数据安全

数据安全是什么

根据《数据安全架构设计与实战》，狭义的数据安全往往指保护静态存储级的数据以及数据泄漏防护等。广义的数据安全则是基于“安全体系以数据为中心”的立场，泛指整个安全体系侧重于数据分级以及敏感数据全生命周期的保护，数据安全更加接近于一种控制目的。

根据数据安全治理专业治理委员会发布的《数据安全治理白皮书3.0》指出数据安全概念的演进和发展速度很快，并伴随数字化转型的浪潮加速向前奔涌，不断突破人类现有的认知和想象。当下一般将数据安全理解以数据为中心，保护数据在其生存周期(包括数据的采集或生成、传输、存储、处理或使用、交换销毁等众多流转环节)内的安全性，一个形象比喻就是“为数据配备贴身保镖”——不限制数据的自由流动，同时确保数据走到哪，安全措施就覆盖到哪

数据安全与网络安全

网络安全和数据安全的关系网络安全和数据安全的关系涉及到第三个名词——信息安全。根据《数据安全架构设计与实战》一书中的论述，其发展顺序为信息安全——网络安全——数据安全。当需要强调安全管理体系，或强调信息及信息系统的保密性、完整性、可用性，或内容合规，或DLP(防止内部人为的信息泄露)，或强调对静态信息的保护(比如存储系统、光盘上的信息)等场景时，“信息安全”一词多被使用。当需要强调网络边界和安全域，或网络入侵防御，或网络通信系统或传输安全，或网络空间等场景时，“网络安全”一词多被使用。当需要强调全生命周期中的数据保护，或数据作为生产力，或强调数据主权、数据主体权利、长臂管辖权、隐私保护等场景时，“数据安全”一词多被使用。网络空间提供计算的环境，数据则作为信息的载体成为计算的对象。网络安全强调计算环境(网络空间)的安全，从而保障计算对象(数据)的安全。因此，网络安全是数据安全的前提，数据安全是网络安全的一种体现，网络安全涵盖的范围更广，而数据安全的范围更明确具有针对性^[1]。

数据安全发展历程

数据安全的发展历程可大致分为三个阶段，从早期的以数据库为主的单系统安全，到数据生命周期的安全，再到数据基础设施安全，当前正在由第二阶段向第三阶段发展和演变：

1)数据安全1.0：在行业发展早期主要以数据库等单系统的安全为核心。这一时期数据安全主要强调针对数据的边界防护以及内容审计，特别是数据库系统作为数据的重要载体，数据库安全是数据安全最重要的组成部分，数据库安全也与网络边界安全在思想上也形成了直接的对应关系，数据库加密对应磁盘加密，数据库防火墙对应防火墙/UTM，数据库审计对应IDS入侵检测，数据库漏扫对应漏洞扫描等。这一阶段数据安全产品主要以数据库安全、DLP等产品为主。

2)数据安全2.0：随着数据的使用与流转不再局限于单个业务部门，跨业务部门跨网络边界的数据流动成为常态，数据安全开始逐渐以企业整体的安全为核心。这一时期随着网络架构和IT架构的演变，数据也从过去以数据库为载体的单一场景向云、大、物、移等其他场景不断延伸。在这一阶段，数据安全的重心不再仅是针对数据库等单一系统，而是针对数据的整个生命周期进行体系化治理，因此数据安全的产品也开始迅速丰富，同时更强调对技术的综合应用，包括数据分级分类，数据安全平台、数据监控与审计、IAM等技术得以快速发展。

3)数据安全3.0：随着数字经济时代的到来，数据资产成为了国家的战略资源和核心资产，数据安全脱离了单独的个人或企业层面，开始以数字经济基础设施的安全为核心。这一时期，数据交易市场开始逐渐形成，对于银行、电信、能源等关键基础设施机构以及阿里、滴滴、腾讯等大型互联网公司而言，数据的泄露不仅对企业造成严重损失，同时也将威胁到公共安全乃至国家安全^[2]

数据安全体系

数据安全体系包括四个层面，分别为边界安全、访问控制和授权、数据保护、审计监控等四个层面^[3]

(1)边界安全：授权合法用户访问大数据平台集群。包括身份认证、网络隔离和传输安全。身份认证是关注外部用户或者第三方服务对集群的访问过程中的身份鉴别，用户在访问启用安全认证的集群时，需通过服务所需要的安全认证方式。网络隔离是大数据平台集群支持通过网络平面隔离的方式保证网络安全。传输安全是关注数据在传输过程中的安全性，包括采用安全接口设计及高安全的数据传输协议，保证在通过接口访问、处理、传输数据时的安全性，避免数据被非法访问、窃听或旁路嗅探。

