一 数据库安全

数据库安全是数据安全的重要子市场，包含了数据库审计、数据库 防火墙、数据库加密、数据脱敏等多种安全产品，其中数据库审计 是最主要的产品，占据了六成以上的市场规模。数据库审计的主要 功能在于对数据库的访问行为进行监管，通过镜像或探针的方式采 集所有数据库的访问流量，记录下数据库的所有访问和操作行为， 在发生数据库安全事件（例如数据篡改或泄露）后为事件的追责提 供依据，并针对数据库操作的风险行为进行告警。

数据库审计最初由网络审计系统发展而来，历经二十多年的发展， 目前已经从第一代针对数据库流量包进行基于正则表达式匹配的审 计技术向当前智能发现与主动推送等智能技术方向演进：

（ 1）第一代数审产品（ 2003 年前后）：第一代数据库安全审计产品由网络审计简单变形而成，采取字符串匹配等审计技术，进行简单场 景下数据库行为活动的监控，但受限于复杂场景下易发生无效告警 和误报等情况。

（ 2）第二代数审产品（ 2009 年前后）：第二代数审产品采用基于数据 库协议的语法、语义的解析技术，产品架构实现升级，能够实现复 杂类场景下的精准审计与告警，准确度显著提升，并能够满足对于 等保政策要求较高、业务量较小的政府类或中小企业客户。

（ 3）第三代数审产品（ 2014 年前后）：数据库访问规模的扩大导致存 储的审计日志数量增加，数据库审计系统难以进行高效检索等性能 问题暴露，大型业务系统的审计需求无法满足，通过引入全文检 索、列存储数据库、多进程并发等技术，产品性能全面升级，用户 范围也逐渐拓展至金融、电信等业务体量较大行业。

（ 4）第四代数审产品（ 2017 年前后）：数据库安全审计产品向智能化 进行升级，能够自动识别数据库类型并进行数据分级，同时根据数 据库结构的变化与安全防护策略进行联动调整，从 “被动支撑”跃 升为“主动推送”。

数据库安全审计市场参与者众多，主要包括：（1）数据库厂商：以 Oracle 、 IBM 为代表的数据库厂商；（ 2 ）数据库安全厂商：国外主要 以 Imperva 为代表，国内以安华金和为代表；（ 3 ）网络安全厂商：以 启明星辰、安恒信息为首的综合型解决方案商。目前，数据库安全 审计市场的前两大厂商为启明星辰和安恒信息，其中启明星辰持续 多年保持数据库审计市场排名第一的位置，而安恒信息的市场份额 近年来持续提升，市场占有率排名上升至第二名。同时以 IBM 、 Imperva 、 Oracle 等为代表的国外厂商在银行等高端市场仍具备较强 的竞争优势，未来国产厂商在数据库安全市场仍存在一定的国产替 代空间。

除了数据库安全审计，数据库防火墙、数据库加密、数据脱敏也是 数据库安全的重要赛道，主要厂商包括安和金华、启明星辰、安恒信息、绿盟科技、奇安信等，以及 Oracle、 McAfee 、 Imperva 等海 外厂商。其中：（ 1 ）数据库防火墙：数据库防火墙作用于应用服务器 和数据库服务器之间，通过修复应用程序的逻辑漏洞和缺陷降低或 消除数据库安全风险；（ 2 ）数据库加密：将存储层中的数据以加密的 形式进行存储，同时实现存储、访问、审计等功能，防止数据泄 露、数据窃取、非法访问数据库等问题的发生，多用于军工、金融 等领域；（ 3 ）数据脱敏：数据脱敏则是对敏感信息采用脱敏方式进行 数据改造，防止数据库中的信息明文显示在系统中，保证数据在开 发、测试等环境中处于安全状态。

二、数据防泄漏 DLP

数据防泄露系统（DLP）的主要用于防止数据的丢失和滥用，通过 部署在终端、邮件服务器、 Web 出口等位置，能够实现内容识别、 加密、管控、审计等多种安全功能。 DLP 最早是由国外安全管理产 品的概念引导而来，但不同于国外 DLP 产品以检测和审计为主的技 术路线，国内 DLP 则更多的采取隔离、强制加密等技术手段。从 DLP 的发展历程来看，最初的 DLP 产品侧重于终端设备管控，通过 在员工办公终端安装客户端，以及在网络出口旁路镜像流量的方 式，对敏感内容进行识别和发现。随着数据安全对象的不断拓展， DLP 的管控对象开始从端点、网络向文档、电子邮件、云延伸，并 且 DLP 在加密技术的基础上，增加了权限控制、审计、端点管理等 功能并逐渐演化成为整套的 DLP 解决方案。近年来 DLP 也通过融合 内容识别、行为分析等新兴安全技术以实现更加智能化的管控。

