当前位置：首页 > news >正文

Gartner发布2025年数据安全技术成熟度曲线：29项最新数据安全相关技术发展和应用趋势

news 2025/8/2 0:05:09

面对地缘政治不稳定和人工智能、量子计算等新兴挑战，安全和风险管理领导者正将数据安全工作置于优先地位。人工智能信任、风险与安全管理、加密敏捷性、数据访问治理等创新技术可以帮助缓解这些驱动因素带来的数据安全风险。

需要知道什么

多种因素正在激发人们对数据安全策略和技术的兴趣和变革。对生成式人工智能 ( GenAI ) 的持续担忧发挥了重要作用。此外，隐私和合规法规也在不断发展，尤其是在与人工智能交叉的领域。日益加剧的地缘政治紧张局势也加剧了这些转变。

成熟数据安全解决方案的传统局限性进一步加剧了这些挑战的复杂性。从历史上看，此类技术往往各自为政，采用专有的数据分类方法。它们通常只关注特定的数据存储库或数据处理步骤，并且与更广泛的安全控制措施的集成有限。

这些缺陷也导致了新型单点解决方案的出现，其中许多解决方案作为更广泛的安全产品组合中的功能提供。随着安全和风险管理(SRM)领导者探索传统数据安全技术的替代方案，围绕这些技术的炒作正在迅速升温。

展望未来，随着量子计算威胁从理论担忧转变为实际现实，SRM领导者需要优先考虑加密敏捷性和后量子加密控制的实施。这些措施对于确保抵御新兴量子攻击的能力将变得越来越重要。同时，随着数据安全技术不断发展以应对日益复杂的威胁形势，组织可以期待获得更广泛的整合数据安全解决方案。这些集成功能将能够更全面、更有效地保护敏感信息。

炒作周期

数据安全对于许多新兴技术的安全部署至关重要。SRM 领导者必须仔细评估并选择合适的数据安全技术，以符合其组织的目标。这样做对于降低监管风险并保护组织免受无效数据安全计划造成的潜在声誉损害至关重要。这些控制措施有助于满足监管标准、预测未来的数据风险并整合不同的平台，从而降低管理多种安全工具的成本和复杂性。

本技术成熟度曲线中重点介绍的数据安全控制分为几个不同的类别，包括：

人工智能数据安全控制：这些技术有助于识别组织内未经授权的 GenAI 使用行为，并降低与 AI 异常或攻击相关的风险。此外，它们还能通过防止数据泄露并提醒安全团队注意注入攻击或敏感数据暴露给 GenAI，从而确保大型语言模型 (LLM) 中的数据使用安全。对这些概念感兴趣的 SRM 领导者应该查看 AI TRiSM、AI 运行时防御、AI 安全态势管理 (SPM) 和合成数据的炒作周期条目。
数据驻留、隐私法规和违规响应：这些技术控制措施有助于为数据安全计划奠定战略基础。它们支持风险和隐私影响评估，使组织能够将技术控制措施与相关法规要求相一致。请参阅技术成熟度曲线中关于数据泄露响应、隐私设计、隐私影响评估和隐私管理工具的条目。
结构化和非结构化数据的数据发现、分类和分级：这些技术提供了一套基础控制措施，每个数据安全计划都应以此为基础。更多信息，请参阅技术成熟度曲线中关于数据分类、数据发现、数据安全态势管理 (DSPM) 和元数据管理解决方案的条目。
跨端点、应用或存储层的数据处理和分析：这些功能可在数据所在位置提供控制，因为数据是动态的且不断演变。有关数据所在位置的数据安全控制，请参阅技术成熟度曲线中的数据安全平台、数据存储管理服务、数字通信治理和归档、端点访问隔离以及安全企业浏览器条目。
隐私增强技术和加密控制：这些技术创新有助于平衡数据机密性和数据实用性，为敏感数据提供加密和隐私控制。对加密和隐私控制感兴趣以维护数据机密性的SRM领导者，可以参考机密计算、同态加密、差分隐私、多云密钥管理即服务 (KMaaS)、格式保留加密和隐私管理工具的炒作周期条目。
具备多功能数据安全特性的多云平台：由于 SRM 领导者需要能够应用一致策略的控制措施，这些整合的创新技术持续受到热捧。对此类控制措施感兴趣的人士，可以参考炒作周期中关于云原生数据防泄露 (DLP )、数据访问治理、数据安全平台、多云数据库活动监控 (DAM) 和安全服务边缘(SSE) 的条目。

图 1：2025 年数据安全技术成熟度曲线

优先级矩阵

随着企业迅速拥抱人工智能，定制化数据安全技术的需求也变得愈发重要。人工智能安全态势管理 (AI SPM) 和人工智能运行时防御等技术在现代数据安全策略中发挥着关键作用。这些解决方案可以检测未经授权的 GenAI 使用行为，降低人工智能异常或攻击带来的风险，并确保 LLM 内的数据使用安全。这些技术可以帮助 SRM 领导者警惕基于提示的攻击、数据泄露媒介以及未经授权的敏感信息访问。它们也是 AI TRiSM 框架的重要组成部分。

除了人工智能驱动的进步之外，确保隐私和安全数据使用的需求仍然是数据安全创新的主要催化剂。同态加密和机密计算等技术可以确保数据共享、数据处理和计算过程中数据的机密性和安全性。在对数据共享和数据驻留有严格隐私和安全要求的环境中，围绕这些技术的炒作仍然盛行。

越来越多的组织正在寻求整合的网络安全平台，这促使技术提供商加速开发集成数据安全功能。整合技术能力的基础由多项高效益技术构成，包括数据安全平台、隐私管理工具和安全服务边缘解决方案。我们预计，未来这些技术的采用将大幅增长，尤其是在它们能够扩展以应对与人工智能相关的新兴安全威胁的情况下。

此外，随着量子计算的广泛应用，非对称加密算法已不再安全。SRM领导者应密切关注加密敏捷性、后量子加密和量子密钥分发。这包括过渡到量子安全算法，因为随着2020年代接近尾声，替换易受攻击的加密算法的紧迫性只会愈发紧迫。

最终，是否采用本技术成熟度曲线中所列举的创新取决于诸多因素，包括组织的风险偏好及其业务目标。SRM 领导者应使用优先级矩阵来有效地确定相关数据安全技术的优先级，并对其进行战略性投资指导。

2025年数据安全技术优先级矩阵

效益	距离主流采用需要的时间
	不到2年	2至5年	5至10年	超10年
转型			同态加密
高的	数据访问治理数据泄露响应数据分类隐私管理工具	AI TRiSM 云原生 DLP 机密计算加密敏捷性数据存储管理服务数字通信治理与归档元数据管理解决方案隐私影响评估安全服务边缘合成数据	AI运行时防御数据安全平台数据安全态势管理后量子密码学
中等		数据发现端点访问隔离格式保留加密多云密钥管理即服务(KMaaS) 隐私设计	AI SPM 多云 DAM 安全企业浏览器
低的		量子密钥分发	差分隐私

来源：Gartner（2025 年 7 月）

脱离炒作周期

前几年技术成熟度曲线中重点介绍的几项创新已从 2025 年数据安全技术成熟度曲线中移除，因为它们作为数据安全技术不再具有炒作或发展势头：

数据风险评估
数据安全治理
金融数据风险评估（FinDRA）
主权数据战略

其他几项创新由于不同的原因被从技术成熟度曲线中剔除，具体如下：

数据安全即服务和零知识证明的创新不再出现在技术成熟度曲线上，因为它们在达到生产力平台期之前就已经过时了。
企业密钥管理已达到生产力成熟期。
由于缺乏数据安全技术的炒作，DevOps 测试数据管理已被删除，因此删除它是合理的。

技术萌芽期

1、端点访问隔离

效益评级：中等

市场渗透率：目标受众的1%至5%

成熟度：成长期

定义：端点访问隔离 (EAI) 由客户端应用程序组成，用于促进对应用程序和数据的安全访问，同时将该端点与其访问的系统隔离。该技术可以部署为远程访问代理、托管应用程序或独立的虚拟端点。它可以在无法可靠安装客户端管理或安全软件的地方扩展访问权限。

为什么重要

EAI 将远程访问扩展到组织无法直接保护的设备。Windows和macOS平台缺乏与移动设备上安全自带设备 (BYO)相同的控制机制。由于缺乏直接控制，将数据与本地访问隔离成为了一种强制手段。EAI工具依赖客户端应用程序提供设备状态遥测证明，使其在访问资源时能够持续保持身份验证和监控。EAI 工具是一类独立于传统 VDI 或 DaaS 工具的技术，可以作为这些工具的访问层，提供全面的隔离解决方案。

商业影响

用户跨多设备混合办公可能需要在无法进行本地控制和管理的情况下安全地扩展访问权限。EAI结合了端点安全、审计和数据隔离功能，使组织能够对难以保护的设备提供安全访问。EAI工具旨在作为传统但成本高昂且复杂的 VPN 或 VDI 解决方案的轻量级、易于安装的替代方案。该技术专注于本地安装的访问客户端或隔离的计算环境，作为安全呈现内容和应用的启动点。

驱动因素

传统的 VDI 和 DaaS 解决方案对于呈现主要通过本地应用程序或浏览器访问的应用程序来说成本高昂且复杂。
组织正在探索向更多用户和用例提供访问权限的方法，但需要一定的可见性和询问不直接受组织控制的设备的能力。
传统的VPN远程访问虽然具有成本效益，但可能难以支持动态、零信任访问策略，并且无法根据用户或设备环境动态调整访问。
组织可以将承包商和其他外包工人从物流复杂的公司拥有和管理的硬件转移到由 EAI 代理访问公司数据的非托管本地设备，从而减少运营开销。

障碍

EAI由多种技术和架构组成。有些工具专门针对特定需求（例如增强用户身份验证），因此吸引力可能比较有限。
虽然 EAI 工具提供了各种各样的访问选项，其中数据和应用程序真正与本地客户端隔离，但这些工具的性能和用户体验权衡可能认为直接管理的传统设备是更可行的选择。
安全企业浏览器技术日趋成熟，通常被认为足以保护 EAI 常用的用例。成本和用户体验可能会根据具体情况决定是否采用 EAI。
用户不愿意在个人设备上安装公司技术，尤其是监控使用情况和性能的代理。

2、AI SPM（AI安全态势感知）

效益评级：中等

市场渗透率：目标受众的1%至5%

成熟度：新兴

定义：AI 安全态势管理 (AI SPM) 工具可帮助企业扫描其基础架构，以发现已部署的 AI 模型、助手和代理及其相关的数据管道。AI SPM 评估企业 AI 基础架构在暴露于数据存储和处理工作负载时如何产生风险。

为什么重要

当企业部署的AI 基础设施未知、未经批准、配置错误或存在已知漏洞时，数据风险就会出现。AI SPM工具有助于发现所有使用数据（公共和私有）的 AI 模型，评估基础设施的风险暴露，对发现结果进行风险优先级排序，并帮助实施补救措施。更优秀的工具可以将数据分析扩展到整个数据管道，以识别由于不当训练、管道目标、提示和未经授权的访问而导致的风险。

商业影响

业务团队正在全速推进人工智能部署。网络安全领导者需要支持这种快速应用，同时帮助确保企业数据资产不会因未知和未经批准的人工智能而意外暴露或面临风险。错误配置的人工智能基础设施、易受攻击的模型或过度访问不仅会使企业数据面临风险，还会对合规性、竞争优势、声誉和人员安全造成风险。

驱动因素

人工智能模型和助手越来越多地被部署在企业基础设施中，而没有对其配置、权限、暴露或所使用的数据进行任何评估或了解，因此需要专注于人工智能/GenAI 的安全态势管理功能。
其中一些 AI 模型的部署超出了IT的控制范围，因此需要一种发现能力来识别未知或不合规的模型数据使用情况。
不受管理的训练流程可能会导致许多数据存储库暴露给 AI 模型。模型使用的数据管道需要分布在不同的云实例中，并且后续授予相关助手的访问权限和提示也需要进行映射。
越来越需要评估模型中使用的数据的机密性和商业敏感性，以防止不合规、侵犯隐私、中毒风险和安全漏洞。
AI SPM 产品可帮助组织回答“我的组织正在使用哪些 AI 模型，这些模型是否代表未知或不可接受的数据风险？”

