本期对话嘉宾:山石网科董事长兼CEO罗东平
罗东平:山石网科董事长兼CEO。毕业于清华大学,获得电子物理与激光专业学士学位和电子工程专业硕士学位。上世纪90年代,前往美国加州大学圣地亚哥分校求学,获得AppliedPhysicsMSEE(应用物理硕士)学位。曾作为核心工程师团队成员,参与网络安全公司NetScreen的成功创业。2006年,罗东平与同在NetScreen奋斗的4名工程师回到中国,2007年成立了山石网科。
山石网科:山石网科通信技术股份有限公司,源自成立于2007年的山石网科通信技术(北京)有限公司,于2019年9月登陆科创板,是一家为金融、政府、运营商、互联网、教育、医疗卫生等行业提供网络安全软硬件产品、服务、及解决方案的高新技术企业。
主要产品及服务:
(1)边界安全。方案由下一代防火墙、数据中心防火墙、Web应用防火墙、网安审计系统、IDS/IPS(入侵检测系统/入侵防御系统)、应用负载网关、应用交付和云沙箱检测系统等组成。
(2)内网安全。由内网威胁感知系统、远程安全评估系统、APT(定向威胁攻击)监测系统、主机安全管理系统等组成。
(3)云计算安全提供纯软件化的NFV(网络功能虚拟化)产品。
(4)数据安全。包括数据泄露防护、数据库审计与防护、静态数据脱敏等。
(5)智能分析管理。提供安全管理及日志审计等平台。
(6)安全服务。
前言
很多人心中都有一个黑客梦,记得当初我在大学读计算机系的时候,班里男同学们电脑里除了游戏,就是各种黑客软件,做梦的时候都想着入侵别人的电脑。2010年左右我来到上海,参加的一次最难忘的活动就是中国最牛黑客组织,黑客黄埔军校绿色兵团的聚会,很多年轻的优秀的黑客我们终于见到了。
2001年,中美黑客大战,8万中国黑客一起行动,使中国红旗在美国白宫网站飘扬两个小时。他们自称“卫国战争”。此时,绿色兵团解散后的由兵团成员成立的中国红客联盟、中国蓝客联盟、中国鹰派联盟、中国黑客联盟四大黑客组织成为这场中美黑客大战的主力军。绿色军团的创始人是goodwell,那会我刚建立蓝鲸第一站点,里面有很多重要数据,让他帮我测试了下漏洞。后面几年也认识了其他一些黑客,但已经没有大学那会认识的的情意深重了。不管怎么样,对网络安全从业者,内心总有一种情感。这是我进行这次采访的原因。
网络安全从业者总有点亦黑亦白的意思,要想“防”好,就需换位理解怎么“攻”。左右互搏中,思路要清清爽爽,不能走火入魔把自己弄分裂。所以能在网安行业长期站稳脚跟的从业者,即使属于言语不多、见人羞涩、情绪极少有波动的类型,我也觉得他内心住着个超然的得道高人,凡俗之事已超越不了攻防之乐。这几年在一些大型活动上,却也偶尔能碰到纯技术背景的罗东平开始为网安行业站台发声。正好,财联社旗下的科创板日报江西站加速器和江西省的合作伙伴中科心客(江西省内规模最大、服务类目最全的创业服务机构)在一起参与组织“2020第二届滕王阁创投峰会”,是一个对接省内外产业、资本、政府支持的很好机会,科创板日报便邀请了罗东平一起参与。目前,科创板日报的地方站加速器已在上海、山东、广东、江西、四川、武汉入住,即将入住安徽、江苏、浙江、西安等省市,希望联合熟悉的科创板上市公司,深度整合服务各省科创早期企业、拟科创板上市企业、政府、科研、资本、及产业资源,为企业发展加速。
——徐安安
嘉宾核心观点
新技术的普及带来新防护方式的需求,网络安全在边界、内网、云、数据、AI、5G、移动互联、IoT、工控系统等领域为可持续发展提供基础保障。
市场需求目前主要依赖政策的合规性驱动,在金融、电信、政府、互联网、教育、医疗等领域都有广泛应用。
但如果仅靠政策驱动而没有主动安全意识的培育就会出现只关心“有没有”不在乎“好不好”的现象,造成销售上的非市场化现象,网安行业最终比拼的应是产品力和国际认可度。
网络安全简介
