ISC《2024数据安全技术创新发展报告》.docx

目录CONTENTS一、数据安全发展的驱动力量1.1 我国已逐步完成数据安全顶层设计，基本建成政策法规监管体系021.2 数字化生存环境威胁之下，数据安全成为机构运营安全的内生需求08二、数据安全行业发展现状2.1 政策红利明显，为数据安全产业发展制定出明确的量化指标122.2 市场表现低于预期，内耗严重，创新不足，数据安全需求没有得到释放122.3 围绕数据安全的人才和服务存在巨大需求13三、数据安全技术创新热点和未来趋势3.1 数据安全态势管理(DSPM)153.2 数据风险评估(DRA)173.3 数据安全治理(DSG)183.4 安全服务边缘(SSE)193.5 同态加密(HE)203.6 数据合成223.7 与大语言模型(1.1.M)结合是未来趋势23四、数据安全技术的最佳实践4.1 360数字安全：XX头部国有股份制银行数据安全平台建设项目264.2 炼石：基于免改造数据安全技术的工业领域数据安全保护方案344.3 美创科技:某“双一流”高校的数据安全治理实践之路434.4 东方通网信：电信行业数智一体化数据安全管控产品解决方案484.5 数安行：证券信息系统数据安全计算与安全计量项目534.6 一知安全：XX头部汽车制造商终端全场景数据安全防护系统建设项目57数据安全发展的驱动力量11数据安全发展的驱动力量2022年我国数字经济规模达50.2万亿元,占国内生产总值比重提升至41.5%位居全球第二，彰显我国高度重视数字经济发展，持续促进数字技术和实体经济深度融合，协同推进数字产业化和产业数字化，加快建设网络强国、数字中国，已取得的突出成就。根据IDC最新发布的GlobalDataSPhere2023报告显示,我国数据量规模将从2022年的23.88ZB增长至2027年的76.6ZB,年均增长速度CAGR达到26.3%,为全球第一，政府、媒体、专业服务、零售、医疗、金融为主要数据产生的领域。在中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见等政策的持续推动下，“降要素”概念逐渐成形，强调对降信息的价值开发、产业赋能和流通利用。数据作为新质生产要素，是驱动新质生产力的主要原材料，是数字化、网络化、智能化的基础，已快速融入生产、分配、流通、消费和社会服务管理等各环节，深刻改变着生产方式、生活方式和社会治理方式。伴随着国计民生的运行逐步转移到由数据驱动的基础设施和各类应用上，数据安全必然成为事关国家安全与经济社会发展的重大问题。当前数据安全形势十分严峻，维护数据安全的责任重大。一方面数据安全被纳入总体国家安全观，进行顶层设计和合规监管，这是由国际安全竞争形势和国家发展战略所决定的；另一方面，国内外针对高价值数据的勒索攻击日渐猖獗，不断威胁各领域的机构运营，数据安全亦成为各领域机构运营安全的内生需求。这两方面因素是驱动雌安全行业和技术创新发展的核心力量。1.1 我国已逐步完成数据安全顶层设计,基本建成政策法规监管体系1.1.1 翔居安全政策法规密集出台2015年7月1日起施行的国家安全法规定："国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领息系统及安全保护和利用技术任何个人2017年6月1日起施行的网络安全法规定："国家鼓励开发网络和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动”。2020年3月30日印发的中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见指出："制定雌隐私保护制度和安全审查制度。推动完善适用于大雌环境下的数据分类分级安全保护制度，加强对政务数据、企业商业秘密和个人数据的保护。”2021年9月1日起施行的数据安全法规定："维护数据安全，应当坚持总体国家安全观，建立健全数据安全治理体系，提高数据安全保障能力。"该法的起草过程中，明确提出了"没有数据安全就没有国家安全"，这在历史上是首次。数据安全法还以法律的形式规定："中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。”