|
耀疆访谈“安在”新媒体栏目之一,以中国信息安全影响力人物为对象,由张耀疆(中国信息安全专业咨询的奠基人、开拓者及实践者,安言咨询总经理,“安在”创始人)主持对话,旨在通过情境交流与思想碰撞来洞察20年中国信息安全发展全景。
以下访谈,张即张耀疆,范即范渊。 “从登台BlackHat到回国创业” 张:我们就从你归国创业开始吧。想当初,你在国外看到的、接触的都是比较领先的东西,有自己的成果,回国创业,这让你有了较高的起点,甚至有带着行业前行的意思,讲讲当时的感觉吧? 范:对我而言,当时非常自然的,想回来,想把国外的研究成果产品化、产业化,能够产生价值,这个感觉非常强烈。所以当时在滨江的孵化器里租了两间小房间,打通,就开干了,根本没时间去想额外的东西。当然,很多时候机会是给有准备的人。公安厅听了我们的汇报,觉得好,我们是国内最早做web漏洞扫描的,就开始运用,后来就用在了奥运安保上。 从方向和趋势来说,我从国外回来,我看到了国外的发展,所以我不会有迷惑感。我知道要把这块东西怎么做好,并且做到足够好,也没有想过绝对只是用于国内的。从一开始我就是延续了硅谷startup的理念,所以后来发生的一切对我而言都很自然,比如遇到国外同行的PK等。当时国内web安全的理念还很落后,网站被黑了就重装一下,不会考虑什么安全性。几年后,大家对于这一块的理念已经发生了很大的变化。当时我们没有困惑,我们很清楚这就是一个趋势。 张:往前追溯,你出国是什么情况? 范:我是在南京邮电大学学的计算机,当时还没什么安全的概念,毕业后去了浙江数据局。那里的3年工作,奠定了我的网络包括安全技术基础。那时候也和互联网企业有过一些交道,比如阿里巴巴,他们当时做B2B业务,后来还有中国化工网、生意宝等网站。 离开数据局后,有一段时间,有人喊我去做医疗行业的B2B,但是当时觉得需要看看国外的东西,包括思维、技术、理念等。很巧的机会,我就去了美国,不久后到ArcSight。工作一段时间以后,就想读书,有好几个offer,但是公司不肯放,只好选择了加州州立大学,开始半工半读。这种情况好处在于,能够保持对硅谷产业最前沿的了解,她的客户也是很有名的大企业。 后来这家公司发展不错,2008年上市,再后来被HP收购,我也是他们option的受益者。所以我也把这一块东西带到了安恒,核心骨干都有股票和期权。这样下来很多理念都会比较自然。 ArcSight是一家startup企业,我见证了她的发展历史。有了这个经验,我才能回来之后顺风顺水地做起来,等于是经历了一遍了,给了我很大的帮助。 张:现在网络搜索,关于你的各类报道信息,都会提到你是第一位站上Blackhat大会讲台的中国人,能说说当时是怎样的机缘吗? 范:我是从2002年开始就去听这个会的,当时就对自己提出了要求,希望未来会有真正自己的成果能去上面展现。2005年我投稿了,关于Web应用的入侵检测,是我一直在做的课题,“防”相关的。Blackhat的审稿机制还是比较严格的,必须是独立见解和研究,并且是这个领域没有发表过的,所幸我入选了。2006年我投的是“攻”方面的题目。两届我都参加并做了演讲。当时还没有其他华人。 那时候,感觉台下98%都是外国人,也有个别的政府官员。全部坐满的,讲完后很快我的名片都发完了。当时参加Blackhat的还是以美国为主,会有外国人来,也出现过俄罗斯的,有一个,讲完后就被FBI带走了。 在很长的一段时间内,Blackhat保持着相对的独立性,直到现在还是比较公认的权威的会议。后来我每年都会去观摩,顺便也去硅谷看一看。 张:从05年登台Blackhat开始,你通过参加大会,有没有感受到东西方在安全发展上的区别? 范:除了技术差距外,中美两国关注的焦点其实越来越近。