一、未來的市場空間能有多大?
首先���,從媒體及研究機構關于數據安全市場空間的預計看����,2020年數據安全的市場大約有12億���,以此為基礎稍作延展���,到2023年估計可能會達到20億的市場空間,這個數據想吸引更多資本進入����,顯然十分悲觀。為什么?因為這個市場空間不足以支撐一個很大的企業(yè)施展抱負����。從國際視角看,2017年發(fā)布的《Research
&
Market》報告�,對全球大數據市場和全球數據庫安全市場進行了預測����,預計到2023年全球數據庫安全市場是83.3億美金��。以現在的人民幣匯率換算差不多是560億人民幣����。
而到2023年��,中國的GDP有望超過20%增幅���,中國數據安全的發(fā)展估計能與我國的GDP增幅吻合����,雖然較之歐美不足���,但較之亞非拉有余����,取個居中平均數�,按照這個推斷中國數據庫安全市場2023年應該有望達到100個億,這個空間對資本來說意味著可以容納兩到三家上市公司�。
而樂觀估計���,到2025年這個市場空間會呈現直線激增,達到一千億���。這里面是否有個人意愿色彩存在?這一預測后面將給出可供支撐的邏輯分析��。我們先從數據安全領域中的重要部分——數據庫安全來看���。談到數據庫安全,往往有兩種概念���,對于技術人員�,開發(fā)人員而言����,DBMS也就是數據庫管理系統(tǒng)的安全;但是從業(yè)務跟社會化概念當中安全重點指向的是庫里面數據的安全。當我們在談論人口庫����、個人信息庫、征信庫��,企業(yè)庫的時候���,就是在指里面的數據��。
二�、當我們談數據安全的時候,我們在談什么?
當我們在談數據安全的時候����,最容易講的是DBMS安全��,2018年安全牛發(fā)布了對數據庫管理系統(tǒng)的防護清晰的定義���。從這個角度上看�,該定義可以被劃歸到數據庫安全的1.0時代����。數據庫安全市場如果僅僅看到這一點,一定會錯過未來的發(fā)展機會����。再往前看,2.0的時代以“數據”為中心的防護時代�,3.0時代是“數據安全治理”的時代。數據安全劃分成這三個時代���,分別代表了不同的含義�。
1、數據安全的1.0時代
DBMS安全是以數據庫管理系統(tǒng)為安全目標�,舉個例子,這種目標實際上是類似于我們會對居住環(huán)境也就是房屋進行加固�,最傳統(tǒng)的就是在家里安裝防盜門、防盜窗�。如果住宅更高級一些,可能會有社區(qū)監(jiān)控����。如果是一個莊園,會把周圍加上柵欄���。核心是保護邊界�,防止外部的入侵���,對外部進行監(jiān)管��。這種安全是一種系統(tǒng)安全的思想��,我們要保護的是一個系統(tǒng)�,這種思想實際上就是1.0時代的思想,它強調邊界防護和防止黑客入侵��。Database緊緊的被包裹在一個非常好的外延里面����。作為安全人,針對數據庫安全我們要做什么?做防護!即便對一個做數據庫出身的人而言���,在最初進入數據庫安全這個領域的時候仍然擺脫不掉這種思想——如何對DBMS進行加固���。
從最早期推出的數據安全產品看,包括市面上大多數的數據安全廠商產品���,與傳統(tǒng)的網絡安全有一個相對完美的對應。比如說磁盤加密對應數據庫加密;IPS/防火墻對應數據庫防火墻;IDS入侵檢測對應數據庫審計;網絡掃描對應數據庫漏掃����。實際上是網絡安全思想移到數據和安全思想的映射,只是說傳統(tǒng)思想的實現�。本質上我們聽到一個聲音,數據和安全是網絡安全的分支���。這有點讓人費解����,為什么數據安全是網絡安全的分支。但是對數據安全的發(fā)展稍加追溯就恍然大悟�,最初的設想就是按照網絡安全思想做數據庫安全,實際上是同樣一套思路在推進�。
2、數據安全的2.0時代
而以數據為中心的2.0時代是一個什么樣的時代呢?我們把對于數據的防護向人的視角轉移來做類比�,作為社會中的人,他要運動�,要社交,要旅游�,在這種不同的場景下,會分出很多新種類的防護性產品���,這些防護類產品就可以突破房屋的物理邊界����,比如我們在運動的時候需要用到頭盔;開車的時候有氣囊;戰(zhàn)場上有防彈衣;假如我們是富豪或者明星���,會有一個私人保鏢團隊等等���,這樣會使人的安全的延展性跟需求性更為全面。我們把這樣的安全���,定義為場景化的安全���,即數據所應用的場景��。
2.0時代應該提供什么樣的安全措施����,或者跟人所對應的產品�,都是在特定的活動場景下進行。主要強調數據離開庫之后����,在業(yè)務使用中,分享給第三方平臺的安全性問題����。從1.0時代過渡到2.0時代�,核心驅動力是在于什么?