目前,国家数据安全工作协调机制已经到位，国家数据安全顶层设计基本完成。2021年11月1日起施行的个人信息保护法明确提出"国家建立健全个人信息保护制度，预防和惩治侵害个人信息权益的行为，加强个人信息保护宣传教育，推动形成政府、企业、相关社会组织、公众共同参与个人信息保护的良好环境。"凸显个人信息保护不仅针对个人权益而且事关国家安全。2022年12月2日印发的中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见(数据二十条)指出："完善治理体系，保障安全发展。统筹发展和安全，贯彻总体国家安全观，强化数据安全保障体系建设，把安全贯穿数据供给、流通、使用全过程，划定监管底线和红线。加强数据分类分级管理，把该管的管住、该放的放开，积极有效防范和化解各种数据风险，形成政府监管与市场自律、法治与行业自治协同、国内与国际统筹的数据要素治理结构。"2023年1月3日印发的工业和信息化部等十六部门关于促进数据安全产业发展的指导意见提出到2025年，数据安全产业基础能力和综合实力明显增强，产业规模超过1500亿元,年复合增长率超过30%。到2035年，数据安全产业进入繁荣成熟期。2023年2月，中共中央、国务院印发数字中国建设整体布局规划提出"要强化数字中国关键能力。筑牢可信可控的数字安全屏障。切实维护网络安全，完善网络安全法律法规和政策体系。增强数据安全保障能力，建立雌分类分级保护基础制度，健全网络峰监测预警和应急处置工作体系.”2023年3月f党和国家机构改革方案指出，组建国家数据局，负责协调推进数据基础制度建设，统筹数据资源整合共享和开发利用，推进数字中国、数字经济、数字社会规划和建设等，为数据安全治理提供强力支撑。2023年4月商用密码管理条例在1999年发布的24年后重新修订发布，旨在规范商用密码应用和管理，鼓励和促进商用密码产业发展，保障网络与信息安全,推动商用密码技术的研发和应用，促进数据安全产业的发展。2023年12月国家数据局发布"健要素"三年行计划(2024-2026年)(征求意见稿)推动数据要素在智能制造、智慧农业、商贸流通等十二个事关国计民生的领域的重点行动。伴随着一系列围绕数据安全的顶层政策法规的密集出台，以及主管单位组织架构的完善，细分领域和地方性的实施细则、标准和创新试点纷纷涌现。据不完全统计，仅2023年上半年就有91项网络与数据安全相关文件发布，包括13项国家政策法规、10项重点行业政策、21项地方政策规章、31项国家技术标准、16项重点领瞬告。1.1.2 数据安全治理制度的顶层设计基本确立目前，通过法律法规和政策文件，我国确立了以下主要的数据安全制度：一是数据交易管理制度。用以规范数据交易行为，培育数据交易市场。从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核资料、交易记录。下一步将出台专门管理办法，对数据交易机构的设立条件、运行规则、监管要求等予以明确。二是数据分类分级制度。按照数据安全法规定，根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用，对国家安全、公共利益或者个人、组织合法权益造成的危害程度，对数据实行分类分级保护。国家已明确数据分为三级：一般数据、重要数据、核心'数据，后两者直接关系国家安全。各地区和各部门可根据实际情况，明确本地区、本部门的数据分类分级方法，对重要数据和核心嘤据进行重点保护C三是数据安全审查制度。对影响或者可能影响国家安全的数据处理活动进行国家安全审查。为了落实这一制度，国家网信办等十三个部委联合公布了修订后的网络安全审查办法，于2022年2月15日起施行。该办法将网络平台运营者开展数据处理活动纳入审查范围，防范核心'数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。审查制度还明确要求对国内企业赴国外上市活动进行审查，以防范上市企业存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险。四是数据出境安全管理制度。鉴于数据安全的重要性，主权国家应当对数据出境实施安全管理。