2022数据安全产业洞察报告.pdf
《2022数据安全产业洞察报告.pdf》由会员分享,可在线阅读,更多相关《2022数据安全产业洞察报告.pdf(439页珍藏版)》请在咨信网上搜索。
1、12022 数据安全产业洞察报告北京炼石网络技术有限公司V1.0.03序言以以安安全全保保发发展展、以以发发展展促促安安全全。数字经济是继农业经济、工业经济之后的主要经济形态,在重组全球要素资源、重塑全球经济结构、改变全球竞争格局中起着关键性作用。科技部数据显示,我国数字经济规模居世界第二1。对我国来说,发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择,并将带动数字化向更大范围、更高层次、更深程度拓展,发挥数据的基础资源作用和创新引擎作用。数据要素作为数字经济深化发展的核心引擎,数据安全也成为事关国家安全和经济社会发展的重大议题。数数据据安安全全产产业业升升级级伴伴随随着着认认知知更
2、更新新。2021 年 6 月 10 日,中华人民共和国数据安全法正式颁布,数据安全步入法治化轨道。在合规监管和实战防护双重驱动下,数据安全产业发展迅猛。同时,我们要看到,数据安全作为新兴技术驱动产业,新理念、新技术、新产品、新业态大量涌现,过去成熟的信息和网络安全认知难以覆盖新生的数据安全。值此 数据安全法 颁布一周年之际,炼石 2022数据安全产业洞察报告(简称报告)正式推出,是继2021 数据安全与个人信息保护白皮书2021 密码产业洞察报告2021 密码应用技术白皮书等报告之后的新成果。从从业业务务视视角角洞洞察察数数据据安安全全产产业业。信息化技术是“与天斗、与地斗”,而安全技术是“与
3、人斗”,人的不确定因素大大增加了安全产品和服务体系的复杂程度;同时安全产品在为丰富信息化场景提供保障的同时,反过来安全产品自身也属于1我国数字经济规模居世界第二 先进储能等产业规模居世界前列,https:/ 立足国际经贸摩擦、新冠疫情爆发、俄乌军事冲突等错综复杂的形势下,探索各国对于数据安全法治建设路径的持续布局。在全球数据安全加速发展的大潮中,我国数据安全产业进入高速发展期。5数数据据开开发发利利用用伴伴生生安安全全风风险险。报告梳理了数据收集、存储、使用、加工、传输、提供、公开等全生命周期中的各个环节中面临的安全威胁和挑战。通过丰富案例能够深入了解全生命周期各环节的薄弱点和暴露面,从而针对
4、性的设计和实施数据保护体系,以消减风险,保障业务高效运行。持持续续攻攻防防对对抗抗特特性性让让数数据据安安全全行行业业成成为为技技术术演演进进常常青青树树。报告从技术、产品、治理和服务等领域展开。技术发展上,从典型技术理念、典型技术架构、典型治理平台三个层次逐步展开,其中,技术架构上重点介绍了 GARTNER 架构、信通院架构、DTTACK 等模式,并论述了其设计思路和理念;安全产品上,从标准安全产品延伸、创新安全场景驱动分别切入,详细介绍了 20 多种数据安全产品,并着重分析了创新安全场景中使用的关键技术;数据治理上,从数据价值、安全策略、管理运营等方面,持续探索自适用、易落地的数据安全治理
5、模型和体系;服务咨询上,立足产业链中下游,重点介绍了治理、评测、运营、能力提升、专项、实战应用、法律咨询七种类型,并基于各服务种类及流程步骤从多维度解析。免免改改造造数数据据安安全全实实现现数数据据流流动动中中的的有有效效保保护护与与合合规规。随着数据要素价值升级,“以数据为中心的安全”占据产业靶向点,应用层作为数据共享流转的主要载体,数据价值点多、风险敞口广,具有丰富业务上下文含义,成为实现数据安全的主要抓手。补足数据安全功能需求缺失面临“老应用改造难、新应用成本高”等问题,免改造数据安全应运而生,通过数据控制点实现“横向覆盖应用、纵向叠加安全”。数数据据安安全全体体系系化化打打造造数数据据
6、纵纵深深防防御御。当下,攻击者已经分工合作以提升效率,特点,传统的安全边界或网络隔离策略难以应对。数据安全建设要放弃一招制敌6的幻想,在信息系统上根据不同的安全威胁,结合匹配的安全防护技术与措施,实施协同联动的安全策略纵深。报告阐述了基于 DTTACK 的防御纵深,凭借先发优势、面向失效的设计、环环相扣的递进式设防,形成有效防护。党党中中央央高高度度重重视视数数据据安安全全,新新图图景景将将建建于于硬硬核核实实力力之之上上。报告涵盖增强数据安全技术与产业的意识形态建设、做好数据安全技术与产业发展的顶层设计、营造数据安全技术与产业良好的环境氛围、建立新技术与应用实践落地的“民族自信”、国家和监管
