2019年全年泄漏数量的两倍。另一方面,隐私保护和个人信息安全问题日益突出,国家对个人隐私保护的重视程度显著提升。随着大数据、人工智能、互联网技术的广泛使用,“隐私泄露”一度成为3•15晚会的维权核心。2019年底,工信部启动APP侵害用户权益专项整治行动工作,重点整治违规收集用户个人信息、违规使用用户个人信息、不合理索取用户权限、为用户账号注销设置障碍等四个方面的8类突出问题。今年3月22日,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了39类常见类型APP的必要个人信息范围,进一步加强监督检查,及时调查、处理违法违规收集使用个人信息行为。
图1:近年国内外数据安全热点事件
资料来源:互联网
整理及绘图:中国系统现代数字城市研究院
1.2.数据安全成为各地发展数字经济、打造数字政府的基础共识
随着“数字中国”战略的深入推进,各地积极加快数字政府、数字社会、数字经济建设步伐,数据安全逐渐成为各地基础共识。今年3月,全国第一部以促进数字经济发展为主题的地方性法规——《浙江省数字经济促进条例》开始实施。《条例》对解决公共数据开放共享度低、个人信息非法采集和利用、行业公共数据被部分企业垄断、数据交易模式不健全等问题作出了明确规定。如在个人信息非法采集和利用方面,《条例》指出:“单位和个人收集、存储、使用、加工、传输、提供、公开数据资源,应当遵循合法、正当、必要的原则,遵守网络安全、数据安全、电子商务、个人信息保护等有关法律、法规以及国家标准的强制性要求。”而此前,天津市将保障数据安全列为发展数字经济的重要方向之一,在《天津市促进数字经济发展行动方案(2019—2023年)》中指出,“加强大数据环境下防攻击、防泄露、防窃取的监测、预警、控制和应急处置能力建设,保障数据安全”。此外,北京市也在《北京市“十四五”时期智慧城市发展行动纲要》中将“加强数据安全防护”列为“十四五”时期智慧城市发展的主要任务之一,并积极研究推进数据跨境流动安全管理试点工作,在政策创新、管理升级、服务优化等方面先行先试。
1.3.法律法规、标准规范为数据安全发展保驾护航
立法层面,涉及个人信息保护的各项法律法规及地方规范性文件密集出台。2021年1月1日,我国《民法典》正式施行,其中明确了自然人的个人信息受法律保护,同时也界定个人信息的定义以及处理的原则和条件等内容。此外,我国正加紧制定出台《数据安全法》《个人信息保护法》,未来这两部法律的颁布和实施将推动我国数据安全及个人信息安全保护工作跨越式前进。不仅如此,地方政府层面也有相关条例出台,如2020年7月深圳市在《深圳经济特区数据条例(征求意见稿)》中首次提出“数据权”这一概念,指出“数据权”是一种与传统民法中物权、知识产权等权利存在不同的新型权利,具有财产权、人格权和国家主权属性;而今年3月底刚刚获得通过的《安徽省大数据发展条例》也专门在“安全管理”章节细化了数据安全保护规定,明确实行数据安全责任制,加强数据安全保护和监督管理工作。
图2:我国数据安全相关法律法规
资料来源:互联网
整理及绘图:中国系统现代数字城市研究院
标准规范层面,国家标准、行业标准、地方标准密集发布,数据安全标准化体系建设日趋完善。 国家标准方面,2020年11月,全国信息安全标准化技术委员会归口的《信息安全技术 政务信息共享 数据安全技术要求》正式发布,提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求及基础设施相关安全要求,为政务数据治理体系建设和政务大数据安全应用提供了指导。而此前发布的《信息安全技术 数据安全能力成熟度模型》则为组织机构评估自身数据安全能力提供了科学依据和参考。