数据安全市场研究报告 Data security research report 2022-10 数说安全研究院有限公司 • 目录 关键经营数据分析——现金流健康度继续下降 数据安全背景与政策 数据安全市场发展概况 重点行业数据安全市场需求分析 数据安全市场供给分析 总结 河南数说安全研究院有限公司 关键经营数据分析——现金流健康度继续下降 数据安全背景与政策 河南数说安全研究院有限公司 1 • 数据安全新旧定义 2 • 等级保护标准下的数据安全要求 3 • 数字经济上升为国家重要发展战略 4 • 《数据安全法》颁布，数据安全新时代到来 5 • 数据安全法律体系及标准体系逐步完善 关键经营数据分析——现金流健康度继续下降 • 数据安全的新旧定义 在网络架构相对简单的早期，数据一般只在服务器、网络和办公电脑之间流存，因此数据安全通常被定义为数据库安全和内部数据防泄漏， 通过如设置数据库权限、复杂密码等方式保护好数据库，通过规范员工行为、文档加密等方式防止内部数据泄漏。 随着互联网的快速发展，信息化程度的不断提升和数据时代的到来，数据的流存节点和区域变得繁杂，流动量呈现指数级增长，使用方式 也不断多样化，原有的保护方式已无满足当下的安全需求，数据安全作为独立的安全体系被重新定义。 《中华人民共和国数据安全法》的第三条中，给出了新的数据安全定义： 数据，是指任何以电子或者其他方式对信息的记录。 数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。 数据安全，是指通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 数据安全和网络安全的边界： 狭义的网络安全（Network Security）是以网络为中心安全体系，使用防火墙、网 络访问控制、分布式拒绝服务攻击等防护手段，强调节点和区域的保护形式。随着云、 网、端的不断延伸，网络安全（Network Security）的概念逐步拓展至网络空间安全 （Cyberspace Security），也就是广义的网络安全，泛指一切处于通信网络覆盖下的安 全体系。 新的数据安全（data Security ），是指以数据为中心的安全体系，以数据的采集、 传输、存储、处理（使用）、交换（共享）、销毁等覆盖全生命周期的安全为目标，侧 重于从数据产生到销毁的全生命周期的保护，保护方式类似于伴随数据全生命周期的安 保人员，强调数据的所有权、管辖权、隐私权等。 河南数说安全研究院有限公司 销毁 交换 采集 数据生命周期 处理 存储 传输 关键经营数据分析——现金流健康度继续下降 • 等级保护标准下的数据安全要求 过去，我国数据安全建设包含在网络安全的建设之中，以满足等级保护规范要求为主要标准，围绕数据库保护、数据防泄漏、数据脱敏等展开。 以大多数企业需要满足的等级保护2.0中的第三级安全要求为例，对其中与数据安全相关性较高的标准进行梳理，“边界防护、访问控制、安全审计、 数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护、审查与检查、密码管理、安全事件处置”等构成了在等级保护标准体系下的 数据安全要求，也因此形成了围绕数据库保护和数据防泄漏为中心的“数据库防火墙、数据库审计、数据防泄漏，数据脱敏，容灾备份”等主要产品， 及相应的管理制度、审查办法和安全运维。 等级保护2.0通用安全要求 要求类型 通用安全要求 一级标题 次级标题 安全通信网络 通信传输 安全区域边界 边界防护、访问控制、安全审计 安全计算环境 访问控制、安全审计、数据完整性、 数据保密性、数据备份恢复、剩余信 息保护、个人信息保护 安全管理中心 系统管理、审计管理、安全管理、集 中管控 安全管理制度 安全策略、管理制度 安全管理机构 审查和检查 安全运维管理 介质管理、网络和系统安全管理、密 码管理、备份与恢复管理、安全事件 处置、紧急预案管理、外包运维管理 河南数说安全研究院有限公司 等级保护2.0扩展安全要求 要求类型 对象 云计算 扩展安全要求 移动互联网 物联网 工业控制系统 次级标题 项目 安全区域边界 访问控制、安全审计 安全计算环境 访问控制、镜像和快照保护、数据完整 性和保密性、数据备份恢复、剩余信息 保护 安全管理中心 集中管控 安全区域边界 边界防护、访问控制 安全计算环境 网关节点设备安全、抗数据重放、数据 融合处理 安全通信网络 通信传输 安全区域边界 访问控制、无线使用控制 安全计算环境 控制设备安全 关键经营数据分析——现金流健康度继续下降 • 数字经济上升为国家重要发展战略 近年来，政策规划不断加强对数字经济和数据要素的指导及要求，数据要素和数字经济的重要性不断提升。 2021年12月国务院印发《“十四五”数字经济发展规划》，指出数字经济成为继农业经济、工业经济之后的主要经济形态，是重组全球要素资源、 重塑全球经济结构、改变全球竞争格局的关键力量，要求到2025年，数字经济迈向全面扩展期，数字经济核心产业增加值占GDP比重达到10%。数据作 为数字经济时代下的基础性资源和战略性资源，是决定国家经济发展水平和竞争力的核心驱动力。 