隨著近幾年數(shù)據(jù)泄露事件頻發(fā)���,包括一些拖庫(kù)����、撞庫(kù)的事件也引起了眾多網(wǎng)友的關(guān)注,個(gè)人隱私的泄露成為廣大網(wǎng)友比較關(guān)注的問(wèn)題����,越來(lái)越多的企事業(yè)單位對(duì)此重視度提高。安華金和作為一家為客戶持續(xù)提供全面的數(shù)據(jù)庫(kù)安全產(chǎn)品及解決方案的廠商��,對(duì)此有著自己獨(dú)特的視角和看法�。本周安華金和CEO劉曉韜,接受媒體邀請(qǐng)���,做客IT168演播室��,與媒體伙伴和廣大用戶聊一聊數(shù)據(jù)庫(kù)安全那些事兒���。
“當(dāng)財(cái)富積累一定程度才需上鎖,這充分說(shuō)明����,我們國(guó)家有錢了,數(shù)據(jù)有了價(jià)值”
劉總將信息泄露事件頻發(fā)狀態(tài)用“新常態(tài)”這一名詞概括��,面對(duì)幾乎每天發(fā)生的數(shù)起數(shù)據(jù)泄露事件���,讓大家感覺(jué)最近互聯(lián)網(wǎng)圈有些不太平����。這些不太平的背后卻有著客觀規(guī)律,首先�����,國(guó)家信息化發(fā)展到現(xiàn)階段�����,已經(jīng)積累了很多有價(jià)值的東西����,不像以前家里一窮二白的時(shí)候不用上鎖,當(dāng)家里積累財(cái)富多到一定程度的時(shí)候才開(kāi)始要上鎖����,要開(kāi)始裝防盜門甚至雇傭保鏢����,這充分說(shuō)明一件事,我們國(guó)家有錢了�,網(wǎng)上的數(shù)據(jù)庫(kù)里面的數(shù)據(jù)也都有了價(jià)值��;其次���,我們現(xiàn)在倡導(dǎo)的互聯(lián)互通、倡導(dǎo)的信息共享�����,在這種情況下可訪問(wèn)數(shù)據(jù)的途徑變多了����,那么在系統(tǒng)中留下的后門和竊取數(shù)據(jù)的途徑也變多了;再者����,數(shù)據(jù)的價(jià)值增大,就形成了產(chǎn)業(yè)鏈���,黑產(chǎn)交易增加����。這種情況下信息泄露事件頻發(fā)也就不足為怪了�。
為何企業(yè)在面臨數(shù)據(jù)泄密安全事件時(shí),總顯得手足無(wú)措��?
這種手足無(wú)措,劉總分析源于2個(gè)方面:一是����,客觀原因,情況復(fù)雜了�,信息化發(fā)展自身建設(shè)能力增強(qiáng)的同時(shí),黑客的能力也在不斷進(jìn)步�。而系統(tǒng)越復(fù)雜,自身的漏洞也會(huì)越多�����,漏洞越多伴隨著的是黑客的攻擊手段也會(huì)越來(lái)越多�����。以前黑客往往都是直接攻擊���,現(xiàn)在又出現(xiàn)了APT攻擊�����,APT攻擊意味著潛伏期更長(zhǎng)了��,攻擊手段也不僅僅限于技術(shù)手段�����,還融入了社會(huì)工程學(xué)�,另外��,利益驅(qū)動(dòng)下�����,企業(yè)內(nèi)部人員�����,也會(huì)越過(guò)法律干這些事�����。所以從客觀環(huán)境來(lái)說(shuō)�����,信息泄露的事件本身變得復(fù)雜���,以前的安全防護(hù)思維去做安全防護(hù)已經(jīng)跟不上現(xiàn)在的發(fā)展了��,同時(shí)需要兼顧企業(yè)對(duì)于安全防護(hù)的重視度�。
二是,主觀原因�。很多新興企業(yè),如互聯(lián)網(wǎng)金融P2P企業(yè)����,他們首要忙的是讓業(yè)務(wù)系統(tǒng)運(yùn)轉(zhuǎn),至于這里面的信息安不安全往往是第二步��,這跟我們國(guó)家的立法環(huán)境也有很大的關(guān)系���。目前在我們國(guó)家企業(yè)的信息泄露之后�����,企業(yè)的安全責(zé)任很低���。sony泄露事件出來(lái)后sony的高層要開(kāi)新聞發(fā)布會(huì),得進(jìn)行道歉���,得進(jìn)行賠償����。但是國(guó)內(nèi)的企業(yè)在出現(xiàn)信息泄露之后幾乎就沒(méi)有企業(yè)站出來(lái)開(kāi)很正式的新聞發(fā)布會(huì)進(jìn)行道歉,更別說(shuō)對(duì)用戶賠償了���,因?yàn)槠髽I(yè)的犯錯(cuò)成本很低,企業(yè)不愿意在信息安全方面做更多投資�����。
