一���、未來的市場空間能有多大?
首先�����,從媒體及研究機構關于數(shù)據(jù)安全市場空間的預計看���,2020年數(shù)據(jù)安全的市場大約有12億�����,以此為基礎稍作延展����,到2023年估計可能會達到20億的市場空間��,這個數(shù)據(jù)想吸引更多資本進入����,顯然十分悲觀。為什么?因為這個市場空間不足以支撐一個很大的企業(yè)施展抱負����。從國際視角看,2017年發(fā)布的《Research
&
Market》報告�,對全球大數(shù)據(jù)市場和全球數(shù)據(jù)庫安全市場進行了預測,預計到2023年全球數(shù)據(jù)庫安全市場是83.3億美金�����。以現(xiàn)在的人民幣匯率換算差不多是560億人民幣����。
而到2023年,中國的GDP有望超過20%增幅�����,中國數(shù)據(jù)安全的發(fā)展估計能與我國的GDP增幅吻合����,雖然較之歐美不足,但較之亞非拉有余�,取個居中平均數(shù),按照這個推斷中國數(shù)據(jù)庫安全市場2023年應該有望達到100個億�����,這個空間對資本來說意味著可以容納兩到三家上市公司���。
而樂觀估計�,到2025年這個市場空間會呈現(xiàn)直線激增�,達到一千億。這里面是否有個人意愿色彩存在?這一預測后面將給出可供支撐的邏輯分析�����。我們先從數(shù)據(jù)安全領域中的重要部分——數(shù)據(jù)庫安全來看。談到數(shù)據(jù)庫安全�����,往往有兩種概念��,對于技術人員����,開發(fā)人員而言,DBMS也就是數(shù)據(jù)庫管理系統(tǒng)的安全;但是從業(yè)務跟社會化概念當中安全重點指向的是庫里面數(shù)據(jù)的安全�。當我們在談論人口庫、個人信息庫��、征信庫��,企業(yè)庫的時候����,就是在指里面的數(shù)據(jù)。
二�、當我們談數(shù)據(jù)安全的時候,我們在談什么?
當我們在談數(shù)據(jù)安全的時候���,最容易講的是DBMS安全��,2018年安全牛發(fā)布了對數(shù)據(jù)庫管理系統(tǒng)的防護清晰的定義����。從這個角度上看�,該定義可以被劃歸到數(shù)據(jù)庫安全的1.0時代。數(shù)據(jù)庫安全市場如果僅僅看到這一點�,一定會錯過未來的發(fā)展機會。再往前看�����,2.0的時代以“數(shù)據(jù)”為中心的防護時代�,3.0時代是“數(shù)據(jù)安全治理”的時代。數(shù)據(jù)安全劃分成這三個時代���,分別代表了不同的含義���。
1、數(shù)據(jù)安全的1.0時代
DBMS安全是以數(shù)據(jù)庫管理系統(tǒng)為安全目標�,舉個例子,這種目標實際上是類似于我們會對居住環(huán)境也就是房屋進行加固���,最傳統(tǒng)的就是在家里安裝防盜門���、防盜窗���。如果住宅更高級一些,可能會有社區(qū)監(jiān)控�。如果是一個莊園,會把周圍加上柵欄��。核心是保護邊界�����,防止外部的入侵����,對外部進行監(jiān)管。這種安全是一種系統(tǒng)安全的思想����,我們要保護的是一個系統(tǒng),這種思想實際上就是1.0時代的思想����,它強調(diào)邊界防護和防止黑客入侵�。Database緊緊的被包裹在一個非常好的外延里面�。作為安全人,針對數(shù)據(jù)庫安全我們要做什么?做防護!即便對一個做數(shù)據(jù)庫出身的人而言�,在最初進入數(shù)據(jù)庫安全這個領域的時候仍然擺脫不掉這種思想——如何對DBMS進行加固。
從最早期推出的數(shù)據(jù)安全產(chǎn)品看��,包括市面上大多數(shù)的數(shù)據(jù)安全廠商產(chǎn)品��,與傳統(tǒng)的網(wǎng)絡安全有一個相對完美的對應�。比如說磁盤加密對應數(shù)據(jù)庫加密;IPS/防火墻對應數(shù)據(jù)庫防火墻;IDS入侵檢測對應數(shù)據(jù)庫審計;網(wǎng)絡掃描對應數(shù)據(jù)庫漏掃�。實際上是網(wǎng)絡安全思想移到數(shù)據(jù)和安全思想的映射,只是說傳統(tǒng)思想的實現(xiàn)��。本質(zhì)上我們聽到一個聲音����,數(shù)據(jù)和安全是網(wǎng)絡安全的分支。這有點讓人費解�,為什么數(shù)據(jù)安全是網(wǎng)絡安全的分支。但是對數(shù)據(jù)安全的發(fā)展稍加追溯就恍然大悟���,最初的設想就是按照網(wǎng)絡安全思想做數(shù)據(jù)庫安全�,實際上是同樣一套思路在推進。
