APP下载

坐在安全之巅 方能静看云卷云舒

2016-12-15王盈

软件和集成电路 2016年10期
关键词:数据安全

王盈

明朝万达生产大数据,又通过各行业的协调和各种数据安全的处理技术,为社会提供数据服务。以数据安全为核心切入业务,只有真正将数据安全和业务相结合,才能做好数据安全,并推动业务来生产数据;通过数据对外的服务平台,将行业逐个做深。

“近年在国内数据安全领域,起起落落的公司至少有几百家,但坚持下来的寥寥无几,绝大多数公司都在激烈的竞争中消失或被收购。”谈及此,北京明朝万达科技股份有限公司董事长兼总裁(以下简称“明朝万达”)王志海难抑感叹。

值得庆幸的是,明朝万达坚守到了柳暗花明。明朝万达从2005年成立开始,就一直做数据安全。“我们最早投入的是研发制造型企业和科研院所。原因在于,当时研发制造型企业间的竞争激烈,人员流动性大,为了保护知识产权和数据竞争力,这些企业成为最早一批关注数据安全的群体;设计院所的核心竞争力是图库,需要长年的积累和大量的资金投入,为了保护图库安全,设计院所也较之其他行业更加关注数据安全。明朝万达正是瞄准这一机会成立。”王志海回忆起公司成立的始末。

大数据仍处于摸索阶段

虽然现在从事大数据方面的公司数量可观,大数据发展的整体态势较好。但王志海认为,国内大数据仍处于较初期的摸索阶段,整体体现在以下几方面:

第一,真正依靠大数据产生价值的公司并不多,收入规模也不大。贵阳大数据交易所2015年的交易额也仅6000万。

一方面,因为目前有价值的数据得不到保护,导致做大数据的企业很难做大。“据了解,在贵阳大数据交易所购买一条数据的价格,可能与在地下黑市购买100条、甚至1000条数据的价格相当。试想,当大家都可以轻而易举地用低廉的价格从多个渠道买到数据时,大数据产业链还能发展起来吗?所以数据安全是整个大数据产业发展的核心。只有做好数据安全,大数据产业链才能建立起来。这也是明朝万达做数据安全的动因所在。”王志海分析道。

另一方面,贵阳大数据交易所的数据是各行各业的公开数据,价值下降,而有价值的数据大都掌握在政府手中,但政府部门基于安全、利益等多方面考虑,缺乏对数据进行开放、融合的动力,对于如何融合还存在困惑。要打破部委、各省层面的数据壁垒,还存在很大难度。在王志海看来,数据融合目前只能在贵阳等地市一级先行试点。

第二,大数据相关的基础支撑设施,比如法律法规、安全保障等还不完善。大数据要真正发展,安全是题中之义。遗憾的是,目前除了银行,其它行业相关的法律法规、规则标准几乎无一出台,“盲目”可以说是现阶段各企业扎堆进入大数据的写照,这会给大数据的发展带来大量风险,阻碍大数据产业长久、健康地发展。“比如,交通系统如果没有安全保障,车将撞得一塌糊涂,道路将拥堵不堪,所以安全是大数据的基础设施。”王志海形象地举例说,就此,他强调行业的法律法规、价值交换的规则、隐私的标准等亟需出台,这样大家会更加了解哪些行业的哪些数据需要保护,从而更加明确技术研发的方向。

第三,目前国内真正拥有自主技术,或形成完整体系的公司还不多,且较为分散。“现在大部分大数据公司,与其说是将大量数据集成并提供服务,不如说是数据的二道贩子。从短期看,这些公司抓住了一些噱头,收到了一些效果。但从长远来看,他们没有实质性的数据来源。

第四,虽然从事各类业务的大数据公司较多,整体发展形势较好,但规模都不大,定位也不够清晰,总体处于比较杂乱的状态。“大数据的应用一定要和业务结合,大数据要真正体现价值,恐怕只有在这个环节进行突破。”王志海解释说。

