一��、未來的市場空間能有多大?
首先����,從媒體及研究機(jī)構(gòu)關(guān)于數(shù)據(jù)安全市場空間的預(yù)計(jì)看����,2020年數(shù)據(jù)安全的市場大約有12億,以此為基礎(chǔ)稍作延展,到2023年估計(jì)可能會(huì)達(dá)到20億的市場空間��,這個(gè)數(shù)據(jù)想吸引更多資本進(jìn)入����,顯然十分悲觀。為什么?因?yàn)檫@個(gè)市場空間不足以支撐一個(gè)很大的企業(yè)施展抱負(fù)����。從國際視角看����,2017年發(fā)布的《Research
&
Market》報(bào)告,對全球大數(shù)據(jù)市場和全球數(shù)據(jù)庫安全市場進(jìn)行了預(yù)測�����,預(yù)計(jì)到2023年全球數(shù)據(jù)庫安全市場是83.3億美金�����。以現(xiàn)在的人民幣匯率換算差不多是560億人民幣���。
而到2023年���,中國的GDP有望超過20%增幅��,中國數(shù)據(jù)安全的發(fā)展估計(jì)能與我國的GDP增幅吻合��,雖然較之歐美不足�,但較之亞非拉有余���,取個(gè)居中平均數(shù)��,按照這個(gè)推斷中國數(shù)據(jù)庫安全市場2023年應(yīng)該有望達(dá)到100個(gè)億�,這個(gè)空間對資本來說意味著可以容納兩到三家上市公司�。
而樂觀估計(jì),到2025年這個(gè)市場空間會(huì)呈現(xiàn)直線激增�����,達(dá)到一千億�。這里面是否有個(gè)人意愿色彩存在?這一預(yù)測后面將給出可供支撐的邏輯分析。我們先從數(shù)據(jù)安全領(lǐng)域中的重要部分——數(shù)據(jù)庫安全來看����。談到數(shù)據(jù)庫安全,往往有兩種概念���,對于技術(shù)人員���,開發(fā)人員而言���,DBMS也就是數(shù)據(jù)庫管理系統(tǒng)的安全;但是從業(yè)務(wù)跟社會(huì)化概念當(dāng)中安全重點(diǎn)指向的是庫里面數(shù)據(jù)的安全。當(dāng)我們在談?wù)撊丝趲?����、個(gè)人信息庫��、征信庫���,企業(yè)庫的時(shí)候,就是在指里面的數(shù)據(jù)�����。
二�、當(dāng)我們談數(shù)據(jù)安全的時(shí)候,我們在談什么?
當(dāng)我們在談數(shù)據(jù)安全的時(shí)候�����,最容易講的是DBMS安全,2018年安全牛發(fā)布了對數(shù)據(jù)庫管理系統(tǒng)的防護(hù)清晰的定義��。從這個(gè)角度上看���,該定義可以被劃歸到數(shù)據(jù)庫安全的1.0時(shí)代����。數(shù)據(jù)庫安全市場如果僅僅看到這一點(diǎn)�����,一定會(huì)錯(cuò)過未來的發(fā)展機(jī)會(huì)�。再往前看,2.0的時(shí)代以“數(shù)據(jù)”為中心的防護(hù)時(shí)代��,3.0時(shí)代是“數(shù)據(jù)安全治理”的時(shí)代��。數(shù)據(jù)安全劃分成這三個(gè)時(shí)代���,分別代表了不同的含義�。
1�、數(shù)據(jù)安全的1.0時(shí)代
