《2022年中國企業數據安全現狀調查報告》發布

導言

2022年，全球網絡安全威脅態勢進入高度不確定的“黑天鵝時代”，企業數據安全和風險管理面臨前所未有的挑戰，包括：

• 網絡犯罪的“民主化”
• 地緣戰爭引發的網絡戰升級
• 漏洞披露數量和利用速度屢創新高
• 供應鏈和關鍵基礎設施攻擊進入“熱戰”
• 疫情期間遠程辦公和數字化轉型攻擊面擴大
• 勒索軟件和網絡釣魚活躍度和復雜性不斷提升
• 數據安全和隱私保護的合規難度和成本不斷加大
• 環境、社會和治理（ESG）給數據安全帶來的新挑戰

數據安全作為網絡安全防御體系的核心任務，目前正處在高速發展的初期，企業數據安全能力建設過程中，政策監管和市場宣傳經常蓋過了企業用戶的真實聲音。而企業作為數據安全技術和策略的實施主體，其數據安全現狀、痛點、需求、經驗的能見度偏低，行業內及跨行業知識和經驗分享與交流不暢，這并不利于數據安全市場的健康發展。

為了幫助廣大中國企業提高數據安全“能見度”，推動安全主管的跨行業交流，在“槍炮、病毒與數據安全”的高不確定性年代制訂有效的數據安全戰略，GoUpSec聯合承制科技發起《2022年中國企業數據安全現狀調查報告》，對大型行業企業和關鍵基礎設施用戶安全主管進行多維度調研，包括：

• 透析企業數據安全的“痛點”和“癢點”；
• 爬梳企業數據安全能力建設的最佳實踐；
• 摸查企業數據安全產品需求與期望、支出與預算；
• 洞察企業數據安全技術趨勢與市場熱點；
• 聚焦企業數據安全面臨的威脅與挑戰。

本次調研面向金融、制造、醫療、教育、交通、政府、零售、電力等關鍵行業的上百家大型企業網絡安全主管，力求為中國企業識別數據安全領域的新威脅，新技術、新挑戰、新趨勢和新需求，制訂有針對性的數據安全新戰略提供關鍵決策信息，同時也為中國網絡安全企業在數據安全市場的產品策略和市場布局提供有益參考。

重要發現

以下為《2022年中國企業數據安全現狀調查報告》的重要發現：

• 企業數據安全能力建設的主要驅動力
• 企業數據安全能力建設的最大障礙
• 企業數據安全的投入與預算計劃
• CSO對市場中數據安全產品/服務最大的不滿之處
• 企業數據安全十大痛點
• 企業數據安全十大熱門新技術
• 企業數據安全十大威脅

調研內容

四分之一的企業承認發生過較大的數據安全事件

受訪企業安全主管中，約四分之一（27%）承認發生過較大數據安全事件，但GoUpSec認為實際數字可能會更高。正如GDPR導致歐洲企業勒索軟件攻擊的暗網數據統計與官方披露數據存在較大差異，嚴格的監管法規和過高的合規成本往往也是一柄雙刃劍（GDPR罰款基準是企業年營業額的4%），導致企業瞞報率上升，而瞞報會導致行業威脅情報不暢，導致威脅蔓延造成（包括企業和個人）更大的附帶損失。作為參考，美國政府最近出臺政策強制要求企業在規定期限內披露安全違規事件。

數據安全能力建設的三大驅動力

監管與合規依然是當下企業數據安全能力建設的主要驅動力（53%），其次是數據安全事件和業務發展驅動。隨著近年來我國數據安全相關法律法規體系的完善和落地，合規需求將在很長一段時間內成為企業數據安全能力建設的主要驅動力。與此同時，隨著網絡威脅和數據泄露事件的不斷增長，以及企業數字化轉型攻擊面的擴大，數據安全事件和業務發展驅動的占比不斷提高，已經接近“半壁江山”，這表明企業對數據安全與業務發展，數據安全與競爭力的關系有了更為深入的認知。但是我們也應該看到，企業對數據安全與ESG（環境與社會責任和治理）的關系尚未充分重視，只有不到1%的受訪者對數據安全的次生影響表達了關注。

數據安全能力建設的最大障礙：供應商產品/服務與需求差距大

本次調研暴露出的最大問題之一是：超過三分之一（36%）的企業認為網絡安全廠商的數據安全“產品/服務與需求差距大”是數據安全能力建設的最大障礙，其次是“預算不足”（29%）和“領導不夠重視”（27%），而過往調研中較為常見的一些問題，例如人才和技能短缺，治理架構等，只占不到8%。

數據安全“產品/服務與企業需求差距過大”成為企業數據安全能力建設的最大障礙，表明數據安全市場的產品和服務提供商對行業企業用戶的需求理解、執行交付以及服務能力尚有欠缺。當然，產品功能欠缺和集成性差也是不容忽視的重要原因。

超過半數企業認為數據安全產品只能滿足不到60%的需求

當前，數據作為新型生產要素，正深刻影響著國家經濟社會的發展。然而，僅有少數受訪者（5%）認為目前市場上的產品/服務能夠滿足單位數據安全項目的需求，大約三分之一（29%）的受訪企業安全主管認為目前市場上的產品/服務達不到及格標準。