障碍

AI SPM 功能正在CSPM 和 DSPM 市场中融合，使得比较和评估变得具有挑战性。
要充分发挥AI SPM 的优势，需要与业务、数据和分析、法律和网络安全领导者合作，协调多学科治理方法。
AI SPM产品难以支持种类繁多且快速变化的 AI 模型。它们也缺乏甚至完全没有能力评估内部开发的模型或开源模型的正确配置或漏洞。
AI SPM 产品还难以评估已批准的商业用途和未批准的用途。
用于提供模型创建的 SaaS 应用程序中数据的可见性是一项挑战，因为有成千上万的 SaaS 应用程序需要通过 API 进行集成。
AI SPM 评估数据全部特征（包括质量、生命周期、目的、居住地、主权和机密性）的能力仍然有限且不一致。

3、数据安全态势管理

效益评级：高

市场渗透率：目标受众的1%至5%

成熟度：新兴

定义：数据安全态势管理 (DSPM) 能够发现本地数据中心和云服务提供商 (CSP) 中先前未知的数据。它还能帮助表征和分类先前未知的非结构化和结构化数据。随着数据的快速增长，DSPM 会评估哪些人有权访问数据，以确定其安全态势以及隐私、安全和 AI 相关风险的暴露程度。

为什么重要

DSPM 在快速扩展的架构中，在识别和关联数据风险（例如与数据驻留、未经授权的访问或过度权限相关的风险）方面发挥着重要作用。它以独特的方式发现所有数据存储库中的数据，并提供传统数据分类工具无法提供的一致保护。

商业影响

DSPM 分析数据流，其结果可用于提供关键见解，了解可访问性问题、不合规和违规行为如何导致风险。所有这些都可以改进和支持有效的事件响应和根本原因分析。
DSPM 评估如何在存储数据的所有位置应用数据安全策略，并快速识别和减轻相关数据风险，而不管数据部署的速度、复杂性、动态性和规模如何。

驱动因素

国际法规的增长使得人们需要能够在整个架构中一致评估数据安全风险以及数据驻留和主权风险的工具。
组织需要识别不当的数据暴露、错误配置和缺失的安全控制。
数据分析、测试、人工智能训练和备份过程会创建以前未知、未被发现或未被安全识别的数据存储和管道。
传统的数据安全和访问产品无法提供数据及其在架构中扩散的整体视图。它们的运行方式也较为孤立。
组织需要创建一个数据图，以确定谁可以访问特定数据集和跨路径，或通过数据管道访问 AI。
为了实现一致的数据特征和分类，组织需要跨结构化、半结构化和非结构化格式以及跨所有潜在数据位置映射和跟踪数据演变和沿袭。
需要保护数据，防止其暴露给第三方和不适当的内部人员（例如，通过云配置错误、影子 IT应用程序、过度的访问权限或由于地理位置和数据访问路径而产生的数据驻留风险）。

障碍

扫描整个基础设施的数据可能需要几天甚至几周才能完成。
每个 DSPM 供应商产品都提供了独特的安全控制和数据映射功能组合，如果需要其他供应商提供额外的控制，这将给一致采用 DSPM 带来越来越大的挑战。
DSPM 正在不断发展，成为一项能够融入多个相关市场（例如 DLP、DSP 和 DAG）解决方案的功能。然而，可能需要采用来自提供独立 DSPM 的供应商的多种数据安全控制措施，而且这些措施可能无法相互集成。这增加了运营部署的复杂性，并增加了供应商的选择。
许多 DSPM 产品能够有效识别数据访问风险，但在解决已识别风险方面，其控制措施仍然有限。大多数供应商依赖平台或服务集成或第三方数据安全功能来对已识别的风险实施补救控制。

4、多云 DAM

效益评级：中等

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：多云数据库活动监控 (DAM) 为由多个云服务提供商 (CSP) 托管并可直接或通过应用程序访问的各种关系数据库和 NoSQL 数据库提供一致的安全性。多云 DAM 设置和管理数据库用户权限。它利用数据监控用户行为和活动，以创建安全警报和活动日志，从而支持合规性报告并降低关键数据驻留、安全和隐私风险。

为什么重要

多云 DAM 可以检测潜在的恶意活动，并通过监控和审计用户与数据的交互来防止违规行为，并管理数据相关的业务用途。它还能生成对事件响应和合规性报告至关重要的审计记录。它通过根据角色、属性和职责控制用户数据访问权限，实现实时策略执行和职责分离，从而有助于降低隐私和安全风险。

商业影响

企业需要自动化的访问权限控制，并使其能够在不同的数据库中保持一致，从而降低多个独立控制台的复杂性并显著降低成本。提供集中管理且一致的审计日志还可以简化合规性报告要求、任何事件响应流程以及对实时恶意活动的潜在检测和预防，从而简化运营要求。

驱动因素

大量不同的数据库和数据湖可以跨云服务提供商 (CSP) 访问，也可以由组织直接安装和管理。这种多样性凸显了单一产品对特定数据集强制执行一致的策略驱动用户权限的需求。
人们越来越需要利用数据目录来支持基于角色或基于属性的访问控制，而DAM 则提供了针对用户权限和数据库内活动的数据活动监控上下文。数据安全平台 (DSP) 和数据安全态势管理 (DSPM) 产品中功能集成的价值也日益提升。
DAM 使用数据监控用户活动，以支持遵守各种数据保护和隐私法律。它支持 SOD 的执行和适当的业务用户数据访问权限、漏洞管理、用户活动监控以及所有SQL活动的取证审计记录。一些产品还提供数据保护技术，例如加密、标记化、屏蔽或机密计算。
DAM 提供根据数据驻留、主权和用户角色等各种数据属性管理数据访问权限的能力，可以支持各种隐私和其他国家法规。
DAM 分析数据库日志或拦截数据库的特定通信路径，从而检测对数据的不当或恶意访问，并支持合规性审计报告。此外，它还可以与应用程序集成以实现身份管理。DAM 还可以与云数据库提供商集成，以管理用户数据访问权限。
只有少数由云服务提供商 (CSP) 管理的数据库即服务 (DBaaS) 产品提供原生审计日志功能。然而，它们通常不会记录包含数据上下文的数据库活动，从而增加了安全性和合规性风险。由于每个 CSP 产品独立运营，其功能也会有所不同。这些问题促使我们需要一个支持 DAM 的单一DAM 或 DSP。

障碍

CSP 不允许供应商在基础设施层安装代理软件。此限制导致 DAM 无法阻止管理员或 CSP 员工直接访问数据库。
当 DAM 作为代理服务或网关安装时，它可以监控数据库日志，从而直接监控和审计所有 SQL 活动。但是，它无法阻止 SQL 活动或直接访问数据库。
如果 DAM 仅在应用层运行，它将仅拦截应用层的 SQL 语句，而不会监控数据库日志。这可能导致数据驻留或主权控制的缺失，因为它无法阻止管理员或云服务提供商 (CSP) 的访问，除非同时应用加密或标记化。
如果 DAM 仅监控数据库日志，或者代理或网关直接与应用层以下的数据库交互，则 SQL 分析可能无法直接识别用户帐户。

期望膨胀期

5、AI运行时防御

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：新兴

定义：AI运行时防御为AI应用程序和模型实现基于意图的策略执行和异常检测。它提供针对应用程序滥用和攻击（例如快速注入）的内容检查，并旨在检测意图或内容异常（例如毒性、幻觉）。一些AI运行时防御工具是特定于应用程序的（例如聊天机器人）。AI运行时防御是AI治理平台的常见功能，但在专注于网络安全时，也可以作为独立产品。

为什么重要

生成式人工智能 (GenAI) 应用程序需要专门的控制措施来降低网络安全风险。人工智能运行时防御通常专注于应用程序安全，通常针对大型语言模型 (LLM)聊天机器人的快速滥用，但也扩展到其他类型的攻击，例如模型查询攻击。它还可以通过监控模型是否存在越狱、数据泄露、性能漂移以及有偏差或有害的模型输入或输出来帮助缓解内容异常。

商业影响

AI 运行时防御提供对潜在 AI 异常或攻击的实时可见性。在拥有大量 AI 应用程序的组织中，集中式可见性和警报管理有助于识别使用相同 AI 模型的多个应用程序所共有的问题。基于 LLM 的应用程序在新应用程序中的比例越来越高，这些应用程序需要控制输入以避免应用程序滥用，并控制输出以降低品牌受损的风险以及基于错误输出的决策。

驱动因素

安全团队仍在追赶正在进行的人工智能应用计划，并寻求可以轻松部署的人工智能运行时控制。
通用人工智能正在推动大量安全投资，但异常检测和安全控制可以更广泛地应用于人工智能应用程序和模型。
人工智能应用程序需要监控以确保合规实施、避免应用程序滥用并防止恶意活动。
人工智能代理的出现强化了运行时保护和异常检测的需求。此外，它还增加了低延迟甚至更低误报的要求。
开源产品（例如 Meta的Llama Guard ）可用于商业用途，但有一定的限制。
早期创业公司面临着来自大型成熟供应商日益激烈的竞争，这些供应商提供类似功能，例如安全服务边缘 (SSE ) 。但如今，专业供应商提供了差异化优势，例如可以访问系统提示和原始模型输出，或应用机器学习技术来分析这些输入和输出的意图。
保险要求、即将出台的法规（例如欧盟《人工智能法案》和美国的多项法律）以及现有的企业政策都可能强制采用应用程序安全实践。这些实践包括预防性控制和监控，以支持高风险人工智能系统的风险缓解。

障碍

新的AI控制工具难以与现有的安全系统和其他监控系统集成。它们通常需要构建新的策略和分类功能，尤其是针对非安全事件（法律、合规、可接受使用）。
AI运行时防御工具通常集成到更广泛的AI治理平台中，将测试和风险评估与运行时监控相结合。这使得应用程序安全领导者更难以根据其特定目的进行实施和调整。
基于文本输入的实时安全警报可能会很嘈杂，并且容易出现较高的误报率，例如在检测SQL 注入和 XSS时。
许多供应商规模较小且正在成长，其产品的有效性尚未得到证实。
部署形式可能会影响控件的可见内容；部署在应用程序前端的控件仅可查看用户输入和应用程序输出。应用程序堆栈中可能需要多个入口点，尤其是在多模态AI应用中。
组织可能对检查应用程序输入和输出有隐私方面的担忧，尤其是当它意味着与提供商的 SaaS 平台共享敏感内容时。

6、加密敏捷性

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：加密敏捷性是指在应用程序中透明地交换加密算法和相关工件的能力，用不同的、可能更安全的算法替换它们。

为什么重要

各种指令和法规（例如 PCI DSS 4.0.1、DORA 委员会授权法规[ EU ] 2024/1774 第 6.4 节以及增加证书续订数量的提案）通常要求对现有的加密系统和策略进行更改。这种日益增长的规模和复杂性要求更可扩展、更动态的加密管理。
美国国家标准与技术研究院 ( NIST ) 已将其首套量子安全替代方案标准化，包括 CRYSTALS-Kyber、CRYSTALS-Dilithium、SPHINCS+ 和 FALCON（分别对应ML-KEM 、ML-DSA 、SLH-DSA和FN-DSA标准），以供广泛使用。Lattice 的替代方案 HQC 计划于 2027 年获得批准。这些算法将成为未来供应商和开发者敏捷加密替代方案的核心。

商业影响

鉴于传统加密技术在提升运营效率和降低成本（例如，通过策略和自动化实现敏捷性）方面的需求日益增长，以及即将到来的量子计算威胁，Gartner 预计加密敏捷性将成为技术供应商的显著差异化优势。受加密技术变革影响的企业需要评估并执行以下活动：

使用加密或公钥基础设施 (PKI) 的应用程序需要具备可见性，并能够根据策略自动更新或更改。必须使用元数据数据库跟踪有关算法、密钥大小、到期日期和用途的数据。
必须针对符合性能和安全期望的应用程序和用例确定合适的替代实现。
新算法不能直接替代现有的加密技术，因此必须测试替代方案并生成替代策略。
必须识别供应商的加密产品，并且供应商需要提供与业务目标一致的一定程度的加密敏捷性。