发展数字经济正式上升为国家重要发展战略，数据安全则成为保障数字经济健康发展的重要基石。 发展数字经济的战略规划文件 时间 文件名称 2020年4月9 日 《关于构建更加完善的要素市场化配 置体制机制的意见》 将数据列为生产要素并强调要加快数据要 素市场的培育。 加强数据资源整合和安全保护：制定数据隐私保护 制度和安全审查制度，推动完善适用于大数据环境 下的数据分类分级安全保护制度。 《“十四五”大数据产业发展规划》 加快培育数据要素市场，完善数据要素产 权性质、建立数据资源产权相关基础制度 和标准规范、培育数据交易平台和市场主 体。 筑牢数据安全保障防线：加强数据安全管理，加大 对重要数据、跨境数据安全的保护力度，提升数据 安全风险防范和处置能力，做大做强数据安全产业， 加强数据安全产品研发应用。 优化升级数字基础设施，充分发挥数据要 素作用，大力推进产业数字化转型，加快 推动数字产业化，提升数字化公共服务水 平，完善数字经济治理体系。 提升数据安全保障水平：依法依规加强政务数据安 全保护，做好网络安全审查，云计算服务安全评估， 增强重点行业数据安全保障能力，进一步强化个人 信息保护，规范身份信息、隐私信息、生物特征信 息的采集、传输和使用，加强对收集使用个人信息 的安全监管能力。 2021年11月 30日 2021年12月 12日 《“十四五”数字经济发展规划》 河南数说安全研究院有限公司 数据关键内容 数据安全关键内容 关键经营数据分析——现金流健康度继续下降 • 《数据安全法》颁布，数据安全新时代到来 2021年6月10日《数据安全法》颁布，并于2021年9月1日正式施行，作为数据领域的纲领性和基础性法律，以准确定义数据、数据处理、数据安 全为出发点，提出解决数据全生命周期中的数据安全问题，达到数据开发利用、产业发展和数据安全相互促进的目标，重新改写了数据安全的定义，标 志着数据安全新时代的到来。 随着数据的价值被不断认知，数据的应用场景不断拓宽，数据的安全问题也不断放大，数据攻击、数据泄露、个人信息滥用等数据安全问题日益加 剧，给社会各领域数字化转型的持续深化带来了严重威胁（2020年全球数据泄漏达到360亿条，创历史新高，其中个人隐私信息泄露事件更是超出过去 15年总和，数据诈骗、大数据杀熟和个人生物特征信息滥用等多类危害国家政府安全和个人合法权益的事件层出不穷），为保障国家数字经济健康有序 的发展和个人及组织的合法权益，提高数据安全风险防控能力，《数据安全法》、《网络安全法》和《个人信息保护法》三部上位法相继颁布。 全国人民代表大会通过颁布 2017年6月施行 河南数说安全研究院有限公司 鼓励开发网络数据安 全保护和利用技术， 促进公共数据资源开 放，推动技术创新和 经济社会发展； 明确网络运营者和关 基设施运营者应做好 数据分类、重要数据 备份、加密和重要数 据境内留存等措施， 防止数据泄露或者被 窃取、篡改； 明确相关法律责任及 处罚措施。 2021年9月施行 明确数据的定义和边界，促进 以数据为关键的数字经济发展； 明确建立健全数据分类分级制 度，安全审查制度，风险评估、 检测预警等机制，促进数据安 全监测评估、认证的发展，建 立数据交易管理制度等，加强 数据出境的监管； 明确数据处理者和关基设施运 营者的应建立全流程数据安全 管理制度，做好数据安全保护、 监测、应急处置和风险评估等 措施。 进一步明确数据安全相关的责 任，细化相应处罚措施。 构建完整的个人信息 保护框架，采取分级 保护制度； 进一步细化、完善个 人信息处理活动中个 人的权利，及处理者 的原则、要求和权利、 义务； 明确个人信息跨境提 供规则； 明确相关法律责任及 处罚措施。 2021年11月施行 关键经营数据分析——现金流健康度继续下降 • 数据安全法律体系逐步完善，上位政策加速出台 伴随数据安全及相关上位法的相继颁布，数据安全上位政策也在加速出台，数据安全法律体系正在加速建立。 明确数据收集应制定并公开收集使用规则， 提出收集动作和规则制定的相关要求。 明确数据处理使用时，应参照国家有关标 准，采用数据分类、备份、加密等措施加 强对个人信息和重要数据保护。 明确国家主管部门和网络运营者应对数据 安全进行监督管理。 明确了网络安全数据安全标准体 系框架； 明确需要建立基础共性标准、关 键技术标准、安全管理标准和重 点领域标准。 规定数据处理者向境外提 供重要数据和个人信息， 应进行安全评估，并明确 相关要求。 给出了网络数据分类分级的原则、 框架和方法，可用于指导数据处 理者开展数据分类分级工作，也 可为主管监管部门进行数据分类 分级管理提供参考。 《数据安全管理办法（征求意见）》 《网络数据安全标准体系建 设指南（征求意见稿） 》 《数据出境安全评估办 法（征求意见稿）》 《网络安全标准实践指南— ——网络数据分类分级指引》 2019年5月28日 2020年4月10日 2019年6月13日 《个人信息出境安全评估 办法（征求意见稿）》 规定网络运营者向境外提供个 人信息，应进行安全评估，并 明确相关要求。 河南数说安全研究院有限公司 2021年9月1日 2021年10月29日 2021年12月31日 2021年11月14日 《关键信息基础设施安全保护条例》 《网络数据安全管理条例（征求意 见