?

数据安全未来前景展望

【数据猿导读】 在整个社会经济大环境悲观的论调下,请允许我们能够乐观看待整个网络安全行业的发展,从毛竹这种植物里找到一些激励

数据安全未来前景展望

经过十多年摸索前行,曲折发展,国内的数据安全市场,尤其是数据库安全市场无论是产品打造、产线供应还是解决方案呈现、客户案例实践等都完成了从萌芽阶段向成熟方向的演进,目前数据安全已经格局初具,作为早期就已经专注于数据库安全,如今发力数据安全领域,完成全线数据库安全产品的研发打磨,积累下数千客户的专业安全厂商,安华金和站在企业发展十年的节点上,从产业梳理的角度来呈现对于数据安全的理解。

01
未来的市场空间能有多大?

首先,从媒体及研究机构关于数据安全市场空间的预计看,2020年数据安全的市场大约有12亿,以此为基础稍作延展,到2023年估计可能会达到20亿的市场空间,这个数据想吸引更多资本进入,显然十分悲观。为什么?因为这个市场空间不足以支撑一个很大的企业施展抱负。从国际视角看,2017年发布的《Research & Market》报告,对全球大数据市场和全球数据库安全市场进行了预测,预计到2023年全球数据库安全市场是83.3亿美金。以现在的人民币汇率换算差不多是560亿人民币。

而到2023年,中国的GDP有望超过20%增幅,中国数据安全的发展估计能与我国的GDP增幅吻合,虽然较之欧美不足,但较之亚非拉有余,取个居中平均数,按照这个推断中国数据库安全市场2023年应该有望达到100个亿,这个空间对资本来说意味着可以容纳两到三家上市公司。

而乐观估计,到2025年这个市场空间会呈现直线激增,达到一千亿。这里面是否有个人意愿色彩存在?这一预测后面将给出可供支撑的逻辑分析。

02
谈数据安全,我们在谈什么?

我们先从数据安全领域中的重要部分——数据库安全来看。谈到数据库安全,往往有两种概念,对于技术人员,开发人员而言,DBMS也就是数据库管理系统的安全;但是从业务跟社会化概念当中安全重点指向的是库里面数据的安全。当我们在谈论人口库、个人信息库、征信库,企业库的时候,就是在指里面的数据。

当我们在谈数据安全的时候,最容易讲的是DBMS安全,2018年安全牛发布了对数据库管理系统的防护清晰的定义。从这个角度上看,该定义可以被划归到数据库安全的1.0时代。数据库安全市场如果仅仅看到这一点,一定会错过未来的发展机会。再往前看,2.0的时代以“数据”为中心的防护时代,3.0时代是“数据安全治理”的时代。数据安全划分成这三个时代,分别代表了不同的含义。

//
数据安全的1.0时代
//

DBMS安全是以数据库管理系统为安全目标,举个例子,这种目标实际上是类似于我们会对居住环境也就是房屋进行加固,最传统的就是在家里安装防盗门、防盗窗。如果住宅更高级一些,可能会有社区监控。如果是一个庄园,会把周围加上栅栏。核心是?;け呓?,防止外部的入侵,对外部进行监管。这种安全是一种系统安全的思想,我们要?;さ氖且桓鱿低?,这种思想实际上就是1.0时代的思想,它强调边界防护和防止黑客入侵。Database紧紧的被包裹在一个非常好的外延里面。作为安全人,针对数据库安全我们要做什么?做防护!即便对一个做数据库出身的人而言,在最初进入数据库安全这个领域的时候仍然摆脱不掉这种思想——如何对DBMS进行加固。

数据安全_数据未来_数据前景_数据前景-1

从最早期推出的数据安全产品看,包括市面上大多数的数据安全厂商产品,与传统的网络安全有一个相对完美的对应。比如说磁盘加密对应数据库加密;IPS/防火墙对应数据库防火墙;IDS入侵检测对应数据库审计;网络扫描对应数据库漏扫。实际上是网络安全思想移到数据和安全思想的映射,只是说传统思想的实现。本质上我们听到一个声音,数据和安全是网络安全的分支。这有点让人费解,为什么数据安全是网络安全的分支。但是对数据安全的发展稍加追溯就恍然大悟,最初的设想就是按照网络安全思想做数据库安全,实际上是同样一套思路在推进。

