数据泄露反复证明数据安全的关键性，数据安全产品需要不断发展。挑战越来越大，唯有对现有数据安全产品进行重大创新。 [出自:jiwo.org]

对当前现状的几大发现：

• 组织很难将注意力和投资放在数据安全技术上。
• 数据保护的发展慢慢开始涵盖新技术，如机器学习(ML)、人工智能(AI)、区块链和高级数据分析，来弥补内容和情景间的差距。
• 首席信息安全官(CISOs)正在寻找一种组合，涵盖加密、令牌化、数据脱敏、以数据为中心的审计和保护(DCAP)和数据丢失预防(DLP)，以纯粹SaaS形式或者以管理的安全服务，或两者混合。
• 数据安全厂商市场很大，主要提供单点产品而非多功能套件。

一、趋势分析

图1. 数据安全生态系统 - 每个领域的代表性供应商

随着网络威胁的增加以及数据关键性和价值提升，数据保护产品不断发展。同时，随着终端用户继续走向数字业务，采用云服务，数据会变得更加危险。组织需要能够对访问，可见性和监控进行更强控制的产品和工具，这是未来数据安全的主要内容。

首先，数据访问管理(DAG)产品必须到位。这意味着DLP、DCAP、DAG、特权访问管理(PAM)和身份管理和管理(IGA)产品之间更紧密的集成。

其次，Gartner建议安全和风险管理人员和CISO采用CARTA方法。CARTA结合了对自适应访问控制的需求，以及用于传统应用程序的用户和实体行为分析(UEBA)监控。

随着破坏性技术的兴起，技术战略规划师可以通过新兴技术增强自身产品体系;通过调查整合或开发替代的破坏性技术，并创建收购和整合策略来跳出传统技术思路。

新兴技术列举如下

Gartner的“2017年十大战略技术趋势：Gartner趋势分析报告”和图3点明了旨在提高数据保护的三个主题(智能，数字和网格) 的技术。下面概述的技术多处于与数据安全产品集成的最初阶段，能填补当前产品集的一些空白。

图2. 2017年十大战略技术趋势

• 高级安全分析：数十年来，高级分析已被纳入欺诈检测应用，可更好地实现数据处理和自动化保护结果。
• 人工智能和机器学习：AI和ML通常在讨论大数据和分析时可互换使用，这些技术在应用于数据安全领域时处于起步阶段。
• 多方位计算：多方面计算(MPC)是一种密码学方法，使实体(应用程序，个人或设备)能够处理数据的同时保持数据处于受保护，机密和私有状态。
• 区块链：“破坏性”的区块链很有潜力，支持Blockchain的数据安全应用程序提供了建立信任和弹性的替代方法。
• 差异性隐私：差异性隐私是2006年开发的一种技术，通常适用于“隐私”用例，有望改善个人及其数据的隐私。

除了新技术的次第萌芽，硕大的数据安全环境下，技术的收购和伙伴关系的发展，可以更好地帮助组织降低复杂性并实现业务目标，降低数据泄露风险。技术战略规划者必须通过OEM协议来扩大生态系统的范围。

据Gartner的调查：组织表示，产品即服务(SaaS化)的能力在亚太地区、北美和欧洲都很受欢迎，安全预算在500万到1000万美元之间的组织也对SaaS感兴趣，并将成为客户“首选”，并看重其灵活性，低成本和获得最适合最终用户需求的产品能力。特别是人力、财力有限的中小企业(SMB)，更倾向这种模式。

二、背景和环境

越来越多的数据泄露和对云服务的攻击正在增加组织的业务风险。组织更加关心在结构化和非结构化环境中识别，分类和保护关键数据集，以符合GDPR。组织现在感到需要申请数据安全治理和信息资源的压力，将每个数据集作为金融资产和负债进行评估，技术战略规划者应当改进能力以响应。

• 企业数字版权管理(EDRM)：Gartner将EDRM描述为用于对某些类型的企业数据强制访问和使用控制的技术，可结合DLP，文件库，身份和访问管理(IAM)服务等技术，提供更优工具组合。

• 以数据为中心的审计和保护工具：DCAP产品和技术特点能够集中监控用户、管理员与特定数据集相关的活动。DCAP供应商需要通过有机生长和收购来继续增加技术能力，特别是在UEBA，AI / ML和区块链技术领域。

• 数据丢失预防：展望未来，终端用户组织有望越来越多地寻求集成的DLP功能，而不是全面的E-DLP套件。

• 用户和实体行为分析(UEBA)：UEBA已完成数据安全产品的集成，这项技术有望成长壮大，技术战略规划者必须建立UEBA /员工监控能力，以帮助终端用户进一步提升其数据安全状态。

• 特权访问管理(PAM)：PAM到2020年有望实现复合年增长率为27%的显著增长，达22亿美元。集成PAM产品将增强数据安全产品，并向最终用户提供多种功能。

• 安全意识计算机培训
• 数据脱敏：数据脱敏是一种旨在防止滥用敏感数据的技术。它为用户提供虚构而实用的数据，而非真实、敏感的数据，因此用户可以保持其执行业务流程的能力。与加密和令牌化不同，数据脱敏技术，数据经历单向转换，不可逆。数据不能通过篡改操作被透露。

图3. 数据脱敏示例

三、影响与结论

数据安全领域正在快速发展，提供商越来越多。由于最终用户关注保护数据的完整性和隐私性，关键技术的整合或收购将有望增值，并具有可观增长潜力。了解最终用户的需求，了解更智能化的数据安全控制的重要性，将有助于塑造数据安全产品策略。

将以上技术添加到现有产品体系将引发数据安全市场空间的变革，使安全性更智能化、自动化，这可能意味着数据安全市场的革命性变化，帮助客户应对数据安全挑战，使客户走上更有效的数据安全道路。提供SaaS和内部部署形式的产品将提供更多选择，使组织能够选择功能模块，而非购买增加复杂性的大型套件。

针对最终用户的需求，技术战略规划者需要：

• 使用持续的风险和信任评估方法，通过设计CARTA的投资组合来改善客户的数据治理策略;
• 通过测试与破坏性技术的集成或开发，并通过合作或收购这些技术，在传统技术框架之外创建解决方案;
• 通过为客户创造具有商业激励的移动计划，加速SaaS产品应用;
• 加入安全计划，如OWASP，与互补邻近市场的供应商建立关系和整合。