2��、數(shù)據(jù)安全的2.0時代
而以數(shù)據(jù)為中心的2.0時代是一個什么樣的時代呢?我們把對于數(shù)據(jù)的防護向人的視角轉(zhuǎn)移來做類比���,作為社會中的人��,他要運動���,要社交,要旅游���,在這種不同的場景下�,會分出很多新種類的防護性產(chǎn)品�,這些防護類產(chǎn)品就可以突破房屋的物理邊界,比如我們在運動的時候需要用到頭盔;開車的時候有氣囊;戰(zhàn)場上有防彈衣;假如我們是富豪或者明星��,會有一個私人保鏢團隊等等�����,這樣會使人的安全的延展性跟需求性更為全面�。我們把這樣的安全,定義為場景化的安全���,即數(shù)據(jù)所應用的場景����。
2.0時代應該提供什么樣的安全措施,或者跟人所對應的產(chǎn)品���,都是在特定的活動場景下進行��。主要強調(diào)數(shù)據(jù)離開庫之后���,在業(yè)務使用中,分享給第三方平臺的安全性問題���。從1.0時代過渡到2.0時代,核心驅(qū)動力是在于什么?
第一��,隨著IT建設���,數(shù)據(jù)資產(chǎn)積累���,數(shù)據(jù)進一步到共享時代 ,不僅會被本單位或者業(yè)務部門使用��,還需要在企業(yè)范圍跟社會范圍內(nèi)共享才會發(fā)揮價值。
第二����,進入互聯(lián)網(wǎng)化時代,移動化時代以及云化時代�����,邊界沒了 ����。過去,數(shù)據(jù)庫中的數(shù)據(jù)包裹在最堅硬的網(wǎng)絡防護的內(nèi)核中��,如今這種情形卻徹底發(fā)生了改變�。政府要把很多業(yè)務部門的數(shù)據(jù)拿到共享環(huán)境下;銀行側(cè)很多業(yè)務系統(tǒng)需要互聯(lián)網(wǎng)實現(xiàn)連接;甚至國網(wǎng)的數(shù)據(jù)共享,僅開通手機APP就能實現(xiàn)��,這些都意味著觸達到數(shù)據(jù)層面的途徑大大的豐富起來���。
第三�����,數(shù)據(jù)交易市場的形成�。 這是一個變現(xiàn)的時代,個人身份信息����、學生信息、病患信息等數(shù)據(jù)都是可變現(xiàn)的財富���。在變現(xiàn)時代背景下�����,“內(nèi)部人員是安全的”這種假設已經(jīng)不存在了��。在利益的驅(qū)使下��,外包人員���,第三方開發(fā)人員���,運維人員����,甚至組織內(nèi)部自己的員工都有可能變成數(shù)據(jù)安全真正的風險�����。這樣情況下,繼續(xù)使用網(wǎng)絡安全的邊界防護思想去做數(shù)據(jù)庫安全��,只有失敗�����。
Gartner在2016年談數(shù)據(jù)安全的時候����,陸續(xù)推出了DCAP的報告,講的是以數(shù)據(jù)為中心的防護理念���。而在2017年的報告里�,總結(jié)出包括數(shù)據(jù)分級分類發(fā)現(xiàn)���,數(shù)據(jù)的監(jiān)控與審計����,行為分析與告警���,以及數(shù)據(jù)加密的令牌化等能力����。從中逐漸可以看到涉及的產(chǎn)線產(chǎn)品,已經(jīng)遠遠超過早期的網(wǎng)絡概念��。
2.0時代數(shù)據(jù)安全的核心理念在于盡可能保證業(yè)務系統(tǒng)正常使用�����,所以必須要進行場景化的思考�����,什么是滿足這個場景必要性的條件��,只有滿足這個假定之后我們才要思考用什么技術能夠去滿足����。
首先開發(fā)測試場景 ,銀行系統(tǒng)或者大型互聯(lián)網(wǎng)公司�,早期使用生產(chǎn)數(shù)據(jù)的情況是比較多的,還有一些通過遠程接入�,這些都會存在��。不過大部分企業(yè)常常會人工造一些假數(shù)據(jù)完成測試���。那么�,我們思考一下,開發(fā)測試環(huán)境真正需要什么�����,它實際上是需要高度仿真的模擬數(shù)據(jù)�����,只要能夠模擬出原有的數(shù)據(jù)邏輯����,映射關系,表跟表之間的關聯(lián)關系��,列跟列之間的關系��,甚至我們身份證�����、銀行卡號符合它的邏輯特征��,就能夠基本完成業(yè)務系統(tǒng)開發(fā)����。在這種場景下�,需要用到的核心技術可能只數(shù)據(jù)靜態(tài)脫敏就夠了���,還需求同時應用數(shù)據(jù)庫審計��、數(shù)據(jù)庫加密�����、數(shù)據(jù)庫防火墻等其他的措施嗎?不需要了����?�?梢?����,借助場景化需求分析直接找準問題核心�����,就可以四兩撥千斤,高效解決掉很多問題����。
