【嘶吼精炼】数据安全细分市场之数据流动安全专题报告

引言

随着信息技术的不断进步和数据的快速增长，数据流动已成为现代社会中各个领域的重要组成部分，与此同时，数据流动所带来的潜在风险和挑战也日益凸显。数据泄露、隐私侵犯、网络攻击、数据篡改等安全威胁不断涌现，给个人、组织和社会带来了巨大的损害和风险。面对这些挑战，国家也逐步意识到数据流动安全的重要性，推动数据安全法规和法律的制定和强化，促使组织和企业加强对数据流动的保护措施。数据流动安全的发展正日益成为保障隐私和数据安全的关键环节，对于实现数字化社会和可持续发展具有重要意义。

2021年9月正式施行的《数据安全法》第七条提到“鼓励数据依法合理有效利用，保障数据依法有序自由流动，促进以数据为关键要素的数字经济发展，增进人民福祉”。第十一条提到“国家积极开展数据安全治理、数据开发利用等领域的国际交流与合作，参与数据安全相关国际规则和标准的制定，促进数据跨境安全、自由流动。”相关法规的颁布不仅有助于预防数据泄漏、未经授权的访问和恶意攻击，还能够强化对敏感信息的保护，维护用户隐私，增强组织的信誉，为业务发展提供可持续的基础。

本文从数据共享安全方面切入，对数据流动安全从现状、技术、行业、趋势等方面解读，并通过列举典型厂商的经典案例来体现其落地应用情况。

嘶吼界定 | 数据流动是数据要素发挥价值的重要环节

数据共享安全是在数据共享和交换的过程中，保证数据不被非法获取、篡改、泄露等安全问题，可以通过监测和审计机制来检测潜在的安全威胁，并采取相应的防护措施。数据共享安全是在促进数据协作的同时，最大程度地降低数据被滥用或泄露的风险，确保数据的可信性和可控性。随着大数据的高速发展，促进跨部门、跨行业数据共享的需求日益迫切，与此同时，安全问题也成为影响数据共享发展的关键问题，国家对此高度关注。

嘶吼安全产业研究院界定数据共享/流通安全下设六个细分：数据流动安全、数据访问控制、安全网关、数据交换系统、数据容灾备份和数据跨境安全。

数据流动是数据要素发挥价值的重要环节，保障数据流动全生命周期安全已刻不容缓。嘶吼安全产业研究院总结数据流动安全本质为：拥抱未知、防止失控和创造价值。值得一提的是，当下数据流动安全在创造价值方面还有待提升。嘶吼安全产业研究院总结出数据流动安全几大关键词为：数据流动安全平台、数据安全监管平台、数据安全流转监测系统等。

嘶吼安全产业研究院认为，数据流动安全从宏观而言，可以分为数据发现、分类分级、数据流转监测、数据审计溯源、态势感知、价值发掘等六类。

嘶吼洞察 | 市场、技术、行业三方面解读数据流动安全

嘶吼洞察一：预计2023年数据流动安全市场营收超过6亿

嘶吼安全产业研究院根据公开调研数据显示，2022年数据流动安全营收汇总规模为4.8亿元，占数据安全市场(102亿)规模的4.7%。预计2023年，数据流动安全营收汇总将以35%的增长率达到6.5亿元。在行业分布中，金融行业以28.5%的占比遥遥领先其他行业，互联网、政务、运营商等行业紧随其后。

嘶吼安全产业研究院认为，数据流动安全是确保数据在其生命周期中在传输、存储和处理过程中得到充分保护的重要概念，它涉及到对数据的端到端加密、访问控制、身份验证、以及防止数据泄露或未经授权访问的措施。这种安全性需要跨越各种平台和网络，确保数据在从一个点到另一个点的传输过程中不受到损害或未经授权的访问。数据流动安全的实施包括安全的通信协议、加密技术和有效的访问管控，以确保数据即使在跨越不同系统和网络时也能始终保持安全。

