容亿行研｜数据系列研究：开启数据安全新时代

我们认为数据安全是一个全新的赛道，是站在数据流动的视角，而网络安全则是聚焦在攻防层面，对数据的识别、关联和合规没有完整的解决方案。因此数据安全与传统的网络安全并没有太大关联，是另一条新的赛道。

1.1、数据要素化背景下需要什么样的数据安全？

数据安全是与业务强相关的，而传统的网络安全则与业务是松耦合的。数据安全保护的是数据资产，数据只有在场景、业务中才有价值和意义。数据安全的前提是数据资产化，数据资产化核心是厘清数据和业务之间的关系，通过资产画像、血缘识别、质量标准、资产确权等手段把静态、结构化的数据转换成对象化的有业务含义的资产。数据安全要满足数字资产的业务需求驱动。从业务角度看，数据是实现业务价值的主要载体，数据安全主要保护对象为有价值的数据，而数据价值的等级要从业务的视角来划分。

数据安全要求对数据全生命周期进行防护，从数据的诞生（采集）、到传输、存储、使用、共享，直至销毁，在数据的全生命周期阶段都需要进行防护。

图 1：数据安全的全生命周期

1.2、数据安全与网络安全相互依赖、演进

数据安全是以“保护”为核心，网络安全以“攻防”为核心，数据依托于信息系统而存在，数据安全除了数据本身还扩展到信息系统的各安全领域，两者是相互依赖、演进的，因此构建多层面、全方位、环环相扣的纵深防御，是目前保障数据安全的有效路径。

图 2：从“网络安全”到“数据安全”

1.3、从旧世界走向新世界，从单点产品走向基础架构

数据安全行业的演变是从单点产品走向基础架构，具体可以分为三个阶段：

我们认为过去的数据安全主要在1.0阶段，以单点产品防护为主；2021年以来，随着数据安全法等一系列法律法规的出台，以及业务的驱动，数据安全发展进入2.0时代，企业开始聚焦数据的全生命周期防护安全，而未来随着数据交易市场形成，将进入以数据基础设施安全为核心的3.0时代，因此新进入的创业公司在构建数据安全技术框架的时候要考虑到数据要素流通情况下的企业合规安全，而不能仅局限于数据生命周期安全，这样才能在数据基础设施安全的未来立于不败之地。

图 3：数据安全技术演变历程

数据安全需要构建“立体防护”、“纵深防御”。数据安全领域的“纵深防御”是指在信息系统上根据不同的安全威胁或系统攻击，结合不同的安全防护技术与措施，实施多层的安全控制策略，目标是提供了环环相扣、协同联动的安全防御当一种安全措施失效或被攻破后，还有另一种安全防御来阻止进一步的威胁，降低攻击者进攻成功的机率。

图 4：数据安全纵深的防御体系

资产识别（摸清家底）是网络安全、数据安全以及泛管理类软件中最能产品化也是最重要的第一步。从数据安全具体技术框架体系看，数据识别和数据防护是其中最关键的，是做好数据安全的基石。资产识别的技术核心点在于识别的快、准、全；数据防护的技术核心点在于脱敏、全链路。

图 5：数据安全技术框架体系

图 6：数据安全解决⽅案类型需求排⾏，来源：EY-赛博研究院

资产地图的核心工具分类分级可以类比网络安全的漏扫工具，具有较大的价值。数据安全里面的资产识别也即是了解自己到底有哪些数据资产，这些数据按照重要敏感程度进行分类分级，有了这些之后才能针对性的进行数据防护。类比网络安全的漏扫工具，是摸清自身的漏洞资产，然后再有针对性的进行防御。R7是美股安全公司中单一产品上市公司，其营收主要来自于漏扫工具，其2022年营收高达6.85亿美元，近几年复合增速仍接近30%；Varonis是美股中聚焦数据资产发现的公司，产品聚焦在数据自动化发现和分类工具，2022年营收为4.74亿美元。

我们认为数据安全市场当前处于刚刚起步阶段，其未来的市场规模有望接近网络安全的市场规模，数据安全产品会从资产地图类产品开始落地。

传统的网络安全做的是微创新，在一套存在的架构上嫁接自己的思想，而数据安全则是技术底层发生了变化，比如要对应用间的流量进行分析和监控。同时数据识别是要靠AI自动化进行驱动的，这不是靠原来的技术能够解决的问题，所以对技术体系有个较大的变化需求，总体而言这条赛道对创业公司有非常大的机会。

