数据库安全越来越被安全界及用户所接受,所以更多的安全厂商加入到了数据库安全领域,同时云计算给安全领域带来了巨大的冲击。日前安华金和创始人兼CEO刘晓韬接受了安全牛的专访,畅谈安华金和的企业文化,发展方向以及数据库安全的现状和未来。

一、从企业发展忧虑症到企业文化

记者:对于一个安全领域的新兴企业来说,您最关心的是什么,又是如何看待企业理论或文化的呢?

刘晓韬:我自己会经常性的反思,在企业的发展过程当中,每个阶段会遇到些什么问题。今年我最关注或说最忧虑的问题,就是在人员规模扩张之后,该怎么去融合。怎么让新的人员进来之后变成安华的人,变成有生产力的人,成为一支团队。 
不是人员进来就会有生产力的,我现阶段最适合做的事情就是在培训、考核,更大的思考是考虑什么是安华金和的企业文化,把企业文化整理出来,如何通过一些培训把它加强,如何让员工深刻认识和了解。 
安华金和的文化理念可简化为六个字:“务实、创新、容错”,企业和员工的关系也是六个字:“共创、共赢、共担”。从企业成长的角度去看,就是安华如何实现快速、灵活、多变的发展。在这些年里,无论实施什么样的流程制度管理,都不能把这个对市场快速响应的能力特点忘掉。

上得厅堂 下得厨房

记者:这样是否就会对人员能力的要求比较高呢? 
刘晓韬:安华金和还有一个文化特点就是没有纯管理者,所有人都能“来之能战,敢打敢冲。”比如市场总监,是写文章的好手,技术总监,能写核心代码,销售总监,得是最大的打单能手,财务负责人则必须看得懂每一项财报数据。不能只去定调子,只做管理,我们需要的是“Room in, room out”式的人才。

我们不仅要有开阔、宏观的视野和想法,还要能够看到微观。否则无论CEO还是管理层,只看宏观不接触一线的事情,就会失去很多实际的感觉。我非常欣赏互联网公司倡导的一个理念,即公司的CEO就是是公司最大的产品经理。我们属于技术、科技型的公司,不是一个销售或者贸易型的公司,我们一定要坚持下去,这是自己的特点。

没有纯管理者,也是安华金和务实的表现,所有人都有实战能力,外行指导内行的那种管理,与安华是无关的。最终能进安华金和的人,在安华金和扎根的人,做事都有一个相对统一的风格,即包容和需要不同的声音,还不能影响统一的调度。 
安华金和还是个小公司,无法像互联网或IT巨头那样的吸引大量最优秀的精英,在这种情况下,则需要组织的文化来塑造和熏陶员工。文化没有绝对的对与错,但是一定有适合自己的文化。比如华为,他们的人内部的工作热情和工作效率非常高之高,他们的员工个体给人的感觉是有一种非常向上务实的动力在做事情,这就是文化。

二、安全行业的两极 体制内与体制外

记者:安全行业,甚至是绝大多数的行业,似乎都可以分成两大类,一类主要靠背景和关系,另一类是凭借技术优势自由竞争,当然也有少数企业两类通吃。关于体制与市场的关系这方面,您有什么看法?

刘晓韬:往以后看,谁都知道市场自由经营体制是趋势、是未来,但是目前的现状,至少在五到十年,我个人认为不会完全自由市场化,还是政府一半,市场一半。

但从另一方面来说,关键看你想做一个什么样的企业。如果只图容易赚钱,活得滋润的化,我觉得这种企业的规模永远是受控的,它不太可能成为市场上真正的强者,它决定了必须围绕着政府项目、关系去做,这样的话可能甚至都不太会产生自己真实的企业战略,而是围绕客户的战略,自主性会非常低。比如这样的公司想做一件事情,它不会先启动研发,它会先启动立项目,领导批了立项了,才会开始真正去做。

一个真正面向市场化要求的公司,不能受到太多因素的干扰和制约。我自己现在就会尽量少参加一些行业的会议,少在这方面去花一些精力,多一些对市场、用户和产品的思考。随着公司逐渐做大之后,要不断提醒自己的,避免把公司做的空心化,徒有其表。在市场上看上去声音很大,各个活动上都看得到,但最终公司却没有什么拿的出手的产品。让自己企业的产品和战略踏踏实实落地,这个才是安华金和真正关心的事情。