为此，我国对两类数据建立了出境安全评估制度，一类是重要数据，另一类是批量个人信息以及关键信息基础设施运营者掌握的个人信息。2022年9月1日起，数据出境安全评估办法正式实施。对个人信息出境，我国探索设立了认证途径和标准合同途径。当今世界，所有跨境贸易的实质都是数据跨境流动，故该议题已成为国际贸易规则重构的焦点，各国高度关注却远未达成共识，今后的国际博弈将更加激烈。五是出口管制制度。国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。这一规定具有重大意义,是我国出口管制法在数据领域的落实。六是对等反制制度。我国法律规定，任何国家或者地区在与数据和数据开发利用技术等有关的投资、贸易等方面对中华人民共和国采取歧视性的禁止、限制或者其他类似措施的，中华人民共和国可以根据实际情况对该国家或者地区对等采取措施。目前美西方国家以数据安全为由，全方位对我国围追堵截，遏制我国高新技术发展,故这一制度有着重要的现实意义。七是跨境数据司法调取审批制度。美国澄清境外合法使用数据法案规定，在美国政府执法、司法机构提出要求时，任何美国企业在他国收集存储的数据都要交给美国政府。这种“长臂管辖”是对他国司法主权的严重侵犯。为维护我国国家安全利益，数据安全法规定，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。1.13数据安全落地实施的国家标准体系不断完善数据安全国家标准是开展数据安全监管，规范行业数据安全要求，指导网络运营者提升数据安全能力的重要抓手，对促进数据应用规范化、提升数据活动安全性有着重要意义。目前，全国信息安全标准化技术委员会（SAC/TC260,简称“信安标委"）已开展9项数据安全标准研制项目，其中，已发布标准4项，在研标准5项。数据安全系列国家标准安全要求类标准GB/T35274大数据服务安全能力要求修订中-GB/T37932-2019数据交易磁安全要求-GB/T39477-2020政务信息共享数居安全技术要求=gl分类分级三bIJI网络雌分类分级要求lr«手要数据识别指南里要雌处理安全要求个人信息保护GB/T35273-2020个人信息安全规范GB/T41391-2022移动互联网应用程序（APP）收集个人信息基本要求全国信息安全标准化技术委员会（SA（TTG260.简称“信安标委"）实施指南类标准7a3-CBVT27973-2019棣簸全g三）WGBT39725-2020健康医疗数据安全指南电信领域大数据安全防护实现指南安全要求类标准TTOGBVT37988-2019全能力丁，GBV/T41479-2022网络糜处理安全要求分类分级保护是数据安全治理工作的第一步，网络数据分类分级要求在2022年9月14日公开征求意见，数据分类分级工作首先要参考这个国标，在识别和保护重要数据方面，也要参考重要数据识别指南和重要数据处理要求。涉及使用和处理大量个人信息的企业或组织要参考GB/T35273-2020个人信息安全规范和GB/T41391-2020移动互联网应用程序(APP)收集个人信息基本要求。数据安全系列国家标准分为三个类别：安全要求类标准、实施指南类标准和检测评估类标准，企业或组织参考标准的重点和阶段不同。安全要求类标准：GB35274大数据服务安全能力要求修订中，GB/T37932-2019数据交易服务安全要求，GB/T39477-2020政务信息共享数据安全技术要求；实施指南类标准：GB/T27973-2019大数据安全管理指南，GB/T39725-2020健康医疗数据安全指南，电信领域大数据安全防护实现指南。检测评估类标准：GB/T37988-2019数据安全能力成熟度模型,GB/T41479-2022网络数据处理安全要求。幡安全治理是以“让数据使用自由而安全”为愿景,旨在安全有序推动数据流动，平衡数据发展与数据安全，其方法论的核心内容包括：满足(Protection)、合规性(Compliance)、宣里(Sensitivemanagement)三个需求目标； 以数据为中心的分类分级安全治理内容包括：分类分级(Classifying)、角色授权(Privilege)、风险评估(Assessment)、场景化安全(Scene); 数据安全治理的建设步骤包括：组织构建、资产梳理、策略制定、过程控制、行为稽核和持续改善； 核心安全框架为数据安全人员组织(Person)、数据安全使用的策略和流程(Policy&Process)、数据安全技术支撑(Technology)三大部分。