隨著近幾年數(shù)據(jù)泄露事件頻發(fā)��,包括一些拖庫、撞庫的事件也引起了眾多網(wǎng)友的關(guān)注����,個(gè)人隱私的泄露成為廣大網(wǎng)友比較關(guān)注的問題�����,越來越多的企事業(yè)單位對此重視度提高�。安華金和作為一家為客戶持續(xù)提供全面的數(shù)據(jù)庫安全產(chǎn)品及解決方案的廠商���,對此有著自己獨(dú)特的視角和看法。本周安華金和CEO劉曉韜��,接受媒體邀請�,做客IT168演播室,與媒體伙伴和廣大用戶聊一聊數(shù)據(jù)庫安全那些事兒����。
“當(dāng)財(cái)富積累一定程度才需上鎖,這充分說明�����,我們國家有錢了�����,數(shù)據(jù)有了價(jià)值”
劉總將信息泄露事件頻發(fā)狀態(tài)用“新常態(tài)”這一名詞概括��,面對幾乎每天發(fā)生的數(shù)起數(shù)據(jù)泄露事件��,讓大家感覺最近互聯(lián)網(wǎng)圈有些不太平���。這些不太平的背后卻有著客觀規(guī)律�,首先,國家信息化發(fā)展到現(xiàn)階段��,已經(jīng)積累了很多有價(jià)值的東西����,不像以前家里一窮二白的時(shí)候不用上鎖,當(dāng)家里積累財(cái)富多到一定程度的時(shí)候才開始要上鎖�����,要開始裝防盜門甚至雇傭保鏢�,這充分說明一件事,我們國家有錢了�����,網(wǎng)上的數(shù)據(jù)庫里面的數(shù)據(jù)也都有了價(jià)值�����;其次��,我們現(xiàn)在倡導(dǎo)的互聯(lián)互通�、倡導(dǎo)的信息共享,在這種情況下可訪問數(shù)據(jù)的途徑變多了���,那么在系統(tǒng)中留下的后門和竊取數(shù)據(jù)的途徑也變多了���;再者,數(shù)據(jù)的價(jià)值增大���,就形成了產(chǎn)業(yè)鏈���,黑產(chǎn)交易增加。這種情況下信息泄露事件頻發(fā)也就不足為怪了��。
為何企業(yè)在面臨數(shù)據(jù)泄密安全事件時(shí)��,總顯得手足無措���?
這種手足無措�,劉總分析源于2個(gè)方面:一是�,客觀原因,情況復(fù)雜了���,信息化發(fā)展自身建設(shè)能力增強(qiáng)的同時(shí)�,黑客的能力也在不斷進(jìn)步。而系統(tǒng)越復(fù)雜�����,自身的漏洞也會(huì)越多���,漏洞越多伴隨著的是黑客的攻擊手段也會(huì)越來越多��。以前黑客往往都是直接攻擊����,現(xiàn)在又出現(xiàn)了APT攻擊����,APT攻擊意味著潛伏期更長了,攻擊手段也不僅僅限于技術(shù)手段�,還融入了社會(huì)工程學(xué),另外����,利益驅(qū)動(dòng)下,企業(yè)內(nèi)部人員��,也會(huì)越過法律干這些事�����。所以從客觀環(huán)境來說���,信息泄露的事件本身變得復(fù)雜���,以前的安全防護(hù)思維去做安全防護(hù)已經(jīng)跟不上現(xiàn)在的發(fā)展了,同時(shí)需要兼顧企業(yè)對于安全防護(hù)的重視度����。