DBMS安全是以數(shù)據(jù)庫管理系統(tǒng)為安全目標(biāo),舉個(gè)例子�����,這種目標(biāo)實(shí)際上是類似于我們會(huì)對居住環(huán)境也就是房屋進(jìn)行加固,最傳統(tǒng)的就是在家里安裝防盜門��、防盜窗����。如果住宅更高級一些,可能會(huì)有社區(qū)監(jiān)控���。如果是一個(gè)莊園�����,會(huì)把周圍加上柵欄�����。核心是保護(hù)邊界,防止外部的入侵�,對外部進(jìn)行監(jiān)管。這種安全是一種系統(tǒng)安全的思想���,我們要保護(hù)的是一個(gè)系統(tǒng)��,這種思想實(shí)際上就是1.0時(shí)代的思想���,它強(qiáng)調(diào)邊界防護(hù)和防止黑客入侵�����。Database緊緊的被包裹在一個(gè)非常好的外延里面����。作為安全人����,針對數(shù)據(jù)庫安全我們要做什么?做防護(hù)!即便對一個(gè)做數(shù)據(jù)庫出身的人而言,在最初進(jìn)入數(shù)據(jù)庫安全這個(gè)領(lǐng)域的時(shí)候仍然擺脫不掉這種思想——如何對DBMS進(jìn)行加固�。
從最早期推出的數(shù)據(jù)安全產(chǎn)品看,包括市面上大多數(shù)的數(shù)據(jù)安全廠商產(chǎn)品����,與傳統(tǒng)的網(wǎng)絡(luò)安全有一個(gè)相對完美的對應(yīng)。比如說磁盤加密對應(yīng)數(shù)據(jù)庫加密;IPS/防火墻對應(yīng)數(shù)據(jù)庫防火墻;IDS入侵檢測對應(yīng)數(shù)據(jù)庫審計(jì);網(wǎng)絡(luò)掃描對應(yīng)數(shù)據(jù)庫漏掃�����。實(shí)際上是網(wǎng)絡(luò)安全思想移到數(shù)據(jù)和安全思想的映射��,只是說傳統(tǒng)思想的實(shí)現(xiàn)。本質(zhì)上我們聽到一個(gè)聲音��,數(shù)據(jù)和安全是網(wǎng)絡(luò)安全的分支�。這有點(diǎn)讓人費(fèi)解,為什么數(shù)據(jù)安全是網(wǎng)絡(luò)安全的分支���。但是對數(shù)據(jù)安全的發(fā)展稍加追溯就恍然大悟�����,最初的設(shè)想就是按照網(wǎng)絡(luò)安全思想做數(shù)據(jù)庫安全�����,實(shí)際上是同樣一套思路在推進(jìn)�。
2����、數(shù)據(jù)安全的2.0時(shí)代
而以數(shù)據(jù)為中心的2.0時(shí)代是一個(gè)什么樣的時(shí)代呢?我們把對于數(shù)據(jù)的防護(hù)向人的視角轉(zhuǎn)移來做類比,作為社會(huì)中的人���,他要運(yùn)動(dòng),要社交���,要旅游�����,在這種不同的場景下�,會(huì)分出很多新種類的防護(hù)性產(chǎn)品,這些防護(hù)類產(chǎn)品就可以突破房屋的物理邊界��,比如我們在運(yùn)動(dòng)的時(shí)候需要用到頭盔;開車的時(shí)候有氣囊;戰(zhàn)場上有防彈衣;假如我們是富豪或者明星�����,會(huì)有一個(gè)私人保鏢團(tuán)隊(duì)等等��,這樣會(huì)使人的安全的延展性跟需求性更為全面�����。我們把這樣的安全�����,定義為場景化的安全���,即數(shù)據(jù)所應(yīng)用的場景���。
2.0時(shí)代應(yīng)該提供什么樣的安全措施�����,或者跟人所對應(yīng)的產(chǎn)品�����,都是在特定的活動(dòng)場景下進(jìn)行���。主要強(qiáng)調(diào)數(shù)據(jù)離開庫之后,在業(yè)務(wù)使用中�,分享給第三方平臺的安全性問題。從1.0時(shí)代過渡到2.0時(shí)代����,核心驅(qū)動(dòng)力是在于什么?
