近日，聯(lián)軟科技深度參編的《數據安全產(chǎn)品與服務(wù)觀(guān)察報告》正式發(fā)布，聯(lián)軟科技再添行業(yè)成果！這份備受關(guān)注的報告包含哪些核心觀(guān)點(diǎn)？馬上揭曉！

為深化調研我國數據安全產(chǎn)品與服務(wù)市場(chǎng)現狀，2022年數據安全推進(jìn)計劃面向116家數據安全產(chǎn)品、服務(wù)的供應商，開(kāi)展兩輪調研，共計覆蓋了488項產(chǎn)品與服務(wù)。2023年，數據安全推進(jìn)計劃依托圖譜調研工作與五十家廠(chǎng)商企業(yè)專(zhuān)家進(jìn)行了積極探索與研討，形成《數據安全產(chǎn)品與服務(wù)觀(guān)察報告》，并提煉了十項觀(guān)察。

觀(guān)點(diǎn)1  智能化浪潮來(lái)臨：數據安全產(chǎn)品技術(shù)升級

2023年，微軟提出“AI安全副駕駛”，認為人工智能能夠利用安全模型收集有關(guān)潛在威脅，追蹤攻擊風(fēng)險。我們觀(guān)察到，人工智能技術(shù)的應用本質(zhì)上也反映了從靜到動(dòng)的安全防護策略轉變，能夠提升數據分類(lèi)分級產(chǎn)品技術(shù)的準確性及工作效能、數據安全風(fēng)險監測技術(shù)的自動(dòng)化響應能力，驅動(dòng)數據安全向智能化、高效化、精準化方向演進(jìn)。

同時(shí)，我們也應正視人工智能技術(shù)應用帶來(lái)的全新的數據安全威脅。人工智能技術(shù)應用在降低了攻擊技術(shù)門(mén)檻的同時(shí)，其自身存在的以數據污染、泄露、濫用為代表的安全威脅也將導致攻防態(tài)勢愈發(fā)激烈，這也對廠(chǎng)商及產(chǎn)品帶來(lái)更大的考驗。

觀(guān)點(diǎn)2  新技術(shù)：深刻影響數據安全產(chǎn)品發(fā)展

隱私計算：我們發(fā)現，在政策紅利和安全需求的雙重驅動(dòng)下，隱私計算從落地初期驗證階段進(jìn)入加速落地階段，現已廣泛應用于多個(gè)行業(yè)及典型場(chǎng)景。然而，盡管隱私計算“可用不可見(jiàn)”一定程度上解決了數據使用中的安全問(wèn)題，但在規?；瘧眠^(guò)程中依然面臨安全與性能平衡、通用解決方案難以應對復雜場(chǎng)景、互聯(lián)互通阻礙這三大挑戰。以上問(wèn)題無(wú)法依靠廠(chǎng)商解決，亟需產(chǎn)業(yè)多方合力攻克。目前中國信通院聯(lián)合多家主流隱私計算廠(chǎng)商建立“隱私計算聯(lián)盟互聯(lián)互通推進(jìn)計劃”，探索異構隱私計算平臺間的互聯(lián)互通，邁進(jìn)“織點(diǎn)成網(wǎng)”、協(xié)同推進(jìn)的新階段。

量子計算：量子計算機具備在短時(shí)間內破解大規模的基于公鑰密碼的加密算法的能力。這意味著(zhù)依托于傳統加密方法的數據安全產(chǎn)品需要更強的加密機制，以應對攻擊勒索態(tài)勢。我們觀(guān)察到，量子加密技術(shù)能夠為數據安全產(chǎn)品提供更高強度的加密處理能力，并持續提供高性能的并發(fā)處理支撐，未來(lái)或將成為數據安全產(chǎn)品的必要組成部分。然而，由于技術(shù)應用成本高，當前落地應用仍面臨挑戰。

區塊鏈在數據權屬主體確認、數據流通追蹤溯源等方面發(fā)揮重要作用，一定程度上解決了數據交換的過(guò)程中面臨的所有權界定問(wèn)題。但我們同樣發(fā)現，區塊鏈自身存在的安全問(wèn)題也逐漸顯現，且由于區塊鏈節點(diǎn)無(wú)法避免實(shí)體干預，如何最小程度避免人為因素擾動(dòng)，保障數據在上鏈前與鏈下存儲的安全可信，將是區塊鏈與數據安全融合亟需考慮的重要問(wèn)題。

觀(guān)點(diǎn)3  第三方評測：“以評促建”創(chuàng )造廠(chǎng)商新優(yōu)勢

第三方評測能夠打破供需信息壁壘，提供向用戶(hù)充分展示廠(chǎng)商產(chǎn)品的優(yōu)勢與特色的途徑，助力供需適配。我們發(fā)現，25.8%的廠(chǎng)商主動(dòng)參與過(guò)數據安全產(chǎn)品與服務(wù)相關(guān)的評測，過(guò)測產(chǎn)品在營(yíng)收上表現相對突出，且行業(yè)應用案例較多。