二是,主觀原因���。很多新興企業(yè)��,如互聯(lián)網(wǎng)金融P2P企業(yè)���,他們首要忙的是讓業(yè)務(wù)系統(tǒng)運(yùn)轉(zhuǎn),至于這里面的信息安不安全往往是第二步�����,這跟我們國家的立法環(huán)境也有很大的關(guān)系���。目前在我們國家企業(yè)的信息泄露之后��,企業(yè)的安全責(zé)任很低����。sony泄露事件出來后sony的高層要開新聞發(fā)布會(huì),得進(jìn)行道歉�,得進(jìn)行賠償。但是國內(nèi)的企業(yè)在出現(xiàn)信息泄露之后幾乎就沒有企業(yè)站出來開很正式的新聞發(fā)布會(huì)進(jìn)行道歉���,更別說對用戶賠償了���,因?yàn)槠髽I(yè)的犯錯(cuò)成本很低,企業(yè)不愿意在信息安全方面做更多投資���。
“全球信息泄密事件�����,90%與數(shù)據(jù)庫有關(guān)�,數(shù)據(jù)庫安全在整個(gè)信息安全中的比重會(huì)進(jìn)一步提升”
我國目前信息安全在整體信息化中的占比是偏低的�,在國外可能達(dá)到10%到20%,我們國內(nèi)可能在2.5%到5%之間�����。但隨著信息泄露的立法的加強(qiáng),國家網(wǎng)信辦等相關(guān)部門的成立會(huì)有所改善����。實(shí)際上目前我們國家的一些政府部門的法規(guī)制度還是非常棒的����,比如說保密局的分級保密政策、公安部的等級保護(hù)政策��。比如說保密局的一票否決����,防護(hù)措施不達(dá)標(biāo)是不允許進(jìn)入系統(tǒng)的。如果有這樣一個(gè)標(biāo)準(zhǔn)來加大企業(yè)對信息安全的重視和投入���,那么我個(gè)人認(rèn)為數(shù)據(jù)庫安全的比重也會(huì)提升�。
安全是一個(gè)水桶原理�,往往是從最短板的地方流出,那么現(xiàn)在發(fā)生的信息泄露事件90%以上都和數(shù)據(jù)庫有關(guān)�,所以我認(rèn)為數(shù)據(jù)庫安全這一塊在整個(gè)信息安全中的比重會(huì)進(jìn)一步提升,這個(gè)比重我認(rèn)為在將來會(huì)提升到接近20%這樣一個(gè)比例�,也會(huì)隨著我國在信息安全領(lǐng)域比重的擴(kuò)大而不斷擴(kuò)大�。關(guān)鍵還是我國對信息安全的立法和企業(yè)自身安全意識的提升���。
“對比國內(nèi)外信息安全發(fā)展?fàn)顟B(tài)����,大廠商已經(jīng)認(rèn)識到數(shù)據(jù)庫安全這一領(lǐng)域的重要性��,而且數(shù)據(jù)庫安全不應(yīng)該是本身的數(shù)據(jù)庫廠商去做�,而是由第三方廠商來做會(huì)更為專業(yè)一些?����!?nbsp;
國外的數(shù)據(jù)庫安全起步比較早���,還有立法支撐��,比如說塞班斯法案�,對于上市企業(yè)的數(shù)據(jù)庫審計(jì)是有要求和標(biāo)準(zhǔn)的��,立法中要求所有對于數(shù)據(jù)庫中變更類的操作都要留下痕跡����;還有PCI DSS法案�����,要求所有的信用卡信息存儲中對于PIN碼信息要進(jìn)行擾亂或者加密存儲��;針對于醫(yī)療的法案����,要求對于所有的患者信息進(jìn)行安全防護(hù)和審計(jì)��。因?yàn)閲獾牧⒎ū容^早�,所以會(huì)帶動(dòng)國外這些數(shù)據(jù)庫安全企業(yè)的成立也比較早��。國外一些數(shù)據(jù)庫安全做的比較好的公司比如說Guardium��、Imperva��、Sentrigo��、Secerno這些公司都是專業(yè)的做數(shù)據(jù)庫安全的公司���,他們大都在04年�����,05年就已經(jīng)開始創(chuàng)建�,所以說國外對于數(shù)據(jù)庫安全的重視程度要比我們國內(nèi)早很多,而且這些理念也被國際上一些大的信息化廠商所接受��,比如說IBM把Guardium收購了�����,收購?fù)瓿芍髷?shù)據(jù)庫安全這塊已經(jīng)成為他的整個(gè)信息安全很重要的一部分��。McAfee收購