“全球信息泄密事件�,90%與數(shù)據(jù)庫(kù)有關(guān),數(shù)據(jù)庫(kù)安全在整個(gè)信息安全中的比重會(huì)進(jìn)一步提升”
我國(guó)目前信息安全在整體信息化中的占比是偏低的��,在國(guó)外可能達(dá)到10%到20%����,我們國(guó)內(nèi)可能在2.5%到5%之間。但隨著信息泄露的立法的加強(qiáng)����,國(guó)家網(wǎng)信辦等相關(guān)部門的成立會(huì)有所改善。實(shí)際上目前我們國(guó)家的一些政府部門的法規(guī)制度還是非常棒的�����,比如說(shuō)保密局的分級(jí)保密政策、公安部的等級(jí)保護(hù)政策��。比如說(shuō)保密局的一票否決�����,防護(hù)措施不達(dá)標(biāo)是不允許進(jìn)入系統(tǒng)的����。如果有這樣一個(gè)標(biāo)準(zhǔn)來(lái)加大企業(yè)對(duì)信息安全的重視和投入,那么我個(gè)人認(rèn)為數(shù)據(jù)庫(kù)安全的比重也會(huì)提升���。
安全是一個(gè)水桶原理�,往往是從最短板的地方流出�����,那么現(xiàn)在發(fā)生的信息泄露事件90%以上都和數(shù)據(jù)庫(kù)有關(guān)�,所以我認(rèn)為數(shù)據(jù)庫(kù)安全這一塊在整個(gè)信息安全中的比重會(huì)進(jìn)一步提升,這個(gè)比重我認(rèn)為在將來(lái)會(huì)提升到接近20%這樣一個(gè)比例��,也會(huì)隨著我國(guó)在信息安全領(lǐng)域比重的擴(kuò)大而不斷擴(kuò)大�。關(guān)鍵還是我國(guó)對(duì)信息安全的立法和企業(yè)自身安全意識(shí)的提升。
“對(duì)比國(guó)內(nèi)外信息安全發(fā)展?fàn)顟B(tài)�,大廠商已經(jīng)認(rèn)識(shí)到數(shù)據(jù)庫(kù)安全這一領(lǐng)域的重要性����,而且數(shù)據(jù)庫(kù)安全不應(yīng)該是本身的數(shù)據(jù)庫(kù)廠商去做�����,而是由第三方廠商來(lái)做會(huì)更為專業(yè)一些����?!?nbsp;
國(guó)外的數(shù)據(jù)庫(kù)安全起步比較早,還有立法支撐����,比如說(shuō)塞班斯法案,對(duì)于上市企業(yè)的數(shù)據(jù)庫(kù)審計(jì)是有要求和標(biāo)準(zhǔn)的�����,立法中要求所有對(duì)于數(shù)據(jù)庫(kù)中變更類的操作都要留下痕跡��;還有PCI DSS法案�,要求所有的信用卡信息存儲(chǔ)中對(duì)于PIN碼信息要進(jìn)行擾亂或者加密存儲(chǔ);針對(duì)于醫(yī)療的法案����,要求對(duì)于所有的患者信息進(jìn)行安全防護(hù)和審計(jì)�����。因?yàn)閲?guó)外的立法比較早�����,所以會(huì)帶動(dòng)國(guó)外這些數(shù)據(jù)庫(kù)安全企業(yè)的成立也比較早�。國(guó)外一些數(shù)據(jù)庫(kù)安全做的比較好的公司比如說(shuō)Guardium����、Imperva、Sentrigo���、Secerno這些公司都是專業(yè)的做數(shù)據(jù)庫(kù)安全的公司���,他們大都在04年,05年就已經(jīng)開(kāi)始創(chuàng)建�,所以說(shuō)國(guó)外對(duì)于數(shù)據(jù)庫(kù)安全的重視程度要比我們國(guó)內(nèi)早很多,而且這些理念也被國(guó)際上一些大的信息化廠商所接受�����,比如說(shuō)IBM把Guardium收購(gòu)了,收購(gòu)?fù)瓿芍髷?shù)據(jù)庫(kù)安全這塊已經(jīng)成為他的整個(gè)信息安全很重要的一部分�。McAfee收購(gòu)
