论文部分内容阅读
当来自互联网内外的威胁成为众多国家最严峻的考验之时,正在逐步成长的中国安全产业面临着怎样的机会与挑战; 系列法规的实施,是否会对现有的产业格局带来强烈的影响; 在有组织网络犯罪的冲击下,我们能否把控安全之门?7月7日,本报总编辑孙定与启明星辰CEO严望佳就这些话题进行了深入的交流。
法规驱动安全产业变局
技术并非核心竞争力
没有哪项安全技术可以和其他的IT技术截然分开; 网络安全因传统的网络设备供应商与安全企业携手,而变得更加完备; 对于网络安全企业而言,技术并非核心竞争力。
孙定: 最近几年,全球信息安全产业出现一些变化: 一方面是安全形势尤为严峻; 另一方面,是网络巨头都高举安全大旗进入网络安全领域,譬如思科、华为、HP网络,你怎么判断这些变化对产业带来的影响和变化?
严望佳: 网络安全是一个既独立又不独立的行业,网络的安全性譬如说操作系统安全、网络设施安全、终端安全和应用系统安全等都是建立在网络结构里面各个元素的安全基础之上的,没有哪一项专门的安全技术可以和其他的IT技术截然分开。
思科、华为介入网络安全已有很长的历史,只不过当时没有足够大的市场来支撑网络安全独立地成为一个产业。思科在提供网络设备、进行网络研究时就将安全考虑进去。作为一家硅谷公司,思科习惯以并购形式获得好的团队和技术积累。
这几年来,随着政府、民众和企业用户对网络安全的重视,思科、华为加大了在网络安全领域的投入。但是,和以前相比,并未出现质的飞跃——迄今为止,没有谁能够提出较为彻底地解决网络安全的技术架构。
华为、思科不可能完全替代专业性的网络安全企业。相反地,网络安全因思科和华为这些传统的网络设备供应商与安全企业携手,而变得更加完备。
孙定: 我很赞同你的看法,网络设备商与安全企业的合作会让用户受益。那么,作为中国网络安全行业的领头企业和产业的见证者,你认为中国网络安全的技术水平到底处在一个什么样的程度?你认为我们的挑战和机会是什么?
严望佳: 我相信包括启明星辰在内的几家中国安全企业的技术积累已经达到了国际主流水平。
去年,启明星辰中了北京奥运会所有独立的安保标,其中,奥组委管理网专项安全保障项目、奥组委官方网站、奥帆委信息安全服务项目等均是独家中标。与此同时,启明星辰还同时参加了国家计算机网络应急技术处理协调中心、第29届奥运会安保小组、北京市公安局等多个国家级奥运应急保障工作; 承担了政府、金融、电信、电力、燃气、民航、海关等50多个客户在奥运期间的信息安全保障和现场值守工作。最终,我们圆满地完成了安保任务。
要知道,互联网是没有国界的,我们所面临的是世界级的黑客和顶级的网络威胁,如果我们的技术没有达到国际主流水平的话,是不可能在网络安全领域有所作为的。
但是,我不愿意过多渲染这种技术能力。一个原因是目前网络安全变得比较敏感; 第二个原因是安全技术本身并不能成为企业的核心竞争力。技术必须和客户的需求相结合才能产生价值。所以,我们要沉下心来研究客户的业务,研究他们的业务特点、所面临的风险、所遇到的问题; 第三个原因是我们要关注国家的政策层面,譬如说等级保护,我们应该怎样更好地为政策落地做好技术支撑。
依法设防是方向
依法设防很有必要,但对用户而言,并非遵从了法律就万事大吉了; 很难给产品贴上安全等级的标签,因为同样的产品,放在不同的环境中,安全性有所不同。
孙定: 你刚才谈到我们要关注国家的政策层面。随着近几年一些与安全相关的法规相继推出,有一种看法认为,依法设防将是产业发展的一个大方向。你是否也这样认为?
严望佳: 依法设防很有必要。对于国家主管部门来讲,从事网络安全工作,肯定要有一些管理的抓手,有了法律、法规以后,这个工作比较容易做好; 对于用户而言,在建设安全系统时,不仅有一个纲要和指南可以去依托,还可以加强大家的网络安全意识。
对于用户而言,并非遵从了法律就万事大吉了。譬如,启明星辰做了国家的软件认证、ISO认证等很多方面的认证,但并非为了做认证而认证,并不是说我们表面上贴一张纸,拿一个证书挂在墙壁上好看,而是要达到我们做认证的目标。在落实国家法律方面也是如此,要吃透本质,加强安全能力,否则也就是一张纸。
孙定: 既然依法设防很有必要,那我们启明星辰给用户提供产品、服务和解决方案时,会不会给它们贴上这样的标签——我们符合企业内控标准、我们符合等级保护第几级防御规范?