随着国家标准体系的逐步完善，组织在全流程的雌安全治理过程中，要更多地参照国标要求，应对数据安全挑战，形成一套包括组织、制度、技术和运营四个方面，贯穿整个组织架构的数据安全规划和平台建设。1.1.4数据安全监管体系构建完成在最高层级方面，中央国家安全领导机构负责国家数据安全工作的决策和议事协调，研究制定、指导实施国家数据安全战略和有关重大方针政策，统筹协调国家数据安全的重大事项和重要工作，建立国家数据安全工作协调机制。在监管层级方面，明确各行业监管部门均负有数据安全管理职责，确定各部门、各地区分工负责的管理模式。具体为国家网信部门负责统筹网络数据安全监管，公安机关、国家安全机关在职责范围内承担数据安全监管职责，工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域嘘安全监管职责。在监管实施方面，明确各行业监管要求和监管内容，包括：1 .数据分级分类要求：要求通过数据的分类分级，明确不同数据的管理权限，对于不同类型和等级的数据,企业在数据处理、数据出境时将遵循不同的程序要求，履行相应的批准程序。2 .建立重要数据的保护制度：形成国家级的重要数据目录以及各地区、各部门将确定本地区、本部门以及相关行业、领域的重要数据具体目录，围绕目录建立重要数据保护制度。3 .要求明确开展数据处理活动的安全保护义务，落实等级保护管理工作： 数据资产、魏居湍专和数居风险梳理； 建立健全全流程数据安全管理制度； 组织开展数据安全教育培训； 采取相应的技术措施和其他必要措施，保障数据安全； 利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行数据安全保护义务；进彳攒据安全风险评估及应对，及时应对处理安全事件；采取合法、正当方式收集数据，并在法律、行政法规规定的目的和范围内收集、使用数据，不得超过必要限度等。4 .明确向境外提供数据的监管适用情形，禁止未经批准向境外提供境内个人信息和重要数据信息：数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，对于国家网信部门规定的需要申报的数据出境安全评估情形应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。5 .要求数据中介服务机构的数据交易行为需持牌经营，合规经营：将数据中介服务商纳入规范范畴，明确中介机构应要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录。提供数据处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。数据安全治理框架治理愿景：让数据使用自由而安全安全战略数据安全技术体系数据安全合规数据安全管理制度体系I法律法规应管标准库<数据资产塞-采集传输存悌数据分类分级数据安全评估提供/公开使用/加工删除/销毁数据安全合规数据流动个人情息安全账响评估）基础安全数据安全运营体系治理对象:组织数据和个人信息1.2数字化生存环境威胁之下，数据安全成为机构运营安全的内生需求2023年全球数字化生存环境面临更为严峻的威胁形势，据相关研究机构统计2023年全球由于网络安全造成的经济损失预计将超过8万亿美元，并将在今后的几年内保持两位数的高速增长。针对数据的勒索软件仍然是2023年的头号网络安全威胁。勒索软件是最危险的黑客攻击类型之一，因为它实施起来相对容易且成本低廉。在平均每10秒发生一次的勒索软件攻击之下，全球71%的组织都遭受过不同程度的伤害，将近一半的网络攻击都针对小型企业。60%遭受勒索软件攻击的企业会支付赎金以取回数据，许多人支付不止一次。据IBM发布的2023年数据泄露成本报告，数据泄露的平均成本在2023年达到历史新高,为445万美元，比2022年的435万美元增加了2.3%,从长期来看，平均成本比2020年报告中的386万美元增加了15.3%。其中，医疗保健行业是数据泄露的重灾区，连续3年位居榜首，平均成本为1093万美元，相比2020年成本上升了53.3%。