Sentrigo���,把Sentrigo的數(shù)據(jù)庫安全解決方案加入到了他們整體的信息安全解決方案中�����。還有oracle, oracle本身就是一家做數(shù)據(jù)庫的廠商��,但是他們發(fā)現(xiàn)他們自己的安全也不夠��,收購了一家數(shù)據(jù)庫安全公司叫Secerno�����,他通過這個(gè)體系加強(qiáng)本身的數(shù)據(jù)庫安全�����。這說明從大的政策環(huán)境和大的廠商環(huán)境都已經(jīng)認(rèn)識到數(shù)據(jù)庫安全這一領(lǐng)域的重要性�,而且數(shù)據(jù)庫安全不應(yīng)該是本身的數(shù)據(jù)庫廠商去做,而是有第三方廠商來做會(huì)更為專業(yè)一些�����。
“沒人暴露�����,不代表你沒有問題��,只不過還沒有黑客盯上你”
我們國家現(xiàn)在在去IOE�,其中一個(gè)方向�����,拿國產(chǎn)庫替代國際庫����,覺得這樣就安全了。我覺得這個(gè)思想也是存在偏頗度的,先不討論國產(chǎn)能否替代得了國外的庫����,國產(chǎn)的庫就算把國外的庫替代了,它在安全上也有很大的隱患���。為什么����?在CVE上����,國際漏洞庫上清一色暴露的都是國際大庫的項(xiàng)目,像oracle���、sqlserver��、Mysql����,沒人暴露國產(chǎn)庫的漏洞��。沒人暴露不代表你沒有問題����,只不過現(xiàn)在還沒有黑客盯上你�����,安全局沒有盯上你�,真正盯上你���,去發(fā)現(xiàn)問題�,去測的話�,問題非常多。為什么���,國產(chǎn)庫想替代國外的庫首先還是要在功能性�、穩(wěn)定性方面去發(fā)力���,做安全性的這些措施,由于資源有限投入不會(huì)更多���。然而我們國家目前往往是要在核心要害部門用國產(chǎn)的數(shù)據(jù)庫替代國外的數(shù)據(jù)庫��,關(guān)于這一塊的研究和防護(hù)加強(qiáng)也是未來安華金和的一個(gè)主題���。
“技術(shù)在一個(gè)企業(yè)里往往需要一個(gè)靈魂�,決定企業(yè)的技術(shù)方向�,安華金和在此獨(dú)具優(yōu)勢”
安華金和與安全廠商的差異化,這也是公司最本質(zhì)的競爭力或者說未來發(fā)展的一個(gè)基礎(chǔ)����。安華金和這批人有一個(gè)特點(diǎn),是數(shù)據(jù)庫出身做安全��。研發(fā)團(tuán)隊(duì)核心成員都是曾經(jīng)老牌數(shù)據(jù)庫廠商南大通用的核心研發(fā)人員��。包括我自己����,我那個(gè)時(shí)候也是在南大通用做內(nèi)核研發(fā)。在那個(gè)時(shí)候要做內(nèi)核研發(fā)��,得儲備對數(shù)據(jù)庫整體的架構(gòu)知識�����,對數(shù)據(jù)庫的存儲機(jī)制���、通訊機(jī)制要有很好的理解�����,還要去研究一些國外廠商���。比如說oracle的體系結(jié)構(gòu)是什么樣��,sqlserver是什么樣��,Mysql是什么樣��,Mysql的整套源碼我們都懂����,對數(shù)據(jù)庫的理解力上�����,在整個(gè)安全圈里應(yīng)該是最強(qiáng)的��。