所以任何一个企业的最终发展,往往是由它的基因决定的。很有可能头几年是如何经营的,是什么机制把你养育了下来,你就烙上了这种机制的烙印,最后它会反过来会把你制约,这是一把双刃剑。安华金和比较幸运的地方就是基因纯正,企业活到现在,一直都是到市场上讨饭吃,是市场把安华金和撑了下来,所以安华金和未来还会是一个市场化的公司,不会变成一个找项目凭关系吃饭的公司,还是要找市场要饭吃。

三、企业级安全市场不惧互联网公司

记者:作为一个垂直细分领域的安全厂商,您对互联网公司和传统网络安全大厂商,以及各细分领域的厂商,在安全市场上的交集或竞争关系是如何看待的?

刘晓韬:我可能不见得能说得很有条理,但是可以谈一些观点和想法。我觉得BAT3,对于安全行业的***,手法肯定不一样。

拿360来说,它收购网神,控股网康,投资了好多安全细分领域的初创企业,做安全行业的布局。同时齐向东跟周鸿祎分开,成立企业安全集团。简单通过这些来看,企业安全集团的互联网化基因相比360本身,不会那么强烈,反倒是整合着传统网络安全的资源和力量在政府领域里发力。因此,我觉得这些并没有太多颠覆性的能量。

记者:是啊,前不久RSA大会上,安全牛在采访360企业安全集团总裁吴云坤时,他也认为市场一定会向具有双重基因性质的公司倾斜,指的就是互联网和传统安全公司的互补结合。

刘晓韬:对。另外,BAT是2C的,这是互联网企业的地盘和市场,也占领的差不多了。如果对安全产生较大影响的话,也是移动设备或说手机的安全。这肯定是一个大的市场,这块市场我无法做出专业判断,但移动端安全的盈利模式,肯定跟2B完全是两个概念。

因此,网络安全企业并不惧怕互联网公司在企业级安全市场的竞争,毕竟这个领域是2B市场,国家又这么重视,即使有一些新的安全领域发展,这块市场也不会短期内消亡,还会存在一定的市场空间,我们在战略上不会过多忧虑这一块。

四、云计算服务带来的巨变

记者:那您认为网络安全公司与互联网公司的主要战场或说交集是在哪里呢?

刘晓韬:我在思考安全未来一些发展方向的时候,会感觉到有一些新的事物肯定会演变成重要的事物。比如IoT市场,对安华金和来说可能是个更大的市场,但是这块市场相对新兴又空白,占早了该怎么玩谁都没数,谁也没看清。这块市场未来可能既有2C层面的事,又有2B层面的事,是一个混合型的,一个新的战场和领域。

真正对传统安全市场威胁最大的是云安全,因为云服务的兴起带来的IT应用构造上的巨变,会引起传统企业信息体系结构的变化。政府、企业,会从线下走到线上,一些会搬到公有云上,一些会成为本行业中专有的。而且这个趋势可能会越来越明显,逐渐蚕食掉传统安全厂商的客户。

未来在云上,网络方面的安全措施基本上会由云安全基础设施提供方自行提供,比如WAF、抗D、防APT***等等,但防火墙、IPS和IDS上面是不会有空间的。比如,BAT现在做抗D是另一种思路,主要靠流量抗D,而不是单纯靠技术去抗D,这种思路完全会重构对于安全的需求和架构分布,这一点才是对传统网络安全厂商最大的威胁,因为这是一个信息体系结构的巨变。 
这个时间周期,我觉得有个三到五年,可能就非常明显的体现出来了。两三年内还不太明显的原因是由于国家对信息安全的重视,这是一个扩张,而云是在蚕食。这一扩张、一蚕食,造成暂时看不出显性的变化。但安全规模的扩张总会有一个缓滞期,这个时候云的***和扩张就会占到主导。

这个时候怎么办,不是说把以前的网络安全产品直接放到云上就行了,如果不能和云网络或说是云的基础设施深度融合的话,这些网络安全设备是不适用的,再加上云服务提供商会尽量提升自己的安全服务能力,因此云的普及才是对传统网络安全厂商最大的威胁。

五、云是数据安全厂商的机会

记者:那这种改变对于安华金和这样的安全细分领域厂商会有哪些影响呢?

