資料庫行為監控(DAM)顧名思義是針對資料庫的存取行為進行監控與稽核,透過DAM可以發現有權限者的非法存取行為,達到防禦內賊的效果,然而在沒有法規的強制驅動力下,只有少數企業有此需求,可以說DAM是法規驅動的市場。以台灣來說,除了防制資料外洩(DLP)之外,DAM是與個資法有直接相關的解決方案,因此個資法的進度也直接牽動著DAM市場熱度。
玄力科技總經理顏良修指出,台灣DAM市場在2007年就已成型,只是當時企業多在了解產品階段,加上沒有法規驅動力,且當時DAM廠商在行銷時,太過強調稽核的功能,讓很多企業誤以為DAM就是一個稽核工具,而有稽核需求的產業並不多,只有特許行業如金融、電信…等才有,導致DAM市場一直沒有起來,直到去(2012)年個資法正式上路才驅動市場需求。
金融、電信、醫療關注高 主管機關是關鍵
儘管所有行業都必須符合個資法,但也未必各行各業都開始關注DAM,其中關鍵是主管機關的態度。IBM軟體事業處資深技術顧問張寅建表示,2012年初金融業開始關注DAM,主要原因是主管機關金管會開始針對個人資料保護進行查核,因此金融業較為積極,而到了去年10月個資法正式上路後,醫療業也開始重視。麟瑞科技技術經理陳志遠則指出,個資法過後這半年,大多數企業都仍在測試做POC,最近這一兩個月開始真正看到企業下單結案,金融業因為主管機關金管會有明確要求,多半先做DLP,現在則是DAM已開始進行。
除了金融業外,精誠資訊產品經理于子欣提到電信業需求比例也頗高。電信業也是早期就開始評估導入DAM,主要是因為內稽內控需求,透過DAM保護DBA、OP或開發人員。
至於其他行業,政府、學校、電子商務雖然也有部分DAM專案,但比例仍不高。以電子商務市場來說,顏良修認為他們其實是最需要DAM的產業,但由於電子商務業者的基礎資安環境普遍還不完備,再加上之前廠商太強調DAM是稽核工具,這也令EC業者誤以為沒有DAM需求。
企業需求更明確 市場競爭更激烈
隨著市場開始成長,企業也更加清楚自己的需求。庫柏資訊總經理林俊仁觀察,近來評估DAM的使用者比起前兩年已更清楚自己需求是甚麼,是因為內稽內控需求而來看DAM或因為資安需求。同時在評估過程中,也明確了解稽核需要看哪些報表內容。
顏良修分析,金融業對DAM的認知比較明確清楚,但是他們資料庫數量多且架構複雜,為避免失敗,評估時間比較長,而且一次可能只導1~2個DB,電信業也是,通常會分階段導入。從表1中可以看到,金融業與電信業的認知和評估比例皆很高,只是他們的DAM都只導1~2個資料庫而不是全面導入,至於會先導入的DB種類通常是與交易相關或是含有個資的DB。由於金融和電信業是用業務類別來劃分資料庫,所以資料庫數量很多,但是醫療業情況剛好相反,因為醫療業務是以病人為導向,資料庫集中化通常就是在醫療資訊系統(HIS)後面的那一個DB,所以他們只要導入DAM幾乎都是全面導入,這也是認知和survey比例不高,但是導入比例卻超過25%的原因。
表1 各行業DAM導入進度表
階段 |
政府 |
電信 |
金融 |
醫院 |
電子商務 |
教育 |
認知 |
100% |
100% |
100% |
70% |
70% |
75% |
評估中(已認知者) |
75% |
75% |
90% |
80% |
50% |
75% |
已佈署(已認知者) |
50%* |
<25% |
<25% |
25% |
<25% |
<25% |
*佈署1個DB者也算入。 資料來源:玄力提供,資安人整理2013/7月
整體而言,經過三年的教育市場階段,DAM市場現在已進入企業多數有認知,但少數已佈署,多數仍熱烈評估中的戰國時代。同時,在這次採訪中,我們也發現某些前一波早期佈署的企業,經過這段時間的使用經驗下來,一方面因為更加了解自己需求,二方面現在解決方案已比當時更成熟,而考慮重新更換原使用的工具或有新的擴充專案。在新、舊客戶皆有專案需求下,DAM市場因此熱鬧蓬勃。
下一篇將由使用者的角度與廠商導入經驗,分享DAM導入的成功關鍵。