随着近几年数据泄露事件频发,包括一些拖库、撞库的事件也引起了众多网友的关注,个人隐私的泄露成为广大网友比较关注的问题,越来越多的企事业单位对此重视度提高。安华金和作为一家为客户持续提供全面的数据库安全产品及解决方案的厂商,对此有着自己独特的视角和看法。本周安华金和CEO刘晓韬,接受媒体邀请,做客IT168演播室,与媒体伙伴和广大用户聊一聊数据库安全那些事儿。
“当财富积累一定程度才需上锁,这充分说明,我们国家有钱了,数据有了价值”
刘总将信息泄露事件频发状态用“新常态”这一名词概括,面对几乎每天发生的数起数据泄露事件,让大家感觉最近互联网圈有些不太平。这些不太平的背后却有着客观规律,首先,国家信息化发展到现阶段,已经积累了很多有价值的东西,不像以前家里一穷二白的时候不用上锁,当家里积累财富多到一定程度的时候才开始要上锁,要开始装防盗门甚至雇佣保镖,这充分说明一件事,我们国家有钱了,网上的数据库里面的数据也都有了价值;其次,我们现在倡导的互联互通、倡导的信息共享,在这种情况下可访问数据的途径变多了,那么在系统中留下的后门和窃取数据的途径也变多了;再者,数据的价值增大,就形成了产业链,黑产交易增加。这种情况下信息泄露事件频发也就不足为怪了。
为何企业在面临数据泄密安全事件时,总显得手足无措?
这种手足无措,刘总分析源于2个方面:一是,客观原因,情况复杂了,信息化发展自身建设能力增强的同时,黑客的能力也在不断进步。而系统越复杂,自身的漏洞也会越多,漏洞越多伴随着的是黑客的攻击手段也会越来越多。以前黑客往往都是直接攻击,现在又出现了APT攻击,APT攻击意味着潜伏期更长了,攻击手段也不仅仅限于技术手段,还融入了社会工程学,另外,利益驱动下,企业内部人员,也会越过法律干这些事。所以从客观环境来说,信息泄露的事件本身变得复杂,以前的安全防护思维去做安全防护已经跟不上现在的发展了,同时需要兼顾企业对于安全防护的重视度。
二是,主观原因。很多新兴企业,如互联网金融P2P 企业,他们首要忙的是让业务系统运转,至于这里面的信息安不安全往往是第二步,这跟我们国家的立法环境也有很大的关系。目前在我们国家企业的信息泄露之后,企业的安全责任很低。sony泄露事件出来后sony的高层要开新闻发布会,得进行道歉,得进行赔偿。但是国内的企业在出现信息泄露之后几乎就没有企业站出来开很正式的新闻发布会进行道歉,更别说对用户赔偿了,因为企业的犯错成本很低,企业不愿意在信息安全方面做更多投资。
“全球信息泄密事件,90%与数据库有关,数据库安全在整个信息安全中的比重会进一步提升”
我国目前信息安全在整体信息化中的占比是偏低的,在国外可能达到10%到20%,我们国内可能在2.5%到5%之间。但随着信息泄露的立法的加强,国家网信办等相关部门的成立会有所改善。实际上目前我们国家的一些政府部门的法规制度还是非常棒的,比如说保密局的分级保密政策、公安部的等级保护政策。比如说保密局的一票否决,防护措施不达标是不允许进入系统的。如果有这样一个标准来加大企业对信息安全的重视和投入,那么我个人认为数据库安全的比重也会提升。
安全是一个水桶原理,往往是从最短板的地方流出,那么现在发生的信息泄露事件90%以上都和数据库有关,所以我认为数据库安全这一块在整个信息安全中的比重会进一步提升,这个比重我认为在将来会提升到接近20%这样一个比例,也会随着我国在信息安全领域比重的扩大而不断扩大。关键还是我国对信息安全的立法和企业自身安全意识的提升。
“对比国内外信息安全发展状态,大厂商已经认识到数据库安全这一领域的重要性,而且数据库安全不应该是本身的数据库厂商去做,而是由第三方厂商来做会更为专业一些。”
国外的数据库安全起步比较早,还有立法支撑,比如说塞班斯法案,对于上市企业的数据库审计是有要求和标准的,立法中要求所有对于数据库中变更类的操作都要留下痕迹;还有PCI DSS法案,要求所有的信用卡信息存储中对于PIN码信息要进行扰乱或者加密存储;针对于医疗的法案,要求对于所有的患者信息进行安全防护和审计。因为国外的立法比较早,所以会带动国外这些数据库安全企业的成立也比较早。国外一些数据库安全做的比较好的公司比如说Guardium、Imperva、 Sentrigo、Secerno这些公司都是专业的做数据库安全的公司,他们大都在04年,05年就已经开始创建,所以说国外对于数据库安全的重视程度要比我们国内早很多,而且这些理念也被国际上一些大的信息化厂商所接受,比如说IBM把Guardium收购了,收购完成之后数据库安全这块已经成为他的整个信息安全很重要的一部分。McAfee收购了Sentrigo,把Sentrigo的数据库安全解决方案加入到了他们整体的信息安全解决方案中。还有 oracle, oracle本身就是一家做数据库的厂商,但是他们发现他们自己的安全也不够,收购了一家数据库安全公司叫Secerno,他通过这个体系加强本身的数据库安全。这说明从大的政策环境和大的厂商环境都已经认识到数据库安全这一领域的重要性,而且数据库安全不应该是本身的数据库厂商去做,而是有第三方厂商来做会更为专业一些。
“没人暴露,不代表你没有问题,只不过还没有黑客盯上你”
