比起业务和功能的先行，安全的发展似乎总是慢人一步。但随着 IT 基础设施对各行业的渗透，无论是本地还是云上对数据安全能力愈加重视，需求也愈加迫切。

国内近几年出现了一些数据库安全厂商，如中安比特、昂楷科技等，他们的在国内数据安全市场的声音越来越大；而国外，专注数据库安全的 Guardium ，结合 IBM 在全球的影响力优势，也慢慢开始在中国市场发力。

从独立安全企业到 “ 安全免疫体系 ” 中的一员

时间倒退回 2002 年，一家名为 “ Guardium ” 的数据库安全公司在在以色列成立。

Guardium 是当时行业内唯一一家拥有针对主机（大型机）安全监控解决方案的安全厂商。同时， Guardium 推崇通过在数据库系统上安装 轻量级 “ 探针 ” （软件），从而实现从底层抓取所有对数据库的访问行为。因其部署灵活、对数据库系统资源消耗小、数据库访问行为覆盖全面等特点， Guardium 在 7 年间积累了约 400 名客户，公司的规模也成长到了 150 人左右。

2009 年末， IBM 以 2.25 亿美元的价格，正式对外宣布完成对 Guardium 的收购，并决心利用其在 “ 主机安全 ” 领域的优势，为 IBM 自身的数据库产品（例如 IBM DB2 ）赋能，使其在对数据库的访问活动监控能力有所增强。

2012 年， IBM Security  正式成立，原来分散在各子部门的安全产品得到有效的整合。 Guardium  系列也开始作为其在 “ 数据安全 ” 领域的独立产品推出。

2016 年， IBM Security 整合其在数据安全、应用安全、网络安全、终端安全、移动安全、高级防欺诈、身份和存取控制以及安全智能等 8 个安全领域的产品线，并结合 IBM X-Force 推出 IBM“ 安全免疫体系 ” ，而 Guardium Suite 正是其 “ 数据安全 ” 产品类的主力。

安全免疫体系

IBM 的优势并不在于其在某项领域的专精程度，相反， 通过对细分领域处于领先优势厂商的收购并购，并将其产品技术能力彻底的吸收消化，再整合到自己的现有的产品线中，发挥其更大的作用 ，这才是这个巨人的真正强大之处。

部署和合规上的优势

从 Guardium 在 2002 年成立之初，技术思路就是通过在数据库系统上安装探针软件的方式，实现基于策略的数据流量转发。

S-TAP 探针部署

做数据库安全的客户，都想要知道这些数据：什么人，在哪些时间，访问了哪些数据资源。而这需要无论是来自网络层协议通信的应用，还是通过高权限账号从本地直连到数据库的服务器，对数据库的访问信息的抓取都要做到全覆盖。而通过在数据库服务器上安装探针的方式，可以做到把无论是来自本地还是网络的所有操作都抓到。

Guardium 的探针本身是 操作系统层 的软件，与数据库的配置无关，同时作为一个轻量级的进程，从运维的角度来讲对数据库系统资源的消耗非常小，即使是在数据库发生大规模并发访问的情况下，也不会影响其正常运行。

同时，探针软件对平台和主流数据库的非常广泛，国内厂商几乎无人能出其右。而云环境下的探针部署，也因为其运行在 OS 层而几乎不受影响。无论是 VM 还是物理机，只要运行的操作系统不变，探针就可以正常工作。

Guardium 所支持数据平台类型

除了探针的部署以外，在合规方面， “ 自动化合规 ” 是目前数据库审计市场大部分客户的需求。因为客户的合规本身是一个成本很高的过程，所以在实际的客户合规过程中，客户往往要做很多额外的的工作。而 Guardium 本身内嵌了许多 “ 现成 “ 合规最佳实践。例如金融行业的 PCI DSS （第三方支付行业数据安全标准）、 SOC （萨班斯法案）、 SAS70 、 ISO 27001/2 以及 ” 数据隐私法 ” 等甚至还没在中国大陆正式推行的相关规定，都包含在 Guardium 其中。这无疑给用户的合规带来了极大的便宜。除此以外，对企业内部的 “ 内审 ” 合规性要求， Guardium 也能通过其灵活的部署和配置给予最大程度的支持。

PCI DSS  审计

从数据库安全向数据安全的延伸

对大数据平台的支持

因为受 Guardium 本身的基因所限， IBM 在收购后很长一段时间之内，还是以数据库安全的思路来做。但随着大数据技术尤其是 Hadoop 大数据处理平台在 2011 年后的快速发展与广泛的商业化应用， IBM 也开始逐渐与 一些业内影响广泛的大数据厂商（如 Cloudera 、 Hortonworks ）合作，而 Guardium 也从那时开始了对大数据平台支持的研发。

Guardium 对 Hadoop 集群的支持

无论是国内还是国外，有很大一部分的大数据厂商，其发行版的底层都是基于开源的 Hadoop 来做，而在上层封装的定制化服务，则可以帮助用户进行一系列的操作和访问。而 Guardium 团队最大的优势，就是在于利用 IBM 现有的资源和影响力和这些大数据厂商一家一家的洽谈，了解他们底层的开发架构是什么样子，命令的执行又是怎样的。所以通过这些上层服务对数据库的访问行为，可以完全被 Guardium 所获知。再加上因为 Hadoop 架构应用的广泛性， Guardium 对这些基于 Hadoop 的大数据厂商的产品理论上都可以实现比较好的支持。