Sentrigo,把Sentrigo的數(shù)據(jù)庫(kù)安全解決方案加入到了他們整體的信息安全解決方案中��。還有oracle, oracle本身就是一家做數(shù)據(jù)庫(kù)的廠商����,但是他們發(fā)現(xiàn)他們自己的安全也不夠,收購(gòu)了一家數(shù)據(jù)庫(kù)安全公司叫Secerno����,他通過(guò)這個(gè)體系加強(qiáng)本身的數(shù)據(jù)庫(kù)安全。這說(shuō)明從大的政策環(huán)境和大的廠商環(huán)境都已經(jīng)認(rèn)識(shí)到數(shù)據(jù)庫(kù)安全這一領(lǐng)域的重要性��,而且數(shù)據(jù)庫(kù)安全不應(yīng)該是本身的數(shù)據(jù)庫(kù)廠商去做���,而是有第三方廠商來(lái)做會(huì)更為專業(yè)一些。
“沒(méi)人暴露�,不代表你沒(méi)有問(wèn)題,只不過(guò)還沒(méi)有黑客盯上你”
我們國(guó)家現(xiàn)在在去IOE�,其中一個(gè)方向,拿國(guó)產(chǎn)庫(kù)替代國(guó)際庫(kù)�,覺(jué)得這樣就安全了。我覺(jué)得這個(gè)思想也是存在偏頗度的�����,先不討論國(guó)產(chǎn)能否替代得了國(guó)外的庫(kù),國(guó)產(chǎn)的庫(kù)就算把國(guó)外的庫(kù)替代了�����,它在安全上也有很大的隱患�����。為什么�?在CVE上,國(guó)際漏洞庫(kù)上清一色暴露的都是國(guó)際大庫(kù)的項(xiàng)目�,像oracle、sqlserver�����、Mysql��,沒(méi)人暴露國(guó)產(chǎn)庫(kù)的漏洞����。沒(méi)人暴露不代表你沒(méi)有問(wèn)題,只不過(guò)現(xiàn)在還沒(méi)有黑客盯上你,安全局沒(méi)有盯上你����,真正盯上你,去發(fā)現(xiàn)問(wèn)題�,去測(cè)的話,問(wèn)題非常多��。為什么����,國(guó)產(chǎn)庫(kù)想替代國(guó)外的庫(kù)首先還是要在功能性、穩(wěn)定性方面去發(fā)力�,做安全性的這些措施,由于資源有限投入不會(huì)更多���。然而我們國(guó)家目前往往是要在核心要害部門用國(guó)產(chǎn)的數(shù)據(jù)庫(kù)替代國(guó)外的數(shù)據(jù)庫(kù)���,關(guān)于這一塊的研究和防護(hù)加強(qiáng)也是未來(lái)安華金和的一個(gè)主題�。
“技術(shù)在一個(gè)企業(yè)里往往需要一個(gè)靈魂,決定企業(yè)的技術(shù)方向����,安華金和在此獨(dú)具優(yōu)勢(shì)”
安華金和與安全廠商的差異化,這也是公司最本質(zhì)的競(jìng)爭(zhēng)力或者說(shuō)未來(lái)發(fā)展的一個(gè)基礎(chǔ)�����。安華金和這批人有一個(gè)特點(diǎn),是數(shù)據(jù)庫(kù)出身做安全��。研發(fā)團(tuán)隊(duì)核心成員都是曾經(jīng)老牌數(shù)據(jù)庫(kù)廠商南大通用的核心研發(fā)人員���。包括我自己���,我那個(gè)時(shí)候也是在南大通用做內(nèi)核研發(fā)。在那個(gè)時(shí)候要做內(nèi)核研發(fā)��,得儲(chǔ)備對(duì)數(shù)據(jù)庫(kù)整體的架構(gòu)知識(shí)��,對(duì)數(shù)據(jù)庫(kù)的存儲(chǔ)機(jī)制��、通訊機(jī)制要有很好的理解��,還要去研究一些國(guó)外廠商����。比如說(shuō)oracle的體系結(jié)構(gòu)是什么樣,sqlserver是什么樣��,Mysql是什么樣,Mysql的整套源碼我們都懂����,對(duì)數(shù)據(jù)庫(kù)的理解力上,在整個(gè)安全圈里應(yīng)該是最強(qiáng)的�����。