//
数据安全的2.0时代
//

而以数据为中心的2.0时代是一个什么样的时代呢?我们把对于数据的防护向人的视角转移来做类比,作为社会中的人,他要运动,要社交,要旅游,在这种不同的场景下,会分出很多新种类的防护性产品,这些防护类产品就可以突破房屋的物理边界,比如我们在运动的时候需要用到头盔;开车的时候有气囊;战场上有防弹衣;假如我们是富豪或者明星,会有一个私人保镖团队等等,这样会使人的安全的延展性跟需求性更为全面。我们把这样的安全,定义为场景化的安全,即数据所应用的场景。

数据安全_数据未来_数据前景_数据前景-2

2.0时代应该提供什么样的安全措施,或者跟人所对应的产品,都是在特定的活动场景下进行。主要强调数据离开库之后,在业务使用中,分享给第三方平台的安全性问题。从1.0时代过渡到2.0时代,核心驱动力是在于什么?

第一,随着IT建设,数据资产积累,数据进一步到共享时代,不仅会被本单位或者业务部门使用,还需要在企业范围跟社会范围内共享才会发挥价值。

第二,进入互联网化时代,移动化时代以及云化时代,边界没了。过去,数据库中的数据包裹在最坚硬的网络防护的内核中,如今这种情形却彻底发生了改变。政府要把很多业务部门的数据拿到共享环境下;银行侧很多业务系统需要互联网实现连接;甚至国网的数据共享,仅开通手机APP就能实现,这些都意味着触达到数据层面的途径大大的丰富起来。

第三,数据交易市场的形成。这是一个变现的时代,个人身份信息、学生信息、病患信息等数据都是可变现的财富。在变现时代背景下,“内部人员是安全的”这种假设已经不存在了。在利益的驱使下,外包人员,第三方开发人员,运维人员,甚至组织内部自己的员工都有可能变成数据安全真正的风险。这样情况下,继续使用网络安全的边界防护思想去做数据库安全,只有失败。

Gartner在2016年谈数据安全的时候,陆续推出了DCAP的报告,讲的是以数据为中心的防护理念。而在2017年的报告里,总结出包括数据分级分类发现,数据的监控与审计,行为分析与告警,以及数据加密的令牌化等能力。从中逐渐可以看到涉及的产线产品,已经远远超过早期的网络概念。

2.0时代数据安全的核心理念在于尽可能保证业务系统正常使用,所以必须要进行场景化的思考,什么是满足这个场景必要性的条件,只有满足这个假定之后我们才要思考用什么技术能够去满足。

首先开发测试场景,银行系统或者大型互联网公司,早期使用生产数据的情况是比较多的,还有一些通过远程接入,这些都会存在。不过大部分企业常?;崛斯ぴ煲恍┘偈萃瓿刹馐?。那么,我们思考一下,开发测试环境真正需要什么,它实际上是需要高度仿真的模拟数据,只要能够模拟出原有的数据逻辑,映射关系,表跟表之间的关联关系,列跟列之间的关系,甚至我们身份证、银行卡号符合它的逻辑特征,就能够基本完成业务系统开发。在这种场景下,需要用到的核心技术可能只数据静态脱敏就够了,还需求同时应用数据库审计、数据库加密、数据库防火墙等其他的措施吗?不需要了??杉?,借助场景化需求分析直接找准问题核心,就可以四两拨千斤,高效解决掉很多问题。

比如在业务场景情况下,业务侧的风险威胁分为三种,一是黑客攻击;一是业务人员自身的访问;还有一种第三方开发人员程序后门。这三种情况下,面对黑客攻击,防火墙WAF可实现90%拦截,剩下的SQL注入就需要数据库防火墙进行拦截。面对业务人员的防控,因为业务人员往往是合法身份、合法行为,这个时候需要通过数据访问行为建模发现意图的特征?;褂幸恢质钦攵允菹略厥拷胁呗陨柚?,防止批量下载。

由此可见,DBMS2.0时代是一种针对场景化提供有效技术的时代。

//
数据安全的3.0时代
//

3.0时代进入到了系统化的数据安全治理的时代,数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段,不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候,我们会建立组织、公检法体系,建立军队;会出台政策规范、刑法、交通法等等来予以保证;同时会建立公共设施安全,比如机场安检,建立登机制度等。