比如在業(yè)務場景情況下�,業(yè)務側(cè)的風險威脅分為三種:
黑客攻擊;業(yè)務人員自身的訪問�;第三方開發(fā)人員程序后門。
這三種情況下�,面對黑客攻擊,防火墻WAF可實現(xiàn)90%攔截���,剩下的SQL注入就需要數(shù)據(jù)庫防火墻進行攔截���。面對業(yè)務人員的防控,因為業(yè)務人員往往是合法身份����、合法行為,這個時候需要通過數(shù)據(jù)訪問行為建模發(fā)現(xiàn)意圖的特征����。還有一種是針對數(shù)據(jù)下載數(shù)量進行策略設置,防止批量下載��。
由此可見,DBMS2.0時代是一種針對場景化提供有效技術的時代����。
3、數(shù)據(jù)安全的3.0時代
3.0時代進入到了系統(tǒng)化的數(shù)據(jù)安全治理的時代��,數(shù)據(jù)上升到資產(chǎn)�����、基礎設施層面���。好比人類發(fā)展到需要考慮公共安全的階段��,不可能再通過氣囊����、頭盔這樣的單一的個體防護方式��。在面臨更大的風險威脅的時候��,我們會建立組織�、公檢法體系,建立軍隊;會出臺政策規(guī)范�、刑法�、交通法等等來予以保證;同時會建立公共設施安全�,比如機場安檢,建立登機制度等���。
3.0時代最關鍵的特征就是體系化安全。安全不再是一個純產(chǎn)品技術上的安全���,實際上是組織規(guī)范+技術的完美整合���,以呈現(xiàn)整體的安全。2.0步入到3.0時代的驅(qū)動源頭有幾點總結(jié)如下:
1.
數(shù)據(jù)成為國家戰(zhàn)略性資源�,通過數(shù)據(jù)可以構造出新的生產(chǎn)力,在這種情況下���,國家會實行嚴格保護���。 無論從我們國家開始頻繁出臺相關管理辦法看,還是放眼全球�����,歐盟與美國都在制定數(shù)據(jù)所在地的使用原則����,都表明了各個國家已經(jīng)開始把數(shù)據(jù)當做戰(zhàn)略資源���。
2.
數(shù)據(jù)成為企業(yè)核心資產(chǎn)。 創(chuàng)新型企業(yè)如滴滴���、京東�����、淘寶���,以及銀行金融科技,大多數(shù)企業(yè)積累的數(shù)據(jù)往往會變成企業(yè)最重要的資產(chǎn)�,不再是一個符號。
3.
數(shù)據(jù)泄露已經(jīng)形成重大威脅����。 如今大家都是透明人,從國家的監(jiān)管層面看����,實際上關系我們?nèi)魏我粋€人,都將實現(xiàn)數(shù)據(jù)的全覆蓋����。同時現(xiàn)在很多大型機構的運轉(zhuǎn)都依托于手機����、互聯(lián)網(wǎng)�����,整個行為都在網(wǎng)絡上留下痕跡����。通過這些行為的記錄�����,很快就會建成一個沒有任何隱私可言��,甚至陷入到騷擾���、欺騙�、第三方調(diào)查的境地��。這就意味著數(shù)據(jù)不僅是企業(yè)的基礎性安全問題���,已經(jīng)成為國家性����,社會性問題,并上升到一個體系化的層面�。
在這個數(shù)據(jù)安全已經(jīng)上升到體系化層面的大環(huán)境下,針對數(shù)據(jù)保護工作開展了一系列措施:
國家已經(jīng)開始有動作�,相繼出臺了網(wǎng)絡安全法、數(shù)據(jù)處境管理辦法��、關鍵信息基礎設施安全保護條例等���,同時預計在2019年上半年出臺個人數(shù)據(jù)保護法����。而2017年11月完成的刑法修訂案���,其嚴苛程度也相當驚人��,最低50條數(shù)據(jù)的非法泄露�����,即可入刑�����。簡單舉個實例�,2018年11月2日,某獵頭公司因在QQ群發(fā)布招聘信息���,已被刑事訴訟���。