需要了解需要保護(hù)的產(chǎn)品是什么樣�,才能清晰的理解安全問題在哪。傳統(tǒng)的大廠商�,類似于啟明����、天融信���、綠盟這些大廠他們是在做網(wǎng)絡(luò),他們那一幫人做網(wǎng)絡(luò)的基因非常好���。但是他們做數(shù)據(jù)庫這一塊�,他們可能沒有安華金和做的專業(yè)����。技術(shù)這個(gè)東西純靠人堆,不一定能堆出來��?���?咳硕咽枪こ躺系幕睿夹g(shù)在一個(gè)企業(yè)里往往需要一個(gè)靈魂����,這種靈魂性的人物往往決定的就是你的技術(shù)方向,你的技術(shù)架構(gòu)是什么樣的�����,我們在這個(gè)方向上有優(yōu)勢。現(xiàn)在一些傳統(tǒng)大廠商也開始推一些數(shù)據(jù)安全產(chǎn)品�,但大多還是用網(wǎng)絡(luò)產(chǎn)品的思維做數(shù)據(jù)庫安全產(chǎn)品。
現(xiàn)在有一部分大廠逐漸認(rèn)識到這個(gè)問題了��,現(xiàn)在跟安華金和的合作力度也非常高�,我們大家共同來做數(shù)據(jù)庫安全這個(gè)事情。
“面對國外廠商或者國內(nèi)競爭對手����,先當(dāng)好學(xué)生,同時(shí)保有信心和優(yōu)勢”
面對國際廠商�����,安華金和CEO劉曉韜坦言����,國外廠商仍是我們現(xiàn)學(xué)習(xí)的對象,我們先當(dāng)好學(xué)生����,先學(xué)好他們的產(chǎn)品,但是我們也有信心�����,中國未來將是數(shù)據(jù)處理最大的市場�����,中國受到的安全危險(xiǎn)不亞于美國���。越有用戶場景�����,使用程度越高的地方最終會(huì)產(chǎn)生出越成熟的產(chǎn)品�����,隨著安華金和在中國這個(gè)市場上打拼�,逐漸形成世界上最為領(lǐng)先的最為健壯的數(shù)據(jù)庫安全產(chǎn)品���。任何一個(gè)國家的安全政策也不可能對外完全開放����,一些核心的領(lǐng)域��,數(shù)據(jù)庫都在用國外的,安全防護(hù)再用國外的�����,這樣從整體安全體系結(jié)構(gòu)來講����,實(shí)際上風(fēng)險(xiǎn)系數(shù)是相當(dāng)高的,這一塊也會(huì)是我們跟國外廠商競爭的優(yōu)勢�。
面對國內(nèi)市場,第一�����,安華金和起步比較早��,2010年開始做數(shù)據(jù)庫安全產(chǎn)品�����;第二����,團(tuán)隊(duì)對數(shù)據(jù)庫內(nèi)核理解使我們比其他廠商效率更高。安華金和從2014年正式推出審計(jì)產(chǎn)品��,到現(xiàn)在2015年才一年多,但從市場反饋來看���,我們的產(chǎn)品在這個(gè)市場上算是最前列的�。從目前協(xié)議解析的準(zhǔn)確性����,數(shù)據(jù)處理的性能上���,還有一些專業(yè)度上我們還是非??壳暗?����。最近有一個(gè)大牌的安全廠商弄了七八家產(chǎn)品進(jìn)行選型測試��,我們也參加了����,最終的結(jié)果是安華金和排名第一。
公司從成立到現(xiàn)在已經(jīng)推出了目前國內(nèi)最全的數(shù)據(jù)庫安全產(chǎn)品線�����,從數(shù)據(jù)庫漏掃,數(shù)據(jù)庫加密���,數(shù)據(jù)庫防火墻到數(shù)據(jù)庫審計(jì)�,覆蓋了數(shù)據(jù)庫的事前事中事后�����,我們今年還要陸續(xù)推出類似于數(shù)據(jù)庫漏洞驗(yàn)證����、虛擬補(bǔ)丁專版這樣的產(chǎn)品,安華金和基本上會(huì)保持每年一個(gè)產(chǎn)品的節(jié)奏朝前推進(jìn)��。