(2)访问控制：定义可以访问、应用数据的用户访问控制，包括权限控制和审计管理。其中，权限控制包括鉴权、授信管理，即确保用户对平台、接口、操作、资源、数据等都具有相应的访问权限，避免越权访问；分级管理，即根据敏感度对数据进行分级，对不同级别的数据提供差异化的流程、权限、审批要求等管理措施。审计管理是基于底层提供的审计数据，在权限管理、数据使用、操作行为等多个维度上对大数据平台的运转提供安全审计能力，确保及时发现大数据平台中的隐患点。

(3)数据审计：数据溯源、数据使用和销毁路径跟踪，包括数据生命周期管理和日志审计。数据生命周期管理追溯大数据平台中数据的来源，熟知数据使用、销毁情况，通过安全审计监测大数据系统中是否存在非法数据访问。安全审计的目的是捕获系统内的完整活动记录，且不可被更改，遵守“事前可管、事中可控、事后可查”，三大原则。日志审计对日志和审计记录做集中管理和分析。

(4)数据保护：包括数据加密和脱敏；多租户隔离；数据侵权保护；容灾管理。数据加密提供数据在传输过程及静态存储的加密保护，在敏感数据被越权访问时仍然能够得到有效保护。用户隐私数据脱敏提供数据脱敏和个人信息去标识化功能，提供满足国际密码算法的用户数据加密服务。多租户隔离实施多租户访问隔离措施，实施数据安全等级划分，支持基于标签的强制访问控制，提供基于ACL的数据访问授权模型，提供全局数据视图和私有数据视图，提供数据视图的访问控制。数据容灾为集群内部数据提供实时的异地数据容灾功能。数据侵权保护利用区块链类似技术实现数据的溯源确权。

数据安全

泛数据安全产业

除传统围绕数据的生命周期，沿着数据的采集、传输、交换、存储、处理与销毁流程直接与数据或者数据库相关的产品外，安全领域还有一些产业与数据安全息息相关，具体包括数据安全治理、身份与访问管理(“零信任”体系)、隐私计算、云数据安全(SASE)等，他们为数据安全发展提供方法论和体系框架、引入新兴技术和应用场景，或成为未来数据安全产业的重要组成部分。

(1)数据安全治理：指从决策层到技术层，从管理制度到工具支撑，自上而下建立的数据安全保障体系和保护生态，包含国家宏观治理和企业组织内部微观自治两个层面。其中企业组织内部自治旨在规范企业组织数据全生命周期处理流程，保证数据处理活动的合规性和合法性。除具体相关技术产品外，数据安全治理多以咨询服务的形式体现。

(2)身份与访问管理：主要指访问控制，即精选出来的一系列数据访问规则，主要包含身份验证与授权两个组成部分。身份验证是用于验证给定用户是否是其所声称的身份的一种技术，而授权技术是确定用户是否可以访问数据或执行其所尝试操作的技术。

(3)零信任：指一组以“信任从不被隐式授予，而是必须持续评估”为前提的概念和设计思想，而“零信任体系”是基于零信任的一种企业资源和数据安全端到端的保护方法，包含人和非人实体的身份标识、认证信息、问管理、操作运维、端点管控、运行环境和互连基础设施等内容。

(4)隐私计算：隐私计算体系通过融合多学科技术，使得两个或多个参与方可以在不泄漏各自数据的前提下进行联合计算，在保护数据安全的同时实现多源数据跨域合作，推进数据融合价值的挖掘。目前主流的隐私计算技术路径包含多方安全计算、联邦学习和可信计算三大方向。

(5)云数据安全：云数据安全可从两个层面理解:一个层面为把用户在数据安全上需要使用到的所有的能力抽象化，以云服务的方式提供，以最简便的方式保证用户和开发者的数据安全；另一个层面为云内应用的数据安全，这包括存储数据的敏感内容发现、数据流动的监控和保护、以及数据内容的安全分析等。

(6)SASE：SecureAccessServiceEdge，安全访问服务边缘是一个基于云化部署的网络和安全组件框架，包含了SD-WAN、云访问安全代理(CASB)、安全的web网关(SWG)、零信任网络访问(ZTNA)、防火墙即服务(FWaaS)和远程浏览器隔离(RBI)等一套技术。SASE将身份作为安全架构的中心，确保通常以云服务形式提供的应用程序、服务、用户和机器对云和网络资源的安全访问^[4]。

