企业要做数据泄露“幸存者”,安华金和有话说
- 格式:docx
- 大小:78.95 KB
- 文档页数:7
© 2015安华金和 - 1 - 企业要做数据泄露“幸存者”,安华金和有话说
企业如果要成为数据泄露频发事件的“幸存者”,不妨认真聆听安华金和CEO刘晓韬怎么说?
随着近几年数据泄露事件频发,包括一些拖库、撞库的事件也引起了众多网友的关注,个人隐私的泄露成为广大网友比较关注的问题,越来越多的企事业单位对此重视度提高。安华金和作为一家为客户持续提供全面的数据库安全产品及解决方案的厂商,对此有着自己独特的视角和看法。近期,安华金和CEO刘晓韬做客IT168演播室,与广大用户畅谈数据库安全市场的发展状况,未来的发展趋势,以及安华金和如何保障企业的核心数据安全。
数据泄露进入“新常态”
IT168:如何看待目前频发的数据泄露事件?
安华金和刘晓韬:关于信息泄露事件,现在有一个新词叫做新常态,现在几乎每天都能看到很多的数据泄露事件的发生,在安华金和创建之初,已经意识到安全市场的前景,随着信息化与互联网的发展,数据安全也将是政府和普通民众共同关注的一个问题。但是没有想到这两年泄露事件来的这么迅猛,说严重一点有些出乎意料的迅猛。从四月份暴漏的社保大规模信息泄露之后,互联网圈也相继爆出信息泄露事件。
这些不太平的背后却有着客观规律,首先,国家信息化发展到现阶段,已经积累了很多有价值的东西,不像以前家里一穷二白的时候不用上锁,当家里积累财富多到一定程度的时候才开始要上锁,要开始装防盗门甚至雇佣保镖,这充分说明一件事,我们国家有钱了,网上的数据库里面的数据也都有了价值;其次,我们现在倡导的互联互通、倡导的信息共享,在这种情况下可访问数据的途径变多了,那么在系统中留下的后门和窃取数据的途径也变多了;再者,数据的价值增大,就形成了产业链,黑产交易增加。这种情况下信息泄露事件频发也就不足为怪了。
IT168:为什么企业面对数据安全所产生的问题时,会如此的手足无措?
安华金和刘晓韬:这种手足无措,源于2个方面:一是,客观原因,情况复杂了,信息化发展自身建设能力增强的同时,黑客的能力也在不断进步。而系统越复杂,自身的漏洞也会越多,漏洞越多伴随着的是黑客的攻击手段也会越来越多。以前黑客往往都是直接攻击,现在又出现了APT攻击,APT攻击意味着潜伏期更长了,攻击手段也不仅仅限于技术手段,还融入了社会工程学,另外,利益驱动下,企业内部人员,也会越过法律干这些事。所以从客观
© 2015安华金和 - 2 - 环境来说,信息泄露的事件本身变得复杂,以前的安全防护思维去做安全防护已经跟不上现在的发展了,同时需要兼顾企业对于安全防护的重视度。
二是,主观原因。很多新兴企业,如互联网金融P2P企业,他们首要忙的是让业务系统运转,至于这里面的信息安不安全往往是第二步,这跟我们国家的立法环境也有很大的关系。目前在我们国家企业的信息泄露之后,企业的安全责任很低。sony泄露事件出来后sony的高层要开新闻发布会,得进行道歉,得进行赔偿。但是国内的企业在出现信息泄露之后几乎就没有企业站出来开很正式的新闻发布会进行道歉,更别说对用户赔偿了,因为企业的犯错成本很低,企业不愿意在信息安全方面做更多投资。
据安华金和观察,在国外信息安全防护方面,主观上的意愿比较强烈,但是由于现在客观环境非常复杂,谁也不能保证数据信息的绝对安全。此外,安防技术和攻防技术的发展,以前我们可能更加注重边界防护,强调对外部人员的防护,但现在的实际情况是不光有来自外部的攻击,也有内外部的沟通,这就是堡垒从内部被攻破;还有,在网络通讯层乔装打扮,突破边界进入到内部。如今,信息安全又在考虑塔式防守,就是边界防御被突破后,内部防御怎样再进一步加强。这些都说明我们在下一步信息安全的理念上要配合国家和企业,但是这个前提是企业的安全意识要加强才行。
数据库在裸奔数据泄露后知后觉
IT168:安华金和觉得在数据库安全方面,企业的重视程度如何?企业在主观意识上有没有提升或改变?