刘晓韬:云的扩张和***虽然会给传统安全产品带来极大的威胁,但反过来它的普及又会带来一些新的市场容量,比如身份管理、数据安全、业务安全,这些东西是无法消失的,即使上云,反而会形成更大的需求。

你说安华金和是一个传统的安全公司吗?从某种角度上可以说,我们不是一个网络安全公司,而是一个数据安全公司。作为一个数据安全公司,这种云架构带来的变化,不仅不会给安华金和带来巨大的危机,反倒会给我们带来巨大的机会。

记者:机会在哪里呢?对于安华金和来说,数据库安全这个细分又再细分的领域?

刘晓韬:数据安全会变成主流领域。所谓细分,原因就是由于认为市场空间不足,所谓一个大的领域,只是由于它的市场空间足够好,大家认为它是一个主流战场,所以到底是不是细分领域,实际是以市场空间来判定,不是以学科来判定。 
我们正在把比较细分的领域,变成一个比较主流的领域,这个目标经过这些年的努力,正在朝这个方向发展,需求也逐渐的起来。安华金和做的是数据库安全,同时我们也正在完成一些很好的战略布局。

数据安全正在逐渐变成一个主战场,这一趋势从切进来的安全厂商数量,和一些国家政策的导向变化来看,已经得到证明。本来按说数据也好,网络也好,防护是终极目标,对外防的再多再好,内部人员的***泄露怎么处理?还是要把最后一关把握好。对数据的保护本来就应该是主战场,只是过去参与的企业没有那么多,在国家层面、技术层面,没有提升到相应的高度。

数据安全是荒地 关键看“种子”合不合适

记者:那正如你所说,更多的厂商看好数据安全并会参与进来,安华是否对这块战场做好了准备?

刘晓韬:几个比较垂直的数据安全厂商,***,大成天下,亿赛通等,它们当中体量做的最好的是一个亿,而且还是在被绿盟收购之后。这几家厂商做的时间也不短了,从文档安全、数据加密到DLP,从市场反馈来看,并没有看出一个很好的增长态势,这说明它还是有一定的瓶颈和原因的。

安华金和在这方面是有优势的,我们以后往云上转非常容易,而且也做好了基本的战略规划。首先我们未来几年在云上的收入,肯定还是靠我们数据库安全产品线拉伸出来之后的企业安全市场。我觉得这块市场以前属于荒地,还没有很好的开拓起来,所以我非常有信心,做连续三四年的业绩翻番应该都可以。不像网络安全,在目前的体量上再想翻番估计很难,因为它已经是市场占有率很高的情况了。

比如,网关、防火墙之类的设备,用户已经买了好几遍,因此它会慢慢地收缩。而且数据安全好多人还没买,有太多的服务器没有被保护起来。既然是一个相对充满机会的荒地等着去开采,那就要看你的种子,就是你的产品适不适合了。

安华金和过去已经做了一个相对比较健全的产品线,扫描类的有漏扫、漏洞验证,存储类的有数据库加密、数据库脱敏,网络类的有数据库防火墙、数据库审计。通过这些合适的“种子”,在跟客户沟通的时候,90%都能找到需求点,有的客户能找出好几款对产品的需求点。所以我觉得这反应了公司的产品能力,反应了市场对于这方面的需求和唤醒度都非常好,会急速的发展。

六、尊重用户 解决真正的需求

记者:您刚才谈到了几家数据安全的垂直厂商,那还有国内产品线很全的安全巨头呢?你怎么看待他们对这块市场的影响?

