数据要素安全防护技术应用及产业化趋势
从政府侧、供给侧、需求侧、专业机构等角度出发,聚焦创新和市场双驱动、供给和需求互促进、治理和发展两手抓等思路,加大技术研究及应用示范支持力度,分类推进数据安全技术产品的服务创新,强化数据安全防护和数据开发利用,做专做强数据安全检测评估工作。
数据要素的“安全”属性和“价值”属性进一步凸显,数据安全需求释放加速,数据安全技术发展总体势头向好,应用前景乐观。展望未来,API安全防护、数据库防勒索、后量子密码、全同态加密等数据安全保护技术将提速发展,以隐私计算为代表的数据开发利用支撑技术商业化部署加快,交叉融合型、轻量型、SaaS化的技术模式创新将为数据安全开辟更大市场空间。
技术发展趋势
API安全防护技术将成为数据安全能力提升新主力
当前,因API安全风险导致的数据安全形势严峻,API安全防护迫在眉睫。数据显示,94%受访者经历过API安全问题,61%数据要素的“安全”属性和“价值”属性进一步凸显,数据安全需求释放加速,数据安全技术发展总体势头向好,应用前景乐观。展望未来,API安全防护、数据库防勒索、后量子密码、全同态加密等数据安全保护技术将提速发展,以隐私计算为代表的数据开发利用支撑技术商业化部署加快,交叉融合型、轻量型、SaaS化的技术模式创新将为数据安全开辟更大市场空间。受访者缺乏有效API安全策略,82%受访者认为传统安全工具不足以应对当前API攻击。美国安全厂商SOCRadar发布的2022年度数据泄露事件TOP10中,Twitter和Optus(澳大利亚第二大电信公司)因API漏洞导致的数据泄漏事件赫然在列。VMware发布的《2022年全球事件威胁响应报告》显示,API攻击的主要类型包括数据泄露(42%)、SQL注入(37%)和API注入(34%)。此外,基于API的自动化攻击加剧,且攻击场景多样化,APP、小程序亦是重灾区。
展望未来,数据安全能力建设版图中,API安全防护将成为主要建设内容之一。首先,API应用广泛、规模巨大。据美国CDN服务商Akamai统计,API请求已占所有应用请求83%,预计2024年API请求命中数将达42万亿次;国际市场研究机构Adroit报告称,到2028年,API安全市场总规模将超65亿美元。其次,数据流通的业务逻辑主要通过API实现,API成数据安全攻击主要媒介。2023年初,近20家知名汽车制造商在线服务API数据泄露漏洞被披露。Gartner也曾预测,到2024年API安全问题引起的数据泄露风险将翻倍。最后,业界API安全布局加速。Gartner报告称,不少企业已启动API安全防护计划,并指出API安全测试和API威胁防护技术处在高速成长期,预计2~5年进入成熟期。
针对数据库的防勒索病毒技术将引发更多关注
近年来,勒索病毒猖獗,针对数据库的勒索攻击呈增长趋势。一是受勒索病毒攻击的数据库种类多。MySQL、SQL Server、Oracle等数据库是重灾区,MongoDB、CouchDB、Cassandra等开源数据库也未幸免。二是勒索病毒对数据的恶意加密范围拓展。2022年,SQL Server数据库遭Bluesky勒索病毒攻击,除受害者重要数据被全文加密外,局域网中其他终端共享的资源也被加密;勒索软件SamSam和Ryuk的新变种可加密受害者备份数据。三是勒索病毒引发的数据安全威胁巨大。2022年,美国加州财政部遭LockBit勒索软件入侵,75.3GB机密数据失窃。
展望未来,全球防勒索软件攻击任重道远,针对数据库的防勒索病毒技术将被广泛关注。首先,“勒索病毒”和“数据安全”均是业界关注重点。勒索病毒肆虐全球,已引发全世界普遍关注。数据安全逐渐成为各国国家安全的重要组成部分,数据库是“攻防”两方主战场之一,针对数据库的勒索攻击将有增无减。其次,主动防勒索病毒技术研究及应用刻不容缓。针对数据库的勒索软件可在数据库内部实施加密,且云数据库甚至数据备份系统亦可能遭受攻击,意味着恶意加密行为的发现更具挑战。而Gartner预测,到2025年,75%的企业将面临一次或多次勒索攻击,且据美国安全公司Resecurity报告,十年内,全球勒索软件造成的潜在总损失将超过自然灾害。
可信执行环境(TEE)将强势赋能数据安全硬件方案
