数据安全框架报告：框架系列之一：安全产业研究

1中 泰 证 券 研 究 所专 业 ｜ 领 先 ｜ 深 度 ｜ 诚 信｜证券研究报告｜2 0 2 4 . 2 . 1 8数据安全框架报告安全产业研究框架系列之一：分析师：苏仪执业证书编号：S0740520060001Email：suyi@zts.com.cn2◼ 在国家政策引领、地方试点推进、企业主体创新等多方合力下，我国数据要素市场不断探索和创新，AIGC对数据的需求快速增长，共同驱动数据安全市场规模持续扩大，竞争格局多元化发展。✓近些年，我国数据安全法治治理体系建设取得重要进展，数据安全治理进入“标准化”法治时代，利好政策不断；✓多省级数据局开年密集揭牌，数据安全产业作为配套工程乘风提速；✓预计到2025年，我国数据安全产业规模超过1500亿元，年复合增长率超过30%。◼ 当前，AIGC的海量数据需求为数据安全合规治理带来新变化、新需求。数据脱敏、身份认证与访问控制等技术常用于保护隐私信息不被泄漏，以确保数据的安全性和合规性。◼ 展望未来，数字经济推动数据价值释放、数据量激增与AIGC跨越式发展均对数据安全提出了更高的要求，我国将持续构建更加科学的数据安全合规治理制度体系，切实筑牢数据安全屏障，数据安全产业将得到进一步发展。◼ 风险提示：AI进展不及预期带来下游需求不及预期的风险；市场竞争加剧的风险；政策落地不及预期的风险；研究报告中使用的公开资料可能存在信息滞后或更新不及时的风险等。摘要3CONTENTS目录CCONTENTS专 业 ｜ 领 先 ｜ 深 度 ｜ 诚 信中 泰 证 券 研 究 所1数据安全概述4◼ 数据安全：指保护数字数据免受未授权访问、泄露、破坏或丢失的过程和技术，包括一系列的措施、策略和程序，旨在保护数据的保密性、完整性和可用性，侧重于数据的全生命周期内的安全与合规。•网络安全：一个网络系统不受任何威胁与侵害，能正常地实现资源共享功能，侧重于计算的资源与环境，具有边界。•信息安全：强调信息本身的安全，以信息的机密性、完整性、可用性（CIA）三大基本属性为保护核心，辅以信息的不可否认性（抗抵赖性）、真实性、可控性等扩展属性等保护，侧重于保护一切有价值的信息。•数据资产安全：数据安全3.0时代进入到体系化数据安全治理时代，数据上升到资产，基础设施层面。数据资产的安全重点转为保护具有业务价值的数据；面向数据资产的保护意味着面向企业业务的保护。◼ 关系：数据安全是信息安全的核心，可将网络安全理解为手段，数据安全和信息安全理解为目标。1.1 数据安全/网络安全/信息安全/数据资产安全的定义及关系图表：网络安全和数据安全的范围资料来源： 数据安全架构与治理公众号，中泰证券研究所图表：数据安全基本概念框架图资料来源：与数据同行公众号，中泰证券研究所5◼ 信息化浪潮席卷全球的背景下，全球网络安全事件频发。2023年发生的创记录的数据泄露、勒索软件、零日漏洞、间谍软件和供应链攻击事件为2024年全球网络安全威胁态势定下了主旋律和基调，同时也为网络安全专业人士制定风险管理策略和目标提供重要参考。1.1 2023年最具影响力的十大网络安全事件图表：2023年最具影响力的十大网络安全事件序号事件性质事件事件概述1杀伤半径最大的供应链攻击MOVEit Transfer数据盗窃攻击攻击者利用MOVEit Transfer服务器曝出的漏洞入侵并下载用户存储的数据。2技术最复杂的间谍软件攻击三角测量针对苹果iPhone设备的间谍软件活动，利用了多达四个零日漏洞。