安全牛访谈美创科技副总经理闻建霞

文章来源:中国网
字体:
发布时间:2017-06-02 14:27:17

    数据库安全近几年呈上升趋势,过去有着数据库、堡垒机、审计等技术产品的厂商,都开始加大在数据库安全和数据安全方面的声音,市场涌现出一批做数据库安全的厂商,其中一家佼佼者便是杭州美创。 


    本次访谈,安全牛采访到了美创副总闻建霞。这也是安全牛访谈系列文章中,首次出现的女性高管。 

杭州美创科技有限公司副总经理闻建霞

    个人简历 

    闻建霞,杭州美创科技有限公司副总经理,联合创始人。浙江大学电子与通信工程硕士,有着20年的数据库开发、运维、技术研究经验,并在运营商、金融、医疗、社保等行业应用积累了多年的行业实践。参与了开发数据安全、数据容灾、数据备份等多项数据安全产品,其参与研发的业务系统在线割接已获得国家发明专利。 

    一、起源于数据库运维 

    安全牛这两年来,安全牛接触了五六家数据库安全厂商,但都很少听到美创的消息,是否由于美创刚刚涉入这个领域? 

    闻建霞:美创早在2005年创立之初就涉猎数据库领域,以数据库运维起家,并有着优质的产品和服务口碑。由于观察到市场先机,美创从运维服务转型产品研发,2008年开始正式进军数据安全行业,或者说是数据库内的数据安全。由于美创以往主要立足于南方市场,具有较明显的地域性发展特征,很少在北方市场“崭露头角”。 

    近几年,数据安全话题与产品热度高涨、关注度也越来越高,美创希望能够在保留地域优势的基础之上,搭乘“安全之风”,大力开拓数据安全的全国市场。 

    安全牛:也就是美创起源于数据库运维? 

    闻建霞:是的,美创创始团队从1999年开始从事运营商领域的数据库运维,当时国内鲜少有专门的从事数据库的团队。数据库安全是个细分专业市场,其环境极其复杂,一个省级运营商就有四五十个不同业务开发商的数据库。 

    因此,美创在原有业务基础上,通过不断满足用户需求,围绕敏感核心数据,创新研发了一系列数据安全产品,包括防火墙、防水坝、准入、审计、加密、脱敏等,构建由内而外的数据安全防御体系。 


    除自主研发数据安全产品外,美创还参与国家防火墙标准的制定,并牵头负责数据库防火墙部分的制定。 

    二、针对内部威胁的防水坝 

    安全牛:数据库漏洞扫描、防火墙、审计、加密和脱敏可谓是安全领域的标志性产品,但防水坝大家还不是太了解,能否介绍一下? 

    闻建霞:需求在变,业务开发在变,数据流也在不断的变化,如何在动态的环境下保障数据安全? 

    首先,要管好人,对数据进行分级分类,设置合法访问和操作权限。第二,要管好运维工具,什么样的工具在哪台终端上进行什么样的操作,都要予以明确。第三,还要做好准入、审计等工作。 

    比如说,数据库管理员实际上是管理数据库的,而不是管理数据的。但在整个数据库设计里,超级管理员如同“上帝”一样,其权限是不受控的,通过防水坝实现了多权分立。 

    防水坝主要针对内部威胁管理,包括与内网数据库相关的人员、终端、应用、工具、数据等,以上这些都是防水坝的监管对象。防水坝的核心功能在于拦截非法访问和恶意攻击,对不合法操作进行事前阻断,提供数据访问管控、危险操作防御、隐私数据保护,加强了超级特权账户和运维管理员等大权限用户的安全管理。 

    如果把安全设备比喻成一个开关,那么防水坝就是管理防内网威胁的各种开关的整体平台。 

    三、如何做好数据库审计 

    安全牛:在数据库安全产品中,应用最广泛的是数据库审计,美创是如何看待这个产品的? 