整个IT世界悄然变化

第一个维度,从整个信息安全的发展看,信息泄漏日益严重。10年前,网络安全事件多是某网站被黑客攻击了,这种攻击行为大多不带有明确的政治目的或经济目的。但从最近5~6年开始,已从纯粹个人英雄主义转为具有明确商业目的和政治目的。大部分网络安全事件是信息泄漏,网络攻击行为多是为了窃取数据。如前两年比较热的APT(高级持续性威胁),其攻击手法就是潜伏在用户系统中,用各种手段不断窃取数据。

第二个维度,从整个安全角度说,信息泄漏只是冰山一角,地下黑市中未被曝光的数据不计其数。因此,传统上仅保护网络安全或系统安全已经意义不大,数据安全本身已经成为新一代信息安全的核心。

第三个维度,信息化在不断发生变化,大数据、云计算、“移动互联网+”,以及促进数据的开放共享,这些变化将导致网络边界模糊化。国内的安全公司多为边界保护防火墙,将网络边界守住以保证安全,但现在这种方式已不再适应发展潮流。信息化的核心价值就体现在数据上,企业正是通过使用和交换数据体现信息化的价值。在得到数据所有权人授权的情况下,数据在交换和使用时,数据的边界会被打破。

这时我们就要在安全上把关。例如不知道云计算的物理边界在何处,就无法进行安全保护。“不管物联网还是移动互联网,都不能再简单地对边界进行限制,而是要让数据充分地流动,才能最大程度实现价值。政府提倡大数据的开放,其实也是在促使数据的流动。”王志海说道。

第四个维度,数据安全是整个信息化管理不断深入、细化的过程。在最早的管理信息系统网络中,进入计算机网络系统,再登录到应用系统,所有数据权限是公开的;现在会针对不同的人设置不同的权限,把数据甚至数据单元做整体的权限控制,因为数据太有价值了。

大数据要和业务相结合

安全是什么?王志海认为,安全其实就是数据安全,它一定要融合进业务,成为业务生态信息化系统中不可分割的一部分。比如高速公路上有很多摄像头和安全设施,都跟业务融合在一起。“把大数据比作整个信号系统,各类型的数据类似于交通情况,其中的车、人、货物是原始的数据,所对应的应用系统和业务系统类似于道路,可以引导加工处理这些数据,再生产新的数据以连接终端。”王志海形象地比喻道。

真正的安全必然是跟业务融合在一起,这正是明朝万达收购以公安行业为主要业务行业的紫光金之盾公司的动因所在。过去,因为没有相关的安全保障,公安各系统之间是封闭的,数据无法流动。现在我们要重新设计系统,将数据安全技术和云模式相结合,保证系统中的数据实现互联和提效。比如公安抓捕的毒贩是四处逃窜的,这给抓获破案带来很大难度,新的安全系统可以提高业务系统价值,在保证数据安全的前提下,使公安部门放心地将数据互联互通,从而大大提高办案效率。

大数据最终要和业务结合,包含两个层面的意思:一是在业务系统中生产数据;二是在业务系统中使用数据。“以公安行业为例,公安部门会生产大量数据。比如全国反电信诈骗系统,它首先在不断地生产数据,我们再通过大数据的分析做案情的侦查,最终找出诈骗点。又如禁毒系统,在这方面,快递行业拥有大量有价值的数据,比如数据显示有10个吸毒人员都经常通过顺丰快递联络某个人,就可以判断那个人可能就是贩毒的源头。”王志海举例说。

“日前,我们收购了一家做全国公安反诈骗的公司,这家公司为公安部做了禁毒、刑侦等系统。收购后我们打算把系统以云的方式运作,而云化要解决的核心问题就是数据安全。”王志海如是说。

“我们在银行最早接触的是安全部门,因为银行普遍认为,数据安全只是安全产品。但在很多银行,我们是和软件开发部门、业务部门直接对接,通过这种方式,对用户和业务的理解越来越深。”王志海再次强调,数据安全只有和业务系统融合在一起才能做好。“反过来,我们又通过数据来支撑业务的发展。以高速公路为例,河北和广东高速公路的部分规则和相应的安全措施就因地制宜、不尽相同。”

明朝万达生产大数据,又通过各行业的协调和各种数据安全的处理技术,为社会提供数据服务。就此,王志海介绍了明朝万达整体的战略:“一是以数据安全为核心切入业务,只有真正将数据安全和业务相结合,才能做好数据安全,并推动业务生产数据。二是通过数据对外的服务平台,将行业逐个做深。”