第一,隨著IT建設�,數據資產積累,數據進一步到共享時代 ����,不僅會被本單位或者業(yè)務部門使用,還需要在企業(yè)范圍跟社會范圍內共享才會發(fā)揮價值。
第二�,進入互聯網化時代,移動化時代以及云化時代�,邊界沒了 。過去�,數據庫中的數據包裹在最堅硬的網絡防護的內核中,如今這種情形卻徹底發(fā)生了改變�。政府要把很多業(yè)務部門的數據拿到共享環(huán)境下;銀行側很多業(yè)務系統(tǒng)需要互聯網實現連接;甚至國網的數據共享,僅開通手機APP就能實現�,這些都意味著觸達到數據層面的途徑大大的豐富起來。
第三���,數據交易市場的形成���。 這是一個變現的時代,個人身份信息���、學生信息���、病患信息等數據都是可變現的財富。在變現時代背景下��,“內部人員是安全的”這種假設已經不存在了�。在利益的驅使下�,外包人員��,第三方開發(fā)人員����,運維人員,甚至組織內部自己的員工都有可能變成數據安全真正的風險��。這樣情況下��,繼續(xù)使用網絡安全的邊界防護思想去做數據庫安全���,只有失敗�。
Gartner在2016年談數據安全的時候��,陸續(xù)推出了DCAP的報告���,講的是以數據為中心的防護理念���。而在2017年的報告里���,總結出包括數據分級分類發(fā)現����,數據的監(jiān)控與審計,行為分析與告警�,以及數據加密的令牌化等能力。從中逐漸可以看到涉及的產線產品����,已經遠遠超過早期的網絡概念。
2.0時代數據安全的核心理念在于盡可能保證業(yè)務系統(tǒng)正常使用���,所以必須要進行場景化的思考��,什么是滿足這個場景必要性的條件���,只有滿足這個假定之后我們才要思考用什么技術能夠去滿足。
首先開發(fā)測試場景 ��,銀行系統(tǒng)或者大型互聯網公司��,早期使用生產數據的情況是比較多的���,還有一些通過遠程接入���,這些都會存在��。不過大部分企業(yè)常常會人工造一些假數據完成測試���。那么,我們思考一下���,開發(fā)測試環(huán)境真正需要什么����,它實際上是需要高度仿真的模擬數據����,只要能夠模擬出原有的數據邏輯,映射關系����,表跟表之間的關聯關系,列跟列之間的關系���,甚至我們身份證�、銀行卡號符合它的邏輯特征��,就能夠基本完成業(yè)務系統(tǒng)開發(fā)��。在這種場景下���,需要用到的核心技術可能只數據靜態(tài)脫敏就夠了���,還需求同時應用數據庫審計、數據庫加密��、數據庫防火墻等其他的措施嗎?不需要了��?���?梢姡柚鷪鼍盎枨蠓治鲋苯诱覝蕟栴}核心�,就可以四兩撥千斤,高效解決掉很多問題��。
比如在業(yè)務場景情況下��,業(yè)務側的風險威脅分為三種:
黑客攻擊��;業(yè)務人員自身的訪問����;第三方開發(fā)人員程序后門����。
這三種情況下��,面對黑客攻擊��,防火墻WAF可實現90%攔截���,剩下的SQL注入就需要數據庫防火墻進行攔截��。面對業(yè)務人員的防控��,因為業(yè)務人員往往是合法身份��、合法行為���,這個時候需要通過數據訪問行為建模發(fā)現意圖的特征。還有一種是針對數據下載數量進行策略設置����,防止批量下載。
由此可見����,DBMS2.0時代是一種針對場景化提供有效技術的時代����。
3�、數據安全的3.0時代
3.0時代進入到了系統(tǒng)化的數據安全治理的時代�,數據上升到資產、基礎設施層面��。好比人類發(fā)展到需要考慮公共安全的階段���,不可能再通過氣囊��、頭盔這樣的單一的個體防護方式�。在面臨更大的風險威脅的時候�,我們會建立組織、公檢法體系���,建立軍隊;會出臺政策規(guī)范��、刑法�、交通法等等來予以保證;同時會建立公共設施安全���,比如機場安檢����,建立登機制度等。
3.0時代最關鍵的特征就是體系化安全��。安全不再是一個純產品技術上的安全����,實際上是組織規(guī)范+技術的完美整合,以呈現整體的安全�。2.0步入到3.0時代的驅動源頭有幾點總結如下:
1.
數據成為國家戰(zhàn)略性資源,通過數據可以構造出新的生產力���,在這種情況下��,國家會實行嚴格保護���。 無論從我們國家開始頻繁出臺相關管理辦法看,還是放眼全球�,歐盟與美國都在制定數據所在地的使用原則,都表明了各個國家已經開始把數據當做戰(zhàn)略資源���。
2.
數據成為企業(yè)核心資產���。 創(chuàng)新型企業(yè)如滴滴����、京東���、淘寶����,以及銀行金融科技�,大多數企業(yè)積累的數據往往會變成企業(yè)最重要的資產����,不再是一個符號。
3.
