Sayings
“未来不管是山石网科也好,还是其他公司也好,要打造的都是整体安全防范解决能力,要从运营的角度来谈整个安全能力,而不是说从某一个产品的角度去谈。”
——山石网科董事长兼CEO罗东平
《安安访谈录》是界面财联社执行总裁徐安安发起的一档深度访谈类栏目。未来-5年,从投资角度对话位行业领军人物。本期对话嘉宾:山石网科董事长兼CEO罗东平。
前言
很多人心中都有一个黑客梦,记得当初我在大学读计算机系的时候,班里男同学们电脑里除了游戏,就是各种黑客软件,做梦的时候都想着入侵别人的电脑。00年左右我来到上海,参加的一次最难忘的活动就是中国最牛黑客组织,黑客*埔军校绿色兵团的聚会,很多年轻的优秀的黑客我们终于见到了。
00年,中美黑客大战,8万中国黑客一起行动,使中国红旗在美国白宫网站飘扬两个小时。他们自称“卫国战争”。此时,绿色兵团解散后的由兵团成员成立的中国红客联盟、中国蓝客联盟、中国鹰派联盟、中国黑客联盟四大黑客组织成为这场中美黑客大战的主力军。绿色军团的创始人是goodwell,那会我刚建立蓝鲸第一站点,里面有很多重要数据,让他帮我测试了下漏洞。后面几年也认识了其他一些黑客,但已经没有大学那会认识的的情意深重了。不管怎么样,对网络安全从业者,内心总有一种情感。这是我进行这次采访的原因。
网络安全从业者总有点亦黑亦白的意思,要想“防”好,就需换位理解怎么“攻”。左右互搏中,思路要清清爽爽,不能走火入魔把自己弄分裂。所以能在网安行业长期站稳脚跟的从业者,即使属于言语不多、见人羞涩、情绪极少有波动的类型,我也觉得他内心住着个超然的得道高人,凡俗之事已超越不了攻防之乐。这几年在一些大型活动上,却也偶尔能碰到纯技术背景的罗东平开始为网安行业站台发声。
正好,财联社旗下的科创板日报江西站加速器和江西省的合作伙伴中科心客(江西省内规模最大、服务类目最全的创业服务机构)在一起参与组织“00第二届滕王阁创投峰会”,是一个对接省内外产业、资本、*府支持的很好机会,科创板日报便邀请了罗东平一起参与。目前,科创板日报的地方站加速器已在上海、山东、广东、江西、四川、武汉入住,即将入住安徽、江苏、浙江、西安等省市,希望联合熟悉的科创板上市公司,深度整合服务各省科创早期企业、拟科创板上市企业、*府、科研、资本、及产业资源,为企业发展加速。
在和罗东平聊天前,我在财联社App里搜了一下“网络安全”,一方面陆续看到了*府受攻击、公司信息系统受攻击的电报,另一方面*府*策细化和网安产业园建设的报道也逐渐频繁。黑白双方速度的比拼下网络安全行业会何去何从?一直想通过打造生态体系重返企业安全的60在00年月8日到月9日一个多月里间接增持山石网科股份从原有的%到近0%。B网安行业格局又会有哪些新的变动?让我们听听山石网科的带领者,在网安行业奋战数十年的罗东平先生的讲述。
——徐安安
嘉宾核心观点
①新技术的普及带来新防护方式的需求,网络安全在边界、内网、云、数据、AI、5G、移动互联、IoT、工控系统等领域为可持续发展提供基础保障。②市场需求目前主要依赖*策的合规性驱动,在金融、电信、*府、互联网、教育、医疗等领域都有广泛应用。③但如果仅靠*策驱动而没有主动安全意识的培育就会出现只关心“有没有”不在乎“好不好”的现象,造成销售上的非市场化现象,网安行业最终比拼的应是产品力和国际认可度。④行业后来者进入的一大壁垒是产品稳定性的长时间验证。未来网安产品会向结合业务和网络的整体安全防范解决方案发展,而不是单点解决能力。
网络安全简介
想低调但实力不允许的小财猫赢了一本武林秘籍,战战兢兢生怕被抢去或掉包,于是想了几个方法来层层防护:首先,对比了好几个小区,选了大门口和楼前都有猫头鹰时刻站岗的,这样居民楼以外有了基本保障;楼内,住在隔壁的老王看起来怪怪的,于是小财猫买了安全级别最高的锁来防范楼内居民;家里,爱交朋友的小财猫常常有很多朋友拜访,每日猫来猫往的所以又买了个保险柜放秘籍。同样的,网络安全是通过对软硬件和其中存储数据的层层保护,来让网络中传输的信息可控可审查、不泄露、不被修改、业务可持续运行。以下是本次专访全文:
关于应用
网络安全在边界、内网、云、数据安全、及应用新技术的终端上都有广泛布局的必要性。安安:近几年不管是*策上如《网络安全法》、等保.0(《网络安全等级保护技术.0版本》)、《网络安全审查办法》、《数据安全法(草案)》、《5G安全指引》等的推出,还是技术上如移动互联网、大数据、5G、云、物联网、工业控制系统等的逐渐成熟应用,理论上都给网络安全行业带来了更广泛和多元的发展空间。但是目前在应用层面还是关键行业监管层有意识的在驱动,执行层面很多是为了满足合规。你可以用通俗的语言科普一下作为企业成本项的网络安全主要在防护哪些地方吗?罗东平:如今的网络,其实所有的核心业务都在上面。那么务必不能让所有人都进来,不能所有人都看到,然后网络本身不能中断,就是你的业务不能中断。以上这些都是网络安全需要防护的地方,要保证一个组织、一个企业可持续的安全运营。要做到这些,就有很多方法去保护了,因为让业务中断的方式也很多。所以安全领域非常广泛,每一家网安企业只做中间的一部分就很不错。试图将所有的安全方面都做起来的企业,世界上不存在,将来可能也不大会存在。具体到我们这类企业做的网络安全:首先,一个网络总要有边界,边界要防护住。我们很熟悉的一些边界防护有防火墙、IPS、IDS、WAF(Web应用防火墙);还有些本质上并不是安全防护比如应用交付,它只是让业务跑得更顺畅,不能说有些业务应该优先的,然后因为被别的业务把资源占住,它的业务就慢了或者中断了。没有这层防护,有什么问题呢?比如说你家里,如果没有门和锁,那么犯罪成本会降得很低,因为原来不可能犯罪的人也可能进到你的家里来。所以边界刚开始的安全就是先给边界设个关卡,至少你是谁你来干什么我得知道,边界防护到现在为止依然是网络安全行业非常重要的一步。那么把边界防护住了,是不是就一定能够全防护住呢?可能好多年前还可以说,嗯,差不多;但现在不行。边界必须防,但还是有很多东西会进来,比如过去你能查到的东西现在不一定查得到,以前我们知道的东西我能查到,突然出现新的东西可能就不认得,或者它还会通过很多其他方法绕过你的边界。就像十多年前移动设备开始出现,新的攻击方式通过移动设备进来了,内网就变成一个很脆弱的地方,因为内网不会有边界为有一个地方我能所有流量经过时可以查,所以我们在这方面花了很多精力。有攻击者进到你的内网里来,它是不是一定给你造成伤害?未必。刚进来的时候,它还是要做很多事情,才能逐渐逐渐地到达那个权限,拿到你的东西,这过程有几小时、几天、几个月、甚至一年。这实际上给网络安全和我们做防护的人提供了一个时间和一个空间,因为这个空间阵地本来是我们自己在的,所以我们可以在这个上面做很多工作。在内网,我们通过很多探针,通过态势感知,通过中心的数据分析平台,把从边界上、内网探针上、终端上的信息汇集起来,可能从某一点上看你未必能感觉到它有什么问题,但以后慢慢理解、关联起来,就会有判知。现在内网安全的重要性其实应该和边界安全相提并论。然后再往里看,现在企业上云已经是不可逆的趋势,因为云给企业带来了太多好处。任何一个运营公有云的厂商,一定会把云本身防护的特别好,因为责任很大,头部的几个云服务提供商都非常厉害,安全能力极强,所以上云是没问题的。但是有一个问题,比如我们两人入住到同一个楼里,我们住的空间彼此不做隔断,可以互相走动,但不是通过正常的朋友串门,而是通过攻击的方法,所以一定要把云内防护好,因为内部也是有连接的。在中国私有云市场相比美国占比更高,私有云上全是虚机,虚机没有隔离有一个严重问题,就是如果有一个虚机被感染了,立刻就传染开了,有点像疫情期间的情况,而你有所的数据和业务等资源都集中在这个云上,所以虚机都得带个口罩微隔离。