晓韬:国内所谓的巨头、老牌企业,只是相对于国内而言,真正放到国际市场上,无论从收入规模还是人才储备上看,都还算不上是很大型的企业。而就这个体量,还要什么都做的话,产品只会粗制滥造,要么就是OEM引进来的。国外比你一年营收大几十倍的都做不到,你就能做到了?单就投入产出比,也不可能真正把专业领域的产品做的非常好。、

我们有一个定位就是坚决不随意的去拉伸产品线,我们要坚决围绕自己的主战场,把垂直化的事情、专业度的事情做到最好。现在启明、绿盟也都在对外推自己的数据安全产品,虽然不能说具体哪家产品有什么样的问题,但是我可以保证一点,国内任何一家安全厂商,在数据库安全上研发人员的投入量,都比安华金和要小很多。

某些厂商,他们的数据库安全产品研发,说白了是裹在其他产品线里面共同研发推出来的,因此专业化程度是不高的。有些厂商在推出一个所谓的数据库安全产品的时候,整个界面还混用着传统的网络日志系统的界面,用户很难看见数据库的相关要素跟分析,这其实是对用户的不尊重。在中国某特定市场情况下,买了安全产品都不会去用的情况下,这些产品可能还有些空间。但真正用户想用起来的时候,只会在心里骂你,买了一堆垃圾。这种事情是要避免的,所以安华金和今年提出了一个非常重要的口号,就是要实现产品价值,让用户觉得用了你的产品后是值得的,解决了他的真正需求。

专业化需要足够的资源投入

记者:因此,要有好的产品经理。

刘晓韬:好的产品经理是关键,要把用户的问题呈现出来。安华金和已经在建立专门的产品经理团队,把产品可视化、易用化,让用户舒服,让用户一看就愿意使用它。我在一篇数据库审计产品的三代演进文章中提到,要让用户知道自己想看的数据到底在什么地方。而这些需要投入足够的资源才能达到这种程度,而不是顺手而为就能做出专业化很高的产品

再一个就是从研发的思维上,从技术产品导向型变成用户需求导向型,产品的研发人员要深入到一线去了解用户的需求。 
而那种由同一组研发人员开发出不同类型产品,多次卖给用户,甚至连产品界面都懒得去为用户定制化的行为是不负责任的。不是说一个公司的产品线拉伸的越多越好,关键是你的产品质量如何、用户使用的如何,这会奠定产品在用户心目中的声誉。如果持续采用一组研发人员开发所有产品的方式,用户的认可度只会越来越低。

记者:您刚才提到了数据库审计产品的三代演进,是否能大致介绍一下?

刘晓韬:在三代审计中,第一代产品是解决有无问题,第二代是解决专业化问题。比如数据库审计产品,是用数据库的语言呈现这些审计、访问行为以及风险行为,至少这些行为能让数据库管理员看得懂这个产品。第三代产品则要解决业务化问题。审计出来的数据,要让领导们看得懂,不要呈现的出一堆SQL语言之类的东西,要产生更大的业务价值,逐渐提升产品的价值层次,这是我们正在走的道路。因此,我们审计产品团队还在继续增加人,持续地加大投入,以最大化产品对用户的价值,逐渐拉伸和其他厂商的差距。、

七、把产品做到云端 与云服务提供商合作

记者:您刚才谈到,云对于数据安全是个机会,但传统的网络安全产品,上云的话会不会有很大的困难?

刘晓韬:的确会有重大的差别。在云端,特别是公有云上,未来的用户体验是要求极度高的。如果上阿里云,就需要产品与阿里云基础管理平台的深度整合,包括架构上的深度整合。上亚马逊的话,要跟AWS去深度整合。而且在安装之后,还需要配合用户调试,包括选取的服务、可操性、弹性,都需要跟云平台深度的绑定。因此,上云一定要从产品的形态、服务模式等都发生深刻的变化才能适用。

从战略上来讲,我认为云将来会是一个非常大的机会,所以安华现在已经开始做云上的事情,可能甚至会考虑两年之内无收入,但是我要的就是把云上的产品打磨出来,把云上的商业模式探索出来,把云上的基础用户积累出来。

记者:如何能做到与云服务平台的深度整合?是否与国内的大型云提供商有合作?

刘晓韬:先回答第二个问题,我们在6月份左右有一个与中国最大的公有云提供商的战略合作发布会。然后回到第一个问题,传统安全产品采用镜像模式部署是