嘶吼洞察二：拥有数据流动安全产品的厂商30余家

数据流动安全厂商主要专注于提供多层次、多角度的数据安全保障，以应对数字化转型带来的复杂和多样的挑战。这些厂商通常具有行业分散的特点，包括综合型的安全厂商和专注于数据安全领域的专业厂商。他们不断创新和发展，以满足政务数据利用和共享的需求，同时也面临着新的机遇和威胁。

根据嘶吼安全产业研究院的数据，数据流动安全在数据共享/流通安全领域中，共有32家企业提供相关产品。如：保旺达数据安全流量监测平台、思维世纪数据安全监管平台、通付盾WAAP等。

嘶吼洞察三：数据流动安全加密技术保证敏感数据安全性

数据流动安全应用需要结合多种技术，包括加密、身份验证、访问控制、监控和审计等，以确保数据在传输、存储和处理过程中的安全性，此外，还需要利用大数据分析和人工智能技术来实时检测和预防潜在的安全威胁。嘶吼安全产业研究院选取隐私计算技术、加密算法技术、流批一体化架构来解读数据流动安全应用的过程中应大力研发的技术。

• 隐私计算应用技术增强数据完整性和可信度

嘶吼安全产业研究院认为，将隐私计算与数据流动安全结合的关键在于采用技术和策略，确保数据在流动的过程中能够得到保护，同时满足隐私保护的需求。企业通过应用同态加密、多方安全计算、差分隐私等技术，可以在数据传输和处理的同时维护数据的隐私性，使得敏感信息在计算过程中得以加密或匿名化，防止未经授权的访问。结合安全计算框架和可验证计算，确保数据在计算环境中的完整性和可信度。此外，强调制定明确的隐私政策、进行员工培训以提高安全意识，以及遵循相关法规和合规性要求，都是确保隐私计算与数据流动安全结合的重要步骤。通过综合考虑技术、管理和法律层面的因素，可以建立一个全面的隐私保护机制，促使安全而合规的数据流动。

• 利用加密算法增强数据传输存储过程中的安全性

嘶吼安全产业研究院认为，加密算法是一种对原始数据进行加密的形式，保证数据在传输和存储过程中的安全性，生成密文后，只有获得相应的密钥才可以还原原始信息，一般而言，安全性与密钥的长度与算法复杂度有关，密钥长度长，算法复杂，相应的数据安全性也更高。

首先，加密算法可用于保护敏感信息在数据传输过程中的隐私，防止未经授权的访问者或恶意攻击者获取敏感数据。在数据流动的过程中，加密算法可以确保数据在网络中的传输是加密的，即使被截获，也难以解读，提高了数据传输的安全性；其次，对于端到端的通信，加密算法可以确保数据只在通信的两端被解密，中间传输的数据仍然是加密的，防止中间人攻击；第三，对于实时流式数据，加密算法可以实时对数据进行加解密操作，确保数据在流动过程中的安全性。

• 流批一体化架构保障数据实时安全

嘶吼安全产业研究院认为，流批一体化架构在数据流动安全中的应用指的是在数据处理中将流式处理和批处理结合到统一的架构中，以提高数据处理的实时性和效率。不仅支持实时威胁检测、动态访问控制和实时加密解密，还提供了全面的事件溯源、审计和安全事件响应。通过这种融合，组织能够更灵活地制定安全策略，快速响应潜在风险，同时确保合规性监测和数据保护的全面性，为数据流动提供了高效、实时的安全保障。

首先，流批一体化架构允许实时监测数据流，通过流式处理引擎进行实时威胁检测，同时使用批处理进行历史数据的深度分析，提高对各种安全威胁的检测能力；其次，结合流式处理和批处理，可以实现更灵活的动态访问控制策略。对于实时数据流，可以立即应用访问规则，而对于历史数据，可以通过批处理定期更新访问控制规则；最后，流批一体化架构允许在实时流中捕获关键事件，并使用批处理进行全面的审计和溯源分析，这有助于快速检测和响应潜在的安全问题，并追踪数据在整个流程中的变化。