我們認為，第三方評測一定程度上能夠拉通對齊供需雙側認知，為需求側解決對產(chǎn)品、服務(wù)的疑惑，推動(dòng)服務(wù)機構持續完善產(chǎn)品、服務(wù)質(zhì)量，助力培育良好的行業(yè)生態(tài)。未來(lái)，第三方評測機構完善自身資質(zhì)、保持獨立性的同時(shí)，亟需完善評估評測體系，與參評廠(chǎng)商充分互動(dòng)、發(fā)現問(wèn)題并探討解決良方，并持續公開(kāi)評測成果，保障評測結果在需求側的充分應用。

觀(guān)點(diǎn)4  安全檢查工具：供給難以滿(mǎn)足市場(chǎng)需求

在法規的推動(dòng)下，國外市場(chǎng)已逐步孵化了合規檢查產(chǎn)品相關(guān)廠(chǎng)商。國內多部門(mén)、多角度、高密度的監管要求也使檢查工具得到更多用戶(hù)關(guān)注。然而我們也觀(guān)察到，數據安全檢查工具依賴(lài)明確的檢查輸入，受限于監管合規體系龐雜、缺少可被工具解析的檢查標準，目前僅18.1%的廠(chǎng)商提供安全檢查工具，工具僅在輸入相對明確的場(chǎng)景下得以應用。此外，數據安全檢查工具在檢查維度、精度上同樣面臨技術(shù)挑戰。一是合規輸入兼容挑戰。二是大規模數據分析能力挑戰。因此我們認為，未來(lái)，這類(lèi)工具將基于更加明確的監管要求、標準與新技術(shù)，持續提高檢測與分析的精度。

觀(guān)點(diǎn)5  數據防泄露：安全防護領(lǐng)域的重點(diǎn)產(chǎn)品

我們觀(guān)察到，隨著(zhù)全球數據泄露態(tài)勢嚴峻，數據防泄露產(chǎn)品市場(chǎng)需求持續走強，目前數據防泄露已成為組織數據安全防護的重點(diǎn)產(chǎn)品。而在供應側，我們發(fā)現，數據防泄露產(chǎn)品市場(chǎng)競爭激烈。大量廠(chǎng)商均在數據防泄露產(chǎn)品及解決方案上積極布局，在數據安全防護產(chǎn)品領(lǐng)域，46.4%的廠(chǎng)商向組織提供數據防泄露產(chǎn)品及解決方案，產(chǎn)品數量占防護類(lèi)產(chǎn)品的22.5%。

隨著(zhù)組織業(yè)務(wù)場(chǎng)景持續豐富、數據泄露威脅日益復雜，防護需求不斷個(gè)性化，數據防泄露產(chǎn)品能力持續升級，將持續適應復雜場(chǎng)景，從工具演進(jìn)成為綜合的解決方案，向用戶(hù)提供提供更高的敏感數據資產(chǎn)可見(jiàn)性、更場(chǎng)景化的安全策略、更靈活的安全控制能力。

觀(guān)點(diǎn)6  數據安全網(wǎng)關(guān)：產(chǎn)品形態(tài)缺乏統一共識

數據安全網(wǎng)關(guān)產(chǎn)品數量占安全防護類(lèi)產(chǎn)品總數的13.2%：基于不同的訪(fǎng)問(wèn)協(xié)議、部署環(huán)境以及數據對象，數據安全網(wǎng)關(guān)可以分為數據庫安全網(wǎng)關(guān)、應用數據安全網(wǎng)關(guān)等產(chǎn)品。我們認為，部署在何種層級直接影響數據安全網(wǎng)關(guān)所呈現出的產(chǎn)品形態(tài)，這或許是產(chǎn)品缺乏共識的首要原因。而且，由于銜接了不同安全策略，這也導致產(chǎn)品在具備更多樣化的安全能力的同時(shí)，功能界限也逐漸模糊。

盡管在訪(fǎng)問(wèn)協(xié)議、部署位置、數據對象上存在差異，我們認為，不同的數據安全網(wǎng)關(guān)仍應具備敏感資產(chǎn)識別、身份鑒別與訪(fǎng)問(wèn)控制、異常行為識別與分析的核心能力，實(shí)現面向數據提供細粒度訪(fǎng)問(wèn)控制及安全防護功能。未來(lái)，產(chǎn)品將持續擴大數據對象范圍，完善兼容能力，通過(guò)提供“可插拔”的架構，實(shí)現業(yè)務(wù)、數據以及安全能力的快速接入，避免對業(yè)務(wù)造成的訪(fǎng)問(wèn)性能下降、鏈路節點(diǎn)增加等風(fēng)險。

觀(guān)點(diǎn)7  數據風(fēng)險監測：站在“一體化”的“分岔路口”

數據風(fēng)險監測類(lèi)產(chǎn)品數量占產(chǎn)品總數的18%。產(chǎn)品通過(guò)對數據流轉過(guò)程中的關(guān)鍵要素進(jìn)行全方位監控與審計，全鏈路監測敏感數據的訪(fǎng)問(wèn)與使用情況，識別數據流動(dòng)安全風(fēng)險。