除了國家法律,各個行業(yè)也都在行動�,《國網(wǎng)營銷系統(tǒng)數(shù)據(jù)脫敏規(guī)范》、《商業(yè)銀行信息科技風險管理指引》�����、《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》����、《政府數(shù)據(jù)分級分類指南》��、《央企商業(yè)秘密安全保護技術指引》�����,以及教育、稅務����、地方上的法規(guī),陸續(xù)出臺�。整件事情不再是技術性的行為,而會逐漸演變成一個社會性��、規(guī)范性的行為���。
此外���,還會看到越來越多的企業(yè)側(cè)的行為。
Gartner在2016年提到一個理念——數(shù)據(jù)安全治理(簡稱DSG)����。這個理念包含如下內(nèi)容:
首先是數(shù)據(jù)分級分類,可以看到數(shù)據(jù)到底包含了什么;
其次���,在這樣一個基礎的情況下��,基于各種數(shù)據(jù)分類��,完成處理和控制策略 �����,要梳理出哪些人能夠接觸這樣的數(shù)據(jù);這些數(shù)據(jù)接觸的權限����、行為范疇;超出范疇應該采用什么樣的方法進行審批。
第三��,這樣的策略之后����,要在執(zhí)行環(huán)節(jié)有相關的控制措施、監(jiān)控手段 ����。比如,互聯(lián)網(wǎng)企業(yè)可能會作為首批數(shù)據(jù)發(fā)現(xiàn)和數(shù)據(jù)訪問行為獲監(jiān)管的對象�����。
第四個階段是稽核 ���。對于數(shù)據(jù)過程要進行審計、報告�,改善措施���,并重新構建。
在數(shù)據(jù)安全治理時代�,新的核心技術要求,比如說數(shù)據(jù)梳理�����,就是搞清楚數(shù)據(jù)資產(chǎn)到底有多少�����,敏感數(shù)據(jù)如何分布���,以及數(shù)據(jù)是如何被使用的��。要利用數(shù)據(jù)的特征發(fā)現(xiàn)記錄�����,數(shù)據(jù)主機掃描技術�����,網(wǎng)絡分析技術����,以及大數(shù)據(jù)的處理整合技術,才能完成數(shù)據(jù)梳理����。
在未來,基于AI深度日志分析來實現(xiàn)數(shù)據(jù)監(jiān)管�����,信息審計�,潛在風險發(fā)現(xiàn),而不是策略制定���。 潛在風險可能是類似APP����,需要通過建模的方式完成這樣的學習分析����。在國外,甚至僅需一到兩天之內(nèi)就可完成自動化的設定�,經(jīng)過一天左右的時間,就能基于深度行為日志建模完成整體的防護體系��。而通過行為日志�、業(yè)務日志的積累,可以驅(qū)動未來安全的進一步發(fā)展�。
網(wǎng)絡安全時代態(tài)勢感知的概念叫的響亮,卻沒出現(xiàn)幾個多么好的落地產(chǎn)品���。但如果把數(shù)據(jù)安全時代態(tài)勢感知做出來的話�����,一定非常具有價值��。因為各種數(shù)據(jù)的行為實現(xiàn)了可視化�,即在大型數(shù)據(jù)中心層面通過大屏技術�����,呈現(xiàn)出數(shù)據(jù)分布和數(shù)據(jù)使用分布�,以及數(shù)據(jù)在庫之間流動,業(yè)務系統(tǒng)流動�,人之間的流動,以及發(fā)生的異常���,在一種可視化的方式下��,能夠快速感覺到���。
三����、小結(jié)
DBMS1.0時代的核心的理念是系統(tǒng)安全�,市場啟蒙早期是在2010年左右 ,這個市場高速發(fā)展大規(guī)模企業(yè)進入��,是在2017年���。市場爆發(fā)恰恰是這個時期���。預計到2020年左右,市場將達到一個成熟期����,并慢慢演進。
第二個時代——數(shù)據(jù)時代很快會到來���。這時期要以場景化來構建安全產(chǎn)線�,預計規(guī)模能夠達到百億級。 2015年左右應該可以算得上是2.0時代的一個啟蒙期���,到2019年相信會成為業(yè)界主流性的理念。數(shù)據(jù)庫安全從DBMS安全演進成以數(shù)據(jù)為中心的安全����,將會成為業(yè)界的共識。預計到2023年��,2.0時代會達到高速的平衡期��。3.0時代的核心是體系化安全�����,預計會出現(xiàn)在2025年左右���,隨著安全的市場在快速的放量�,市場將會抵達千億級規(guī)模���。