最后再进一步,当我们去防护整个安全,肯定要防护数据安全,5G的切片也是一个直接防护场景,方方面面很多可以做的事情。安安:所以说每一次新技术的发现和普及也促进了产品的多样化。罗东平:是的。比如工业互联网,原来很多工业设备并没有在网上,未来都要,工控安全就很重要了,因为会直接影响生产甚至个人生命,像自动驾驶等。所以任何一个新东西出来,安全需要保护的范围又进一步扩大了。在安全上我们投入的精力远远不够,发展太快,底下很多漏洞,一旦遭受攻击,建再高的楼,地基不稳,塌的更厉害。所以说网络安全不是企业的成本项,而是经营、利润、发展可持续的保障。关于需求目前网安行业需求主要来自合规驱动,一些大的安全需求方也在积极布局,相关*策有向细分应用领域细化的趋势,行业规范性向好,投资市场热度持续。安安:网络安全的防护场景罗总讲的非常浅显清晰了,应用领域包括实体网络的边界、内网、云、数据、终端等。那么很多企业不重视网络安全的原因你觉得是什么?罗东平:国内在安全上的投入是IT总投入的~%。大家总觉得这些安全产品可有可无,有了也没感觉到对业务有什么好处,没了好像也没什么事儿。只有比较大的安全事件发生时大家才会觉得比较害怕,比如三年前的勒索病*,一旦锁住只能交钱打开,你就明显感觉受到了威胁。从一般的理念看,都是想发展不想受限制。比如本来业务跑挺快的,非要加上安全,那要处理较多东西时,可能速度就会减缓。这说明安全产品没有做到位,真正的好的安全产品用户不应该感受到,更不应该自身就有安全问题。安全产品要能看的全、可量化、智能、可协同。我们最近也提出了一个新的理念叫可持续安全运营,简而言之就是安全要与发展并重,随着企业的发展安全逐步提升,适合最重要。这些道理企业都能听明白,太多技术的东西就没必要讲了。安安:一、二级市场中各细分安全领域比如数据安全、工控安全、风险管理、物联网安全等的从业厂商都有持续的获得融资或者并购,一些大的安全需求方如电信、互联网、高端制造行业也开始布局自己的安全公司,比如中国电信在网安方面就有很多布局和合作。目前驱动行业发展的因素有哪些?罗东平:其实过去很多年合规性都是一个主要驱动,比如你说的《网络安全法》,等保.0对云上安全的规范,国家“新基建”*策等带来的产业链机会,以及《促进网络安全高质量发展的意见》、《5G安全指引》的规划出台等等。管理层知道其中的危害,所以国家层面和地方*府陆续都有针对新兴技术及相关产业的安全法规出台。但是完全靠*策驱动来做,产业不好发展,合规的意思是说有就行了,管不管用并不在意,那就失去安全的本意停留在很表面了。所以现在公安部等管理者开始护网了,就是他攻击你,你要防得住。但*策的推动其实是慢的,还是需要企业自身有这种格局和意识。安全防护真正起作用需要管理和懂安全产品规则的人来在内部建立一个体系。另外就是技术的发展,早年通过摄像头和DDoS(分布式拒绝服务攻击)进行攻击的很多。5G、IoT普及以后会有一大堆安全问题,现在大家是用手机,未来咱们坐在这儿的时候,浑身上下会有很多可以被攻击的互联可穿戴设备。我们也会在一些新技术方向的源头上积极布局合作。安安:网络安全防护主要应用在哪些行业?罗东平:从安全防护的最高要求来说,关键信息基础设施如能源行业的等保级别是最高的。我们面对的第一大行业是金融,包括国有行、股份制银行、农商行、保险、证券、交易所。如果把华为也算作安全公司,我们在金融领域和它是并驾齐驱的;如果它不是,我们在金融里头就是第一品牌。我们在金融做的是这些大行的生产网,生产网和办公网不一样,业务网、生产网部署在核心要害的地方,对产品的要求是极其高的。第二是运营商如中国电信和中国移动,第三是*府,互联网、教育、医疗这些也是我们覆盖的特别好的行业场景。安安:你刚才提到了华为的安全产品,公司和华为在金融安全领域是竞争关系吗?罗东平:我们和华为有一部分相同的产品线,肯定有竞争关系,但同时我们也是合作伙伴。比如我们可以支持华为云上的安全,国内某大型国际机场的华为云安全就用的我们。所以在有些场合我们也合作,互相要对接产品,有些时候也会直接竞争,我觉得这都还挺正常的。
