一、未来的市场空间能有多大?
首先,从媒体及研究机构关于数据安全市场空间的预计看,2020年数据安全的市场大约有12亿,以此为基础稍作延展,到2023年估计会有20亿的市场空间,这个数据想吸引更多资本进入,显然十分悲观。为什么?因为这个市场空间不足以支撑一个很大的企业施展抱负。从国际视角看,2017年发布的《Research & Market》报告,对全球大数据市场和全球数据库安全市场进行了预测,预计到2023年全球数据库安全市场是83.3亿美金。以现在的人民币汇率换算差不多是560亿人民币。
而到2023年,中国的GDP有望超过20%增幅,中国数据安全的发展估计能与我国的GDP增幅吻合,虽然较之欧美不足,但较之亚非拉有余,取个居中平均数,按照这个推断中国数据库安全市场2023年应该有望达到100个亿,这个空间对资本来说意味着可以容纳两到三家上市公司。
而乐观估计,到2025年这个市场空间会呈现直线激增,达到一千亿。这里面是否有个人意愿色彩存在?这一预测后面将给出可供支撑的逻辑分析。我们先从数据安全领域中的重要部分——数据库安全来看。谈到数据库安全,往往有两种概念,对于技术人员,开发人员而言,DBMS也就是数据库管理系统的安全;但是从业务跟社会化概念当中安全重点指向的是库里面数据的安全。当我们在谈论人口库、个人信息库、征信库,企业库的时候,就是在指里面的数据。
二、当我们谈数据安全的时候,我们在谈什么?
当我们在谈数据安全的时候,最容易讲的是DBMS安全,2018年安全牛发布了对数据库管理系统的防护清晰的定义。从这个角度上看,该定义可以被划归到数据库安全的1.0时代。数据库安全市场如果仅仅看到这一点,一定会错过未来的发展机会。再往前看,2.0的时代以“数据”为中心的防护时代,3.0时代是“数据安全治理”的时代。数据安全划分成这三个时代,分别代表了不同的含义。
1、数据安全的1.0时代
DBMS安全是以数据库管理系统为安全目标,举个例子,这种目标实际上是类似于我们会对居住环境也就是房屋进行加固,最传统的就是在家里安装防盗门、防盗窗。如果住宅更高级一些,可能会有社区监控。如果是一个庄园,会把周围加上栅栏。核心是保护边界,防止外部的入侵,对外部进行监管。这种安全是一种系统安全的思想,我们要保护的是一个系统,这种思想实际上就是1.0时代的思想,它强调边界防护和防止黑客入侵。Database紧紧的被包裹在一个非常好的外延里面。作为安全人,针对数据库安全我们要做什么?做防护!即便对一个做数据库出身的人而言,在最初进入数据库安全这个领域的时候仍然摆脱不掉这种思想——如何对DBMS进行加固。
从最早期推出的数据安全产品看,包括市面上大多数的数据安全厂商产品,与传统的网络安全有一个相对完美的对应。比如说磁盘加密对应数据库加密;IPS/防火墙对应数据库防火墙;IDS入侵检测对应数据库审计;网络扫描对应数据库漏扫。实际上是网络安全思想移到数据和安全思想的映射,只是说传统思想的实现。本质上我们听到一个声音,数据和安全是网络安全的分支。这有点让人费解,为什么数据安全是网络安全的分支。但是对数据安全的发展稍加追溯就恍然大悟,最初的设想就是按照网络安全思想做数据库安全,实际上是同样一套思路在推进。
2、数据安全的2.0时代
而以数据为中心的2.0时代是一个什么样的时代呢?我们把对于数据的防护向人的视角转移来做类比,作为社会中的人,他要运动,要社交,要旅游,在这种不同的场景下,会分出很多新种类的防护性产品,这些防护类产品就可以突破房屋的物理边界,比如我们在运动的时候需要用到头盔;开车的时候有气囊;战场上有防弹衣;假如我们是富豪或者明星,会有一个私人保镖团队等等,这样会使人的安全的延展性跟需求性更为全面。我们把这样的安全,定义为场景化的安全,即数据所应用的场景。
2.0时代应该提供什么样的安全措施,或者跟人所对应的产品,都是在特定的活动场景下进行。主要强调数据离开库之后,在业务使用中,分享给第三方平台的安全性问题。从1.0时代过渡到2.0时代,核心驱动力是在于什么?
第一,随着IT建设,数据资产积累,数据进一步到共享时代,不仅会被本单位或者业务部门使用,还需要在企业范围跟社会范围内共享才会发挥价值。
第二,进入互联网化时代,移动化时代以及云化时代,边界没了。过去,数据库中的数据包裹在最坚硬的网络防护的内核中,如今这种情形却彻底发生了改变。政府要把很多业务部门的数据拿到共享环境下;银行侧很多业务系统需要互联网实现连接;甚至国网的数据共享,仅开通手机APP就能实现,这些都意味着触达到数据层面的途径大大的丰富起来。
第三,数据交易市场的形成。这是一个变现的时代,个人身份信息、学生信息、病患信息等数据都是可变现的财富。在变现时代背景下,“内部人员是安全的”这种假设已经不存在了。在利益的驱使下,外包人员,第三方开发人员,运维人员,甚至组织内部自己的员工都有可能变成数据安全真正的风险。这样情况下,继续使用网络安全的边界防护思想去做数据库安全,只有失败。
Gartner在2016年谈数据安全的时候,陆续推出了DCAP的报告,讲的是以数据为中心的防护理念。而在2017年的报告里,总结出包括数据分级分类发现,数据的监控与审计,行为分析与告警,以及数据加密的令牌化等能力。从中逐渐可以看到涉及的产线产品,已经远远超过早期的网络概念。
2.0时代数据安全的核心理念在于尽可能保证业务系统正常使用,所以必须要进行场景化的思考,什么是满足这个场景必要性的条件,只有满足这个假定之后我们才要思考用什么技术能够去满足。
首先开发测试场景,银行系统或者大型互联网公司,早期使用生产数据的情况是比较多的,还有一些通过远程接入,这些都会存在。不过大部分企业常常会人工造一些假数据完成测试。那么,我们思考一下,开发测试环境真正需要什么,它实际上是需要高度仿真的模拟数据,只要能够模拟出原有的数据逻辑,映射关系,表跟表之间的关联关系,列跟列之间的关系,甚至我们身份证、银行卡号符合它的逻辑特征,就能够基本完成业务系统开发。在这种场景下,需要用到的核心技术可能只数据静态脱敏就够了,还需求同时应用数据库审计、数据库加密、数据库防火墙等其他的措施吗?不需要了。可见,借助场景化需求分析直接找准问题核心,就可以四两拨千斤,高效解决掉很多问题。
比如在业务场景情况下,业务侧的风险威胁分为三种:
黑客攻击;业务人员自身的访问;第三方开发人员程序后门。
这三种情况下,面对黑客攻击,防火墙WAF可实现90%拦截,剩下的SQL注入就需要数据库防火墙进行拦截。面对业务人员的防控,因为业务人员往往是合法身份、合法行为,这个时候需要通过数据访问行为建模发现意图的特征。还有一种是针对数据下载数量进行策略设置,防止批量下载。
由此可见,DBMS2.0时代是一种针对场景化提供有效技术的时代。