数据库安全越来越被安全界及用户所接受,所以更多的安全厂商加入到了数据库安全领域,同时云计算给安全领域带来了巨大的冲击。日前安华金和创始人兼CEO刘晓韬接受了安全牛的专访,畅谈安华金和的企业文化,发展方向以及数据库安全的现状和未来。

一、从企业发展忧虑症到企业文化

记者:对于一个安全领域的新兴企业来说,您最关心的是什么,又是如何看待企业理论或文化的呢?

刘晓韬:我自己会经常性的反思,在企业的发展过程当中,每个阶段会遇到些什么问题。今年我最关注或说最忧虑的问题,就是在人员规模扩张之后,该怎么去融合。怎么让新的人员进来之后变成安华的人,变成有生产力的人,成为一支团队。 
不是人员进来就会有生产力的,我现阶段最适合做的事情就是在培训、考核,更大的思考是考虑什么是安华金和的企业文化,把企业文化整理出来,如何通过一些培训把它加强,如何让员工深刻认识和了解。 
安华金和的文化理念可简化为六个字:“务实、创新、容错”,企业和员工的关系也是六个字:“共创、共赢、共担”。从企业成长的角度去看,就是安华如何实现快速、灵活、多变的发展。在这些年里,无论实施什么样的流程制度管理,都不能把这个对市场快速响应的能力特点忘掉。

上得厅堂 下得厨房

记者:这样是否就会对人员能力的要求比较高呢? 
刘晓韬:安华金和还有一个文化特点就是没有纯管理者,所有人都能“来之能战,敢打敢冲。”比如市场总监,是写文章的好手,技术总监,能写核心代码,销售总监,得是最大的打单能手,财务负责人则必须看得懂每一项财报数据。不能只去定调子,只做管理,我们需要的是“Room in, room out”式的人才。

我们不仅要有开阔、宏观的视野和想法,还要能够看到微观。否则无论CEO还是管理层,只看宏观不接触一线的事情,就会失去很多实际的感觉。我非常欣赏互联网公司倡导的一个理念,即公司的CEO就是是公司最大的产品经理。我们属于技术、科技型的公司,不是一个销售或者贸易型的公司,我们一定要坚持下去,这是自己的特点。

没有纯管理者,也是安华金和务实的表现,所有人都有实战能力,外行指导内行的那种管理,与安华是无关的。最终能进安华金和的人,在安华金和扎根的人,做事都有一个相对统一的风格,即包容和需要不同的声音,还不能影响统一的调度。 
安华金和还是个小公司,无法像互联网或IT巨头那样的吸引大量最优秀的精英,在这种情况下,则需要组织的文化来塑造和熏陶员工。文化没有绝对的对与错,但是一定有适合自己的文化。比如华为,他们的人内部的工作热情和工作效率非常高之高,他们的员工个体给人的感觉是有一种非常向上务实的动力在做事情,这就是文化。

二、安全行业的两极 体制内与体制外

记者:安全行业,甚至是绝大多数的行业,似乎都可以分成两大类,一类主要靠背景和关系,另一类是凭借技术优势自由竞争,当然也有少数企业两类通吃。关于体制与市场的关系这方面,您有什么看法?

刘晓韬:往以后看,谁都知道市场自由经营体制是趋势、是未来,但是目前的现状,至少在五到十年,我个人认为不会完全自由市场化,还是政府一半,市场一半。

但从另一方面来说,关键看你想做一个什么样的企业。如果只图容易赚钱,活得滋润的化,我觉得这种企业的规模永远是受控的,它不太可能成为市场上真正的强者,它决定了必须围绕着政府项目、关系去做,这样的话可能甚至都不太会产生自己真实的企业战略,而是围绕客户的战略,自主性会非常低。比如这样的公司想做一件事情,它不会先启动研发,它会先启动立项目,领导批了立项了,才会开始真正去做。

一个真正面向市场化要求的公司,不能受到太多因素的干扰和制约。我自己现在就会尽量少参加一些行业的会议,少在这方面去花一些精力,多一些对市场、用户和产品的思考。随着公司逐渐做大之后,要不断提醒自己的,避免把公司做的空心化,徒有其表。在市场上看上去声音很大,各个活动上都看得到,但最终公司却没有什么拿的出手的产品。让自己企业的产品和战略踏踏实实落地,这个才是安华金和真正关心的事情。