第一,隨著IT建設(shè)����,數(shù)據(jù)資產(chǎn)積累,數(shù)據(jù)進(jìn)一步到共享時(shí)代 �����,不僅會(huì)被本單位或者業(yè)務(wù)部門使用�����,還需要在企業(yè)范圍跟社會(huì)范圍內(nèi)共享才會(huì)發(fā)揮價(jià)值�����。
第二����,進(jìn)入互聯(lián)網(wǎng)化時(shí)代,移動(dòng)化時(shí)代以及云化時(shí)代�,邊界沒了 。過去��,數(shù)據(jù)庫中的數(shù)據(jù)包裹在最堅(jiān)硬的網(wǎng)絡(luò)防護(hù)的內(nèi)核中��,如今這種情形卻徹底發(fā)生了改變����。政府要把很多業(yè)務(wù)部門的數(shù)據(jù)拿到共享環(huán)境下;銀行側(cè)很多業(yè)務(wù)系統(tǒng)需要互聯(lián)網(wǎng)實(shí)現(xiàn)連接;甚至國網(wǎng)的數(shù)據(jù)共享,僅開通手機(jī)APP就能實(shí)現(xiàn)�����,這些都意味著觸達(dá)到數(shù)據(jù)層面的途徑大大的豐富起來。
第三�,數(shù)據(jù)交易市場的形成。 這是一個(gè)變現(xiàn)的時(shí)代�,個(gè)人身份信息、學(xué)生信息�、病患信息等數(shù)據(jù)都是可變現(xiàn)的財(cái)富。在變現(xiàn)時(shí)代背景下�����,“內(nèi)部人員是安全的”這種假設(shè)已經(jīng)不存在了�����。在利益的驅(qū)使下�,外包人員,第三方開發(fā)人員��,運(yùn)維人員����,甚至組織內(nèi)部自己的員工都有可能變成數(shù)據(jù)安全真正的風(fēng)險(xiǎn)。這樣情況下���,繼續(xù)使用網(wǎng)絡(luò)安全的邊界防護(hù)思想去做數(shù)據(jù)庫安全����,只有失敗��。
Gartner在2016年談數(shù)據(jù)安全的時(shí)候����,陸續(xù)推出了DCAP的報(bào)告���,講的是以數(shù)據(jù)為中心的防護(hù)理念���。而在2017年的報(bào)告里���,總結(jié)出包括數(shù)據(jù)分級分類發(fā)現(xiàn)��,數(shù)據(jù)的監(jiān)控與審計(jì)����,行為分析與告警,以及數(shù)據(jù)加密的令牌化等能力��。從中逐漸可以看到涉及的產(chǎn)線產(chǎn)品����,已經(jīng)遠(yuǎn)遠(yuǎn)超過早期的網(wǎng)絡(luò)概念��。
2.0時(shí)代數(shù)據(jù)安全的核心理念在于盡可能保證業(yè)務(wù)系統(tǒng)正常使用,所以必須要進(jìn)行場景化的思考�,什么是滿足這個(gè)場景必要性的條件,只有滿足這個(gè)假定之后我們才要思考用什么技術(shù)能夠去滿足��。
首先開發(fā)測試場景 ����,銀行系統(tǒng)或者大型互聯(lián)網(wǎng)公司�����,早期使用生產(chǎn)數(shù)據(jù)的情況是比較多的�,還有一些通過遠(yuǎn)程接入����,這些都會(huì)存在。不過大部分企業(yè)常常會(huì)人工造一些假數(shù)據(jù)完成測試�。那么,我們思考一下�����,開發(fā)測試環(huán)境真正需要什么����,它實(shí)際上是需要高度仿真的模擬數(shù)據(jù)��,只要能夠模擬出原有的數(shù)據(jù)邏輯��,映射關(guān)系,表跟表之間的關(guān)聯(lián)關(guān)系����,列跟列之間的關(guān)系�,甚至我們身份證��、銀行卡號符合它的邏輯特征��,就能夠基本完成業(yè)務(wù)系統(tǒng)開發(fā)�����。在這種場景下�,需要用到的核心技術(shù)可能只數(shù)據(jù)靜態(tài)脫敏就夠了���,還需求同時(shí)應(yīng)用數(shù)據(jù)庫審計(jì)��、數(shù)據(jù)庫加密�、數(shù)據(jù)庫防火墻等其他的措施嗎?不需要了���。可見��,借助場景化需求分析直接找準(zhǔn)問題核心����,就可以四兩撥千斤,高效解決掉很多問題�����。
比如在業(yè)務(wù)場景情況下���,業(yè)務(wù)側(cè)的風(fēng)險(xiǎn)威脅分為三種:
黑客攻擊�����;業(yè)務(wù)人員自身的訪問;第三方開發(fā)人員程序后門�。
這三種情況下�����,面對黑客攻擊��,防火墻WAF可實(shí)現(xiàn)90%攔截,剩下的SQL注入就需要數(shù)據(jù)庫防火墻進(jìn)行攔截��。面對業(yè)務(wù)人員的防控���,因?yàn)闃I(yè)務(wù)人員往往是合法身份���、合法行為���,這個(gè)時(shí)候需要通過數(shù)據(jù)訪問行為建模發(fā)現(xiàn)意圖的特征。還有一種是針對數(shù)據(jù)下載數(shù)量進(jìn)行策略設(shè)置�����,防止批量下載�。
由此可見��,DBMS2.0時(shí)代是一種針對場景化提供有效技術(shù)的時(shí)代����。
3�����、數(shù)據(jù)安全的3.0時(shí)代
3.0時(shí)代進(jìn)入到了系統(tǒng)化的數(shù)據(jù)安全治理的時(shí)代�,數(shù)據(jù)上升到資產(chǎn)�����、基礎(chǔ)設(shè)施層面。好比人類發(fā)展到需要考慮公共安全的階段�,不可能再通過氣囊、頭盔這樣的單一的個(gè)體防護(hù)方式����。在面臨更大的風(fēng)險(xiǎn)威脅的時(shí)候,我們會(huì)建立組織����、公檢法體系,建立軍隊(duì);會(huì)出臺政策規(guī)范���、刑法��、交通法等等來予以保證;同時(shí)會(huì)建立公共設(shè)施安全�����,比如機(jī)場安檢����,建立登機(jī)制度等���。
3.0時(shí)代最關(guān)鍵的特征就是體系化安全。安全不再是一個(gè)純產(chǎn)品技術(shù)上的安全�����,實(shí)際上是組織規(guī)范+技術(shù)的完美整合��,以呈現(xiàn)整體的安全�����。2.0步入到3.0時(shí)代的驅(qū)動(dòng)源頭有幾點(diǎn)總結(jié)如下:
1.