3.1、合规强驱动数据安全新需求

2021年是我国数据安全的政策元年。数据安全的需求起源于欧洲的GDPR，是史上最严的数据保护法案。欧盟GDPR法案具有域外效应。2021年亚马逊面临欧盟有史以来最大的数据隐私泄露罚款：7.46亿欧元（约57.29亿元人民币，8.88亿美元）。随着欧洲2018年GDPR法案执行，国内于2019年也出台《数据安全管理办法（征求意见稿）》，于2021年6月正式颁发《数据安全法》，并于2021年11月出台《个人信息保护法》，等等一系列的关于数据安全的法律法规不断出台，促使企业在数据安全方面的合规需求日益突出。

图 7：数据安全法律法规

数据安全是数字经济产业的基石，为数据要素保驾护航。数据成为关键战略资源，数据要素市场改革加速。2020 年出台的《关于构建更加完善的要素市场化配置体制机制的意见》，为推进数据要素市场化改革指明了方向。此后，深圳、北京、广东等地相继发文，规划设立交易场所进行大数据交易。

3.2、网络安全思路的陈旧方案难以满足企业新型数据安全需求

企业亟待解决数据安全合规的现实问题。新时期监管要求诞生了新型数据安全问题，关基行业如金融、能源、医疗等数据安全陆续出台行业强制要求，同时跨境企业面临国内外的数据安全合规要求，企业责任人合规压力日益加大。由于数据安全是与业务强耦合的，随着企业数据海量，治理体系复杂，且由于业务的连续性，业务数据之间的逻辑关系用传统的规则方法很难界定。

图 8：企业新型数据合规需求

数安云智成立于2022年3月，两位创始人徐刚、张悦相识多年，均是IT、通讯老兵，分别毕业于于复旦计算机、同济通讯专业，经历了IBM、西门子等海外大厂在国内崛起的过程，也经历了中国移动等国内运营商的起伏，同时也有创业经历，均具备丰富产品研发、管理经验，且在IT、运营商、安全等领域产业背景深厚。在2021年敏锐察觉到数据安全的巨大机会，基于原来在软安、新氦类脑的技术积累，推出了基于AI类脑技术新一代的数据安全解决方案。

4.1、基于AI的平台型完整产品线解决企业数据合规安全流动

数安云智提供基于AI的完整产品线解决企业数据合规安全流动，从业务/战略合规梳理开始，对数据集进行分类、标签、建模，形成数据识别特征，最终形成数据识别和分级分类标准, 并形成针对不同行业，领域，业务场景的模板，并将相关数据识别模板加载在技术运行平台，最终实现以数据为中心的保护体系。其数据安全解决方案主要由数据资产地图、数据分类分级、数据安全策略、数据安全技术构成。产品的底层核心技术为自主开发的小样本环境自适应系统，能够在特定行业下快速形成知识库。

图 10：数安云智数据安全治理框架

AI赋能数据安全体系化，提出数据安全新范式。公司基于自身的AI能力，利用AI提升数据安全的体系化能力，由之前的“识别-防护-检测-响应恢复” 上升到 “感知-防护-决策-响应恢复（行动）”能力。

图 11：企业数据安全合规管控管理及技术体系

我们认为数据安全的技术底层是靠AI自动化进行驱动全新的范式，是由外行来打破和颠覆的机会。原来网络安全的技术框架很难解决问题，传统网络安全人员容易被原有的技术所桎梏，很难跳脱出来创建新的技术范式。数安云智站在网络安全之上，在数据流动的视角，构建的是以数据为中心，以网络为基础的全新安全管控体系，创建数据安全新范式，解决业务驱动的数据安全防护问题。

4.2、不止于数据安全，面向数据要素基础设施的安全服务商

当前的数据安全的需求是2.0时代的面向数据全生命周期的安全，而目前数据要素已经成为国家意志，各省不断出台数据要素落地的细则，数据要素交易市场也在不断的推进，因此未来终将是数据要素时代，数安云智目前已经在参与一些数据交易试点的工作，覆盖数据要素交易市场的各关键需求，对内确保企业数据跨部门、跨地域内部的安全合规流动，在外边数据流转中，确保进入要素交易市场的数据合规。

图 12：数安云智在数据要素市场的作用