做高大上的客户就做高大上的行业

目前,明朝万达在行业的领先优势已经确立,其中公安和金融行业是公司的重点行业和成功范例,是明朝万达做得最成体系的两个行业。

在公安行业,明朝万达已开始研发公安系统的安全应用。“我们参与了从2016年开始建设的公安移动信息网,原称‘移动警务。过去公安系统一直对外封闭,而公安移动信息网类似于公安外网,将真正实现信息开放。开放与安全问题一直如影随形,要将民警、协警、“朝阳大妈”,以及便民服务等内容纳入公安移动信息网,真正实现开放,就必然要以数据安全为核心,这是我们在设计信息安全体系时秉承的关键点。”王志海如是说。

在金融行业,明朝万达主要服务于国内的银行。“我们接触四大银行的进程相对较慢,但也在有序推进中,目前,我们在为工商银行做数据安全整体项目的规划。而12家股份制银行大都已是我们的客户。”王志海介绍说。“我们从2012年开始,为光大银行提供数据安全服务。目前,光大银行的数据安全管理平台等各种应用都需要和我们对接,即光大银行的应用开发要调用我们的接口,把安全能力集成到它的应用中。我们已变成一个数据安全的‘中间键。”

目前,明朝万达刚进入第二阶段—以中大型银行为目标客户群。而超大型银行仍处于较谨慎阶段,但已做了数据安全的相关部署,90%以上都有需求和意向。

成绩的背后是荆棘。王志海谈到银行,一路走来似乎尤为不易:“第一期做银行业务可谓步履维艰,走招投标或邀标等通常仅能收回成本甚至亏本,但一旦切入银行业务就能步步为营地推进。后期具备一定的品牌影响力之后,能以比竞争对手高的价格中标。因为行业用户的数据安全都是按照业务系统依次做,可能对各系统核心的数据进行加密处理,而当数据的使用日渐频繁时,势必需要流通,这也包括加密的数据。如银行做综合信贷系统时,数据必须互联互通,所以只能找我们来做,甚至我们无需再通过招投标。国内大中型银行一般有几百个应用系统,小型银行也有近百个应用系统,业务的持续性和规模之大,能很好地保障利润。”

从开始时的步履维艰,到而今的步步为赢,这得益于“坚持”二字。“随着用户陆续接入我们的平台,在帮用户做数据安全的策略前,首先就要清楚数据的来源、存储地点、使用者、权限等。在这个过程中,我们对用户业务的理解会越来越深,程度甚至超过用户的科技部门。反过来这有助于以上的几个层面,从而为我们创造更多的机会。”王志海道出了其中的关联和裨益。

未来,我们希望形成一个数据循环的生产服务流程。“做高大上的客户,就做高大上的行业。因为这类行业客户有集中生产数据的需要,我们才能将这些数据集中起来,进行统一管理。”王志海如是说。

坚持自主技术积累

目前,明朝万达已申报的专利近50个,已获得专利所有权近20个。“数据安全与传统安全的不同之处在于,数据深入到应用,而且是流动的,如数据可能在服务器、客户端。而客户端有可能是PC或手机。其中PC可能是windows的各种版本,手机可能是安卓、IOS,甚至是物联网。”因此,王志海认为,要保护数据,需要将自身的安全技术与这些环节结合起来研究,并让其保持连贯性。

数据安全的核心技术是加密技术。以很多客户都需要的邮件加密技术为例,包括TopSMD、办公oracle等三种不同的邮件协议。要将数据安全技术和邮件加密技术结合,就需要研究它的三种协议。以TopSMD协议为例,TopSMD有多种编码格式,要让不同的邮件客户端实现兼容和稳定,需要大量的时间积累和客户积累。再如文件加密技术,关乎不同存量,也有在网络、应用系统中加密,涉及的技术至少几百个。这需要对技术进行整合,向用户呈现一个整体的产品。

接下来就要在提升稳定性和用户规模方面下功夫,这对安全公司的自主研发能力和行业积累都有诸多要求。十余年来,明朝万达已拥有约3000家用户,这样的大规模用户数是业内很多公司难以望其项背的。