需要了解需要保護(hù)的產(chǎn)品是什么樣���,才能清晰的理解安全問(wèn)題在哪����。傳統(tǒng)的大廠商���,類似于啟明���、天融信、綠盟這些大廠他們是在做網(wǎng)絡(luò)�,他們那一幫人做網(wǎng)絡(luò)的基因非常好。但是他們做數(shù)據(jù)庫(kù)這一塊����,他們可能沒(méi)有安華金和做的專業(yè)。技術(shù)這個(gè)東西純靠人堆�,不一定能堆出來(lái)??咳硕咽枪こ躺系幕睿夹g(shù)在一個(gè)企業(yè)里往往需要一個(gè)靈魂�����,這種靈魂性的人物往往決定的就是你的技術(shù)方向��,你的技術(shù)架構(gòu)是什么樣的���,我們?cè)谶@個(gè)方向上有優(yōu)勢(shì)?,F(xiàn)在一些傳統(tǒng)大廠商也開(kāi)始推一些數(shù)據(jù)安全產(chǎn)品��,但大多還是用網(wǎng)絡(luò)產(chǎn)品的思維做數(shù)據(jù)庫(kù)安全產(chǎn)品����。
現(xiàn)在有一部分大廠逐漸認(rèn)識(shí)到這個(gè)問(wèn)題了,現(xiàn)在跟安華金和的合作力度也非常高��,我們大家共同來(lái)做數(shù)據(jù)庫(kù)安全這個(gè)事情�����。
“面對(duì)國(guó)外廠商或者國(guó)內(nèi)競(jìng)爭(zhēng)對(duì)手,先當(dāng)好學(xué)生�,同時(shí)保有信心和優(yōu)勢(shì)”
面對(duì)國(guó)際廠商,安華金和CEO劉曉韜坦言�����,國(guó)外廠商仍是我們現(xiàn)學(xué)習(xí)的對(duì)象�����,我們先當(dāng)好學(xué)生��,先學(xué)好他們的產(chǎn)品���,但是我們也有信心��,中國(guó)未來(lái)將是數(shù)據(jù)處理最大的市場(chǎng)�����,中國(guó)受到的安全危險(xiǎn)不亞于美國(guó)��。越有用戶場(chǎng)景��,使用程度越高的地方最終會(huì)產(chǎn)生出越成熟的產(chǎn)品����,隨著安華金和在中國(guó)這個(gè)市場(chǎng)上打拼��,逐漸形成世界上最為領(lǐng)先的最為健壯的數(shù)據(jù)庫(kù)安全產(chǎn)品���。任何一個(gè)國(guó)家的安全政策也不可能對(duì)外完全開(kāi)放�,一些核心的領(lǐng)域�����,數(shù)據(jù)庫(kù)都在用國(guó)外的���,安全防護(hù)再用國(guó)外的�����,這樣從整體安全體系結(jié)構(gòu)來(lái)講��,實(shí)際上風(fēng)險(xiǎn)系數(shù)是相當(dāng)高的�,這一塊也會(huì)是我們跟國(guó)外廠商競(jìng)爭(zhēng)的優(yōu)勢(shì)����。
面對(duì)國(guó)內(nèi)市場(chǎng)���,第一,安華金和起步比較早�,2010年開(kāi)始做數(shù)據(jù)庫(kù)安全產(chǎn)品;第二�����,團(tuán)隊(duì)對(duì)數(shù)據(jù)庫(kù)內(nèi)核理解使我們比其他廠商效率更高���。安華金和從2014年正式推出審計(jì)產(chǎn)品�,到現(xiàn)在2015年才一年多�����,但從市場(chǎng)反饋來(lái)看����,我們的產(chǎn)品在這個(gè)市場(chǎng)上算是最前列的。從目前協(xié)議解析的準(zhǔn)確性��,數(shù)據(jù)處理的性能上�,還有一些專業(yè)度上我們還是非常靠前的�。最近有一個(gè)大牌的安全廠商弄了七八家產(chǎn)品進(jìn)行選型測(cè)試��,我們也參加了����,最終的結(jié)果是安華金和排名第一�。