目前數據安全市場主流產品品類繁多，例如數據防泄漏、數據脫敏、數據加密、數據網關、數據水印等，但是隨著企業部署的數據安全單點產品數量增多，以及數據安全與企業整體縱深防御體系和技術堆棧的集成需求增加，越來越多的缺乏互操作性的數據安全工具正在成為企業網絡安全運營面臨的最大挑戰之一。安全工具的碎片化導致產品性能和價值承諾難以兌現，我們預計未來幾年企業的這個痛點將導致安全產品和供應商的加速整合。

企業數據安全的十大威脅

內部威脅（25%）和勒索軟件（25%）是企業安全主管們評選出的兩個最大威脅，得票數顯著高于其他威脅。而在歐美地區網絡安全主管調查報告排名靠前網絡釣魚/BEC郵件攻擊的排名則顯著低于預期。這表明我國企業網絡安全主管們對“人的因素”和威脅更為重視，這也包括“人員錯誤/遠程辦公/BYOD”（第三名），疫情的反復和遠程辦公與BYOD導致的攻擊面擴大，進一步增加了人員（端點）相關風險。

企業數據安全的十大痛點

在甲方眼中的數據安全十大痛點調查中，超過七成（71%）的受訪企業安全人士認為“人員安全意識”是數據安全的主要痛點，其次是特權賬號（58%）、內部威脅（56%）、第三方與供應鏈安全（56%）、API廣泛調用（52%）、新場景新業務的復雜性（52%）、數據資產能見度（50%）、風險與合規（41%）、混合云跨云環境（41%）、人才短缺（41%）。

值得注意的是，多年來業界反復強調的人才短缺問題，在十大痛點調研中排名最后，這標志著數據安全正在成為企業跨部門的全員責任，而不僅僅是IT和安全部門的責任，在這個轉變過程中，與人才短缺相比，企業安全團隊面臨的更大挑戰是提升企業全體員工的安全素養，“特權賬號”和“內部威脅”這兩個排名前三的痛點也都與人員意識和“人的因素”有關。

與數字化轉型和業務創新相關的“API調用”（第五名）、“新場景新業務”（第六名）已經被提升到顯著地位，這意味著企業數據安全“促發展”的需求正變得強烈。

“第三方、供應鏈安全”（第四名）排名僅次于“人的因素”（一、二、三名），這標志著企業對供應鏈安全問題已經高度重視。

企業數據安全的十大熱門新技術

在熱門數據安全技術的調研中，隱私增強和隱私保護相關的數據安全技術受到了企業安全主管的重點關注，這包括同態加密（第一名）、數據脫敏（第二名）、安全多方計算（第三名）、智能數據識別（第五名）、數據匿名（第六名）和聯邦學習（第八名）。

同態加密作為目前市場上最強大的隱私增強保護技術之一，可以讓企業在云環境中安全存儲、使用和管理數據，而無需向云服務商提供對加密密鑰的訪問權限，同態加密可廣泛應用于在數據隱私、法規合規、反洗錢、金融欺詐和數據貨幣化等領域，從本次調研結果來看已經成為企業數字化轉型中最熱門的隱私增強技術。

企業數據安全規劃：第一步做什么？

大多數受訪企業安全主管的數據安全策略是“以我為主”，即先做好數據安全治理和規劃（60%），再上安全產品，超過三分之一的安全主管選擇“咨詢、規劃、產品一體化進行”（34%）。

現在所處的公司未來在數據安全上預計投入多少？

當前數據安全產品存在哪些不足？

對未來數據安全產品的功能有哪些期望？

有哪些因素阻礙數據安全廠商發展？需要哪些支持？

附錄：調研方法

為了全面深入、客觀準確地挖掘當前數據安全市場需求側的痛點與觀點、需求與趨勢，《2022年企業數據安全現狀調查報告》于2022年3月10日至4月28日，采用線上交互和走訪方式訪問了金融、電信、能源、醫療、互聯網、汽車、政府等十多個行業的95家大型企業的111位網絡安全主管（CSO）和安全專家，共收到111份有效問卷反饋。以下為受訪者的企業規模和行業分布信息：

總結與思考

在強監管和高不確定性時代，我們的數據安全管理是否存在“隧道視野”和“信息繭房”？我們正在進入“大數據”時代還是“小數據”時代？數字化轉型是“上云”還是“下云”？舊的數據安全戰略“邊框”和風險治理模型是否需要做出根本性的改變？我們的企業管理層是否真的洞察到了數據安全的價值和戰略、危機和機遇？

GoUpSec期望《企業數據安全現狀調查》系列報告能夠深度挖掘甲方企業數據安全痛點和趨勢，推動安全主管們的跨行業交流和分享，促進數據安全體系和能力建設在企業組織架構的橫向和縱向交流，讓安全融入企業文化和管理戰略的血液，讓安全數據成為企業戰勝不確定性的核心動力。

（來源：@GoUpSec）