值得关注的是,所有的数据泄露事件中,80%是有组织才口罪。Totalcostofadatabreach$5.00$4.50$4.00$3.50$3.00$2.502017201820192020202120222023Costofadatabreachbyindustry据2023年度IBM发布的QBMX-Force威胁情报指数报告，在X-Force2022年所监测到的所有网络攻击中，亚洲遭受的攻击占了近三分之一，超过其他任何地区，其中，在亚洲地区所观察到的所有攻击案例中，制造业占了近一半。另据全球领先的网络安全解决方案提供商CheCkPOint软件技术有限公司发布的2023年第一季度全球网络攻击形势报告的数据，亚太地区每个机构平均每周受到1835次攻击，仅次于非洲地区的1983次，同上缱幅最大、攀升16%。在实施勒索计划时，网络犯罪分子往往会瞄准最脆弱的行业、企业和地区，并施加巨大的心理压力，迫使受害者支付赎金。鉴于对停工时间的容忍度极低，制造业已连续两年成为遭受勒索攻击最多的行业，作为制造业大国的我国，正在面临严峻威胁。根据国家信息安全漏洞库(CNNVD)收录情况，2023年上半年新增漏洞12361个，高危和超危漏洞占比超过50%,漏洞危害程度趋向高危化，极易被病毒、木马、黑客利用，导致系统安全风险加大。据相关平台统计，2023年上半年我国遭受恶意软件攻击总次数接近150亿次，受攻击的重点目标行业包括医疗、科研教育、政府、金融和制造业等，受攻击的重点区域有广东省、浙江省、上海市、江苏省、山东省和北京市等。2023年上半年累计发现涉及我国的重要数据泄露事件超过100起，政府和教育行业是数据泄露的重灾区，两个行业数据泄露占比超过60%2023年上半年，有超过30家国内企业被国际勒索组织公开泄露数据，主要包括账号凭证、APl接口权限、网络访问权限、个人敏解言息、企业隐私数据等。在越来越恶劣的数字化生存环境下，数据安全是当今组织的首要考虑因素。虽然数据可以是组织最大的资产之一(帮助做出更好的决策、实施战略计划以及建立更牢固的客户和合作伙伴关系)，但如果不采取措施保护数据，它也可能成为组织最大的负债之一。例如，威胁到数十亿客户机密信息的数据泄露事件不仅会给组织带来经济损失，还将降低品牌价值并侵蚀客户信任。随着黑客变得越来越老练，组织采用更先进的技术和方法来保护数据安全的需求变得越来越主动和迫切。数据安全毫无疑问的成为了保障组织运营安全最重要的内生需求。数据安全行业发展现状2I数据安全行业发展现状2.1 政策红利明显，为数据安全产业发展制定出明确的量化指标2023年1月13日，工信部等十六部门发布关于促进数据安全产业发展的指导意见。意见指出我国数据安全产业要加强核心技术攻关,构建数据安全产品体系，布局新兴领域融合创新；推进规划咨询与建设运维服务，积极发展检测、评估、认证服务；推进标准体系建设与技术产品应用，并且最终构建繁荣产业生态。意见明确提出到2025年，我国数据安全产业基础能力和综合实力显著增强，数据安全产业规模超过1500亿元，年复合增长率超过30%;建成5个省部级及以上数据安全重点实验室，攻关一批数据安全重点技术和产品;打造8个以上重点行业领域典型应用示范场景，推广一批优秀解决方案和试点示范案例;建成3-5个国家数据安全产业园、10个创新应用先进示范区，培育若干具有国际竞争力的龙头骨干企业、单项冠军企业和专精特新“小巨人”企业等具体量化指标。2.2 市场表现低于预期，内耗严重,创新不足，数据安全需求没有得到释放在政策红利的推动下2023年数据安全产业的市场表现却明显低于预期。据赛迪研究院发布的中国数据安全防护与治理市场研究报告（2023），2023年数据安全防控与治理市场规模达到146.4亿元，增速为23.8%左右，明显低于30%+的预期。其原因一方面是受到全球经济增速放缓的影响，另一方面是行业内耗严重，创新不足的表现，数据安全的真正需求并没有被挖掘和释放出来。ISC分析认为行业未来的发展要靠针对高需求用户的细分需求场景提供差异化的创新产品来实现突破。一个现实是我国数字化转型虽然已经取得瞩目成就，但是多数转型企业仍处于"上云用数赋智”三阶段的前两个阶段，对数据要素价值的认知和运用都处于较彳氐水平。