數(shù)據(jù)成為國家戰(zhàn)略性資源,通過數(shù)據(jù)可以構(gòu)造出新的生產(chǎn)力�����,在這種情況下�,國家會(huì)實(shí)行嚴(yán)格保護(hù)��。 無論從我們國家開始頻繁出臺相關(guān)管理辦法看�,還是放眼全球���,歐盟與美國都在制定數(shù)據(jù)所在地的使用原則,都表明了各個(gè)國家已經(jīng)開始把數(shù)據(jù)當(dāng)做戰(zhàn)略資源���。
2.
數(shù)據(jù)成為企業(yè)核心資產(chǎn)。 創(chuàng)新型企業(yè)如滴滴���、京東、淘寶���,以及銀行金融科技�����,大多數(shù)企業(yè)積累的數(shù)據(jù)往往會(huì)變成企業(yè)最重要的資產(chǎn),不再是一個(gè)符號。
3.
數(shù)據(jù)泄露已經(jīng)形成重大威脅����。 如今大家都是透明人����,從國家的監(jiān)管層面看���,實(shí)際上關(guān)系我們?nèi)魏我粋€(gè)人�����,都將實(shí)現(xiàn)數(shù)據(jù)的全覆蓋�。同時(shí)現(xiàn)在很多大型機(jī)構(gòu)的運(yùn)轉(zhuǎn)都依托于手機(jī)、互聯(lián)網(wǎng)�����,整個(gè)行為都在網(wǎng)絡(luò)上留下痕跡�����。通過這些行為的記錄����,很快就會(huì)建成一個(gè)沒有任何隱私可言�,甚至陷入到騷擾、欺騙��、第三方調(diào)查的境地�����。這就意味著數(shù)據(jù)不僅是企業(yè)的基礎(chǔ)性安全問題�,已經(jīng)成為國家性�,社會(huì)性問題,并上升到一個(gè)體系化的層面���。
在這個(gè)數(shù)據(jù)安全已經(jīng)上升到體系化層面的大環(huán)境下���,針對數(shù)據(jù)保護(hù)工作開展了一系列措施:
國家已經(jīng)開始有動(dòng)作,相繼出臺了網(wǎng)絡(luò)安全法�����、數(shù)據(jù)處境管理辦法���、關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例等�,同時(shí)預(yù)計(jì)在2019年上半年出臺個(gè)人數(shù)據(jù)保護(hù)法��。而2017年11月完成的刑法修訂案�����,其嚴(yán)苛程度也相當(dāng)驚人�����,最低50條數(shù)據(jù)的非法泄露�,即可入刑。簡單舉個(gè)實(shí)例�����,2018年11月2日����,某獵頭公司因在QQ群發(fā)布招聘信息���,已被刑事訴訟。
除了國家法律��,各個(gè)行業(yè)也都在行動(dòng)�,《國網(wǎng)營銷系統(tǒng)數(shù)據(jù)脫敏規(guī)范》、《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》��、《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》�、《政府?dāng)?shù)據(jù)分級分類指南》、《央企商業(yè)秘密安全保護(hù)技術(shù)指引》��,以及教育���、稅務(wù)��、地方上的法規(guī)��,陸續(xù)出臺����。整件事情不再是技術(shù)性的行為���,而會(huì)逐漸演變成一個(gè)社會(huì)性��、規(guī)范性的行為�。
此外,還會(huì)看到越來越多的企業(yè)側(cè)的行為�����。
Gartner在2016年提到一個(gè)理念——數(shù)據(jù)安全治理(簡稱DSG)�。這個(gè)理念包含如下內(nèi)容:
首先是數(shù)據(jù)分級分類�����,可以看到數(shù)據(jù)到底包含了什么;
其次����,在這樣一個(gè)基礎(chǔ)的情況下,基于各種數(shù)據(jù)分類�����,完成處理和控制策略 �,要梳理出哪些人能夠接觸這樣的數(shù)據(jù);這些數(shù)據(jù)接觸的權(quán)限、行為范疇;超出范疇?wèi)?yīng)該采用什么樣的方法進(jìn)行審批�。
