那对于安全管理人员来说是个好消息,他们现在越来越受重视,对于数据库安全厂商来说也是个好消息,他们看到了人们对这个现在还很小(一般估计第三方产品少于1亿美元),但正在发展中的市场的越来越多的兴趣。

  “这个领域的许多公司在两年里每年翻了一倍,”一个位于Boston的Yankee Group高级分析师Andrew Jaquith说。“在2007年他们很可能再翻一倍。在资金优势方面它是个大领域。”

  这个市场包括三种产品:

  数据库检测/审计:公司用这些工具来观察未经许可或不寻常的访问活动,并不用消耗数百或上千的人时去细查log文件就可以产生全面的审查报告。这些供应商包括Application Security, Inc.,Embarcadero,Guardium,Imperva,IPLocks. Lumigent technologies,RippleTech,Sentrigo,Symantec和Tizor Systems。“数据库本身并不能智能到能查看通过网络的可疑活动或是否授权用户执行一个命令一百万次,”位于Cambridge的Forrester研究机构的一个首席分析师Noel Yuhanna说道。“这就是为什么你需要有这些工具。”

  脆弱性评估:来自于Application Security和Next Generation Software这样的公司的专门的VA扫描器,评估数据库的安全强度,检测安全漏洞和错误配置。
  加密:采用集中的管理、策略创建和强大的密钥管理的高度粒状加密。厂商包括Protegrity,Ingrian Networks和Application Security。
  增强的安全敏感度拉动了市场的发展,因为违规一个接着一个的揭露出来破坏了客户的信任,还有对有点模糊的调整遵从性检查压力的要求也带动了市场发展。

  “单独的最大的驱动是SOX;它改变了公司的审计要求,并且我们看到了一点点的PCI,”位于Stamford 的Gartner 公司的研究副总裁Rich Mogull说。“尽管规范没有明确的说出我们正在谈论的是什么,但是他们最终推动你朝这方向前进。”

  “这个基础驱动本身并不做审计,”Jaquith说道。“它有些尴尬,并且有名誉风险。”

  数据库平台缺少有力的本地加密、监测、评估和管理工具来满足这些新的安全要求。此外,大型的不同种类的组织经常有多种多样的数据库平台。Oracle和Microsoft SQL Server越来越好,但还有很长的路要走。

  “明年有很大空间能看到数据库厂商的更多的活动,或者通过合作,或者只靠他们自己,”位于Framingham的IDC公司的研究主任Charles Kolodgy说道。

  Yuhanna看到了明确的迹象显示监测和审计市场正在步入下一阶段,既然公司认识到了他们的价值。他期望看到大型公司投资50至100个设备部署。

  另一方面,数据库加密技术在解决方案的列表上仍然是相对较低的,尽管对数据被盗和为加密数据解密的关注在大多数情况下违背了批露法。尽管改进了工具,部署和管理却仍然很困难。分析家警告说数据库加密是一个两三年的事情。遗留系统尤为严重。

  “数据库加密技术是人们购物列表上的第三项,”但是市场将继续发展,Kolodgy说道。“没有人靠异想天开来加密。要很清楚的了解需求;要有很清楚的描述。”

  “我会说只有5%在做数据库级别的加密,”Yuhanna说道。“它太困难了。”

  执行加密的很重要的一部分是选择,要了解需要保护什么。你可以加密用户的信用卡和社会安全号码,但要以纯文本的形式显示姓名和地址。

  分析家们在建议方面意见有些不同,但是一般推荐积极监测,这会得到最大的投资回报率。再有推荐选择域级别的加密。

  “确定你有什么类型的敏感数据,什么类型的数据库和有多少,”Jaquith说道。“简单的四处看看和查询数据库是有用的,但是你需要实证。利用扫描工具来探测你的数据,指出什么是敏感的。”

  “敏感的用户信息就像是石棉一样,”他说。“我们很多年都在盖储存它的房子,但直到最近空运的时候才发现它的毒性。”