关于技术
产品稳定性等性能需要时间验证成为后来者进入的壁垒,未来强调结合业务和网络的整体安全防范解决能力。安安:网络安全行业内主要的产品形态有哪些?罗东平:网络安全产品未来的形态有三种:硬件形态、软件形态、服务形态。硬件形态产品的标准已经比较完善,国家在逐渐修订各种各样的硬件平台的标准,比如防护墙的标准、IPS的标准、网闸标准等。目前市面上的硬件产品,基本上都已经有最新的标准发布或者标准正在修订、在审批。软件的标准相对来说没有硬件完善。因为软件变化比较大,比如像云安全的标准已经制定了一些,但是都是针对服务类的,针对于云产品本身的标准现在还在制定之中,没有正式发布。第三类实际上是以服务的形式来保障安全,比如安全云的这种方式,包括一些提供安全的类似于SaaS(软件即服务)等服务的内容。其实还有第四类,就是纯粹的安全服务类型,比如渗透测试、漏洞扫描等,这些服务也有相应的标准和技术能力的认证。安安:目前网络安全行业通用的、比较成型的标准有哪些?罗东平:目前,在网络安全领域应用最广泛、最被熟知的标准族有四个:一是网络安全等级保护.0标准族。它的应用范围最广,除了个人与家庭,所有组织的网络安全标准基本都涵盖其中。二是关键信息基础设施保护标准族。它主要针对事关国计民生的关键信息基础设施,比如电信网络、能源网络等。三是信息系统分级保护标准族。主要针对涉密国家秘密的信息系统。四是密码标准族。主要针对各种需要密码认证的信息系统。安安:对行业内的从业者来说,做产品的一个最大的门槛或者壁垒在哪?罗东平:我说一下山石的一个技术门槛吧,别人一直很难跨越。因为我刚开始在创业公司的时候是芯片工程师,所以在做安全产品的时候想采用一个全分布式并行的架构。这个架构的好处是,当客户网络带宽随业务量增加后,分布式可以做绑卡通过多用CPU来提升性能。我们云计算的产品能几十天就做出来也是因为过去全是分布式架构。另外,换成性能较低的国产CPU时,只需要多加CPU就能到达5G等要求的速度提升,不需要依赖单个CPU的性能。我对芯片产业链特别熟悉,在这个产业链上我比较悲观,我认为追赶还是需要比较长的一段时间,但是不能干等着,我们可以用系统架构来解决。系统架构这条路好但是难走。当中一个重要问题是所有的处理器要分布共同做一个工作的时候,处理器之间的协调工作是一个极其复杂的工程问题,这工程问题并不是说大家不会做,是做出来以后,产品极易产生bug。我们一开始就这么做,也有很多bug,但经过这十几年,我们现在这种架构的产品全是用在客户最关键的地方,已经非常稳定了,所有的坑早被我踩完了。可以理解为时间门槛吧。安安:公司未来在技术上有什么布局?罗东平:现在看来,硬件、软件、服务都是安全底层的基础,但是安全应该是一个总体性质的。所以网络安全的未来方向一定是一个整体方案,而不是某一个点的方案。不管是从安全行业的角度,还是从用户的角度来说,更加需要的是一个从软件到硬件到整体,以及传统的安全服务构成完整的安全防护能力。但是现在在整体的安全能力上,还没有一个完善的、整体的国家要求或技术标准。未来不管是山石网科也好,还是其他公司也好,要打造的都是整体安全防范解决能力,要从运营的角度来谈整个安全能力,而不是说从某一个产品的角度去谈。比如说微隔离实际上是一种技术,零信任是在微隔离之上的更大的技术范畴,微隔离只是零信任的一个技术点。包括现在的SASE(安全访问服务边缘)其实都是把安全和业务运营、和网络运营结合在一起。所以未来的网络安全和网络运营、和应用运营是完全分不开的,它一定是在业务运营或者网络运营上把安全整合进去。比如SD-WAN(软件定义广域网),包括SASE,其实都不能说它是网络运营,也不能说它是安全运营,它是一个带有安全性质的网络运营。所以不管是国外还是国内,都在向这方面做转型,也在做相关的布局。