嘶吼洞察四：金融和互联网是数据流动安全的主力行业

嘶吼安全产业研究院认为，对数据流动安全需求较大的行业排序依次是：金融、互联网、政务、运营商、医疗。从嘶吼自主调研的数据来看，金融行业对数据流动安全的需求最高，达到28.5%，互联网、政务、运营商紧随其后，在13%-15%之间。

对于金融领域而言，数据流动安全对于预防金融欺诈至关重要。首先，通过实施有效的访问控制和监控机制，金融机构能够防范未经授权的访问，减少欺诈行为的发生。其次，金融机构进行大量的交易和资金流动，这就需要确保这些交易在传输过程中不受到篡改或未经授权的访问，数据流动安全可以通过加密技术和数字签名等手段来保障交易的完整性和真实性。

对于互联网企业而言，作为网络攻击的主要目标之一，数据在流动过程中需要受到有效的网络安全保护，包括防火墙、入侵检测系统、安全漏洞修复等手段，以应对各种网络威胁。

对于政府机构而言，政府机构通常处理与国家安全和防务相关的敏感信息。确保这些信息在传输、存储和处理过程中的安全，是保护国家安全的首要任务。数据流动安全需要防范未经授权的访问和攻击，以保护关键信息免受敌对势力的威胁。

嘶吼洞察五：数据流动安全能够有效促进数据开放共享

嘶吼安全产业研究院认为，数据流动安全为客户提供了关键的隐私保护和信任基础。通过确保个人信息在传输过程中的安全，客户得以享受无缝的用户体验，同时降低了个人数据被滥用或泄露的风险。这不仅彰显企业对合规性的关注，也巩固了客户对品牌的信任，为客户创造了安全、可靠的数字交互环境，从而提升了客户满意度和品牌声誉。

嘶吼洞察六：解决数据孤岛难题为数据流动安全中的首要难点

随着数据量的急剧增加和数据流动路径的复杂化，数据的实时监控和追踪变得更加困难，导致企业难以有效应对潜在的安全威胁。不同组织之间的数据共享仍存在标准和协议的不一致，造成跨系统数据流动的互操作性障碍，增加了数据泄露和未经授权访问的风险。嘶吼安全产业研究院总结了三大发展难点亟需解决，分别是：数据孤岛问题严重，内部安全运维风险控制有待加强、活动与设施安全有待提升。

• 数据孤岛问题严重

在当今信息时代，数据作为关键的和策略性资源，被称作新时代的“石油”资源，已经贯穿于生产、分配、流通以及社会服务管理等各个领域，深刻地塑造着生产模式、生活方式以及社会治理方式。然而在现实发展中，“数据孤岛”的问题较为严重，不同部门之间对数据的使用存在差异，因此在流通的过程中存在信息滞后性，无法互通。

嘶吼安全产业研究院认为，未来可以通过建立统一的数据标准、开放数据接口、完善数据共享机制、引进先进技术等手段来降低数据孤岛的问题。

• 内部安全运维风险控制有待加强

在数据的收集、存储、使用、加工、传输等各个阶段，如果任何一个环节出现问题，都可能导致数据泄露或被滥用。数据本身具有流动性、多样性、可复制性等特性，这使得数据安全风险在数字经济时代被不断放大。如何协调政府、行业、企业、个人等多元主体，形成协同共治机制，同时平衡数据开发利用和数据安全保护，实现发展与安全的齐头并进，是当前数据安全治理面临的重要问题。

嘶吼安全产业研究院认为，未来可以发展隐私计算技术来解决数据要素流通过程中的数据安全和隐私保护问题；在对待重要的数据时，需要高度谨慎，降低因为一些细小错误导致的重大安全事件。

• 活动与设施安全有待提升

数据流通活动的安全和数据流通设施的安全也是重要的风险点。需要通过规范各类市场主体在数据开放、共享和交易等流通活动行为，保障数据流通过程安全可控、可追溯；同时保护数据流通所涉及的平台设施安全，防止其承载的海量数据丢失、泄露。