想低调但实力不允许的小财猫赢了一本武林秘籍,战战兢兢生怕被抢去或掉包,于是想了几个方法来层层防护:首先,对比了好几个小区,选了大门口和楼前都有猫头鹰时刻站岗的,这样居民楼以外有了基本保障;楼内,住在隔壁的老王看起来怪怪的,于是小财猫买了安全级别最高的锁来防范楼内居民;家里,爱交朋友的小财猫常常有很多朋友拜访,每日猫来猫往的所以又买了个保险柜放秘籍。
同样的,网络安全是通过对软硬件和其中存储数据的层层保护,来让网络中传输的信息可控可审查、不泄露、不被修改、业务可持续运行。
专访全文
|关于应用:网络安全在边界、内网、云、数据安全、及应用新技术的终端上都有广泛布局的必要性。
安安:近几年不管是政策上如《网络安全法》、等保2.0(《网络安全等级保护技术2.0版本》)、《网络安全审查办法》、《数据安全法(草案)》、《5G安全指引》等的推出,还是技术上如移动互联网、大数据、5G、云、物联网、工业控制系统等的逐渐成熟应用,理论上都给网络安全行业带来了更广泛和多元的发展空间。但是目前在应用层面还是关键行业监管层有意识的在驱动,执行层面很多是为了满足合规。你可以用通俗的语言科普一下作为企业成本项的网络安全主要在防护哪些地方吗?
罗东平:如今的网络,其实所有的核心业务都在上面。那么务必不能让所有人都进来,不能所有人都看到,然后网络本身不能中断,就是你的业务不能中断。以上这些都是网络安全需要防护的地方,要保证一个组织、一个企业可持续的安全运营。要做到这些,就有很多方法去保护了,因为让业务中断的方式也很多。所以安全领域非常广泛,每一家网安企业只做中间的一部分就很不错。试图将所有的安全方面都做起来的企业,世界上不存在,将来可能也不大会存在。
具体到我们这类企业做的网络安全:
首先,一个网络总要有边界,边界要防护住。我们很熟悉的一些边界防护有防火墙、IPS、IDS、WAF(Web应用防火墙);还有些本质上并不是安全防护比如应用交付,它只是让业务跑得更顺畅,不能说有些业务应该优先的,然后因为被别的业务把资源占住,它的业务就慢了或者中断了。没有这层防护,有什么问题呢?比如说你家里,如果没有门和锁,那么犯罪成本会降得很低,因为原来不可能犯罪的人也可能进到你的家里来。所以边界刚开始的安全就是先给边界设个关卡,至少你是谁你来干什么我得知道,边界防护到现在为止依然是网络安全行业非常重要的一步。
然后再往里看,现在企业上云已经是不可逆的趋势,因为云给企业带来了太多好处。任何一个运营公有云的厂商,一定会把云本身防护的特别好,因为责任很大,头部的几个云服务提供商都非常厉害,安全能力极强,所以上云是没问题的。但是有一个问题,比如我们两人入住到同一个楼里,我们住的空间彼此不做隔断,可以互相走动,但不是通过正常的朋友串门,而是通过攻击的方法,所以一定要把云内防护好,因为内部也是有连接的。在中国私有云市场相比美国占比更高,私有云上全是虚机,虚机没有隔离有一个严重问题,就是如果有一个虚机被感染了,立刻就传染开了,有点像疫情期间的情况,而你有所的数据和业务等资源都集中在这个云上,所以虚机都得带个口罩微隔离。
最后再进一步,当我们去防护整个安全,肯定要防护数据安全,5G的切片也是一个直接防护场景,方方面面很多可以做的事情。
安安:所以说每一次新技术的发现和普及也促进了产品的多样化。
罗东平:是的。比如工业互联网,原来很多工业设备并没有在网上,未来都要,工控安全就很重要了,因为会直接影响生产甚至个人生命,像自动驾驶等。所以任何一个新东西出来,安全需要保护的范围又进一步扩大了。在安全上我们投入的精力远远不够,发展太快,底下很多漏洞,一旦遭受攻击,建再高的楼,地基不稳,塌的更厉害。所以说网络安全不是企业的成本项,而是经营、利润、发展可持续的保障。
安安:网络安全的防护场景罗总讲的非常浅显清晰了,应用领域包括实体网络的边界、内网、云、数据、终端等。那么很多企业不重视网络安全的原因你觉得是什么?
