数据安全未来前景展望

亿欧网  •  扫码分享
我是创始人李岩:很抱歉!给自己产品做个广告,点击进来看看。  
数据安全未来前景展望

【编者按】经过十多年摸索前行,曲折发展,国内的 数据安全 市场,尤其是数据库安全市场无论是产品打造、产线供应还是解决方案呈现、客户案例实践等都完成了从萌芽阶段向成熟方向的演进,目前数据安全已经格局初具,作为早期就已经专注于数据库安全,如今发力数据安全领域,完成全线数据库安全产品的研发打磨,积累下数千客户的专业安全厂商。

本文转载自安全牛,从产业梳理的角度来呈现安华金和公司对于数据安全的理解,经亿欧编辑发布,供业内人士参考。


一、未来的市场空间能有多大?

首先,从媒体及研究机构关于数据安全市场空间的预计看 ,2020年数据安全的市场大约有12亿 ,以此为基础稍作延展, 到2023年估计会有20亿的市场空间 ,这个数据想吸引更多资本进入,显然十分悲观。为什么?因为这个市场空间不足以支撑一个很大的企业施展抱负。从国际视角看,2017年发布的《Research & Market》报告,对全球大数据市场和全球数据库安全市场进行了预测,预计到2023年全球数据库安全市场是83.3亿美金。以现在的人民币汇率换算差不多是560亿人民币。

而到2023年,中国的GDP有望超过20%增幅,中国数据安全的发展估计能与我国的GDP增幅吻合,虽然较之欧美不足,但较之亚非拉有余,取个居中平均数,按照这个推断中国数据库安全市场2023年应该有望达到100个亿,这个空间对资本来说意味着可以容纳两到三家上市公司。

而乐观估计,到2025年这个市场空间会呈现直线激增,达到一千亿。这里面是否有个人意愿色彩存在?这一预测后面将给出可供支撑的逻辑分析。我们先从数据安全领域中的重要部分——数据库安全来看。谈到数据库安全,往往有两种概念,对于技术人员,开发人员而言,DBMS也就是数据库管理系统的安全;但是从业务跟社会化概念当中安全重点指向的是库里面数据的安全。当我们在谈论人口库、个人信息库、征信库,企业库的时候,就是在指里面的数据。

二、当我们谈数据安全的时候,我们在谈什么?

当我们在谈数据安全的时候,最容易讲的是DBMS安全,2018年安全牛发布了对数据库管理系统的防护清晰的定义。从这个角度上看,该定义可以被划归到数据库安全的1.0时代。数据库安全市场如果仅仅看到这一点,一定会错过未来的发展机会。再往前看,2.0的时代以“数据”为中心的防护时代,3.0时代是“数据安全治理”的时代。数据安全划分成这三个时代,分别代表了不同的含义。

1、数据安全的1.0时代

DBMS安全是以数据库管理系统为安全目标,举个例子,这种目标实际上是类似于我们会对居住环境也就是房屋进行加固,最传统的就是在家里安装防盗门、防盗窗。如果住宅更高级一些,可能会有社区监控。如果是一个庄园,会把周围加上栅栏。核心是保护边界,防止外部的入侵,对外部进行监管。这种安全是一种系统安全的思想,我们要保护的是一个系统,这种思想实际上就是1.0时代的思想,它强调边界防护和防止黑客入侵。Database紧紧的被包裹在一个非常好的外延里面。作为安全人,针对数据库安全我们要做什么?做防护!即便对一个做数据库出身的人而言,在最初进入数据库安全这个领域的时候仍然摆脱不掉这种思想——如何对DBMS进行加固。

