一、未来的市场空间能有多大?
首先,从媒体及研究机构关于数据安全市场空间的预计看,2020年数据安全的市场大约有12亿,以此为基础稍作延展,到2023年估计会有20亿的市场空间,这个数据想吸引更多资本进入,显然十分悲观。为什么?因为这个市场空间不足以支撑一个很大的企业施展抱负。从国际视角看,2017年发布的《Research & Market》报告,对全球大数据市场和全球数据库安全市场进行了预测,预计到2023年全球数据库安全市场是83.3亿美金。以现在的人民币汇率换算差不多是560亿人民币。
而到2023年,中国的GDP有望超过20%增幅,中国数据安全的发展估计能与我国的GDP增幅吻合,虽然较之欧美不足,但较之亚非拉有余,取个居中平均数,按照这个推断中国数据库安全市场2023年应该有望达到100个亿,这个空间对资本来说意味着可以容纳两到三家上市公司。
而乐观估计,到2025年这个市场空间会呈现直线激增,达到一千亿。这里面是否有个人意愿色彩存在?这一预测后面将给出可供支撑的逻辑分析。我们先从数据安全领域中的重要部分——数据库安全来看。谈到数据库安全,往往有两种概念,对于技术人员,开发人员而言,DBMS也就是数据库管理系统的安全;但是从业务跟社会化概念当中安全重点指向的是库里面数据的安全。当我们在谈论人口库、个人信息库、征信库,企业库的时候,就是在指里面的数据。
▌二、当我们谈数据安全的时候,我们在谈什么?
当我们在谈数据安全的时候,最容易讲的是DBMS安全,2018年安全牛发布了对数据库管理系统的防护清晰的定义。从这个角度上看,该定义可以被划归到数据库安全的1.0时代。数据库安全市场如果仅仅看到这一点,一定会错过未来的发展机会。再往前看,2.0的时代以“数据”为中心的防护时代,3.0时代是“数据安全治理”的时代。数据安全划分成这三个时代,分别代表了不同的含义。
1、数据安全的1.0时代
DBMS安全是以数据库管理系统为安全目标,举个例子,这种目标实际上是类似于我们会对居住环境也就是房屋进行加固,最传统的就是在家里安装防盗门、防盗窗。如果住宅更高级一些,可能会有社区监控。如果是一个庄园,会把周围加上栅栏。核心是保护边界,防止外部的入侵,对外部进行监管。这种安全是一种系统安全的思想,我们要保护的是一个系统,这种思想实际上就是1.0时代的思想,它强调边界防护和防止黑客入侵。Database紧紧的被包裹在一个非常好的外延里面。作为安全人,针对数据库安全我们要做什么?做防护!即便对一个做数据库出身的人而言,在最初进入数据库安全这个领域的时候仍然摆脱不掉这种思想——如何对DBMS进行加固。
从最早期推出的数据安全产品看,包括市面上大多数的数据安全厂商产品,与传统的网络安全有一个相对完美的对应。比如说磁盘加密对应数据库加密;IPS/防火墙对应数据库防火墙;IDS入侵检测对应数据库审计;网络扫描对应数据库漏扫。实际上是网络安全思想移到数据和安全思想的映射,只是说传统思想的实现。本质上我们听到一个声音,数据和安全是网络安全的分支。这有点让人费解,为什么数据安全是网络安全的分支。但是对数据安全的发展稍加追溯就恍然大悟,最初的设想就是按照网络安全思想做数据库安全,实际上是同样一套思路在推进。
2、数据安全的2.0时代
而以数据为中心的2.0时代是一个什么样的时代呢?我们把对于数据的防护向人的视角转移来做类比,作为社会中的人,他要运动,要社交,要旅游,在这种不同的场景下,会分出很多新种类的防护性产品,这些防护类产品就可以突破房屋的物理边界,比如我们在运动的时候需要用到头盔;开车的时候有气囊;战场上有防弹衣;假如我们是富豪或者明星,会有一个私人保镖团队等等,这样会使人的安全的延展性跟需求性更为全面。我们把这样的安全,定义为场景化的安全,即数据所应用的场景。
2.0时代应该提供什么样的安全措施,或者跟人所对应的产品,都是在特定的活动场景下进行。主要强调数据离开库之后,在业务使用中,分享给第三方平台的安全性问题。从1.0时代过渡到2.0时代,核心驱动力是在于什么?
