在数据资产化的环境下,数据安全在信息安全体系中的市场份额正在逐步攀升。数据库作为数据的主要存储手段,其安全防护的必要性也逐渐为企业与组织所了解。然而,伴随着互联网技术的飞速发展,数据库被逐渐暴露在更开放、更复杂的网络环境中。传统网络安全体系难以适配云计算、多连接等全新的网络环境,也无法应付越来越高速的数据场景迁移以及伴随数据价值提升而来的更加频繁的攻击。
近日,36氪曾报道的数据库安全厂商安华金和与国内专业的信息安全网安全牛联合发布《2017-2018数据库安全应用指南》,帮助企业与组织了解数据库安全技术原理、掌握数据库安全技术与产品实施与应用,并提供了数据库安全实际建设中可借鉴的技术工具、产品选型、落地方法、建设思路及案例参考。同时,安华金和还分享了数据安全治理方面的技术更新、服务升级与对行业整体发展的展望。
目前,围绕数据库安全核心技术,安华金和的产品与服务已覆盖数据库防护的事前、事中和事后的全周期,具体技术包含数据库加密、数据库脱敏、数据库通讯协议解析和控制、数据库攻击和防御等,搭建起全线数据库安全产品矩阵。
在产品的基础上,安华金和提出“数据安全治理”框架,提供涵盖人员组织、安全策略、流程制定及技术支撑全方位的整体安全思路与解决方案。
实施落地方面,安华金和将标准化落地流程分为组织建立-能力评估-制度设计-技术设计四个阶段。这一安全防护实施流程以数据为中心,通过数据摸底、数据管控、行为稽核等前期评估,为企业提供针对性的解决方案。同时,由企业本身出发的部署方案也有助于市场教育,现有漏洞的暴露能够催生企业内部的安全升级需求。
数据安全逐渐受到重视,厂商响应速度加快固然是良性发展,但问题也随之而生:原型产品被复制的周期缩短至三个月甚至更短,自主研发产品的回报率有降低的风险,安华金和如何应对这样的竞争?安华金和联合创始人兼销售副总裁廉小伟认为,客户对于数据安全的认知与需求是分层的,小型客户需要的是具备基本功能、低价与合规性的通用类产品;中型用户需要的是基于业务场景的整体解决方案,而非单点产品;大型客户需要树立的数据安全行业规范,在服务与产品之外,安全厂商对数据安全的理解与认知、对未来发展趋势的预判、数据安全的理念与治理体系是否具备前瞻性都是重要的考量。因此,单点产品能力并非安全行业竞争的关键壁垒。
目前,安华金和的客户集中在政府、运营商、金融、能源、军工军队等,接下来将着力扩展教育与医疗两个行业。廉小伟表示这两个行业的共同特征是:
个人隐私数据量大,属于需要加强监管保护的敏感数据,存在数据库安全需求
同行业内带动性复制性强,有利于规模化交付
安华金和的创始人兼总经理刘晓韬表示,市场需求与政策共同推动了数据库安全市场的扩容,将在2019年前出台个人隐私数据管理办法也将继续带动个人隐私信息运营者对数据库安全需求的增长。伴随组织信息化程度加深与法规体系逐渐完善,数据库安全的作用将不再局限于商密保护,而将成为业务连续性的必要前提。
从数据库安全的发展时间线来看,我们走过了系统安全主导的DBMS1.0时代,这个阶段是以网络安全思想作为数据库安全核心,强调防护与防入侵。目前我们正处于由场景化安全主导的2.0时代,这个阶段强调数据在使用、流动、共享等场景中的安全。接下来,在国家战略政策层面驱动下,组织将更加强调内部流程、规范与技术的整合,在整体体系化安全的建设需求驱动下,进入以数据安全治理为核心的3.0时代。
除了数据库安全,数据安全治理还包括网络、工控、攻防、IT运维培训等多个维度,分散程度较高,单家厂商无法独力推动行业整体进入 3.0 时代。为了协同发展各细分赛道,安华金和于今年上半年牵头成立中国网络安全与信息化产业联盟数据安全治理委员会,一方面构建服务紧耦合的小生态,与金银牌合作伙伴共同为客户提供整套安全方案,增强整体竞争力;另一方面建设有利于数据安全治理实际落地的大生态,推动政府、专家、客户、友商等多方达成共识。