从最早期推出的数据安全产品看,包括市面上大多数的数据安全厂商产品,与传统的网络安全有一个相对完美的对应。比如说磁盘加密对应数据库加密;IPS/防火墙对应数据库防火墙;IDS入侵检测对应数据库审计;网络扫描对应数据库漏扫。实际上是网络安全思想移到数据和安全思想的映射,只是说传统思想的实现。本质上我们听到一个声音,数据和安全是网络安全的分支。这有点让人费解,为什么数据安全是网络安全的分支。但是对数据安全的发展稍加追溯就恍然大悟,最初的设想就是按照网络安全思想做数据库安全,实际上是同样一套思路在推进。

2、数据安全的2.0时代

而以数据为中心的2.0时代是一个什么样的时代呢?我们把对于数据的防护向人的视角转移来做类比,作为社会中的人,他要运动,要社交,要旅游,在这种不同的场景下,会分出很多新种类的防护性产品,这些防护类产品就可以突破房屋的物理边界,比如我们在运动的时候需要用到头盔;开车的时候有气囊;战场上有防弹衣;假如我们是富豪或者明星,会有一个私人保镖团队等等,这样会使人的安全的延展性跟需求性更为全面。我们把这样的安全,定义为场景化的安全,即数据所应用的场景。

2.0时代应该提供什么样的安全措施,或者跟人所对应的产品,都是在特定的活动场景下进行。主要强调数据离开库之后,在业务使用中,分享给第三方平台的安全性问题。从1.0时代过渡到2.0时代,核心驱动力是在于什么?

第一,随着IT建设,数据资产积累,数据进一步到共享时代,不仅会被本单位或者业务部门使用,还需要在企业范围跟社会范围内共享才会发挥价值。

第二,进入互联网化时代,移动化时代以及云化时代,边界没了。过去,数据库中的数据包裹在最坚硬的网络防护的内核中,如今这种情形却彻底发生了改变。政府要把很多业务部门的数据拿到共享环境下;银行侧很多业务系统需要互联网实现连接;甚至国网的数据共享,仅开通手机APP就能实现,这些都意味着触达到数据层面的途径大大的丰富起来。

第三,数据交易市场的形成。这是一个变现的时代,个人身份信息、学生信息、病患信息等数据都是可变现的财富。在变现时代背景下,“内部人员是安全的”这种假设已经不存在了。在利益的驱使下,外包人员,第三方开发人员,运维人员,甚至组织内部自己的员工都有可能变成数据安全真正的风险。这样情况下,继续使用网络安全的边界防护思想去做数据库安全,只有失败。

Gartner在2016年谈数据安全的时候,陆续推出了DCAP的报告,讲的是以数据为中心的防护理念。而在2017年的报告里,总结出包括数据分级分类发现,数据的监控与审计,行为分析与告警,以及数据加密的令牌化等能力。从中逐渐可以看到涉及的产线产品,已经远远超过早期的网络概念。

2.0时代数据安全的核心理念在于尽可能保证业务系统正常使用,所以必须要进行场景化的思考,什么是满足这个场景必要性的条件,只有满足这个假定之后我们才要思考用什么技术能够去满足。

首先开发测试场景,银行系统或者大型互联网公司,早期使用生产数据的情况是比较多的,还有一些通过远程接入,这些都会存在。不过大部分企业常常会人工造一些假数据完成测试。那么,我们思考一下,开发测试环境真正需要什么,它实际上是需要高度仿真的模拟数据,只要能够模拟出原有的数据逻辑,映射关系,表跟表之间的关联关系,列跟列之间的关系,甚至我们身份证、银行卡号符合它的逻辑特征,就能够基本完成业务系统开发。在这种场景下,需要用到的核心技术可能只数据静态脱敏就够了,还需求同时应用数据库审计、数据库加密、数据库防火墙等其他的措施吗?不需要了。可见,借助场景化需求分析直接找准问题核心,就可以四两拨千斤,高效解决掉很多问题。

比如在业务场景情况下,业务侧的风险威胁分为三种:

黑客攻击;业务人员自身的访问;第三方开发人员程序后门。

这三种情况下,面对黑客攻击,防火墙WAF可实现90%拦截,剩下的SQL注入就需要数据库防火墙进行拦截。面对业务人员的防控,因为业务人员往往是合法身份、合法行为,这个时候需要通过数据访问行为建模发现意图的特征。还有一种是针对数据下载数量进行策略设置,防止批量下载。

由此可见,DBMS2.0时代是一种针对场景化提供有效技术的时代。

3、数据安全的3.0时代

3.0时代进入到了系统化的数据安全治理的时代,数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段,不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候,我们会建立组织、公检法体系,建立军队;会出台政策规范、刑法、交通法等等来予以保证;同时会建立公共设施安全,比如机场安检,建立登机制度等。

3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。2.0步入到3.0时代的驱动源头有几点总结如下:

1. 数据成为国家战略性资源,通过数据可以构造出新的生产力,在这种情况下,国家会实行严格保护。无论从我们国家开始频繁出台相关管理办法看,还是放眼全球,欧盟与美国都在制定数据所在地的使用原则,都表明了各个国家已经开始把数据当做战略资源。

2. 数据成为企业核心资产。创新型企业如滴滴、京东、淘宝,以及银行 金融科技 ,大多数企业积累的数据往往会变成企业最重要的资产,不再是一个符号。

3. 数据泄露已经形成重大威胁。如今大家都是透明人,从国家的监管层面看,实际上关系我们任何一个人,都将实现数据的全覆盖。同时现在很多大型机构的运转都依托于手机、互联网,整个行为都在网络上留下痕迹。通过这些行为的记录,很快就会建成一个没有任何隐私可言,甚至陷入到骚扰、欺骗、第三方调查的境地。这就意味着数据不仅是企业的基础性安全问题,已经成为国家性,社会性问题,并上升到一个体系化的层面。

在这个数据安全已经上升到体系化层面的大环境下,针对数据保护工作开展了一系列措施:

国家已经开始有动作,相继出台了网络安全法、数据处境管理办法、关键信息基础设施安全保护条例等,同时预计在2019年上半年出台个人数据保护法。而2017年11月完成的刑法修订案,其严苛程度也相当惊人,最低50条数据的非法泄露,即可入刑。简单举个实例,2018年11月2日,某猎头公司因在QQ群发布招聘信息,已被刑事诉讼。

除了国家法律,各个行业也都在行动,《国网营销系统数据脱敏规范》、《商业银行信息科技风险管理指引》、《电信和互联网用户个人信息保护规定》、《政府数据分级分类指南》、《央企商业秘密安全保护技术指引》,以及教育、税务、地方上的法规,陆续出台。整件事情不再是技术性的行为,而会逐渐演变成一个社会性、规范性的行为。

此外,还会看到越来越多的企业侧的行为。

Gartner在2016年提到一个理念——数据安全治理(简称DSG)。这个理念包含如下内容:

首先是数据分级分类,可以看到数据到底包含了什么;

其次,在这样一个基础的情况下,基于各种数据分类,完成处理和控制策略,要梳理出哪些人能够接触这样的数据;这些数据接触的权限、行为范畴;超出范畴应该采用什么样的方法进行审批。

第三,这样的策略之后,要在执行环节有相关的控制措施、监控手段。比如,互联网企业可能会作为首批数据发现和数据访问行为获监管的对象。

第四个阶段是稽核。对于数据过程要进行审计、报告,改善措施,并重新构建。

在数据安全治理时代,新的核心技术要求,比如说数据梳理,就是搞清楚数据资产到底有多少,敏感数据如何分布,以及数据是如何被使用的。要利用数据的特征发现记录,数据主机扫描技术,网络分析技术,以及大数据的处理整合技术,才能完成数据梳理。