驱动因素

随着业务的监管和安全需求的发展，需要识别供应商产品中的加密技术，并且供应商需要提供更新和更换的时间表。
大多数已清点其加密元数据的组织都发现，他们已经积累了大量的PKI技术债务（例如，过期证书、弃用算法、短密钥）。清理这些债务将大大降低组织的风险状况。
预计开发能够通过Shor或Grover算法破解密码的量子计算机还需要五到七年的时间。这比大多数组织中敏感信息的典型寿命要短得多，从而导致敏感数据泄露。使用Shor算法进行密钥破解与密钥长度呈线性关系，但受可用量子比特数量的限制；一旦算法运行，较大的密钥长度将迅速减小，从而缩短了实施更改的时间。
新算法的早期采用者发现，性能会随着实现方式的不同而产生显著差异。大多数人报告了竞争条件、性能下降以及其他与时间相关的问题。将应用程序迁移到加密敏捷状态是测试实现方式以找到性能和安全性最佳组合的好方法。
政府机构开始要求向其销售产品的供应商采用量子安全加密策略（例如，美国 NSM-10、EO-14028）。这涵盖最终产品中的所有产品或代码，包括开源软件 (OSS) 和其他供应商产品。与软件物料清单一样，这大大扩展了这些订单的范围，涵盖了许多原本不直接向政府销售产品的供应商。
新算法具有可以促进新商业案例的附加用途（例如，状态签名、同态加密）。

障碍

加密技术债务（例如，使用硬编码秘密和算法、弃用的算法等）在 IT 中通常可见度很低，因此容易被低估。
许多组织不知道如何盘点他们的加密使用情况，而是依赖供应商或自己苦苦挣扎。
加密敏捷性从根本上来说是一项由开发人员驱动的努力，但开发人员通常缺乏成功实施加密敏捷应用程序所需的架构、模式、库和其他工件。
许多组织缺乏领导此类加密卫生所需的专业知识，从而延迟了行动并对风险视而不见。
大多数加密系统都有源/目标依赖关系，利益相关者难以以协调互利的方式协调所有相关方之间的变革。

7、数据安全平台

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：数据安全平台 (DSP) 将结构化数据存储的数据发现、策略定义和策略执行控制融为一体。策略执行功能包括格式保留加密、标记化和动态数据脱敏。这些功能可以通过连接器、代理、代理服务器和 API 提供。

为什么重要

业务需求在于利用和共享数据，例如人工智能/机器学习 (ML) 用例，这需要有效的数据发现和分类，以及细粒度的访问控制和治理机制，以便组织能够安全地披露和共享更多数据。DSP提供了确保结构化数据安全所需的大部分关键组件。

商业影响

企业需要为其结构化数据存储提供数据安全控制和高度精细的数据访问。随着人工智能/机器学习用例的增长，这种需求也随之增长。然而，由于敏感数据的数量、种类和蔓延性，权限及数据安全控制的配置和管理变得十分复杂。DSP通过连接先前分散的数据授权规则、安全控制和功能，并提升数据效用，从而降低了集成成本、减少了人工操作和摩擦。

驱动因素

企业迫切需要加强数据安全、快速实施新的用例并控制数据访问，以实现高级分析和生成人工智能 (GenA I)。
由于内部和外部消费者需要共享和使用数据，数据安全的传统观点正在从锁定数据转向优先提高“安全数据”的利用率。如今的 DSP 可以与数据目录集成，为数据分析产品提供支持，并实现数据的安全使用。
传统的以威胁为中心的结构化数据安全控制（例如数字资产管理）不足以覆盖与现代基于云的结构化数据存储和人工智能相关的以业务为中心的范例和用例。
欧盟《数字运营弹性法案》（DORA）法规补充了现有的保护金融和个人数据的国际监管要求。这些要求可以通过实施数字隐私保护系统 ( DSP)来实现， DSP通过加密（例如 FPE）来提供数据保密性。

障碍

实施 DSP 需要大量的规划和投入，尤其是在与业务应用程序集成或使用加密技术时。集成通常是最大的挑战，但可扩展性问题也可能出现，这可能需要耗时的 POC 来确保一致的数据安全性。
DSP 的管理需要耗费大量的人力，需要强大的治理、人员配备和技能。组织可能需要引入额外的资源来有效地支持管理并保持运营效率。
较新的 DSP 供应商通常专注于流行的云端数据存储，较少与利基数据存储集成。传统的 DSP 在本地数据处理方面表现出色，但可能难以处理云端解决方案，从而导致在不同环境中实现一致的控制和策略应用变得复杂。
DSP 的定价差异很大。随着数据需求的增长，许可模式往往会阻碍成本管理，促使客户寻求定价更灵活、更符合其需求的 DSP。

8、安全企业浏览器

效益评级：中等

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：安全企业浏览器 (SEB) 是一种通过集中管理的自定义 Web 浏览器或浏览器扩展程序提供安全策略和控制的解决方案。SEB 为 Web、SaaS 和私有应用提供安全和策略实施，并提供浏览器强化控制以减少浏览器的攻击面。SEB 还支持对最终用户从托管、轻度托管或非托管设备访问的 Web 应用数据进行可见性和控制，而无需对 Web 流量进行在线解密。

为什么重要

混合工作模式的成熟、现代工作场所中非托管和轻度托管设备的使用增多，以及 SaaS 应用的增长，导致越来越多的工作通过 Web 浏览器完成。SEB 将企业安全控制嵌入到原生 Web 浏览体验中。这有助于缓解来自非托管设备和第三方访问的威胁，并弥补现有托管设备控制措施的不足。

商业影响

SEB通过弥补端点和网络安全控制方面的漏洞，并为员工和第三方提供分段式 Web 和 SaaS 应用访问，从而提升组织抵御威胁的能力。对于以远程办公为导向、分支机构或网络物理系统 (CPS) 较少的组织，以及主要依赖现代 Web 应用的组织，SEB 提供了一种比传统安全堆栈更简单的替代方案。

驱动因素

具有安全意识的组织寻求保护自己免受特定的基于网络的攻击，为其现有的端点和网络安全控制增加额外的保护层。
安全控制正在从端点代理转移到浏览器，以支持从完全托管的设备到非托管或轻度托管设备的过渡。
通过将检查移至无需解密即可应用检查的浏览器，解决了在线解密引起的延迟问题和复杂性。
主要依赖 SaaS 应用程序且分支机构或 CPS 很少的远程工作型组织需要一种比传统安全堆栈更简单的安全技术管理方法。
SEB 支持应用程序现代化工作，以减少对虚拟桌面基础架构 ( VDI ) 和桌面即服务 (DaaS)等复杂且昂贵的选项的需求，并减少传统 VPN 的攻击面。
保护共享信息亭和其他瘦客户端操作系统（例如 IGEL 和 eLux）只需要基本功能，从而通过功能灵活性保持较小的攻击面。
SEB 可以帮助实现轻量级自带个人计算机来支持灾难恢复和业务连续性用例的关键 Web 应用程序。

障碍

大多数组织尚未发现现有浏览器、安全或端点管理工具存在足够的差距来证明 SEB 的增量成本是合理的，特别是如果他们无法在其他地方抵消成本的话。
与其他工具的重叠以及已解决用例中的限制可能会限制SEB的实用性。考虑到需要维护现有的端点和网络安全控制，这一点尤其重要。
SEB 无法完全解决需要继续使用 VPN 和 VDI 或 DaaS 的遗留基础设施和非基于 Web 的客户端应用程序。
完全在 Web 浏览器中工作实际上可能会降低需要在多个应用程序之间切换上下文的工作人员的用户体验，或者需要使用浏览器中托管的修改后的 Web 前端访问非 Web 应用程序的工作人员的用户体验（例如，协作、软件开发工具、安全外壳和远程桌面协议客户端）。
更广泛的 SASE、SSE、端点保护平台和电子邮件安全平台已经包含SEB，为更广泛的安全平台提供了入口，而不是仍然是独立的产品。

9、AI TRiSM

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：早期主流

定义：AI 信任、风险和安全管理 (TRiSM) 包含四层技术能力，支持所有 AI 用例的企业策略，并有助于确保 AI 治理、可信度、公平性、安全性、可靠性、保密性、隐私性和数据保护。其中，最上面的两层——AI 治理以及 AI 运行时检查和执行——是 AI 领域的新概念，并且正在逐步整合成一个独立的细分市场。最下面的两层则代表专注于 AI 的传统技术。

为什么重要

人工智能带来了新的信任、风险和安全管理挑战，而这些挑战是传统控制措施无法解决的。企业最担心的是数据泄露、第三方风险以及不准确或不必要的输出，需要确保企业人工智能的行为和行动符合企业意图。随着人工智能市场的快速成熟和变化，企业必须进一步保持对任何单一人工智能模型或托管服务提供商的独立性，以确保可扩展性、灵活性、成本控制和信任。

商业影响

未能持续管理人工智能风险的组织，极有可能遭遇不良后果，例如项目失败、人工智能性能失常以及数据机密性受损。不准确、不道德或非预期的人工智能结果、流程错误、不受控制的偏见以及来自良性或恶意行为者的干扰，都可能导致安全故障、财务和声誉损失，或责任和社会损害。人工智能性能失常还可能导致组织做出次优或错误的业务决策。

驱动因素

由于人们缺乏对人工智能作为支持关键业务流程的安全且合乎道德的选择的信任，人工智能和 GenAI的使用受到限制。
企业面临多重人工智能风险，最担心的是数据泄露、第三方风险以及不准确或不必要的输出。
针对企业人工智能的恶意黑客攻击仍然很少见，而不受约束的有害聊天机器人事件却有据可查，内部过度共享数据泄露现象普遍存在。
用户对GenAI TRiSM 解决方案的需求正在稳步增长，各种规模的供应商都在争夺这一新的企业业务。
一些组织主要关注安全和风险缓解，而其他组织也注重支持道德或安全实践和合规。
人工智能信任、风险和安全问题暴露了组织孤岛问题，迫使团队重新调整以解决跨部门界限的问题并实施解决这些问题的技术措施。
引入具有不同代理程度的基于 LLM 的 AI 代理，可以使 AI 能够在有人或无人干预的情况下采取行动。
人工智能代理的快速普及将产生更多的治理需求，而仅靠人类在环监督是无法满足的。
人工智能风险管理法规正在推动企业制定人工智能风险管理措施。这些法规定义了组织必须在现有合规要求（例如隐私保护相关要求）的基础上满足的新的合规要求。

障碍

采用AI TRiSM 技术通常是事后才想到的。企业通常直到 AI 应用投入生产时才会考虑它，因为那时改造会变得很困难。
许多企业资源有限，没有实施 TRiSM 技术的技能或能力。
企业通常依赖现有供应商为 TRiSM 功能提供 AI 功能，尽管他们通常缺乏这种功能，并且必须依赖供应商许可协议来确保其机密数据在主机环境中保持私密。
嵌入人工智能的现成软件通常是封闭的，并且不支持可以执行企业策略的第三方人工智能 TRiSM 产品的 API。
大多数人工智能威胁和风险尚未被充分了解，也未得到有效解决。
AI TRiSM 需要一个跨职能团队，包括法律、合规、安全、IT 和数据分析人员，以建立共同目标并使用共同框架。
虽然 AI TRiSM 可以集成生命周期控制，但这带来了重大的实施挑战，尤其是对于通常缺乏 API 支持的嵌入式 AI。

10、机密计算

效益评级：高

市场渗透率：目标受众的1%至5%

成熟度：成长期

定义：机密计算是一种网络安全机制，它在基于硬件的可信执行环境 (TEE)（也称为安全区）中执行代码。安全区将内容、（AI 及其他）工作负载和数据与主机系统（以及主机系统的所有者）隔离开来，并对其进行保护，同时还可以提供代码完整性和认证。

为什么重要

机密计算将芯片级 TEE与密钥管理和加密协议相结合，以实现不可读计算。它使团队间合作至关重要的项目能够实现，而无需共享个人数据或知识产权 ( IP)。
采用公有云计算以及增强的飞地技术可用性和可行性，可以实现对云中数据的可信使用，包括防御基础设施提供商。
数据驻留和主权等跨境转移问题给许多企业带来了复杂性，而机密计算可以直接解决这些问题。

商业影响

机密计算有助于缓解网络安全问题，而网络安全问题是受监管企业、敏感和/或国际数据工作负载，或任何担心未经授权的第三方访问公共云中使用数据的组织采用云技术的主要障碍之一。这包括基础设施提供商的访问。
机密计算允许竞争对手、数据处理者和分析师之间实现一定程度的数据机密性和隐私控制，而这是传统加密方法难以实现的。

