安全产业研究 框架系列之一: 2 0 2 4.2.1 8 分析师:苏仪执业证书编号:S0740520060001Email:suyi@zts.com.cn 摘要 ◼在国家政策引领、地方试点推进、企业主体创新等多方合力下,我国数据要素市场不断探索和创新,AIGC对数据的需求快速增长,共同驱动数据安全市场规模持续扩大,竞争格局多元化发展。 ✓近些年,我国数据安全法治治理体系建设取得重要进展,数据安全治理进入“标准化”法治时代,利好政策不断;✓多省级数据局开年密集揭牌,数据安全产业作为配套工程乘风提速;✓预计到2025年,我国数据安全产业规模超过1500亿元,年复合增长率超过30%。 ◼当前,AIGC的海量数据需求为数据安全合规治理带来新变化、新需求。数据脱敏、身份认证与访问控制等技术常用于保护隐私信息不被泄漏,以确保数据的安全性和合规性。 ◼展望未来,数字经济推动数据价值释放、数据量激增与AIGC跨越式发展均对数据安全提出了更高的要求,我国将持续构建更加科学的数据安全合规治理制度体系,切实筑牢数据安全屏障,数据安全产业将得到进一步发展。 ◼风险提示:AI进展不及预期带来下游需求不及预期的风险;市场竞争加剧的风险;政策落地不及预期的风险;研究报告中使用的公开资料可能存在信息滞后或更新不及时的风险等。 CCONTE数据安全概述 1.1数据安全/网络安全/信息安全/数据资产安全的定义及关系 ◼数据安全:指保护数字数据免受未授权访问、泄露、破坏或丢失的过程和技术,包括一系列的措施、策略和程序,旨在保护数据的保密性、完整性和可用性,侧重于数据的全生命周期内的安全与合规。 •信息安全:强调信息本身的安全,以信息的机密性、完整性、可用性(CIA)三大基本属性为保护核心,辅以信息的不可否认性(抗抵赖性)、真实性、可控性等扩展属性等保护,侧重于保护一切有价值的信息。 •数据资产安全:数据安全3.0时代进入到体系化数据安全治理时代,数据上升到资产,基础设施层面。数据资产的安全重点转为保护具有业务价值的数据;面向数据资产的保护意味着面向企业业务的保护。 ◼关系:数据安全是信息安全的核心,可将网络安全理解为手段,数据安全和信息安全理解为目标。 资料来源:数据安全架构与治理公众号,中泰证券研究所 资料来源:与数据同行公众号,中泰证券研究所 1.12023年最具影响力的十大网络安全事件 ◼信息化浪潮席卷全球的背景下,全球网络安全事件频发。2023年发生的创记录的数据泄露、勒索软件、零日漏洞、间谍软件和供应链攻击事件为2024年全球网络安全威胁态势定下了主旋律和基调,同时也为网络安全专业人士制定风险管理策略和目标提供重要参考。 1.2数据安全的原则 ◼根据DAMA,数据安全的原则包括6个方面: •协同合作:数据安全是一项需要协同的工作,涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。•企业统筹:运用数据安全标准和策略时,必须保证组织的一致性。•主动管理:数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈,如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。•明确责任:必须明确界定角色和职责,包括跨组织和角色的数据“监管链”。•元数据驱动:数据安全分类分级是数据定义的重要组成部分。•减少接触以降低风险:最大限度地减少敏感/机密数据的扩散,尤其是在非生产环境中。 保护数据免受未授权的修改,确保数据的准确性和可靠性。 1.3数据安全活动的目标&数据安全的主要活动 ◼根据DAMA定义,数据安全活动目标主要包括三个方面: ◼数据安全的活动包括六个阶段:识别数据安全需求、制定数据安全政策、定义数据安全标准、评估当前安全风险、实施数据安全控制和程序、实施数据安全审计。 