比如美国很久之前就关注了wifi和蓝牙安全,我们稍微滞缓一点。但后来在移动、智能设备、工控领域,我们的关注都越来越快了。随着网络的延伸,双方关注相近的趋势越来越明显。当然,相比之下,美国那边关注的自由度会更加发散和夸张,比如会有人展现炮弹打过去之后,一路上经过就可以检测wifi热点。现在越来越多的国人走向这个舞台,差距在缩小。 张:在安全这个领域,有没有所谓的“中国特色”?比如就像中国互联网的发展,过去只是抄袭,现在有些产品甚至超过了西方的发展,有很多中国特色。在安全领域,中国的黑产和灰产特别发达,算不算是中国特色? 范:具体的某一点好像不明显。从我们整个的研究和实战化,我们现在做得越来越好。过去这方面我们有点跷跷板,现在好点,甚至好过国外。当然,相对而言,国外比较娱乐化。关于黑产,美国这方面肯定会有,但是不一定会反应到Blackhat的会上。有些东西不一定会反映,因为不是on the table的。 张:在你回国之初,有没有对国内第一波网络安全发展有过关注?像启明星辰、绿盟这样的,有没有对比分析过? 范:没有对比过,应该说没有可比性吧。我们这个领域(Web安全)当时没有专门的人和产品在Play,这一点我们还是比较清楚的。或者说,真正形成产品化、产业化,当时还没有。 张:当时是带着怎样的准备来回国创业的? 范:2007年初,我是带着成果回来的,算是Alpha版本的课题。回来后感觉小环境还是不错的。创业用的是自己的自有资金,我们09年才拿的天使轮。 “创业路漫漫,初心加平衡” 张:谈谈回来之后的创业经过吧?你一直在讲,环境不错,机会不错,运气不错,我感觉你似乎非常乐观。 范:也不是永远都乐观了,一开始没想那么多,只是想做一个东西。后来发现需要客户和实际应用,就有了08年底做奥运安保。当时国内的产品比较少,公安部推荐我们去的。 奥运安保结束后,发现有点入不敷出了,因为那时候安全市场还不够,客户意识和预算都不够。钱用的差不多了,我必须站在公司生存的角度去思考。后来好在出现了一些典型客户,09年我们获得了第一笔天使投资,是浙江的一家创投。情况就逐渐好了起来。 杭州创新创业的环境好,干扰比较少,加上气候宜人,包括资本、人才、产业链的环境等。这都是不错的。 在发展过程中,每个阶段都很重要,初期要一步一个脚印,比较努力,也比较幸运,有段时间压力很大,当时我09年差点要卖房子,但总体还是乐观的,因为对方向看的比较准。 张:你最早是做技术研究的,后来创业,你是如何从技术角色逐渐转变为管理角色的?有什么心得? 范:转换大脑,是的,必须要转换大脑,是左右半脑的转换。比如像我现在,还给自己一些研究技术的时间,要不断转换。之前也没有基础,自己边摸索边前进吧。如果说企业管理,若说有点关系的,我父亲算是个企业家,当时叫厂长,可能会有一点管理基因给我吧。 更多是要靠自己去悟的,个人觉得,最好的EMBA课堂就是在身边。当去发现问题,解决问题的时候,就是对管理学的深入学习。不断学习和实践很重要,国外知名商学院的各类教材其实都是滞后的。 还有就是榜样,像国内两大企业华为和阿里,都非常成功,虽然风格迥异,但都是经过了很多风雨,无疑都是企业管理方面的旗帜。 张:有没有在这种角色调整中遇到过挑战?甚至栽过跟头? 范:对我来说最大的挑战一直都是与时间赛跑,包括效率和精力上的。当团队不断扩大,在思维、理念的一致上,特别对文化的传承上都有挑战。企业规模大了之后,如何进行管理,如何始终具有互联网的创新力,又要保持务实、扎实的作风,这是挑战。 具体来说,当在人才观、价值观上,当我发现这两者不能完全一致的时候,一种就是希望通过沟通来达成一致,这是在一个频道上的,另一种则是末位淘汰。 