驱动因素

对于云服务提供商 (CSP) 和外国政府等外部参与者可能访问个人数据的担忧日益成为云采用考虑的焦点。
全球数据驻留限制和主权问题促使人们需要将内容与 CSP 隔离开来，并提供一定程度的独立保证。
竞争方面的担忧，不仅关乎个人数据，也关乎知识产权，正在推动机密计算的采用。这包括针对任何第三方访问的机密性保护、对处理方法（包括算法功能）的保护以及对数据本身的保护。正因如此，云服务提供商（CSP）在仅提供基础设施时，至少有隐含的竞争利益，即证明他们没有或不需要访问此类敏感工作负载。
超大规模云提供商正在提供虚拟化机密计算的选项，允许应用程序无需重新编码或重构即可运行。像 Microsoft Azure 这样的域名只需在配置文件中添加一行代码即可启用机密计算。
机密计算所采用的这种保护措施，在一定程度上满足了人们对外部人工智能能力使用率提升的渴望。例如，它还允许使用人工智能进行文本摘要或翻译，而无需与提供商共享关键信息。

障碍

机密计算目前与客户端部署的技术集成。很少有 SaaS 或 BPaaS 供应商提供集成服务，这减少了保护选项。
缺乏训练有素的工作人员或对实施方法的了解会削弱部署（例如，不正确的密钥管理/处理、错过侧信道漏洞）。
信任建立起来很慢，消失却很快，尤其是当机密计算与偶尔出现的硬件漏洞相结合时。
某些形式的机密计算并非即插即用，而那些即插即用的机密计算目前仅用于高风险用例。机密计算因供应商和技术而异，可能需要付出大量努力，但与传输层安全协议 (TLS)、多因素身份验证 (MFA) 和客户控制的密钥管理服务等基本控制相比，其网络安全性能仅略有提升。
CSP 直接提供的产品在稳健性、性能和可靠性方面各有不同。并非所有所谓的“机密计算”都能提供同等的保护，也并非所有产品都能支持多云。
使用云原生密钥管理 (KM) 进行机密计算可能面临隐私保护不足的风险，因为 CSP 管理并访问密钥。因此，使用第三方密钥管理即服务 (KMaaS) 变得更加重要。

11、同态加密

效益评级：转型

市场渗透率：目标受众的1%至5%

成熟度：成长期

定义：同态加密 (HE) 使用密码算法来实现加密数据的计算。部分同态加密 (PHE) 仅支持有限的用例，例如减法和加法，但对性能影响较小。全同态加密 (FHE) 支持更广泛的可重复和任意数学运算；然而，通常需要权衡性能。

为什么重要

HE 在隐私和机密数据处理方面取得了进步，尽管这主要体现在数据库层面。

其优势包括：

在加密状态下对数据进行分析，这样处理器就永远不会看到明文数据，但仍能提供准确的结果。
在竞争对手之间共享和汇集数据（安全多方计算 [SMPC]）。
共享全部或部分用户数据，同时保护他们的隐私。
其系统基于格加密，这是一种后量子密码（PQC）算法。

商业影响

即使以受限形式（PHE）进行数据加密，HE 也能使企业使用数据，将其发送给其他人进行处理并返回准确的结果，而无需担心数据被泄露或窃取。任何被恶意行为者截获的数据都经过加密，无法读取，即使是下一代量子计算机也无法读取。

应用包括：

加密搜索
数据分析
机器学习 (ML) 模型训练
多方计算
确保长期记录存储安全，无需担心未经授权的解密

驱动因素

全球范围内数据驻留限制的加强执行，迫使组织机构保护正在使用的数据，而不仅仅是在传输或静止时的数据。
全球日趋成熟的隐私和数据保护立法框架要求对敏感数据给予更精准的关注。因此，数据池化、共享和跨实体分析用例正日益受益于诸如HE之类的前瞻性和可持续性技术。
除了主要的金融用例（例如跨实体欺诈分析）之外，其他行业也可以从中受益。医疗保健行业就是一个例子，该行业经常需要跨实体进行敏感数据分析，并且数据在使用过程中会受到保护。
解决与SMPC的信任与合作问题将有利于数据的内部和外部保护。
随着 NIST PQC 新算法的采用，越来越多的客户正在探索格的同态性质。在数据保护中及时采用 HE，将持续保护数据免受“先收集，后解密”攻击的威胁。

障碍

将各种形式的 HE 应用于常见用例会带来一定程度的复杂性，减慢操作速度，并且需要高度专业的人员。尽管商业应用的显著进展使其变得更加可行，但客户端的采用仍然滞后。一些专用硬件加速器芯片的创新正在推进中，以缓解这一障碍。
有些场景永远不适合 HE，例如那些需要分析和处理之外的组件的安全性的场景，如生产数据库和专有算法。
在大多数情况下，FHE 比现有的数据库加密方法慢，潜在用户在尝试在生产环境中使用它之前应该进行广泛的测试。
市场对这项技术的不熟悉阻碍了其快速采用。

12、后量子密码学

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：后量子密码学（PQC），也称为量子安全密码学，是一组旨在抵御经典和量子计算攻击的算法。PQC 将取代现有的非对称加密，而现有的非对称加密将在未来十年内被破解，从而取代现有的经典加密方法和流程。

为什么重要

现有的非对称算法，例如Diffie-Hellman、RSA和ECC，很容易受到密码学量子计算机的攻击，到本世纪末将不再安全。因此，数字签名、公钥加密、区块链和密钥交换等常见的密码功能将需要被取代。
PQC 为组织提供了一定程度的加密保护，即使量子计算机进入主流，这种保护仍将保持强大。

商业影响

更强大的量子计算机的出现意味着现有的非对称算法必须被量子安全算法取代。这包括所有网络、文件和数据加密、身份和访问管理(IAM)、安全消息传递，以及非对称加密的任何其他用途。
现有的加密算法没有可用的 PQC 嵌入式实现，因此需要进行发现、分类和重新实现。
新的算法具有不同的性能特征，因此当前的应用程序必须重新测试，在某些情况下甚至需要重写。
新型加密技术的二次应用（例如同态加密、状态签名）将带来超越数据保护的新商机。例如，同态加密允许第三方在数据加密时对其运行数学函数，但解密结果仍保留第三方所做的所有工作。
一旦组织采用 PQC ，数据在可预见的未来应该能够免受量子计算机攻击。

驱动因素

到本世纪末，现有的非对称加密算法将容易受到基于量子的解密攻击，可能需要对所有数据进行重新加密，因为对称密钥或令牌的泄露风险很大。
世界各国政府正在制定和发布相关法规和法律框架，要求政府机构和企业开始制定后量子计算（PQC）战略。例如，美国的《国家量子计划法案》和《网络安全研究与发展法案》要求国家安全系统的所有者和运营商以及向美国政府提供服务的组织开始使用后量子算法。
“先收集后解密”攻击是一个持续存在的隐患，尤其是在高级持续性威胁的范畴内。这促使我们尽快实施 PQC 安全措施。

障碍

大多数组织机构并不了解加密技术在其运营中如何运作，密钥和算法的使用场景，以及机密信息的存储和管理方式。因此，将其替换为新算法将极具挑战性。
新算法与现有算法具有不同的特性，包括密文大小以及不同的加密和解密时间。新的加密技术并非能够直接替代现有算法，而是需要进行一些实验和测试，以维持相关应用程序的性能范围。
PQC 算法将需要新的标准。PKCS 和 TLS 握手等标准将被修改，以接受更长的密钥长度以及 PQC 的其他属性。
大多数供应商在升级加密技术时通常没有做好准备，并且通常需要客户的推动才能认识到需求。
一些关键系统（例如，IAM、数据安全平台、网络设备）缺乏内置的加密敏捷性。
新的密码学通过公开审查获得力量（秘密的是密钥，而不是算法）。这可能是一个非常漫长且不均衡的过程，一些提案可能会被意外放弃或需要重新修改，这可能会损害公众信心。

13、差分隐私

效益评级：低

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：差异隐私是一种在使用或共享数据的同时，保留或扭曲数据集中某些可识别个人身份的元素的方法。它使用精确的数学算法，随机地将噪声插入数据中，并在每次查询时添加用于区分性、接近度和结果多样性的参数。如果应用得当，这种方法可以防止个人数据泄露，同时确保最终分析结果不会对信息产生重大影响。

为什么重要

人们对于隐私以及在提供内容或个性化推荐的算法中使用个人数据的担忧持续存在。随着监管措施的实施，以防止未经授权使用个人数据，企业正在寻求在继续使用数据的同时保护个人身份信息的方法。差异化能力是一种可以实现这一目标的技术。

商业影响

商业数据蕴含着巨大的价值，其中很大一部分是个人数据。限制个人数据使用的法规日益增多，滥用个人数据的责任可能十分重大。企业需要确保其声誉体现出公司对客户数据的保护。在训练人工智能模型时，有许多技术可以解决隐私保护问题。差异隐私技术可以确保每行数据的隐私，同时支持对聚合数据进行有意义的分析。

驱动因素

差异隐私不仅有助于降低风险，还能解锁以前难以实现的人工智能和分析用例数据。这既涉及在组织内部创建和共享洞察，也涉及跨实体的外部创建和共享洞察。
企业可以从数据中获取有价值的见解，同时尊重道德标准并遵守有关使用（直接可识别的）个人数据的监管准则。
越来越有可能的是，将会颁布更加严格的法规，包括在算法训练中使用个人数据以及算法如何处理个人数据。
受到政府支持的、技术精湛的不法分子以窃取个人信息为目标实施欺诈行为的风险仍在上升。
信息泄露或滥用可能会严重损害商业声誉和信任。
暴露不仅限于企业控制的数据集，因为即使企业使用的数据是匿名的，恶意行为者也可以越来越多地组合数据源来重新识别个人。
差异隐私技术不会篡改源数据，因为每个查询的答案都是“动态”处理的，从而在保护使用数据的同时保留了源数据的完整性。这是与其他 PET 应用方案不同的一个关键因素。
差异隐私可以通过隐私预算以可控的方式维护信息价值，从而实现所需的匿名性。此控制选项允许进行其他选项中可能不存在的选择。
一些提供商已开始在其产品中添加协作差异隐私功能，以进一步保护隐私。

障碍

引用差异隐私使用的工具并不总是容易比较或实施。
隐私保护解决方案采用各种技术，其有效性也各不相同。组织通常缺乏一个框架来根据用例需求、技术成熟度和适用性来一致地确定合适的方法。
大多数工具都涵盖不同程度的匿名性，并关注重新识别的程度。其他部署除了重新识别保护外，还增加了对结果多样性和接近度的衡量。这可能会造成比较上的混淆。
由于差异隐私在一定程度上依赖于向数据中添加噪声，因此找到正确的级别需要进行微调。
缺乏对差异隐私的熟悉，以及缺乏部署和管理它的技术人员，阻碍了其应用。不同司法管辖区对“匿名”或“假名”数据的定义不同，加剧了这一问题。
隐私预算设定缺乏透明度（控制实施的程度，或“将 Epsilon 放在哪里”）会破坏信任，而提高透明度则可以提升信任。

泡沫破裂期

14、数据存储管理服务

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：数据存储管理服务 (DSMS) 解决方案旨在协调云、多云、混合云和 SaaS 环境中数据的生命周期。它们利用数据发现技术，对数据进行分类、归类和标记，从而提供关于结构化和非结构化数据的洞察。这些洞察可实现多种 DSMS 成果，例如改进存储管理和成本优化、构建新的分析工作流程以及增强数据合规性和安全性治理。

为什么重要

数据管理管理系统 (DSMS)解决方案使企业能够通过了解数据价值、优化成本并降低基于数据价值的风险敞口来管理数据的生命周期。企业正在管理本地、混合、多云和 SaaS 应用环境中爆炸式增长的数据量。DSMS 提供了一种可持续且经济高效的替代方案，可最大限度地减少存储基础架构的增长和复杂性，减少数据孤岛，并应对日益严格的数据法规和安全威胁。

商业影响

DSMS解决方案具有多种优势：

通过元数据和基于内容的分析提高数据可见性
对数据进行分类，以符合存储优化、GenAI计划、改进的数据生命周期以及治理和合规性结果
通过使用数据洞察对数据进行分层、重新定位、存档和删除，优化本地、云和 SaaS 应用程序的存储利用率
最大限度地减少隐私影响评估（PIA）