数据安全_数据未来_数据前景_数据前景-3

3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。2.0步入到3.0时代的驱动源头有几点总结如下:

首先,数据成为国家战略性资源,通过数据可以构造出新的生产力,在这种情况下,国家会实行严格?;?。无论从我们国家开始频繁出台相关管理办法看,还是放眼全球,欧盟与美国都在制定数据所在地的使用原则,都表明了各个国家已经开始把数据当做战略资源。

第二,数据成为企业核心资产。创新型企业如滴滴、京东、淘宝,以及银行金融科技,大多数企业积累的数据往往会变成企业最重要的资产,不再是一个符号。            

第三,数据威胁已经构成重大威胁。如今大家都是透明人,从国家的监管层面看,实际上关系我们任何一个人,都将实现数据的全覆盖。同时现在很多大型机构的运转都依托于手机、互联网,整个行为都在网络上留下痕迹。通过这些行为的记录,很快就会建成一个没有任何隐私可言,甚至陷入到骚扰、欺骗、第三方调查的境地。这就意味着数据不仅是企业的基础性安全问题,已经成为国家性,社会性问题,并上升到一个体系化的层面。对此:

①国家已经开始有动作,相继出台了网络安全法、数据处境管理办法、关键信息基础设施安全?;ぬ趵?,同时预计在2019年上半年出台个人数据?;し?。而2017年11月完成的刑法修订案,其严苛程度也相当惊人,最低50条数据的非法泄露,即可入刑。简单举个实例,2018年11月2日,某猎头公司因在QQ群发布招聘信息,已被刑事诉讼。

②除了国家法律,各个行业也都在行动,《国网营销系统数据脱敏规范》、《商业银行信息科技风险管理指引》、《电信和互联网用户个人信息?;す娑ā?、《政府数据分级分类指南》、《央企商业秘密安全?;ぜ际踔敢?,以及教育、税务、地方上的法规,陆续出台。整件事情不再是技术性的行为,而会逐渐演变成一个社会性、规范性的行为。

③此外,还会看到越来越多的企业侧的行为。

Gartner在2016年提到一个理念——数据安全治理(简称DSG)。这个理念包含如下内容:首先是数据分级分类,可以看到数据到底包含了什么;其次,在这样一个基础的情况下,基于各种数据分类,完成处理和控制策略,要梳理出哪些人能够接触这样的数据;这些数据接触的权限、行为范畴;超出范畴应该采用什么样的方法进行审批。第三,这样的策略之后,要在执行环节有相关的控制措施、监控手段。比如,互联网企业可能会作为首批数据发现和数据访问行为获监管的对象。第四个阶段是稽核。对于数据过程要进行审计、报告,改善措施,并重新构建。

在数据安全治理时代,新的核心技术要求,比如说数据梳理,就是搞清楚数据资产到底有多少,敏感数据如何分布,以及数据是如何被使用的。要利用数据的特征发现记录,数据主机扫描技术,网络分析技术,以及大数据的处理整合技术,才能完成数据梳理。

在未来,基于AI深度日志分析来实现数据监管,信息审计,潜在风险发现,而不是策略制定。潜在风险可能是类似APP,需要通过建模的方式完成这样的学习分析。在国外,甚至仅需一到两天之内就可完成自动化的设定,经过一天左右的时间,就能基于深度行为日志建模完成整体的防护体系。而通过行为日志、业务日志经过积累,可以驱动未来安全的进一步发展。

网络安全时代态势感知的概念叫的响亮,却没出现多么好的落地产品。但如果把数据安全时代态势感知做出来的话,一定非常具有价值。因为各种数据的行为实现了可视化,即在大型数据中心层面通过大屏技术,呈现出数据分布和数据使用分布,以及数据在库之间流动,业务系统流动,人之间的流动,以及发生的异常,在一种可视化的方式下,能够快速感觉到。

03
小结

DBMS1.0时代的核心的理念是系统安全,市场启蒙早期是在2010年左右,也是安华金和公司刚成立的时候,安华金和踏上数据库安全的开拓之路。这个市场高速发展大规模企业进入,是在2017年。市场爆发恰恰是这个时期。预计到2020年左右,市场将达到一个成熟期,并慢慢演进。