所以任何一个企业的最终发展,往往是由它的基因决定的。很有可能头几年是如何经营的,是什么机制把你养育了下来,你就烙上了这种机制的烙印,最后它会反过来会把你制约,这是一把双刃剑。安华金和比较幸运的地方就是基因纯正,企业活到现在,一直都是到市场上讨饭吃,是市场把安华金和撑了下来,所以安华金和未来还会是一个市场化的公司,不会变成一个找项目凭关系吃饭的公司,还是要找市场要饭吃。

三、企业级安全市场不惧互联网公司

记者:作为一个垂直细分领域的安全厂商,您对互联网公司和传统网络安全大厂商,以及各细分领域的厂商,在安全市场上的交集或竞争关系是如何看待的?

刘晓韬:我可能不见得能说得很有条理,但是可以谈一些观点和想法。我觉得BAT3,对于安全行业的***,手法肯定不一样。

拿360来说,它收购网神,控股网康,投资了好多安全细分领域的初创企业,做安全行业的布局。同时齐向东跟周鸿祎分开,成立企业安全集团。简单通过这些来看,企业安全集团的互联网化基因相比360本身,不会那么强烈,反倒是整合着传统网络安全的资源和力量在政府领域里发力。因此,我觉得这些并没有太多颠覆性的能量。

记者:是啊,前不久RSA大会上,安全牛在采访360企业安全集团总裁吴云坤时,他也认为市场一定会向具有双重基因性质的公司倾斜,指的就是互联网和传统安全公司的互补结合。

刘晓韬:对。另外,BAT是2C的,这是互联网企业的地盘和市场,也占领的差不多了。如果对安全产生较大影响的话,也是移动设备或说手机的安全。这肯定是一个大的市场,这块市场我无法做出专业判断,但移动端安全的盈利模式,肯定跟2B完全是两个概念。

因此,网络安全企业并不惧怕互联网公司在企业级安全市场的竞争,毕竟这个领域是2B市场,国家又这么重视,即使有一些新的安全领域发展,这块市场也不会短期内消亡,还会存在一定的市场空间,我们在战略上不会过多忧虑这一块。

四、云计算服务带来的巨变

记者:那您认为网络安全公司与互联网公司的主要战场或说交集是在哪里呢?

刘晓韬:我在思考安全未来一些发展方向的时候,会感觉到有一些新的事物肯定会演变成重要的事物。比如IoT市场,对安华金和来说可能是个更大的市场,但是这块市场相对新兴又空白,占早了该怎么玩谁都没数,谁也没看清。这块市场未来可能既有2C层面的事,又有2B层面的事,是一个混合型的,一个新的战场和领域。

真正对传统安全市场威胁最大的是云安全,因为云服务的兴起带来的IT应用构造上的巨变,会引起传统企业信息体系结构的变化。政府、企业,会从线下走到线上,一些会搬到公有云上,一些会成为本行业中专有的。而且这个趋势可能会越来越明显,逐渐蚕食掉传统安全厂商的客户。

未来在云上,网络方面的安全措施基本上会由云安全基础设施提供方自行提供,比如WAF、抗D、防APT***等等,但防火墙、IPS和IDS上面是不会有空间的。比如,BAT现在做抗D是另一种思路,主要靠流量抗D,而不是单纯靠技术去抗D,这种思路完全会重构对于安全的需求和架构分布,这一点才是对传统网络安全厂商最大的威胁,因为这是一个信息体系结构的巨变。 
这个时间周期,我觉得有个三到五年,可能就非常明显的体现出来了。两三年内还不太明显的原因是由于国家对信息安全的重视,这是一个扩张,而云是在蚕食。这一扩张、一蚕食,造成暂时看不出显性的变化。但安全规模的扩张总会有一个缓滞期,这个时候云的***和扩张就会占到主导。

这个时候怎么办,不是说把以前的网络安全产品直接放到云上就行了,如果不能和云网络或说是云的基础设施深度融合的话,这些网络安全设备是不适用的,再加上云服务提供商会尽量提升自己的安全服务能力,因此云的普及才是对传统网络安全厂商最大的威胁。

五、云是数据安全厂商的机会

记者:那这种改变对于安华金和这样的安全细分领域厂商会有哪些影响呢?

