数据库安全的概念由来已久，但直到近两年，随着安全市场大环境的利好变化和国家政策的大力推动，数据库安全行业的发展逐渐呈现出快速上升的态势，并涌现出了一些专业的数据库安全厂商。近期安全牛联系到该领域中非常具有代表性的一家厂商——中安威士，并采访了公司总经理戴林博士。

戴林

个人简介

戴林，中安威士创始人及总经理，北京理工大学计算机学院副教授，博士生导师。主持和参与国家级项目超过20项，发表学术论文超过50篇，并担任多个国际知名学术期刊和会议评阅人。2009-2010年以访问教授身份赴美国普渡大学(Purdue University)，研究数据安全和隐私保护技术。

一、数据库安全的由来

安全牛：数据库安全这个领域，说早也早，说晚也晚。国外有几家公司好多年前就在做，但数据库安全的概念在国内是近两三年才火热起来。作为很早就涉足这个领域的专家，您能否介绍一下数据库安全这个概念的起源？

戴林：您说的不错，确实数据库安全是一个说老也不老，说新也不新的概念。

在2000年之前，国际上对信息安全技术分为三极：网络安全、操作系统安全和数据库安全。从这个分类可以看出数据库安全很早就受到业界的重视。最初的数据库安全主要是指数据库厂商集成到自身产品中的安全特性。比如微软的SQL Server，甲骨文的Oracle，IBM的DB2等产品，都具有高级安全版本或者高级安全模块。后来国外有了一批数据库安全创业公司，比较具有代表性的比如Imperva、Guardium、Informatica等，在2010年前后，国外才形成了基本的数据库安全市场格局。

安全牛：如果这些数据库厂商各自把安全问题都解决了的话，也就没有数据库安全这个领域了吧？

戴林：这么说有些绝对，实际情况还是更复杂的。首先，各数据库厂商只做自己产品的安全，一般不会去加固别人家的产品。其次，数据库安全产品作为第三方是有必要的。比如访问审计需要第三方的审计，不能自己审自己，否则审计的独立性就得不到保证。再次，SQL注入攻击等针对数据库的攻击越来越多，而数据库厂商在防治这些攻击方面并不专业，因此催生了第三方的数据库防火墙、数据库脱敏等专业的安全产品。

安全牛：那数据库加密呢？这应该是数据库厂商的专长了吧，为什么还有安全厂商做数据库加密？

戴林：数据库厂家的确很容易可以实现数据加密存储。但是加密这个技术受政策影响较大，各个国家都有自己的加密标准和要求，尤其是密钥的管理，不管是国内还是国外，都要求独立第三方提供。而且加密产品还需要解决DBA权限过大等其他问题，第三方安全厂商可以做的更中立和专业。

安全牛：但数据库加密对于安全厂商而言似乎不太容易，访问性能问题首当其冲，原因在哪里呢？

戴林：您说的性能问题主要是检索的性能，这主要受制于数据库自身的机制。可以说到现在为止，市场上真正实用的数据库加密产品，几乎都只针对Oracle数据库。这是因为Oracle开放了可以自定义索引的接口，该接口可以被用于实现密文的索引。Informix也提供类似的机制，但是由于市场容量太小，没有厂商去支持。而其他数据库产品暂时不提供这种机制，所以就没有针对他们的实用的数据库加密产品。

二、国内最早的数据库安全厂商之一

安全牛：之前了解到您在美国做访问学者的时候，专注隐私保护技术，并参与相关课题的研究工作，是否在回国后开始切入这个领域？

戴林：我当时是在美国普渡大学做访问学者，它是美国最大的工科大学，也是美国首个创办计算机科学系的学府，在数据库和数据隐私保护领域是全球顶尖的。

不过在去美国之前，我们已经完成了数据库防火墙、漏洞扫描和数据库加密产品的研发。在公司成立之前，就有了一些产品，比如2007年发布了数据库防火墙和漏洞扫描，2008年发布了数据库加密，并在国防系统中得到应用。在这之后才去的美国。

安全牛：那你们称得上是国内最早做数据库安全的厂商了？

戴林：数据库防火墙和加密的确做得非常早，但当时也有厂商在做数据库审计和漏扫，因此我们算得上是最早的一批数据库安全厂商吧。2011年我们发布的首款数据库审计产品，这在国内也是非常早的。

三、数据库安全的主要产品

安全牛：针对数据库的漏扫、审计、防火墙、加密、还有脱敏，可以说是数据库安全的五大核心产品，您能否大致介绍一下这些产品的产生脉络？

戴林：可以从两个维度来讲，一个是威胁的来源，一个是技术风险。

威胁来源可粗略的划分为内部和外部，外部威胁是指网站或其他系统层面的漏洞，如SQL注入漏洞等。内部威胁复杂一些，包括运维人员、外包人员的违规操作、管理疏忽、误操作、存储泄密等。因此，根据内外的不同问题，就需要部署防内防外的不同产品。