安华金和刘晓韬:企业以前所强调的那些安全概念,“觉得东西放到家里就相对安全了,把家里的防盗门装好,家里的东西本身就不需要再做什么安全措施。”这好比数据库都是放到企业内部或者内网当中,企业外围加上防火墙,再加一些控制就变得很安全。实际上这并不符合当前的实际情况。
因为,首先很多企业、政府请第三方开发人员,可以直接访问数据库,或弄一个测试库,但测试库又与真实数据库中的数据想通,实际上在这种情况下数据库中的数据是可以直接被开发人员拿走的;第二是运维,运维人员的问题在于现在一些企业和政府缺乏足够的运维人员,运维也是外包服务,这就造成外部的运维人员可以直接接触到企业或者政府的生产库,所以这些外部的运维人员是可以直接把数据库中的数据拿走。第三是数据库服务器丢,数据库服务器丢失以后,实际上后端的那些数据存储是完全有手段还原成明文的,那个时候数据自身的一些防护措施已经不起作用了。
现在企业数据库中的数据就好比家庭的核心资产,金条,银票,存折什么的。总得想一些手段对核心资产进行防护。所以说现在的边界防住了,内部不设防,这种思想非常落后。但数据库中的数据,和现实中的实物还不一样,丢失可察觉可见,然而数据库中的数据被拷贝走了,企业可能一点感觉都没有,因为虽然数据被拷贝,但是数据库中的数据还在,只能等数
© 2015安华金和 - 3 - 据流传出去,被利用后,才有所察觉。所以据调查显示,往往数据被盗走3-6个月,企业才知道。
现在用户对数据库安全的认识度在逐渐提高,现在一些大型的解决方案里面逐渐都加入了数据库防护的措施。个人认为这两年整体的产业氛围发生很大的变化,大家也逐渐都意识到目前整个信息安全的短板是在数据库安全防护上。但这个产业也是刚刚兴起,个人判断中国目前有80%的数据库还在裸奔,缺少防护措施。
数据库安全“木桶效应”显现
IT168:安华金和如何看待数据库安全在整体信息安全市场的重要性?未来的发展态势如何?
安华金和刘晓韬:我国目前信息安全在整体信息化中的占比是偏低的,在国外可能达到10%到20%,我们国内可能在2.5%到5%之间。但随着信息泄露的立法的加强,国家网信办等相关部门的成立会有所改善。实际上目前我们国家的一些政府部门的法规制度还是非常棒的,比如说保密局的分级保密政策、公安部的等级保护政策。比如说保密局的一票否决,防护措施不达标是不允许进入系统的。如果有这样一个标准来加大企业对信息安全的重视和投入,那么我个人认为数据库安全的比重也会提升。
安全是一个“木桶”原理,往往是从最短板的地方流出,那么现在发生的信息泄露事件90%以上都和数据库有关,所以我认为数据库安全这一块在整个信息安全中的比重会进一步提升,这个比重我认为在将来会提升到接近20%这样一个比例,也会随着我国在信息安全领域比重的扩大而不断扩大。关键还是我国对信息安全的立法和企业自身安全意识的提升。
IT168:怎么看待目前国内外数据库安全发展状态的一个对比情况?
