2024数据安全技术创新发展报告
AI智能总结
2024 数据安全技术创新发展报告 关于ISC ISC成立于2013年,是国内唯一专注为数字安全行业赋能的平台。打造集会展服务、咨询服务、媒体服务、生态创投、安全课、红客社区、生态联盟、产业导入“八维一体”的生态模式,全面赋能国家、政府、行业、企业、个人。过去10年,ISC秉承创新引领、智慧洞察、专业高效的宗旨,创办了亚太地区乃至当今世界规格高、辐射广、影响力深远的全球性安全峰会——互联网安全大会,树立了中国网络安全产业名片。 版权声明 本报告版权属于ISC,任何组织、个人未经授权,不得转载、更改或者以任何方式传送、复印、派发该报告内容,违者将依法追究法律责任。转载或引用本报告内容需要注明来源,同时不得进行如下活动: ·不得擅自同意他人转载、引用本报告内容。 ·不得引用本报告进行商业活动或商业炒作。 ·本报告中的信息及观点仅供参考,ISC对本报告拥有最终解释权。 专I家I寄I语 就我自身的观点而言,我认为本报告最具价值的内容是第三章--数据安全技术创新热点及趋势。在此部分内容中,报告列举了最受产业界关注的主流数据安全技术,并各自对多种细分场景的驱动力,需求点,甚至是实现障碍都做出了“言之有物,且行之有效”的实践洞察,同时还给出了相应的解决方案。推荐业内同行,以及广大关注数据安全的人士阅读。 ————数世咨询创始人李少鹏 随着数字经济的快速发展,数据成为重要的生产要素,数据安全面临较为严峻的态势,数据安全市场迎来较大机遇。未来,在数字化浪潮的推动下,数据安全市场将与组织的业务场景紧密结合,构建以数据流转为视角的数据全生命周期防护体系。我国数据安全防护与治理产品正在加速与新兴技术融合,不断向新兴领域拓展渗透,越来越注重平台化、运营化的体系建设,逐步形成从事后向事中、事前转变的完整的数据安全防护思路。ISC本次报告中对数据安全态势管理、数据风险评估、数据安全治理等数据安全技术创新热点的介绍反映了这一趋势。此外,报告中丰富的案例相信会对关注数据安全前沿实践的从业者有所裨益。 ————赛迪顾问总裁助理、软件与信息服务业研究中心总经理高丹 数据作为新质生产要素,是驱动新质生产力的主要原材料。数据安全成为关乎国家安全与社会经济发展的重大问题。随着网络空间安全、人工智能和大模型技术的快速发展,自身技术突破及新质生产力用户新需求双轮驱动数据安全不断创新发展。该报告从数据安全合规内生需求出发,回顾了我国数据安全行业发展现状,梳理了数据安全态势管理等六个技术创新热点,提出与大语言模型(LLM)结合是数据安全技术创新趋势。选取了六个数据安全技术实践案例进行总结分析,包括案例背景、关键挑战、解决方案、创新与优势、应用效果、经验总结等内容。该报告内容详实、数据来源可靠,对我国数据安全行业相关人员具有较高的参考价值。 ————北京科技大学计算机与通信工程学院教授博导中国计算机学会高级会员、中国计算机学会计算机安全专委会执行委员陈红松 国家数据局的成立以及《“数据要素X”三年行动计划(2024-2026)》的发布,意味着构建以数据为关键要素的数字经济,是推动高质量发展的必然要求。在这一过程中,数据安全技术的创新与应用是保证数据要素价值发挥的必备条件。 要实现要素价值发挥,一是要进行数据资产测绘、合规治理等活动确保数据可用性;二是需要确保数据访问、数据计算的安全确保机密性;三是需要数据存储的安全性,避免数据泄露、损坏。 本报告,从未来数据安全技术趋势出发,围绕数据安全使用为核心,分析技术趋势,对于未来数据安全技术的发展,具有一定的参考价值。 ————华为中国区产业发展专家刘鑫 由于数据安全应用场景的复杂性对数据安全行业从业人员的综合能力提出了很高的要求,而且需要一定的行业经验,数据安全行业对高水平的数据安全人才的需求非常迫切。我们应该充分发挥科技创新的举国体制优势,由政府相关部门出面组织,数据安全行业企业打破壁垒,贡献积累的历史数据,借助现有的人工智能技术,结合数据安全行业企业多年积累的数据和经验,有望训练出一个有问必答的数据安全行业的专家型机器人,从而降低数据安全企业的人才培养费用。 ————北京亿赛通科技发展有限公司研究院院长梁金千 前言 中美对抗、俄乌冲突、以哈战争…,今天,大国竞争和地缘冲突愈演愈烈导致逆全球化格局的逐渐形成,此前好不容易建立的网络空间国际合作治理已经遭到严重破坏,这给了网络犯罪前所未有的发展空间。有关机构预计2023年网络犯罪将给全世界造成8万亿美元的损失,这相当于全球网络安全收入的40倍。我之砒霜,汝之蜜糖。巨大的经济利益激发了黑客无比的创新热情,在层出不穷的安全事件中,我们可以看到大语言模型、AI深度伪造、CaaS平台等前沿技术的身影,平台化服务已经使得网络犯罪不再有技术门槛,向分工化、分散化、规模化的方向狂奔。既有精准狙击,也有无差别扫射,政府和企业的数字化转型和生存真正成为了一个塔防游戏,安全底座不牢,开局就是终局。 至暗时刻也许就要到来,而被寄予守护世界厚望的网络安全行业则处于发展的寒冬。2023年国内26家上市网络安全企业有3/4处于亏损状态,前3季度的融资率同比下降超过50%,“供给质量不高,需求释放不够,产融合作不深,人才队伍不足”四大痛点未见好转,就像痛风,在大环境的寒气下,让整个行业更加疼痛了。何时能够在合规产品的同质化红海里停止厮杀?何时能够共同直面和解决强大对手不断制造的新问题?只有创新才能对抗创新!这是ISC平台上下求索和苦苦等待的。勿以善小而不为,行业在创新上迈出的每一小步都是ISC平台不会错过的。我们会通过技术创新系列报告的形式,告诉同行们,这个方向有人还在攀登。本期 《2024数据安全技术创新发展报告》主要介绍了数据安全政策、行业、技术的最新发展,基于目前的浅见,我们认为政策法规监管要求和外部威胁引发的内生需求是推动数据安全行业和技术创新发展的核心力量。数据安全行业政策红利明显,但市场表现低于预期,内耗严重,创新不足是主要原因。数据安全行业未来的增长将更多的依赖创新,通过解决更多场景的问题对用户的需求进行开发和释放。数据安全风险识别、推动数据要素安全共享以及平台化集成各种成熟单点技术是目前数据安全技术创新的主风向。此外,随着人工智能大模型的横空出世,大模型在数据安全领域的应用正变得越来越普遍,与大语言模型(LLM)的结合是未来数据安全技术创新的必然趋势。最后,本报告中详细收录了6个数据安全创新技术的最佳实践,相信这些实践经验会对行业同类项目的实施有所裨益。 梅花香自苦寒来,没有“知其不可而为之”的精神,今天的世界谁还会坚守网络安全?而今天世界的“为之”是为了交给明天一个更好的世界。 ISC平台与你同行 2023.12 主要结论 随着我国新质生产力的高速发展,数据要素正在成为核心生产要素,数据安全倍受关注,行业进入快速发展期,国家合规监管要求和外部威胁引发的组织内生需求是推动数据安全行业和技术创新发展的核心力量。一方面数据安全被纳入总体国家安全观,进行顶层设计和合规监管,这是由国际竞争安全形势和国家发展战略所决定的;另一方面,国内外数字安全环境日趋恶劣,针对高价值数据的勒索攻击日渐猖獗,不断威胁各领域的机构运营,数据安全成为运营安全的内生需求。 数据安全行业政策红利明显,但市场表现低于预期,场景挖掘不够充分,人才和创新不足是主要原因。数字经济的运行中,数据安全工作需要围绕核心业务数据的流动来开展,要根据具体的业务场景和数据安全生命周期各环节的要求,配置相应的安全策略及安全工具,设计最佳数据安全解决方案。由于各行业的业务场景复杂而且繁多,现阶段紧密贴合业务的数据安全需求没有得到充分挖掘和释放,具体表现为数据安全产品场景少、同质化严重、成熟度不高、单点产品盛行等。除产品以外,数据安全的人才和服务亦存在巨大的缺口,阻碍了行业的高速发展。 数据安全行业未来的增长将更多的依赖创新,通过解决更多业务场景的问题对用户的需求进行开发和释放。