2022年,TEE技术作为隐私计算主流技术之一备受关注。国际标准化组织Global Platform发布《TEE内部机制的加密建议》和《TEE系统架构v1.3》;iDASH2022国际隐私计算大赛要求TEE应为机密计算赛道必选项;蚂蚁集团历经4年正式发布其主导开源的TEE操作系统Occlum1.0,其自研的国内首个金融级信创TEE系统HyperEnclave1.0也通过了国家级金融科技产品认证。此外,微软的开源项目Open Enclave SDK可提供统一的TEE抽象接口,屏蔽不同TEE硬件平台的接口差异;Google的TEE操作系统Trusty已支持在移动设备上运行。
展望未来,数据要素流通和交易需求暴增,TEE将从硬件层面助力安全可信数据基础设施建设。一是数据要素市场化配置进程加速,数据安全防护下沉,需求侧对基于可信硬件的数据安全产品表现出更大兴趣,基于硬件的数据安全解决方案成为新竞争力。二是TEE作为隐私计算主流技术将从底层持续发力数据安全。国内外TEE发展势头强劲,阿里云、蚂蚁集团、百度、华为云、冲量在线、腾讯云等企业入选Gartner2022年TEE代表厂商;GB/T 41388-2022《信息安全技术可信执行环境基本安全规范》发布实施;Global Platform设有专职的TEE委员会,将持续有力推动TEE发展;OP TEE v3.20.0由国际开源社区项目Trusted Firmware于2023年初再次更新发布。
后量子密码(PQC)算法设计及其标准化将全面提速
2022年,在全球多国的积极布局和推动下,PQC发展成效显著。美国将PQC纳入国家安全备忘录,并启动“向后量子密码迁移”(Migration to Post-Quantum-Cryptography)项目。美国国家标准与技术研究院(NIST)历经六年面向全球发布首批PQC标准算法,并公布进入第四轮的4个候选算法。欧盟继PQCRYPTO和SAFCRYPT等PQC项目后,启动“向后量子密码转型”(Transition towards Quantum-Resistant Cryptography)项目,并发布《后量子加密:预测威胁和准备未来》(Post-Quantum Cryptography:Anticipating Threats and Preparing the Future)报告。此外,韩国移动运营商LG Uplus推出全球首个PQC专线服务,北约对基于PQC的VPN进行了通信流测试。
展望未来,随着全球量子技术的快速发展、数据安全和隐私保护要求的提高,PQC发展将全面提速。首先,量子计算产业化进程加速,量子安全刻不容缓。2023年,第一个欧洲量子计算机网络将在欧洲多个国家部署,总投资1亿欧元;日本计划对外推出量子计算机产品;IBM将推出1121个量子比特的“秃鹰”(Condor)计算机,并上线新一代量子计算系统Quantum System Two。其次,PQC迁移计划逐步推进,算法标准化进程提速。欧美等国家和地区前期均已发布PQC发展和迁移计划,且NIST于2021年发布应对量子技术风险路线图显示,2024年将正式发布PQC标准并全面启动向PQC标准过渡工作,即2023年需基本完成第四轮PQC算法的征集和遴选。最后,PQC资金投入加大,各方主体情绪高涨。美国耶鲁大学等高校和PQSecure等企业于2022年获国家科学基金会资助,PQC提供商QuSecure获美联邦政府量子安全合同,金额或上亿美元,微软、Google、IBM等科技巨头持续布局PQC。
全同态加密(FHE)技术将从理论研究向应用落地过渡
近年来,FHE理论研究取得重大突破,应用实践探索逐渐深入。一是FHE研究已进入第四个研究阶段,支持浮点数运算、一定能力的批处理和方案间切换,性能方面亦实现质的飞跃,如自举程序的执行效率(每比特微秒级)较第一阶段提升了9个数量级。二是基于不同开发语言和环境的FHE算法库频繁推出,HElib、SEAL、OpenFHE等十余个主流开源库,覆盖了C/C++、Python、Go、Rust等开发语言,以及Linux、Windows、MacOS等操作系统。三是多个组织或企业开展FHE应用实践探索,2020年美国国防部启动FHE硬件加速计划,Duality、英特尔、微软等参与其中,IBM、亚马逊已探索推出基于FHE的云计算新服务。