7、共同构造产业格局“中国之治”、重要数据和个人信息治理推动“中国规则”、国际数据安全技术与产业彰显“中国智慧”等方向,并从产业和技术等方面展望了发展趋势和应用热点。由于编者水平有限,报告中不妥和错漏之处在所难免,敬请各位读者批评指正和提出宝贵意见,业界专家和同仁拨冗参与本报告改进,后续我们也将持续更新完善报告内容,为数据安全产业发展贡献力量!本白皮书编写过程中获得了腾讯云鼎实验室等众多专家和机构的指导与帮助,在此特别致谢。7目录第一章 数字经济发展呼唤数据安全.22第一节 数据安全产业聚力蓄势而发.23一 数据安全概念紧随时代持续演进.23二 数据安全脱胎网络安全与之比肩.32三 数据安全产业内
8、涵外延前景广阔.44四 数据安全爆发千亿市场未来可期.46第二节 数据安全立法折射大国博弈.56一 国际数据安全形势错综复杂.56二 我国数据安全产业厚积薄发.95三 全球数据安全理念多元呈现.152第二章 数据处理风险驱动数据保护.168第一节数据收集:合法、正当、必要.168第二节数据存储:加密、控制、审计.170第三节数据使用:告知、监督、检测.175第四节数据加工:内控、风险、响应.177第五节数据传输:加密、脱敏、约定.178第六节数据提供:评估、保护、监督.180第七节数据公开:危害、分析、影响.182第三章 数据保护技术集聚创新原力.1878第一节 数据安全技术引领创新驱动.18
9、7一典型技术理念.187二典型技术架构.198三典型治理平台.205第二节 数据安全产品演进枝叶扶疏.218一标准安全产品延伸.218二创新安全场景驱动.271第三节 数据安全治理落实保护责任.279一数据要素价值.279二数据安全策略.283三数据安全模型.286四数据安全管理.293五数据安全运营.301六安全意识教育.306七数字伦理道德.306第四节 数据安全服务支撑业务发展.308一治理服务类.308二评测服务类.313三运营服务类.333四能力提升类.350第四章 数据安全能力融入业务流程.395第一节安全技术演进到以数据为中心.3959第二节数据安全侧重于应用系统保护.398第三
10、节数据保护催生出轻量改造模式.400第五章 数据安全体系重构防御边界.403第一节 知彼:攻击体系化.403第二节 知己:银弹不存在.404第三节 百战不殆:面向失效的安全设计.406一先发优势.406二面向失效的设计.406三数据安全纵深防御.407第六章 数据安全产业开启伟大征程.414第一节 数据安全在应对挑战中前进.414一.数据安全迎来新机遇.414二数据安全挑战与应对.416第二节 数据安全在科技创新中壮大.431一数据安全技术应用创新突破壁垒.431二.数据安全产业多元探索拓宽空间.436总结.44210图目录图 1数据安全“生长树”.35图 2 狭义的数据安全产业链上中下游.3
11、8图 3 2010-2025 全球数据量增长预测.40图 4 数据安全市场规模/同比增长率及预测情况.41图 5 部分国家(区域)网络安全保障指标评价排名4.48图 6 数据安全法监管机构.98图 7 零信任核心逻辑图.180图 8 织入示意图 基于 AOP 访问控制技术的研究与应用16.187图 9 数据安全治理目标.193图 10 数据安全战略.194图 11 DTTACK 框架构建参照模型.196图 12 面向数据全生命周期的数据安全防护体系.198图 13 数据安全管控平台技术架构.202图 14 数据安全治理平台技术架构.204图 15 以“控制矩阵为抓手,落地组织个人信息保护”为理
12、念.205图 16 业务上线检查(个保嵌入)流程图.205图 17 选择工作流量环节.206图 18 典型的 UEBA 系统架构9495.269图 19 数据资产价值评价指标体系.273图 20 Gartner 信息资产价值模型.273图 21GartnerDSG 框架图.280图 22 数字风险管理 CARTA 模型.281图 23 DGPC 三层数据安全组织构架示意图.284图 24 DGPC 数据安全管理流程图.284图 25 GPC 评估数据工具与技术示意图.285图 26 FinDRA 财务数据风险评估流程.285图 27 数据安全评估标准框架.287图 28 成熟度模型.292图
13、29 DSMM 框架构建供应链安全体系.29711图 30 AvanadeTrendlines 数字道德的四个要点.300图 31 Gartner 数字道德与隐私.300图 32 数据识别和分类分级服务流程.329图 33 数据流向梳理服务.332图 34 数据流量采集分析服务.334图 35 数据安全审计服务.337图 36 安全咨询及应急响应服务.339图 37 数据安全事件溯源服务.340图 38 数据安全培训认证.343图 39 常见的培训流程.345图 40CISP 认证培训流程.345图 41 数据安全专项行动.349图 42 常见密码应用服务内容.350图 43 接口监测.354