由于对数据的价值缺少切实体会，保护数据安全的意识主要来自于政策要求和媒体宣传，从而导致数据安全工作往往会流于表面和形式，表现为合规导向、零散不系统。这种现状也助长了数据安全产品同质化严重、单点产品盛行，对整个行业的发展产生不利影响。从信通院数据安全推进计划的一项调研可以看到，企业购买最多的是"雌防泄漏工具"、"统一身份认证及权限管理工具“、馔陶曜”、“数据分类分级工具”等单点合规产品，就是这T啾的体现。从另一方面看，正是由于对企业的需求开发远远不足,数据安全企业通过创新实现快速的市场增长将存在巨大机会。数据安全需求侧数据安全工具技术应用情况来源：信通院”雌安毓进计划”2.3 围绕数据安全的人才和服务存在巨大需求企业对数据安全的另一个巨大需求是对人才和服务的需求。由于数据安全是一个体系化的工程，需要专业人才、产品技术和制度流程全面配合运转才能达到目标效果。而其中起主导作用的必然是专业人才，而由于数据安全本身的复杂性对人才的综合能力提出了很高的要求，目前数据安全人才非常稀缺。因此，对数据安全人才的培训服务以及数据安全咨询、评估、托管等各类服务将会迎来可以预见的高速增长。这一点在信通院的数据安全推进计划调研数据中也有所体现。数据安全需求侧未来一年数据安全重点工作任务数据安全技术创新热点和未来趋势3I数据安全技术创新热点数据安全行业的发展趋势表明未来的增长将更多的基于对用户需求的开发和释放。众所周知，目前以及未来勒索攻击都将是数据安全最大的威胁，而对勒索攻击亡羊补牢远不如防患未然，最好的防御就是事前防御。因此事前的数据安全风险识别、风险评估、态势感知、安全服务边缘、安全治理类产品会很有市场。另一方面，打通数据壁垒，推动数据要素能够安全的共享、流通、使用是另一个重要需求。因此，隐私计算、同态加密、数据合成等技术将会有更多的应用场景和空间。最后，系统化、平台化集成各种成熟单点技术、管理流程，减少内部复杂性，提高效率的数据安全平台类产品将会逐步取倬®有的分散的单点产品。根据2023年Gartner2023年数据安全技术成熟度曲线，以上技术方向均被评为变革性或高价值的创新技术方向，是目前数据安全创新的主风向。PtataauwbemchtdQn>-Sr>ZoR>yn，QBaDlMrtatoIelMaaUGartner3.1 数据安全态势管理(DSPM)3.1.1 :数据安全态势管理(DSPM)通过对本地和云上数据资产进行全面测绘、分级分类、风险评估和漏洞修复为组织构建数据风险评估(DRA)和数据安全治理(DSG)策略实施评估的基础平台。数据安全态势管理(DSPM)的两大特色一是发现组织本地和云上以前未知的数据，二是通过可视化技术展现数据分布和流转，帮助运营人员直观了解数据安全态势和面临风险。3.1.2 需求痛点和解决方案：随着数据在云中激增和流转，导致大量中间数据的位置和内容未知、未被发现或未被识别，安全风险成倍增加。因此分析这些“影子"数据的敏感性、来龙去脉、基础设施配置和访问权限成为必思DSPM通过创建和分析数据图和数据流来识别数据位置和用户对数据的访问，跟踪发现这些“影子"数据，并将这些“影子"辘及时纳入整体黝酸全治理策略中，这使得组织能够减轻来自“影子"数居的安全风险。DSPM的创新点主要体现在其对数据安全管理领域的全新方法和技术的应用，能够跨云服务平台和地理边界对数据进行深入的发现、分类及风险识别。这些创新点具体包括：自动化的数据发现与分类技术：DSPM使用先进的算法自动识别和分类存储在各种环境中的数据，包括未结构化数据，大大减少了手动操作的需要。深度的数据流分析和可视化：通过对数据流进行深入的分析和可视化，DSPM帮助企业理解数据的流动路径，识别潜在的安全风险点。综合的风险评估框架：结合数据分类和数据流分析的结果，DSPM提供一个综合的风险评估框架，使得企业能够基于数据的实际使用情况来评估风险。智能化的安全策略推荐与执行：基于对数据和风险的分析，DSPM能够推荐合适的安全策略，并协助企业执行这些策略，以保护敏感数据免受威胁。跨平台的数据安全管理能力：DSPM支持跨多个云服务和本地环境的数据安全管理,为企业提供了一个统一的数据安全解决方案，简化了跨平台数据安全管理的复杂性。通过这些创新点，DSPM在数据安全保护方面获得以下优势：提升数据的可见性和透明度：通过自动化的数据发现和分类，企业能够获得对其数据资产的全面了解，包括数据的存储位置、类型以及相关的风险。