第三,這樣的策略之后�����,要在執(zhí)行環(huán)節(jié)有相關(guān)的控制措施、監(jiān)控手段 �。比如,互聯(lián)網(wǎng)企業(yè)可能會(huì)作為首批數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)訪問行為獲監(jiān)管的對象�。
第四個(gè)階段是稽核 。對于數(shù)據(jù)過程要進(jìn)行審計(jì)�����、報(bào)告���,改善措施�����,并重新構(gòu)建��。
在數(shù)據(jù)安全治理時(shí)代����,新的核心技術(shù)要求��,比如說數(shù)據(jù)梳理,就是搞清楚數(shù)據(jù)資產(chǎn)到底有多少���,敏感數(shù)據(jù)如何分布���,以及數(shù)據(jù)是如何被使用的。要利用數(shù)據(jù)的特征發(fā)現(xiàn)記錄��,數(shù)據(jù)主機(jī)掃描技術(shù)���,網(wǎng)絡(luò)分析技術(shù)����,以及大數(shù)據(jù)的處理整合技術(shù)����,才能完成數(shù)據(jù)梳理����。
在未來,基于AI深度日志分析來實(shí)現(xiàn)數(shù)據(jù)監(jiān)管���,信息審計(jì)�,潛在風(fēng)險(xiǎn)發(fā)現(xiàn),而不是策略制定�����。 潛在風(fēng)險(xiǎn)可能是類似APP�����,需要通過建模的方式完成這樣的學(xué)習(xí)分析����。在國外,甚至僅需一到兩天之內(nèi)就可完成自動(dòng)化的設(shè)定����,經(jīng)過一天左右的時(shí)間,就能基于深度行為日志建模完成整體的防護(hù)體系����。而通過行為日志、業(yè)務(wù)日志的積累����,可以驅(qū)動(dòng)未來安全的進(jìn)一步發(fā)展。
網(wǎng)絡(luò)安全時(shí)代態(tài)勢感知的概念叫的響亮���,卻沒出現(xiàn)幾個(gè)多么好的落地產(chǎn)品����。但如果把數(shù)據(jù)安全時(shí)代態(tài)勢感知做出來的話,一定非常具有價(jià)值���。因?yàn)楦鞣N數(shù)據(jù)的行為實(shí)現(xiàn)了可視化���,即在大型數(shù)據(jù)中心層面通過大屏技術(shù),呈現(xiàn)出數(shù)據(jù)分布和數(shù)據(jù)使用分布��,以及數(shù)據(jù)在庫之間流動(dòng)����,業(yè)務(wù)系統(tǒng)流動(dòng)���,人之間的流動(dòng)����,以及發(fā)生的異常�,在一種可視化的方式下,能夠快速感覺到����。
三���、小結(jié)
DBMS1.0時(shí)代的核心的理念是系統(tǒng)安全,市場啟蒙早期是在2010年左右 �,這個(gè)市場高速發(fā)展大規(guī)模企業(yè)進(jìn)入,是在2017年�����。市場爆發(fā)恰恰是這個(gè)時(shí)期���。預(yù)計(jì)到2020年左右�����,市場將達(dá)到一個(gè)成熟期����,并慢慢演進(jìn)��。
第二個(gè)時(shí)代——數(shù)據(jù)時(shí)代很快會(huì)到來���。這時(shí)期要以場景化來構(gòu)建安全產(chǎn)線�����,預(yù)計(jì)規(guī)模能夠達(dá)到百億級����。 2015年左右應(yīng)該可以算得上是2.0時(shí)代的一個(gè)啟蒙期,到2019年相信會(huì)成為業(yè)界主流性的理念��。數(shù)據(jù)庫安全從DBMS安全演進(jìn)成以數(shù)據(jù)為中心的安全�,將會(huì)成為業(yè)界的共識。預(yù)計(jì)到2023年�,2.0時(shí)代會(huì)達(dá)到高速的平衡期。3.0時(shí)代的核心是體系化安全��,預(yù)計(jì)會(huì)出現(xiàn)在2025年左右���,隨著安全的市場在快速的放量�����,市場將會(huì)抵達(dá)千億級規(guī)模����。