严望佳: 我们还没有贴出这样的产品标签。业界有企业这样做,我不敢评判其对错。
启明星辰现在提供一些协助企业遵从法规的服务,这些服务主要是帮助用户归避风险、定位风险、分析怎样将风险定值,然后帮助用户制作符合等级保护的安全建设的方案。最后,由客户自己定级,由国家主管部门来完成评级。
我们为何不将产品贴上等级的标签呢?因为产品到达了某个级别的意思是,提供某种功能产品是否放在合适的网络环境中,有没有起到专门的作用。举一个例子,譬如我们把一栋大楼做得像城堡一样坚固,采购了世界上最坚固的门。你可以说,这样就安全了吗?其实不然。
同样的产品,放在不同的环境中,安全性有所不同。因此,很难给产品贴标签。
孙定: 有人认为,如果往依法设防这条路上发展的话,整个安全产业生态就会重组。第一层是咨询业,按照法律、法规的要求来帮你诊断,你应该怎样调整、设防才合规; 第二部分是解决方案供应商、产品供应商; 第三部分是检验机构,譬如说等级保护三级以上每年检一次。你是否也这样认为?
严望佳:这是很正常的。一些大客户像中石油、中石化等实施IT时,先是请咨询公司针对IT建设,做一个特别详细的规划; 然后由产品供应商提供产品、系统集成商提供集成方案; 最后由监理机构做监理。将IT行业的一个结构应用到安全领域,同样也成立。
但是,这样并不能保证网络的绝对安全,网络安全的问题是动态平衡的状态,是风险可控的状态。就像我们人,不可能生活在一个绝对纯净的世界里一样,要想所有的网络里面都没有一点病毒、没有一个恶意代码,完全去消除网络犯罪,那是不可能的。
安全之门可把控
有组织犯罪的确存在,而且还很强大。但目前还处在一个可控的状态下,没有影响到日常生活。
孙定: 长久以来,用户和安全厂商一直在前线和黑客及各种各样的威胁做斗争。在依法设防后,对CIO而言,是不是只要按照法律、法规的要求执行网络信息安全,并且通过了国家的审计,就算尽到责任了?
严望佳: 你这样认为有点过激了。从理论上讲,你的逻辑没有问题,但现实生活中,符合法规、法律是一个最根本的东西,在法律下面,还有道德底线。
依法设防成为一条法律,肯定有主管部门对网络安全方面的思考和想法,其目的是提高国家网络安全的保护能力。对用户而言,他投资做网络安全系统建设,需要投资回报,需要了解除了要符合国家安全法律、法规的要求外,其信息安全到底处在一个怎样的状态,风险如何控制。
从我们做大客户的经验来讲,并非只要符合法规,出了事就与CIO无关了。如果出了事是要受行政处罚的。
孙定: 你认为现在的安全威胁,譬如说有组织犯罪是一个很严重的问题吗?有人把它说得很严重,说一些安全公司都是黑白两道通吃。我听说有家不知名的安全公司,员工在网上买东西从来自己不花钱,随便在网上找信用卡刷。还有一家俄罗斯的电子商务网站,专卖各种信用卡、密码、源代码、漏洞什么的。
严望佳:在网络虚拟空间中,有组织犯罪的确存在,而且,有的力量还很强大。但是,大家没有必要太担心,因为他们目前还是在一个可控状态下,还没有影响到老百姓的日常生活。
2001年,美国的一些大网站包括雅虎、e-Bay遭到大的攻击,全部宕机,当时美国正处在信息高速公路快速建设的轨道上。大家讨论,继续往前走,如果不可控的话,以后社会稳定都会成问题。最终大家还是选择往前走,因为IT技术带来的变革太伟大了,只要我们重视安全,这些问题还是可控的。
至于你说的安全公司员工上网买东西不花自己的钱,我没有见过这样的企业,或者说这样的企业还没有大到我们应该知道它。对于客户而言,网络安全是个大事儿,因为网络安全技术既可以保护它,也可以伤害它。因此任何一个客户选择网络安全供应商时都会十分慎重。就像你家请保安、请保姆,首先要考虑的是他的品行。
采访手记
源自精神追求的魅力
我很喜欢严望佳。
对我而言,她的独特魅力并非因为她有“女企业家”“女强人”“女博士”这样的称谓,而有所增强或者减弱。她的魅力来自她内心深处那种强烈的精神追求所产生的强烈气场。