刘晓韬:云的扩张和***虽然会给传统安全产品带来极大的威胁,但反过来它的普及又会带来一些新的市场容量,比如身份管理、数据安全、业务安全,这些东西是无法消失的,即使上云,反而会形成更大的需求。

你说安华金和是一个传统的安全公司吗?从某种角度上可以说,我们不是一个网络安全公司,而是一个数据安全公司。作为一个数据安全公司,这种云架构带来的变化,不仅不会给安华金和带来巨大的危机,反倒会给我们带来巨大的机会。

记者:机会在哪里呢?对于安华金和来说,数据库安全这个细分又再细分的领域?

刘晓韬:数据安全会变成主流领域。所谓细分,原因就是由于认为市场空间不足,所谓一个大的领域,只是由于它的市场空间足够好,大家认为它是一个主流战场,所以到底是不是细分领域,实际是以市场空间来判定,不是以学科来判定。 
我们正在把比较细分的领域,变成一个比较主流的领域,这个目标经过这些年的努力,正在朝这个方向发展,需求也逐渐的起来。安华金和做的是数据库安全,同时我们也正在完成一些很好的战略布局。

数据安全正在逐渐变成一个主战场,这一趋势从切进来的安全厂商数量,和一些国家政策的导向变化来看,已经得到证明。本来按说数据也好,网络也好,防护是终极目标,对外防的再多再好,内部人员的***泄露怎么处理?还是要把最后一关把握好。对数据的保护本来就应该是主战场,只是过去参与的企业没有那么多,在国家层面、技术层面,没有提升到相应的高度。

数据安全是荒地 关键看“种子”合不合适

记者:那正如你所说,更多的厂商看好数据安全并会参与进来,安华是否对这块战场做好了准备?

刘晓韬:几个比较垂直的数据安全厂商,***,大成天下,亿赛通等,它们当中体量做的最好的是一个亿,而且还是在被绿盟收购之后。这几家厂商做的时间也不短了,从文档安全、数据加密到DLP,从市场反馈来看,并没有看出一个很好的增长态势,这说明它还是有一定的瓶颈和原因的。

安华金和在这方面是有优势的,我们以后往云上转非常容易,而且也做好了基本的战略规划。首先我们未来几年在云上的收入,肯定还是靠我们数据库安全产品线拉伸出来之后的企业安全市场。我觉得这块市场以前属于荒地,还没有很好的开拓起来,所以我非常有信心,做连续三四年的业绩翻番应该都可以。不像网络安全,在目前的体量上再想翻番估计很难,因为它已经是市场占有率很高的情况了。

比如,网关、防火墙之类的设备,用户已经买了好几遍,因此它会慢慢地收缩。而且数据安全好多人还没买,有太多的服务器没有被保护起来。既然是一个相对充满机会的荒地等着去开采,那就要看你的种子,就是你的产品适不适合了。

安华金和过去已经做了一个相对比较健全的产品线,扫描类的有漏扫、漏洞验证,存储类的有数据库加密、数据库脱敏,网络类的有数据库防火墙、数据库审计。通过这些合适的“种子”,在跟客户沟通的时候,90%都能找到需求点,有的客户能找出好几款对产品的需求点。所以我觉得这反应了公司的产品能力,反应了市场对于这方面的需求和唤醒度都非常好,会急速的发展。

六、尊重用户 解决真正的需求

记者:您刚才谈到了几家数据安全的垂直厂商,那还有国内产品线很全的安全巨头呢?你怎么看待他们对这块市场的影响?