王志海认为,目前大数据的本质还是数据,故而数据安全也包含了大数据安全。数据安全本质上是解决数据的所有权和控制权问题,这个问题不解决,大数据产业就不可能健康发展。另外,安全技术不同于普遍意义上的大数据技术。后者很多是底层的IT技术,即便没有积累,也能很容易在短期内做起来。而安全技术需要长时间的坚持,才能生存下来,才能在行业成熟时抓住发展机遇。这是明朝万达一直秉承的原则,也正是成功的重要原因所在。

三步走:安全—应用安全—安全应用

明朝万达的服务能力、对行业的理解能力已获业内认可,在客户中拥有较高的品牌认知力。除了一些政府部门,国内绝大部分数据安全公司的产品都选自明朝万达。

“应用需要对业务的理解。但就目前而言,我们对银行业务的理解还有待深入。因此,我们正积极寻找一些涉足银行核心应用的公司,未来我们希望对其进行收购和整合,深入了解银行的核心业务。”王志海说道。

明朝万达的三个阶段:安全—应用安全—安全应用。首先,保障数据安全;数据在应用上流动,因此需要保证应用本身的安全性;当应用本身安全时,还需要让其安全地应用,即和业务安全地融合。就此,王志海直言,国内企业的应用安全虽然早已起步,但与国外还有一定差距。如微软的浏览器在企业级特征上虽不完善,但作为个人浏览器,其安全性已非常完善。相比之下,国内的很多浏览器几乎不考虑安全问题。

国外安全厂商和应用厂商区分并不大。国外安全方面做得最好的是IBM、思科等。原因在于其安全与应用紧密结合—安全产品“好用”。而国内的安全产品多少有些“畸形”,与业务的距离太远。搞安全的不懂业务,搞业务的不懂安全,造成产品很“难用”。王志海认为,一定得打破这种局面将安全和应用进行融合。

“这并不意味着,明朝万达需要单纯做应用。明朝万达更多是通过数据安全这个支点,利用大数据、云计算等技术,解决数据安全问题,然后再收购一些做业务的公司。”王志海如是说。

持续性发展无捷径

王志海认为,大数据公司要长足发展,需要把握三个关键环节:

环节一:大数据核心处理技术。虽然现在的开源产品很多,但和具体应用结合时还是有不同。如公安行业,遇到的问题就是视频大数据。目前,全国公安系统有几千万个摄像头,未来甚至会有上亿的规模。要将街道、楼宇,门店的摄像头拍摄的视频数据全部集中起来分析,从中挖掘和利用有价值的数据,这要求我们掌握海量数据处理技术等大数据核心处理技术,是不能忽略的关键环节。

环节二:合法的数据生产平台。现在很多自我标榜的大数据处理公司拥有的数据是“无源之水,无本之木”。数据来源可能是通过地下黑市等途径,因购买的次数有限,这些数据不具有可持续性。而数据需要持续更新才有生命力,因此,拥有合法、可持续的数据源,并对不同来源的数据进行整合的公司,才具有存在和长足发展的价值。

当下,用户生产的数据存在分散性、真实性等问题。拥有数据源的公司的长处就在于,可通过自主技术和商业模式推动数据生产。

环节三:大数据应用。大数据听起来高大上,离实际生活很远,具体到某个应用中实则不然,是近在咫尺我们确实需要的技术。王志海认为,大数据、人工智能等技术的具体应用其实很简单,关键在于是否愿意对行业进行深度挖掘,以及对行业业务的理解程度。

行远必自迩。“要做好这些环节,必须沉下心做事情。靠买数据的公司,可能短期内能炒高市值,但要持续性发展,这三个环节是关键。”相信有这种信念,明朝万达必然行之将远。

猜你喜欢

数据安全
数据安全治理的参考框架
工信部:未来三年,建立并完善电信和互联网行业数据安全标准体系
工信部部署推进2020年电信和互联网行业网络数据安全管理工作
部署推进2020年电信和互联网 行业网络数据安全管理工作
工信部:2021年初步建立网络数据安全标准体系
大数据时代的数字化转型如何实现数据的安全使用
直面热点问题提升网络数据安全保护能力
直面热点问题 保障数据安全
如何进一步做好网络与数据安全工作
数据安全政策与相关标准分享