因为现在很多企业都会选择将重要的数据放进这样一个平台做全方位的关联分析，原先黑客可能攻破一个数据库只能拿到这个公司的部分业务信息，而如果是大数据系统出现了问题，发生了数据泄露事件的话，可能就会对公司业务产生巨大的负面影响。

而针对大数据平台的数据安全市场和客户方面， IBM 曾向媒体表示，目前 IBM 已有一个比较大的国内 “ 运营商 ” 客户开始用 Guardium 保护他们的大数据系统，而 IBM 也在积极地和世界各地的大数据厂商展开合作，除了之前提到的 Cloudera 和 Hortonworks 外，还有国外用的比较多的 MongoDB 以及 IBM 自己的 BigInsights ， Guardium 对这些基于 Hadoop 的大数据平台的支持情况都很不错， IBM 认为未来这块市场会比较广阔。

Guardium 对 MongoDB 集群的支持

和 IBM 现有资源的联动

IBM 最大的优势，在于其对整个 IT 行业的布局和所拥有资源的联动整合。而这同样也会反映在其企业如收购并购等重大的战略决策上。 IBM 在 2009 年收购 Guardium 的时候，其对 “ 主机安全 ” 监控的支持以及与 IBM 现有主要产品线（比如全球金融系统都用于存放核心业务数据的 IBM DB2 ）的契合是打动 IBM 的首要原因，也是促成此次收购的先决条件之一。

除此以外，在整个 “ 安全免疫体系 ” 中， Guardium 和处于 “ 大脑 ” 位置的 SOC 平台 QRadar 的 “ 双向集成 ” ，也是 Guardium 与其它同类产品区别的明显特点。处于 “ 安全智能 ” 领域的 QRadar ，会整合客户网络中的 SIEM 提交的日志分析结果、漏洞状况报告以及风险和资产等数据，并结合 IBM X-Force 平台提供的实时威胁情报以及 Watson for Cyber Security 实现联动，分析客户网络的安全环境和外部威胁，检测异常行为和安全事件的发生并通过 Resilient 系统反馈给用户应急响应流程。整个从检测到分析再到响应的过程，各个安全产品都是联动的，而处于数据安全类的 Guardium 也是如此。

Guardium 与 QRadar 的双向集成

不只是将 Guardium 所筛选出来的和数据安全相关的信息推送到 QRadar 帮助 QRadar 做出分析判断，更是在 QRadar 获得情报后，例如发现攻击行为或者说某个数据系统是一个受攻击目标后，作为一个 “ 指挥官 ” 一样的角色去命令 Guardium 把当前某一个恶意链接断掉，甚至是说短时间隔离出去，并为后期的调查取证以及实时的应急响应，争取一些时间上的优势。这才是所谓的 “ 双向集成 ” 。也就是说， Guardium 可以和 QRadar 做到某种程度上的互动，不仅仅是我告诉你一些情报，而是在处置的过程中可以联合起来，做一些保护的动作。

当然， Guardium 和类似 QRadar 的 SIEM 或是 SOC 平台的集成并不局限于 QRadar ，例如惠普的 Arcsight 等，以及一些国内用户使用 SIEM 和 SOC 平台，只要都是使用符合某些通信标准的协议格式，例如 leef 格式（ Log Event Enhanced Format ）， Guardium 都可以集成其中，发挥起自己在数据安全领域的能力。

数据安全分析

最早 Guardium 的设计初衷是实现数据库的监控，包括前文所提到的对主流行业标准的自动化合规。换句话说，并不是那么强调从安全的角度来讲看问题。而发展到今天， IBM 的 “ 安全免疫系统 ” 则是更重视从 “ 安全 ” 的视角解决问题。那么，如何将一些底层的技术数据，向业务层面转化，发现一些规律性的内容，并最终应用到安全上，是 Guardium 进行数据安全分析的目标。

数据安全分析

例如，从客户的时间维度来看，数据库的访问是有规律的，客户的业务时间也是有规律的， Guardium 则是要把这个规律先找到。实际上 Guardium 在其系统里已经内建了机器学习的引擎，并可以根据你历史访问活动的信息刻画出一个数据的访问 “ 基线 ” ，而之后则可以利用这个基线对后期的访问活动做一些判别。

回望中国数据安全市场，国内一些专注于数据安全这一细分领域的厂商，近几年发展的速度非常迅猛。无论是本地还是云上，市场对数据安全的需求一直很强烈，而各家客户数据库类型和操作系统的纷繁复杂也给国内这些厂商在技术能力上设置了不小的 “ 关卡 ” 。同时，无法和这些国际上主流 的数据库厂商建立交流和合作机制、难以实现对各家数据库产品的深度兼容，也是这些数据安全厂商亟待解决的问题。

反观 IBM ，除了保持并扩大目前在技术、资源上的积累优势外，是否能让自己的安全产品更加 “ 接地气 ” ，更习惯于倾听中国客户的声音，让安全产品在细节上更契合中国用户的使用习惯，我想尤其是对于像 IBM 这样的全球 “ 巨人 ” 来讲，绝不会是一件容易的事情。但是，值得期待。