安华金和刘晓韬:国外的数据库安全起步比较早,还有立法支撑,比如说塞班斯法案,对于上市企业的数据库审计是有要求和标准的,立法中要求所有对于数据库中变更类的操作都要留下痕迹;还有PCI DSS法案,要求所有的信用卡信息存储中对于PIN码信息要进行扰乱或者加密存储;针对于医疗的法案,要求对于所有的患者信息进行安全防护和审计。因为国外的立法比较早,所以会带动国外这些数据库安全企业的成立也比较早。国外一些数据库安全做的比较好的公司比如说Guardium、Imperva、Sentrigo、Secerno这些公司都是专业的做数据库安全的公司,他们大都在04年,05年就已经开始创建,所以说国外对于数据库安全的重视程度要比我们国内早很多,而且这些理念也被国际上一些大的信息化厂商所接受,比如说IBM把Guardium收购了,收购完成之后数据库安全这块已经成为他的整个信息安全很重要的一部分。McAfee收购了Sentrigo,把Sentrigo的数据库安全解决方案加入到了他们整体的信息安全解决方案中。还有oracle, oracle本身就是一家做数据库的厂商,但是他们发现他们自己的安全也不够,收购了一家数据库安全公司叫Secerno,他通过这个体系加强本身的数据库安全。这说明从大的政策环境和大的厂商环境都已经认识到数据库安全这一领域的重要性,而且数据库安全不应该是本身的数据库厂商去做,而是有第三方厂商来做会更为专业一些。
© 2015安华金和 - 4 -
我们国家现在在去IOE,其中一个方向,拿国产库替代国际库,觉得这样就安全了。我觉得这个思想也是存在偏颇度的,先不讨论国产能否替代得了国外的库,国产的库就算把国外的库替代了,它在安全上也有很大的隐患。为什么?在CVE上,国际漏洞库上清一色暴露的都是国际大库的项目,像oracle、sqlserver、Mysql,没人暴露国产库的漏洞。没人暴露不代表你没有问题,只不过现在还没有黑客盯上你,安全局没有盯上你,真正盯上你,去发现问题,去测的话,问题非常多。为什么,国产库想替代国外的库首先还是要在功能性、稳定性方面去发力,做安全性的这些措施,由于资源有限投入不会更多。然而我们国家目前往往是要在核心要害部门用国产的数据库替代国外的数据库,关于这一块的研究和防护加强也是未来安华金和的一个主题。
安华金和比竞争对手更了解数据库
IT168:你觉得目前安华金和在数据库安全上怎样设计未来的战略方向?和别的厂商相比最大优势或差异化是怎么体现出来?
安华金和刘晓韬:安华金和与安全厂商的差异化,这也是公司最本质的竞争力或者说未来发展的一个基础。安华金和这批人有一个特点,是数据库出身做安全。研发团队核心成员都是曾经老牌数据库厂商南大通用的核心研发人员。包括我自己,我那个时候也是在南大通用做内核研发。在那个时候要做内核研发,得储备对数据库整体的架构知识,对数据库的存储机制、通讯机制要有很好的理解,还要去研究一些国外厂商。比如说oracle的体系结构是什么样,SQlserver是什么样,My-sql是什么样,My-sql的整套源码我们都懂,对数据库的理解力上,在整个安全圈里应该是最强的。需要了解需要保护的产品是什么样,才能清晰的理解安全问题在哪。
传统的大厂商,类似于启明、天融信、绿盟这些大厂他们是在做网络,他们那一帮人做网络的基因非常好。但是他们做数据库这一块,他们可能没有安华金和做的专业。技术这个东西纯靠人堆,不一定能堆出来。靠人堆是工程上的活,技术在一个企业里往往需要一个灵魂,这种灵魂性的人物往往决定的就是你的技术方向,你的技术架构是什么样的,我们在这个方向上有优势。现在一些传统大厂商也开始推一些数据安全产品,但大多还是用网络产品的思维做数据库安全产品。
现在有一部分大厂逐渐认识到这个问题了,现在跟安华金和的合作力度也非常高,我们大家共同来做数据库安全这个事情。
IT168:如果要面对国外厂商或国内的一些竞争对手的话,您觉得要怎样来和他们进行竞争呢?
安华金和刘晓韬:面对国际厂商,安华金和CEO刘晓韬坦言,国外厂商仍是我们现学习的对象,我们先当好学生,先学好他们的产品,但是我们也有信心,中国未来将是数据处理最大