隨著近幾年數據泄露事件頻發,包括一些拖庫、撞庫的事件也引起了眾多網友的關注,個人隱私的泄露成為廣大網友比較關注的問題,越來越多的企事業單位對此重視度提高。安華金和作為一家為客戶持續提供全面的數據庫安全產品及解決方案的廠商,對此有著自己獨特的視角和看法。本周安華金和CEO劉曉韜,接受媒體邀請,做客IT168演播室,與媒體伙伴和廣大用戶聊一聊數據庫安全那些事兒。
“當財富積累一定程度才需上鎖,這充分說明,我們國家有錢了,數據有了價值”
劉總將信息泄露事件頻發狀態用“新常態”這一名詞概括,面對幾乎每天發生的數起數據泄露事件,讓大家感覺最近互聯網圈有些不太平。這些不太平的背后卻有著客觀規律,首先,國家信息化發展到現階段,已經積累了很多有價值的東西,不像以前家里一窮二白的時候不用上鎖,當家里積累財富多到一定程度的時候才開始要上鎖,要開始裝防盜門甚至雇傭保鏢,這充分說明一件事,我們國家有錢了,網上的數據庫里面的數據也都有了價值;其次,我們現在倡導的互聯互通、倡導的信息共享,在這種情況下可訪問數據的途徑變多了,那么在系統中留下的后門和竊取數據的途徑也變多了;再者,數據的價值增大,就形成了產業鏈,黑產交易增加。這種情況下信息泄露事件頻發也就不足為怪了。
為何企業在面臨數據泄密安全事件時,總顯得手足無措?
這種手足無措,劉總分析源于2個方面:一是,客觀原因,情況復雜了,信息化發展自身建設能力增強的同時,黑客的能力也在不斷進步。而系統越復雜,自身的漏洞也會越多,漏洞越多伴隨著的是黑客的攻擊手段也會越來越多。以前黑客往往都是直接攻擊,現在又出現了APT攻擊,APT攻擊意味著潛伏期更長了,攻擊手段也不僅僅限于技術手段,還融入了社會工程學,另外,利益驅動下,企業內部人員,也會越過法律干這些事。所以從客觀環境來說,信息泄露的事件本身變得復雜,以前的安全防護思維去做安全防護已經跟不上現在的發展了,同時需要兼顧企業對于安全防護的重視度。
二是,主觀原因。很多新興企業,如互聯網金融P2P企業,他們首要忙的是讓業務系統運轉,至于這里面的信息安不安全往往是第二步,這跟我們國家的立法環境也有很大的關系。目前在我們國家企業的信息泄露之后,企業的安全責任很低。sony泄露事件出來后sony的高層要開新聞發布會,得進行道歉,得進行賠償。但是國內的企業在出現信息泄露之后幾乎就沒有企業站出來開很正式的新聞發布會進行道歉,更別說對用戶賠償了,因為企業的犯錯成本很低,企業不愿意在信息安全方面做更多投資。
“全球信息泄密事件,90%與數據庫有關,數據庫安全在整個信息安全中的比重會進一步提升”
我國目前信息安全在整體信息化中的占比是偏低的,在國外可能達到10%到20%,我們國內可能在2.5%到5%之間。但隨著信息泄露的立法的加強,國家網信辦等相關部門的成立會有所改善。實際上目前我們國家的一些政府部門的法規制度還是非常棒的,比如說保密局的分級保密政策、公安部的等級保護政策。比如說保密局的一票否決,防護措施不達標是不允許進入系統的。如果有這樣一個標準來加大企業對信息安全的重視和投入,那么我個人認為數據庫安全的比重也會提升。
安全是一個水桶原理,往往是從最短板的地方流出,那么現在發生的信息泄露事件90%以上都和數據庫有關,所以我認為數據庫安全這一塊在整個信息安全中的比重會進一步提升,這個比重我認為在將來會提升到接近20%這樣一個比例,也會隨著我國在信息安全領域比重的擴大而不斷擴大。關鍵還是我國對信息安全的立法和企業自身安全意識的提升。