总体上来讲,文化和理念的一致,比技术更重要。 张:你推崇怎样的理念和文化? 范:务实和创新的结合。首先是一定要扎实,服务客户的扎实;同时又要在创新上拥抱变化。另外是责任意识,这很重要,否则不会长久。还有,公司要有公平的机制,让有能力的人不断发挥。 张:对安恒发展的这半年,有没有较为明显的阶段划分? 范:在2008年之前,是从0开始的,直到奥运安保,我们初出茅庐。2008到2012年,企业开始真正关注这个领域,国家角度也在重视,我们在中国移动的采购会上打败了IBM,安恒小具规模。2014年,世界互联网大会,我们第一次服务这样一次盛会,这是对我们能力的一次阅兵,是重要的里程碑。到了2015年,算是转换期。安恒与阿里云战略合作,全面拥抱云。在下一个8年里,中国IT巨变,思维、模式、技术上,我们会以更大的步伐在这个方面发展。整体上,不管是技术储备还是发展思路上,我们都是非常清晰的。 具体来说,2008年,mass injection群注风暴,通过google搜索有弱点的网站,会自动注入病毒脚本,用户访问就会中招。我们在应急响应当中,通过日志发现了这个情况,即脚本的注入。结合美国那边的报告,我们在国内做了预警,这是国内最早的一次预警。在现在来看,如果具备全网视野,可以通过流量和大数据分析,就可以深度判断类似一些案例。我们的这些技术在不断演进,也是符合现在的理念的。 我们现在在智慧城市建设方面,也积极部署系列安全监测、防护、运维和服务。这在国内也是最早的。 包括这本书(范渊顺手拿出《智慧城市与信息安全》一书),也是我参与编写的,送你一本,呵呵。 张:这么忙,还有时间写书? 范:只要是有兴趣的事情,就会挤出时间。对我来讲,一直喜欢把一些积累的成果展示并分享出来。 张:回望中国信息安全,二十年发展历程,有过几波浪潮,最早也是第一波,像启明星辰,就很有学院派背景,领导人也喜欢传统文化,喜欢出书。作为第二波,你觉得安恒相比之下,有何异同? 范:产品形态不一样。当然,我并没有刻意地去对比,要说的话,第一波那时候更加不容易。2000年之前,网络安全刚刚浮出水面,出现了网络防火墙。而我是7、8年以后,这是两块领域。不管怎样,能够走下来到现在都不容易。能够把这个方向发扬光大,必然是把社会责任和企业责任充分结合的。 张:怎么理解企业责任和社会责任的结合? 范:需要寻找两者的平衡。对企业来说,首先是在为客户的服务中带来价值,包括预警、防护等,从数据中挖掘价值,来确保客户的业务安全。社会责任,比如大型活动的安保,从企业来说没有直接利益,但是社会责任是必须优先考虑的,很多时候甚至会上升到国家利益。当然了,太过注重后者,企业也受局限。但反过来说,社会责任也会带来反哺。从出发点来讲,单纯功利性的,很难做大。 社会责任还包括对人才的培养。信息安全的人才培养,我们启动的很早的。我们自己有专门的实验室。这也是一种社会责任,对企业利益不见得很大,但是对产业,对社会是很重要的。 除了企业的社会责任,企业家也有社会责任。我是杭州的创业导师,会尽量去做一些事情,做一些互动。希望创业者能够得到一些东西。 张:你怎么看创业? 范:我认为好的创业者,一个是有好的发心,初心。二是团队,互补的团队。三是不断地去与时俱进,拥抱变化。 现代企业管理,很多我还在摸索。任正非和马云,都是很好的榜样。他们企业的韧性非常强。比如任正非的华为,如何从传统开始,把握机遇,技术关是很难过的,如何到这么大的规模,他的管理,都是特别值得学习借鉴的。马云也是从白手起家,当时团队的方向也不是很明朗。 所以说韧性是创业必备的因素。其他还包括发现机遇、把握机遇的能力。 “传统文化与网络攻防” 张:之前接触安恒的员工,普遍对你有个这样的认知,说你是儒帅,你怎么看? 