晓韬:国内所谓的巨头、老牌企业,只是相对于国内而言,真正放到国际市场上,无论从收入规模还是人才储备上看,都还算不上是很大型的企业。而就这个体量,还要什么都做的话,产品只会粗制滥造,要么就是OEM引进来的。国外比你一年营收大几十倍的都做不到,你就能做到了?单就投入产出比,也不可能真正把专业领域的产品做的非常好。、

我们有一个定位就是坚决不随意的去拉伸产品线,我们要坚决围绕自己的主战场,把垂直化的事情、专业度的事情做到最好。现在启明、绿盟也都在对外推自己的数据安全产品,虽然不能说具体哪家产品有什么样的问题,但是我可以保证一点,国内任何一家安全厂商,在数据库安全上研发人员的投入量,都比安华金和要小很多。

某些厂商,他们的数据库安全产品研发,说白了是裹在其他产品线里面共同研发推出来的,因此专业化程度是不高的。有些厂商在推出一个所谓的数据库安全产品的时候,整个界面还混用着传统的网络日志系统的界面,用户很难看见数据库的相关要素跟分析,这其实是对用户的不尊重。在中国某特定市场情况下,买了安全产品都不会去用的情况下,这些产品可能还有些空间。但真正用户想用起来的时候,只会在心里骂你,买了一堆垃圾。这种事情是要避免的,所以安华金和今年提出了一个非常重要的口号,就是要实现产品价值,让用户觉得用了你的产品后是值得的,解决了他的真正需求。

专业化需要足够的资源投入

记者:因此,要有好的产品经理。

刘晓韬:好的产品经理是关键,要把用户的问题呈现出来。安华金和已经在建立专门的产品经理团队,把产品可视化、易用化,让用户舒服,让用户一看就愿意使用它。我在一篇数据库审计产品的三代演进文章中提到,要让用户知道自己想看的数据到底在什么地方。而这些需要投入足够的资源才能达到这种程度,而不是顺手而为就能做出专业化很高的产品

再一个就是从研发的思维上,从技术产品导向型变成用户需求导向型,产品的研发人员要深入到一线去了解用户的需求。 
而那种由同一组研发人员开发出不同类型产品,多次卖给用户,甚至连产品界面都懒得去为用户定制化的行为是不负责任的。不是说一个公司的产品线拉伸的越多越好,关键是你的产品质量如何、用户使用的如何,这会奠定产品在用户心目中的声誉。如果持续采用一组研发人员开发所有产品的方式,用户的认可度只会越来越低。

记者:您刚才提到了数据库审计产品的三代演进,是否能大致介绍一下?

刘晓韬:在三代审计中,第一代产品是解决有无问题,第二代是解决专业化问题。比如数据库审计产品,是用数据库的语言呈现这些审计、访问行为以及风险行为,至少这些行为能让数据库管理员看得懂这个产品。第三代产品则要解决业务化问题。审计出来的数据,要让领导们看得懂,不要呈现的出一堆SQL语言之类的东西,要产生更大的业务价值,逐渐提升产品的价值层次,这是我们正在走的道路。因此,我们审计产品团队还在继续增加人,持续地加大投入,以最大化产品对用户的价值,逐渐拉伸和其他厂商的差距。、

七、把产品做到云端 与云服务提供商合作

记者:您刚才谈到,云对于数据安全是个机会,但传统的网络安全产品,上云的话会不会有很大的困难?

刘晓韬:的确会有重大的差别。在云端,特别是公有云上,未来的用户体验是要求极度高的。如果上阿里云,就需要产品与阿里云基础管理平台的深度整合,包括架构上的深度整合。上亚马逊的话,要跟AWS去深度整合。而且在安装之后,还需要配合用户调试,包括选取的服务、可操性、弹性,都需要跟云平台深度的绑定。因此,上云一定要从产品的形态、服务模式等都发生深刻的变化才能适用。

从战略上来讲,我认为云将来会是一个非常大的机会,所以安华现在已经开始做云上的事情,可能甚至会考虑两年之内无收入,但是我要的就是把云上的产品打磨出来,把云上的商业模式探索出来,把云上的基础用户积累出来。

记者:如何能做到与云服务平台的深度整合?是否与国内的大型云提供商有合作?

刘晓韬:先回答第二个问题,我们在6月份左右有一个与中国最大的公有云提供商的战略合作发布会。然后回到第一个问题,传统安全产品采用镜像模式部署是没问题,但是SaaS化的实现机制还在开发当中。想做Saas化的东西,其中一个重要的前提就是云平台提供商要有开放性的心态,愿意与你共同合作。比如UClound、青云等,在适当的时候我们也会希望去沟通,我相信他们也会非常欢迎的。因为越不开放,越不去做生态,那么围着自己打造的技术体系就会越落后,越容易被大的云给挤掉。

记者:我觉得产品Saa 化的速度,直接决定着同类产品竞争地位优势的大小。

刘晓韬:对,这个就是我所说的,安华为什么有个很好的布局。我们的数据库安全产品在国内的认可度非常高,然后安华金和与中国最大的公有云提供商形成战略性合作,这就已经在市场上占领先机了。

记者:基本上明白了,但是具体的技术细节还是不太明白,包括你们的数据库产品怎么去部署和整合,现在能披露一下吗?

