【摘要】本文通过专家访谈、文献报告分析等方法,从政策与行业、技术发展等维度总结出数据安全发展的八大趋势。从政策与行业来看,随着国家政策的陆续出台,政府和企业的数据安全治理工作将日益常态化,行业信创、金融、医疗、公共服务等行业以及企业出海等场景都将迎来需求爆发;从技术发展来看,AI、大模型将与数据安全更加深度结合,数据全生命周期的安全管理和边-端-云一体化的全场景覆盖的安全技术将备受关注,隐私计算不断成熟并广泛应用。未来,数据安全将成为“新型数字基础设施”,有效赋能“新质生产力”。
一、背景
数据要素作为一种新型生产要素,已成为推动数字经济高质量发展的核心引擎。近年来,我国陆续出台《网络安全法》、《数据安全法》、《个人信息保护法》等法规,以及《关于构建数据基础制度更好发挥数据要素作用的意见》等政策文件,支持推动数据要素市场的健康快速发展。2024年1月,国家数据局等17部门联合印发《“数据要素×”三年行动计划(2024—2026年)》(简称《行动计划》),旨在发挥数据要素的放大、叠加、倍增作用,构建以数据为关键要素的数字经济,全文共出现10次“数据安全”、5次“数据流通”、3次“可信”,体现出对数据安全及流通保障的高度重视。
根据中国信通院、IDC等机构的相关数据:2021-2025年,我国数据安全的市场规模呈现快速增长态势,预计到2025年,市场规模有望超过200亿元,年复合增长率超过30%,在整体网络安全市场中的占比将达到13%。随着数据量的急剧增长和数据流动性的不断提升,我国正成为全球重要的数据安全市场,数据安全的重要性日益凸显。
图1 我国数据安全市场规模
二、研究方法
本文基于政策环境、产业界、学术界等多元视角,搜集整理关于数据安全发展趋势的媒体报道、产业报告、核心学术期刊文献等资料;此外,笔者团队还通过一对一的方式与多位行业专家进行深度访谈,探讨数据安全未来的发展趋势。
从15篇数据安全发展趋势的媒体报道、产业报告的词云图来看,产业界更多关注“个人信息、人工智能、产业发展、信息安全、公共数据”等内容,如图2所示;而从中国知网以“数据安全 数据治理”等作为关键词选取的20篇核心学术期刊文献的词云图来看,学术界更关注“数据治理、数据主权、数据责任、数据泄露、数据监管”等内容,如图3所示。
图2 产业媒体报道词云图(产业视角)
图3 中国知网核心期刊文献词云图(学术视角)
三、八大发展趋势
本文从政策与行业(如图4中橙色标注)、技术发展(蓝色标注)等维度梳理出数据安全的八大发展趋势,简要分析阐述如下。
图4 数据安全八大发展趋势
01各地数据局陆续成立,政企联动,推动数据要素与行业的深度融合
随着数据要素时代的到来,数据已成为个人、企业组织乃至国家的重要资产。2023年10月,国家数据局正式成立;2024年新年伊始,已有20多个省、市、自治区成立了省级数据局,在省域内发挥总体布局、统筹协调和整体推进的关键作用。未来,预计将有更多数据局及数据运营集团成立,逐步完善形成省、市、县级三级联动机制,形成全国一盘棋、一张网的布局,各地机构改革与中央层面主动对齐,有利于自上而下快速落实政令。此外,也将进一步加强数据局与其他委办局的资源协调,激励相关各方参与数据治理,为数据要素流通利用提供基础性制度保障,推动数据要素与各行各业的深度融合。
在数字化转型加速、远程办公需求增加、数据安全事件激增等多重因素推动下,企业对数据安全的重视程度明显提升,数据合规已成为企业的内生动力。2024年2月,工信部印发的《工业领域数据安全能力提升实施方案(2024-2026年)》中提出“到2026年底,开展数据分类分级保护的企业超4.5万家,至少覆盖年营收在各省(区、市)行业排名前10%的规上工业企业”。越来越多的央国企和其他单位正加大在数据安全领域的投入,加强对数据安全工作的重视,与政府主管部门形成配合联动,如建立数据安全或治理委员会、工作小组等组织机构,推动数据资产入表、数据治理等工作,确保业务数据的完整性、机密性和可用性,数据安全工作正日益走向常态化。
