近日，联软科技深度参编的《数据安全产品与服务观察报告》正式发布，联软科技再添行业成果！这份备受关注的报告包含哪些核心观点？马上揭晓！

为深化调研我国数据安全产品与服务市场现状，2022年数据安全推进计划面向116家数据安全产品、服务的供应商，开展两轮调研，共计覆盖了488项产品与服务。2023年，数据安全推进计划依托图谱调研工作与五十家厂商企业专家进行了积极探索与研讨，形成《数据安全产品与服务观察报告》，并提炼了十项观察。

观点1  智能化浪潮来临：数据安全产品技术升级

2023年，微软提出“AI安全副驾驶”，认为人工智能能够利用安全模型收集有关潜在威胁，追踪攻击风险。我们观察到，人工智能技术的应用本质上也反映了从静到动的安全防护策略转变，能够提升数据分类分级产品技术的准确性及工作效能、数据安全风险监测技术的自动化响应能力，驱动数据安全向智能化、高效化、精准化方向演进。

同时，我们也应正视人工智能技术应用带来的全新的数据安全威胁。人工智能技术应用在降低了攻击技术门槛的同时，其自身存在的以数据污染、泄露、滥用为代表的安全威胁也将导致攻防态势愈发激烈，这也对厂商及产品带来更大的考验。

观点2  新技术：深刻影响数据安全产品发展

隐私计算：我们发现，在政策红利和安全需求的双重驱动下，隐私计算从落地初期验证阶段进入加速落地阶段，现已广泛应用于多个行业及典型场景。然而，尽管隐私计算“可用不可见”一定程度上解决了数据使用中的安全问题，但在规模化应用过程中依然面临安全与性能平衡、通用解决方案难以应对复杂场景、互联互通阻碍这三大挑战。以上问题无法依靠厂商解决，亟需产业多方合力攻克。目前中国信通院联合多家主流隐私计算厂商建立“隐私计算联盟互联互通推进计划”，探索异构隐私计算平台间的互联互通，迈进“织点成网”、协同推进的新阶段。

量子计算：量子计算机具备在短时间内破解大规模的基于公钥密码的加密算法的能力。这意味着依托于传统加密方法的数据安全产品需要更强的加密机制，以应对攻击勒索态势。我们观察到，量子加密技术能够为数据安全产品提供更高强度的加密处理能力，并持续提供高性能的并发处理支撑，未来或将成为数据安全产品的必要组成部分。然而，由于技术应用成本高，当前落地应用仍面临挑战。

区块链在数据权属主体确认、数据流通追踪溯源等方面发挥重要作用，一定程度上解决了数据交换的过程中面临的所有权界定问题。但我们同样发现，区块链自身存在的安全问题也逐渐显现，且由于区块链节点无法避免实体干预，如何最小程度避免人为因素扰动，保障数据在上链前与链下存储的安全可信，将是区块链与数据安全融合亟需考虑的重要问题。

观点3  第三方评测：“以评促建”创造厂商新优势

第三方评测能够打破供需信息壁垒，提供向用户充分展示厂商产品的优势与特色的途径，助力供需适配。我们发现，25.8%的厂商主动参与过数据安全产品与服务相关的评测，过测产品在营收上表现相对突出，且行业应用案例较多。

我们认为，第三方评测一定程度上能够拉通对齐供需双侧认知，为需求侧解决对产品、服务的疑惑，推动服务机构持续完善产品、服务质量，助力培育良好的行业生态。未来，第三方评测机构完善自身资质、保持独立性的同时，亟需完善评估评测体系，与参评厂商充分互动、发现问题并探讨解决良方，并持续公开评测成果，保障评测结果在需求侧的充分应用。

观点4  安全检查工具：供给难以满足市场需求

在法规的推动下，国外市场已逐步孵化了合规检查产品相关厂商。国内多部门、多角度、高密度的监管要求也使检查工具得到更多用户关注。然而我们也观察到，数据安全检查工具依赖明确的检查输入，受限于监管合规体系庞杂、缺少可被工具解析的检查标准，目前仅18.1%的厂商提供安全检查工具，工具仅在输入相对明确的场景下得以应用。此外，数据安全检查工具在检查维度、精度上同样面临技术挑战。一是合规输入兼容挑战。二是大规模数据分析能力挑战。因此我们认为，未来，这类工具将基于更加明确的监管要求、标准与新技术，持续提高检测与分析的精度。

观点5  数据防泄露：安全防护领域的重点产品

我们观察到，随着全球数据泄露态势严峻，数据防泄露产品市场需求持续走强，目前数据防泄露已成为组织数据安全防护的重点产品。而在供应侧，我们发现，数据防泄露产品市场竞争激烈。大量厂商均在数据防泄露产品及解决方案上积极布局，在数据安全防护产品领域，46.4%的厂商向组织提供数据防泄露产品及解决方案，产品数量占防护类产品的22.5%。