刘晓韬:今年6月份左右的云栖大会上,我们会做这方面的专场,专门讲解安华金和在云上的安全解决方案。到了十月份,则会真正的系统化,包括已经实践的东西拿出来,然后逐步发布系列产品。届时,欢迎安全牛前来参会和采访报道。

八、拿产品来说话 不惧大厂商

记者:无论是现在的传统网络安全市场,还是未来的云安全市场,垂直厂商如何与那些全产品线的安全大厂商抗衡或者竞争呢?

刘晓韬:那些产品线很全的所谓的巨头,之所以这样做,其最大原因就是他们掌握着客户,利用他们品牌的声誉,去全盘通吃。但这种情况会逐渐改变,真正的需求会驱动产品,用户越来越注重产品本身的价值,当然这种改变肯定需要一个时间周期。

所以我认为首先是对市场的教育,这些巨头们参与进来不是什么坏事,至少让用户方认识到了有这个领域,这个领域的重要性。也许在现阶段,一些粗制滥造的产品能够获得一定的销售空间。但用户不会始终都是傻子,他们一定会随着对产品使用的程度越高,而产生自己真正的需求,知道好坏评判的标准,并最终确定产品的价值。这个时候就需要拿产品来说话,这个时候专业厂商的能力才能显现出来。

到了这个时候只要专业厂商不缺钱,不用把自己贱卖出去,等到市场放量的时候,真正的发展机会就到了。因此在市场上竞争,首先要解决生存问题,不能让自己死。安华金和已经过了这个阶段,市场营收已足够支撑自己全年的开支,再加上两轮的融资,现金流还是非常充裕的。

不发愁现金流的话,就可以有选择的去决定自己在哪些方向上的发力。长久来看,安华金和需要把两件事干好就行,产品和品牌。这两件事做好之后,自然而然地就在用户那里树立起自己的专业形象来。安全这个行业还是一个需要有产品积累,有技术实现能力的领域,不是说一个巨头随便攒点人投入些资本,就能把某个垂直领域的产品做到非常好的。

所以我们不会惧怕大安全厂商的参与,实际上他们面临的挑战比我大多了,他们在不同的领域都互相有挑战,产品线多竞争的地方就多。而且,他们公司最主要的资源一定会用在主战场上的,比如防火墙、IPS、IDS等这些领域上。而垂直厂商所有的资源就用在自己的专业领域,单纯去对比,安华金和一定比他们强。但现阶段,友商销售体系平台比安华金和好,这个事情不是一天两天可以超越的。但只要安华金和的专著度高,产品服务都足够好,企业能够生存,就没有理由打不赢这一仗。

记者:是的,垂直领域需要很深的积累,这就是所谓的基因。

刘晓韬:没错。每个公司的基因都不一样,往往传统领域做得非常好的管理层,他的技术视野跟判断力决定了他在资源的投入和战略发展方向。在原有领域他是强者,但在新的或垂直领域就不见得了。

我们曾经研究过一个老牌厂商,比如说它在三层关联审计有一个专利。我当时看完专利就说这个技术路线根本不可能行得通,因为它的三层关联审计的正确率,在高并发下是非常低的。那家企业在这件事情上坚持了两到三年,最近开始转变,开始跟我们的技术路线类似,去应用层下中间件,再从中间件走代理。因此,这里需要的是真正的技术判断力。没有这种技术核心,再有钱都是白搭,因为方向错了。

而且这里还可以强调一下,在未来云计算普及的情况下,传统安全厂商的销售体系优势荡然无存。用户任意选择服务去租用,服务不好就退租,谁最好用、最专业就用谁的,非常灵活。是市场化,不再是关系化。

九、数据库安全市场潜力巨大

记者:您刚才说数据安全以后市场会大,有可能与防火墙、安全网关类的产品平行甚至超过,但目前来看,数据安全尤其是数据库安全,并未得到大多数企业的重点关注。那么,从安全防护的角度来看,数据库安全到底处于什么样的地位呢?