展望未来,在相关政策和市场的双重驱动下,有望实现概念验证到实用工具的转变。一方面,数据的加密形态延展到计算层面已成趋势。随着数据“产权”属性的进一步凸显,市场对于数据的加密形态将不再限于存储和传输环节,计算环节的密态需求有望提速释放,而FHE技术是实现密文域上任意计算的关键。另一方面,已初步具备成果应用转化技术条件。FHE的性能表现已能被部分应用场景所接纳,更实用、更全面的开源平台OpenFHE已于2022年落成,提供更简单的API、模块化实现、跨平台实现和硬件加速器集成,并支持所有主流FHE方案。此外,FHE标准化工作已在有序开展中。
产业化发展趋势
隐私计算技术将实现重点行业规模化商业应用
近年来,隐私计算需求强烈、技术发展迅速,产业化趋势明显。首先,多元市场主体纷纷入局。综合型IT企业、传统网络安全企业、初创企业及云计算、大数据、人工智能等领域的企业纷纷将隐私计算纳入产品矩阵,创投机构、产业基金、各类科技公司等资本也争相入局。其次,全球隐私计算技术成果丰硕。据知识产权服务机构IPRdaily等统计,截至2022年3月8日,全球隐私计算技术发明专利数量已超6500余项。最后,隐私计算市场可期。IDC调研报告显示,中国隐私计算2021年市场规模突破8.6亿元,未来有望实现110%以上的市场增速。
展望未来,随着数据要素的“价值”属性进一步凸显,隐私计算有望在重点行业实现规模化部署应用。一是各行业领域数据开发利用需求激增,数据安全合规趋严,以多方安全计算、可信执行环境、联邦学习等技术为代表的隐私计算技术将为数据的安全、有序开发利用提供关键支撑。二是重点行业领域市场需求加速释放。据调研,银行、保险、通信、政务等领域的隐私计算的投入和应用探索,较其他领域相对靠前,预计将很快进入加速部署期,且随着隐私计算供给能力升级,医疗、能源、教育等行业的商业化进程将提速。
交叉融合型数据安全技术将重塑数据安全市场
近年来,新技术新业态不断涌现并持续演进,同时也面临更大的数据安全挑战。首先,云计算、大数据、5G、人工智能等新兴技术已渗透至各行业领域,然而利用或针对这些新技术的数据安全威胁成为其商业化应用推广的必要考量。其次,工业互联网、车联网、物联网、移动互联网、卫星互联网等新形态网络在各国数字化进程中举足轻重,然而其数据安全治理尚处于探索实践阶段。最后,网约车、外卖、短视频等平台经济推动数据价值创造与提升,但其“自采数据+自治算法”的属性在激发创新的同时也带来了信息过度采集、数据滥用与泄露等数据安全问题。
展望未来,新技术新业态和数据安全的交叉融合创新势不可挡。一方面,新技术赋能数据安全,将激发更大数据安全市场空间。事实上,新形势必将产生新需求,新技术赋能是满足新需求的优选,如基于人工智能的数据流转监测与防护、基于大数据的数据安全态势感知与分析等。此外,国内已将“布局新兴领域融合创新”作为促进数据安全产业发展的举措之一。另一方面,新技术新业态即新市场。数字新技术、新形态网络等本身将是数据安全进军的重点领域,且市场空间巨大。此外,后疫情时代,万亿级“宅经济”引发的个人信息及隐私安全担忧不容忽视,如在线购物、看病、教育、办公等均为数据安全保障对象。
轻量化数据安全技术将进一步得到市场青睐
近年来,“轻量化”的理念逐渐渗透至技术领域,数据安全领域亦不例外。轻量级加密是研究热点,ISO、NIST等标准化组织以及日本密码研究与评估委员会CRYPTREC已在轻量级加密算法的标准研制方面持续投入多年,并设有轻量级密码工作组或轻量级密码专项。轻量级密钥、轻量级数字证书、轻量级安全协议等技术随之出现,区块大小只有22KB的轻量级区块链协议Mina也应运而生,并于2022年为其开发团队获得9200万美元融资。
展望未来,在数据安全合规驱动下,轻量级数据安全产品和服务将更受特定用户青睐。一是车联网、物联网等数据安全重点保障领域存在大量存储、传输或计算资源受限的设备或场景,同时又要求业务低时延、高性能,常规的数据安全技术和产品将不再适用此类应用场景,轻量级方案成为优势。二是出于成本、性价比等方面的考虑,轻量级方案成为针对性强、精简、专业的微服务或中小微企业的更佳选择,且随着To C市场规模的暴增,C端数据安全防护将向着轻量化一体化迈进。
数据安全SaaS化技术将打开数据安全服务新局面
