+-
当我们谈数据安全的时候,我们在谈什么?
[ 导读 ] 数据时代很快会到来。这时期要以场景化来构建安全产线,预计规模能够达到百亿级。

【编者按】:经过十多年摸索前行,曲折发展,国内的数据安全市场,尤其是数据库安全市场无论是产品打造、产线供应还是解决方案呈现、客户案例实践等都完成了从萌芽阶段向成熟方向的演进,目前数据安全已经格局初具,但当你在谈论数据安全的时候真的知道它的涵义吗?

本文首发于安全牛,作者为安华金和的石川;由编辑,供行业人士参考。

一、未来的市场空间能有多大?

首先,从媒体及研究机构关于数据安全市场空间的预计看,2020年数据安全的市场大约有12亿,以此为基础稍作延展,到2023年估计可能会达到20亿的市场空间,这个数据想吸引更多资本进入,显然十分悲观。为什么?因为这个市场空间不足以支撑一个很大的企业施展抱负。从国际视角看,2017年发布的《Research & Market》报告,对全球大数据市场和全球数据库安全市场进行了预测,预计到2023年全球数据库安全市场是83.3亿美金。以现在的人民币汇率换算差不多是560亿人民币。

 而到2023年,中国的GDP有望超过20%增幅,中国数据安全的发展估计能与我国的GDP增幅吻合,虽然较之欧美不足,但较之亚非拉有余,取个居中平均数,按照这个推断中国数据库安全市场2023年应该有望达到100个亿,这个空间对资本来说意味着可以容纳两到三家上市公司。

 而乐观估计,到2025年这个市场空间会呈现直线激增,达到一千亿。这里面是否有个人意愿色彩存在?这一预测后面将给出可供支撑的逻辑分析。我们先从数据安全领域中的重要部分——数据库安全来看。谈到数据库安全,往往有两种概念,对于技术人员,开发人员而言,DBMS也就是数据库管理系统的安全;但是从业务跟社会化概念当中安全重点指向的是库里面数据的安全。当我们在谈论人口库、个人信息库、征信库,企业库的时候,就是在指里面的数据。

 二、当我们谈数据安全的时候,我们在谈什么?

当我们在谈数据安全的时候,最容易讲的是DBMS安全,2018年安全牛发布了对数据库管理系统的防护清晰的定义。从这个角度上看,该定义可以被划归到数据库安全的1.0时代。数据库安全市场如果仅仅看到这一点,一定会错过未来的发展机会。再往前看,2.0的时代以“数据”为中心的防护时代,3.0时代是“数据安全治理”的时代。数据安全划分成这三个时代,分别代表了不同的含义。

1、数据安全的1.0时代

DBMS安全是以数据库管理系统为安全目标,举个例子,这种目标实际上是类似于我们会对居住环境也就是房屋进行加固,最传统的就是在家里安装防盗门、防盗窗。如果住宅更高级一些,可能会有社区监控。如果是一个庄园,会把周围加上栅栏。核心是保护边界,防止外部的入侵,对外部进行监管。这种安全是一种系统安全的思想,我们要保护的是一个系统,这种思想实际上就是1.0时代的思想,它强调边界防护和防止黑客入侵。Database紧紧的被包裹在一个非常好的外延里面。作为安全人,针对数据库安全我们要做什么?做防护!即便对一个做数据库出身的人而言,在最初进入数据库安全这个领域的时候仍然摆脱不掉这种思想——如何对DBMS进行加固。

从最早期推出的数据安全产品看,包括市面上大多数的数据安全厂商产品,与传统的网络安全有一个相对完美的对应。比如说磁盘加密对应数据库加密;IPS/防火墙对应数据库防火墙;IDS入侵检测对应数据库审计;网络扫描对应数据库漏扫。实际上是网络安全思想移到数据和安全思想的映射,只是说传统思想的实现。本质上我们听到一个声音,数据和安全是网络安全的分支。这有点让人费解,为什么数据安全是网络安全的分支。但是对数据安全的发展稍加追溯就恍然大悟,最初的设想就是按照网络安全思想做数据库安全,实际上是同样一套思路在推进。

 2、数据安全的2.0时代

而以数据为中心的2.0时代是一个什么样的时代呢?我们把对于数据的防护向人的视角转移来做类比,作为社会中的人,他要运动,要社交,要旅游,在这种不同的场景下,会分出很多新种类的防护性产品,这些防护类产品就可以突破房屋的物理边界,比如我们在运动的时候需要用到头盔;开车的时候有气囊;战场上有防弹衣;假如我们是富豪或者明星,会有一个私人保镖团队等等,这样会使人的安全的延展性跟需求性更为全面。我们把这样的安全,定义为场景化的安全,即数据所应用的场景。

2.0时代应该提供什么样的安全措施,或者跟人所对应的产品,都是在特定的活动场景下进行。主要强调数据离开库之后,在业务使用中,分享给第三方平台的安全性问题。从1.0时代过渡到2.0时代,核心驱动力是在于什么?