驱动因素

数据的持续和不受控制的增长以及随之而来的存储容量和云授权的投资
存储资源数量的不断增加以及由此带来的管理本地和混合存储基础设施的复杂性、性能和成本的挑战
用于存储和管理多云和 SaaS 应用环境中的大量数据的云授权费用意外增加
扩展备份和恢复以及数据归档基础设施、服务和许可，以保护和恢复关键数据
威胁或安全漏洞发生的可能性以及“不是是否发生，而是何时发生”的理解，要求组织主动减少网络攻击和勒索软件泄露的爆炸半径
通过利用数据内容洞察的更快分析工作流程实现更智能的业务成果，再加上 D&A 团队对存储数据更深入洞察的需求，这增加了数据存储管理的压力和复杂性
对管理和维护数据保留生命周期、健全的报告、安全性、可持续性以及遵守全球隐私和数据保护法规的监管要求不断提高
需要平衡保留过多数据的风险与回报
老化的存储基础设施和应用程序资产正在产生需要消除的技术债务
应法律和合规要求，I&O 团队不断加大力度从非托管来源收集数据，以支持调查、公共记录请求和主题权利请求
利用 GenAI 训练数据的组织面临着支持结构化和非结构化数据的复合基础设施增长，因此有必要识别相关数据并限制敏感信息。

障碍

人们很容易忽视 DSMS策略，而倾向于获取更多存储基础设施和云权利的“简单途径”，这只会使问题更加复杂。
需要多方利益相关方合作来确定 IT、安全、隐私、数据和分析、法律和合规团队之间的预期成果、所有权和预算。
关于数据分类、分类和相关保留策略的业务协议对于成功部署至关重要，但通常很难获得。
用于有效 DSMS 管理的数据发现、分层、归档、迁移和生命周期管理的协调技能有限。
结构化数据和非结构化数据之间的质量控制差异带来了重大挑战，因为管理一种类型数据的专业知识通常无法转化为另一种类型数据的专业知识。
在本地、混合、多云和 SaaS 应用环境中管理数据的单一产品是有限的。

15、合成数据

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：早期主流

定义：合成数据是指人工生成的数据，而非通过直接观察现实世界获得的数据。合成数据在各种用例中被用作真实数据的代理，包括数据匿名化、人工智能和机器学习 (ML) 开发、数据共享以及数据货币化。

为什么重要

获取并标记用于人工智能开发的真实数据是一项耗时且昂贵的任务。尤其是在自动驾驶汽车模型训练等用例中，收集真实数据以覆盖所有边缘案例几乎是不可能的，甚至极其困难。这些挑战可以通过合成数据来弥补。合成数据可以快速、经济高效地生成，并且不包含个人身份信息 (PII) 或受保护的健康信息 (PHI)，使其成为一项宝贵的隐私保护技术。前沿人工智能模型的兴起凸显了合成数据作为构建可扩展模型的经济高效手段的优势。

商业影响

各行各业的采用率都在不断提高，Gartner 预测，随着合成数据的出现，其采用率还将进一步提高：

避免在通过原始数据的合成变体或部分数据的合成替换来训练 AI 模型时使用 PII。
降低 ML 开发成本并节省时间。
随着更多“适合用途”的训练数据带来更好的结果，人工智能的性能也得到了提高。
使组织能够利用最少的真实数据来探索新的用例。
更有效地解决偏见和毒性等公平问题。
能够在真实但私密的数据上进行软件测试，且不存在立法风险或缺乏此类数据。

驱动因素

在医疗保健和金融等受监管的行业中，买家的兴趣正在增长，因为合成表格数据可用于保护人工智能训练数据中的隐私。
为了满足自然语言自动化训练（尤其是聊天机器人和语音应用）对合成数据日益增长的需求，供应商正在向市场推出新产品，通常用于训练领域生成式人工智能 ( GenAI)模型。这扩大了供应商的格局，并推动了合成数据的采用。
合成数据应用已经超越汽车和计算机视觉用例，包括数据货币化、外部分析支持、平台评估和测试数据开发。
Transformer 和 Diffusion 架构是 GenAI 的架构基础，它们能够以前所未有的质量和精度生成合成数据。AI模拟技术通过更好地重现现实世界的表征，提升了合成数据的质量。
合成数据仍有扩展到其他数据类型的空间。虽然表格、图像、视频、文本和语音应用很常见，但研发实验室正在将合成数据的概念扩展到图形和多模态人工智能。合成生成的图形将与原始图形相似，但不重叠。随着企业开始更多地使用图形技术，我们预计这种方法将会日趋成熟并推动普及。
随着训练前沿人工智能模型的数据提供商提高其数据访问成本，合成数据作为一种经济替代品正越来越受到关注。

障碍

合成数据可能存在隐性偏见问题，错过自然异常，开发复杂，或者不会为现有的现实世界数据贡献任何新信息。
虽然合成数据降低了隐私风险，但一些行业（例如医疗保健、金融）仍然面临监管不确定性，即它是否能够完全取代或增强真实数据以满足合规目的。
合成数据生成方法缺乏标准化。
验证合成数据的准确性非常困难。要确定合成数据集是否准确地捕捉到了底层的真实世界环境，可能极具挑战性。
由于缺乏技能，买家仍然对何时以及如何使用该技术感到困惑。
企业拥有遗留的数据管道，将合成数据集成到现有的数据湖、分析系统和人工智能工作流中通常需要额外的努力、工具和基础设施。
用户可能会产生一定程度的怀疑，因为数据可能被认为是“劣质的”或“假的”。

16、数字通信治理与归档

效益评级：高

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：数字通信治理与归档 (DCGA) 解决方案使企业能够在越来越多的通信工具中实施公司治理和合规。DCGA 解决方案能够为员工使用的各种通信工具提供一致的策略管理、更深入的洞察和报告功能。关键功能包括捕获、归档、数据保留、监控、监督、行为分析、审计、用户治理和调查。

为什么重要

DCGA 解决方案对于组织满足日益增长的监管和合规性要求至关重要。它们促进治理，并提供有关员工使用数字通信工具的宝贵见解。DCGA 解决方案能够捕获、准确分类和丰富员工通信，始终如一地应用保留策略，提高对审计和调查的及时响应，提供组织洞察，并帮助执行数据使用政策。

商业影响

DCGA解决方案有助于管理日益增长的数字通信数量和类型的监管和组织使用政策。它用于监督、监控、警报和报告员工是否遵守治理使用政策。DCGA 改进了支持合法保留、审计、搜索、审查和导出要求的调查工作。它们丰富了通信数据，用于行为分析，从而揭示洞察，例如员工情绪、不当行为风险和行业特定评估。

驱动因素

DCGA解决方案使组织能够使用数字通信数据源中的信息来：

整合、保留、丰富和简化员工使用的各种数字通信渠道的多种用例访问要求，包括基于文本、语音和视频的内容。
扩展对电子邮件、协作和会议解决方案的通信的洞察力和治理。
满足调查和管理消息应用程序内容的需求，包括 Apple Messages、WhatsApp、微信和 Signal。
将移动设备通信（包括短信/多媒体消息服务 (MMS)、行业聊天解决方案和其他移动应用程序消息）作为治理策略的一部分。
满足新兴需求，以捕获和监控基于 AI 的交互的使用，例如 Microsoft Copilot 和 OpenAI ChatGPT。
遵守金融服务、制药、医疗保健和公共部门等严格监管行业的监管要求。
评估数字通信工具合规使用政策的有效性。
通过使用丰富且匿名的员工沟通分析来识别员工的情绪和见解，减少员工的调查疲劳。
从通过员工沟通发送和接收的大量信息中揭示见解。
简化由诉讼、审计、内部事务和其他调查驱动的跨多个沟通渠道的调查和访问。
响应公共记录请求，例如《信息自由法》（FOIA）和《公共记录法》（PRA）。
响应隐私法规的主体权利请求，例如通用数据保护条例（GDPR）和加州隐私权法案（CPRA）。

障碍

要管理的目标通信源范围可能需要多个供应商的产品与适当的存档产品相连接。
可能还需要多个供应商的产品来构建最佳的捕获、存档、治理、监督和监控解决方案。
一些基于端到端加密的通信工具可能会限制 DCGA 解决方案完全捕获其内容的能力。
在实施监控员工沟通工具之前，需要解决组织道德问题。
必须建立员工教育计划，以分享员工通过使用 DCGA 解决方案获得的价值、见解和好处。
数据分类和相关保留政策可能难以获得高管支持和利益相关者的认可。
数据主权要求必须在 DCGA 中经过全面审查，并且可能会限制选择的范围。
将现有档案数据转换或迁移到新档案可能非常耗时、复杂且成本高昂。

17、量子密钥分发

效益评级：低

市场渗透率：目标受众的1%至5%

成熟度：成长期

定义：量子密钥分发 (QKD) 是一种防篡改通信方法，它基于量子力学实现密钥创建和传输的加密协议。它允许各方生成共享密钥，然后使用该密钥对消息进行加密和解密。这些密钥的交换使得系统能够检测到密钥交换过程中的干扰并生成新的密钥。QKD 不需要非对称算法，并提供点对点的后量子解决方案。

为什么重要

量子密钥分发(QKD) 是一项用于创建、传输和保存两个或多个粒子量子纠缠的重要技术。QKD通过在系统间传输初始密钥时保持粒子（通常是光子）的量子纠缠，从而提供高熵和防篡改通道，以实现安全的数据交换，之后使用标准对称密钥。纠缠的本质是，任何干扰都会导致通道自动崩溃，从而破坏密钥并阻止进一步的数据传输。

商业影响

QKD 的主要特性是防篡改，这是需要以尽可能安全的方式交换高价值加密密钥的公司所需要的。
QKD 提供了一种可证明的安全通道，允许传输高价值数据，而不会损害数据的完整性。
量子随机数生成器可以生成比传统熵源更好的加密密钥。
政府和军事部门需要极其安全的密钥交换方法，而且这种方法正日益商业化。

驱动因素

随着与密码相关的量子计算机变得更加现实，各组织正在寻求转向“量子安全”技术，这引发了人们对 QKD 的新兴趣。
QKD 是网络量子计算机和量子信息科学的基础技术。
QKD 是下一代安全卫星网络的基础技术。

障碍

QKD 有时被宣传为量子安全，但通过 QKD 通道传输的密钥或其他数据将依赖于传统的密钥管理生命周期和经典的对称加密技术。
QKD 可能遭受拒绝服务攻击，因为任何干扰都会导致传输通道崩溃。
美国国家安全局目前的立场是不建议使用 QKD 来确保国家安全系统中数据传输的安全。
目前， QKD信道无法增强，也无法在不破坏纠缠的情况下使用中继器，这使得大规模路由变得困难。目前，该技术通过现有光纤路由时，传输距离仅限于几百公里。然而，卫星中继可以大大扩展这一范围。
现有的经典密钥交换系统通常可以为大多数目的提供足够高的信任度，尤其是在使用量子安全加密算法时。
一些供应商将 QKD 与使现有密钥量子安全混为一谈。然而，QKD 本身并不会更改数据。

18、数据泄露响应

效益评级：高

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：数据泄露响应、数据增强以及相关披露是评估个人数据泄露情况并在必要时通知监管机构和受影响个人的必要活动。数据披露由综合法律（例如欧盟的《通用数据保护条例》（GDPR）、澳大利亚的《数据泄露通报制度》（NDB））或特定主题和地区法律（例如美国各州的违规通知立法）强制规定。

为什么重要

对影响个人数据的违规行为进行妥善管理，可以大幅减少罚款，并可能加强与受影响消费者的联系。这表明企业正在积极主动地承担责任。然而，与受影响个人的沟通延迟、透明度不足以及过度的法律措辞往往会引发监管调查，最终导致声誉受损和客户流失。

商业影响

数据泄露响应对组织的韧性至关重要。数据泄露事件往往会造成严重混乱，因为关键的执行团队成员会将注意力从既定的优先事项转移到应对数据泄露带来的声誉、监管和潜在的财务影响上。此外，新立法规定，对个人数据处理不当或疏忽的公司董事将处以法定刑罚。