数据安全与业务场景紧密结合,就必须以数据流转为视角构建数据全生命周期的防护体系,因为只有实现高效安全的数据流转才能创造数字经济价值。勒索攻击是当前及未来数据安全最大的威胁,而对勒索攻击亡羊补牢不如防患未然。因此事前的数据安全风险识别、风险评估、态势感知、安全服务边缘、安全治理类产品会很有市场,这些产品是数据安全防护体系逐步从事后向事中、事前转变的重要支撑。另一方面,打通数据壁垒,推动数据要素能够高效安全的共享、流通、使用是另一个重要需求。因此,隐私计算、同态加密、数据合成等技术将会有更多的应用场景和空间。最后,系统化、平台化集成各种成熟单点技术、管理流程,减少内部复杂性,提高运营效率的数据安全管控平台类产品将会逐步取代现有的分散的单点产品,成为政企用户数据安全管理的重要基础设施。以上场景构成了当前数据安全技术创新的主风向。 此外,随着人工智能大模型的横空出世,大模型在数据安全领域的应用正变得越来越普遍,在威胁检测和响应、安全运营自动化、欺诈检测、数据泄露和隐私保护、智能合约和区块链安全、安全智能体(AIAgent)等场景的应用纷纷涌现,赋能提升数据安全态势感知、风险研判等能力水平。尤其是安全智能体,承接了安全大模型“知”的能力,和各类安全工具“行”的能力,能够对安全任务进行记忆、分析、规划和行动,同时能够运用自然语言与安全运营人员进行交流、协同。可以肯定,安全智能体将在安全运营自动化和安全人员互动培训等场景发挥核心作用,大幅提升运营效率和降低培训、沟通成本,为高效完成海量安全运营工作,有效弥补安全运营人力不足带来希望。因此,与大语言模型(LLM)的结合将是未来数据安全技术创新的必然趋势,并有望给行业带来真正的变革。 目录CONTENTS 一、数据安全发展的驱动力量 1.1我国已逐步完成数据安全顶层设计,基本建成政策法规监管体系02 1.2数字化生存环境威胁之下,数据安全成为机构运营安全的内生需求08 二、数据安全行业发展现状 2.1政策红利明显,为数据安全产业发展制定出明确的量化指标12 2.2市场表现低于预期,内耗严重,创新不足,数据安全需求没有得到释放12 2.3围绕数据安全的人才和服务存在巨大需求13 三、数据安全技术创新热点和未来趋势 3.1数据安全态势管理(DSPM)15 3.2数据风险评估(DRA)17 3.3数据安全治理(DSG)18 3.4安全服务边缘(SSE)19 3.5同态加密(HE)20 3.6数据合成22 3.7与大语言模型(LLM)结合是未来趋势23 四、数据安全技术的最佳实践 4.1360数字安全:XX头部国有股份制银行数据安全平台建设项目26 4.2炼石:基于免改造数据安全技术的工业领域数据安全保护方案34 4.3美创科技:某“双一流”高校的数据安全治理实践之路43 4.4东方通网信:电信行业数智一体化数据安全管控产品解决方案48 4.5数安行:证券信息系统数据安全计算与安全计量项目53 4.6一知安全:XX头部汽车制造商终端全场景数据安全防护系统建设项目57 01 数据安全发展的驱动力量 1I数据安全发展的驱动力量 2022年我国数字经济规模达50.2万亿元,占国内生产总值比重提升至41.5%位居全球第二,彰显我国高度重视数字经济发展,持续促进数字技术和实体经济深度融合,协同推进数字产业化和产业数字化,加快建设网络强国、数字中国,已取得的突出成就。 根据IDC最新发布的GlobalDataSphere2023报告显示,我国数据量规模将从2022年的23.88ZB增长至2027年的76.6ZB,年均增长速度CAGR达到26.3%,为全球第一,政府、媒体、专业服务、零售、医疗、金融为主要数据产生的领域。在《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》等政策的持续推动下,“数据要素”概念逐渐成形,强调对数据信息的价值开发、产业赋能和流通利用。数据作为新质生产要素,是驱动新质生产力的主要原材料,是数字化、网络化、智能化的基础,已快速融入生