1.3.1数据安全的主要活动——识别数据安全需求、制定数据安全政策 ◼识别数据安全需求:降低风险和促进业务增长是数据安全活动的主要驱动因素。 •确保组织数据安全,可降低风险并增加竞争优势。•全面了解组织的业务需求是在组织内实施数据安全的第一步,组织的业务需求、使命、战略和规模以及所属行业,决定了所需数据安全的严格程度。◼制定数据安全政策:数据安全政策是组织为保护其数据资产而制定的一系列正式文档,定义了组织如何管理、保护和处理数据,包括对员工的行为规范、技术控制措施、以及对违反政策行为的处理方式。 资料来源:与数据同行公众号,中泰证券研究所 资料来源:与数据同行公众号,中泰证券研究所 1.3.2数据安全的主要活动——定义数据安全标准、评估当前安全风险 ◼定义数据安全标准:政策指导行为准则,但未覆盖所有特殊情况。•标准作为政策的补充,为如何达成政策旨趣提供了更具体的说明。◼评估当前安全风险:评估数据安全风险指的是通过系统的方法识别和评价可能威胁组织数据安全的各种因素,以及这些威胁可能导致的后果,此过程包括确定数据资产、潜在的威胁、可能的漏洞及这些因素可能导致的风险水平。 评估影响和可能性 分析数据安全事件发生的可能性和其对组织造成的潜在影响。简化的数据安全风险评估表格样例: 1.3.3数据安全的主要活动——实施数据安全控制措施和程序、实施数据安全审计 ◼实施数据安全控制措施和程序:在评估了数据安全的风险后,需要将数据安全政策和数据安全标准的要求转化为实际的控制措施和程序。◼实施数据安全审计:数据安全审计是一种详细的检查和评估过程,旨在评价组织内的数据保护措施的有效性,确认是否符合特定的安全标准和法规要求,并确保数据安全政策得到妥善执行。•此过程涉及对组织内的数据访问、处理、存储和传输控制的审查,以识别潜在的安全漏洞和不规范操作。 资料来源:与数据同行公众号,中泰证券研究所 1.4数据全生命周期的安全防护实现数据安全治理有效闭环 ◼数据安全活动:宏观层面上对数据安全的管理和控制进行阐述,利于确保数据安全整体策略和流程的连贯性和一致性。•数据安全活动的每一个步骤都可以拆分为数据采集、传输、存储、处理、交换和销毁六个方面来进行阐述。◼数据全生命周期安全防护:更为微观,其从数据本身出发,将注意力集中在数据采集、传输、存储、处理、交换和销毁等各个阶段,通过关注数据在其生命周期中的每一步如何被保护,可以提供更细致、更具体的安全措施和实践,有助于确保在数据的每一个环节都实现安全性。◼两种视角相互补充实现数据安全的持续改进和适应性发展。•宏观策略为微观实施提供方向和框架,微观实施的反馈和经验可以用来优化宏观策略。 1.5数据安全的检测清单 1.5数据安全的检测清单 CCONTE中 泰 证 券 研 究 所数据要素驱动打造安全合规的数据底座 2.1数据要素市场蓬勃发展,规模持续扩大 ◼在国家政策引领、地方试点推进、企业主体创新等多方合力下,我国数据要素流动势能不断积聚,数据基础设施不断完善,数据要素市场不断探索和创新,步入高速增长阶段。2021年我国数据要素市场规模约为815亿元,预计“十四五”期间市场规模复合增速将超过25%,到2025年规模有望接近2000亿元。•产业发展方面,全国数据交易机构逐步升级优化,服务模式和服务内容不断创新,各地围绕数据要素市场培育的路径和模式各具特色,数据要素市场交易机构、运营体系、保障机制初具雏形。•在流通实践层面,数据资源基础较好的领域及行业基于先期优势,逐步形成细分领域数据要素市场差异化特征。 资料来源:国家工业信息安全发展研究中心,中泰证券研究所 资料来源:国家工业信息安全发展研究中心,中商产业研究院,中泰证券研究所 2.2.1数据要素利好政策持续释放,助力市场活力加速迸发 ◼国家战略全方位布局数据要素发展。近年来,我国高度重视数据要素及其市场化配置改革,陆续出台了多项数据要素相关政策文件,数据要素已成为经济高质量发展的重要支撑。目前,我国数据要素政策体系架构已初步形成,“数据二十条”为推动数据要素发展筑牢政策基础,数据要素统筹管理、协调发展的体制机制将进一步完善。 