驱动因素

现代隐私法规提高了数据泄露通知的门槛。当个人数据受到影响时，通常需要在发现后的几天内向监管机构披露。
在美国，数据泄露通知的监管环境碎片化且相互重叠。各种联邦法规，例如美国证券交易委员会 (SEC) 和健康保险隐私及责任法案 (HIPAA) 的披露规则，目前正在进行现代化改革。各州也都有各自的数据泄露通知法律，并定期修订和更新，以满足日益数字化的社会中消费者的期望。例如，德克萨斯州和纽约州在过去几年中修订了各自的法律。在加利福尼亚州，数据泄露披露与《加州消费者隐私法案》(CCPA) 之间的相互作用，使私人诉权的风险凸显出来。
监管的演变表明了组织承诺和资源配置的必要性。
组织必须不断使事件响应 (IR) 的技术和操作要素与新的法律和监管要求保持一致。
许多组织仍需要提高其在加速的时间内向监管机构和可能受影响的个人披露数据泄露的能力。
尽管许多机构都致力于避免罚款，但此类事件难免发生。完善的应对方案可以带来丰厚回报，例如罚款减少50%以上，并尽量减少消费者的负面反应。

障碍

建立和测试数据泄露防护程序是一项无法立即获得回报的开支。只有在出现问题时才会产生回报，这通常会导致该程序被降级，并被更紧迫或更能产生收入的任务所取代。
由于泄露事件的多变性和不确定性、涉及的数据以及每个泄露场景所特有的多条记录，数据泄露服务保留金并不常见。
即使有一个强大的程序，发现事故的时间也需要几个月的时间——尽管随着时间的推移，这种情况正在改善。
总法律顾问与首席信息安全官 (CISO)之间的紧张关系可能会对组织的违规处理能力产生负面影响。当事件调查报告因担心可能被强制通过法律调查程序而受到限制时，就会发生这种情况。
随着人工智能治理法律的出台，要求披露人工智能滥用行为的监管违规行为也在以与人工智能创新相同的速度发展。
数据泄露响应需要综合运用多种技术能力，例如对数据泄露发生原因、涉及记录数量和类型的取证分析，以及适当的补救措施。此外，还必须与协调一致的组织流程相结合。

19、多云密钥管理即服务 (KMaaS)

效益评级：中等

市场渗透率：目标受众的5%至20%

成熟度：早期主流

定义：多云密钥管理即服务 (KMaaS) 解决方案可以部署在一个或多个私有云或公有云服务平台 (CSP) 上。它们以软件即服务 (SaaS) 的形式部署，并且可能使用硬件安全模块 (HSM)。KMaaS 可以跨多个 CSP 控制客户管理密钥 (CMK)，还可以支持 CSP 原生的自带密钥 (BYOK) 解决方案，以实现一致的数据访问控制策略。

为什么重要

跨云服务提供商 ( CSP) 和地域部署数据会增加数据驻留、数据安全和隐私风险。CSP 原生的密钥管理系统 (KMS) 彼此独立运行，导致KM不一致，并增加风险。然而，第三方供应商KMaaS 可以通过单一产品实现一致的 KM，该产品可以通过 CMK 集成到每个 CSP KMS，或跨 CSP 独立集成，从而实施更强有力的风险缓解措施。

商业影响

KMaaS 通过一致的加密策略实现更安全的数据访问，从而支持企业采用云服务。部署 KMaaS 应能够防止员工或云服务提供商 (CSP) 以不恰当的明文方式访问各个位置的数据或加密密钥，从而降低数据驻留、安全和隐私风险。选择单一 KMaaS 产品而非多个独立的CSP原生 KMS，对于简化和应用一致的 KM 生命周期要求至关重要。

驱动因素

由于每个云服务提供商 (CSP) 都提供自己的原生密钥管理 (KMS)，且无法与其他云服务提供商集成，因此企业在多云环境中面临着碎片化的知识管理 (KM) 策略。由此产生的不一致的知识管理策略，加上日益增长的量子计算威胁，使得后量子战略的实施变得困难重重。
对国家政府、云服务提供商或管理人员未经授权访问的担忧继续推动人们对加密技术的兴趣，以提供数据保护和隐私。
由于黑客攻击、内部盗窃或意外泄露而导致的数据泄露风险推动了对跨多云的强大、一致的KMaaS的需求。
组织部署的数据保护技术的数量和多样性不断增长，需要一致的 KM 支持——包括加密、标记化、安全多方计算、机密计算和同态加密。
KMaaS 与机密计算的集成使组织能够防止未经授权的 CSP 或内部人员访问这些环境中可以通过 CSP 原生 KMS 获取的数据和密钥。
KMaaS 使组织能够通过 BYOK 直接控制 CSP 原生 KMS 中的 CMK，或者持有自己的密钥 (HYOK)，或者完全独立于 CSP。
选择 BYOK 集成时，已部署加密的 KM 信任根仍由CSP 控制。这推动了人们选择独立于 CSP 原生 KMS 创建信任根的 KMaaS 解决方案。

障碍

提供原生 KMS 的CSP无法与其他 CSP 集成，导致密钥生命周期管理不一致。因此，企业必须在成本和复杂性之间做出权衡，选择使用多个独立的 KMS 产品，并选择通过 BYOK 集成但能提供 KM 一致性的 KMaaS 产品。
每个 KMaaS 产品都有自己定制的云服务集成和定制的保护技术选择。
如果供应商同时提供 KMaaS 和加密产品，则无需使用额外的 CSP 原生 KMS 。但供应商很少允许其加密产品与其他供应商提供的 KMaaS 集成，这会带来复杂的选择，可能需要购买多个独立的 KMaaS 。
如果需要在多云中使用多个 KMaaS 产品，那么组织将面临跨这些独立产品的关键生命周期管理的复杂性增加。

20、云原生 DLP

效益评级：高

市场渗透率：目标受众的20%至50%

成熟度：成长期

定义：云原生数据防泄漏 (DLP) 为 SaaS 交付的业务应用程序和超大规模云服务提供商 (CSP) 提供 DLP 功能。它可以作为 SaaS 或通过 API 部署，将安全控制扩展到原生产品之外，从而管理跨多云环境的数据蔓延。独立的云原生 DLP 提供商通常支持复杂的多云策略，有些还提供数据分类来补充其 DLP 控制。

为什么重要

与传统 DLP 相比，云原生DLP 能够更深入地洞察和控制在云环境中处理和存储的敏感数据。与云服务提供商 (CSP) 产品集成后，其投资额远低于传统 DLP 工具。除了提升可见性之外，这些工具还能够现代化风险缓解策略，以应对敏感数据泄露或不当使用的风险，从而确保数据安全合规。

商业影响

选择云原生 DLP 解决方案可以带来以下好处：

云优先组织，实现快速部署和无缝集成
降低成本（通常包含在 CSP/应用程序许可中）
提高云数据的可见性和控制力
可能使用云安全技术取代传统的 DLP （例如，云原生应用程序保护平台、SaaS 安全态势管理、安全服务边缘[ SSE ]和用于数据分类的数据安全态势管理）
协助满足监管合规需求

驱动因素

传统 DLP 解决方案通常侧重于本地数据安全，难以应对现代挑战，例如跨多云环境和各种 SaaS 应用程序的数据蔓延。它们还缺乏动态混合部署所需的敏捷性；云原生 DLP 解决方案旨在克服这一挑战。
对于采用云优先战略的组织而言，云原生 DLP可以作为 DLP 实施的良好起点。这些组织还能在其支持的云和 SaaS 服务中一致地执行安全策略，提供集成控制，从而有效降低云和 SaaS 数据蔓延带来的风险。
这些解决方案扩展迅速，并且通常采用 SaaS 部署。
云服务提供商 (CSP)自身提供 DLP 产品与其原生云产品最无缝的集成。例如，他们的基础设施即服务 (IaaS)、平台即服务 (PaaS) 和软件即服务 (SaaS)通常在现有许可中包含DLP功能（尽管可能会产生相关费用）。这种集成效率更高，因为这些云提供商对其生态系统中存储的数据拥有最佳的访问和控制权。
第三方云原生 DLP 提供商通常比传统或超大规模 CSP 提供商更新、更灵活，使他们能够通过适应客户关注点和更快地创新来与其他提供商区分开来。
保护敏感数据和遵守严格的数据保护法的监管压力不断增加。
各组织正在放弃传统的 DLP 解决方案，理由是存在支持问题、缺乏覆盖广度和深度、政策不准确以及产品创新和发展停滞不前。

障碍

DLP 策略的执行在云环境和混合环境中可能不一致。这种差异可能是由于云提供商限制相关信息的 API 暴露，或产品成熟度存在差异所致。这种情况使统一的 DLP 程序的开发和维护变得复杂，因为这些策略的精确度和准确性最终取决于您选择的 DLP 和云服务供应商的能力。
云原生 DLP产品虽然创新，但可能还不如企业级 DLP 解决方案那样成熟和全面。它们通常缺乏用户风险关联和高级检测功能（例如文件指纹识别）。此外，它们可能无法覆盖所有数据泄露渠道和用例，从而给组织带来风险。
云原生 DLP 产品只能提供有限的支持和集成选项，这使得组织很难选择支持其多样化（支持和不支持）云服务的供应商。

21、安全服务边缘SSE

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：早期主流

定义：安全服务边缘 (SSE) 可确保对 Web、SaaS 应用和私有应用的访问安全。其功能包括自适应访问控制、数据安全、可见性和合规性。其他功能包括通过基于网络和 API 的集成强制执行的高级威胁防御和可接受的使用控制。SSE 主要以云服务的形式交付，可能包含本地或基于端点代理的组件。

为什么重要

SSE产品统一了与访问相关的安全功能，以提高安全使用Web 和云服务以及远程工作的灵活性。
SSE 产品主要通过云端交付，结合了安全网关 (SWG)、云访问安全代理 (CASB) 和零信任网络访问 (ZTNA) 的核心。
当组织追求安全访问服务边缘 (SASE) 架构时，SSE与软件定义广域网 ( SD-WAN )配对以简化网络和安全操作。

商业影响

企业采用战略性混合采用模式来管理关键业务应用，将关键服务部署在公有云上，同时在托管环境中维护私有应用，并在公有云内维护私有租户。SSE 支持所有用户，并对 Web、云和私有应用访问实施一致的访问安全策略。SSE 通过统一多种访问产品来简化管理，并提高用户在单一平台上操作的可见性。

驱动因素

企业对公有云服务的采用持续增强或取代本地应用程序，推动了对分布式且需要安全访问的用户、应用程序和企业数据进行保护的需求。SSE为混合办公人员和设备提供灵活的、主要基于云的安全性，而无需依赖于本地网络基础设施和连接。
传统的 SWG 和 VPN 产品（无论是硬件还是虚拟的）都限制了支持庞大且分散的员工队伍的能力。要运行资源密集型的安全流程并同时扩展，需要采用基于云的方法来提高性能并减少网络边缘的流量瓶颈。
现在许多企业都以SaaS的形式提供大量关键业务流程和数据，因此需要对位于、进入和离开这些 SaaS 平台的数据执行数据防泄漏 (DLP) 。
当用户未连接到企业拥有的网络时，管理员将无法看到用户流量，但需要保留此流量的配置和监控，而不管用户的位置如何。
企业希望降低复杂性，减少执行安全访问策略的点供应商数量，包括减少端点代理。这也意味着需要应用 DLP、高级威胁防御和远程浏览器隔离等控制措施，以确保单一提供商提供更多用例的安全。
无法决定其网络边缘提供商（例如 SD-WAN ）的选择或不想从现有提供商迁移的组织需要灵活地选择集成独立于 SD-WAN 的安全服务以满足其 SASE 要求。
企业机构希望减少对以硬件为中心的安全解决方案的依赖，因为这些解决方案通常与资本支出相关。通过采用 SSE，他们可以最大限度地减少硬件需求，并转向运营支出模式，从而提供更可预测、更一致的预算预测。

障碍

随着市场通过功能合并而增长，供应商可能在某些领域表现出色，而在其他领域则落后。他们正在快速转向 SASE 平台解决方案，但可能缺乏与自身 SSE 或 SD-WAN 功能的强大集成。
一些供应商缺乏足够的 DLP 功能来管理业务风险。
以云为中心的 SSE 通常不能涵盖现场控制（如现场横向流量的分割和检查）可以满足的所有要求。
企业担心服务正常运行时间、可用性和响应能力会受到影响，而薄弱的 SLA 和有限的本地功能对性能和可用性的影响更是雪上加霜。一些供应商会限制客户端接入点 (POP)。
从 VPN 迁移到 SSE 中的 ZTNA 功能会增加成本，并且可能与所有应用程序不兼容。
SSE 即服务产品的期末价格上涨促使组织评估成本与价值，导致他们花费时间和金钱来取代现有供应商。