加强健保护：DSPM提供的风险评估工具和安全策略帮助企业有效防范数据泄露和滥用。支持跨平台数据安全菅理：无论数据存储在哪个平台或地理位置，DSPM都能提供统一的数据安全管理，从而减少管理复杂性和成本。促进合规性：通过自动化的监控和报告功能，DSPM帮助企业轻松应对数据保护法规的要求，减少合规J×lfSo强化安全态势：通过提供数据流的实时视图和安全警报，DSPM使企业能够快速响应潜在的安全威胁，增强整体安全态势。DSPM通过其创新的技术手段和方法为数据安全和隐私保护提供了一个全面、高效和可靠的解决方案。企业通过实施DSPM,不仅能够加强对敏感和关键数据的保护，还能提高合规性，优化数据管理流程，最终建立一个更加安全和可信的数据环境。3.1.3 技术发展的驱动因素和阻碍因素：驱动一：不可忽视的未知风险切实存在。由于数据在本地和多云之间使用和流动，产生大量未被发现或无法识别的影子数据,这些影子健会因其地理位置或配置错误或不适当的用户访问权限而产生风险。驱动二：组织需要建立数据资产和数据流转的动态、全局视角。为了实现多源数据分析安全，组织需要掌握跨数据格式、跨终端的全局峰状态和流转过程。驱动三：组织需要更高效、有效的实现全局数据安全风险评估和数据安全治理。通过建立数据资产和数据流转的动态、全局视角，组织有能力识别数据安全漏洞和不当暴露，结合其他技术事前阻断恶意攻击和风险操作，保护嘘免遭泄露。阻碍：DSPM产品与其他厂商的数据安全产品集成或协同时会遇到兼容问题。对现有数据安全产品的替换会增力昉戈本。3.1.4 客户建议首先应从组织的整体DSG策略出发，选择功能对组织DSG策略支持力度最大的DSPM产品。其次要比较DSPM产品查找影子数据的能力以及创建全局、动态数据图谱的能力。最后，要考虑和其他安全产品集成的兼容性。3.2 数据风险评估(DRA)3.2.1 三54：数据风险评估(DRA)是对组织内数据安全现状的全面认识，通过审直组织数据安全治理策略的实施情况，识别因不当访问、数据驻留、合规性、敏感信息泄露等造成的数据安全风险。3.2.2 需求痛点和解决方案：组织一直在收集、存储和使用越来越多的数据，这些数据不仅在本地存储和流通，而且扩展到许多云位置。在当前数据的爆炸式增长和流转的情况下，组织很难保持对所有数据存储和流转的可见性，从而导致对拥有哪些数据及其存储位置、流转路径缺乏全面了解。这种可见性的缺乏给组织带来了巨大的风险，导致组织无法充分保护敏感信息、保证数据使用合规和避免数据泄露。因此，组织必须优先考虑数据资产的风险管理工作，以确保数据的可见性并保护其免受潜在威胁。数据风险评估可识别潜在的数据敏感性、完整性和可用性风险并确定其优先级。通过将评估作为数据风险管理流程的一部分，组织可以更好地了解其面临的风险、实施适当的安全控制并遵守数据保护法规。数据风险评估对于任何数据安全策略都是至关重要的，并且应该定期执行以确保持续的风险管理。风险评te可以：.降氐具有财务影响的业务风险。基于组织的风险偏好对不同数据风险的优先级进行排序。根据预算和对业务的影响，按照风险优先级排序，明确每种风险要降低到什么程度。优先级通常侧重于对业务的经济影响，以便决定安全预算应该有多大。1.1.3 技术发展的驱动因素和阻碍因素驱动一：数据风险评估是组织成功实施数据安全治理(DSG)基础。组织的数据安全治理要基于数据风险评估制定数据安全策略并监测实施结果。驱动二：企业对紧密结合业务活动和需求的数据风险评估需求强烈，因为可以通过风险评估降低数据业务决策风险，并动态跟踪决策后的风险变化，最终使得整个决策流程风险可控，为业务运行安全提供保障。驱动三：可视化的数据测绘技术的发展如数据安全态势管理(DSPM)等，为数据存储和流动提供了直观的分析结果，有力的提升了数据风险评估的全面性和准确性。障碍：从组织管理层面数据风险评估需要调用组织所有的数据资源，包括数据集、数据流、用户账户等,如果得不到高层支持，将无法实施。从技术层面,目前组织部署的单点数据安全产品在互通和集成方面困难重重，无法整合形成整体视角。1.1.4 客户建议首先建议部翻据安全态势管理(DSPM)平台,使用统一的标准和工具对数据进行分级分类，为每个项目创建数据地图和风险分析，并制定数据安全策略。