“對比國內外信息安全發展狀態,大廠商已經認識到數據庫安全這一領域的重要性,而且數據庫安全不應該是本身的數據庫廠商去做,而是由第三方廠商來做會更為專業一些。”
國外的數據庫安全起步比較早,還有立法支撐,比如說塞班斯法案,對于上市企業的數據庫審計是有要求和標準的,立法中要求所有對于數據庫中變更類的操作都要留下痕跡;還有PCI DSS法案,要求所有的信用卡信息存儲中對于PIN碼信息要進行擾亂或者加密存儲;針對于醫療的法案,要求對于所有的患者信息進行安全防護和審計。因為國外的立法比較早,所以會帶動國外這些數據庫安全企業的成立也比較早。國外一些數據庫安全做的比較好的公司比如說Guardium、Imperva、Sentrigo、Secerno這些公司都是專業的做數據庫安全的公司,他們大都在04年,05年就已經開始創建,所以說國外對于數據庫安全的重視程度要比我們國內早很多,而且這些理念也被國際上一些大的信息化廠商所接受,比如說IBM把Guardium收購了,收購完成之后數據庫安全這塊已經成為他的整個信息安全很重要的一部分。McAfee收購了Sentrigo,把Sentrigo的數據庫安全解決方案加入到了他們整體的信息安全解決方案中。還有oracle, oracle本身就是一家做數據庫的廠商,但是他們發現他們自己的安全也不夠,收購了一家數據庫安全公司叫Secerno,他通過這個體系加強本身的數據庫安全。這說明從大的政策環境和大的廠商環境都已經認識到數據庫安全這一領域的重要性,而且數據庫安全不應該是本身的數據庫廠商去做,而是有第三方廠商來做會更為專業一些。
“沒人暴露,不代表你沒有問題,只不過還沒有黑客盯上你”
我們國家現在在去IOE,其中一個方向,拿國產庫替代國際庫,覺得這樣就安全了。我覺得這個思想也是存在偏頗度的,先不討論國產能否替代得了國外的庫,國產的庫就算把國外的庫替代了,它在安全上也有很大的隱患。為什么?在CVE上,國際漏洞庫上清一色暴露的都是國際大庫的項目,像oracle、sqlserver、Mysql,沒人暴露國產庫的漏洞。沒人暴露不代表你沒有問題,只不過現在還沒有黑客盯上你,安全局沒有盯上你,真正盯上你,去發現問題,去測的話,問題非常多。為什么,國產庫想替代國外的庫首先還是要在功能性、穩定性方面去發力,做安全性的這些措施,由于資源有限投入不會更多。然而我們國家目前往往是要在核心要害部門用國產的數據庫替代國外的數據庫,關于這一塊的研究和防護加強也是未來安華金和的一個主題。
“技術在一個企業里往往需要一個靈魂,決定企業的技術方向,安華金和在此獨具優勢”
安華金和與安全廠商的差異化,這也是公司最本質的競爭力或者說未來發展的一個基礎。安華金和這批人有一個特點,是數據庫出身做安全。研發團隊核心成員都是曾經老牌數據庫廠商南大通用的核心研發人員。包括我自己,我那個時候也是在南大通用做內核研發。在那個時候要做內核研發,得儲備對數據庫整體的架構知識,對數據庫的存儲機制、通訊機制要有很好的理解,還要去研究一些國外廠商。比如說oracle的體系結構是什么樣,sqlserver是什么樣,Mysql是什么樣,Mysql的整套源碼我們都懂,對數據庫的理解力上,在整個安全圈里應該是最強的。需要了解需要保護的產品是什么樣,才能清晰的理解安全問題在哪。傳統的大廠商,類似于啟明、天融信、綠盟這些大廠他們是在做網絡,他們那一幫人做網絡的基因非常好。但是他們做數據庫這一塊,他們可能沒有安華金和做的專業。技術這個東西純靠人堆,不一定能堆出來。靠人堆是工程上的活,技術在一個企業里往往需要一個靈魂,這種靈魂性的人物往往決定的就是你的技術方向,你的技術架構是什么樣的,我們在這個方向上有優勢。現在一些傳統大廠商也開始推一些數據安全產品,但大多還是用網絡產品的思維做數據庫安全產品。