3金融业最具影响力的安全事件工商银行美国子公司被LockBit勒索软件攻击攻击导致部分系统中断，攻击者可能利用了未及时修补的Citrix Bleed漏洞。4最严重的医疗数据泄露事件23andMe数据泄露基因检测提供商23andMe遭遇撞库攻击，导致重大数据泄露。5最严重的云数据安全事故丹麦云服务商丢失所有用户数据丹麦托管服务商被勒索软件攻击加密了大部分客户数据且数据恢复不成功。6最严重的游戏业网络安全事件GTA5源码泄露Lapsus$入侵了Rockstar游戏，获得了对Rockstar内部Slack服务器和Confluencewiki的访问权限，并窃取了大量机密数据。7对科技行业威胁最大的DDoS组织匿名苏丹“匿名苏丹”黑客组织的DDoS攻击瘫痪了多家全球科技巨头的网站和服务。8影响最大的在线金融服务数据泄露事件PayPal撞库攻击撞库攻击：黑客收集大量网络上已经泄露的某网站的用户名和密码去登陆另一个网站。9最严重的博彩业黑客攻击米高梅度假村网络攻击导致IT系统关闭BlackCat附属机构在事件期间对100多个ESXi虚拟机管理程序进行了加密。10影响最大的军工企业安全事件波音遭LockBit勒索软件攻击LockBit在数据泄露站点发消息声称窃取了波音的大量敏感数据。资料来源：清华大学智能法治研究院公众号，中泰证券研究所6◼ 根据DAMA，数据安全的原则包括 6个方面：•协同合作：数据安全是一项需要协同的工作，涉及IT安全管理员、数据管理专员/数据治理、内部和外部审计团队以及法律部门。•企业统筹：运用数据安全标准和策略时，必须保证组织的一致性。•主动管理：数据安全管理的成功取决于主动性和动态性、所有利益相关方的关注、管理变更以及克服组织或文化瓶颈，如信息安全、信息技术、数据管理以及业务利益相关方之间的传统职责分离。•明确责任：必须明确界定角色和职责，包括跨组织和角色的数据“监管链”。•元数据驱动：数据安全分类分级是数据定义的重要组成部分。•减少接触以降低风险：最大限度地减少敏感/机密数据的扩散，尤其是在非生产环境中。图表：侧重于数据本身的安全属性时数据安全的原则（CIA数据安全三要素模型）资料来源：与数据同行公众号，中泰证券研究所1.2 数据安全的原则数据安全原则（CIA三元组）保密性(confidentiality)完整性(Integrity)可用性(Availability)确保数据只对授权用户可见和可访问。保护数据免受未授权的修改，确保数据的准确性和可靠性。确保在需要时，授权用户能够访问和使用数据。当侧重于数据本身的安全属性时71.3 数据安全活动的目标&数据安全的主要活动◼ 根据DAMA定义，数据安全活动目标主要包括三个方面:•支持适当访问并防止对企业数据资产的不当访问。•支持对隐私、保护和保密制度、法规的遵从。•确保满足利益相关方对隐私和保密的要求。◼ 数据安全的活动包括六个阶段：识别数据安全需求、制定数据安全政策、定义数据安全标准、评估当前安全风险、实施数据安全控制和程序、实施数据安全审计。图表：数据安全的六大主要活动资料来源：与数据同行公众号，中泰证券研究所实施数据安全控制实施数据安全审计评估当前安全风险制定数据安全政策定义数据安全标准识别数据安全需求业务需求监管需求风险评估审计报告应准备和响应审计准备审计现有安全措施实施检查和测试后续行动制定政策内容宣传和培训监控和审计评估风险和需求确定目标和范围审议和批准实施和执行访问控制安全审计政策和法规遵守维护和更新确定目标和范围数据分类和处理物理和技术保护应急响应计划评估影响和可能性识别和分类数据资产识别潜在威胁制定流程和程序测试和验证应急准备和响应控制措施和程序的选择技术措施的