嘶吼安全产业研究院认为，有效保证数据流动过程中的活动与设施安全，需要建立以数据为中心的数据安全治理体系。这包括规范各类市场主体在数据开放、共享和交易等流通活动行为，保障数据流通过程的安全可控和可追溯。同时，也需要关注数据处理活动的安全性，如数据的收集、存储、使用、加工、传输等各个阶段，如果任何一个环节出现问题，都可能导致数据泄露或被滥用。

数据流动安全典型厂商-保旺达

保旺达数据安全流量监测平台通过深度流量解析监测应用层数据流转，实现接口和业务访问地址自动梳理、账号访问行为和轨迹识别，动态感知全域敏感数据流动状况，从数据流动中发现数据安全风险问题，实现全域数据动向的实时监控。同时平台提供应用资产台账梳理、访问行为安全审计、应用资产脆弱性风险场景分析、数据泄漏溯源追查等功能实现了应用数据流动的“可视”、应用接口的“可管”、数据流动风险的“可控”、数据泄漏事件的“可溯”、数据安全日志的“可审”，全面赋能用户的数据安全管理及运营工作。

保旺达的数据安全流量监测平台有两个应用场景，分别是API数据流动安全监测、业务人员敏感数据接触监测。

保旺达应用案例-某电信数据安全流量监测平台

项目背景：

随着云计算、大数据等新技术的广泛应用，电信行业的业务模式和数据处理方式正在发生深刻变化。业务系统上云后，云化、微服务化和容器化使得数据在系统和服务之间的流动更加频繁和复杂，使得追踪和控制数据的流向的难度大大增加，增大了数据泄露和滥用的可能性。

某电信省公司已经采取了各种安全防护措施，包括部署大量的网络安全监控系统，以保护数据安全。然而，由于技术限制以及对数据流量监测的缺失，需要建设一套结合创新技术的数据安全流量监测平台以进一步提升公司应用层数据安全监测手段和能力和满足监管需求。

项目挑战：

数据流转已成为当今企业发展的重要驱动力，通过数据交互、共享，提升资源配置的合理性，节约了企业运营成本，但同时也带来了新的数据安全风险，包括监管、合规、流转难题。某电信省公司作为关键信息基础设施单位，承载着大量企业重要管理与运营数据以及客户运营数据，为保障数据安全亟需构建持续化的动态数据流转安全防护能力。

海量数据分析和处理：在大数据时代，数据流量数据量巨大且复杂度较高，如何有效地进行数据分析和处理是一个巨大的挑战。传统的数据处理方法往往无法满足大数据分析的需求，需要采用更高效、更准确的分析方法和工具。

• 未知数据资产加剧数据安全风险：业务变更、流程变化、架构变动都带来新的数据流动，产生新的数据存储，商密信息、配置数据、个人隐私等重要数据资产持续增加、实时变化。不能全面、实时、准确的识别资产、实现分类分级管理，就可能导致违规操作、过失行为的产生，出现、加剧数据安全风险。

• 数据跟踪溯源难度升级：充分数据流转在带来数据价值彰显的同时，也给数据跟踪溯源带来难度。一方面，流转方式更灵活，页面访问、接口调用、工具分析、文件分发，不同途径、不同载体、不同协议，全技术覆盖难度增大。另一方面，为保证流转安全的链路加密手段更加严密，防护隐私泄漏的同时也加大了获知流转内容的难度。既无法确认是否涉敏，同时无法评估是否合规。

• 数据暴露扩大升级防护难度：云化、微服务化和容器化架构将不同的系统、服务和组件相互连接和交互，增加了攻击者的攻击面。一旦攻击者成功入侵一个系统或容器，可能会利用漏洞和弱点跳跃到其他系统和容器，导致整个系统的数据安全风险。