第一,随着IT建设,数据资产积累,数据进一步到共享时代,不仅会被本单位或者业务部门使用,还需要在企业范围跟社会范围内共享才会发挥价值。
第二,进入互联网化时代,移动化时代以及云化时代,边界没了。过去,数据库中的数据包裹在最坚硬的网络防护的内核中,如今这种情形却彻底发生了改变。政府要把很多业务部门的数据拿到共享环境下;银行侧很多业务系统需要互联网实现连接;甚至国网的数据共享,仅开通手机APP就能实现,这些都意味着触达到数据层面的途径大大的丰富起来。
第三,数据交易市场的形成。这是一个变现的时代,个人身份信息、学生信息、病患信息等数据都是可变现的财富。在变现时代背景下,“内部人员是安全的”这种假设已经不存在了。在利益的驱使下,外包人员,第三方开发人员,运维人员,甚至组织内部自己的员工都有可能变成数据安全真正的风险。这样情况下,继续使用网络安全的边界防护思想去做数据库安全,只有失败。
Gartner在2016年谈数据安全的时候,陆续推出了DCAP的报告,讲的是以数据为中心的防护理念。而在2017年的报告里,总结出包括数据分级分类发现,数据的监控与审计,行为分析与告警,以及数据加密的令牌化等能力。从中逐渐可以看到涉及的产线产品,已经远远超过早期的网络概念。
2.0时代数据安全的核心理念在于尽可能保证业务系统正常使用,所以必须要进行场景化的思考,什么是满足这个场景必要性的条件,只有满足这个假定之后我们才要思考用什么技术能够去满足。
首先开发测试场景,银行系统或者大型互联网公司,早期使用生产数据的情况是比较多的,还有一些通过远程接入,这些都会存在。不过大部分企业常常会人工造一些假数据完成测试。那么,我们思考一下,开发测试环境真正需要什么,它实际上是需要高度仿真的模拟数据,只要能够模拟出原有的数据逻辑,映射关系,表跟表之间的关联关系,列跟列之间的关系,甚至我们身份证、银行卡号符合它的逻辑特征,就能够基本完成业务系统开发。在这种场景下,需要用到的核心技术可能只数据静态脱敏就够了,还需求同时应用数据库审计、数据库加密、数据库防火墙等其他的措施吗?不需要了。可见,借助场景化需求分析直接找准问题核心,就可以四两拨千斤,高效解决掉很多问题。
比如在业务场景情况下,业务侧的风险威胁分为三种:
黑客攻击;业务人员自身的访问;第三方开发人员程序后门。
这三种情况下,面对黑客攻击,防火墙WAF可实现90%拦截,剩下的SQL注入就需要数据库防火墙进行拦截。面对业务人员的防控,因为业务人员往往是合法身份、合法行为,这个时候需要通过数据访问行为建模发现意图的特征。还有一种是针对数据下载数量进行策略设置,防止批量下载。
由此可见,DBMS2.0时代是一种针对场景化提供有效技术的时代。
3、数据安全的3.0时代
3.0时代进入到了系统化的数据安全治理的时代,数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段,不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候,我们会建立组织、公检法体系,建立军队;会出台政策规范、刑法、交通法等等来予以保证;同时会建立公共设施安全,比如机场安检,建立登机制度等。
3.0时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全,实际上是组织规范+技术的完美整合,以呈现整体的安全。2.0步入到3.0时代的驱动源头有几点总结如下:
1. 数据成为国家战略性资源,通过数据可以构造出新的生产力,在这种情况下,国家会实行严格保护。无论从我们国家开始频繁出台相关管理办法看,还是放眼全球,欧盟与美国都在制定数据所在地的使用原则,都表明了各个国家已经开始把数据当做战略资源。
2. 数据成为企业核心资产。创新型企业如滴滴、京东、淘宝,以及银行金融科技,大多数企业积累的数据往往会变成企业最重要的资产,不再是一个符号。
3. 数据泄露已经形成重大威胁。如今大家都是透明人,从国家的监管层面看,实际上关系我们任何一个人,都将实现数据的全覆盖。同时现在很多大型机构的运转都依托于手机、互联网,整个行为都在网络上留下痕迹。通过这些行为的记录,很快就会建成一个没有任何隐私可言,甚至陷入到骚扰、欺骗、第三方调查的境地。这就意味着数据不仅是企业的基础性安全问题,已经成为国家性,社会性问题,并上升到一个体系化的层面。
在这个数据安全已经上升到体系化层面的大环境下,针对数据保护工作开展了一系列措施:
国家已经开始有动作,相继出台了网络安全法、数据处境管理办法、关键信息基础设施安全保护条例等,同时预计在2019年上半年出台个人数据保护法。而2017年11月完成的刑法修订案,其严苛程度也相当惊人,最低50条数据的非法泄露,即可入刑。简单举个实例,2018年11月2日,某猎头公司因在QQ群发布招聘信息,已被刑事诉讼。
除了国家法律,各个行业也都在行动,《国网营销系统数据脱敏规范》、《商业银行信息科技风险管理指引》、《电信和互联网用户个人信息保护规定》、《政府数据分级分类指南》、《央企商业秘密安全保护技术指引》,以及教育、税务、地方上的法规,陆续出台。整件事情不再是技术性的行为,而会逐渐演变成一个社会性、规范性的行为。
此外,还会看到越来越多的企业侧的行为。
Gartner在2016年提到一个理念——数据安全治理(简称DSG)。这个理念包含如下内容:
首先是数据分级分类,可以看到数据到底包含了什么;
其次,在这样一个基础的情况下,基于各种数据分类,完成处理和控制策略,要梳理出哪些人能够接触这样的数据;这些数据接触的权限、行为范畴;超出范畴应该采用什么样的方法进行审批。
第三,这样的策略之后,要在执行环节有相关的控制措施、监控手段。比如,互联网企业可能会作为首批数据发现和数据访问行为获监管的对象。
第四个阶段是稽核。对于数据过程要进行审计、报告,改善措施,并重新构建。
在数据安全治理时代,新的核心技术要求,比如说数据梳理,就是搞清楚数据资产到底有多少,敏感数据如何分布,以及数据是如何被使用的。要利用数据的特征发现记录,数据主机扫描技术,网络分析技术,以及大数据的处理整合技术,才能完成数据梳理。
在未来,基于AI深度日志分析来实现数据监管,信息审计,潜在风险发现,而不是策略制定。潜在风险可能是类似APP,需要通过建模的方式完成这样的学习分析。在国外,甚至仅需一到两天之内就可完成自动化的设定,经过一天左右的时间,就能基于深度行为日志建模完成整体的防护体系。而通过行为日志、业务日志的积累,可以驱动未来安全的进一步发展。
网络安全时代态势感知的概念叫的响亮,却没出现几个多么好的落地产品。但如果把数据安全时代态势感知做出来的话,一定非常具有价值。因为各种数据的行为实现了可视化,即在大型数据中心层面通过大屏技术,呈现出数据分布和数据使用分布,以及数据在库之间流动,业务系统流动,人之间的流动,以及发生的异常,在一种可视化的方式下,能够快速感觉到。
▌三、小结
DBMS1.0时代的核心的理念是系统安全,市场启蒙早期是在2010年左右,也是安华金和公司刚成立的时候,安华金和踏上数据库安全的开拓之路。这个市场高速发展大规模企业进入,是在2017年。市场爆发恰恰是这个时期。预计到2020年左右,市场将达到一个成熟期,并慢慢演进。
第二个时代——数据时代很快会到来。这时期要以场景化来构建安全产线,预计规模能够达到百亿级。2015年左右应该可以算得上是2.0时代的一个启蒙期,到2019年相信会成为业界主流性的理念。数据库安全从DBMS安全演进成以数据为中心的安全,将会成为业界的共识。预计到2023年,2.0时代会达到高速的平衡期。3.0时代的核心是体系化安全,预计会出现在2025年左右,随着安全的市场在快速的放量,市场将会抵达千亿级规模。
数据安全治理是安华金和在2016年在国内率先提出来的,第一届数据安全治理高峰论坛也由此发起,客户逐渐开始认可这个理念。并且我们也看到像阿里这样的企业,也开始谈数据安全治理。同时,国网网安处专门成立了数据安全治理的工作组,在税务侧也有专门的组织,这些都说明这个理念既是被数据安全生态所认可的,也是符合客户认知的。我们期待,该理念可以从启蒙到逐渐被社会广泛认可,到2021年实现在全国大型企业中数据安全治理体系的构造。同时,我们也乐观期待,到2025年数据安全可以进入成熟期,达到千亿级的市场。
最后,在整个社会经济大环境悲观的论调下,请允许我们能够乐观看待整个网络安全行业的发展,从毛竹这种植物里找到一些激励。毛竹生命的前几年,它把所有的努力用在了地下、用在了伸展根系上。这些年中,它的根居然可以扎到几英里远。过了这几年的默默储备期,它就会像被施了魔法,半年时间里就能蹿到30多米。长得快的时候,一天可以长半米多。想象一下,春天还是一棵齐腰高的小苗苗,到了秋天就变得高大挺拔、直插云天。这么奇妙的成长,全然是因着最初几年充分的准备、这么强大的根系,才造就了这么令人惊叹的奇迹啊。期待安全行业也能在未来迎来直插云天的蓬勃前景。