范:我还真不知道有这说法(笑)。要说吧,这可能是在讲,技术与商业的结合。 安恒讲究平衡,互相促进和互补。过于功利的文化不是我们倡导的,我们希望能把事情做到位,精益求精。但是具体做事,我们还是要讲价值,还是要做到最大化,让我们也能有很好的回馈。这两方面并不矛盾。 太极,也是一种开合,很柔很顺,以气养心,但该发劲的时候就会发劲。 金刚经里面也有这样的道理,不能对坏人仁慈。安全界面临很多黑色和灰色的地带,所以要有刚强的一面,你所具备的能力、武器、速度、气场要超过对方。 做事情就要做好,做人也要做到最好。 我认为我骨子里面的一些东西会随着岁月体现得越来越明显。 张:很多人对范渊的评价,一开始都说是从Blackhat出来的,是黑客,你觉得自己是黑客吗? 范:我从没有给自己太多的烙印。我只看平衡,攻防的平衡很重要,05年我在大会上讲的课题是防,06年是攻。 张:印象里最早是你提出的“未知攻,焉知防”? 范:未知攻,焉知防,是我说的。 以前有记者曾说我,是用黑客思维来打造网络安全产品,这种思维的确对我来说有很大的帮助。其实好的防守比攻更难得多,因为它需要面面俱到,这其实是很好的锤炼。这中间,攻守两者的关系要能很好地摆平。 张:说起来传统文化和网络攻防也有类似,都讲中庸和平衡,不能走极端。因为绝对的0和1、绝对的安全都是不存在的,最重要是拿捏一个度。但是度怎么去把握?也没有一个绝对标准,而且不断在变化,所以说,攻防是永远的话题,并且不断在动态发展。 范:没错。其实文化也分很多种,道教里面的阴阳、开合,都是和攻防这些理论思维有很多相通性的。世人都以为佛是仁慈的,但是金刚经里的金刚,对坏人,其实也是非常的硬。这个和安全理念也是相似的。做安全这行,传统文化也给我们不同角度的养分。 张:关于攻防,在认知和理念上一直也在发展,原来我们都说信息安全更多是防御,但是现在防不胜防,需要有威慑力。最近一系列访谈,我能看到大家很多共性,代表着趋势,但也能看到观念上的冲突,代表探索。 范:是的,也许会有观点上的冲突,像你说的大潘和方兴。我觉得他们都没有讲错,但都是站在自己的视角和维度去看一切。方兴是从整个云的角度,就觉得这个代表了一切的变化。大潘则站在传统信息安全行业的角度,强调理论研究和实际结合。 这两方面还是需要中庸,最终的观点是要结合的。所有走向云也不可能,但是也要拥抱变化,必须从里面看到从量变到质变的过程,在思维和模式上,都会有变化,未来五年,我们会看到。 “传统与变革,与阿里战略合作” 张:你现在做企业,从技术上讲,有没有觉得发展变化超出了自己的预期或可控范围? 范:没有。看到当初思考的东西在产业化,变为现实,从移动端到云,到形成大数据,都是技术积累自然形成的,而不是刻意去做的。我们现在专门有子公司做手机安全,保密手机,在我看来是未来移动互联网+的中间件。所以我们不是光为了做安全,更多是一种应用和属性,是一种互联网+的模块。比如说微信现在应用广泛,但也有致命的安全隐患。从政企角度,需要更保密的产品,像我们自己开发的密信。2B和2C之间还是会不同的格局。 张:安恒属于新一代信息安全企业的代表,不过,大致上讲,给人的印象是传统的,产品和服务形态,都是传统的。但现在市场的转变很快,有很多新的创业和模式出来,跨界甚至颠覆,观念上也多有冲突,你怎么看安恒现在的定位? 范:其实你看之前阿里安全峰会上,大潘引发的争论话题,就是这样子的。 我觉得这个问题非常简单。对我们来说,我们希望通过我们的技术,不管以什么形态,给政府和企业带来价值,在这当中体现出价值。这在过去8年和将来的8年都是不变的。只要抓住这一点,很多东西就很容易理解。比如技术上,趋势是往云端走,我们的产品和技术就有很多云端的技术。