02行业信创需求爆发,数据安全信创生态建设加速
随着“数字中国”建设规划的推进,我国信创产业将按照国家的整体规划:在产品相对好用、生态比较成熟后,从党政信创拓展到“2+8+N”的行业大信创,重点包括金融、交通、医疗等8大关键行业。根据专业机构预测,到2025年底,央企网信安全和基础设施、经营管理类系统的国产化比例将从目前的30%提升至50%。未来几年将是信创产业高速扩张的关键时期,信创的边界将不断拓宽,央企、国企等单位在信创领域展开全面布局,并加快向更广泛的下游应用场景渗透。
信创生态产业链庞大复杂,上游以芯片、服务器等底层硬件及基础设施为支撑,中游聚焦操作系统、数据库等软件领域,下游则覆盖了更广泛的应用场景。通过应用驱动和产业培育,国产软硬件产品的综合能力不断提升。数据安全厂商应洞察市场的“信创”需求,首先从自身产品及相关集成组件出发,确保产品的国产原生性;其次,结合上下游产业链对信创软硬件架构进行兼容认证和有机整合,构建长期发展的扩展性,打造满足关键业务处理要求、全供应链合作共赢的信创生态圈;最终,帮助有信创需求的企事业单位从平台、网络、运营、服务等多个层面进行战略布局,结合产业场景,构建完善的数据安全纵深防护体系。
03金融、医疗、公共服务等行业场景的数据安全需求日益旺盛
《行动计划》中,先期选取工业制造、金融服务、科技创新、医疗健康、城市治理等12个重点行业和领域,优先释放数据要素价值,推动发挥数据要素的倍乘效应。结合数篷科技在多个行业的落地实践经验和行业洞察,可以看到:在金融行业,行业数据分类分级等标准已先行发布,更多的金融数据全生命周期管理、信创云安全、金融数据共享交易等场景的需求将迎来爆发;在医疗行业,“一机两用”安全访问、电子病历安全流转、跨院数据共享等方面有较强的市场需求;在公共服务行业,各地政府将陆续指导成立数据运营集团,完善国家数据要素基础设施(NDI)的区域数据空间和行业数据空间,社保、税务、教育等高质量公共服务数据有望实现有效互通,提升政府的公共数据安全治理水平;在互联网游戏行业,游戏技术数据已成为行业发展的核心资产,对代码、原图、3D地图等动态数据进行全生命周期保护,将成为承载企业核心业务场景的重要诉求。
从上述行业的数据安全需求区域分布来看,用户主要集中在经济较为发达和数字化建设水平较高的长三角地区、粤港澳大湾区和京津冀地区,华东、中南、华北地区的市场份额分别达到全国市场的37%、23%和21%,三者之和占到八成以上。
04出海企业面临跨境数据流通、数据隐私保护等的双向合规监管
根据埃森哲的调研报告:“多重因素正在加速中国企业出海步伐,95%的受访企业认为未来3年海外业务增长将超过5%”。数据安全是大国竞争中不可忽视的敏感话题,同时也是中国企业出海需遵守并考虑的重要因素之一。各国政府正在不断加强对隐私保护、数据安全和跨境数据流动的监管,全球已有近66%的国家和地区颁布相关法律保护个人数据,另有近10%的国家正在推动立法。以欧盟为例,2018年发布《通用数据保护条例》(GDPR),加强对欧盟公民数据权益的保护,对于违规企业最 高可处以全球收入的4%或2000万欧元的罚款,这使得企业的数据合规成本进一步上升。英国、日本、以色列等国也成为经GDPR充分性认定的一体化数据流动安全区域。2024年欧盟即将通过的《人工智能法案》,也引入了“监管沙箱、全生命周期监管”的思路,将成为全球首部全面监管人工智能的法规。