數據泄露已經形成重大威脅����。 如今大家都是透明人,從國家的監(jiān)管層面看����,實際上關系我們任何一個人,都將實現數據的全覆蓋�。同時現在很多大型機構的運轉都依托于手機、互聯網,整個行為都在網絡上留下痕跡����。通過這些行為的記錄,很快就會建成一個沒有任何隱私可言��,甚至陷入到騷擾���、欺騙���、第三方調查的境地。這就意味著數據不僅是企業(yè)的基礎性安全問題����,已經成為國家性,社會性問題���,并上升到一個體系化的層面��。
在這個數據安全已經上升到體系化層面的大環(huán)境下����,針對數據保護工作開展了一系列措施:
國家已經開始有動作����,相繼出臺了網絡安全法��、數據處境管理辦法���、關鍵信息基礎設施安全保護條例等,同時預計在2019年上半年出臺個人數據保護法��。而2017年11月完成的刑法修訂案��,其嚴苛程度也相當驚人����,最低50條數據的非法泄露����,即可入刑。簡單舉個實例�,2018年11月2日,某獵頭公司因在QQ群發(fā)布招聘信息��,已被刑事訴訟��。
除了國家法律��,各個行業(yè)也都在行動,《國網營銷系統(tǒng)數據脫敏規(guī)范》�、《商業(yè)銀行信息科技風險管理指引》、《電信和互聯網用戶個人信息保護規(guī)定》��、《政府數據分級分類指南》���、《央企商業(yè)秘密安全保護技術指引》����,以及教育����、稅務、地方上的法規(guī)�,陸續(xù)出臺。整件事情不再是技術性的行為���,而會逐漸演變成一個社會性��、規(guī)范性的行為����。
此外����,還會看到越來越多的企業(yè)側的行為��。
Gartner在2016年提到一個理念——數據安全治理(簡稱DSG)��。這個理念包含如下內容:
首先是數據分級分類�,可以看到數據到底包含了什么;
其次���,在這樣一個基礎的情況下��,基于各種數據分類�,完成處理和控制策略 ���,要梳理出哪些人能夠接觸這樣的數據;這些數據接觸的權限�、行為范疇;超出范疇應該采用什么樣的方法進行審批�。
第三�,這樣的策略之后,要在執(zhí)行環(huán)節(jié)有相關的控制措施�、監(jiān)控手段 。比如��,互聯網企業(yè)可能會作為首批數據發(fā)現和數據訪問行為獲監(jiān)管的對象�。
第四個階段是稽核 ��。對于數據過程要進行審計�、報告��,改善措施����,并重新構建。
在數據安全治理時代��,新的核心技術要求�,比如說數據梳理,就是搞清楚數據資產到底有多少���,敏感數據如何分布�,以及數據是如何被使用的��。要利用數據的特征發(fā)現記錄��,數據主機掃描技術����,網絡分析技術,以及大數據的處理整合技術�,才能完成數據梳理���。
在未來,基于AI深度日志分析來實現數據監(jiān)管��,信息審計����,潛在風險發(fā)現,而不是策略制定��。 潛在風險可能是類似APP���,需要通過建模的方式完成這樣的學習分析��。在國外�,甚至僅需一到兩天之內就可完成自動化的設定�,經過一天左右的時間,就能基于深度行為日志建模完成整體的防護體系����。而通過行為日志�、業(yè)務日志的積累,可以驅動未來安全的進一步發(fā)展�。
網絡安全時代態(tài)勢感知的概念叫的響亮���,卻沒出現幾個多么好的落地產品。但如果把數據安全時代態(tài)勢感知做出來的話��,一定非常具有價值���。因為各種數據的行為實現了可視化��,即在大型數據中心層面通過大屏技術�,呈現出數據分布和數據使用分布��,以及數據在庫之間流動�,業(yè)務系統(tǒng)流動,人之間的流動����,以及發(fā)生的異常,在一種可視化的方式下�,能夠快速感覺到。
三���、小結
DBMS1.0時代的核心的理念是系統(tǒng)安全�,市場啟蒙早期是在2010年左右 ,這個市場高速發(fā)展大規(guī)模企業(yè)進入��,是在2017年���。市場爆發(fā)恰恰是這個時期����。預計到2020年左右���,市場將達到一個成熟期�,并慢慢演進�。
第二個時代——數據時代很快會到來。這時期要以場景化來構建安全產線��,預計規(guī)模能夠達到百億級����。 2015年左右應該可以算得上是2.0時代的一個啟蒙期,到2019年相信會成為業(yè)界主流性的理念��。數據庫安全從DBMS安全演進成以數據為中心的安全��,將會成為業(yè)界的共識�。預計到2023年�,2.0時代會達到高速的平衡期���。3.0時代的核心是體系化安全,預計會出現在2025年左右����,隨著安全的市場在快速的放量,市場將會抵達千億級規(guī)模����。