从技术风险上来说，国外把网络的七层模型上再定义了一个数据业务层。针对在这个所谓的“第八层”上的风险，传统的网络防火墙无能为力，而针对数据库的安全产品则能够部分的解决这一层的问题。

数据库审计解决的是识别违规访问的问题，识别出来之后，如果需要阻断，这就是数据库防火墙做的事情。至于漏扫，我们既有独立的产品，又作为功能模块包含到审计产品中，是一个漏洞发现与管理的功能模块。然后是加密，解决的是数据明文存储以及DBA权限过大的安全问题。

既然有加密，自然的就发展到到脱敏技术，针对的是数据复用时的敏感性问题。脱敏主要有两种使用场景，一种是内部人员维护数据库或者系统访问数据库的时候，很多情况并不需要访问到全部、真实的敏感数据。另一种就是数据脱离生产环境的时候，比如做开发测试或者外发给第三方，经常是没有必要使用真实数据的，所以要进行数据的批量脱敏。前者在操作过程中实时实现，叫动态脱敏，后者则可称之为静态脱敏。

安全牛：谈到数据脱敏，大家目前普遍开始关注这种技术，尤其是动态脱敏，普遍反映实现起来比较难，您认为主要的原因是在哪里？

戴林：脱敏这种技术，国内其实出现的时间比较晚，直到在2015年左右声音才逐渐多了起来，并在2016年呈现需求激升的趋势。

静态脱敏从技术上来讲相对容易，与ETL数据抽取技术类似，把数据从一个地方搬到另一个地方，在这个过程中进行数据的模糊化，它不是实时的。而动态脱敏，难就难在需要实时。在数据访问过程中，需要把各种语句完整无缺地进行解析和改写，意味着要对协议和SQL语句理解的高准确性和高兼容性。一种数据库还好，多种数据库就工作量就很大了。

静态脱敏发展较快，目前国内已经有几家厂商开发出了产品，但动态脱敏的厂家还非常少。

四、两大核心技术优势：学术创新能力与工程积累

安全牛：数据库安全这个领域，有没有一些关键的支撑技术，也就是说想做好数据库安全，有哪些必需的核心技术？

戴林：这个问题提的很好。中安威士从一开始给自己的定位就是数据安全，而不仅仅是数据库安全。因为像脱敏这类的产品保护的主要是数据，而不是数据库了。而且我们还有开发中的数据产品将部署在应用系统的前端，与数据库并不直接连接。当然，现在很多安全厂商也都把自己定位于数据安全，这也对，因为各种安全的最终目标，都可以在一定程度上体现在数据的安全上。

不管是数据库安全还是数据安全，在这个领域有两大核心能力非常重要。

第一是学术创新能力。

比如密文索引算法，对加密后的密文建立索引，算法好的话，数据入库和检索就非常快。另一个例子是海量日志的处理，拿数据库审计来讲，用户往往希望用一个计算能力一般的设备，实现海量数据库日志的存储和检索。这时性能就非常重要，需要专门设计的算法来支持。

我们的销售在客户那里，曾经碰到过一个刚上线不久的数据库审计产品，在上面对一个月的日志进行查询，需要一个星期才能返回结果。这个性能用户是没法接受的。而我们的产品在这种量级下的查询能够在1个小时左右完成。还有不少技术难题，都是学术级的，不是简单的工程问题。

安全牛：也就是说中安威士的算法相对来说更加优越，是否与您在大学教学和科研的背景有关？

戴林：当然有一些关系。我对本科生和研究生教授“信息安全”和“信息检索”两门课，我的科研兴趣方向也是这两个方向。这两个方向的成果，对于数据库安全是有直接帮助的。

比如在密文索引方面，我们有一些先进而且实用的专利技术。反应到产品层面，我们的数据库加密产品对加密后的数据，不仅可以做到精确查询、保序查询，还可以做到模糊查询，而且查询性能不会明显降低，且不需要对应用做改动。这个产品的新版本马上就要发布，在国内应该是唯一支持密文的模糊检索功能的。

其实无论安全功能也好，产品的性能也好，这里面涉及到很多学术级难题。如果核心人员经历过完整的科研训练，并且有学术研究团队的支撑，突破起来会更加容易一些，这是我们最大的优势。

另一个核心能力就是“工程积累”。

比如说我们做审计，做防火墙，做动态脱敏，都要准确掌握各个数据库的通信协议，而困难在于大多数数据库是不公开协议的。所以不管是数据库返回结果，还是变量绑定，都需要进行逆向解析，因此需要长时间对数据库的认识和积累。