第一,随着IT建设,数据资产积累,数据进一步到共享时代,不仅会被本单位或者业务部门使用,还需要在企业范围跟社会范围内共享才会发挥价值。

第二,进入互联网化时代,移动化时代以及云化时代,边界没了。过去,数据库中的数据包裹在最坚硬的网络防护的内核中,如今这种情形却彻底发生了改变。政府要把很多业务部门的数据拿到共享环境下;银行侧很多业务系统需要互联网实现连接;甚至国网的数据共享,仅开通手机APP就能实现,这些都意味着触达到数据层面的途径大大的丰富起来。

第三,数据交易市场的形成。这是一个变现的时代,个人身份信息、学生信息、病患信息等数据都是可变现的财富。在变现时代背景下,“内部人员是安全的”这种假设已经不存在了。在利益的驱使下,外包人员,第三方开发人员,运维人员,甚至组织内部自己的员工都有可能变成数据安全真正的风险。这样情况下,继续使用网络安全的边界防护思想去做数据库安全,只有失败。

 Gartner在2016年谈数据安全的时候,陆续推出了DCAP的报告,讲的是以数据为中心的防护理念。而在2017年的报告里,总结出包括数据分级分类发现,数据的监控与审计,行为分析与告警,以及数据加密的令牌化等能力。从中逐渐可以看到涉及的产线产品,已经远远超过早期的网络概念。

 2.0时代数据安全的核心理念在于尽可能保证业务系统正常使用,所以必须要进行场景化的思考,什么是满足这个场景必要性的条件,只有满足这个假定之后我们才要思考用什么技术能够去满足。

 首先开发测试场景,银行系统或者大型互联网公司,早期使用生产数据的情况是比较多的,还有一些通过远程接入,这些都会存在。不过大部分企业常常会人工造一些假数据完成测试。那么,我们思考一下,开发测试环境真正需要什么,它实际上是需要高度仿真的模拟数据,只要能够模拟出原有的数据逻辑,映射关系,表跟表之间的关联关系,列跟列之间的关系,甚至我们身份证、银行卡号符合它的逻辑特征,就能够基本完成业务系统开发。在这种场景下,需要用到的核心技术可能只数据静态脱敏就够了,还需求同时应用数据库审计、数据库加密、数据库防火墙等其他的措施吗?不需要了。可见,借助场景化需求分析直接找准问题核心,就可以四两拨千斤,高效解决掉很多问题。

 比如在业务场景情况下,业务侧的风险威胁分为三种:

黑客攻击;业务人员自身的访问;第三方开发人员程序后门。

这三种情况下,面对黑客攻击,防火墙WAF可实现90%拦截,剩下的SQL注入就需要数据库防火墙进行拦截。面对业务人员的防控,因为业务人员往往是合法身份、合法行为,这个时候需要通过数据访问行为建模发现意图的特征。还有一种是针对数据下载数量进行策略设置,防止批量下载。

由此可见,DBMS2.0时代是一种针对场景化提供有效技术的时代。

 3、数据安全的3.0时代

3.0时代进入到了系统化的数据安全治理的时代,数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段,不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候,我们会建立组织、公检法体系,建立军队;会出台政策规范、刑法、交通法等等来予以保证;同时会建立公共设施安全,比如机场安检,建立登机制度等。

3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。2.0步入到3.0时代的驱动源头有几点总结如下:

1. 数据成为国家战略性资源,通过数据可以构造出新的生产力,在这种情况下,国家会实行严格保护。无论从我们国家开始频繁出台相关管理办法看,还是放眼全球,欧盟与美国都在制定数据所在地的使用原则,都表明了各个国家已经开始把数据当做战略资源。

2. 数据成为企业核心资产。创新型企业如滴滴、京东、淘宝,以及银行金融科技,大多数企业积累的数据往往会变成企业最重要的资产,不再是一个符号。

3. 数据泄露已经形成重大威胁。如今大家都是透明人,从国家的监管层面看,实际上关系我们任何一个人,都将实现数据的全覆盖。同时现在很多大型机构的运转都依托于手机、互联网,整个行为都在网络上留下痕迹。通过这些行为的记录,很快就会建成一个没有任何隐私可言,甚至陷入到骚扰、欺骗、第三方调查的境地。这就意味着数据不仅是企业的基础性安全问题,已经成为国家性,社会性问题,并上升到一个体系化的层面。