罗东平:国内在安全上的投入是IT总投入的1~3%。大家总觉得这些安全产品可有可无,有了也没感觉到对业务有什么好处,没了好像也没什么事儿。只有比较大的安全事件发生时大家才会觉得比较害怕,比如三年前的勒索病毒,一旦锁住只能交钱打开,你就明显感觉受到了威胁。
从一般的理念看,都是想发展不想受限制。比如本来业务跑挺快的,非要加上安全,那要处理较多东西时,可能速度就会减缓。这说明安全产品没有做到位,真正的好的安全产品用户不应该感受到,更不应该自身就有安全问题。安全产品要能看的全、可量化、智能、可协同。我们最近也提出了一个新的理念叫可持续安全运营,简而言之就是安全要与发展并重,随着企业的发展安全逐步提升,适合最重要。这些道理企业都能听明白,太多技术的东西就没必要讲了。
安安:一、二级市场中各细分安全领域比如数据安全、工控安全、风险管理、物联网安全等的从业厂商都有持续的获得融资或者并购,一些大的安全需求方如电信、互联网、高端制造行业也开始布局自己的安全公司,比如中国电信在网安方面就有很多布局和合作。目前驱动行业发展的因素有哪些?
另外就是技术的发展,早年通过摄像头和DDoS(分布式拒绝服务攻击)进行攻击的很多。5G、IoT普及以后会有一大堆安全问题,现在大家是用手机,未来咱们坐在这儿的时候,浑身上下会有很多可以被攻击的互联可穿戴设备。我们也会在一些新技术方向的源头上积极布局合作。
安安:网络安全防护主要应用在哪些行业?
罗东平:从安全防护的最高要求来说,关键信息基础设施如能源行业的等保级别是最高的。
我们面对的第一大行业是金融,包括国有行、股份制银行、农商行、保险、证券、交易所。如果把华为也算作安全公司,我们在金融领域和它是并驾齐驱的;如果它不是,我们在金融里头就是第一品牌。我们在金融做的是这些大行的生产网,生产网和办公网不一样,业务网、生产网部署在核心要害的地方,对产品的要求是极其高的。
第二是运营商如中国电信和中国移动,第三是政府,互联网、教育、医疗这些也是我们覆盖的特别好的行业场景。
安安:你刚才提到了华为的安全产品,公司和华为在金融安全领域是竞争关系吗?
罗东平:我们和华为有一部分相同的产品线,肯定有竞争关系,但同时我们也是合作伙伴。比如我们可以支持华为云上的安全,国内某大型国际机场的华为云安全就用的我们。所以在有些场合我们也合作,互相要对接产品,有些时候也会直接竞争,我觉得这都还挺正常的。
安安:网络安全行业内主要的产品形态有哪些?