我們發(fā)現，數據風(fēng)險監測產(chǎn)品的價(jià)值體現在其聚焦數據與數據流向，重點(diǎn)關(guān)注如何保障組織數據日常操作的安全性、數據向低安全域流動(dòng)的場(chǎng)景下如何保障安全等問(wèn)題，這意味著(zhù)產(chǎn)品需要具備對接多類(lèi)型數據源的能力。未來(lái)，面對組織日益復雜的數據生態(tài)，監測產(chǎn)品的平臺化、一體化的趨勢已逐漸明確。而單點(diǎn)產(chǎn)品則也需要具備采集更多的安全設備信息的能力，并基于業(yè)內完善產(chǎn)品協(xié)作的要求與標準，降低產(chǎn)品應用成本。

觀(guān)點(diǎn)8  運營(yíng)管理平臺：“平臺化”趨勢下的熱門(mén)產(chǎn)品

組織具備大量的安全設備，然而，產(chǎn)品堆疊應用將造成數據安全運營(yíng)工作“斷點(diǎn)”，形成“能力孤島”，導致運營(yíng)效率低、成本高、成效小。數據安全運營(yíng)平臺成為打破“孤島”的關(guān)鍵。我們發(fā)現，21.6%的廠(chǎng)商向組織提供運營(yíng)管理平臺產(chǎn)品，提供統一的管理入口、全局一致的操作方式，實(shí)現對工具的能力編排、調度。

高業(yè)務(wù)耦合與持續運營(yíng)是數據安全運營(yíng)管理平臺的核心價(jià)值點(diǎn)。我們認為，為降低運營(yíng)成本，產(chǎn)品需要基于“持續運營(yíng)”的設計理念，通過(guò)數據資產(chǎn)梳理、數據合規管理、安全能力管理等功能，建立“協(xié)同管理”的能力，規避產(chǎn)品應用中的粗防護、弱聯(lián)動(dòng)、單視角等問(wèn)題。未來(lái)，運營(yíng)管理平臺需要契合業(yè)務(wù)場(chǎng)景，前置數據安全運營(yíng)工作的規劃環(huán)節，避免“拼盤(pán)式”運營(yíng)；二是要持續沉淀各行業(yè)典型業(yè)務(wù)模型，有效覆蓋關(guān)鍵業(yè)務(wù)節點(diǎn)，保障運營(yíng)效能、效率，走向全面、動(dòng)態(tài)的數據安全運營(yíng)管理。

觀(guān)點(diǎn)9  安全合規服務(wù)：咨詢(xún)與評估成為業(yè)內焦點(diǎn)

產(chǎn)業(yè)發(fā)展的指導意見(jiàn)強調壯大數據安全服務(wù)，可以預見(jiàn)數據安全合規服務(wù)市場(chǎng)發(fā)展將持續向好。服務(wù)需求量快速增長(cháng)。我們同樣觀(guān)察到，用戶(hù)對數據安全合規服務(wù)寄予厚望。組織開(kāi)展數據安全建設的目標是期望完善自身的數據安全合規體系，保障業(yè)務(wù)發(fā)展，因此對服務(wù)機構的經(jīng)驗、資質(zhì)方面的要求逐漸提升。

合規咨詢(xún)與評估的工作重點(diǎn)不同，服務(wù)形式也相輔相成。合規咨詢(xún)側重于提供可落地的數據安全建設或整改方案，關(guān)注數據安全合規遵從能力提升；合規評估則主要評估組織是否滿(mǎn)足特定合規要求。

我們認為，未來(lái)，檢測工具發(fā)展完善，合規評估將逐步從“純人工、周期式”走向“半自動(dòng)、常態(tài)化”服務(wù)模式。而咨詢(xún)則要求服務(wù)機構不僅懂合規、懂安全，還要懂業(yè)務(wù)，并持續服務(wù)前期規劃、中期實(shí)施以及后期運營(yíng)的規范性與質(zhì)量。

觀(guān)點(diǎn)10  分類(lèi)分級服務(wù)：逐漸演變?yōu)楠毩⒎?wù)品類(lèi)

數據分類(lèi)分級在數據安全治理中起到承上啟下的“抓手”作用，并已成為一項數據安全服務(wù)。我們觀(guān)察到，12.9%的廠(chǎng)商向用戶(hù)提供了數據分類(lèi)分級服務(wù)，而專(zhuān)業(yè)咨詢(xún)是數據分類(lèi)分級服務(wù)的首要增值點(diǎn)。用戶(hù)更加關(guān)注數據分類(lèi)分級服務(wù)能否為常態(tài)化運營(yíng)工作貢獻價(jià)值。因此，我們認為服務(wù)機構應持續完善服務(wù)流程，輔助用戶(hù)建立數據分類(lèi)分級“規劃-實(shí)施-運營(yíng)”的閉環(huán)管理機制，實(shí)現新增或變更下的動(dòng)態(tài)調整。同時(shí)，通過(guò)提升數據分類(lèi)分級工具的性能、效率與精度，提供更高質(zhì)量的數據分類(lèi)分級解決方案。