数据安全重点项目

数据安全重点项目有2020年的2020年河南联通企业级数据安全评估服务，招标单位是中国联通河南分公司；2021年的中国铁塔昆明市分公司COP15大会安保科技信息化集成建设项目模块二，招标单位是中国铁塔昆明分公司；2021年海南省大数据安全体系建设项目，招标单位是海南省大数据管理局；2021的广东省交通运输厅一体化数字平台(二期)项目数据安全服务，招标单位是广东省交通运输厅；2021月的浙江省“智慧医保”安全运维及系统数据安全服务项目，招标单位是浙江省医疗保障局；2021的杭州市拱墅区信息化民生应用系统与数据安全建设项目，招标单位是杭州市拱墅区数据资源管理局；2021年的丽水市电子政务网络及数据安全服务项目，招标单位是丽水市大数据发展管理局；2021年的2021年南网数研院平台安全分公司内外网数据安全交换平台扩容采购项目，招标单位是南方电网数字电网研究院有限公司；2022年的第三师图木舒克市大数据产业园购买服务项目，招标单位是中共新疆生产建设兵团；2022年的2022-2023年大数据开发管理平台技术研发辅助项目招标公告，招标单位是上海理想信息产业(集团)有限公司

数据安全

数据安全市场规模

2014年中国数据安全行业市场规模仅为14.2亿元，近年来，数据安全泄漏事件频发，据全球知名数据安全企业Gemalto(金雅拓)发布的最新安全违规水平指数调查报告显示，截至2017年底，全球共发生数据泄露事件1，756起，失窃、丢失及泄露的数据总量高达26亿条，约为2016年数据泄露数量的两倍。2018年上半年，全球共计发生945起数据泄露事件，泄露数据共计45亿条。中国数据安全市场处于成长期，伴随数据泄露事件数量激增、性质不断恶化，以及企业数字化转型加速、物联网、业务上云、区块链等新技术的落地，中国政府对数据安全的重视程度不断增加。目前数据安全在政府、金融、电信等基础民生领域的应用较深入，业务占比近50%，伴随数据安全技术的持续突破，数据安全在医疗、制造等领域的应用有望逐渐深入，2023年中国数据安全行业市场规模有望达到97.5亿元^[3]。

数据安全政策

2021年8月中央全面深化改革委员会《关键信息基础设施安全保护条例》建立了以网信部门、公安机关、保护工作部门等有关部门为主体的关键信息基础设施网络安全综合保护体系。

2021年8月十三届全国人大常委会《中华人民共和国个人信息保护法》从个人信息监管、处罚，跨境信息提供等多方面进一步加强对个人信息安全的保护。

2021年7月国家互联网信息办公室《网络安全审查办法(修订草稿征求意见稿)》确保关键信息基础设施供应链安全；掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

2021年6月十三届全国人大常委会《中华人民共和国数据安全法》对数据实行分级分类保护、开展数据活动必须履行数据安全保护义务承担社会责任等。

数据安全企业

奇安信：奇安信科技集团股份有限公司(创立于2014年，国内领先的基于大数据、人工智能和安全运营技术的网络安全供应商，专注于网络空间安全市场，向政府、企业用户提供新-代企业级网络安全产品和服务。创建了面向万物互联时代的网络安全协同联动防御体系

深信服：深信服科技股份有限公司成立于2000年，专注于企业级网络安全、云计算、1T基础设施与物联网的产品和服务供应商，矿域网、移动业务、互联网出口等安全需求场景下提供解决方案，专注于让用户的IT更简单、更安全、更有价值。

启明星辰：启明星辰信息技术集团股份有限公司创建于1996年，国内知名的安全服务与解决方案的综合提供商，集网络安全、数据安全、应用业务安全等多领域于一体的高科技企业，国内较具实力的、拥有完全自主知识产权的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商。2010年启明星辰集团在深圳A股中小板上市，目前，启明星辰已对网御星云、合众数据、书生电子、赛博兴安进行了全资收购，自此，集团成功实现了对网络安全、数据安全、应用业务安全等多领域的覆盖，形成了信息安全产业生态圈。

绿盟科技：绿盟科技集团股份有限公司，成立于2000年4月，总部位于北京，2014年1月29日在深圳证券交易所创业板上市，绿盟科技在国内设有50余个分支机构，为政府、金融、运营商、能源、交通、科教文卫等行业用户与各类型企业用户，提供全线网络安全产品、多方位安全解决方案和体系化安全运营服务。较早推出网络入侵防御类产品，安全攻防经验丰富，为政府运营商/金融/能源/互联网/教育/医疗等行业用户提供核心竞争力的安全产品及解决方案

安恒信息：杭州安恒信息技术股份有限公司创立于2007年，知名网络信息安全产品和服务提供商，专注于网络信息安全领域，提供网络信息安全基础产品、网络信息安全平台和网络信息安全服务，安恒信息以云安全、大数据安全、物联网安全、智慧城市安全、工业控制系统安全及工业互联网安全五大方向为市场战略。产品体系，包括网络信息安全

数据安全