“云上的數(shù)據(jù)庫安全����,將是非常重要的企業(yè)發(fā)展重點(diǎn)”
安華金和現(xiàn)在主要聚焦于對單體的數(shù)據(jù)庫防護(hù),這塊市場��,公司現(xiàn)有產(chǎn)品有兩三年時(shí)間就可以處于行業(yè)前列���;但是安華金和要進(jìn)入到一個(gè)更大的市場空間�,未來有更長遠(yuǎn)的計(jì)劃����。
第一�����,當(dāng)前產(chǎn)品云化�,并迅速推出云上解決方案���。未來的數(shù)據(jù)重心都會(huì)向云上轉(zhuǎn)移�,很多用戶擔(dān)心自己的東西不在自己家里放著�����,這個(gè)東西安全性怎么樣���,這是公有云的問題。還有一些私有云�,比如企業(yè),政府單位內(nèi)部建一個(gè)云�����,原來業(yè)務(wù)單位的數(shù)據(jù)在別人的地方拿到你這兒以后�,之后這個(gè)數(shù)據(jù)安全誰負(fù)責(zé)��,做云的人也擔(dān)心�,這個(gè)東西丟了����,以前不是我的責(zé)任,現(xiàn)在是我的責(zé)任了����,業(yè)務(wù)單位也擔(dān)心,以前數(shù)據(jù)在我這兒��,現(xiàn)在放到你那了��,怎么辦����?因此說,云上的數(shù)據(jù)庫安全將會(huì)是一個(gè)非常核心的重點(diǎn)���。
第二��,就是要擴(kuò)大對云上數(shù)據(jù)的防護(hù)范圍��,不僅僅是當(dāng)前保護(hù)的關(guān)系性數(shù)據(jù)庫�����,可能要對一些nosql還有一些文本提供一些數(shù)據(jù)庫防護(hù)的解決方案�����。
第三����,當(dāng)未來等數(shù)據(jù)安全設(shè)備部署量大的時(shí)候,過程信息產(chǎn)生以后進(jìn)行大數(shù)據(jù)分析�,對行業(yè)產(chǎn)生增值性的服務(wù)。
“安華金和B輪融資已經(jīng)啟動(dòng)��,鎖定一些比綠盟科技更有影響力的戰(zhàn)略融資”
目前��,安華金和已經(jīng)啟動(dòng)B輪融資�����,一方面為加速企業(yè)發(fā)展�,另一方面CEO劉曉韜坦言��,現(xiàn)在真的感覺到在信息安全市場有很多機(jī)會(huì)�,安華金和需要加速�����,抓住時(shí)機(jī)����。既然安華金和已經(jīng)在數(shù)據(jù)庫安全方向有了領(lǐng)先��,下一步考慮發(fā)揮更核心優(yōu)勢�����,在云端發(fā)力��,進(jìn)行數(shù)據(jù)處理分析�����,加強(qiáng)品牌建設(shè)等���。B輪會(huì)鎖定一些比A輪投資方綠盟科技有更大影響力的戰(zhàn)略投資�,如果引入一些金融財(cái)務(wù)類的投��、融資��,則會(huì)在國內(nèi)一線VC中選擇。安華金和希望在信息安全發(fā)展大勢中�����,獲得更好的成長�。
本文摘取訪談實(shí)錄部分內(nèi)容,先睹為快����。全部訪談精彩問答視頻,敬請關(guān)注安華金和官網(wǎng)網(wǎng)站www.wallpapic-fi.com和企業(yè)官方微博安華數(shù)據(jù)���。
產(chǎn)品咨詢:4000 258 365 