随着组织业务场景持续丰富、数据泄露威胁日益复杂，防护需求不断个性化，数据防泄露产品能力持续升级，将持续适应复杂场景，从工具演进成为综合的解决方案，向用户提供提供更高的敏感数据资产可见性、更场景化的安全策略、更灵活的安全控制能力。

观点6  数据安全网关：产品形态缺乏统一共识

数据安全网关产品数量占安全防护类产品总数的13.2%：基于不同的访问协议、部署环境以及数据对象，数据安全网关可以分为数据库安全网关、应用数据安全网关等产品。我们认为，部署在何种层级直接影响数据安全网关所呈现出的产品形态，这或许是产品缺乏共识的首要原因。而且，由于衔接了不同安全策略，这也导致产品在具备更多样化的安全能力的同时，功能界限也逐渐模糊。

尽管在访问协议、部署位置、数据对象上存在差异，我们认为，不同的数据安全网关仍应具备敏感资产识别、身份鉴别与访问控制、异常行为识别与分析的核心能力，实现面向数据提供细粒度访问控制及安全防护功能。未来，产品将持续扩大数据对象范围，完善兼容能力，通过提供“可插拔”的架构，实现业务、数据以及安全能力的快速接入，避免对业务造成的访问性能下降、链路节点增加等风险。

观点7  数据风险监测：站在“一体化”的“分岔路口”

数据风险监测类产品数量占产品总数的18%。产品通过对数据流转过程中的关键要素进行全方位监控与审计，全链路监测敏感数据的访问与使用情况，识别数据流动安全风险。

我们发现，数据风险监测产品的价值体现在其聚焦数据与数据流向，重点关注如何保障组织数据日常操作的安全性、数据向低安全域流动的场景下如何保障安全等问题，这意味着产品需要具备对接多类型数据源的能力。未来，面对组织日益复杂的数据生态，监测产品的平台化、一体化的趋势已逐渐明确。而单点产品则也需要具备采集更多的安全设备信息的能力，并基于业内完善产品协作的要求与标准，降低产品应用成本。

观点8  运营管理平台：“平台化”趋势下的热门产品

组织具备大量的安全设备，然而，产品堆叠应用将造成数据安全运营工作“断点”，形成“能力孤岛”，导致运营效率低、成本高、成效小。数据安全运营平台成为打破“孤岛”的关键。我们发现，21.6%的厂商向组织提供运营管理平台产品，提供统一的管理入口、全局一致的操作方式，实现对工具的能力编排、调度。

高业务耦合与持续运营是数据安全运营管理平台的核心价值点。我们认为，为降低运营成本，产品需要基于“持续运营”的设计理念，通过数据资产梳理、数据合规管理、安全能力管理等功能，建立“协同管理”的能力，规避产品应用中的粗防护、弱联动、单视角等问题。未来，运营管理平台需要契合业务场景，前置数据安全运营工作的规划环节，避免“拼盘式”运营；二是要持续沉淀各行业典型业务模型，有效覆盖关键业务节点，保障运营效能、效率，走向全面、动态的数据安全运营管理。

观点9  安全合规服务：咨询与评估成为业内焦点

产业发展的指导意见强调壮大数据安全服务，可以预见数据安全合规服务市场发展将持续向好。服务需求量快速增长。我们同样观察到，用户对数据安全合规服务寄予厚望。组织开展数据安全建设的目标是期望完善自身的数据安全合规体系，保障业务发展，因此对服务机构的经验、资质方面的要求逐渐提升。

合规咨询与评估的工作重点不同，服务形式也相辅相成。合规咨询侧重于提供可落地的数据安全建设或整改方案，关注数据安全合规遵从能力提升；合规评估则主要评估组织是否满足特定合规要求。

我们认为，未来，检测工具发展完善，合规评估将逐步从“纯人工、周期式”走向“半自动、常态化”服务模式。而咨询则要求服务机构不仅懂合规、懂安全，还要懂业务，并持续服务前期规划、中期实施以及后期运营的规范性与质量。

观点10  分类分级服务：逐渐演变为独立服务品类

数据分类分级在数据安全治理中起到承上启下的“抓手”作用，并已成为一项数据安全服务。我们观察到，12.9%的厂商向用户提供了数据分类分级服务，而专业咨询是数据分类分级服务的首要增值点。用户更加关注数据分类分级服务能否为常态化运营工作贡献价值。因此，我们认为服务机构应持续完善服务流程，辅助用户建立数据分类分级“规划-实施-运营”的闭环管理机制，实现新增或变更下的动态调整。同时，通过提升数据分类分级工具的性能、效率与精度，提供更高质量的数据分类分级解决方案。