第二个时代——数据时代很快会到来。这时期要以场景化来构建安全产线,预计规模能够达到百亿级。2015年左右应该可以算得上是2.0时代的一个启蒙期,到2019年相信会成为业界主流性的理念。数据库安全从DBMS安全演进成以数据为中心的安全,将会成为业界的共识。预计到2023年,2.0时代会达到高速的平衡期。3.0时代的核心是体系化安全,预计会出现在2025年左右,随着安全的市场在快速的放量,市场将会抵达千亿级规模。

数据安全治理是安华金和在2016年在国内率先提出来的,第一届数据安全治理高峰论坛也由此发起,客户逐渐开始认可这个理念。并且我们也看到像阿里这样的企业,也开始谈数据安全治理。同时,国网网安处专门成立了数据安全治理的工作组,在税务侧也有专门的组织,这些都说明这个理念既是被数据安全生态所认可的,也是符合客户认知的。我们期待,该理念可以从启蒙到逐渐被社会广泛认可,到2021年实现在全国大型企业中数据安全治理体系的构造。同时,我们也乐观期待,到2025年数据安全可以进入成熟期,达到千亿级的市场。

最后,在整个社会经济大环境悲观的论调下,请允许我们能够乐观看待整个网络安全行业的发展,从毛竹这种植物里找到一些激励。毛竹生命的前几年,它把所有的努力用在了地下、用在了伸展根系上。这些年中,它的根居然可以扎到几英里远。过了这几年的默默储备期,它就会像被施了魔法,半年时间里就能蹿到30多米。长得快的时候,一天可以长半米多。想象一下,春天还是一棵齐腰高的小苗苗,到了秋天就变得高大挺拔、直插云天。这么奇妙的成长,全然是因着最初几年充分的准备、这么强大的根系,才造就了这么令人惊叹的奇迹啊。期待安全行业也能在未来迎来直插云天的蓬勃前景。


来源:安华金和

声明:数据猿尊重媒体行业规范,相关内容都会注明来源与作者;转载我们原创内容时,也请务必注明“来源:数据猿”与作者名称,否则将会受到数据猿追责。

刷新相关文章

《数据库安全应用指南》重磅发布 帮助企业数据安全建设选型
《数据库安全应用指南》重磅发布 帮助企业数据安全建设选型
第二届中国数据安全治理高峰论坛在京召开
第二届中国数据安全治理高峰论坛在京召开
《2017金融科技安全分析报告》看金融数据安全现状
《2017金融科技安全分析报告》看金融数据安全现状

我要评论

精品栏目

[2017/12/19]

大数据24小时

More>

[2017/12/18-22]

大数据周周看

More>

[2017/12/18-22]

大数据投融资

More>

[2017/12/18-22]

大咖周语录

More>

[2017/12/13-20]

大数据周聘汇

More>

[2017/12/12-19]

每周一本书

More>

返回顶部
  • 紫光阁中共中央国家机关工作委员会 2019-05-19
  • 马克思主义视阈中的奋斗 2019-05-19
  • 图片故事:人民日报编辑部的一天 2019-05-18
  • 刚发布!南昌这8家学校、幼儿园被立案查处!家长速看 2019-05-18
  • 西乡县沙河社区内道路成了驾校教练场 2019-05-17
  • 石家庄中山体育馆十余群众滞留操场无人管 2019-05-16
  • 惊险!司机驾车撞穿墙壁 “飞”下二楼 2019-05-16
  • 社会主义社会按劳分配是建立在公有制和私有制并存基础上的,共产主义社会按需分配是建立在公有制基础上的,所有制基础不同,其分配形式也就不同。所谓“共产主义... 2019-05-15
  • [福]什么是“幸福”?这两个字所表示的直接含义就是:“幸”是指机会,“福”就是指拜求神赐田地生长粮棉等生物而足食丰衣。 2019-05-15
  • 阶级是“楼梯”吗?别瞎扯了。 2019-05-14
  • 检察日报刊文:“告官不见官”“出庭不出声”亟须改变 2019-05-14
  • 脸每天都洗,但你真的洗对了吗 2019-05-13
  • 张雪迎搞笑配音“小猪佩奇” 与粉丝庆祝生日 2019-05-13
  • 反击!欧盟成员国一致支持对美28亿欧元产品征收报复性关税 2019-05-12
  • 两岸军事敏感之际,岛内四大情报头目全要换人 2019-05-11
  • 964| 479| 314| 682| 234| 255| 673| 550| 805| 554|