我们国家现在在去IOE,其中一个方向,拿国产库替代国际库,觉得这样就安全了。我觉得这个思想也是存在偏颇度的,先不讨论国产能否替代得了国外的库,国产的库就算把国外的库替代了,它在安全上也有很大的隐患。为什么?在CVE上,国际漏洞库上清一色暴露的都是国际大库的项目,像oracle、 sqlserver、Mysql,没人暴露国产库的漏洞。没人暴露不代表你没有问题,只不过现在还没有黑客盯上你,安全局没有盯上你,真正盯上你,去发现问题,去测的话,问题非常多。为什么,国产库想替代国外的库首先还是要在功能性、稳定性方面去发力,做安全性的这些措施,由于资源有限投入不会更多。然而我们国家目前往往是要在核心要害部门用国产的数据库替代国外的数据库,关于这一块的研究和防护加强也是未来安华金和的一个主题。
“技术在一个企业里往往需要一个灵魂,决定企业的技术方向,安华金和在此独具优势”
安华金和与安全厂商的差异化,这也是公司最本质的竞争力或者说未来发展的一个基础。安华金和这批人有一个特点,是数据库出身做安全。研发团队核心成员都是曾经老牌数据库厂商南大通用的核心研发人员。包括我自己,我那个时候也是在南大通用做内核研发。在那个时候要做内核研发,得储备对数据库整体的架构知识,对数据库的存储机制、通讯机制要有很好的理解,还要去研究一些国外厂商。比如说oracle的体系结构是什么样,sqlserver是什么样,Mysql是什么样,Mysql的整套源码我们都懂,对数据库的理解力上,在整个安全圈里应该是最强的。需要了解需要保护的产品是什么样,才能清晰的理解安全问题在哪。传统的大厂商,类似于启明、天融信、绿盟这些大厂他们是在做网络,他们那一帮人做网络的基因非常好。但是他们做数据库这一块,他们可能没有安华金和做的专业。技术这个东西纯靠人堆,不一定能堆出来。靠人堆是工程上的活,技术在一个企业里往往需要一个灵魂,这种灵魂性的人物往往决定的就是你的技术方向,你的技术架构是什么样的,我们在这个方向上有优势。现在一些传统大厂商也开始推一些数据安全产品,但大多还是用网络产品的思维做数据库安全产品。
现在有一部分大厂逐渐认识到这个问题了,现在跟安华金和的合作力度也非常高,我们大家共同来做数据库安全这个事情。
“面对国外厂商或者国内竞争对手,先当好学生,同时保有信心和优势”
面对国际厂商,安华金和CEO刘晓韬坦言,国外厂商仍是我们现学习的对象,我们先当好学生,先学好他们的产品,但是我们也有信心,中国未来将是数据处理最大的市场,中国受到的安全危险不亚于美国。越有用户场景,使用程度越高的地方最终会产生出越成熟的产品,随着安华金和在中国这个市场上打拼,逐渐形成世界上最为领先的最为健壮的数据库安全产品。任何一个国家的安全政策也不可能对外完全开放,一些核心的领域,数据库都在用国外的,安全防护再用国外的,这样从整体安全体系结构来讲,实际上风险系数是相当高的,这一块也会是我们跟国外厂商竞争的优势。
面对国内市场,第一,安华金和起步比较早,2010年开始做数据库安全产品;第二,团队对数据库内核理解使我们比其他厂商效率更高。安华金和从 2014年正式推出审计产品,到现在2015年才一年多,但从市场反馈来看,我们的产品在这个市场上算是最前列的。从目前协议解析的准确性,数据处理的性能上,还有一些专业度上我们还是非常靠前的。最近有一个大牌的安全厂商弄了七八家产品进行选型测试,我们也参加了,最终的结果是安华金和排名第一。
公司从成立到现在已经推出了目前国内最全的数据库安全产品线,从数据库漏扫,数据库加密,数据库防火墙到数据库审计,覆盖了数据库的事前事中事后,我们今年还要陆续推出类似于数据库漏洞验证、虚拟补丁专版这样的产品,安华金和基本上会保持每年一个产品的节奏朝前推进。
“云上的数据库安全,将是非常重要的企业发展重点”
安华金和现在主要聚焦于对单体的数据库防护,这块市场,公司现有产品有两三年时间就可以处于行业前列;但是安华金和要进入到一个更大的市场空间,未来有更长远的计划。
第一,当前产品云化,并迅速推出云上解决方案。未来的数据重心都会向云上转移,很多用户担心自己的东西不在自己家里放着,这个东西安全性怎么样,这是公有云的问题。还有一些私有云,比如企业,政府单位内部建一个云,原来业务单位的数据在别人的地方拿到你这儿以后,之后这个数据安全谁负责,做云的人也担心,这个东西丢了,以前不是我的责任,现在是我的责任了,业务单位也担心,以前数据在我这儿,现在放到你那了,怎么办?因此说,云上的数据库安全将会是一个非常核心的重点。
第二,就是要扩大对云上数据的防护范围,不仅仅是当前保护的关系性数据库,可能要对一些nosql还有一些文本提供一些数据库防护的解决方案。
第三,当未来等数据安全设备部署量大的时候,过程信息产生以后进行大数据分析,对行业产生增值性的服务。
“安华金和B轮融资已经启动,锁定一些比绿盟科技更有影响力的战略融资”
目前,安华金和已经启动B轮融资,一方面为加速企业发展,另一方面CEO刘晓韬坦言,现在真的感觉到在信息安全市场有很多机会,安华金和需要加速,抓住时机。既然安华金和已经在数据库安全方向有了领先,下一步考虑发挥更核心优势,在云端发力,进行数据处理分析,加强品牌建设等。B轮会锁定一些比A轮投资方绿盟科技有更大影响力的战略投资,如果引入一些金融财务类的投、融资,则会在国内一线VC中选择。安华金和希望在信息安全发展大势中,获得更好的成长。