現在有一部分大廠逐漸認識到這個問題了,現在跟安華金和的合作力度也非常高,我們大家共同來做數據庫安全這個事情。
“面對國外廠商或者國內競爭對手,先當好學生,同時保有信心和優勢”
面對國際廠商,安華金和CEO劉曉韜坦言,國外廠商仍是我們現學習的對象,我們先當好學生,先學好他們的產品,但是我們也有信心,中國未來將是數據處理最大的市場,中國受到的安全危險不亞于美國。越有用戶場景,使用程度越高的地方最終會產生出越成熟的產品,隨著安華金和在中國這個市場上打拼,逐漸形成世界上最為領先的最為健壯的數據庫安全產品。任何一個國家的安全政策也不可能對外完全開放,一些核心的領域,數據庫都在用國外的,安全防護再用國外的,這樣從整體安全體系結構來講,實際上風險系數是相當高的,這一塊也會是我們跟國外廠商競爭的優勢。
面對國內市場,第一,安華金和起步比較早,2010年開始做數據庫安全產品;第二,團隊對數據庫內核理解使我們比其他廠商效率更高。安華金和從2014年正式推出審計產品,到現在2015年才一年多,但從市場反饋來看,我們的產品在這個市場上算是最前列的。從目前協議解析的準確性,數據處理的性能上,還有一些專業度上我們還是非常靠前的。最近有一個大牌的安全廠商弄了七八家產品進行選型測試,我們也參加了,最終的結果是安華金和排名第一。
公司從成立到現在已經推出了目前國內最全的數據庫安全產品線,從數據庫漏掃,數據庫加密,數據庫防火墻到數據庫審計,覆蓋了數據庫的事前事中事后,我們今年還要陸續推出類似于數據庫漏洞驗證、虛擬補丁專版這樣的產品,安華金和基本上會保持每年一個產品的節奏朝前推進。
“云上的數據庫安全,將是非常重要的企業發展重點”
安華金和現在主要聚焦于對單體的數據庫防護,這塊市場,公司現有產品有兩三年時間就可以處于行業前列;但是安華金和要進入到一個更大的市場空間,未來有更長遠的計劃。
第一,當前產品云化,并迅速推出云上解決方案。未來的數據重心都會向云上轉移,很多用戶擔心自己的東西不在自己家里放著,這個東西安全性怎么樣,這是公有云的問題。還有一些私有云,比如企業,政府單位內部建一個云,原來業務單位的數據在別人的地方拿到你這兒以后,之后這個數據安全誰負責,做云的人也擔心,這個東西丟了,以前不是我的責任,現在是我的責任了,業務單位也擔心,以前數據在我這兒,現在放到你那了,怎么辦?因此說,云上的數據庫安全將會是一個非常核心的重點。
第二,就是要擴大對云上數據的防護范圍,不僅僅是當前保護的關系性數據庫,可能要對一些nosql還有一些文本提供一些數據庫防護的解決方案。
第三,當未來等數據安全設備部署量大的時候,過程信息產生以后進行大數據分析,對行業產生增值性的服務。
“安華金和B輪融資已經啟動,鎖定一些比綠盟科技更有影響力的戰略融資”
目前,安華金和已經啟動B輪融資,一方面為加速企業發展,另一方面CEO劉曉韜坦言,現在真的感覺到在信息安全市場有很多機會,安華金和需要加速,抓住時機。既然安華金和已經在數據庫安全方向有了領先,下一步考慮發揮更核心優勢,在云端發力,進行數據處理分析,加強品牌建設等。B輪會鎖定一些比A輪投資方綠盟科技有更大影響力的戰略投資,如果引入一些金融財務類的投、融資,則會在國內一線VC中選擇。安華金和希望在信息安全發展大勢中,獲得更好的成長。
(新聞稿 2015-07-01)