出海企业在跨境数据流通和交易中面临双向合规监管,既要考虑我国网络安全审查的相关要求,也要考虑目的地国的数据处理、数字营销中的数据泄露、数据主权主体同意权等方面的风险。当前部分国家在大力推动数据“本地化”,因此,如何通过平台化软件来实现对跨境传输数据的统一整合、管理分散在全球各地的业务数据,成为出海企业的核心诉求。在规则复杂的跨境环境中,建立有效安全的网络连接,实现全球范围内可信计算环境的动态连接,实现带宽管理、网络加速和安全保障,进而实现企业办公、云-边-端协同计算场景中的数据安全流动,也是一个重要的关注点。
05大模型迎来爆发期,AI技术与安全的结合日渐紧密
从ChatGPT到Sora,全球AI技术快速演进迭代,相应的数据安全风险也正在不断累积。根据IDC、Cyberhaven等机构的调查报告:65%的企业已经部署了生成式AI,19%的企业正在积极探索;企业流向ChatGPT等大模型的数据中有11%是敏感数据,每周平均每10万员工中会发生400多起各类文件、代码或数据泄露事件。大模型应用面临着传统数据安全之外的多重安全风险,①算法:AI算法面临被攻击、修改或窃取的风险;②数据:训练数据可能包含如身份信息、金融、医疗记录等敏感信息,在行业数据集与通用大模型交互的过程中面临“数据中毒”风险;③其他:ChatGPT可能不设限爬取采集国内媒体平台敏感数据、用户行为轨迹等信息,要求输入个人敏感信息、商业秘密等内容,都伴随数据泄露风险。因此,有必要加强AI数据安全保护的基础理论研究和技术研发,提升风险检测和防护能力,发展负责任、可信任、受控的通用人工智能。
AI技术与安全的结合日渐紧密,还体现在将AI技术应用在数据安全治理中,可以有效降低数据泄露风险,提高数据安全治理效率。未来的数据安全技术方案将更加智能化,通过AI算法来配置基于网络、终端和身份的多重安全访问控制策略,对数据进行自动分析和识别,从防范网络攻击到检测预防内部威胁;对非结构化数据进行精细化分类分级、复合数据脱敏和数字水印等,为整个数据治理体系打下坚实的基础。“技术是一把双刃剑”,AI技术快速发展的同时,也提升了攻击者的攻击能力,比如AI合成亲属的多模态数据,进行网络诈骗等新型攻击,也急需“道高一丈”的数据安全措施来应对挑战。
06关注数据全生命周期安全,数据价值量化和使用流转安全是关键
在数据流存节点繁杂的大数据时代,数据安全的核心在于构建以数据为中心的安全体系,着重对数据从采集、存储、使用到销毁的全生命周期进行安全保护。针对各个环节的不同特点采取相应的安全可信防护措施,确保数据安全。数篷科技认为,从数据资产识别、数据安全管控、数据安全运营3个阶段来看,数据资产识别是数据要素的前提和基础,依据已形成共识的分类分级方法论进行分类分级,利用数据价值量化评估框架,推动数据的资产化进程;之后,制定数据安全管控方案,采用数据脱敏、加水印、关联分析等措施,建立可信数据环境,开展面向数据交易的数据确权与可信流通,推进公共数据、企业数据、个人数据分类分级确权授权使用;最后,开展基于状态驱动的风险态势感知和基于事件驱动的异常行为监测,完善数据安全应急处置机制,构建数据安全价值运营闭环,实现数据“供得出、流得动、用得好、收得回”。
鉴于数据资产与业务的高度相关性,需根据业务流程和数据全生命周期的特点,构建动态、按需的体系化数据安全防护框架。数据全生命周期的每个环节都涉及特定的技术和产品,行业增长潜力巨大,也对企业产品矩阵的丰富度提出了新的挑战。
图5 数据全生命周期管理
07隐私计算技术不断成熟,加强原生安全设计
在云服务和移动社交网络的普及下,用户普遍追求隐私保护与安全计算,推动隐私计算等领域的快速发展,多方安全计算、联邦学习、可信执行环境等隐私计算技术变得愈发重要。据零壹智库统计,全国各地由政府主导批复的数据交易所达到近50家,头部交易所交易规模已达亿元至十亿元级别,其中北京国际大数据交易所、杭州国际数字交易中心、贵阳大数据交易所等交易所已开始运用隐私计算的技术架构建设新型数据交易信息化平台。