    闻建霞:许多客户都说数据库审计不好用,为什么不好用?不好用在哪里? 

    第一是审计系统的稳定性。当客户需要审计时,发现审计不起作用,客户自然不满意。美创从稳定性的角度来考虑,致力于数据库安全审计的日常化运营,以达到审计系统的常年稳健运行。 

    第二是搜索不易,难改进。为此,美创在几年前,开始将大数据技术移植到审计系统里,内置搜索引擎,抛开传统的数据库搜索技术,而使用搜索引擎进行查询。 

    第三是审计易被旁路。美创认为审计系统容易被旁路的主要有3个地方,即数据库里、数据库之间和服务器上,美创数据库审计系统增强版就把容易被旁路的操作记录下来。 

    四、业务系统容灾 

    安全牛:除了数据库安全,美创还有一个容灾的产品线? 

    闻建霞:是的,美创容灾产品线保障整个业务系统的不间断运行,主要包括存储、数据库、应用、中间件、IP地址等组件。当某个组件发生故障时,业务系统容灾可以把整个业务系统切换到容灾系统上,保障业务不受故障的排查与修复造成的长时间中断所影响。 

    安全牛:这种系统成本似乎很高,除了银行之外,还会有哪些客户使用? 

    闻建霞:其实,美创容灾产品应用非常广泛,任何的行业机构,只要无法容忍业务稍长时间中断的系统都会使用。 

    比如民生行业,医院即是典型场景。信息化医院建设,在某种程度上是IT业务系统的有机整合,医院依赖于IT业务系统,挂号、就诊、检查、确诊、手术、拿药、结账等统统离不开IT业务系统的正常运行。 

    在运行期间,如果某个环节出了故障,对于专注某个技术领域的厂商而言,只能“头疼医头,脚痛医脚”,很可能还是无法令整个业务系统恢复正常,而在分秒必争的医院,业务流程往往等不及长时间的修复。美创全业务容灾系统,可以实现生产端和容灾端的快速切换,及时恢复业务运行,既能从根本上保证数据的一致性,又能降低故障发生时的业务停滞时间。 

    安全牛:我们知道开发一套业务系统是非常复杂,甚至连盘点系统涉及到的资产都非常困难,如何能做到对复杂系统的同步呢? 

    闻建霞:这就是技术跟业务的区别。虽说业务流程很复杂,但对于有深厚数据库技术经验支撑的美创来说,转换思维,从数据的角度,把业务系统看成数据库中的数据、数据库外的文件以及应用程序代码三种形式。 

    美创可以捕捉这三种形式的数据变化,跟踪并同步所有业务,不管是增量还是全量,不管是改代码还是打补丁,但其核心还是数据流。只要跟准数据的走向,不管它是银行还是医院,都可以实现数据同步与容灾备份。 

    五、对“云”的看法 

    安全牛:云计算已是趋势,有些厂商已经把产品上到了阿里云、青云等公有云,美创的产品和哪家云服务商有合作呢? 

    闻建霞:美创的产品能够全面支持公有云和私有云,但由于合作对象多为政府、金融、医疗等民生行业,美创产品更多地应用于私有云或者说是行业云。 

    从目前现状来看,行业云大多是从传统的数据中心升级为一个虚拟化的数据中心,多见于政务云还是私有云。 

    而完全SDN(软件定义网络)化的公有云则不然,从数据“占有”的角度考虑,政府等重点行业完全迁移到公有云的时代还远未来临。况且,中国还有着自己的国情。无论是在数据共享上的实现路径,还是部门机构之间的共享理念,都与国外的差异非常大。 

    因此,目前美创产品主要落地于以政务云或行业云为代表的私有云居多,根本原因是因为政府机构或金融、医疗等重要行业,不放心把自己的数据放在公有云上。 

    安全牛:但公有云是大趋势,因此尽早做技术积累和准备还是必要的。 

    闻建霞:是的,需要强调的是,美创产品本身支持公有云,只是落地项目仍以私有云居多。公有云面向的是更开放的网络环境,面临的风险更多,对安全的要求更高。 

    说实话,在国内愿意长期在技术产品上积累和深入的公司太少。很多年前,美创放弃集成业务时被许多人认为傻,因为集成业务的钱更容易盈利。如今回首来看,现实告诉我们,集成这条路已经是越走越难了,美创很幸运,早年就选择了做产品型公司。 

    安全牛:您是指云化和国产化造成的去中间化趋势吗? 

