黑格尔曾说,“存在即合理”,用在数据安全领域,同样适用。一款数据库安全产品的诞生,必有其存在的合理之处。有数据显示,超过90%的数据都是从数据库中泄露出去的,因此,围绕核心数据安全防护,数据库安全产品首当其中。从国内权威IT研究咨询机构CCW Research发布的2015年《数据库安全市场现状与发展趋势研究报告》报告中不难看到,数据库审计市场份额占据半壁江山,用户对数据库审计产品的认知度也比较高。那么,基于用户的需求,为什么要用这款产品呢,本文提出选择数据库审计产品的三个理由:
1、合规性需求 2、事件驱动型需求 3、主动建设需求
一.合规性需求
所谓合规性,就好比开一家酒店一定要符合卫生条件,拿到卫生许可证才可以经营,才可以向用户出售餐饮实物。信息安全行业及金融、政府、等细分行业领域的信息系统同样需要符合行业规范及标准。因此,国家及主管机构出台了一系列的的相关法律法规,对应信息系统安全等级保护的相关配套标准,等保二级以上对安全审计均提出了明确要求,审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。数据库审计产品因部署简单,且不会对系统产生太多影响,在合规性驱动下,成为数据库安全审计的首选。
二.事件驱动型需求
事件型驱动基本属于亡羊补牢式需求。近年来因为数据库被入侵造成的信息泄露事件层出不穷,也造成了很坏的社会影响。例如:12306网站用户信息泄露事件,2015年全国大爆发的4.22全国社保系统漏洞泄密事件等,这迫使政府部门和企业单位展开对数据库安全加固工作。这一类需求用户不仅会考虑到事后的数据库审计产品,同时也会考虑数据库防火墙、数据库加密等其他主动防御类安全产品。
三.主动建设需求
主动性建设需求,当企业或者组织的IT建设达到一定的成熟度,业务的发展需求,与安全配套建设相得益彰,对核心数据安全的安全防护有主动意识和深刻认知,同时安全为业务的顺畅运行提出了更高的要求,出于对自身商业信誉、社会名誉及对用户负责的态度,促使用户主动进行安全防护措施。基于用户主动建设的需求,不仅仅局限于单一数据库审计产品。
目前市场上数据库审计产品良莠不齐,产品性能差异也很大,大小林立的厂商就有40余家,而用户如何去选择,便成为一件令人头痛的事情。这里对数据库审计产品的选型,提出几点参考建议:
判断一款优秀的数据库审计产品于,可以从两个维度触发:因为直接针对数据库进行安全审计,那么精通数据库通讯协议,对SQL语句做到精准解析就成了关键条件,这个先决条件直接决定了数据库审计产品审的准不准的问题,这也是为什么很多网络安全厂商虽然也在做,但声量大,用户测试与使用过程中反馈效果一般的原因。另一方面,数据库审计产品最终是为满足用户的基于数据库层面的业务需求,因此,数据库审计产品概念高度聚焦,数据库业务界面化清晰,审计操作过程易用,数据关联展现与分析能力,审计报表精细化,这个条件决定了数据库审计产品易用性的问题。
一款产品源于市场,投入市场,也将最终被市场接纳或淘汰,无论需求来自于合规、事件影响或是业务建设,均离不开用户,各家数据库安全厂商,谁最先赢得用户,谁勇于创新,谁将长久立足市场。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。