罗东平:网络安全产品未来的形态有三种:硬件形态、软件形态、服务形态。硬件形态产品的标准已经比较完善,国家在逐渐修订各种各样的硬件平台的标准,比如防护墙的标准、IPS的标准、网闸标准等。目前市面上的硬件产品,基本上都已经有最新的标准发布或者标准正在修订、在审批。
软件的标准相对来说没有硬件完善。因为软件变化比较大,比如像云安全的标准已经制定了一些,但是都是针对服务类的,针对于云产品本身的标准现在还在制定之中,没有正式发布。
第三类实际上是以服务的形式来保障安全,比如安全云的这种方式,包括一些提供安全的类似于SaaS(软件即服务)等服务的内容。
其实还有第四类,就是纯粹的安全服务类型,比如渗透测试、漏洞扫描等,这些服务也有相应的标准和技术能力的认证。
安安:目前网络安全行业通用的、比较成型的标准有哪些?
罗东平:目前,在网络安全领域应用最广泛、最被熟知的标准族有四个:
一是网络安全等级保护2.0标准族。它的应用范围最广,除了个人与家庭,所有组织的网络安全标准基本都涵盖其中。
二是关键信息基础设施保护标准族,它主要针对事关国计民生的关键信息基础设施,比如电信网络、能源网络等。
三是信息系统分级保护标准族,主要针对涉密国家秘密的信息系统。
四是密码标准族,主要针对各种需要密码认证的信息系统。
安安:对行业内的从业者来说,做产品的一个最大的门槛或者壁垒在哪?
安安:公司未来在技术上有什么布局?
罗东平:现在看来,硬件、软件、服务都是安全底层的基础,但是安全应该是一个总体性质的。所以网络安全的未来方向一定是一个整体方案,而不是某一个点的方案。不管是从安全行业的角度,还是从用户的角度来说,更加需要的是一个从软件到硬件到整体,以及传统的安全服务构成完整的安全防护能力。
但是现在在整体的安全能力上,还没有一个完善的、整体的国家要求或技术标准。未来不管是山石网科也好,还是其他公司也好,要打造的都是整体安全防范解决能力,要从运营的角度来谈整个安全能力,而不是说从某一个产品的角度去谈。
|关于销售:销售端有劣币驱逐良币现象,长远看好有国际市场竞争力的企业。
安安:整个网络安全行业的大小厂家非常多,之前也和做网络安全的朋友聊过,在销售端还是有一些非市场化的现象,行业整体目前是否还是偏混乱一些?
罗东平:嗯,确实是这么一个状态,这个非常不利于行业发展。中金之前统计说整个安全行业有两千四百多家企业,会有劣币驱逐良币。但我觉得已经看到进步了,我还是挺有信心的,过去显现不出来的危害现在慢慢显现出来了,所以未来还是看好。行业里也有很多认真做事的企业在对市场进行教育,这个体系化的安全意识是需要大家一起来推动的。
安安:如果走国际化路线,销售上受到的制约会不会少一点?
罗东平:应该是这样的,山石海外收入占比目前还不到5%,但海外市场的空间很大。首先你要出去PK,面对的就是美国、以色列等国PaloAltoNetworks、Fortinet、CheckPoint这些大厂,通常国际上比较看重的还是产品本身,你的技术、产品要有实力跟人家竞争。
但是,我也觉得中国这些能成长起来的几个头部安全企业一定要去全球市场占一席之地。虽然中国市场现在是一个爆发性市场,等保2.0、信创、新的IT发展等等一波波利好,但是目前还没有网络安全行业的龙头,现在刚出现几个也是以资本的方式堆成这么大,这么做对不对我也不知道。我认为将来的大厂家一定是一个不仅覆盖中国也要覆盖全球市场的厂家,山石是有条件走这条路的,这也是我们希望将来能走的路。
比如国内也有很多的评选,我觉得不如找一个全球公认的,Gartner在这一块儿是始祖而且分类很全面,各个行业都有一套方法论去评判,所以我让产品参与到Gartner的国际评选。今年Gartner刚发布的全球网络防火墙魔力象限报告,我们就又进步了,走到前瞻性接近中线那儿了,中国安全厂家还从来没有人走到过,我觉得挺高兴的,但我的目标是走到右上角象限去,现在全是全球头部的几个厂家在那儿。
|关于人才和发展:智力密集型企业要有人才培育机制来保证可持续造血,网安行业应最终比拼产品力。
安安:你对网络安全行业的规范化发展有什么建议?
