当我们在谈数据安全的时候，最容易讲的是 DBMS 安全，2018 年安全牛发布了对数据库管理系统的防护清晰的定义。

从这个角度上看，该定义可以被划归到数据库安全的 1.0 时代。数据库安全市场如果仅仅看到这一点，一定会错过未来的发展机会。

再往前看，2.0 的时代以“数据”为中心的防护时代，3.0 时代是“数据安全治理”的时代。

3.0 时代进入到了系统化的数据安全治理的时代，数据上升到资产、基础设施层面。好比人类发展到需要考虑公共安全的阶段，不可能再通过气囊、头盔这样的单一的个体防护方式。在面临更大的风险威胁的时候，我们会建立组织、公检法体系，建立军队；会出台政策规范、刑法、交通法等等来予以保证；同时会建立公共设施安全，比如机场安检，建立登机制度等。

你一定听说过非常厉害的黑客，各种奇技淫巧，分分钟拖走大量数据！或入侵到目标内网，Get Shell、提升权限、拖走数据库！抑或根本不用进入内网，直接远程操作一番，就能窃取到大量数据，犹如探囊取物一般容易。

可是，站在黑客的对立面，作为防御的一方，公司频频遭遇入侵、网络攻击或数据泄露事件，一方面会面临巨大的业务损失，另一方面也会面临来自用户、媒体、监管层面的重重压力。

数据安全这是一个非常严峻的问题。数据泄露事件层出不穷，就算是安全建设得比较好的企业，也不能保证自己不出问题，况且在日常安全工作中，还面临着三大困境—资源有限、时间不够、能力不足，使得我们距离数据安全的目标还有不小的差距。

“资源有限”体现在企业在安全方面的投入往往不足，特别是在预防性安全建设、从源头开始安全建设的投入方面，更加缺乏。在有的产品团队，人力几乎全部投在业务方面，没有人对安全负责，产品发布上线后，也缺乏统一的安全增强基础设施（例如在统一的接入网关上实施强制身份认证），导致产品基本没有安全性可言。

“时间不够”是因为业务开发忙得不可开交，完成业务功能的时间都不够，哪里还有时间考虑安全呢？这也是为什么我们经常会发现有的 JSON API 接口根本就没有身份认证、授权、访问控制等机制，只要请求过来就返回数据。

“能力不足”体现在具备良好安全设计能力和良好开发能力的人员太少，基层开发人员普遍缺乏良好的安全实践和意识，写出来的应用频频出现高危漏洞。就算能够事先意识到安全问题，在实现上，安全解决方案也是五花八门，重复造轮子，且互不通用，往往问题多多，效率低下；就算发现了安全问题，然而牵一发而动全身，修改了问题还担心业务服务是否正常运转。

在几大困境面前，各产品团队往往寄希望于企业内安全团队的事后防御。殊不知，事后解决问题，也有诸多局限： 时间不等人，险情就是命令！当漏洞或事件报告过来的时候，无论是节假日，还是半夜时分，都需要立即启动应急响应，“三更起四更眠”屡见不鲜。数量不多时还可以承受，但长此以往，负责应急的同学身体也吃不消，需要不断招聘新人及启用岗位轮换机制。

依赖各种安全防御系统，没有从根本上解决问题，属于治标不治本，黑客经常能找到绕过安全防御系统的方法，就如同羸弱的身体失去了铠甲的保护。

事后修复很可能会影响业务连续性，即便产品团队已经知道问题出在哪里了，但是由于业务不能停，风险迟迟得不到修复，因此还可能引发更大的问题。

安全不是喊口号就能做好的。实际上，安全是一项系统性工程，需要方法论的指导，也需要实践的参考。

3.0 时代最关键的特征就是体系化安全。安全不再是一个纯产品技术上的安全，实际上是组织规范+技术的完美整合，以呈现整体的安全。

《数据安全架构设计与实战》尝试通过一套“组合拳”逐一化解上述三大企业困境，更好的保护业务，防止数据泄露！

说几件事

信安之路的官方域名备案通过

信安之路的官方域名：xazlsec.com 刚好在今天双十一这个日子审核通过了，目前有两个子域名在用：

主站：http://www.xazlsec.com

成长平台：http://edu.xazlsec.com

大家也看到了没有使用 https ，安全性还不够，大佬们轻拍，后续慢慢补

抽奖送几本数据安全这个书

恰逢双十一，现在买书也挺便宜的，基本上算 5 折吧，新书上架，口碑也不错，所以推荐一下，然后为小伙伴们争取了基本作为礼品抽奖送出。

抽奖门槛：需要注册成长平台成为平台的一员，并审核通过，抽奖结束时间：2019 年 11 月 17 日 晚 8 点

在北京上大学的小伙伴请注意

最近准备搞点事情，北京高校的小伙伴可以加我微信：myh0st，有事商量，好事儿