近年来,“上云”“用云”成为企业数字化转型最直接的路径,产品云化亦成为数据安全服务商进行服务升级的新选择。国内外多个安全厂商已经布局数据安全产品的SaaS化,如亚马逊于2020年推出全托管的安全服务Amazon Detective,可通过收集和分析来自多个数据源的数万亿个事件进行有效的安全威胁识别和定位,并于2022年将其覆盖的数据源扩展至Amazon EKS,亚信安全推出中国首个全云化交付和全网免疫的公有云终端安全SaaS产品——天穹(ImmunityOne),天空卫士推出基于云的数据安全解决方案GatorCloud。
展望未来,数据安全产品的SaaS化将助力数据安全厂商进行服务模式创新。首先,数据安全产品和服务SaaS化的需求加速释放。2023年1月,工信部等十六部门联合印发《关于促进数据安全产业发展的指导意见》,明确提出支持数据安全产品云化改造,提升集约化、弹性化服务能力。其次,产品SaaS化将成为数据安全市场新竞争点。美国Veeam公司发布《2023年Veeam数据保护趋势报告》预测,数据保护方面的云化趋势明显。在激烈的市场竞争中,高效、经济的数据安全弹性服务是数据安全供应商创造服务新优势的利器。
多措并举保护数据要素
建议政府侧加大新技术研究及应用示范支持力度,强化创新和市场双驱动
加快出台《中华人民共和国数据安全法》的配套制度,加大相关政策宣贯,提升政策触达率、渗透率,推动政策要求向市场需求转化。研究设立数据安全专项,加强对后量子密码、全同态加密等前沿领域,以及隐私计算、API安全等关键技术的研发与产业化支持力度,加大开放性数据安全科技项目资助力度。布局数据安全硬件方案行动计划,设计并研发用于隐私计算、全同态加密等数据安全功能的硬件加速器,促进内生数据安全能力建设。各地区立足产业基础和优势,加快布局数据安全产业园区和创新应用示范区等创新载体建设,重点行业领域加大数据安全常态化投入,加速推动行业数据安全技术攻关、创新应用、标准研制。
建议供给侧分类推进数据安全技术产品和服务创新,高效响应市场多元需求
升级优化敏感数据发现、数据分类分级、数据脱敏等基础共性数据安全技术,重点提升其智能化水平;加快可信执行环境、多方安全计算、联邦学习等隐私计算关键技术突破和产品研发;加强后量子密码、全同态加密等前瞻性技术的基础理论和应用研究。加强面向新技术新业态的先进适用数据安全技术产品研发,推动数据安全赋能新领域;加快与人工智能、大数据、区块链等新兴技术的交叉融合创新,推动新技术赋能数据安全。面向重点行业领域、新型应用场景特色需求,开发适用性产品或解决方案;综合考量企业合规成本及其他隐性成本,推出轻量级、SaaS化数据保护方案;面向To C市场,提供轻量化一体化数据安全防护,并注重数据安全技术产品与基础软硬件的适配发展。加强知识产权保护及应用。
建议需求侧强化数据安全防护和数据开发利用,做到治理和发展两手抓
坚持“三同步”原则,将数据安全技术措施前置;加大投入,及时开展对已有数据安全措施的梳理和改造升级;关注基础软硬件数据安全,及数据安全能力硬件实现,将数据安全防护对象和手段下沉。建立内部数据安全评估和审计机制,定期开展数据安全风险评估活动;建立常态化数据安全风险监测预警机制,加强面向API攻击、数据库勒索攻击等方面的主动检测和响应能力部署。加强数据开发利用,推动数据以“产品”的形式释放价值,并积极部署应用安全多方计算、可信执行环境联邦学习、同态加密等数据开发利用支撑技术。加强与供给侧的互动反馈,推动高水平供给满足新建设需求;善用软/硬件物料清单(BOM)等管理工具,加强数据安全供应链风险管理。
建议专业机构做专做强数据安全检测、评估工作,助力产业高质量发展
积极开展数据安全检测、评估相关标准、规范文件研制,以及测试用例设计、评估作业指导书等研发,推动数据安全检测、评估规范化。面向数据安全产品,开展功能、性能、安全、兼容性、可靠性、可拓展性等方面的能力验证,推动营造良好的市场竞争和推广环境。面向服务提供方,分类开展数据安全应急响应、风险评估、集成、咨询、培训等方面的服务能力评估工作,提升被评估方的服务能力认可度。面向能力建设方,结合其所在行业领域出台的政策要求和标准规范,开展数据安全能力建设水平的评估工作,即数据安全风险评估工作,协助建设方及时发现问题并采取相应措施。