隐私计算在保护数据隐私的前提下,使数据要素在安全流通和共享中创造出更大的价值,实现“数据可用不可见,数据可控可计量”、“不共享数据,共享数据价值”,进而消除跨部门、跨组织之间的数据孤岛,为数据共享和交易奠定基础。其中,可信执行环境(TEE)作为隐私计算的技术基础,其核心思想是将TEE与操作系统分割并行运行、隔离打造出用于计算的安全区域,已经广泛部署到各类计算平台中。未来,隐私计算将与人工智能大模型、区块链、工业互联网等新兴技术结合,应用于医疗、金融等更多行业,软硬结合的隐私计算一体机或将成为行业主流产品形态。
原生安全强调数据安全与系统功能应同步设计,将安全性融入系统的设计和开发过程中,使系统具备自我保护、自我修复和自我优化的能力,让安全为计算框架服务。隐私计算、可信计算、机密计算等富密码技术将在原生安全设计中扮演着至关重要的角色。
08数据安全全场景覆盖,云-边-端一体化打通全程全 网数据
随着万物互联时代的到来,海量物联网设备产生的庞大数据逐渐超出云端服务器的处理能力,同时算力向边缘侧不断迁移,边缘计算逐渐成为云计算的重要延伸和补充。根据《中国边缘计算服务器市场报告》、《中国边缘云计算行业展望报告》等预测,到2023年全球超50%的新建基础设施将部署在边缘,到2025年75%的企业数据将在网络边缘产生并被处理,我国边缘云计算市场规模将以44%的年复合增长率增长至2025年的550亿元。在云-边-端的全场景互联中,边缘侧设备拥有可用的计算和存储资源,而云端则汇集所有边缘的感知数据和业务数据,以此完成对各行业乃至跨行业的态势感知和分析。企业原本集中式的数据管理模式向云-边-端分散模式转变,数据在云-边-端之间频繁传输和处理,终端设备的异构化带来更多的攻击暴露面,这要求企业的整体数据安全防护能力必须覆盖异构多样的基础设施,实现多场景融合的数据安全动态流转控制。
此外,由于边缘计算节点通常部署在资源受限的环境中,安全防护措施往往不够完善,使得它们更容易遭受攻击和篡改,成为网络节点发起攻击的跳板。因此,需要在边缘节点部署强有力的安全防护措施,同时加强计算平台在云边端的安全协同设计,将云计算和边缘计算进行深度融合,实现资源的统一管理和优化,以及对海量数据的深度分析挖掘,保障云-边-端全程全 网的数据安全运行。
四、结语
数篷科技认为,在数据环境日益开放、云-边-端一体化覆盖的趋势下,安全已经不是孤立的技术领域,它已与基础架构紧密相关。未来的IT基础架构应该是软件定义的,基于开放网络环境和数据驱动的,而国产自研的原生安全是其重要特征。基于下一代的安全基础架构自底向上,为业务提供稳定、安全、有效的运行环境,通过“安全即服务”推动安全普惠,将安全打造成新型数字基础设施,成为和大数据、5G、AI算力一样的“新数字基建”,让我们的城市和企业省钱省力,看到实实在在的安全 效果。
图6 “安全即基础设施”理念
Gartner的调查显示:“75%的企业组织正积极寻求安全供应商的全面整合”、“运营效率低下以及无法有效应对异构安全架构的集成挑战,令安全和风险管理领 导者的担忧持续升温,用户亟待部署更有效和全面集成的解决方案,而非孤立运行的单点安全产品”。未来可以预见,万级项目数量将进一步明显增长,“数据安全管理平台”、“数据安全服务”、“数据安全治理”等将成为招标热点,客户对数据安全的需求将从单点的技术和产品逐渐过渡到整体的解决方案。数据安全解决方案将更加深入地与业务场景结合,集成提供规划咨询、建设运维、评估认证、教育培训等一站式服务能力,满足不同行业场景的安全需求。在这个过程中,产业联盟、协会等的生态集聚效应将不断增强,面向产学研协作的、全链路阶梯型的人才培养体系也将逐步建立和完善,“大安全”更加有效地赋能“新质生产力”。
(推广)