事实上我们现在已经部署了很多云安全系列。虽然技术上有变化,但是模型上并没有很大的变化。 同时,我们也要去协助我们的政企客户,比如金融、央企等,让他去拥抱云、大数据,我们依然作为背后的专家提供安全价值,作为第三方,这是有很大意义的。 技术和模式的演变并不是要否定传统,并不能刻意地认为一夜之间原来的没有价值,这也是当时大潘他们争论的焦点。我认为不同的角度会得到不同的结论,我很容易感受到两者巨大的差异和碰撞。当然,我们还是应该从技术、模式、思维上拥抱演变,促进演变,以此带来价值。浙江丽水政务云,整个云安全都是我们做的。包括其他很多省市,我们做了很多。这样的过程,在未来8年里,智慧经济是非常好的开始。 还有一种争论是关于等保的。 很多人在讨论这个,做是非判断的时候,甚至并不完全真正理解等保过程和内容细则。一方面,等保需要站在理论高度去吸收国外的东西,这非常难做到,因此他并不一定能够细化到某个行业内。有人说这是否扼杀了安全?恰恰相反,在当时没有任何法律法规的情况下,他是推动了自主可控的。公平地讲,在一个时间段内,他对国内信息安全意识的唤醒和宏观的技术要求,作用非常明显。另一方面,等保也在扩展,具体到行业需要落地,未来走向云,走向大数据,都需要这方面的扩展,国外这方面也在不断扩展。当然了,如果只把他作为应付手段,就有问题了,就是走偏路了。 当然,技术规范要求有滞后,这是很自然的,这不是关键。 张:但这也正是争论的一个焦点,就是以等保为代表的合规,最终都变成免责的手段了。 范:免责不是贬义词,国外也有免责。通过某种规范或者请第三方来做,通过权威的能力,能够实现事实上的免责。我觉得关键还在于真正利用这个东西去提高信息安全水平,这才是实质。通过规范,使安全报告更完整,让技术更进步。可现在,很多等保都被误用了,但不能说等保就是错误的。 我觉得关键是看企业要做虚还是做实。想做实,等保是非常好的抓手。下一步网络安全立法,企业应当借此夯实基础,而不是投机取巧。 张:我能不能这么理解,安恒对自己传统这一定位是非常认可的? 范:我们一直没有把自己定义为传统企业,但安恒也不会成为一家所谓的互联网企业,免费产品偷流量不是我们的作风。从这点来说2B的安全没有变化。包括与阿里云的合作,也是协助2B的客户,帮助他们去拥抱云。 张:提到与阿里合作,之前我一直在想,安恒和阿里都在杭州,一个搞安全一个发展云,按理说非常互补,合作是非常合理的选择。现在,我终于看到你们迈出了实质性的一部,能讲讲大致情况吗? 范:与阿里合作已经酝酿好几个月了,在此之前,我们和阿里在团队层面上已经有一些合作互动了。其实这也是客户驱动的,像丽水政务云,底层是阿里云,上面的安全是我们。很自然的客户就会说,你们干嘛不合作?对客户来说,也希望由独立第三方来提供安全,而不是一方独霸,我们在技术和业务上都是互补的。 我们和阿里战略合作,关于变和不变,都是基于为客户创造价值,而不是简单给客户免费。变的是模式、技术和思维,将来我们提供的产品形态和模式都会改变,包括云和大数据的结合,都是为用户带来新的价值。但我们做安全的初心是不会变的。 张:这种战略合作是绑在一起吗?安恒会不会选择其他合作伙伴? 范:我们也有别的合作,像Ucloud。但是阿里云在国内代表了云的发展,我们肯定会把精力放在主流上,因此,这会是一个全面的战略合作。 张:阿里安全这块一直强调自己是在做开放的生态链,除了安恒,新兴厂商会考虑加入,但对传统企业来说,也许会犹豫,怕一旦形成依赖就会尾大不掉,你怎么看? 范:我觉得开放合作迎接变革是大势。下一个8年是互相促进和成就对方,不管是从云的发展,还是大数据的发展,还是用户选择的趋势,我们都扮演了一个好的角色,和阿里一起,为用户提供服务。 