根据部署方式以及产品形态的不同，数据防泄漏可分为存储 DLP、 网络 DLP 、终端 DLP 、文件 DLP 、云 DLP 等五类。其中：（ 1 ）存 储 DLP ：对存储在服务器、数据库、存储库中的结构化和非结构化 数据进行扫描，然后根据预置在这些设备内的分析策略对扫描到的 敏感数据进行记录，并对敏感事件报警；（ 2 ）网络 DLP ：通过物理 设备或者虚拟机部署在网络端口，通过对网络传输的数据进行内容 分析和识别，包括邮件、即时通讯、 Web 等网络协议传输中的敏感 数据，并及时对违规内容进行审计、告警和阻断；（ 3 ）终端 DLP ： 主要部署在服务器、软件客户端等设备终端，通过发现、识别、监控敏感数据，实现对敏感数据的违规控制，并对其在终端的安全接 入、数据传输等使用行为进行管控；（ 4 ）文件 DLP ：针对 Office 、 PDF 等文档数据进行模块化，在文档创建时即采用加密、隔离、设置用户权限、分级管理等手段实现文档数据的保护；（ 5 ）云 DLP ： 将本地部署的 DLP 解决方案整体迁移上云，解决远程办公场所和移 动终端设备的敏感数据保护的问题，节省用户需要购置多台 DLP 硬 件设备的成本。

国外 DLP 市场发展已经较为成熟，而我国目前对于 DLP 仍保持旺 盛需求，特别在数据安全产业浪潮的驱动下，行业景气度处在不断 提升的趋势。早期我国DLP 市场主要被Symantec、WebSense、 McAfee 等国外厂商占据，但由于技术路线的差异以及在国产替代趋 势下，外资品牌逐渐边缘化。近年来许多终端、加密和审计相关厂 商开始转型进入 DLP 市场，同时部分头部 DLP 厂商也开始提供托 管、咨询、管理、数据分类等服务，与 DLP 产品进行有机组合。目 前国内 DLP 市场的头部厂商主要包括绿盟科技（亿赛通）、天融信、深信服、明朝万达、天空卫士、北信源、联软科技等 。

三、数据安全治理

数据安全治理是一种“体系化”的安全服务，包括了数据安全评 估、数据分类分级、数据安全体系建设、数据安全培训等各类安全 咨询服务，能够为企业的数据安全建设提供全面支撑。全球范围来 看，包括 Gartner 、 Microsoft 在内的多个机构都提出了自身的数据安 全治理框架。以 Gartner 为例，其数据安全治理框架包括了 “前提 - 目标 - 政策 - 产品 - 对象 ”的一整套体系： 1 ）平衡业务需求与风险 / 威胁 / 合规性：在数据治理实施前需从经营策略、治理、合规、 IT 策略和 风险容忍度这五大要素达成统一目标； 2 ）明确数据优先级：首先通 过数据类型、属性、分布、访问对象等将数据分类分级，并以此为 依据进行合理的安全治理； 3 ）制定安全策略：以数据分类结果作为 支撑，提供数据在访问、存储、分发和共享等不同场景下的安全保 护策略； 4 ）实施安全产品：由于数据结构和形态在整个生命周期中 的动态变化，利用加密、数据库审计和防护、数据防泄漏、身份识 别与访问管理等多种安全产品进行实施； 5 ）测试编排同步：主要针 对数据库审计和防护产品，在控制、脱敏、加密等手段中保持数据 访问和使用的同步下发。

国内外市场在数据安全治理的产业生态上存在较大差异，在海外数 据安全治理服务一般由德勤、毕马威、IBM 等咨询厂商提供，而在 国内安全市场，安全厂商扮演了更重要的角色。且对于安全厂商来 说，从产品提供商向安全咨询厂商的角色转变也能够更好的适应用 户对数据安全整体解决方案的需求。过去国内数据安全咨询市场主 要参与者包括四大等专业咨询厂商以及安华金和等数据安全厂商、 随着用户对数据安全的需求正在从过去单点的安全产品向整体解决 方案转变，包括奇安信、启明星辰、天融信、绿盟科技、安恒信息 等综合型安全厂商也开始发力数据安全治理服务，并且以咨询服务 为牵引，带动自身的安全产品的销售。

四、个人隐私保护

随着 2021 年《个人信息保护法》的正式发布，监管部门对于用户数 据合规性的审查监管力度显著加强，个人隐私保护市场需求旺盛。 近年来，我国对于个人信息保护的重视程度不断提升，一方面国家 在《数据安全管理办法》、《个人信息安全规范》、《民法典》等 陆续颁布的政策中均对个人信息保护作出了相关规定，且《个人信息保护法》的出台成为了个人隐私保护的关键里程碑；另一方面， 公安部、工信部等国家相关部门针对 APP 涉嫌隐私等不合规行为责 令整改的力度加大， 2021 年 Q3 ，工信部公开通报了 601 款 APP 存 在违规收集使用个人信息等问题，并下架了 163 款 APP 。同时，移 动 APP 违规搜集用户数据，不合理索取用户权限成为了个人隐私泄 露的主要途径。根据互联网协会的统计数据， 2020 年有 55.93% 的应 用存在用户在不知情的情况下通过移动 APP 被收集个人信息数据的 问题， 导致用户个人隐私泄露。