在这个数据安全已经上升到体系化层面的大环境下,针对数据保护工作开展了一系列措施:

国家已经开始有动作,相继出台了网络安全法、数据处境管理办法、关键信息基础设施安全保护条例等,同时预计在2019年上半年出台个人数据保护法。而2017年11月完成的刑法修订案,其严苛程度也相当惊人,最低50条数据的非法泄露,即可入刑。简单举个实例,2018年11月2日,某猎头公司因在QQ群发布招聘信息,已被刑事诉讼。

除了国家法律,各个行业也都在行动,《国网营销系统数据脱敏规范》、《商业银行信息科技风险管理指引》、《电信和互联网用户个人信息保护规定》、《政府数据分级分类指南》、《央企商业秘密安全保护技术指引》,以及教育、税务、地方上的法规,陆续出台。整件事情不再是技术性的行为,而会逐渐演变成一个社会性、规范性的行为。

此外,还会看到越来越多的企业侧的行为。

 Gartner在2016年提到一个理念——数据安全治理(简称DSG)。这个理念包含如下内容:

首先是数据分级分类,可以看到数据到底包含了什么;

其次,在这样一个基础的情况下,基于各种数据分类,完成处理和控制策略,要梳理出哪些人能够接触这样的数据;这些数据接触的权限、行为范畴;超出范畴应该采用什么样的方法进行审批。

第三,这样的策略之后,要在执行环节有相关的控制措施、监控手段。比如,互联网企业可能会作为首批数据发现和数据访问行为获监管的对象。

第四个阶段是稽核。对于数据过程要进行审计、报告,改善措施,并重新构建。

在数据安全治理时代,新的核心技术要求,比如说数据梳理,就是搞清楚数据资产到底有多少,敏感数据如何分布,以及数据是如何被使用的。要利用数据的特征发现记录,数据主机扫描技术,网络分析技术,以及大数据的处理整合技术,才能完成数据梳理。

在未来,基于AI深度日志分析来实现数据监管,信息审计,潜在风险发现,而不是策略制定。潜在风险可能是类似APP,需要通过建模的方式完成这样的学习分析。在国外,甚至仅需一到两天之内就可完成自动化的设定,经过一天左右的时间,就能基于深度行为日志建模完成整体的防护体系。而通过行为日志、业务日志的积累,可以驱动未来安全的进一步发展。

网络安全时代态势感知的概念叫的响亮,却没出现几个多么好的落地产品。但如果把数据安全时代态势感知做出来的话,一定非常具有价值。因为各种数据的行为实现了可视化,即在大型数据中心层面通过大屏技术,呈现出数据分布和数据使用分布,以及数据在库之间流动,业务系统流动,人之间的流动,以及发生的异常,在一种可视化的方式下,能够快速感觉到。

 三、小结

DBMS1.0时代的核心的理念是系统安全,市场启蒙早期是在2010年左右,这个市场高速发展大规模企业进入,是在2017年。市场爆发恰恰是这个时期。预计到2020年左右,市场将达到一个成熟期,并慢慢演进。

第二个时代——数据时代很快会到来。这时期要以场景化来构建安全产线,预计规模能够达到百亿级。2015年左右应该可以算得上是2.0时代的一个启蒙期,到2019年相信会成为业界主流性的理念。数据库安全从DBMS安全演进成以数据为中心的安全,将会成为业界的共识。预计到2023年,2.0时代会达到高速的平衡期。3.0时代的核心是体系化安全,预计会出现在2025年左右,随着安全的市场在快速的放量,市场将会抵达千亿级规模。

当人类从IT时代走向DT时代,当社会从传统互联网时代演进到大数据时代,数据迎来爆发式增长。DT时代的业务也将围绕数据进行,在商业化的视角下,如何让数据变得更有价值,如何把握数据安全重视度上升带来的机遇?

1月18日下午,将于北京举办“商业视角下的数据应用安全——2019年企业服务产业升级与创新”沙龙,现场会有信通院、国科嘉和、华为云、国舜股份、明朝万达等企业的创始人、资深专家和投资人出席并进行主题分享,新年我们约一场活动?

报名链接:

https://zhineng.aiisen.com/post/ad/id/767

电脑端-新.jpg