2.2.2数据要素领域相关标准有效促进市场标准化体系建设 ◼数据要素流通是数字经济时代重要研究内容,数据要素流通标准化工作是建立统一开放、竞争有序的数据要素市场的本质内在要求。数据要素体系标准化将有效促进数据要素市场体系建设,充分发挥数据要素作用。 •国家层面,数据要素供给侧数据存储、数据共享开放、数据分类等已经发布了国家标准; •地方层面,各省市积极开展数据要素流通标准研制工作,抢抓国家推动数据价值化新机遇、培育数据要素市场。 2.3多省级数据局开年密集揭牌,数据安全产业作为配套工程乘风提速 ◼多省份数据管理机构揭牌,呈大同小异和因地制宜的发展趋势。 •2023年10月25日,国家数据局正式挂牌成立,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设等。 •2024年,新一轮机构改革逐步在省级层面落地,省级数据管理机构密集揭牌。截止2024年1月26日,已有14家省级数据局相继挂牌,全国各省市数据要素化市场加速推动。 2.4 “数据要素×安全流通”,加强数据安全保障,推动数据资产入表、数据资本化 ◼“数据要素×”三年行动计划,保障支撑章节提出优化数据流通环境、加强数据安全保障,加大中央预算内投资“数据要素×”试点工程,引导社会资本投向数据产业,推动数据资产入表、数据金融创新等活动。 •数据安全保障侧,行动计划提出:一、建立数据安全治理体系,落实数据分类分级保护、网络安全等级保护、关基信息保护以及个人信息保护。二、发展精细化、专业化数据安全产品,开发面向中小企业的数据安全工具包,轻便化、定制化个人数据安全防护产品。三、鼓励有实力的企业提供基于云端的数据安全服务。 •数据流通环境侧,行动计划提出:一、强化交易所合规管理和服务质量,标准化、高效率推动数据共享流通。二、深海隐私计算、可信数据空间、区块链技术应用,建设重点行业和领域数据流通平台,促进数据合规高效流通使用。三、因地制宜建设各类数据园区,培育数商、第三方专业服务机构等流通服务主体。 资料来源:中国信息通信研究院,中泰证券研究所 2.5.1数据安全市场规模持续扩大,竞争格局多元化 ◼数据的流动性、多样性和可复制性使数据安全风险不断放大,数据安全需求爆发,未来将推动市场规模进一步扩大。•十六部门联合促进数据安全产业发展,1500亿市场呼之欲出。2023年1月,工信部等十六部门联合发布《关于促进数据安全产业发展的指导意见》,目标到2025年,数据安全产业规模超过1500亿元,年复合增长率超过30%。•根据IDC数据,2022年中国数据安全软件市场规模为8.6亿美元,同比增长23%。预计到2027年,中国数据安全软件市场规模将达到22.2亿美元,年复合增长率20.7%。◼数据安全市场的竞争将日益激烈,新兴安全厂商与传统IT巨头积极布局。企业间竞争主要体现在技术实力、产品线丰富度、服务质量等方面。同时,新技术、新业态的涌现也为市场带来新的竞争力量。 资料来源:IDC,中泰证券研究所 2.5.2各领域数据安全需求持续升级 ◼数据安全行业的下游客户主要为政府、电信运营商、金融、能源、军工等领域的用户。下游行业用户的数据安全保障需求则对本行业的发展具有较大的促进作用。突发性的、造成较大范围损害的网络威胁事件往往会对下游行业的数据安全保障需求产生催化作用,促使其加大数据安全投入。 •政府行业——建设数字政府应先构筑数据安全“堤坝”。政务业务需要汇集和融合的数据体量庞大,在安全方面不仅要保障数据完整性、保密性和可用性,更需要确保数据在联合使用过程中的隐私性,各省市数据安全建设脚步加快。•电信行业——数据安全建设全面展开。数据安全管控平台类项目建设已全面展开;数据安全评估进入正常轨道,多数运营商公司每年都会购买数据安全评估服务;数据泄漏在数据时代的背景下显得尤为突出,采购增速较高。•医疗卫生行业——对数据