解决方案：

（1）结合AI构建分类分级模型识别海量敏感数据

通过系统定义规则、数据字典、机器学习识别模型等手段快速识别海量数据中的敏感数据，在扫描识别的过程中对数据库、表、字段、文件打标签与自动分类分级，建立清晰、直观的数据资产目录。

（2）数据资产全局深度治理

基于流量自动识别，实时发现新增资产、沉默资产、异常资产，并对资产分类分级。建立和完善数据治理机制，明确数据的归属、使用和流转规则，防止数据的滥用和无序流动，确保数据的合规性和正确性。

（3）数据风险全链动态监测

采用智能分析、关系图谱、空间测绘等技术，实现数据链路挖掘，链路还原，链路追踪，链路治理。实时监测和分析数据流，一旦发现异常行为或潜在的安全威胁，即刻进行预警，实现及时应对和防止安全事件的发生，减少了数据安全风险。

（4）数据态势全维智能感知

基于入侵检测、文件检测、机器学习、威胁情报、流量模型等技术实现对入侵行为、流量攻击、文件威胁、加密流量威胁等安全风险的识别与分析，态势量化与预测以及处置跟踪与评价。实时监测异常数据流量并进行审计告警。

建设成果：

• 对数据资产的监测实现数据资产新增、变更的感知识别；

• 建设对外接口数据访问行为监测，实现异常违规行为的审计和告警；

• 基于数据资产监测和用户行为审计，对发生的数据泄露事件进行溯源；

• 基于流程驱动的方式对安全事件的处置实现自动化、规范化，真正做到闭环管理；

• 基于管理手段的合规化、规范化，技术手段的能力化、可视化，保障数据安全管理运营工作的持续化。

客户价值：

• 系统上线至今共计发现各类安全违规事件2445起、其中帐号借用、滥用1854起；

• 用户恶意绕行越权访问核心涉敏业务系统事件267起；

• 营业员少量多次窃取客户敏感数据事件18起；

• 勒索软件及其变种病毒内网渗透攻击事件317起。

通过流量采集分析的实时性，有效降低了日志汇聚分析带来的时间损耗，从安全事件发生到告警产生时间由原来的5分钟缩短至1分钟，效率提升500%，为数据安全管理人员争取了宝贵的安全事件处置响应时间，及时阻断安全事件扩大、蔓延。

嘶吼前瞻 | 数据流动安全呈现“共享化、全球化、全流程化”趋势 

嘶吼安全产业研究院认为，随着数据流动的方式和路径日益复杂，数据流动安全需要综合考虑多方面因素，未来需要深化数据要素流通工具、打造数据共享交换平台、全球化布局数据流动安全规模并采用具有多重安全措施和防范控制机制，以确保数据的安全流动。

共享化方面，首先需要明确打造数据共享平台的预期效果；其次在考虑平台的灵活性、安全性、集成性后，选择能够满足需求的数据共享平台；接着通过制定数据标准和协议，建立数据治理策略，从而支持组织内外数据的有序流动和交换；最后，实施监控机制，持续监测数据共享过程，及时发现和解决潜在的问题，并建立数据交换平台的管理团队，负责维护和更新平台。

全球化方面，首先需要各国推动数据安全标准和框架的落地，确保不同国家和组织在数据流动方面的基准保持一致，也会降低法规差异；其次，各国之间在保证安全的前提下开发信息共享、联合演练、技术研发合作的模式；最后，需要全球联合制定应急响应计划，以便在数据发生泄露或遭遇网络攻击时，能够快速反应，及时恢复工作。

全流程化方面，首先，将数据分级分类，根据敏感性和机密性给予相应的标记；其次，从数据的源头就采取加密技术，确保在数据流动的过程中是加密的；第三，要采取先进的网络安全措施，比如防火墙、入侵检测等，以保护数据在传输过程中的安全；通过全流程的安全化措施，可以有效地降低数据泄露和安全漏洞的风险，确保数据在流动过程中的安全性和完整性，这需要企业在技术、管理和文化层面上全方位地推动数据安全的全流程化。