罗东平:互联网行业常常会看到很多因为商业模式创新而发展起来的独角兽,角度是缩短供应链、提升效率,并促进了社会角色的重新分配。网安行业不适合在商业模式上做模式创新,而是要比拼系统化体系化组织下的产品力。如果真正要为这个行业做事情的话,大家真要静下心来把自己的产品真做好。任何产品都会有问题,我们只能尽心尽力的把产品做到你能做到的最好。防护别人安全,自己尽量不要有问题。对自己要求高认认真真在研发上投入的企业也有一些,对比投入很低的企业,招投标时如果对方报价很低,这个生意就没法做,不可能亏着钱去卖,因为我需要持续的研发投入,这个确实是一个难受的事儿,但是没办法。我觉得行业内共同努力吧,而且我也觉得行业在向好的地方发展。
本期特邀点评分析师:中金公司科技软件行业首席分析师钱凯
2、安安:网安行业在一二级市场的表现都比较活跃并持续向好,背后的驱动因素有哪些?
钱凯:我国网安建设投入占IT支出比例处在长期上升通道,渗透率提升的逻辑可以支撑行业5-10年的高景气度。另外,监管层面立法的推进、IT架构云化带来的安全需求更迭、新兴安全技术的不断涌现,均推动行业在中短期保持较高的活跃度。
3、安安:网安行业目前的市场格局是怎样的?
4、安安:网安厂商的核心竞争力在哪里?
钱凯:网安核心在于攻防对抗,在行业合规性需求更为强调实战化演练的背景下,技术实力正成为网安厂商的核心竞争力。
5、安安:如何看待一些网安行业的重点用户自己成立安全公司?比如中国电信成立了主业为网络安全的云堤公司。
钱凯:行业重点客户入局,更多反映了客户对于网络安全重视程度的不断提升,亦侧面印证网安行业的向好趋势。从产品技术上看,我们认为,行业重点客户的入局,或主要针对特定细分行业的防护需求,是为了提升垂直行业的网安保护能力。
6、安安:重点应用行业如政府、电信、金融、电力等的主要进入壁垒有哪些?
钱凯:党政军、电信、金融、电力等均是网络安全的主战场,其受攻击频率及复杂程度均较高,故技术、防护效果是主要的竞争壁垒。其次,重点行业存在一定的特殊性,资质壁垒及客户关系亦会有所限制。
7、安安:网络安全厂商要想国际化需要重点加强哪些方面?
钱凯:与国内市场不同的是,海外市场更为强调安全防护技术,海外安全市场具备更强的技术驱动特征。故我们认为,国内厂商的国际化,需重点提升产品技术能力,以过硬技术打开海外市场的巨大空间。
8、安安:你预判零信任架构的发展在以私有云为主的我国市场和以公有云为主的美国市场会有何不同?
钱凯:架构云化下,传统边界防护失效,零信任体系将基于边界的防护转化为基于用户、资产、资源的防护,可满足去边界的安全防护需求。中国和美国的IaaS架构差异或主要影响安全建设主体,公有云为主的架构下,云厂商和云组合在“共担责任”模型下共同维护云端安全;私有云为主的架构下,用户或成为安全的主要建设方。
9、安安:网络安全行业在哪些细分领域有出现龙头的条件?
钱凯:网安产品种类繁多,各细分领域亦有相应龙头厂商。我们认为,传统安全领域或主要被传统安全巨头把控,新兴安全领域则仍处在早期,创新性厂商具备突围的条件。
10、安安:针对目前网安行业现状,你觉得还需要哪些规范的点来助力健康发展?
钱凯:政策层,安全法规的不断完善将提高违法成本,进而推动用户加强安全防护建设的力度,倒逼产业健康发展。同时,实战化演练亦需不断加强和深入,推动传统合规型需求向效果型转变。