其次，要深入理解业务流程，分析每个业务项目如何处理数据、成果和风险，以业务的语言建立和传达数据风险，以便业务人员可以迅速理解和判断风险水平。3.3 数据安全治理(DSG)3.3.1 定义:数据安全治理(DSG)是基于数据安全风险评估结果建立适合组织的数据安全策略，所建立的策略应能在保障安全的前提下最大化的支持业务运行，平衡好业务在发展与安全两方面的需求。3.3.2 需求痛点和解决方案：随着数据在本地和多云架构中激增，组织的数据安全问题变得复杂，过度的安全策略会阻碍数据业务的发展，而弱安全策略则会带来安全、隐私和其他合规性问题。因此，数据安全治理(DS的目标是通过可应用于整个IT架构的数据安全策略，在业务优先级和风险控制之间寻找和建立最优平衡。数据安全治理(DS提供了一种平衡的方法来定义数据的访问和使用方式，以支持业务绩效目标和客户体验，同时实施适当的数据安全和隐私控制以降低风险。DSG要求首席信息安全官(CIS。)、首席数据和分析官(CDAO)以及业务领导者通过专门的组织例如数据安全指导委员会(DSSC)进行协作。这将有助于打破沟通障碍并有助于取得业务成果。3.3.3 技术发展的驱动因素和阻碍因素驱动：以数据要素作为业务驱动的组织，时刻会产生新的数据触和使用，必须使用DSG作为一个连续流程来管理、评估业务风险并确定业务风险的优先级，并创建可以减轻这些风险的有针对性的数据安全策略。例如在跨数据集场景、跨访问身份场景和跨多个安全产品场景，都需要站在全局视角组合实施一致的数据访问权限进行安全控制。障碍：目前，大多数组织对数据的使用和管理分散，对数据安全产品、身份认证管理产品和数据分析产品的管理分散，同时数据安全产品、身份认证管理产品和数据分析产品之间也存在互不相通的问题，导致无法站在全局的角度部署统一的数据安全策略3.3.4 客户建议DSG属于顶层设计，应在组织架构、技术产品两方面做出能够统管全局业务数据的设计，站在组织全局的角度根据业务风险评估结果创建和管理一致的数据安全策略。具体来讲就是在组织架构层面要确保CDAO和QSo之间的合作与协作，以减少评估数据管理和安全性时的冗余和浪费。在技术产品层面确保在数据安全、IAM和应用程序管理产品中应用统一的数据安全策略来管理对每个数据集的交互访问。3.4 安全服务边缘(SSE)3.4.1 皿:安全服务边缘(SSE)定位于保护对Web、云服务和内部应用程序的访问安全，功能包括自适应访问控制、数据安全、安全事件可见性和处置、高级威胁防御以及基于网络和APl的集成访问控制。SSE主要作为基于云的服务提供，也支持本地部署。3.4.2 需求痛点和解决方案随着数字化转型的深入，组织内远程办公、混合工作模式，以及云服务等的广泛采用正在成为常态。SSE的目标是在访问网络、云服务和私有应用程序时实施安全策略，确保组织在业务上云以及多云组合的复杂网络架构下远程工作的安全性。SSE产品融合安全Web网关SWG、云访问安全代理CASB和零信任网络访问ZTNA)等网络安全功能，以降醺杂性并改善用户体验。3.4.3 技术发展的驱动因素和阻碍因素驱动：组织需要保护分布式、分散式且需要安全远程访问的用户、应用程序和企业数据。业务上云已经是多数组织的数字化现状，因此SSE主要基于业务上云的特点为组织提供可灵活设置的安全策略，包括针对SaaS类应用的数据防泄漏(D1.P)、针对所有数据访问渠道的敏感数据检查和恶意软件检有等。此外，SSE允许组织精准监测每个用户的数据访问流量以及实施基于身份和上下文的态势感知。最后SSE包含的丰富功能，可以替代原有的多个单点产品，降低运营复杂性，提升效率。障碍：首先，SSE产品融合安全Web网关SWG、云访问安全代理CASB和零信任网络访问ZTNA)等网络安全功能，但在各方面技术能力都突出的安全厂商比较少，导致集成后的产品某方面的功能可能存在短板。其次，由于以云为中心，SSE通常在满足内部防火墙等本地控制支持的所有需求。最后，一些供应商不太关注SaaS安全性和集成。然而,企业越来越需要这种可见性和保护。3.4.4 客户建议以ZTNA为SSE最重要的核心功能，再根据SSE融合的其他功能的实测表现逐步取代SWG、CASB和VPN等单点产品。3.5 同态加密(HE)3.5.1 定义:同态加密(HE)是使