行业标准方面,金融业发布了《金融数据安全 数据安全分级指南》,给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和过程;电信业发布了《电信网和互联网数据安全风险评估实施方法》、《电信网和互联网数据安全通用要求》、《电信运营商大数据安全风险及需求》等标准族。地方标准方面,贵州、杭州、湖南等地均就关切领域的数据安全作出界定标准,如杭州聚焦政务数据资源管理,由杭州市数据资源管理局作为归口单位发布了《数据资源管理 第1部分:政务数据安全监管》、《数据资源管理 第2部分:政务数据安全责任》系列标准。
图3:我国数据安全相关标准(部分)
资料来源:全国标准信息公共服务平台
整理及绘图:中国系统现代数字城市研究院
2
强市场映射:数据安全行业需求旺盛
2.1.从规模增速看,市场成长快、潜力高
当前,我国数据安全市场正处于高速成长期。根据计世资讯数据,2018年,我国数据安全市场规模达29.7亿元,同比增速为29.6%,而2019年同比增速进一步提升至32.7%,规模达到39.4亿元。2020-2022年,随着我国政企数字化转型步伐加速、数据安全投入活动加强,中国数据安全市场规模将继续呈现高速增长态势,同比增速维持在40%左右,市场规模预计将于2022年超百亿。
图4:2016-2022年中国数据安全市场规模
数据来源:计世资讯
整理及绘图:中国系统现代数字城市研究院
2.2.从行业需求看,政府、医疗、制造需求进一步凸显
政府、电信、金融、医疗、互联网等行业是数据安全的主要用户群体。在用户占比方面,政府、军工领域用户占比高达35%和17%;而金融、电信、交通、医疗作为反映基础民生状况的关键领域,用户占比紧随其后,分别为12%、10%、9%和8%。在应用成熟度方面(计世资讯将数据安全应用成熟度划分为被动响应、意识建立、问题识别、科学诊断、量化控制、自我优化六个阶段),我国金融、电信行业已具备了相对体系化的数据安全威胁应对能力,迈入量化控制阶段。结合用户占比和应用成熟度来看,未来,政府、医疗、制造、能源等拥有大量用户,但数据安全应对能力仍较弱的行业需求将进一步凸显,行业整体数据安全防护水平有望大幅提升。
图5:2019年数据安全市场行业用户占比
数据来源:电子工程世界、头豹研究院
整理及绘图:中国系统现代数字城市研究院
图6:2019年中国主要行业数据安全水平
资料来源:计世资讯
2.3.从市场实践看,项目热度持续走高
据现代数字城市研究院初步统计,从招标项目数量看,2020年1月至2021年3月,全国范围内以数据安全为主要招采内容的项目有近千项,其中“数据安全管控平台”、“数据安全防护系统”、“数据安全服务”为招标热点。从中标情况看,仅2020年12月,有18个以数据安全为主要招采内容的项目发布中标公告,单月项目总成交金额即超5000万。
图7:2020年12月数据安全相关项目中标信息
资料来源:剑鱼招标网
3
泛竞争角逐:五大类型厂商借势入局
3.1.竞争格局上,厂商数量多、类型广、竞争分散
当前,数据安全市场呈现泛竞争格局,厂商数量多、类型广、竞争分散。除专业数据安全服务商外,云/互联网厂商、数据产品/服务厂商等也纷纷入局,开辟数据安全市场。但就市场集中度看,当前我国数据安全市场仍较为分散。根据赛迪顾问发布的《2019-2020中国网络信息安全市场研究年度报告》,2019年中国数据安全产品市场市占率排名第一的启明星辰集团,市占率仅10.8%。
图8:厂商数据安全相关动向
资料来源:互联网
整理及绘图:中国系统现代数字城市研究院
3.2.策略打法上,厂商差异化特征明显