张:除了合作,阿里对安恒会有威胁吗?比如都在杭州,挖你的人很方便,呵呵。 范:不可避免会有一些,但安恒完全可以提供具有足够竞争力的付出回报机制。我们希望能够吸收互联网思维,它有冲劲的特点,和我们的优势结合起来。 “关于未来” 张:听说安恒正在筹备IPO,能透漏一下吗? 范:计划明年吧,我们并不是很刻意,踏踏实实做好自己为主,上市顺其自然。这方面我们已经做好了准备,也许会是创业板。 张:能说说安恒未来8年的规划吗? 范:未来8年,国家智慧城市、互联网+等大方向上面是确定的,我们会在这块提供完整的产品和服务。 张:既然在拥抱云,那就现在的技术产品来说,有多少会转向云端? 范:安恒现有的所有产品,都有适用于云的模式。无论形态还是技术的变化,覆盖了检测、防护、审计等各个方面。 我们倡导产品变服务,这是一种商业模式的变化。用户subscribe了云也要subscribe我们的产品。这就是模式、思维和技术的变化。 张:这种转变会不会有困难?对很多传统企业来说,自内向外变革发展往往面临很大问题,通常要么体外发展,要么完全走资本运作的路子了。 范:没什么困难。对我们来说很自然。我们在技术上在实践上,包括思维上都已经很自然地到了这一步。大企业,可能在转变上面碰到很大的障碍,我们不会。即便有,也不会太严重。主要还是要去拥抱。 张:信息安全发展到现在,逐渐有了很明显的分化,传统企业和互联网,传统安全与工控、智能硬件、物联网、移动安全,你怎么看这种分化? 范:我觉得是正常的。事物本身的发展就应该这样子。 至于互联网的定义要探讨一下。如果互联网就是为了搞免费,搞数据,这模式对2B来说是会有问题的,2C的互联网思维模式不能照搬到2B。这方面来讲,像360对传统信息安全企业的冲击就不会太大,2C不会对2B有很大影响。从本质来说,在价值观和文化上,2B和2C是不同的。 张:未来2C和2B是否会融合? 范:短期内融合的概率很低。 尽管前期大家有很多恐慌,但是对2B市场的颠覆不是那么容易的。很多大面上还是合规驱动,合规驱动肯定还是会持续的。从美国来看也是如此。 张:我们看到,安恒也在做密信这样的2C产品,未来是否会考虑某种模式? 范:这个等有了好的答案再告诉你。 张:你个人看好有哪些行业创新?乌云是否很典型? 范:可能在一些分支领域,会出现一些新的业态,比如工控、移动等领域都会有。 至于乌云,我觉得有一点擦边球。但是在中国是不是一定要玩点擦边球呢?有些人会认同,某种意义上讲也算是创新突破。 理论上讲,发现对方的问题必须要得到对方的认可,否则可能构成非法侵入计算机罪。还有就是所获得的数据,即便没有夸大,你是否有这个权利?这两点可能是两个刑责,应当引起重视。 我觉得任何一个东西,风险是要不断去发现的,从这个角度大家是一致的。但是第一不要出现标题党,乌云现在喜欢故意夸大。第二不管是怎么发现的过程,没有通知就张贴,这个行为本身就是一个擦边球。所以我觉得它这个流程应该完善,否则总有一天会出事。当然,有些问题也没关系,对我们也是一种警示,我们不会太计较这个。 吸引眼球对互联网来说很重要,但是很多东西是迈不过的,可能还是需要运气。随着安全法的出台,会越来越清晰。 张:关于国家立法,你是否有参与? 范:有参与一部分,包括一些提案。法律的健全,对于产业发展会是很大的一个推动因素。 张:之前看到,安恒也有自己的新媒体,E安全。 范:是的,媒体很重要,我们现在自己出了E安全,这方面倒是可以和安在合作。 那就期待我们的合作吧:) 
|
川公网安备51172502000101号|蜀ICP备12010793号-4|企讯时报
Powered by Discuz! X3.2
© 2001-2016 Qx4.Cn Inc.