关于销售
销售端有劣币驱逐良币现象,长远看好有国际市场竞争力的企业。安安:整个网络安全行业的大小厂家非常多,之前也和做网络安全的朋友聊过,在销售端还是有一些非市场化的现象,行业整体目前是否还是偏混乱一些?罗东平:嗯,确实是这么一个状态,这个非常不利于行业发展。中金之前统计说整个安全行业有两千四百多家企业,会有劣币驱逐良币。但我觉得已经看到进步了,我还是挺有信心的,过去显现不出来的危害现在慢慢显现出来了,所以未来还是看好。行业里也有很多认真做事的企业在对市场进行教育,这个体系化的安全意识是需要大家一起来推动的。安安:如果走国际化路线,销售上受到的制约会不会少一点?罗东平:应该是这样的,山石海外收入占比目前还不到5%,但海外市场的空间很大。首先你要出去PK,面对的就是美国、以色列等国PaloAltoNetworks、Fortinet、CheckPoint这些大厂,通常国际上比较看重的还是产品本身,你的技术、产品要有实力跟人家竞争。但是,我也觉得中国这些能成长起来的几个头部安全企业一定要去全球市场占一席之地。虽然中国市场现在是一个爆发性市场,等保.0、信创、新的IT发展等等一波波利好,但是目前还没有网络安全行业的龙头,现在刚出现几个也是以资本的方式堆成这么大,这么做对不对我也不知道。我认为将来的大厂家一定是一个不仅覆盖中国也要覆盖全球市场的厂家,山石是有条件走这条路的,这也是我们希望将来能走的路。比如国内也有很多的评选,我觉得不如找一个全球公认的,Gartner在这一块儿是始祖而且分类很全面,各个行业都有一套方法论去评判,所以我让产品参与到Gartner的国际评选。今年Gartner刚发布的全球网络防火墙魔力象限报告,我们就又进步了,走到前瞻性接近中线那儿了,中国安全厂家还从来没有人走到过,我觉得挺高兴的,但我的目标是走到右上角象限去,现在全是全球头部的几个厂家在那儿。
关于人才和发展
智力密集型企业要有人才培育机制来保证可持续造血,网安行业应最终比拼产品力。安安:互联网的高速发展让未来很长一段时间都会保持相关人才的稀缺状态,网络安全行业尤其是这样,公司如何解决呢?罗东平:确实是这样。过去我们连网络安全专业都没有,现在有了,可能第一批学生也该毕业了。我们是这样解决的,我有自己的专家来形成了一套体系,每年校招会招相关专业的,比如数学、计算机、电子、工程、工科这些,这些学生来基本素质要比较好。过来以后,我们对他进行培训,公司内部还有山石大学。我觉得既然还没有这样的人,我们就自己培训,这样让人才不断的形成梯队,自我造血。因为人才有流动性,你也不能保证一人在你这儿永远待着,这种造血的机制已经完全形成了,所以对人才的培养我们还是做的挺好的。安安:你对网络安全行业的规范化发展有什么建议?罗东平:互联网行业常常会看到很多因为商业模式创新而发展起来的独角兽,角度是缩短供应链、提升效率,并促进了社会角色的重新分配。网安行业不适合在商业模式上做模式创新,而是要比拼系统化体系化组织下的产品力。如果真正要为这个行业做事情的话,大家真要静下心来把自己的产品真做好。任何产品都会有问题,我们只能尽心尽力的把产品做到你能做到的最好。防护别人安全,自己尽量不要有问题。对自己要求高认认真真在研发上投入的企业也有一些,对比投入很低的企业,招投标时如果对方报价很低,这个生意就没法做,不可能亏着钱去卖,因为我需要持续的研发投入,这个确实是一个难受的事儿,但是没办法。我觉得行业内共同努力吧,而且我也觉得行业在向好的地方发展。
本期特邀点评分析师:中金公司科技软件行业首席分析师钱凯
、安安:新基建七大领域都和网安息息相关,具体会利好哪些细分领域?
钱凯:新基建对应的均为关键基础设施,针对网安行业,我们建议