    闻建霞:接下来的趋势是,基础设施或平台+服务,跳过中间代理商,直接面向用户。而代理商的价值发生变化,不像过去主要依靠用户与厂商两边的信息不对称而盈利,而是要提供更多的本地化服务、更及时的响应,这个价值才是可以长久的。 

    六、定位于数据安全 

    安全牛:网络安全行业有碎片化的特点,每一个细分领域都没有绝对的统治者或说二八法则。基于这个前提,闻总又如何看待数据库安全这个细分市场呢? 

    闻建霞:美创定位于数据安全,而不仅仅是数据库安全。数据库是一个重要的承载数据工具,然而美创最终保护的对象是数据库里的数据。不管是灾备还是安全,都聚焦在数据上,最终保护的也是数据。美创的敏感数据安全产品线就是围绕数据而创新研发出的系列产品。 

    其实数据安全市场的发力时间并不长,也是近期两三年的时间,彼此竞争的厂商并不多,没有规模特别大的厂商专注此领域,反而都是一些有特色的小规模公司。 

    因此,我认为形成二八法则的局面不是不可能,只是时候未到。这也正是美创这两年要走全国化的原因,在一定程度上也是为了抢占市场时机。我们相信未来肯定会出现一家大型的专注于数据安全技术为核心的安全厂商,美创正在朝此目标努力前进。 

    七、技术积累和人才为最大的优势 

    安全牛:刚才谈到了整个安全行业的碎片化,而在数据库安全这个更加细分的领域,也已经有了不少的竞争对手,与他们相比,美创又有哪些优势? 

    闻建霞:首先是技术沉淀和用户经验积累。美创在数据库运维方面的积累深厚,根据实际用户的需求,多年来一点一点打磨出好用的产品。比如在08年,美创推出数据防泄露产品时,业界内并不理解。但这正是美创的一家运营商客户因大客户数据泄露而提出的真实实际需求。美创做了十年的数据库服务,用户口碑好,这也间接证明了我们产品的健壮性。 

    其次,在美创,最有价值就是人----精通数据库领域的人。研发团队+技术实施团队共160多人,四个合伙人有三个技术出身。近几年来,美创出版了3本数据库技术的书,并且自09年以来就一直坚持写原创技术博客,目前已经累计有4300多篇技术文章,这种技术氛围和技术积累在安全厂商中是非常少见的。 

    有客户开玩笑说,我们不用买你们的服务了,有问题直接上你们的技术博客看就行。 

    当然美创也有短板,比如之前大家对我们的认知就以为美创只是一个区域性的厂商,说明美创在全国的品牌影响力和知名度是远远不够的,所以目前我们需要开展深化市场推广,以解决从一个地域化公司到全国化公司的发展需求。 

    “聚焦数据安全,释放数据价值”是美创提出的技术发展理念,最核心的意义在于,不仅仅是保障用户业务数据的安全,还要帮助用户更好的利用这些数据,以实现更好的发展。 

    安全牛评 

    美创在2015年之前还只是拥有70人左右的团队,然而转型进入数据安全领域后,发展迅速,目前员工规模达到230人,2016年销售额达到8000万,2017年预期销售目标1.5亿,已完成B轮融资,2018年计划申报创业板。 

    可以看出,美创的优势在于多年的技术经验沉淀和对用户需求的深度理解。网络安全工作,除了高精尖的技术水平之外,决定是否带来良好效果的是实践经验和技术积累。