按厂商类型划分,市场上主流的竞争者可大致分为云/互联网厂商、专业数据安全服务商、数据安全初创企业、传统网络安全厂商、数据产品/数据服务厂商五大类。各类厂商资源禀赋,模式打法等呈现差异化特征。
云/互联网厂商以阿里巴巴、腾讯、华为、百度等企业为代表,依托其资本、人才及品牌优势快速布局数据安全市场,具有较强的产品集成能力和运营整合能力,产品布局侧重与云计算业务的协同性。以阿里、腾讯为例,阿里云自2015年起多次投资并购安全相关企业,腾讯也于2020年投资基于密码与CASB技术的炼石网络,成为其第三大股东。不仅如此,阿里、腾讯还分别成立了专注于数据安全研究的阿里巴巴数据安全研究院和专注于云上网络环境攻防研究和安全运营的腾讯云鼎实验室,以此推动数据安全产学研用一体。
图9:部分云/互联网厂商安全领域投融资情况
资料来源:互联网
整理及绘图:中国系统现代数字城市研究院
专业数据安全服务商深耕数据安全细分市场,致力于专业化程度高的产品及服务。当前,国内专业数据安全服务商以明朝万达、安华金和、观安信息、优炫软件、矩阵元、美创科技等企业为代表。专业数据安全服务商通常通过构筑技术壁垒,逐步实现单个产品向产品群的扩张,从而深化在各应用领域的渗透。以美创科技为例,其业务板块从容灾业务和安全业务逐渐扩张为数据安全、容灾备份、业务安全、数据管理、智能运维五大业务,提供包括数据库防水坝、数据库审计、数据库透明加密、数据库防火墙、数据脱敏、诺亚防勒索、漏洞扫描、数据防泄漏等在内的数据安全全线产品,行业领域也逐步由医疗向物流、金融、能源、政府等行业拓展。
数据安全初创企业成立时间较短,通常为技术创新型企业,专注于零信任网络安全架构、隐私计算技术、联邦学习等前沿技术及应用。当前,国内初创企业包括数篷科技、富数科技、锘崴科技等。以数篷科技为例,其依靠新一代安全沙箱、高性能网络隧道、软件定义边界、AI安全策略引擎等核心技术,研发零信任终端安全工作空间(DACS)、零信任应用访问网关DAAG产品,并拓展形成企业核心数据防泄漏解决方案、企业数字资产分级保护解决方案。
图10:部分数据安全初创企业及数据安全相关产品
资料来源:互联网
整理及绘图:中国系统现代数字城市研究院
传统网络安全企业拥有完善的网络安全产品线,且具备安全运维能力,综合业务能力强,客户资源丰富。以启明星辰、卫士通、天融信、绿盟科技、美亚柏科、奇安信等为代表的传统网络安全企业借助其既有的产品优势及其在党政军、金融、公安、电信等行业积累的客户资源快速拓展数据安全市场,并在子领域通过自研和收购不断丰富产品线。以启明星辰为例,其于2014年收购合众信息,布局大数据安全,实现从网络安全到数据安全的业务拓展。不仅如此,由于启明星辰在安全、管理和平台运营等业务领域政府和军工客户资源众多,客户关系维护良好,从而占据了数据安全产品市场的头把交椅。
数据产品/服务厂商提供从数据采集、传输、存储、处理、交换到销毁的数据全生命周期产品与服务,并在其基础上拓展数据安全相关业务。数据产品/服务厂商包括数梦工厂、东方通等。如在政务领域,数梦工场除了提供大数据共享交换、数据开放技术、数据治理平台等大数据产品及行业解决方案外,还可交付涵盖数据访问审计、数据加密、数字水印、数据安全态势感知等在内的大数据安全方案,在智慧城市安全防护、政务大数据及数据共享交换安全防护、关键信息基础设施大数据安全防护等场景下帮助客户实现治理能力和治理体系的数字化转型。
4
新趋势牵引:行业、市场、技术多视角洞察