22、数据发现

效益评级：中等

市场渗透率：目标受众的20%至50%

成熟度：成熟主流

定义：数据发现是一项基础技术，用于识别和分析企业环境中的结构化和非结构化数据。数据发现利用自动化和人工智能（包括模式识别、自然语言处理 (NLP) 和机器学习 (ML)），实现数据分类、归类和敏感度标记。它被集成到更广泛的数据安全、合规性和治理解决方案中，一些平台甚至与策略执行系统集成。

为什么重要

数据发现增强了组织在混合、云和 SaaS 环境中管理不断增长的数据存储库的能力。它提供了对分散数据的可见性，使合规团队能够识别受监管的敏感信息。安全团队利用发现洞察来降低数据相关风险，而基础设施团队可以识别冗余、过时或无关紧要 (ROT) 的数据，从而优化存储和运营效率。

商业影响

识别敏感和受监管的数据以支持合规性、隐私性和安全性。
通过将保留策略与发现见解相链接来实现数据生命周期管理。
通过消除ROT数据、隔离敏感信息以及识别数据沿袭和访问问题来识别业务风险。
通过识别和标记敏感或高价值数据集以采取进一步的治理行动，支持人工智能治理和生成式人工智能 (GenAI) 准备。

驱动因素

数据量的不断增长以及企业使用不同的应用程序和存储平台，促使企业扩展降低业务风险的能力。这些风险包括数据泄露、数据泄露、个人数据和知识产权泄露、基础设施成本失控以及审计和监管罚款。
需要通过数据发现以及后续的数据分类和归类、安全控制、防御性删除和最小化措施来最大限度地减少网络攻击对敏感信息的访问的爆炸半径。
组织希望能够根据数据的敏感度来调整和监控适当的数据访问。
GenAI 和 AI 治理 (AI TRiSM) 的日益普及推动了敏感数据的识别。
有效的保留、删除和最小化工作需要清楚地了解数据内容和位置。
数据发现在为大型语言模型准备企业数据方面发挥着越来越重要的作用，它有助于识别、情境化和管理跨来源的高质量输入数据。
不断扩大的全球合规要求（例如，欧盟的《通用数据保护条例》、《加州隐私权法案》、《健康保险流通与会计法案》和金融服务合规）要求全面准确地识别敏感和受监管的数据。

障碍

由于其广泛的用例、功能和优势，数据发现技术的资金和预算可能需要多个部门的协作，包括安全、隐私、合规、法律和 IT 团队。
数据发现的责任通常缺乏明确的归属。虽然IT或安全团队通常会操作这些工具，但他们可能无权根据发现的结果采取行动。这导致可见性与控制限制之间的脱节，从而限制了风险降低，并造成了跨数据域的责任缺口。
如果没有明确执行的策略，组织很难将数据发现见解转化为可操作的数据删除、修复或安全。
全面发现可能会受到遗留平台的可扩展性以及跨孤立或未记录的企业数据环境连接所需的集成工作的限制。
先进的 AI/ML 发现技术可能缺乏清晰的可解释性，从而降低利益相关者的信任和采用率。

稳步复苏期

23、格式保留加密

效益评级：中等

市场渗透率：目标受众的20%至50%

成熟度：早期主流

定义：格式保留加密 (FPE) 可保护静态数据、使用中数据以及通过应用程序访问的数据，同时保持原始数据的长度和格式。它用于保护本地和云服务平台上各种数据库和文档类型中的字段。FPE 是一种重要的匿名化技术，可满足数据保护、合规性和隐私要求。它还可以通过控制数据访问来降低数据驻留、黑客攻击或内部威胁的风险。

为什么重要

FPE 可用于在数据提取、数据库存储或通过数据管道访问时保护数据。它可用于保护本地或云服务平台 (CSP) 上存储或处理各种数据库和特定文档类型的敏感数据。它是一种钝性访问控制，应用后，无论数据位于何处或被访问，它都能保护数据。在某些情况下，FPE 可以保护 AI 对矢量数据库的访问，或支持数据安全平台。

商业影响

FPE被广泛接受，无需对数据库或应用程序进行大量修改即可保护数据。它提供了一种强大而灵活的方法，可以防止未经授权访问本地数据和云服务提供商 (CSP) 的数据，并减轻来自人工智能的安全威胁和访问风险。FPE 可帮助组织满足数据保护和隐私法规以及数据驻留要求，以保护个人、健康、信用卡和财务数据，并遵守数据泄露披露法规。

驱动因素

美国国家标准与技术研究院特别出版物( NIST SP ) 800-38 和800-38G 修订版 1 中已制定并批准了 FPE 的 FF1 和 FF3-1 模式，这是广为接受的标准。尽管 FF2 和 FF3 模式存在安全漏洞，但这两种模式已被广泛接受，以支持隐私和金融法规。
由于数据保护、数据驻留限制的需求快速增长以及全球隐私法数量的增加，采用率正在不断提高。
越来越多的组织希望在保持数据匿名的同时进行分析。但有些员工需要访问明文，这就推动了 FPE 提供业务友好的访问控制的需求，这些访问控制可以利用增强数据编目功能。
将FPE实施与数据屏蔽和多云数据库活动监控相结合作为数据安全平台的一部分的能力也正在增加其采用率，以支持数据驻留、合规性和隐私以及测试和开发的要求。
越来越需要将 FPE 与多云密钥管理作为服务进行部署，以提供强大且一致的企业密钥管理 (EKM) 策略来支持国际隐私和数据驻留要求。
应用 FPE 来保护 AI 访问的数据库中的数据的需求日益增加。

障碍

FPE 主要用于数据库，而组织通常不会协调所有数据孤岛之间的加密。他们难以追踪其架构中的数据流。这可能导致以明文形式访问其他数据存储中的敏感数据，而这些数据无法通过 FPE 进行保护。
如果数据库管理员 (DBA) 或应用程序所有者承担了安全责任，但没有对安全控制职责进行适当的划分，则利益冲突可能成为一个问题。
如果加密密钥丢失，则不受弹性生命周期最佳实践和 EKM 管理的加密密钥可能会导致大量数据丢失。

24、隐私影响评估

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：隐私影响评估 (PIA) 使组织能够识别和处理隐私风险。PIA 通常在实施新的处理活动和/或重大变更之前进行，其考量因素包括流程所有者和描述、为特定目的处理的数据类型以及每个目的的保留期限。评估内容可能包括法律依据、公民自由研究以及为确保个人数据处理环境的可控性而采取的安全措施的充分性。

为什么重要

隐私监管格局的持续变化要求组织机构对其处理的个人数据、保护原因和方式有深入的了解。很少有组织机构能够洞察和控制各种存储库和数据孤岛中的个人数据，更不用说了解这些数据的使用方式或预期用途。然而，这种了解对于隐私和安全控制措施的适度和充分部署至关重要，这使得隐私影响评估(PIA) 成为有效隐私计划的基石之一。

商业影响

PIA 可以提高整个数据生命周期内对个人数据的合规性和控制力，并有助于确定访问管理以及数据生命周期的终止，从而实现有目的地处理个人数据。PIA 有助于预防（内部）数据泄露和个人数据滥用，帮助安全和风险管理 (SRM) 领导者量化主体面临的风险，并在适当的时候采取适当的缓解控制措施。频繁且持续地进行 PIA 可以为负责任且透明的数据管理奠定基础。

驱动因素

许多组织使用电子表格和问卷手动进行PIA 。随着PIA数量的增加以及重复性需求的增加，手动方法变得难以管理。
过度标准化将执行 PIA 所需的技能限制在少数人身上，而不是使他们成为组织数据处理结构的一部分。
PIA 自动化工具允许（API 驱动的）触发器启动评估过程，在每个步骤收集所需的信息并通过预定义的工作流程对其进行跟踪，直到案件结案或标记为需要补救。
如果做得好，PIA 将成为将法律要求和业务流程（重新）工程与隐私实际操作联系起来的核心，通过设计和启用适当的安全控制应用。
PIA 的结果将有助于评估处理活动记录 (RoPA)。借助数据和分析主管提供的数据结构智能，SRM 主管可以进一步自动化预期的个人数据生命周期，确定哪些地方应该提供哪些地方不应该提供。换句话说，基于目的的处理活动的 PIA 结果决定了基于目的的访问控制 (PBAC)。此外，它还有助于自动化确定数据生命周期终止时刻。
整个PIA流程将数据治理举措简化到更可控的状态，但目前的主要驱动力仍然主要来自监管要求。其他框架确实有所帮助，例如2023年修订的ISO 29134。

障碍

由于手动工作流程设计不周和一刀切的心态，PIA 通常被认为是一项繁琐的任务，在长期强制执行此项活动的组织中，PIA 会产生一定的疲劳。
商业伙伴的“复选框心态”观点无助于提高 PIA 的质量。
低估 PIA 的相关性和地位、PIA 不完整且不准确，或者未能经常更新，都会导致最初的尝试最终徒劳无功。
在缺乏知识渊博且训练有素的员工的情况下，PIA 自动化工具很难根据组织的需求进行定制。因此，即使是自动化方法也无法实现与 PIA 理想关联的个人数据生命周期治理或管理活动的后续自动化和协调。

25、隐私设计

效益评级：中等

市场渗透率：目标受众的5%至20%

成熟度：成长期

定义：隐私设计 (PbD) 并非一项单一的技术，而是一套旨在主动营造隐私文化的原则。这可以通过将其频繁且早期地嵌入到技术（例如应用程序或客户交互设计）以及程序和流程（例如通过隐私影响评估、数据最小化和辅助性原则）中来实现。这套原则并非一成不变，但 PbD 作为一项最佳实践，在全球范围内适用于任何隐私计划的基础。

为什么重要

对于寻求赢得客户信任并增加收入机会的组织而言，隐私是核心支柱之一。此外，全球范围内新法规或重大修订法规的数量持续增加。通过采用 PbD 并在其数据处理活动中嵌入隐私考量，组织有望实现更高效的运营。随着隐私计划的成熟，PbD 将成为更基础、更默认的元素。

商业影响

隐私必须融入其中。基于风险的主动方法有助于增强消费者信任，并在违规行为（例如代价高昂的数据泄露）发生之前就加以预防。如果违规行为确实发生，PbD 有助于减少损害，例如罚款或品牌损害。所有技术设计都必须以保护所有个人数据为核心，以降低隐私风险。在当前处理的数据量下，隐私风险已达到前所未有的高度。

驱动因素

系统和流程的设计必须确保敏感数据的收集对数据主体透明。一些以技术为中心的PbD实施理念包括以下内容，所有这些理念都与基于目的的访问控制（PBAC）相结合：

o 减少个人数据的保留时间和数量（数据最小化），

o 处理原始数据（而不是副本）

o 尽可能采用匿名化或假名化，

需要持续评估重新识别和可追溯性的风险，并将数据位置纳入考虑范围，以明确监管影响。
实施 PbD （间接）会带来积极的计划变化，例如有影响力的隐私官、新 IT 服务的采购活动以及频繁进行隐私影响评估。
PbD 及其子组件之一隐私工程，提供了一种将各种设计、部署和治理方法相结合的业务流程和技术架构方法。如果正确实施，它将产生最终结果，并提供易于访问的功能，以满足经济合作与发展组织 (OECD) 的隐私原则。它还通过从以隐私为中心的角度重新构想纵深防御，帮助减轻个人数据泄露的影响。
PbD涉及持续重新计算和重新平衡个人数据所有者的风险，同时保持个人数据处理用例的最佳效用。因此，组织可以依赖在正确的时间提供的正确数据，最大限度地保留信息，并建立对合规操作的信任；然而，左移技术的采用目前似乎停滞不前。
利益相关者受益于数据足迹的减少以及随之而来的违规风险的降低。此外，PbD 能够持续向目标主体交付隐私承诺，并提升客户的信任度和参与度。

障碍

由于缺乏行业认可的原则、对其组成部分进行深入解读的意愿以及一致的监管框架支持，PbD 的采用和广泛认可受到了阻碍。在加拿大，安大略省信息和隐私专员描述了以下关键要素：主动性、默认隐私、嵌入设计中的隐私、全面功能、端到端安全性、可见性和透明度以及以用户为中心。在美国，联邦贸易委员会 2012 年的一份报告是对 PbD 原则最明显的早期支持，但全球标准仍然缺失。
直到过去几年，立法要求才开始纳入“设计上和/或默认的数据保护”，这意味着所有活动都应采用PbD方法。虽然具有先例影响力的裁决在数量和深度上正在缓慢增加，但有时供应商会添加诸如“产品X在设计时考虑了PbD”之类的声明，但却几乎没有参考资料来支持这一说法。
只有当隐私真正成为开发过程中更有机的一部分时，对 PbD 的需求和效益评级才会增加。