个人隐私保护是针对个人数据的治理与安全服务，包括个人数据安 全咨询评估、身份管理、个人数据安全检测、个人数据风险监测、 个人数据安全治理等各类服务，能够避免个人隐私数据的泄露。以 奇安信为例，奇安信的隐私卫士主要包括应用行为检测、标准合规 检测、隐私政策检测三大功能，首先通过移动应用监测平台对各类 APP 出现的安全漏洞、隐私违规、恶意行为等安全问题进行分类， 再结合《 App 违法违规收集使用个人信息行为认定方法》等各类隐 私保护的法律法规，对 APP 的研发、测试、上市等各环节进行合规 检测，并出具合规性评估报告，据此来指导 App 运营者进行整改， 帮助运营者提高检测效率、降低合规风险、节省检测成本。

目前，个人隐私保护问题主要集中在移动端，因此在个人隐私保护 市场，移动安全厂商具备先发优势，包括爱加密（国华网安子公 司）、梆梆安全等移动安全龙头厂商已经具体较完善的个人隐私保 护的产品线，同时包括奇安信等综合安全厂商也推出了相关产品。（1）爱加密：自 2013 成立以来专注于移动应用安全领域，具备应用 加固、安全检测、移动安全管理平台等全面的移动安全产品线，并 在三年时间内就已经覆盖 8 亿终端，保护 APP 数量达到 80 万款，稳 居个人隐私保护市场榜首；（ 2 ）梆梆安全：作为国内首个提出 “应用 加固”理念的安全厂商，目前拥有移动应用安全加固、移动应用源 代码加固、加密 SDK 等移动安全产品线，并且连续三年成为唯一正 式进入 Gartner 全球应用保护市场指南的中国企业。此外，个人隐私 保护市场的主要参与者还有奇安信、天空卫士、炼石网络等安全厂 商。

五、加密与文档管理

文档加密主要针对 Word、 Excel 等办公文档，采用多种加密技术对 设计图纸和代码等计算机文件进行加密，并配以用户访问权限设 置，防止敏感数据的非法外泄。文档加密的传统技术手段主要有磁 盘加密、应用层加密、驱动级加密等，但由于这些技术是基于应用 层加密，对应用程序的依赖性较强，兼容性和二次开发的效果较 差，因此文档加密技术进一步升级为透明加解密技术，基于数据自 身，由系统对未加密的文档进行自动加解密，减少对环境的依赖 性，使数据在脱离操作系统或者非法脱离安全环境的情况下，仍能 够保证用户数据的安全性。

文档加密软件不仅可以作为独立软件使用，也可以与其他安全系统 集成，成为内网安全系统的一部分。国内文档加密软件以国内安全 厂商自主研发的软件为主，具备完全的自主知识产权。亿赛通（绿 盟科技子公司）是最早一批进入文档加密市场的数据安全厂商，成 立以来一直处于领先地位，而安信天行、明朝万达、卫士通等多个 安全厂商也紧随其后进行文档加密市场的拓展。此外，IBM、华为等公司也采取技术合作、购买软件使用权等多种方式，与加密安全厂 商共同开拓文档加密市场。

六、容灾备份

容灾备份是指通过异地建立的备份存储系统，对关键应用数据实时 复制，当系统因意外停止工作时可由异地系统接替本地系统保障业 务的连续性，包含容灾和备份两种产品。其中容灾作为一个系统工 程，强调处理外界环境对系统的影响，提供系统节点的业务恢复功 能；备份则是将系统中的数据集合复制到其他存储介质中，防止因 系统出现操作失误或者系统故障产生的数据丢失等问题。容灾与备 份虽然都属于存储的子领域，但备份侧重于数据保护，而容灾更偏 业务应用保护，同时备份还可作为容灾方案的有效补充，保证其在 线数据的可恢复性。

容灾备份最早可追溯至上世纪 50 年代，国外公司采取数据备份、系 统备份的形式，将其副本放在异地保护来保障数据安全，但光靠 IT 备份难以保证海量数据的安全性，因此加入了灾难恢复预案、资源 需求、灾备中心管理等功能，连接异地站点，保证数据在系统发生 故障的同时仍能够正常使用。而由于容灾备份仅存在于传统的 IT 系 统，无法满足业务连续性的要求，因此灾备逐渐从面向 IT 转为面向 业务，加入业务影响分析、策略制定、业务恢复预案等功能，以此 保障整个业务的数据安全。未来，随着云技术的成熟，容灾备份将 整合到公有云或分布式存储中，以服务的形式提供。目前，国内容 灾备份市场主要有 Veritas 、 CA 、 Falconstor 等国外安全厂商，以及安 信天行、北信源、格尔软件等国内安全厂商，同时 IBM 、 EMC 等服 务器厂商也通过收购对容灾备份产品线进行布局。（图文来源：未来智库）