认识严望佳是源自几年前要做一个海归创业的选题。当时,启明星辰还在农科院一个不起眼的小楼里办公。当瘦削、清秀的她接受采访时,我一直很讶异,这就是传说中的“中国网络安全一姐”,她分明就是一位外表文静、内心充满报效祖国热情的女学生。
1996年,沃顿商学院计算机中心系统分析小组的负责人、宾西法尼亚计算机博士严望佳在回国时,惊讶地发现国家信息中心采购国际最高端的设备,但信息安全在中国却是一片空白。“中国的信息安全应该由中国人自己来做”,凭借这一信念,从小到大都在校园里面生活和工作、没有任何独闯社会的经历、年仅26岁的严望佳卖掉了美国的房子、车子,回国开始了她那充满理想主义的创业之路。
13年过去了,启明星辰已走出了一条从国家科研项目实施到核心技术积累,再到推出自主创新产品,直至工程示范、产业化的高科技企业发展成功之路; 而当年的那个女学生已成长为一位充满智慧的优雅女性,虽然她的书生气、学生味儿依然存在。
中和、中正、自强、责任、沉静、承诺,是严望佳给启明星辰沉淀下来的企业文化基调,但如果没有强烈的、持续的、内在的精神追求,这些企业文化基因难以沉淀。要知道,在动荡不安的网络安全领域,耐得住寂寞、顶得住浮躁、专注地创新,并非易事。(文/毛江华)
总裁感悟
网络安全公司最重要的是信誉
严望佳认为,网络安全公司最重要的是信誉。其被信赖程度跟技术的前沿性同样重要,因此,多年来,启明星辰在其企业文化建设中,一直倡导正面的价值观——为国家、为社会承担责任。
“如果一个企业不对社会负责任,那么员工能对企业负责任吗?根本不可能。” 严望佳说。当然,一种文化的达成与构建,需要同一文化圈子里的人长期的坚守。
一方面,启明星辰坚守对员工负责。2003年非典期间,启明星辰几乎没了收入来源,不仅没有降低员工的薪水,还照样发放了奖金; 这次金融危机发生的时候,启明星辰就向员工做出承诺,不裁员、不降薪。“另外,我们内部还有一个爱心基金,谁有困难支持谁。”
另一方面,启明星辰做了很多公益活动,每年都在支持一些贫困大学生、支持一些教育的公益项目。今年遇到金融危机,启明星辰并未减少公益活动经费,“因为在困难的时候,他们可能比我们还要困难。”
法规驱动安全产业变局
技术并非核心竞争力
没有哪项安全技术可以和其他的IT技术截然分开; 网络安全因传统的网络设备供应商与安全企业携手,而变得更加完备; 对于网络安全企业而言,技术并非核心竞争力。
孙定: 最近几年,全球信息安全产业出现一些变化: 一方面是安全形势尤为严峻; 另一方面,是网络巨头都高举安全大旗进入网络安全领域,譬如思科、华为、HP网络,你怎么判断这些变化对产业带来的影响和变化?
严望佳: 网络安全是一个既独立又不独立的行业,网络的安全性譬如说操作系统安全、网络设施安全、终端安全和应用系统安全等都是建立在网络结构里面各个元素的安全基础之上的,没有哪一项专门的安全技术可以和其他的IT技术截然分开。
思科、华为介入网络安全已有很长的历史,只不过当时没有足够大的市场来支撑网络安全独立地成为一个产业。思科在提供网络设备、进行网络研究时就将安全考虑进去。作为一家硅谷公司,思科习惯以并购形式获得好的团队和技术积累。
这几年来,随着政府、民众和企业用户对网络安全的重视,思科、华为加大了在网络安全领域的投入。但是,和以前相比,并未出现质的飞跃——迄今为止,没有谁能够提出较为彻底地解决网络安全的技术架构。
华为、思科不可能完全替代专业性的网络安全企业。相反地,网络安全因思科和华为这些传统的网络设备供应商与安全企业携手,而变得更加完备。
孙定: 我很赞同你的看法,网络设备商与安全企业的合作会让用户受益。那么,作为中国网络安全行业的领头企业和产业的见证者,你认为中国网络安全的技术水平到底处在一个什么样的程度?你认为我们的挑战和机会是什么?