26、元数据管理解决方案

效益评级：高

市场渗透率：目标受众的5%至20%

成熟度：早期主流

定义：元数据管理解决方案是用于收集、组织和丰富元数据的工具。它们可以整理元数据，支持审查、搜索和分析，并提供与第三方元数据的透明交叉引用。这些解决方案支持工作流程的修改和第三方系统的操作，从而提高业务利用率和运营效益。

为什么重要

元数据管理解决方案对于组织在复杂的数字环境中管理多样化的数据资产至关重要。随着数据角色扩展到IT之外，对高效数据访问和共享的需求日益增长。这些解决方案通过实施强大的数据管理实践来应对安全和隐私风险。它们支持元数据发现和自动化，促进无缝的数据集成和治理。这确保了数据的安全和可访问性，从而支持做出明智的决策，同时保持合规性并保护信息安全。

商业影响

投资元数据管理解决方案的数据和分析 (D&A) 领导者将受益于：

支持业务数据的使用和理解
促进企业对企业、技术对技术和企业对技术的沟通
通过数据沿袭描述不同流程中的数据利用率
支持共享和本地化的元数据和系统
无论数据形式、结构或用途如何，都能有效地处理上下文
将元数据作为克服协作障碍的主要工具

驱动因素

企业迫切需要对跨异构系统和边界的组织数据资产拥有更集成、更少孤立的视图，这使得元数据管理解决方案成为其生态系统中一项亟需的技术。这不仅可以节省时间、精力和金钱，还能降低不必要的风险。
主动元数据带来的创新正在改变数据资产的盘点和管理方式。它减少了对人力的需求，并加快了增强数据编目和元数据管理的进程。在这种新形势下，人类主要充当验证者，而非元数据管理相关操作任务的执行者。
得益于元数据管理解决方案支持并由人工智能增强的自动化，非正式和正式团队都在逐渐演变为社区参与者。随着现代元数据管理实践在组织内部逐渐普及，供应商才刚刚开始满足这些需求。
目前，多家供应商提供集成业务、安全和隐私元数据的企业数据编目技术。这种集成允许数据与分析 (D&A) 和安全产品使用相同的元数据管理解决方案进行跨职能操作。

障碍

从历史上看，企业一直在努力理解、定义和使用显示商业价值的元数据，导致有关元数据管理解决方案的战略业务对话不成熟。
在多供应商环境中集成元数据管理解决方案固然必要，但成本高昂。供应商和社区正在通过开放性和互操作性方面的举措（例如开源项目Egeria ）来应对这一障碍。
缺乏能够满足特定用例当前和未来需求的元数据管理解决方案。例如，AI 就绪数据、数据市场和数据结构需要用户评估多种元数据工具，甚至需要自行或通过合作伙伴进行集成。如果有更好的解决方案，这种情况是可以避免的。

生产力成熟期

27、隐私管理工具

效益评级：高

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：隐私管理工具可帮助组织获取合规性洞察，并根据监管要求检查处理活动。它们为隐私流程和工作流带来结构化和可扩展性，增强对数据流和治理成熟度的洞察，并监控和跟踪隐私计划的成熟度进展。

为什么重要

全球范围内数据保护和隐私立法的普遍存在，迫使企业深入了解并控制个人数据处理行为。全球约三分之二的司法管辖区都已实施与欧盟引领潮流的《通用数据保护条例》(GDPR) 类似的要求。相关法律涵盖城市、省或州、国家以及多个国家/地区。由于要求的具体细节存在差异，手动管理合规性概述几乎不可能。

商业影响

隐私管理工具使企业领导者能够监督和问责个人数据的处理，并实现这些活动的透明度和控制力。这些工具包含审计功能，用于证明合规性（尤其是跨多个司法管辖区的合规性）、第三方和其他治理、风险和合规隐私专家能力。单点解决方案集成到套件中，以实现隐私用户体验 (UX)、供应商风险管理、处理活动记录 (ROPA)、数据智能清单等的自动化启用。

驱动因素

几乎所有已通过或拟议的隐私法都深受《GDPR》的影响。因此，这些法律涵盖了诸如主体权利、明确（追踪者）同意和及时违规披露等概念。未来两到三年，监管变革可能会持续下去，从而在立法层面为隐私奠定基础。
个人对隐私的意识和需求持续增长，这往往源于新技术的广泛应用。面对这些持续的压力，企业必须调整其隐私计划，以便在预算紧张的情况下实现更大规模和更佳的性能。他们应该在不让企业遭受罚款或声誉损害的情况下做到这一点。
隐私形势日益复杂。到2025年，全球75%人口的个人数据将受到现代隐私法规的保护。我们估算，全球超过80%的组织正面临现代隐私和数据保护要求（参见《2025年预测：人工智能时代和量子时代的隐私》）。即使是尚不成熟的隐私计划，也需要具备基本能力，包括ROPA、隐私影响和合规性评估、隐私用户体验的若干要素以及事件或数据泄露管理。
为了实施一致且全面的隐私计划，组织需要两套能力——隐私管理和以数据为中心的控制。一些组织选择首先解决数据问题：发现、分类、授权和访问控制，以及实施生命周期终止。
秉持隐私优先的原则，以及对个人数据处理活动的透明度和管控，对企业而言无疑是利好（即便并非尤其如此，尤其是在与人工智能技术应用和相关监管发展相互作用的情况下）。这不仅能增强品牌保护和客户信任，还能体现出对数据及其背后人员的道德规范。

障碍

随着时间的推移，“足够好”的感觉可能会导致隐私管理工具的采用延迟，或者更糟的是，缺乏（自动）集成以获得最大利益。
一些组织已经部署了隐私用户体验组件、数据泄露响应或影响评估的单点解决方案。他们可能会忽略集成套件中更成熟的补充功能。如果只考虑剩余的手动工作量，尝试集成来自不同供应商的松散组件往往会令人失望。
正在进行的开发，包括“左移”运动，即某些功能在代码级别实现自动化，通常本质上是技术性的。即使最终可以带来直接和长期的效益，这也会阻碍其应用。
由于没有立即实施制裁或调查，压力似乎有所减轻，一些组织继续采取观望态度，并依赖一套难以管理的做法。

28、数据访问治理

效益评级：高

市场渗透率：目标受众的20%至50%

成熟度：成熟主流

定义：数据访问治理 (DAG) 为文件存储库中的非结构化和半结构化数据提供评估、管理和实时监控。其主要目的是确定、管理和监控哪些用户有权访问哪些数据，纠正过度共享，并利用生成式人工智能 (GenAI) 确保数据安全使用。DAG 提供访问和权限活动的审计跟踪。

为什么重要

非结构化数据存储库通常缺乏有效的管理。这一现实，加上云和协作平台的使用以及 GenAI 数据泄露风险的不断增长，进一步凸显了对 DAG 的需求。此外，网络威胁和隐私法进一步增加了对非结构化数据安全控制的需求。DAG功能有时是成熟数据安全产品组合的一部分，通常包括数据访问管理以及对非结构化和半结构化数据的实时监控。

商业影响

传统上，DAG 产品帮助教育机构解决数据安全和隐私监管问题的孤立用例，尤其是在数据访问追踪至关重要的行业，包括金融服务、银行、法律、保险和零售。然而，自从 GenAI 交钥匙产品全面上市以来，用例已转向发现和纠正数据过度共享，以便机构可以在整个站点范围内启用 GenAI 功能，而不必担心泄露机密性。

驱动因素

DAG 通过对数据进行分类并确保用户和群组拥有正确的访问权限，从而解决数据过度共享的问题。这有助于客户将部分数据存储库从本地迁移到公有云，并对迁移后的数据赋予适当的权限。
对于希望部署 GenAI 的组织来说，过于宽松的数据是一个风险来源，而 DAG 通过调整 GenAI 工具的权利来帮助促进无缝部署。
持续监控权限和审计数据访问是组织数据安全计划的常见要求。DAG 通过利用数据发现来组织和关联文件存储库中的 Active Directory 组和授权，从而实现并自动化这些要求，并利用这些来满足监控和审计需求。
最终客户需要对其非结构化数据的安全性进行更主动的控制，需要更快速地进行更深入的集成和更强大的控制。
围绕人工智能使用的监管要求正变得越来越普遍，这增加了对安全团队的审查力度，以有效地开发能够解决人工智能带来的风险（包括过度共享）的控制措施。

障碍

将 DAG 集成到企业正在使用的所有文件存储库中 —同时实现所有文件存储库的功能和特性的一致性—是一项挑战。
有些产品对数据存储进行统计抽样，并根据统计数据进行分析，而不是逐个文件地抓取数据存储，这常常导致最终客户失望。
大型产品平台（例如IBM Security Guardium Data Protection、Microsoft Purview 或Oracle Data Safe）中的重复功能可能会给最终客户带来不确定性。他们可能难以确定哪种产品组合才是最佳的战略选择，尤其是在现有许可证授权中包含原生或内置功能的情况下。
并非所有 DAG 解决方案都提供相同的集成广度或功能深度。选择合适的解决方案取决于组织的实际用例，而不一定取决于哪种 DAG 解决方案被认为是最佳方案。

29、数据分类

效益评级：高

市场渗透率：超过50%的目标受众

成熟度：成熟主流

定义：数据分类是根据信息资产的分类（例如数据敏感度、类型或内容）对其进行组织的过程。这通常会生成元数据，用于指导控制措施的决策，例如数据安全或数据管理。数据分类可以包括为数据对象添加标签，以方便其使用和治理，具体方式包括通过数据生命周期控制或使用数据结构激活元数据。

为什么重要

数据分类有助于在数据安全和治理计划中有效且高效地确定数据的优先级，尤其是在那些涉及数据价值、访问、使用、隐私、存储、道德规范、质量和保留的计划中。它是隐私、数据安全和治理计划的基础。数据分类可帮助组织识别其处理的数据的敏感度，并支持以一致、风险优先的方式应用数据保护控制措施。

商业影响

数据分类支持广泛的用例，例如：

数据安全控制的实施
提高监管（例如隐私）合规性
实现基于目的、角色或属性的访问控制
风险缓解
主数据和应用数据管理
负责任的数据管理
内容和记录管理
用于运营和分析的数据目录
系统效率和优化，包括用于单个DataOps 的工具

驱动因素

数据分类为后续数据安全产品和控制提供了基础，这些产品和控制需要有关数据的信息来配置，例如数据防泄漏 (DLP)、企业数字版权管理 (EDRM)、访问控制和授权。
数据分类是支持整个组织以道德和合规的方式处理数据的基础，并为识别和管理违反跨境数据传输限制的流程奠定了基础。
对于无法全面了解其数据资产的组织，数据分类可以让他们了解组织数据蔓延的情况，并使用户能够更好地了解他们处理的数据的价值和敏感性。
通过数据分类，组织可以将其安全、隐私和分析工作集中在最重要的数据集上。重要性层次由数据分类属性的组合确定，这些属性包括数据类型、所有者、法规、敏感度、保留要求，或者更广泛地说，包括数据用途、机密性级别或可用性和完整性需求。
数据分类，尤其是与权利管理（例如数据访问治理）相结合，是生成人工智能 (GenAI) 使用数据时缓解数据过度共享的关键因素。
数据分类是数据治理的重要组成部分，通过对数据进行分类，组织可以建立数据保留、数据访问和数据安全策略，从而有助于降低与数据泄露相关的风险。
尽管监管环境日益复杂，但数据分类和数据对象的详细标记/标签使得敏捷治理程序能够适应业务需求。

障碍

数据分类计划常常失败，因为它们依赖于缺乏培训的用户的手动操作，仅仅为了分类而操作，而没有将始终如一地采取安全措施作为工作目标。对于数据分类的重要性，利益相关者缺乏沟通，或者沟通不充分。
数据分类的采用通常反映了组织的安全态势。如果没有使用自然语言向员工明确定义数据分类的目的，那么数据分类计划的参与度就会很低。
许多供应商提供自动化数据分类工具，这些工具可以更准确地对更多数据进行分类，同时最大限度地减少用户的工作量。然而，这些工具并非 100% 准确，尤其是在使用机器学习或 AI 算法时，因为这些算法的模型需要持续训练。

查看全文

http://www.dtcms.com/a/305308.html