公司從成立到現(xiàn)在已經(jīng)推出了目前國(guó)內(nèi)最全的數(shù)據(jù)庫(kù)安全產(chǎn)品線�����,從數(shù)據(jù)庫(kù)漏掃���,數(shù)據(jù)庫(kù)加密����,數(shù)據(jù)庫(kù)防火墻到數(shù)據(jù)庫(kù)審計(jì)�,覆蓋了數(shù)據(jù)庫(kù)的事前事中事后,我們今年還要陸續(xù)推出類似于數(shù)據(jù)庫(kù)漏洞驗(yàn)證�、虛擬補(bǔ)丁專版這樣的產(chǎn)品,安華金和基本上會(huì)保持每年一個(gè)產(chǎn)品的節(jié)奏朝前推進(jìn)���。
“云上的數(shù)據(jù)庫(kù)安全�,將是非常重要的企業(yè)發(fā)展重點(diǎn)”
安華金和現(xiàn)在主要聚焦于對(duì)單體的數(shù)據(jù)庫(kù)防護(hù)�����,這塊市場(chǎng),公司現(xiàn)有產(chǎn)品有兩三年時(shí)間就可以處于行業(yè)前列�;但是安華金和要進(jìn)入到一個(gè)更大的市場(chǎng)空間,未來(lái)有更長(zhǎng)遠(yuǎn)的計(jì)劃��。
第一��,當(dāng)前產(chǎn)品云化����,并迅速推出云上解決方案。未來(lái)的數(shù)據(jù)重心都會(huì)向云上轉(zhuǎn)移���,很多用戶擔(dān)心自己的東西不在自己家里放著����,這個(gè)東西安全性怎么樣�,這是公有云的問(wèn)題。還有一些私有云�����,比如企業(yè),政府單位內(nèi)部建一個(gè)云���,原來(lái)業(yè)務(wù)單位的數(shù)據(jù)在別人的地方拿到你這兒以后����,之后這個(gè)數(shù)據(jù)安全誰(shuí)負(fù)責(zé)�����,做云的人也擔(dān)心�,這個(gè)東西丟了���,以前不是我的責(zé)任��,現(xiàn)在是我的責(zé)任了����,業(yè)務(wù)單位也擔(dān)心����,以前數(shù)據(jù)在我這兒��,現(xiàn)在放到你那了�����,怎么辦�����?因此說(shuō)���,云上的數(shù)據(jù)庫(kù)安全將會(huì)是一個(gè)非常核心的重點(diǎn)。
第二�����,就是要擴(kuò)大對(duì)云上數(shù)據(jù)的防護(hù)范圍��,不僅僅是當(dāng)前保護(hù)的關(guān)系性數(shù)據(jù)庫(kù)��,可能要對(duì)一些nosql還有一些文本提供一些數(shù)據(jù)庫(kù)防護(hù)的解決方案�����。
第三,當(dāng)未來(lái)等數(shù)據(jù)安全設(shè)備部署量大的時(shí)候��,過(guò)程信息產(chǎn)生以后進(jìn)行大數(shù)據(jù)分析,對(duì)行業(yè)產(chǎn)生增值性的服務(wù)�。
“安華金和B輪融資已經(jīng)啟動(dòng)�,鎖定一些比綠盟科技更有影響力的戰(zhàn)略融資”
目前,安華金和已經(jīng)啟動(dòng)B輪融資����,一方面為加速企業(yè)發(fā)展,另一方面CEO劉曉韜坦言�,現(xiàn)在真的感覺(jué)到在信息安全市場(chǎng)有很多機(jī)會(huì),安華金和需要加速�,抓住時(shí)機(jī)。既然安華金和已經(jīng)在數(shù)據(jù)庫(kù)安全方向有了領(lǐng)先,下一步考慮發(fā)揮更核心優(yōu)勢(shì)���,在云端發(fā)力�����,進(jìn)行數(shù)據(jù)處理分析����,加強(qiáng)品牌建設(shè)等���。B輪會(huì)鎖定一些比A輪投資方綠盟科技有更大影響力的戰(zhàn)略投資���,如果引入一些金融財(cái)務(wù)類的投、融資�,則會(huì)在國(guó)內(nèi)一線VC中選擇。安華金和希望在信息安全發(fā)展大勢(shì)中��,獲得更好的成長(zhǎng)���。
本文摘取訪談實(shí)錄部分內(nèi)容��,先睹為快�。全部訪談精彩問(wèn)答視頻,敬請(qǐng)關(guān)注安華金和官網(wǎng)網(wǎng)站m.wallpapic-fi.com和企業(yè)官方微博安華數(shù)據(jù)����。
產(chǎn)品咨詢:4000 258 365 