严望佳: 我相信包括启明星辰在内的几家中国安全企业的技术积累已经达到了国际主流水平。
去年,启明星辰中了北京奥运会所有独立的安保标,其中,奥组委管理网专项安全保障项目、奥组委官方网站、奥帆委信息安全服务项目等均是独家中标。与此同时,启明星辰还同时参加了国家计算机网络应急技术处理协调中心、第29届奥运会安保小组、北京市公安局等多个国家级奥运应急保障工作; 承担了政府、金融、电信、电力、燃气、民航、海关等50多个客户在奥运期间的信息安全保障和现场值守工作。最终,我们圆满地完成了安保任务。
要知道,互联网是没有国界的,我们所面临的是世界级的黑客和顶级的网络威胁,如果我们的技术没有达到国际主流水平的话,是不可能在网络安全领域有所作为的。
但是,我不愿意过多渲染这种技术能力。一个原因是目前网络安全变得比较敏感; 第二个原因是安全技术本身并不能成为企业的核心竞争力。技术必须和客户的需求相结合才能产生价值。所以,我们要沉下心来研究客户的业务,研究他们的业务特点、所面临的风险、所遇到的问题; 第三个原因是我们要关注国家的政策层面,譬如说等级保护,我们应该怎样更好地为政策落地做好技术支撑。
依法设防是方向
依法设防很有必要,但对用户而言,并非遵从了法律就万事大吉了; 很难给产品贴上安全等级的标签,因为同样的产品,放在不同的环境中,安全性有所不同。
孙定: 你刚才谈到我们要关注国家的政策层面。随着近几年一些与安全相关的法规相继推出,有一种看法认为,依法设防将是产业发展的一个大方向。你是否也这样认为?
严望佳: 依法设防很有必要。对于国家主管部门来讲,从事网络安全工作,肯定要有一些管理的抓手,有了法律、法规以后,这个工作比较容易做好; 对于用户而言,在建设安全系统时,不仅有一个纲要和指南可以去依托,还可以加强大家的网络安全意识。
对于用户而言,并非遵从了法律就万事大吉了。譬如,启明星辰做了国家的软件认证、ISO认证等很多方面的认证,但并非为了做认证而认证,并不是说我们表面上贴一张纸,拿一个证书挂在墙壁上好看,而是要达到我们做认证的目标。在落实国家法律方面也是如此,要吃透本质,加强安全能力,否则也就是一张纸。
孙定: 既然依法设防很有必要,那我们启明星辰给用户提供产品、服务和解决方案时,会不会给它们贴上这样的标签——我们符合企业内控标准、我们符合等级保护第几级防御规范?
严望佳: 我们还没有贴出这样的产品标签。业界有企业这样做,我不敢评判其对错。
启明星辰现在提供一些协助企业遵从法规的服务,这些服务主要是帮助用户归避风险、定位风险、分析怎样将风险定值,然后帮助用户制作符合等级保护的安全建设的方案。最后,由客户自己定级,由国家主管部门来完成评级。
我们为何不将产品贴上等级的标签呢?因为产品到达了某个级别的意思是,提供某种功能产品是否放在合适的网络环境中,有没有起到专门的作用。举一个例子,譬如我们把一栋大楼做得像城堡一样坚固,采购了世界上最坚固的门。你可以说,这样就安全了吗?其实不然。
同样的产品,放在不同的环境中,安全性有所不同。因此,很难给产品贴标签。
孙定: 有人认为,如果往依法设防这条路上发展的话,整个安全产业生态就会重组。第一层是咨询业,按照法律、法规的要求来帮你诊断,你应该怎样调整、设防才合规; 第二部分是解决方案供应商、产品供应商; 第三部分是检验机构,譬如说等级保护三级以上每年检一次。你是否也这样认为?
严望佳:这是很正常的。一些大客户像中石油、中石化等实施IT时,先是请咨询公司针对IT建设,做一个特别详细的规划; 然后由产品供应商提供产品、系统集成商提供集成方案; 最后由监理机构做监理。将IT行业的一个结构应用到安全领域,同样也成立。
但是,这样并不能保证网络的绝对安全,网络安全的问题是动态平衡的状态,是风险可控的状态。就像我们人,不可能生活在一个绝对纯净的世界里一样,要想所有的网络里面都没有一点病毒、没有一个恶意代码,完全去消除网络犯罪,那是不可能的。
安全之门可把控
有组织犯罪的确存在,而且还很强大。但目前还处在一个可控的状态下,没有影响到日常生活。
孙定: 长久以来,用户和安全厂商一直在前线和黑客及各种各样的威胁做斗争。在依法设防后,对CIO而言,是不是只要按照法律、法规的要求执行网络信息安全,并且通过了国家的审计,就算尽到责任了?