14、图 44 数据合规管理体系.359图 45 个人信息影响分析服务流程.362图 46 数据企业合作梳理清单.365图 47 数据业务合作流程建设示例.369图 48 APP 收集使用个人信息合规性评估流程图.371图 49 网络/主机和数据分别是两个正交的维度.388图 50 网络与数据并重的新安全建设体系.389图 51 数据安全从以基础设施为抓手,演进到以应用为抓手.391图 52 面向失效的数据安全纵深防御新战法.399图 53 数据安全防护架构图.400图 54 IPDRRC 投资回报率分布图.401图 55 二十种密码应用模式一览.402图 56 覆盖不同技术栈的数据存储加密技术.4
15、0312表目录表 1 俄乌网络对抗一览表.48表 2 国内标准组织隐私计算标准现状.113表 3 数据安全相关国家技术标准.115表 4 炼石 CASB 业务数据加密平台功能说明.200表 5 常见的管理制度包含.302表 6 数据安全评估用例示例.306表 7 大数据平台技术排查示例.313表 8 大数据平台基线排查示例.313表 9 识别分析认证检测项.316表 10 系统授权管理检测项.317表 11 系统越权访问检测项.318表 12 用户敏感数据模糊化检测.319表 13 批量数据违规获取检测.319表 14 业务逻辑安全检测.320表 15 运维工作说明书.326表 17 事件信息
16、报送表.352表 18 排查项示例.365表 19 APP 数据收集合规性评估矩阵.37213第一章 数字经济发展呼唤数据安全国务院“十四五”数字经济发展规划指出,数字经济成为继农业经济、工业经济之后的主要经济形态,发展数字经济是国家的重要战略部署,2035 年我国数字经济将迈向繁荣成熟期,形成统一公平、竞争有序、成熟完备的数字经济现代市场体系,数字经济发展基础、产业体系发展水平将位居世界前列。如今,产值占到 GDP 近四成的数字经济,正在成为稳增长和高质量发展的新引擎。数据要素作为数字经济深化发展的核心引擎,一方面对提高生产效率的乘数作用不断凸显,数据的开发利用为经济社会发展提供了强大动力;
17、另一方面也成为大国博弈的新高地,数据安全争夺战正在拉开序幕。数据安全关乎国家安全,掌握世界各国数据安全立法进程,以他山之石拓新发展思路,助力我国采取行之有效的应对措施,捍卫我国数据主权。2021年11月,中共中央政治局会议审议的 国家安全战略(20212025年),将数据安全与网络安全并列。国家顶层意志上明确了数据安全的战略地位,数据安全逐步从网络安全中脱胎成为独立产业。数据安全本身并不是一个新名词,但其内涵和范围随着时代发展、技术进步,始终处于变化和演进中,与之匹配的合规体系、技术体系、产业生态、供给水平等都仍处于建设阶段。但凡是有数据开发利用的场景,总会伴生着数据安全风险,这意味着数据安全
18、需求无时不在、无处不在。实践发现,数据安全的概念与信息安全、网络安全往往相互交织和相互区别,容易影响从业者对产业建设、风险威胁的判断与识别。厘清数据安全产业定义范畴是关键,也是报告开始就梳理数据安全发展史、勾画数据安全“生长树”的初衷。14第第一一节节数数据据安安全全产产业业聚聚力力蓄蓄势势而而发发一一数数据据安安全全概概念念紧紧随随时时代代持持续续演演进进(一一)网网络络安安全全、数数据据安安全全、数数字字安安全全概概念念演演化化1 1“网网络络安安全全”概概念念演演化化伴随着信息化建设不断推进,信息技术广泛应用,信息网络快速普及,我国对网络安全概念和边界,在应用和实践中逐步清晰。1994
19、年,中华人民共和国计算机信息系统安全保护条例(中华人民共和国国务院令第 147 号)2对保护计算机信息系统的安全提供宏观布局。其中,第三条对计算机信息系统的安全保护对象进行明确,即计算机及其相关的和配套的设备、设施(含网络),运行环境,信息,计算机功能1。从 1994 年到 2000 年,由民间发起的多次中美黑客技术交锋,成为热点议题。与此同时,1998 年,教育部颁布了 普通高等学校本科专业目录(1998 年颁布),信息安全成为正式本科专业。此外,强制性国标 GB 17859-1999 计算机信息系统安全保护等级划分准则发布,对计算机信息系统安全保护能力的五个等级进行了规定。直到 2000