作为数字化和数字经济发展的基石,数据安全已经成为各行各业数字化转型的基本条件与发展保障。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》将数据安全列为我国“十四五”期间的重点任务,明确提出,“建立数据资源产权、交易流通、跨境传输和安全保护等基础制度和标准规范,推动数据资源开发利用”,“保障国家数据安全,加强个人信息保护”。在此背景下,把脉数据安全行业发展方向为当下社会各界的关注焦点。
4.1.宏观看行业:数据安全将在本质安全、过程安全上迎来突破
发展信创产业是“十四五”时期我国加快网信产业创新和自主可控的内在要求。在经济社会数字化转型浪潮下,信创产业加快从党政领域向全行业拓展,迎来全面发展期。未来,数据安全发展必将和信创产业发展紧密结合,在本质安全、过程安全方面迎来突破。本质安全方面,信创环境下的数据安全防护体系建设已是大势所趋。当前,已有多家数据安全厂商正大力推进数据安全产品信创适配,如美创数据脱敏系统已先后完成与达梦、南大通用、人大金仓等国产数据库,以及麒麟、统一UOS、曙光等国产CPU、操作系统、服务器厂商的兼容适配。过程安全方面,数据全生命周期安全防护将在多个应用场景中得到进一步强化。如现代数字城市将综合运用态势感知、隐私计算、区块链、人工智能等技术,为城市、政务数据提供从采集到销毁各个阶段的全生命周期安全防护,形成集数据检测、预警分析、应急处置为一体的数据安全过程防护体系。
4.2.中观看市场:云计算技术、架构、模式演进牵引数据安全体系发展
云计算作为“新基建”中信息基础设施的重要组成,近年来渗透率不断提升,相关基础设施与应用场景的安全防护也应运而生。云计算环境下,数据安全流动问题凸出,数据既面临黑客攻击、数据泄露、数据滥用、操作失误等内外部风险,也面临跨域流动、数据治理等合规风险,数据安全已成为云上安全的防护重点。未来,云上数据安全体系将伴随云计算技术、架构与模式的演进同步发展。以云原生技术为例,2021年伊始,云原生成为云计算领域的新热点趋势愈发明显,华为云联合云原生计算基金会和中国信通院成立“创原会”加速云原生产业落地,金山云发布云原生全景图、云原生产品矩阵,诺基亚宣布与谷歌云合作开发云原生5G技术等一系列动作显示云原生已经成为云计算产品的新标签。随着以容器、微服务、API等技术为代表的云原生应用逐步落地,云厂商亟需解决云计算环境下的数据安全流动问题,这必将牵引适用于云原生架构及应用特点的云原生数据安全工具、产品与应用发展。
4.3.微观看技术:隐私计算技术将赋能政府、金融等行业安全场景
隐私计算技术在Gartner发布的“2021年需要深挖的9项重要战略科技趋势”及 “2021 全球十大金融科技趋势”中均被提及。隐私计算技术指的是利用可信执行环境、安全多方计算、同态加密、零知识证明、差分隐私和联邦学习等系统安全技术与密码学技术,在保证原始数据安全隐私性的同时,实现对数据的计算和分析,帮助数据“价值”和“知识”的流动与共享,真正做到“数据可用不可见”。隐私计算技术在金融、政府、医疗、营销等行业领域应用前景广阔。如在金融领域,隐私计算技术可应用于信贷风险评估、供应链金融、保险业、精准营销、多头借贷等场景;在政务领域,隐私计算技术可用于涉及多部门间数据共享的场景,如疑犯信息查询、交通治堵等,有效解决政府部门之间的“数据孤岛”问题;在医疗领域,多方机构可通过隐私计算技术进行联合建模,解决单个医疗机构无法积累足够数据进行模型训练的问题。当前,国内外云计算厂商、数据安全服务商、金融科技企业均已开始布局。在知识产权产业媒体IPRdaily与incoPat创新指数研究中心联合发布的“全球新兴隐私技术发明专利排行榜(TOP100)”中,入榜前10名企业主要来自中国和美国,其中蚂蚁集团以740件专利位列第一,其次为Microsoft(305)、阿里巴巴(299)、中国平安(282)。