刘晓韬:为什么我们提到数据库安全,好像没有像网络安全那么重视?数据库的重要性毋庸置疑,数据库一断,整个应用系统基本上无法工作。因此,实际上对它的安全是非常重视的。但以前更看重的是safe,更多的是防止数据丢失、篡改和破坏,保持持续可运行。不是不重视,而是以前大家都认为这东西搁在“家”里就是安全的。

但以后的趋势呢是新的系统越来越庞大,而且所谓的内部网络,不光是企业内部员工,第三方的人也有很多。这里都有公开的案例,比如2011年,陕西移动1300多万用户的数据泄露,就是被第三方开发人员直接从数据库中拿走的。还有前两年某大IT公司的前员工远程进入电信数据库进行手机卡充值,去年连云港发生的进入数据库消除违法分数的案子,你说他们装防火墙了吗,装IPS了吗?

这种情况下,边界防护会不断内移,一直到最后就会移到数据库,这是最深的边界了。说边界多层次化也好,消失也好,都意味着数据库越来越危险,越来越暴露。现在国家一直在讲信息互联共享,大量的信息系统服务直接在互联网上提供,通过web应用直接访问到数据库,传统的IPS、IDS很难去防范,因为这种访问是合法的。而且还有公有云的问题,数据不再搁在自己家里,而是搁在第三方,这时防控的对象不仅是***,云服务提供商本身也是需要防范的,必须要有一个第三方数据的保障。所以从这个角度上来讲,对数据库安全的需求是刚性的。

记者:所以需要对数据进行加密,像之前接受安全牛采访的政府信息中心负责人说的那样,他并不相信云的安全性,但云非常方便,因此他放上去的数据都是加密后的。

刘晓韬:对简单的文档加密是可以的,但是数据库怎么进行加密,就不是一个简单的技术了。实际上这里需要有一个第三方提供防护手段,保证大家放在云里面的数据是安全的,增加云的可信度,加快大家上云的速度。而在没有成熟的第三方产品时,会阻碍大家上云的趋势。这方面正是安华金和一个战略发展的重要定位,我们在数据库加密这个领域,在国内已经树立了很高的品牌形象,这个非常有利于未来云信息化的发展,安华会有更大的市场机会。

十、题外话

记者:谈了这么多,感觉需要好好消化一下。说点题外话,您如何看待国内的安全媒体?

刘晓韬:我觉着安全媒体最重要的是保持中立和专业,而且实际上现在安全行业现在还太安静,缺乏有价值的争论。我们需要直言不讳,需要把自己的观点非常直率的表达出来,也需要经受别人对于你的鞭打。没有必要非得把什么事情藏着掖着。即使说错也没有关系,至少他有观点,能激发你的思考。

记者:主要是怕得罪人吧,比如合作伙伴、关系伙伴。

刘晓韬:这就是为什么我们要刻意要跟所谓的圈子保持一段距离,因为大家太熟的时候就不好再去做这些评论了,保持一定距离的话,可以直言不讳一些。企业管理也一样,要做有性格的CEO,不要做那种温吞吞的CEO。没有性格,就没有魅力。没有魅力就不利于公司的品牌的塑造,不要指望着不得罪人,想要做大事情得罪人是不可避免的。

从传播渠道和模式上,媒体正在逐渐的趋同化,但真正差别的是核心内容。如果搞关系的话,就是PR文,这种文章还少吗?大家看多了,也都看厌了,真正喜欢的是有碰撞的,有思维深度的。因此媒体如果想走出自己的路,一定要确立在内容上的专业深度和风格的独立,这种媒体挖出来的料不是中庸的,不管你说的是好话坏话,真正健康的企业都欢迎这种有深度的交谈。再加上品牌影响力,即使企业知道你带刺,他也会接受。

记者:好的,谢谢刘总,今天的采访就到这里,祝我们的安全事业越做越好,发展壮大。

刘晓韬:也谢谢安全牛专业深度的采访,让企业有了畅所欲言的机会,期待在我们的战略合作和新产品发布会上再见!