在未来,基于AI深度日志分析来实现数据监管,信息审计,潜在风险发现,而不是策略制定。潜在风险可能是类似APP,需要通过建模的方式完成这样的学习分析。在国外,甚至仅需一到两天之内就可完成自动化的设定,经过一天左右的时间,就能基于深度行为日志建模完成整体的防护体系。而通过行为日志、业务日志的积累,可以驱动未来安全的进一步发展。

网络安全时代态势感知的概念叫的响亮,却没出现几个多么好的落地产品。但如果把数据安全时代态势感知做出来的话,一定非常具有价值。因为各种数据的行为实现了可视化,即在大型数据中心层面通过大屏技术,呈现出数据分布和数据使用分布,以及数据在库之间流动,业务系统流动,人之间的流动,以及发生的异常,在一种可视化的方式下,能够快速感觉到。

三、小结

DBMS1.0时代的核心的理念是系统安全,市场启蒙早期是在2010年左右,也是安华金和公司刚成立的时候,安华金和踏上数据库安全的开拓之路。这个市场高速发展大规模企业进入,是在2017年。市场爆发恰恰是这个时期。预计到2020年左右,市场将达到一个成熟期,并慢慢演进。

第二个时代——数据时代很快会到来。这时期要以场景化来构建安全产线,预计规模能够达到百亿级。2015年左右应该可以算得上是2.0时代的一个启蒙期,到2019年相信会成为业界主流性的理念。数据库安全从DBMS安全演进成以数据为中心的安全,将会成为业界的共识。预计到2023年,2.0时代会达到高速的平衡期。3.0时代的核心是体系化安全,预计会出现在2025年左右,随着安全的市场在快速的放量,市场将会抵达千亿级规模。

数据安全治理是安华金和在2016年在国内率先提出来的,第一届数据安全治理高峰论坛也由此发起,客户逐渐开始认可这个理念。并且我们也看到像阿里这样的企业,也开始谈数据安全治理。同时,国网网安处专门成立了数据安全治理的工作组,在税务侧也有专门的组织,这些都说明这个理念既是被数据安全生态所认可的,也是符合客户认知的。我们期待,该理念可以从启蒙到逐渐被社会广泛认可,到2021年实现在全国大型企业中数据安全治理体系的构造。同时,我们也乐观期待,到2025年数据安全可以进入成熟期,达到千亿级的市场。

最后,在整个社会经济大环境悲观的论调下,请允许我们能够乐观看待整个网络安全行业的发展,从毛竹这种植物里找到一些激励。毛竹生命的前几年,它把所有的努力用在了地下、用在了伸展根系上。这些年中,它的根居然可以扎到几英里远。过了这几年的默默储备期,它就会像被施了魔法,半年时间里就能蹿到30多米。长得快的时候,一天可以长半米多。想象一下,春天还是一棵齐腰高的小苗苗,到了秋天就变得高大挺拔、直插云天。这么奇妙的成长,全然是因着最初几年充分的准备、这么强大的根系,才造就了这么令人惊叹的奇迹啊。期待安全行业也能在未来迎来直插云天的蓬勃前景。


数据安全未来前景展望

产业互联网如同大基站,在“新政策,新技术,新理念”三新战略的倡导下滋养更多新兴项目落地应用,在传统行业、互联网行业的转型之路上扮演了助推器角色,正值亿欧2019全球新经济年会期间,特此设立产业互联网峰会,力求从全球视角解析IT服务智能发展,邀请国内外一线企业分享行业发展历程及未来趋势。

您在本场论坛可以了解到软件、硬件、物联网、5G、ABC的服务进化史,了解到新资本新市场的走向。当我们的生活离不开技术,或许整个全球市场、服务商、用户都应该对之有更深的思考。

峰会报名链接:

https://www.iyiou.com/post/ad/id/802


本文已标注来源和出处,版权归原作者所有,如有侵权,请联系我们。

随意打赏

数据安全 公司企业数据安全数据安全平台数据安全领域隐私数据安全数据安全方案数据安全
提交建议
微信扫一扫,分享给好友吧。