安全牛：上面所讲的，其实从理念上可以概况成两句话，用信息安全技术来实现功能，用信息检索技术来提升性能。我知道有一种轻代理的方式，直接装在数据库服务器上，通过读取数据库的共享内存，可以做到非常细粒度的审计和实时监控、阻断等，同时无需解析协议，您如何看待这种安全技术？

戴林：实际上我们最早的数据库防火墙就采用过这个方式。这种方式有两个主要问题，一是用户不愿意接受往数据库服务器上安装软件，先不说可能会出现的问题，单单在批准流程上都非常痛苦。再者，这种技术同样也需要各个数据库厂商开放接口或者进行逆向工程，打通大部分数据库厂商，技术风险较大。所以，即使有人在做，也只能做某一些主流数据库。

五、数据库安全的未来

安全牛：您对数据库安全技术未来的发展有什么样的判断？

戴林：未来的趋势是大数据和云，因此我们会把数据安全做到大数据和云上，产品要做大的调整。

云环境下的数据安全首要的需求就是加密。由于云上的数据库主要是MySQL和NoSQL，但目前数据库安全厂商几乎都只支持Oracle的加密。这不是简单的匹配问题，而是需要重新对产品进行设计，并解决一系列关键难题。不出意外，未来的几年内，将会陆续出现针对大数据和云环境的专业数据库安全产品。

安全牛：提到云和大数据，我知道在公有云上，数据库防火墙、加密之类的设备是很难放进云架构里的，具体如何实现呢？

戴林：数据库防火墙还好，可以通过软件定义网络或者引流回注的方式部署上去，我们也做过一些案例。但是数据库的加密，在整个学术界和工程界，也是正在攻克的一个难题。因为在云上部署，一定要与云平台解耦，做独立的安全模块，可以在不需要或者几乎不需要云平台配合的情况下完成产品的部署。

数据库加密这块，我们近期就会有一个正式的MySQL版本出来，这个版本的主要目标用户就是云上的用户。然后我们会逐步支持其它数据库和NoSQL，这就属于工程性的问题了。

六、数据安全市场呈激增态势

安全牛：谈到市场，似乎中安威士在数据库安全市场的声音不大？

戴林：这是事实。要感谢各合作伙伴对我们的支持，前些年我们一直靠着做OEM活下来了。实际上我们的产品到终端用户的案例很多，但都不是以自己的品牌出现的。所以，虽然我们在技术上，不管是历史技术积累还是产品线的全面性，都是不错的，但很多客户不知道我们。

今后一段时期我们会在销售方面加大投入，实际上经过最近一段时间的努力，公司在全国范围内的销售网络基本搭建完成。

但不管怎样，这个细分领域最重要的还是技术创新。有技术创新能力的公司，活下来的概率会更大一些。反之，有销售能力但是缺乏技术创新能力的公司也可能会遭遇生存压力。10年前，跟我一起做数据库安全的还有好几家公司，现在他们在市场上早就消失了，就是因为这些公司主要靠销售驱动，并且没有匹配好国内的需求发展步伐。

安全牛：之前的需求的确不大，那您认为最近几年需求呈激态势的原因在哪里？

戴林：最近几年有几件事对数据安全推动较大。一是棱镜门事件；二是习总书记提出“网络安全就是国家安全”；最后是《网络安全法》的出台。这几件事，使得国家层面开始重视信息安全，尤其是数据安全。尤其是《网络安全法》明确规定了数据的分类、存储、备份、加密等要求，发生数据安全事件后可能面临罚款、停业整顿等后果。这“几把火”彻底改变了数据安全的大环境。业内人士一致认为，数据安全已经成为信息安全的主要发展方向之一，而数据库安全则是最主要的数据安全落脚点。

安全牛：听说公司最近刚完成数千万的A+轮融资，下一步的企业发展规划是怎样的？

戴林：中安威士的企业定位是数据安全的领导厂商。具体到营收上，争取销售额尽快突破一个亿。再全力争取在资本市场上有所突破，当然和很多有理想的创业公司一样，公司的最终目标是IPO。

这几年云计算和大数据技术迅速发展，我们非常看好这个领域的前景。有报道说安全市场的容量近几年会达到万亿级别，其中云计算和大数据中数据安全的市场规模在百亿到千亿级别。而且这是一个更加开放和自由的市场，更多的靠产品本身质量说话的市场，也是我们以后的一个主要发力方向。

核心的，中安威士的企业理念还是用技术创新去真正满足用户需求，我认为持续创新，解决用户实际问题才是技术型企业发展的根本之道。

安全牛评

中安威士主要有两大核心技术优势，一是基于学术背景对数据安全技术的深度理解，二是在数据安全领域的多年工程积累。两者结合安全大环境的强势利好，相信未来在市场上会有不俗的表现。