严望佳: 你这样认为有点过激了。从理论上讲,你的逻辑没有问题,但现实生活中,符合法规、法律是一个最根本的东西,在法律下面,还有道德底线。
依法设防成为一条法律,肯定有主管部门对网络安全方面的思考和想法,其目的是提高国家网络安全的保护能力。对用户而言,他投资做网络安全系统建设,需要投资回报,需要了解除了要符合国家安全法律、法规的要求外,其信息安全到底处在一个怎样的状态,风险如何控制。
从我们做大客户的经验来讲,并非只要符合法规,出了事就与CIO无关了。如果出了事是要受行政处罚的。
孙定: 你认为现在的安全威胁,譬如说有组织犯罪是一个很严重的问题吗?有人把它说得很严重,说一些安全公司都是黑白两道通吃。我听说有家不知名的安全公司,员工在网上买东西从来自己不花钱,随便在网上找信用卡刷。还有一家俄罗斯的电子商务网站,专卖各种信用卡、密码、源代码、漏洞什么的。
严望佳:在网络虚拟空间中,有组织犯罪的确存在,而且,有的力量还很强大。但是,大家没有必要太担心,因为他们目前还是在一个可控状态下,还没有影响到老百姓的日常生活。
2001年,美国的一些大网站包括雅虎、e-Bay遭到大的攻击,全部宕机,当时美国正处在信息高速公路快速建设的轨道上。大家讨论,继续往前走,如果不可控的话,以后社会稳定都会成问题。最终大家还是选择往前走,因为IT技术带来的变革太伟大了,只要我们重视安全,这些问题还是可控的。
至于你说的安全公司员工上网买东西不花自己的钱,我没有见过这样的企业,或者说这样的企业还没有大到我们应该知道它。对于客户而言,网络安全是个大事儿,因为网络安全技术既可以保护它,也可以伤害它。因此任何一个客户选择网络安全供应商时都会十分慎重。就像你家请保安、请保姆,首先要考虑的是他的品行。
采访手记
源自精神追求的魅力
我很喜欢严望佳。
对我而言,她的独特魅力并非因为她有“女企业家”“女强人”“女博士”这样的称谓,而有所增强或者减弱。她的魅力来自她内心深处那种强烈的精神追求所产生的强烈气场。
认识严望佳是源自几年前要做一个海归创业的选题。当时,启明星辰还在农科院一个不起眼的小楼里办公。当瘦削、清秀的她接受采访时,我一直很讶异,这就是传说中的“中国网络安全一姐”,她分明就是一位外表文静、内心充满报效祖国热情的女学生。
1996年,沃顿商学院计算机中心系统分析小组的负责人、宾西法尼亚计算机博士严望佳在回国时,惊讶地发现国家信息中心采购国际最高端的设备,但信息安全在中国却是一片空白。“中国的信息安全应该由中国人自己来做”,凭借这一信念,从小到大都在校园里面生活和工作、没有任何独闯社会的经历、年仅26岁的严望佳卖掉了美国的房子、车子,回国开始了她那充满理想主义的创业之路。
13年过去了,启明星辰已走出了一条从国家科研项目实施到核心技术积累,再到推出自主创新产品,直至工程示范、产业化的高科技企业发展成功之路; 而当年的那个女学生已成长为一位充满智慧的优雅女性,虽然她的书生气、学生味儿依然存在。
中和、中正、自强、责任、沉静、承诺,是严望佳给启明星辰沉淀下来的企业文化基调,但如果没有强烈的、持续的、内在的精神追求,这些企业文化基因难以沉淀。要知道,在动荡不安的网络安全领域,耐得住寂寞、顶得住浮躁、专注地创新,并非易事。(文/毛江华)
总裁感悟
网络安全公司最重要的是信誉
严望佳认为,网络安全公司最重要的是信誉。其被信赖程度跟技术的前沿性同样重要,因此,多年来,启明星辰在其企业文化建设中,一直倡导正面的价值观——为国家、为社会承担责任。
“如果一个企业不对社会负责任,那么员工能对企业负责任吗?根本不可能。” 严望佳说。当然,一种文化的达成与构建,需要同一文化圈子里的人长期的坚守。
一方面,启明星辰坚守对员工负责。2003年非典期间,启明星辰几乎没了收入来源,不仅没有降低员工的薪水,还照样发放了奖金; 这次金融危机发生的时候,启明星辰就向员工做出承诺,不裁员、不降薪。“另外,我们内部还有一个爱心基金,谁有困难支持谁。”
另一方面,启明星辰做了很多公益活动,每年都在支持一些贫困大学生、支持一些教育的公益项目。今年遇到金融危机,启明星辰并未减少公益活动经费,“因为在困难的时候,他们可能比我们还要困难。”