20、年,计算机安全的概念在信息技术 词汇 第 1 部分:基本术语GB/T 5271.1-2000 中被明确,计算机安全词条下面主要包含了数据保护、计算机犯罪、程序高手(1)hacker、黑客(2)hacker、软件盗版 software piracy2。此后 10 年中,即 2001 年至 2010 年,安全事业得到了学者、专家的大力推进,信息安全、网络安全被分别重点提出。其中,信息安全3概念通常参考信2147 号令不针对未联网微机3本阶段优秀信息安全相关专著包含信息自由与信息安全、信息安全法研究、Windows Server2003 黑客大曝光、Linux 黑客大曝光:Linux 安全机密与解决
21、方案、信息安全工程、信息系统15息安全管理实施细则 BS7799-1:1999,并重点从密码技术和密码应用展开阐述;网络安全4概念通常引申为网络环境下的信息安全,网络传输和网络设备的信息安全,重点分析网络安全威胁,并注重 TCP/IP 模型研究网络的攻击与防守。更多地,引入信息安全风险管理、信息安全风险评估后,信息安全工程、信息系统安全工程等方向得到了充分的研究与发展。在上述发展过程中,信息安全和网络安全的概念和定义在国家标准得到进一步明晰。GB/T 20271-2006 信息安全技术 信息系统通用安全技术要求中对信息系统安全明确定义,即信息系统及其所存储、传输和处理的信息的保密性、完整性和可
22、用性的验证;对信息系统通用安全技术亦明确定义,即实现各种类型的信息系统安全所普遍适用的安全技术;对信息系统安全子系统亦明确定义,即信息系统内安全保护装置的总称,包括硬件、固件、软件、和负责执行安全策略的组合体。它建立了一个基本信息系统安全保护环境,并提供安全信息系统所要求的附加用户服务3。GB/T 20270-2006 信息安全技术 网络基础安全技术要求给出网络安全定义,即网络安全(network security),网络环境下存储、传输和处理的信息的保密性、完整性和可用性的表征;网络安全基础技术,即实现各种类型的网络系统安全需要的所有基础性安全技术;网络安全子系统,即网络中安全保护装置的总称
23、,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的网络安全保护环境,并提供安全网络所要求的附加用户服务4。安全、网络信息安全原理等。4本阶段优秀信息安全相关专著包含网络安全基础:应用与标准、黑客攻防实战详解、AppliedCryptography、Computer security art and science、计算机网络安全教程、网络安全宝典等16随着,信息安全技术 术语 GB/T 25069-2010 发布,计计算算机机安安全全(computersecurity)也得到了正式定义,即采取适当措施保护数据和资源,使计算机系统免受偶然或恶意的修改、损害、访问、泄露等操作的危
24、害5。同时,GB/T 25069-2010(information security)对信息安全作出了正式定义,即保护、维持信息的保密性、完整性和可用性,也可包括真实性、可核查性、抗抵赖性、可靠性等性质5。值得一提,GB/T 25069-2010 对信息通信技术安全5作出定义,并结合信息安全概念,在 GB/T 20271-2006 的基础上,对信息系统安全6的定义亦进行进一步明确。可以看出,在本阶段,除了学术研究,网络安全的概念仍框定于信息安全一部分,更多地被当作共识性术语。比如,在 GB/T 25069-2010 中网络安全只出现于网络安全策略、网络安全状态、网络安全评估等术语中。同时,从国
25、际标准看,网络安全(Network security)类标准属于信息技术中安全技术分册,同簇标准包含身份管理、IT 网络安全、网际安全指南(cyber security)7。从 2011 年开始,众多学者专家对网络空间安全进行全面、入微的探索和研究。事实上,美国的网络空间安全国家战略于 2003 年发布,同年我国发布了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)。尽管如此,此后较长一阶段中,网络空间较多情况下被定位于泛新型虚拟空间。故,针对网络空间安全未形成独立课题。业内学者专家把网络空间、安全分成两个内容研究。比如,论网络空间的刑事案件管辖权,张云泉重点研究在网络
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2022 数据 安全 产业 洞察 报告
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。